В этой связи в последнее время в корпоративном и государственном секторах особое внимание уделяется обеспечению информационной безопасности оконечных вычислительных устройств.
Считается, что наиболее опасными с точки зрения вероятности утечки данных с компьютеров сотрудников являются самые современные средства — сетевые приложения (электронная почта, службы мгновенных сообщений, социальные сети, IP-телефония, файлообменные сети), съемные USB-устройства, персональные мобильные устройства (карманные компьютеры, смартфоны, MP3-плееры и т. п.). Реагируя на спрос, производители программных средств обеспечения безопасности спешат выпустить на рынок продукты для защиты от утечки данных с компьютеров именно через эти высокотехнологичные каналы.
При этом многие специалисты по безопасности разделяют иногда совершенно безосновательное мнение о том, что исторически более «ранние» каналы потенциальной утечки информации, включая известные в докомпьютерную эпоху, уже давно и надежно перекрыты популярными продуктами и решениями. При этом как-то само собой разумеется, что если в отраслевом сообществе и СМИ не ведутся дискуссии по проблемам защиты от давно известных типов угроз, то и самих угроз не существует. А это подчас опасное заблуждение.
Защита от утечки информации при печати документов
Одним из наиболее характерных примеров такого заблуждения является ситуация с информационной безопасностью при печати документов. Высокий риск неконтролируемой утечки информации в процессе печати документов существовал задолго до появления компьютерной техники, особенно в организациях, чья деятельность связана с использованием информации ограниченного доступа: конфиденциальными данными, коммерческой, служебной или государственной тайной.
Эти риски еще более выросли в современных условиях, когда практически во всех корпоративных сетях стали применяться сетевые принтеры, а также системы централизованной печати документов на высокопроизводительных многофункциональных устройствах, используемых многими подразделениями организации одновременно. Помимо коммерческих рисков, практически любые связанные с печатью инциденты в области безопасности могут повлечь за собой юридические и административные риски. Это связано с тем, что действующие нормативные государственные акты и отраслевые стандарты в области информационной безопасности требуют защищать информацию в любой форме, включая, естественно, печатные документы, которые по определению открыты для просмотра, а также удобны для копирования и перемещения за пределы организации.
Для защиты информации при сетевой централизованной печати документов ведущие производители принтеров, а также компании-разработчики предлагают широкий набор программных и программно-аппаратных средств и решений, обеспечивающих конфиденциальность, целостность, доступность и учет документов на всех этапах процесса печати, включая отправку с персональных компьютеров, обработку и формирование задания на сервере печати, доставку задания на сетевой принтер и печать документа. К таким широко известным на корпоративном рынке решениям относятся FollowMe Printing компании Ringdale, SD Express Printing от Capella Technologies, JScribe от CCP Systems AG, G2 компании SafeCom, интегрированные с принтерами корпоративного класса Hewlett-Packard, Xerox, Samsung, Ricoh, Konica Minolta.
Защита от утечек данных в этих системах достигается за счет применения целого ряда технологий защиты, включая шифрование документов перед отсылкой на печать или их туннелирование по каналам VPN с компьютеров пользователей к принтерам и принт-серверам; хранение образов печатаемых документов в памяти принтеров в зашифрованном виде вплоть до момента печати; разграничение доступа к принтерам на персональной основе; выдачу задания на печать только после того, как его инициатор аутентифицировался локально и находится рядом с принтером; гарантированное удаление копий документов с принтеров после их печати либо по истечении заданного времени; централизованную регистрацию событий печати и сохранение электронных копий отпечатанных документов в базе данных для целей анализа и аудита.
Но означает ли использование в организации одного или нескольких из перечисленных решений и технологий, что проблема защиты информации при печати в корпоративной среде полностью решена?
Проблема контроля локальной печати
В повседневной корпоративной практике документы очень часто печатаются на неподконтрольных службе администрирования локальных или сетевых принтерах. Например, на предприятиях с недостаточным уровнем контроля неавторизованные или неучтенные принтеры могут быть подсоединены к персональным компьютерам сотрудников либо по халатности, либо намеренно, чтобы избежать контроля со стороны администрации. Иногда такой неучтенный принтер подключают в режиме «по требованию» — только непосредственно на время печати, таким образом, многократно снижается вероятность его обнаружения средствами сетевого мониторинга состояния компьютеров. В некоторых организациях использование локально подключенных принтеров разрешено или даже предписано для отдельных категорий сотрудников, поскольку печатаемые ими документы содержат настолько секретную информацию, что передача их по сети запрещена. Сейчас многие сотрудники компаний работают дома и печатают документы на своем локальном принтере. Наконец, в большинстве организаций, независимо от размеров и вида деятельности, руководство предпочитает печатать документы на «личных» принтерах, подключенных к их рабочим станциям напрямую.
В таких ситуациях упомянутые выше решения не обеспечивают реального контроля доступа пользователей к локальным принтерам, поскольку агентские компоненты этих решений, как правило, реализованы в виде драйверов виртуальных портов и не способны предотвратить действия пользователей по подключению локального или сетевого принтера к иному произвольному — физическому или виртуальному — порту. С точки зрения корпоративной системы обеспечения безопасности такая ситуация означает, по сути, наличие неблокированного канала утечки информации при печати документов. Представители подразделений информационной безопасности многих крупных компаний многократно говорили об этом как о серьезной проблеме.
DeviceLock 6.3 как контролер
Решение проблемы контроля процессов локальной печати в корпоративной среде — дополнительная функция новой версии программного продукта DeviceLock 6.3, выпущенной компанией «Смарт Лайн» в апреле этого года. Реализованное как компонент универсальной архитектурной платформы предотвращения утечек данных с оконечных вычислительных устройств, DeviceLock Endpoint Data Leakage Prevention Platform, это решение позволяет администраторам централизованно контролировать доступ пользователей к локальным, сетевым и виртуальным принтерам — вне зависимости от способа их подключения к компьютерам, в том числе через отличные от USB интерфейсы.
Для каждого отдельного компьютера в сети, для их групп, для всех компьютеров подразделения или же для всего парка компьютеров в организации DeviceLock 6.3 позволяет задать детализированные правила, определяющие, кому, когда и на каких принтерах разрешено печатать (см. экран 1).
Поддержка в DeviceLock 6.3 групповых политик вкупе с использованием в правилах различных типов объектов из корпоративной службы каталогов, включая объекты Microsoft Active Directory, Novell eDirectory, а также любой LDAP-совместимый каталог, позволяет администраторам без труда специфицировать гибкие политики работы с принтерами для индивидуальных пользователей, групп пользователей, департаментов или же для всей организации сразу. Привязка политики ко времени может быть задана с точностью до часа и дня в рамках недельного графика, а также для любых субъектов и объектов доступа — пользователей, компьютеров и принтеров. DeviceLock 6.3 позволяет разграничить правила доступа к реальным (локальным и сетевым) и виртуальным принтерам, что, например, происходит при использовании программ конвертации в PDF. Дополнительная степень гибкости достигается за счет возможности задать разные политики для принтеров, подключенных к разным интерфейсам компьютера: USB, LPT, Bluetooth, Wi-Fi. При подключении принтеров по USB разные правила доступа могут быть определены для каждой модели и каждого отдельного принтера. В то же время доступ может быть задан для всех используемых принтеров сразу.
Событийное протоколирование и теневое копирование
DeviceLock 6.3 протоколирует все связанные с процессами печати события и автоматически доставляет их в центральную базу данных, где они сохраняются для последующего аудита. Политика протоколирования задается с тем же уровнем детализации, что и политика доступа к принтерам. Каждая запись о событии включает данные об идентификаторе пользователя, имени и размере отпечатанного документа, имени приложения, из которого документ был напечатан, имени принтера, результате, времени и дате печати. Содержимое журнала протоколирования может быть централизованно проанализировано с помощью программы просмотра Audit Log Viewer, встроенной во все типы консолей управления DeviceLock 6.3, как показано на экране 2.
Аналогичная по гибкости политика может быть задана и для функции теневого копирования отправленных на печать документов. Копии всех попадающих под установленную политику документов записываются в недоступный для пользователя каталог файловой системы. Затем они автоматически передаются на центральный сервер и сохраняются в той же базе данных, что и протоколы, для анализа с помощью встроенной программы просмотра DeviceLock Printer Viewer, которая графически отображает документы непосредственно из их образов в форматах наиболее популярных спулеров печати: PS, PCL 5/6, HP-GL/2, GDI (ZjStream), NT EMF. Кроме того, Printer Viewer позволяет послать просматриваемый документ на печать, а также сохранить его в нескольких графических форматах: BMP, GIF, JPEG, PNG, EMF, TIFF.
Преимущества решения DeviceLock
Уникальная по числу параметров и детализации политика доступа DeviceLock позволяет поставить под строгий централизованный контроль администрации использование любых, в том числе локально подключаемых, принтеров в организации вне зависимости от места расположения компьютеров — в офисе или вне него, режима их работы, наконец, независимо от того, хочет тот или иной пользователь быть под контролем или нет.
Реализованные на уровне ядра операционной системы компоненты DeviceLock функционируют в защищенном режиме, исключающем их удаление или блокирование со стороны пользователей компьютеров, включая имеющих привилегии локальных системных администраторов.
Детальное централизованное протоколирование событий и теневое копирование обеспечивают возможность отслеживания действий по использованию принтеров сотрудниками, аудита состояния безопасности компании на соответствие корпоративной политике и требованиям применяемых стандартов в области информационной безопасности, сбора доказательной базы для расследования инцидентов и — при необходимости — судебных разбирательств.
Важно отметить, что функциональные и административные характеристики DeviceLock 6.3 по контролю локальной печати документов гармонично дополняют уже используемые в организациях решения для защиты от утечки данных с помощью систем централизованной сетевой печати документов, обеспечивая защиту ранее сделанных инвестиций корпоративных пользователей.
Алексей Лесных - Менеджер по развитию бизнеса в ЗАО «Смарт Лайн Инк». alexei@devicelock.com