Решение InfoWatch Traffic Monitor предназначено для фильтрации исходящего почтового (SMTP, Lotus Notes) и Web-трафика (HTTP), а также сообщений Интернет-пейджеров (например, ICQ), что позволяет выявить и предотвратить попытки пересылки конфиденциальной информации. Для перехвата SMTP-, HTTP- и IM-трафика имеются две технологии, выбор между которыми зависит от конфигурации сети пользователя и стоящих перед ним задач. Технология Transparent Proxy подразумевает использование абсолютно прозрачного прокси-сервера, который направляет проходящий через него трафик на сервер контентной фильтрации. Технология Sniffer, со своей стороны, обеспечивает получение трафика, проходящего через TAP-устройства (Cisco SPAN, ProCurve Mirored Port и т. д), и дальнейший его анализ на сервере контентного анализа.

Перехваченные данные проходят многоуровневую фильтрацию на основе контентного анализа содержимого (с использованием лингвистического модуля Morph-o-Logic) и формальных атрибутов (отправитель, получатель и т. д.). В зависимости от результата анализа и настроек к задержанным данным могут быть применены различные действия. Использование метода лингвистического анализа имеет ряд неоспоримых преимуществ.

Высокая точность детектирования. Можно анализировать даже небольшие объемы данных, например, сообщения Интернет-пейджеров (ICQ).

Простота внедрения. Метод не требует изменения бизнес-процессов предприятия. Большинство сотрудников может даже не подозревать о внедрении подобной системы, что также повышает уровень безопасности.

Производительность. База контентной фильтрации даже в очень крупной организации весьма невелика и целиком помещается в оперативную память сервера, на котором установлено решение. Результат -- возможность создать практически неограниченный список категорий. Для каких-то категорий можно предусмотреть специализированные действия: например, разрешить передачу, но только в зашифрованном виде. Широкий спектр категорий можно также использовать для анализа информации, пересекающей информационный периметр организации.

Гибкость и оперативность. Изменения в базу контентной фильтрации можно вносить с рабочего места оператора; они смогут вступать в силу немедленно. Таким образом, конфиденциальная информация берется под контроль сразу же после ее появления.

Решение проверяет совершаемые операции, связанные с работой с внешними носителями, на соответствие требованиям политики безопасности. Если пользователь находится вне корпоративной сети, ведется протокол всех его действий, который пересылается на лог-сервер сразу после подключения. Если в период автономной работы компьютера вне сети были совершены запрещенные операции, то подозрительные действия будут блокированы, а отчет о нарушении будет направлен офицеру безопасности сразу же при подключении к корпоративной сети. В результате обеспечивается соблюдение политики безопасности и защита конфиденциальной информации даже в условиях удаленной работы пользователей на ноутбуках.

Консоль управления офицера информационной безопасности предоставляет исчерпывающую информацию о почтовом, пейджинговом и Web-трафике, данных, копируемых на сменные носители и отсылаемых на печать, включая текст перехваченных сообщений и причину, по которой они были задержаны, выдает оперативные предупреждения об обнаруженных инцидентах и позволяет создавать настраиваемые отчеты об активности пользователей. Система поддерживает разделение ролей и разграничение доступа к различным типам фильтруемых данных.

Все перехваченные данные сохраняются в собственной базе данных InfoWatch Тraffic Monitor. Вся накопленная информация индексируется и может быть использована для дальнейшего исследования. Благодаря данным функциям InfoWatch Тraffic Monitor позволяет создавать уникальный корпоративный архив информации, которая отсылалась за пределы компании. Информация в данном архиве хранится в формате, позволяющем проводить систематизацию и контролировать историю пересылки данных, а также проводить ретроспективный анализ инцидентов утечки конфиденциальной информации.

Таким образом, InfoWatch Тraffic Monitor позволяет отслеживать операции с конфиденциальной информацией внутри информационного ресурса компании и ограничивать (запрещать) определенные действия пользователей по отношению к конфиденциальной информации, а также блокировать выход конфиденциальной информации за пределы компании. Решение предоставляет возможности централизованного управления и оповещения об инцидентах.