Программный комплекс DeviceLock DLP предназначен для контроля каналов утечки данных с рабочих станций (endpoints) и состоит из взаимодополняющих функциональных компонентов – DeviceLock Base, NetworkLock и ContentLock, лицензируемых в любых комбинациях на основе базисного компонента DeviceLock Base.
Разработчик:
Смарт Лайн Инк (DeviceLock)
Издатель (дистрибьютор):
1С:Дистрибьюция
Издание:
1С:Дистрибьюция
Язык (-и): Русский / Английский
Вид поставки: Коробка / Электронная лицензия
Ссылка на дистрибутив:
Пробная версия
Описание:
О DeviceLock Endpoint DLP Suite
Программный комплекс DeviceLock DLP предназначен для контроля каналов утечки данных с рабочих станций (endpoints) и состоит из взаимодополняющих функциональных компонентов – DeviceLock Base, NetworkLock и ContentLock, лицензируемых в любых комбинациях на основе базисного компонента DeviceLock Base.
DLP-система DeviceLock DLP позволяет контролировать широкий спектр устройств, интерфейсов и каналов сетевых коммуникациях в физических и виртуальных средах как в офисе организаций, так и на ноутбуках и лэптопах мобильных сотрудников в различных сценариях от режима наблюдения до избирательной блокировки передачи и сохранения данных на основе контекстных механизмов и с использованием контентной фильтрации.
Комплекс также включает в себя серверные продукты DeviceLock Search Server (DLSS) и DeviceLock Discovery Server.
DEVICELOCK BASE
- Самый функциональный на мировом рынке продукт класса Device Control
- Обеспечивает контекстный контроль локальных портов, устройств, канала печати, накопителей и т.д., в т.ч. в средах виртуализации и терминального доступа (избирательная блокировка или разрешение доступа к устройствам и интерфейсам, событийное протоколирование и теневое копирование файлов и данных).
- Обладает развитым функционалом с поддержкой Белых списков USB-устройств, online/offline режимов работы агента, надежной защитой агента от несанкционированного вмешательства и др.
- Доступен для Windows и для Apple OS X
NETWORKLOCK
- Обеспечивает контекстный контроль каналов сетевых коммуникаций (избирательная блокировка или разрешение доступа к сетевым протоколам и сервисам, событийное протоколирование и теневое копирование передаваемых файлов и документов с раздельным контролем сообщений и вложений), а также реализует такие функции, как тревожные оповещения, Белый список сетевых протоколов, Basic IP Firewall и др.
CONTENTLOCK
- Предназначен для контентной фильтрации данных: поиск по ключевым словам с поддержкой морфологического анализа, поиск с помощью регулярных выражений, оптическое распознавание текста и др. Поиск осуществляется в файлах, передаваемых в электронной почте и веб-почте, службах мгновенных сообщений, социальных сетях или передаваемых по сети, в канале печати (печатаемых документах), а так же в сохраняемых на съемных носителях. Содержит встроенный (резидентный) модуль OCR.
DEVICELOCK SEARCH SERVER
- Индексирует содержимое архивов теневых копий и журналов событий (баз данных серверов централизованного сбора и хранения данных событийного протоколирования и теневого копирования).
- Осуществляет полнотекстовый поиск индексированных данных с поддержкой развитого языка поисковых запросов, что позволяет значительно снизить трудозатратность и повысить эффективность процессов расследования инцидентов ИБ, связанных с утечками информации.
DEVICELOCK DISCOVERY
- Предназначен для автоматизированного сканирования рабочих станций и сетевых хранилищ в целях обнаружения данных с заданным содержимым и автоматического применения к обнаруженным данным различных действий.
- Использует технологии контентного анализа, имеет встроенный резидентный модуль OCR (лицензия на компонент ContentLock при этом не требуется)
Основные функции и возможности DeviceLock® Endpoint DLP Suite
- Контроль доступа к устройствам и интерфейсам. DeviceLock обеспечивает контроль доступа пользователей и групп к портам ввода-вывода (USB, FireWire, COM, LPT, IrDA), адаптерам WiFi и Bluetooth, любым типам принтеров (локальные, сетевые и виртуальные), мобильным устройствам (BlackBerry, iPhone/iPad, устройствам под управлением ОС Windows Mobile и Palm, MTP-устройствам Android, Windows Phone и т.п.), а также дисководам, CD/DVD/BD-приводам, любым сменным носителям и устройствам Plug-and-Play, перенаправляемым терминальным устройствам. Для любого типа устройства или порта можно задать доступ в зависимости от времени и дня недели, а также задать тип доступа "только чтение" для сменных носителей, дисководов, жестких дисков, CD/DVD-приводов, КПК и ленточных накопителей.
- Контроль сетевых коммуникаций. Компонент NetworkLock распознает сетевые протоколы независимо от используемых портов, обеспечивает детектирование коммуникационных приложений и их селективную блокировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также событийное протоколирование и теневое копирование передаваемых данных. NetworkLock позволяет контролировать коммуникации пользователей через популярные сетевые приложения, включая передачу почтовых сообщений по открытым и SSL-защищенным SMTP-сессиям и протоколу MAPI (с раздельным контролем сообщений и вложений), web-доступ и другие HTTP/HTTPS-приложения, web-почту Gmail, Яндекс-Почта, Mail.ru и др., мессенджеры Skype, ICQ, Mail.ru Agent и др., социальные сети Twitter, Facebook, LiveJournal, Одноклассники, ВKонтакте и др., обмен файлами через сервисы Google Drive, Dropbox, RapidShare, Yandex Disk и др., передачу файлов по протоколам SMB, FTP/FTP-SSL, a также Telnet-сессии.
- Контентная фильтрация. Компонент ContentLock обеспечивает контентную фильтрацию данных, отправляемых на печать, копируемых на съемные устройства хранения данных, а также передаваемых по сетевым каналам персонального компьютера, контролируемого модулем NetworkLock. Распознавая более чем 160 типов форматов файлов и данных, ContentLock извлекает и отфильтровывает содержимое (контент) данных из файлов и объектов, включая передаваемые в службах мгновенных сообщений, веб-формах, социальных сетях и т.д. ContentLock обеспечивает фильтрацию потоков данных, основываясь на созданных администратором шаблонах регулярных выражений (RegExp) с различными численными и логическими условиями соответствия шаблона критериям и ключевым словам. Среди более чем 50 параметров, которые можно использовать для задания таких шаблонов, присутствуют такие, как пользователи, компьютеры, группы пользователей, порты и интерфейсы, устройства, типы каналов и направление передачи данных, диапазоны дат и времени и многие другие.
- Выявление несанкционированного содержимого в хранилищах данных. DeviceLock Discovery предназначен для автоматического сканирования рабочих станций и систем хранения данных, размещенных как внутри, так и вне корпоративной сети, в соответствии с заданными правилами. Администраторы могут задавать правила, определяющие, какого рода данные сотрудникам недопустимо хранить в корпоративной сети, и выполняющие различные опциональные действия с обнаруженными документами и файлами. DeviceLock Discovery лицензируется независимо от остальных компонентов DeviceLock DLP.
- Сервер полнотекстового поиска. Опционально лицензируемый компонент DeviceLock Search Server позволяет осуществлять полнотекстовый поиск по содержимому файлов теневого копирования и журналам, хранящимся в центральной базе данных сервера DeviceLock Enterprise Server. Полнотекстовый поиск особенно полезен в случаях, когда вам необходим поиск по содержимому документов, хранимых в базе данных теневого копирования. DeviceLock Search Server может автоматически распознавать, индексировать, находить и отображать документы множества форматов, таких как: Adobe Acrobat (PDF), Ami Pro, Архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, AutoCAD, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, WordStar и многие другие.
- Защита от локального администратора. Функция DeviceLock Administrators обеспечивает необходимый уровень защиты, даже если пользователи в сети имеют административные привилегии на локальных компьютерах. Когда защита DeviceLock включена, никто, кроме авторизованных администраторов, не может подключиться к агенту, остановить или удалить его. Даже члены локальной группы Администраторы (если они не входят в список авторизованных администраторов DeviceLock) не могут обойти защиту.
- Централизованное управление. Полная интеграция централизованного управления DeviceLock в групповые политик Windows позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку политик контроля доступа, аудита и теневого копирования и других настроек Агентов DeviceLock для новых компьютеров в автоматическом режиме. Наиболее популярная среди пользователей консоль управления DeviceLock представляет собой оснастку для Microsoft Management Console (MMC), встраиваемую в стандартную оснастку Group Policy, которая входит в состав Windows 2000 и более поздних операционных систем. Благодаря привычному и интуитивно понятному для сетевых администраторов интерфейсу управление DeviceLock является крайне простым и не требует написания дополнительных скриптов, изменения схемы домена или шаблонов ADO. В дополнении к оснастке MMC для групповых политик, предусмотрена дополнительная консоль с собственным интерфейсом - DeviceLock Enterprise Manager, которая позволяет централизованно управлять любыми компьютерами, выбирая их напрямую из служб каталогов LDAP (таких как Novell eDirectory, Open LDAP и т.п.). Агенты могут быть установлены на удаленные компьютеры с уже определенными политиками безопасности (настройками) путем развертывания специально созданного установочного пакета Microsoft Installer (MSI). Такой MSI-пакет создается администратором при помощи стандартной консоли управления DeviceLock. С помощью стандартной оснастки Resultant Set of Policy можно просмотреть применяемые в настоящий момент политики DeviceLock и проверить задаваемый набор политик, который будет применен после его распространения в сети.
- Контроль по типу файлов. DeviceLock позволяет разрешать и запрещать доступ к определенным типам файлов вне зависимости от установленных на устройство или протокол разрешений, а также задавать гибкие политики теневого копирования с целью уменьшения объема хранимых на сервере данных. Определение типов файлов основано на сигнатурном методе и не зависит от расширения файла. Поддерживается более 4300 типов файлов.
- Контроль буфера обмена. DeviceLock позволяет эффективно предотвращать потенциальную утечку данных еще до того, как они будут переданы с компьютеров – когда пользователь намеренно или случайно копирует данные между различными приложениями и документами через встроенный в ОС Windows буфер обмена. Политики контроля DeviceLock могут быть настроены для выборочной блокировки и аудита операций передачи данных через системный буфер между различными приложениями (например, из MS Word в MS Excel или в OpenOffice). Контекстный контроль доступа пользователей к операциям буфера обмена обеспечивается на уровне объектов и типов данных – включая файлы, текстовые данные, графические изображения, аудиофрагменты (например, записи, сделанные Windows Sound Recorder), а также данные неопределенного типа. DeviceLock также позволяет селективно блокировать «снимки экрана», выполняемые стандартной функцией Windows PrintScreen, как для отдельных пользователей, так и для различных приложений.
- Белый список USB-устройств. Для каждого пользователя или группы можно задать свой "белый" список устройств, доступ к которым будет всегда разрешен. Устройства можно идентифицировать по модели и по уникальному серийному номеру.
- Белый список носителей. DeviceLock позволяет идентифицировать определенный CD/DVD-диск на основе записанных на него данных и разрешить его использование, даже если сам CD/DVD-привод заблокирован. Для каждого пользователя или группы можно задать свой "белый" список носителей.
- Временный белый список. Позволяет предоставлять временный доступ к устройствам при отсутствии сетевого подключения к агенту. Администратор сообщает пользователю специальный короткий буквенно-цифровой код (например, по телефону), который временно разблокирует доступ только к требуемому устройству.
- Белый список сетевых протоколов. Модуль NetworkLock позволяет задавать политики безопасности, основанные на принципе "белого" списка сетевых протоколов, который дополнительно может детализироваться по IP-адресам, их диапазонам и маскам подсетей, а также по сетевым портам и их диапазонам.
- Аудит. DeviceLock позволяет протоколировать все действия пользователей с устройствами и файлами (копирование, чтение, удаление и т.п.). Также можно протоколировать изменения в настройках Devicelock, время старта и остановки агента. DeviceLock использует стандартную подсистему событийного протоколирования Windows, а также автоматически собирает данные аудита с удаленных компьютеров в локальной сети и хранит их в центральной базе данных SQL Сервера. Даже пользователи с административными правами (если они не входят в список авторизованных администраторов DeviceLock) не могут изменить, удалить или иным образом исказить данные журналов аудита, переданные на DeviceLock Enterprise Server.
- Теневое копирование. Функция теневого копирования в DeviceLock позволяет для каждого пользователя или группы сохранять точную копию данных, копируемых на внешние устройства, передаваемых по сети и через последовательные и параллельные порты, а также печатаемых на локальных и сетевых принтерах. Точные копии всех файлов и данных сохраняются в SQL-базе данных на сервере модулем DeviceLock Enterprise Server (DLES). DLES при этом может извлекать из ISO-образов CD/DVD/BD дисков записываемые файлы. Функционал аудита и теневого копирования в DeviceLock гибко настраивается для эффективного использования сетевых ресурсов и ресурсов БД SQL-сервера с помощью таких параметров, как потоковое сжатие данных аудита и теневого копирования, контроль пропускной способности сети, автоматический выбор оптимального сервера DLES и локальной квоты кэша данных аудита и теневого копирования. Технологии контентной фильтрации в модуле ContentLock позволяют задать фильтрацию для данных теневого копирования, чтобы сохранять только те файлы и данные, которые информационно значимы для задач аудита информационной безопасности, расследований нештатных ситуаций и их криминалистического анализа. В результате на порядки снижаются требования к емкости хранилищ теневых копий и пропускной способности каналов связи при их передаче в центральную базу данных аудита и теневого копирования DeviceLock. Контентный анализ для теневого копирования поддерживается для всех ключевых каналов передачи и хранения данных, включая съемные носители и plug-n-play устройства памяти, сетевые коммуникации, синхронизацию данных с локально подключенными смартфонами, а также канал печати документов.
- Тревожные оповещения (алертинг). DeviceLock обеспечивает тревожные оповещения администратора в реальном режиме времени (алертинг). Оповещения могут отправляться в почтовых сообщениях по протоколам SMTP и/или SNMP. Предусмотрено два типа оповещений: административные (изменение настроек сервиса, остановка агента DeviceLock, изменения в списке администраторов DeviceLock Administrators, неуспешные попытки пользователя внести изменения в политики и т.п.) и специфичные для устройств и протоколов. Настройка тревожных оповещений осуществляется администратором аналогично настройке правил аудита, при этом не заменяет аудит.
- Централизованное хранение журналов аудита и теневого копирования. Для централизованного сбора и хранения данных теневого копирования и журналов аудита используется дополнительный нелицензируемый компонент DeviceLock Enterprise Server (DLES). Для равномерного распределения нагрузки в локальной сети можно установить несколько экземпляров DLES, которые, в свою очередь, используют любое количество SQL-серверов для хранения данных.
- Предотвращение утечки данных через мобильные устройства. DeviceLock позволяет контролировать синхронизацию компьютера с КПК и смартфонами, работающими под управлением ОС Windows Mobile, iOS и Palm OS, и осуществлять аудит и теневое копирование данных, передаваемых с компьютера на эти мобильные устройства. Возможно задавать разрешения для различных объектов (файлы, контакты, почта и т.д.), передаваемых с компьютера на КПК и наоборот в процессе синхронизации мобильного устройства. Также возможно включить аудит и теневое копирование для файлов и других объектов (контакты, почта и т.д.), копируемых с компьютера на КПК. Поддерживаются все интерфейсы подключения КПК (USB, COM, IrDA, Bluetooth, WiFi).
- Политики автономного и оперативного режима. DeviceLock может применять один набор политик для ситуации, когда компьютер подключен к сети, доступен контроллер домена или доступен DeviceLock Enterprise Server (оперативный режим), и другой набор политик для ситуации, когда компьютер не подключен к сети, не доступен контроллер домена или не доступен DeviceLock Enterprise Server (автономный режим). Применение различных политик для двух режимов полезно, например, для запрета использования адаптеров WiFi, когда компьютер подключен к локальной сети компании, и разрешения, когда отключен.
- Оптическое распознавание символов (OCR). Использование OCR-технологии позволяет извлекать текст из графических файлов (например, отсканированных документов или скриншотов) и проверять его контентно-зависимыми правилами.
- Интеграция с внешними средствами шифрования. DeviceLock позволяет устанавливать специальные "политики шифрования" для внешних подключаемых дисков, зашифрованных при помощи сторонних программных средств шифрования. Используя такие политики, возможно, например, разрешить запись только зашифрованных данных на съемные устройства и запретить запись незашифрованных данных. DeviceLock обнаруживает диски, созданные продуктами BitLocker To Go (встроенное в ОС Windows средство шифрования данных на съемных носителях) , FileVault (встроенное в Apple OS X средство шифрования данных) , ViPNet SafeDisk (продукт российской компании Инфотекс, сертифицирован ФСБ России как СКЗИ), PGP Whole Disk Encryption, DriveCrypt и TrueCrypt (USB-флешки и другие съемные устройства), а также распознает флеш-диски Lexar JumpDrive SAFE S3000 и Lexar SAFE PSD, поддерживающие аппаратное шифрование данных.
- Контроль для виртуальных и терминальных сред. DeviceLock обеспечивает контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие компьютеры периферийными устройствами (Terminal Service Devices), включая съемные накопители, принтеры, USB-порты и буфер обмена данными, включая журналирование действий пользователя и теневое копирование переданных им файлов и данных. DeviceLock поддерживает решения для виртуализации рабочих сред и приложений от Microsoft (RDS/RDP, RemoteFX), Citrix (XenApp, XenDesktop, XenServer), Oracle (VIrtualBox) и VMware (VMware View).
Расширенные функции DeviceLock® DLP Endpoint Suite
- Обнаружение и блокирование аппаратных кейлоггеров. DeviceLock обнаруживает USB-кейлоггеры и блокирует клавиатуры, подсоединенные к ним. Также DeviceLock может предотвращать запись данных на PS/2 кейлоггеры. DeviceLock искажает вводимые с PS/2 клавиатуры данные и вынуждает PS/2 записывать «мусор» вместо реально вводимых данных.
- Централизованный мониторинг. DeviceLock Enterprise Server позволяет контролировать текущее состояние агентов на удаленных компьютерах. DeviceLock Enterprise Server может периодически опрашивать удаленные компьютеры и сохранять в журнал мониторинга текущее состояние, версию и сведения о настройках каждого агента. Кроме того, DeviceLock Enterprise Server сравнивает текущие политики безопасности (настройки) агентов на указанных администратором компьютерах с эталонными политиками, сохраненными в XML-файл, и записывает информацию о выявленных отклонениях в журнал мониторинга. При этом возможна автоматическая замена текущих политик безопасности на эталонные.
- Обновление настроек на отключенных от сети компьютерах. DeviceLock позволяет безопасно обновлять настройки агентов на отключенных от сети компьютерах путем создания файлов с настройками и передачи их пользователям, чьи компьютеры не подключены к сети и находятся вне досягаемости консолей управления. Для предотвращения неавторизованных изменений в настройках эти файлы могут быть подписаны при помощи электронной цифровой подписи.
- Отчеты. DeviceLock позволяет формировать графические отчеты на основе данных из журналов аудита и теневого копирования, хранимых на сервере DeviceLock Enterprise Server. Эти отчеты могут быть автоматически высланы по электронной почте на указанный адрес. Также DeviceLock позволяет формировать отчеты по установленным настройкам, применяемым на агентах DeviceLock, и по Plug-n-Play устройствам (USB, FireWire и PCMCIA), которые используют пользователи на своих локальных компьютерах.
- Контроль пропускной способности сети. DeviceLock может определять баланс своего сетевого трафика, позволяя вам ограничивать пропускную способность сети для данных аудита и теневого копирования идущих от агентов на DeviceLock Enterprise Server.
- Компрессия данных при передаче по сети. DeviceLock может использовать потоковое сжатие данных аудита и теневого копирования, пересылаемых с удаленных агентов на DeviceLock Enterprise Server, для уменьшения объема передаваемой по сети информации и снижения нагрузки на сеть.
- Автоматический выбор оптимального сервера. Для передачи данных аудита и теневого копирования, агенты могут выбирать из своих списков наиболее быстрые из доступных серверов.