Защита информации от внутренних угроз (Information Protection and Control, IPC) всегда имела большое значение для любой организации, однако в период кризиса количество утечек корпоративной информации резко увеличилось, и задача их предотвращения стала еще более актуальной. Очевидно, что уволенный или обиженный сотрудник, имеющий доступ к конфиденциальной информации, может в любой момент попытаться вынести ее за пределы организации. В таких случаях для компании неизбежны финансовые и имиджевые убытки.

На первый взгляд контролировать все потенциальные каналы внутренней утечки информации можно и стандартными средствами ОС. Однако если глубже проанализировать штатные средства ОС и сравнить их с функционалом существующих IPC-решений, то будет очевидно, что технология IPC дает намного больше возможностей. Конечно, можно запретить в ОС использование всех USB-устройств, однако в результате сотрудники не смогут пользоваться даже принтерами -- налицо нарушение обычного для любой компании бизнес-процесса. В таком случае приходится делать выбор между потребностями бизнеса и безопасностью, и часто – по понятным причинам – выбирают именно бизнес. То же касается и других каналов утечки: нельзя запретить пользователю отправлять электронную почту или искать нужную для работы информацию в Интернете.

В такой ситуации необходимы более гибкие и способные адаптироваться под бизнес технологии защиты от внутренних угроз. Они должны не только не затрагивать существенно обычные бизнес-процессы, но и обеспечивать достаточный уровень контроля информации на протяжении ее жизненного цикла. К примеру, сотруднику не будет запрещено создавать и редактировать документы внутри сети компании, однако записать их на «флэшку» или отправить по почте он может только при соблюдении определенных требований службы безопасности и ИТ-подразделения компании. Так, в технологии IPC можно разрешить записывать данные на зашифрованные внешние устройства. Система автоматически шифрует вставленную «флэшку», а пользователь в прозрачном для себя режиме может записывать туда информацию и использовать устройство в корпоративной сети. Эту информацию можно безопасно переносить на внешних устройствах или доверять курьерам для перевозки в другой офис, так как в случае потери или кражи прочитать ее будет невозможно.

Для более гибкого контроля информации в IPC используются различные лингвистические технологии, например, морфология и стемминг. Это позволяет анализировать выходящую за пределы компании информацию на предмет содержания конфиденциальных сведений. В частности, можно анализировать вложенные файлы формата DOC, а в случае нарушения политик безопасности – блокировать или временно задерживать пересылку информации. При этом достигается и свобода бизнес-процессов, и защита от случайной и преднамеренной пересылки конфиденциальной информации.

В марте этого года компания SecurIT объявила о выходе новой версии продукта для контроля и архивирования корпоративной электронной почты Zgate версии 1.2. Это решение работает как SMTP-шлюз, фильтрующий входящие и исходящие сообщения электронной почты. Служба безопасности может настраивать правила обработки сообщений, следуя которым любое письмо может быть пропущено (передано получателю), блокировано, помещено в карантин для ручной обработки офицером безопасности или записано в архив. В качестве критериев фильтрации может выступать содержимое всех полей электронного письма (адрес отправителя, адрес получателя, тема письма и т. д.), текст письма, типы вложенных файлов и содержимое этих файлов. В Zgate входит и встроенный модуль лингвистического анализа: полномасштабный морфологический анализ позволяет учесть при проверке все формы заданного слова. Модуль поддерживает русский, английский, немецкий, французский и итальянский языки.

Модуль анализа Zgate определяет вложенные файлы в формате всех распространенных приложений -- Microsoft Office, OpenOffice, Adobe, AutoCAD, всего более 70 различных типов файлов, в том числе встроенные OLE-объекты. При этом, если в письмо вложен файл-архив, Zgate автоматически разархивирует и проанализирует его содержимое. Zgate распознает все распространенные на сегодняшний день архивные файлы (около 15 типов), причем не по расширению файла, а по его внутренней структуре. Архив электронных писем, формируемый Zgate, обеспечивает хранение почтовых сообщений в базе данных неограниченное время и возможность их удобного просмотра и обработки для авторизованных пользователей. Система Zgate позволяет хранить электронные письма со всеми вложениями в базе данных Microsoft SQL Server. Просмотр и поиск по архиву можно выполнять с помощью встроенных средств анализа через Zconsole, единую консоль для всех решений SecurIT.

Система Zgate работает под управлением ОС Microsoft Windows 2000/XP/Vista/2003 Server/2008 Server и совместима со всеми почтовыми серверами, работающими по протоколу SMTP (Microsoft Exchange Server, IBM Lotus Domino, Sendmail, Postfix и т. д.). При разработке Zgate 1.2 основной упор был сделан на производительность системы, которая даже на серверах начального уровня теперь позволяет обрабатывать 12 Гбайт данных в день, что эквивалентно 150 тыс. писем. В новой версии была добавлена и возможность использовать для лингвистического анализа технологию стемминга, которая ощутимо повышает производительность системы Zgate в целом.