контроль использования интернет-ресурсов
Интернет стал рабочим инструментом, без которого уже невозможно представить себе повседневную деятельность множества людей. Это и глобальная справочно-информационная система, и способ доступа к технологиям, и транспорт для передачи данных, и, наконец, оперативное и доступное средство коммуникации.
риски, связанные с использованием Интернет-ресурсов
Одной из особенностей Интернета является то, что на определенном этапе он развивался стихийно. Это, с одной стороны, обеспечило массовый характер его использования, а с другой — породило ряд проблем с серьезными последствиями.
Первое: поскольку Интернет является каналом во внешний мир, он стал основным источником распространения вредоносного мобильного кода (вирусов, червей, троянских программ).
Второе: глобальная сеть стала использоваться в качестве канала, через который осуществляются атаки на локальные вычислительные сети организаций, отдельные серверы и компьютеры. Многие Интернет-ресурсы включают в себя различный программный код — JavaScript, Flash, ActiveX и другие. Злоумышленники могут эксплуатировать этот код для организации атак на корпоративные сети и пользовательские рабочие места.
Третье: в настоящее время Интернет может рассматриваться как один из основных каналов утечки конфиденциальной информации. Например, информационные ресурсы компаний подвергаются серьезным угрозам из-за использования сотрудниками этих компаний бесплатных почтовых ящиков. Согласно статистике, в среднем 80% сотрудников различных компаний помимо внутренних корпоративных почтовых адресов активно используют бесплатные почтовые ящики, предоставляемые различными провайдерами. Имея доступ к Интернету со своего рабочего места и зная, что канал не контролируется, любой пользователь может беспрепятственно отправить за пределы организации любую конфиденциальную информацию. Но даже понимая это, только каждая четвертая компания запрещает использовать бесплатные почтовые сервисы, а три четверти позволяют своим сотрудникам решать, как и какую информацию отправить за пределы компании.
Четвертое: бесконтрольный доступ к Интернету значительно снижает производительность труда в коллективе. Простота освоения, легкость поиска необходимой информации и другие полезные качества Интернета — вот причины того, что данный сервис широко применяется, в том числе и для личных целей. Не секрет, что у многих уже давно появилась привычка начинать рабочий день с чтения новостей, просмотра сводок погоды и т.п. По данным компании IDC, около трети своего рабочего времени сотрудники различных организаций и компаний проводят в Интернете в целях, не имеющих прямого отношения к их работе. Это и "походы" в Интернет-магазины, и сетевые игры, и просто поиск информации.
Наконец, еще одно следствие неконтролируемого использования Интернета — это снижение пропускной способности сети. Согласно статистике, 44% сотрудников организаций используют корпоративные ресурсы для просмотра видео, прослушивания аудиозаписей (через потоковые аудио- и видеоканалы), играют в сетевые игры, загружают файлы большого объема (например, файлы мультимедиа: графические, музыкальные файлы, фильмы и т.п.), что создает значительную нагрузку на локальные вычислительные сети.
решение проблемы
Проблему безопасного и продуктивного использования Интернет-ресурсов можно решить двумя способами. Первый — радикальное запрещение использования Интернета без необходимости. Если принят принцип "запрещено все, что явно не разрешено", пользователям разрешается доступ только к строго определенным сайтам. Второй способ — более гибкий, он позволяет пользователям действовать по принципу "разрешено все, что не запрещено". В этом случае сотрудник может свободно пользоваться ресурсами Интернета, однако его действия находятся под контролем. Это значит, что если пользователь выполнит действия, противоречащие политике безопасности, это будет обнаружено и пресечено.
В настоящее время "радикальный" способ по-прежнему находит применение. Он используется, в первую очередь, организациями, в которых циркулирует информация с грифом "секретно". К таким организациям относятся различные научно-исследовательские институты, военные организации, государственные органы и специальные службы. В таких "секретных" организациях существуют инструкции и документы, которые строго регламентируют поведение пользователей, связанное с получением информации и ее передачей за пределы организации. А это значительно облегчает деятельность контролирующих служб по обеспечению должного уровня защиты.
Другой пример "радикального" способа — применение в компаниях так называемых Интернет-киосков, когда пользователям предоставляется доступ к Интернет-ресурсам через выделенные терминалы. Как правило, в этом случае действия пользователей строго регламентируются, а трафик, проходящий через данный терминал, контролируется специальными средствами.
Большинство же коммерческих организаций и компаний предпочитают более гибкий способ регламентации общения с внешним миром. Далее рассматривается именно этот способ, поскольку именно при его применении возникают существенные проблемы. И состоят они в том, что практически невозможно однозначно определить, к какой информации следует запретить доступ.
Чтобы обеспечить гибкий контроль использования Интернет-ресурсов, необходимо ввести в компании соответствующую политику использования ресурсов. Эта политика может реализовываться как "вручную", так и автоматически. Ручная реализация означает, что в организации имеется специальный штат сотрудников, которые в режиме реального времени или по журналам маршрутизаторов, прокси-серверов или межсетевых экранов ведут мониторинг активности пользователей. Естественно, такой мониторинг является проблематичным, поскольку требует больших трудозатрат. Кроме того, он требует не только отслеживания активности пользователя, но и категоризации сайтов, которые посещают пользователи, а провести работу по категоризации сайтов силами сотрудников ИТ-подразделения отдельной компании практически невозможно.
Чтобы избежать описанных выше проблем и обеспечить гибкий контроль использования Интернет-ресурсов, компания должна дать администратору инструмент для реализации политики использования ресурсов компании. Этой цели служит так называемая контентная фильтрация (contenttent filtering, используются также термины "фильтрация по содержимому" и "технология контроля содержимого информационного обмена"). Ее суть заключается в декомпозиции объектов информационного обмена на компоненты, анализе содержимого этих компонентов, определении соответствия их параметров принятой в компании политике использования Интернет-ресурсов и осуществлении определенных действий по результатам такого анализа. В случае фильтрации веб-трафика под объектами информационного обмена подразумеваются веб-запросы, содержимое веб-страниц, передаваемые по запросу пользователя файлы и т.д.
Существует множество программных продуктов, предназначенных для контроля содержимого информационного обмена. Все они в той или иной степени выполняют возложенную на них задачу. Однако необходимо иметь в виду, что никакая автоматическая система не дает 100% гарантии безопасности без деятельного участия человека в процессе фильтрации. Любая технология — только дополнительный инструмент в руках администратора. И от того, насколько система адекватна задачам, которые ставит перед собой администратор, будет зависеть, удастся ли снизить уровень рисков, связанных с использованием Интернета.
средства контроля использования Интернет-ресурсов
В этом разделе кратко описаны имеющиеся на рынке средства фильтрации веб-трафика. Эти средства можно условно разделить по типам и методам фильтрации. В настоящее время известно три типа средств, способных в той или иной степени обеспечить контроль использования Интернет-ресурсов на корпоративном уровне.
К первому типу относятся межсетевые экраны, прокси-серверы, маршрутизаторы и подобные им средства фильтрации.
Второй тип — это современные антивирусные программы, обладающие базовыми возможностями контентной фильтрации.
К третьему типу относятся специализированные средства, разработанные непосредственно для контроля использования Интернет-ресурсов.
Каждый тип средств контроля использования Интернет-ресурсов предназначен для фильтрации на разных уровнях сетевой иерархии. Средства первого и второго типов напрямую не предназначены для контроля содержимого информационного обмена по каналам Интернета. Так, межсетевые экраны, прокси- серверы и маршрутизаторы осуществляют фильтрацию трафика на сетевом и транспортном уровнях. Специализированные средства контентной фильтрации осуществляют ее на прикладном уровне. Если говорить об антивирусных программах, то со средствами третьего типа их объединяет именно способность осуществлять некоторые базовые функции контентной фильтрации.
В общем, средства первого и второго типов можно считать достаточно эффективными для компаний, в которых контроль содержимого информационного обмена не является первостепенной задачей (например, там, где конфиденциальная информация не циркулирует в корпоративной сети). В организациях же, где активно используется Интернет и при этом актуальны задачи контроля доступа пользователей к Интернет-ресурсам и защиты от утечки конфиденциальной информации, применение таких средств недостаточно. Это обусловлено следующими недостатками средств первого и второго типов:
- ограниченное количество параметров, по которым возможна фильтрация трафика /* В современных файрволлах? Ой ли? ;) – прим. ред. */; - ограниченные возможности по фильтрации текста в запросах пользователей и загружаемых страницах;
- невозможность декомпозиции объектов информационного обмена, следовательно, отсутствие более глубокой фильтрации (например, тип файлов определяется по декларированному, а значит, не обязательно реальному расширению, при этом отсутствуют средства для определения реального типа файла по сигнатуре);
- отсутствие необходимой гибкости при реализации политики использования Интернет-ресурсов;
- отсутствие функциональности, обеспечивающей контентную фильтрацию. Например, не все межсетевые экраны и прокси-серверы поддерживают контроль передаваемых данных на уровне команд протоколов.
Специализированные программные средства контроля использования Интернет-ресурсовпредназначены для проверки передаваемых данных на соответствие тем или иным условиям информационного обмена и выполнения соответствующих действий по итогам проверки. Программное обеспечение этого типа можно разделить по месту использования на клиентское и серверное. Клиентское программное обеспечение работает на каждой рабочей станции, где требуется обеспечить контроль использования Интернет-ресурсов.
Применение клиентского программного обеспечения в организациях неэффективно, исключая отдельные специфические случаи. Клиентское программное обеспечение постоянно работает на компьютере пользователя и ненадежно с точки зрения безопасности, поскольку потенциально его конфигурация и настройки могут быть искажены (подделаны) опытным пользователем или специализированным вредоносным кодом. Кроме того, такое программное обеспечение требует больших трудозатрат на настройку и сопровождение, поскольку эти операции осуществляются для каждой рабочей станции в отдельности.
В корпоративной среде наиболее эффективно применение программного обеспечения, функционирующего на выделенном сервере, поскольку оно разработано специально для использования в корпоративных сетях и наиболее полно соответствует требованиям по функциональности и безопасности. К таким требованиям относятся:
- централизованное размещение (обеспечивает удобство установки, настройки и сопровождения);
- размещение на сервере и ограничение доступа к настройкам ПО (обеспечивает безопасность, поскольку исключена возможность изменения настроек пользователями).
классификация корпоративных средств контроля использования Интернет-ресурсов
Далее рассматриваются серверные (а значит, корпоративные) средства фильтрации веб-трафика. Говоря об их классификации, необходимо выделить основные признаки, по которым они различаются:
- используемые методы фильтрации;
- место размещения в инфраструктуре сети и способ воздействия на трафик (технологии pass-by и pass-through);
- возможность выбора режима функционирования — standalone (автономные) и integrated (встраиваемые);
- глубина политики фильтрации;
- подход к оповещению о действиях пользователей;
- возможность генерации различных видов отчетов по данным фильтрации.
Когда говорят о классификации по методам фильтрации, классы определяются набором параметров, по которым производится проверка содержимого информационного обмена. Системы используют различные наборы проверок в зависимости от возложенных на средства фильтрации задач.
Наиболее типичны и распространены системы, в которых основным способом фильтрации веб-трафика является проверка адресов Интернет-ресурсов (URL). Конечно, эти системы применяют и другие способы (фильтрация по командам протоколов, именам пользователей, IP-адресам рабочих станций и типам файлов), однако именно результат проверки адреса сайта служит основанием для решения о блокировании сайта. Такие системы, как правило, фильтруют только запросы пользователей, не проверяя загружаемые сайты на наличие запрещенного политикой безопасности содержимого.
Существуют системы, в которых реализован комплексный подход к фильтрации трафика. В них проверки равноценны по значимости, а состав набора проверок определяется задачами, возлагаемыми на систему контроля. Отличием таких систем является то, что они обладают наиболее широким набором проверок, среди которых одной из важнейших является проверка содержания текста запросов и сайтов.
Существующие системы различаются по месту размещения в корпоративной сети. Их можно разделить на две крупные группы — работающие как прокси- серверы (технология pass-through) и работающие как анализаторы пакетов (packet sniffer), перехватывающие пакеты нужных протоколов и проверяющие их на наличие запрещенного содержимого (технология pass-by).
Системы, использующие технологию pass-through, работают как обычные HTTP-прокси. Как правило, их устанавливают между клиентскими местами и внешним прокси-сервером или межсетевым экраном. Клиентские места должны быть настроены так, чтобы они использовали нужный прокси-сервер. К достоинствам систем, использующих технологию pass-by, можно отнести их прозрачность для пользователя и возможность установки без перенастройки клиентских мест. Недостатком является то, что они не всегда могут справляться с большим потоком данных, передаваемых по контролируемым протоколам.
Говоря о режимах функционирования системы, различают автономные (standalone) и встраиваемые решения (integrated). Автономные системы, устанавливаемые "в разрыв" и работающие независимо от других подсистем, более надежны с точки зрения качества фильтрации.
В них возможность ошибок при фильтрации снижена до минимума за счет полного контроля над передаваемыми данными. Обычно такие решения используются совместно с внешними прокси-серверами в целях увеличения скорости доступа за счет кэширования данных.
Некоторые компании поставляют программное обеспечение для контроля использования Интернет-ресурсов в виде встраиваемых модулей к существующим прокси-серверам или межсетевым экранам. Достаточно часто модули фильтрации создаются для широко используемого прокси-сервера Microsoft ISA. Кроме того, некоторые системы фильтрации поставляются в виде отдельных серверов, а доступ к ним осуществляется по протоколу ICAP, который является стандартом для контроля и модификации запросов и ответов, проходящих через прокси-сервер, поддерживающий данный протокол. Достаточно часто в виде ICAP-серверов реализуются антивирусные комплексы (Symantec Antivirus, Dr.Web, TrendMicro). К достоинствам продуктов, реализованных в виде таких серверов, можно отнести то, что они могут взаимодействовать с разными типами прокси-серверов и межсетевых экранов, которые реализуют функцию клиента ICAP, а также то, что серверы могут выполнять проверку только определенных типов данных. Недостатком этого подхода следует считать то, что при использовании протокола ICAP сервер фильтрации может не иметь полного контроля над передаваемыми данными.
как выбирать систему?
Каков же определяющий фактор при выборе средств фильтрации веб-трафика? Ответ прост — функциональность. Именно этим и различаются представленные на рынке средства контроля использования Интернет-ресурсов. А вот какую именно функциональность выбрать, зависит от задач, стоящих перед организацией.
В идеале специализированные средства фильтрации веб-трафика должны реализовывать следующие функции:
- проверка адресов Интернет-ресурсов;
- проверка текстов в передаваемом потоке на наличие запрещенного содержимого (по возможности, с извлечением текста из файлов разных форматов, таких как Microsoft Word/Excel и т.п.);
- антивирусная проверка;
- проверка типов передаваемых данных;
- проверка объема передаваемых данных/предоставление квот на загрузку;
- проверка присвоенной сайту категории;
- проверка сайта на соответствие определенному рейтингу;
- проверка прав доступа пользователей с помощью различных методов аутентификации;
- проверка времени доступа пользователей к разным категориям ресурсов/предоставление временных квот;
- поддержка фильтрации HTTPS-трафика;
- определение разных политик фильтрации для разных направлений передачи данных;
- определение разных политик фильтрации для разных групп пользователей;
- модификация или замена передаваемых данных;
- уведомление администраторов безопасности о нарушении политики безопасности;
- сохранение всего или части исходящего из организации трафика с возможностью последующего анализа;
- возможность анализа качества и эффективности политики использования Интернет-ресурсов;
- возможность масштабирования системы контроля.
проверка адресов Интернет-ресурсов
Один из основных способов фильтрации веб-трафика — фильтрация по URL. Используя данный способ фильтрации, можно запретить доступ как ко всему сайту или домену, так и к его части или отдельной странице. Рекомендуется выбирать средства фильтрации, которые способны обеспечить блокировку доступа и в том случае, когда пользователь вместо полного URL указывает только IP-адрес сервера.
Системы контроля использования Интернет-ресурсов, применяющих данный способ фильтрации, используют специальный сервис по категоризации сайтов. Такой сервис предоставляется по подписке провайдерами Интернет-услуг или компаниями, производящими системы контроля использования Интернет- ресурсов. Основу сервиса составляет база данных URL, которая постоянно обновляется и пополняется. Эта работа производится в специальных лабораториях и позволяет создавать актуальную и относительно полную базу данных адресов Интернет-ресурсов. При выборе системы контроля использования Интернет-ресурсов необходимо учитывать, входит ли в поддержку такой системы предоставление сервиса категоризации. Наиболее ценной при этом является функция категоризации сайтов по запросу. Она включает в себя обязательную организацию обратной связи между клиентом и компанией, занимающейся категоризацией. Это позволяет клиенту в случае появления нового сайта, не указанного в базе данных URL, посылать запрос на категоризацию данного сайта и включать его в базу данных URL. Для доступа к базам данных URL, как правило, используется специальное клиентское ПО.
Основной недостаток метода проверки адресов Интернет-ресурсов заключается в том, что базы данных URL заведомо неполны из-за огромной скорости расширения сети Интернет. Ежедневно возникают сотни новых веб-ресурсов, к которым могут получать доступ пользователи. Отследить появление доменов второго уровня типа www.mysite.ru вполне возможно с помощью баз данных регистраторов. Но как отследить домены третьего, четвертого и всех остальных уровней? Как часто бывает, содержание поддоменов и каталогов (например, www.mysait.ru/soft, sport.myportal.ru) часто не соответствует тематике главной страницы и должно быть отнесено к другой категории.
Многие системы контроля доступа к Интернет-ресурсам используют проверку адреса сайта как основную для принятия решения о его блокировании. Однако необходимо иметь в виду, что Интернет — очень быстро меняющаяся среда. Даже такие гиганты веб-поиска, как Google, Altavista или Yahoo, зачастую "не знают" и половины всех существующих ресурсов. Сайты часто меняют свое содержание или местоположение, да и новые страницы появляются с поражающей быстротой. Все это обуславливает крайне низкую эффективность фильтрации по адресам Интернет-ресурсов. Выбирая систему фильтрации, необходимо учитывать то, что анализ веб-трафика должен быть комплексным и включать если не все, то большинство из перечисленных выше проверок. В частности, это касается проверки запросов на наличие запрещенного содержимого.
проверка текстов на наличие запрещенного содержимого
Качество фильтрации значительно повышается за счет контроля веб-трафика на наличие запрещенного содержимого в текстах. Здесь подразумевается проверка на наличие ключевых слов и выражений. Очень важно, чтобы анализировалось содержание не только страниц сайтов, но и запросов пользователей или любой другой передаваемой ими по сети информации. Это, например, необходимо при контроле переписки пользователей, использующих бесплатные почтовые ящики.
Практика показала, что наиболее эффективны системы, использующие так называемый нейро-лингвистический анализ текста. В данном случае речь идет о подходе к реализации ряда функций автоматической обработки, основанном на использовании ассоциативной семантической сети для оценки сверхфразового строения текста.
Кроме того, обычная проверка наличия определенного текста по словарям не должна состоять только из простого сравнения. Качество фильтрации значительно повышается при использовании методики, согласно которой словам и выражениям присваиваются весовые категории. Это обеспечивает гибкость при фильтрации по ключевым словам и выражениям.
Одним из основных критериев оценки систем контентной фильтрации для русскоязычных пользователей является поддержка продуктом различных кодировок кириллицы. Большинство продуктов иностранного производства не поддерживают кодировки кириллицы, а это значительно снижает пользу от их применения. Ситуация усложняется еще и тем, что разные части загружаемых сайтов могут иметь различные кодировки. Вдобавок эти кодировки не всегда указаны верно. Большинство систем определяет кодировку по MIME-типу, что приводит к ошибкам. На помощь приходит технология эвристического анализа, то есть специальные алгоритмы анализа последовательности символов, типичных для той или иной кодировки. Такой анализ позволяет практически стопроцентно определить, в какой кодировке написан текст.
проверка прав доступа пользователей
Выбор системы контроля веб-трафика зависит от того, способна ли система обеспечить проверку прав доступа пользователей. Но обычно такая проверка осуществляется либо внутренними средствами, либо с помощью интегрированной подсистемы аутентификации.
Таким образом, аутентификация пользователей может производиться следующими способами:
- с использованием различных методов аутентификации: RADIUS, TACACS+, NTLM, LDAP;
- с использованием различных баз данных и служб каталогов: Java System Directory Server (Sun Microsystems), Active Directory (Microsoft), eDirectory (Novell);
- с использованием различных внутренних и внешних баз данных.
антивирусная проверка
Одна из основных задач, возлагаемых на средства контентной фильтрации, — защита от вирусов. Такая защита может осуществляться как встроенными средствами, так и с помощью внешних систем. При выборе систем контроля использования Интернет-ресурсов необходимо учитывать, использует ли данная система результаты антивирусной проверки при дальнейшем анализе трафика. Наличие такой функции позволяет адаптировать политику использования Интернет-ресурсов и избегать, например, загрузки данных с тех сайтов, откуда ранее был получен вредоносный мобильный код.
проверка типов передаваемых данных
Ограничение по типам передаваемых данных может иметь важное значение для многих организаций. Так, можно установить запрет на отправку за пределы организации данных в форматах, отличных от простого текста, например, файлов Microsoft Word и Excel, которые могут содержать важную информацию. При этом тип файла не должен определяться по информации, указанной в запросе или ответе, то есть по расширению файла или MIME-типу, указанному сервером. Для точной обработки данных система контроля должна определять тип файла по его сигнатуре. Требование определения типа файла по сигнатуре обусловлено еще и тем, что большинство веб-серверов при передаче данных объявляют MIME-тип, ориентируясь на расширение файла, что может быть неправильным из-за неверного указания типа в файле соответствий или переименования файла пользователем.
проверка размера передаваемых данных/квоты на загрузку файлов
Для обеспечения нормальной работы каналов передачи данных может потребоваться ограничение объемов данных, загружаемых пользователями, поскольку при передаче больших файлов пользователь может занять весь канал, из-за чего доступ других пользователей будет затруднен. Поэтому система контроля должна иметь возможность ограничивать объем передаваемых данных или ограничивать полосу пропускания, выделяемую для отдельного пользователя.
На практике это выглядит следующим образом: устанавливается предельный объем данных, который разрешается ежедневно загружать пользователям (при необходимости пользователи оповещаются об этом). Реализовать данную функциональность помогает квотирование по объему передаваемого трафика. Это дает пользователю возможность самому следить за размером загружаемых файлов.
проверка присвоенной сайту категории
Производители ПО, как правило, предоставляют услугу категоризации сайтов в качестве одного из элементов технической поддержки продукта. Категоризация осуществляется непосредственно в лингвистических лабораториях производителей и предоставляется по подписке.
Выбирая провайдера данных услуг, важно учитывать полноту и объемы предоставляемых баз данных категорированных сайтов. При этом необходимо, чтобы категоризация осуществлялась с учетом области деятельности заказчика и его представления о том, к какой категории следует относить тот или иной сайт. Ведь один и тот же Интернет-ресурс разными заказчиками может быть отнесен к различным категориям. Например, для банка сайт Интернет- магазина не может представлять информационной ценности, тогда как оптовые компании постоянно используют подобные ресурсы в своей повседневной деятельности.
Серьезным недостатком услуги категоризации является жесткая привязка Интернет-ресурса к его категории. То есть один и тот же ресурс не может принадлежать к нескольким категориям. Но иногда при построении гибкой политики использования Интернет-ресурсов в этом возникает необходимость. В частности, в одной и той же компании в соответствии с политикой безопасности доступ к определенному ресурсу может быть разрешен одним пользователям и запрещен другим.
проверка времени доступа к ресурсам/предоставление временных квот
Простой запрет доступа к некоторым ресурсам неудобен в тех случаях, когда требуется предоставить пользователю доступ к ресурсам, но только в определенное время, например, разрешить загружать большие файлы с обновлениями программ только в вечернее время, когда повышенная загрузка каналов из-за большого объема передачи не вызовет затруднений при доступе в Интернет других пользователей. Поэтому в системах контроля доступа к Интернет-ресурсам должны присутствовать средства, обеспечивающие запрещение или разрешение доступа к определенным ресурсам в определенное время, то есть по расписанию.
Кроме того, в некоторых случаях необходимо выделить пользователям квоты на использование определенных Интернет-ресурсов. Например, за день разрешается провести на новостных сайтах 30 минут. Пользователь может сделать это сразу, выбрав свою дневную квоту, а может читать новости 6 раз по 5 минут в течение дня. Некоторые средства контроля использования Интернет-ресурсов располагают такой возможностью, что значительно повышает производительность труда сотрудников. При этом сохраняется демократичный подход, который благотворно сказывается на климате в коллективе.
политика фильтрации для разных направлений передачи данных
Чтобы создаваемая политика доступа к Интернет-ресурсам была эффективной, средства контроля должны обеспечивать возможность задавать разные условия проверки для разных направлений передачи данных и команд протоколов. При наличии такой функциональности можно, например, запретить передачу документов Microsoft Word из организации, при этом разрешая загружать документы этого формата. Эту функциональность можно использовать не только для контроля типов данных, но и для проверки содержимого на наличие запрещенных слов или объема передаваемых данных.
Многие из имеющихся на рынке систем обеспечивают фильтрацию только исходящего трафика, то есть запросов пользователя, совершенно не уделяя внимания проверке информации, загружаемой на стороне клиента. Это в значительной степени снижает гибкость реализуемой политики использования Интернет-ресурсов, поскольку требует жесткого ограничения доступа пользователей к сайтам. Существуют сайты, на которых часть информации может относиться к категории запрещенной, а часть — к разрешенной. Именно на этапе ответа на запрос пользователя возможно разделение на запрещенное и разрешенное содержание. При этом полезна возможность модификации данных, речь о которой пойдет в следующем разделе.
модификация или замена передаваемых данных
Иногда полезно предоставить пользователю доступ к данным, например, к странице на веб-сервере, но удалить из этих данных какую-либо часть, которая нарушает политику безопасности или может привести к проникновению вредоносного кода в корпоративную сеть. Хороший пример такого подхода — анализ на предмет потенциальной опасности JavaScript, находящегося на странице, и удаление соответствующих частей страницы. Чтобы исключить возможность описанных выше нарушений, системы контроля должны иметь в своем составе средства замены и модификации передаваемых данных.
политика фильтрации для разных групп пользователей
Средство контроля доступа должно различать пользователей, доступ которых к внешним ресурсам оно контролирует. Если при этом система контроля позволяет привязать к пользователю или группе пользователей отдельную политику безопасности, то такой инструмент поможет создать гибкую политику безопасности, что обеспечит эффективную работу с передаваемыми данными. Кроме того, необходима возможность создания правил, которые будут применяться ко всем пользователям, например, правила для проверки передаваемых данных на наличие вредоносного содержимого.
поддержка фильтрации HTTPS-трафика
Многие сайты для обеспечения безопасности передаваемых данных (таких как пароли, номера кредитных карт и т.п.) предлагают пользователю доступ к сайту по протоколу HTTPS, который шифрует все передаваемые данные.В настоящее время некоторые сайты, предоставляющие бесплатные почтовые ящики, тоже стали предлагать доступ по протоколу HTTPS. Для организации такая услуга может оказаться достаточно серьезной опасностью, поскольку через этот канал может произойти утечка конфиденциальной информации. Поэтому система контроля веб-трафика должна поддерживать обработку зашифрованных данных.
система уведомлений о нарушении политики безопасности
Оповещение администратора о нарушениях политики безопасности и прочих событиях является достаточно важной частью системы контроля доступа пользователей к Интернет-ресурсам. В различных системах подсистемы оповещения отличаются друг от друга.
В зависимости от настройки системы оповещаться о нарушениях политики может либо администратор, либо пользователь. Обычно пользователю выдается специальным образом оформленная страница с сообщением о том, что ресурс, к которому пользователь обращается, входит в список запрещенных. Такое действие системы называется "уведомление с подтверждением" и является довольно значимой функцией, позволяющей предотвратить ошибочные действия пользователей, не прибегая к помощи администратора и не используя дополнительных ресурсов системы. Оповещение администратора безопасности может производиться различными способами:
- по электронной почте;
- через интерфейсы к внешним подсистемам оповещения (SNMP, SMS, и т.п.);
- путем мониторинга в режиме реального времени.
Мониторинг в режиме реального времени предполагает интерактивный просмотр событий, происходящих в системе. Он реализуется во многих системах контроля веб-трафика и позволяет в режиме реального времени наблюдать за работой пользователей, а также просматривать сетевой трафик в момент его прохождения, выявляя проблемные соединения.
Такой мониторинг требует многоуровневой настройки и включает следующие параметры: страницы, категории, разрешенные/запрещенные страницы, имена пользователей. Цветовая маркировка позволяет быстро определить, к какой категории принадлежит сайт. Кроме прочего, такой мониторинг позволяет в случае необходимости оперативно модифицировать политику безопасности.
возможность последующего анализа трафика
Для администратора системы контроля трафика может быть полезной возможность анализа переданных данных уже после их передачи. В первую очередь это может касаться данных, переданных из организации во внешний мир. Например, система контроля может сохранять данные, переданные с помощью команды POST протокола HTTP в базу данных или в файлы на диске, и предоставлять администратору интерфейс для последующего их анализа. Имея такой инструмент, администратор может корректировать политику безопасности или анализировать передаваемую информацию.
В отношении данных, получаемых из внешних источников, такая функциональность, возможно, неэффективна из-за их большого объема. Однако может быть полезен контроль передаваемых данных для отдельных групп сотрудников. Но анализ большого количества данных может оказаться очень трудоемкой работой и должен производиться только в редких случаях.
способы представления статистических данных
Применение системы контроля использования Интернет-ресурсов нельзя представить без анализа событий, происходящих в системе. Администраторам необходимо оперативно получать информацию о текущем состоянии системы, а также сводные отчеты об использовании Интернет-ресурсов пользователями или группами пользователей. Такая информация позволяет не только контролировать использование Интернет-ресурсов, но и проверять эффективность политики безопасности и динамически адаптировать ее к изменяющимся условиям и задачам. Поэтому в большинстве существующих средств контроля использования Интернет-ресурсов есть возможность формирования статистических отчетов, а также интерактивного наблюдения за доступом к внешним ресурсам.
Существует несколько способов представления статистических данных о трафике. Первый способ предполагает использование внутренних возможностей продукта, то есть встроенной системы генерации отчетов. Как правило, в состав такой системы входят подсистема генерации отчетов и база данных, в которую в виде журналов записывается вся информация о событиях, а также некоторые запросы пользователей (например, команды POST). С помощью внутренних средств производятся SQL-запросы к базе данных, результаты которых дают наглядную картину трафика и действий пользователей. При этом могут создаваться типовые запросы (например, "100 часто загружаемых сайтов", "100 пользователей, переславших наибольшие объемы данных за указанный период", "100 самых активных пользователей" и т.п.) с изменяемыми параметрами (например, по дате и времени).
Другой способ предполагает получение отчетов с помощью стандартных средств, таких как Crystal Reports, Oracle Reports и т.п. Эти средства интегрируются с системой контроля использования Интернет-ресурсов и тоже используют базу данных, которая создается в результате фильтрации трафика. Способность интегрироваться с различными стандартными средствами создания отчетов и должна определять выбор системы контроля веб-трафика.
Имеющиеся на рынке системы контроля также различаются по возможностям представления отчетов в различных форматах. К наиболее популярным форматам можно отнести PDF, HTML, MS Word, MS Excel, MS Access.
Достоинством систем контентной фильтрации является наличие такой функциональностикак возможность удаленного просмотра отчетов через Интернет. При этом важно, чтобы такой доступ был обеспечен по закрытым каналам, поскольку данная информация во многих случаях является конфиденциальной. И наконец, достоинством систем контроля использования Интернет-ресурсов, которые имеют возможность накапливать статистическую информацию и обрабатывать ее, является способность вести историю использования Интернет-ресурсов конкретным пользователем или группой пользователей за определенный период с указанием объема передаваемых данных.
проверка сайта на соответствие определенному рейтингу
Некоторые компании предлагают сервис, который выставляет тому или иному сайту определенный рейтинг. Автоматическая система стандартизации, такая, как, например, PICS (Platform for Internet Content Selection)от W3C) встраивает в данные, доступные на сайте, специальную метку, которая может учитываться как серверными программами, так и обычными браузерами. На основе данных рейтингов можно обеспечивать управление доступом к различным Интернет-ресурсам.
возможность масштабирования системы контроля
В связи с ростом пропускной способности Интернет-каналов становится важным вопрос о масштабировании системы контроля веб-трафика. Должна быть предусмотрена возможность расширения пропускной способности системы контроля, ее размещения на нескольких серверах для балансировки нагрузки и обеспечения безотказной работы. При использовании многомашинной конфигурации выход из строя одного из серверов не приведет к отказу всего сервиса, что значительно повышает надежность системы.
Кроме того, масштабирование системы может предусматривать разнесение выполняемых задач на разные серверы. Например, мониторинг содержимого информационного обмена является ресурсоемкой задачей, поэтому выделение специального сервера под выполнение данной задачи значительно снизит нагрузку на систему в целом.
Олег Слепов, консультант по информационной безопасности, Алексей Отт, ведущий разработчик программного обеспечения, "Инфосистемы Джет".
Олег Слепов, консультант по информационной безопасности, Алексей Отт, ведущий разработчик программного обеспечения, "Инфосистемы Джет".
риски, связанные с использованием Интернет-ресурсов
Одной из особенностей Интернета является то, что на определенном этапе он развивался стихийно. Это, с одной стороны, обеспечило массовый характер его использования, а с другой — породило ряд проблем с серьезными последствиями.
Первое: поскольку Интернет является каналом во внешний мир, он стал основным источником распространения вредоносного мобильного кода (вирусов, червей, троянских программ).
Второе: глобальная сеть стала использоваться в качестве канала, через который осуществляются атаки на локальные вычислительные сети организаций, отдельные серверы и компьютеры. Многие Интернет-ресурсы включают в себя различный программный код — JavaScript, Flash, ActiveX и другие. Злоумышленники могут эксплуатировать этот код для организации атак на корпоративные сети и пользовательские рабочие места.
Третье: в настоящее время Интернет может рассматриваться как один из основных каналов утечки конфиденциальной информации. Например, информационные ресурсы компаний подвергаются серьезным угрозам из-за использования сотрудниками этих компаний бесплатных почтовых ящиков. Согласно статистике, в среднем 80% сотрудников различных компаний помимо внутренних корпоративных почтовых адресов активно используют бесплатные почтовые ящики, предоставляемые различными провайдерами. Имея доступ к Интернету со своего рабочего места и зная, что канал не контролируется, любой пользователь может беспрепятственно отправить за пределы организации любую конфиденциальную информацию. Но даже понимая это, только каждая четвертая компания запрещает использовать бесплатные почтовые сервисы, а три четверти позволяют своим сотрудникам решать, как и какую информацию отправить за пределы компании.
Четвертое: бесконтрольный доступ к Интернету значительно снижает производительность труда в коллективе. Простота освоения, легкость поиска необходимой информации и другие полезные качества Интернета — вот причины того, что данный сервис широко применяется, в том числе и для личных целей. Не секрет, что у многих уже давно появилась привычка начинать рабочий день с чтения новостей, просмотра сводок погоды и т.п. По данным компании IDC, около трети своего рабочего времени сотрудники различных организаций и компаний проводят в Интернете в целях, не имеющих прямого отношения к их работе. Это и "походы" в Интернет-магазины, и сетевые игры, и просто поиск информации.
Наконец, еще одно следствие неконтролируемого использования Интернета — это снижение пропускной способности сети. Согласно статистике, 44% сотрудников организаций используют корпоративные ресурсы для просмотра видео, прослушивания аудиозаписей (через потоковые аудио- и видеоканалы), играют в сетевые игры, загружают файлы большого объема (например, файлы мультимедиа: графические, музыкальные файлы, фильмы и т.п.), что создает значительную нагрузку на локальные вычислительные сети.
решение проблемы
Проблему безопасного и продуктивного использования Интернет-ресурсов можно решить двумя способами. Первый — радикальное запрещение использования Интернета без необходимости. Если принят принцип "запрещено все, что явно не разрешено", пользователям разрешается доступ только к строго определенным сайтам. Второй способ — более гибкий, он позволяет пользователям действовать по принципу "разрешено все, что не запрещено". В этом случае сотрудник может свободно пользоваться ресурсами Интернета, однако его действия находятся под контролем. Это значит, что если пользователь выполнит действия, противоречащие политике безопасности, это будет обнаружено и пресечено.
В настоящее время "радикальный" способ по-прежнему находит применение. Он используется, в первую очередь, организациями, в которых циркулирует информация с грифом "секретно". К таким организациям относятся различные научно-исследовательские институты, военные организации, государственные органы и специальные службы. В таких "секретных" организациях существуют инструкции и документы, которые строго регламентируют поведение пользователей, связанное с получением информации и ее передачей за пределы организации. А это значительно облегчает деятельность контролирующих служб по обеспечению должного уровня защиты.
Другой пример "радикального" способа — применение в компаниях так называемых Интернет-киосков, когда пользователям предоставляется доступ к Интернет-ресурсам через выделенные терминалы. Как правило, в этом случае действия пользователей строго регламентируются, а трафик, проходящий через данный терминал, контролируется специальными средствами.
Большинство же коммерческих организаций и компаний предпочитают более гибкий способ регламентации общения с внешним миром. Далее рассматривается именно этот способ, поскольку именно при его применении возникают существенные проблемы. И состоят они в том, что практически невозможно однозначно определить, к какой информации следует запретить доступ.
Чтобы обеспечить гибкий контроль использования Интернет-ресурсов, необходимо ввести в компании соответствующую политику использования ресурсов. Эта политика может реализовываться как "вручную", так и автоматически. Ручная реализация означает, что в организации имеется специальный штат сотрудников, которые в режиме реального времени или по журналам маршрутизаторов, прокси-серверов или межсетевых экранов ведут мониторинг активности пользователей. Естественно, такой мониторинг является проблематичным, поскольку требует больших трудозатрат. Кроме того, он требует не только отслеживания активности пользователя, но и категоризации сайтов, которые посещают пользователи, а провести работу по категоризации сайтов силами сотрудников ИТ-подразделения отдельной компании практически невозможно.
Чтобы избежать описанных выше проблем и обеспечить гибкий контроль использования Интернет-ресурсов, компания должна дать администратору инструмент для реализации политики использования ресурсов компании. Этой цели служит так называемая контентная фильтрация (contenttent filtering, используются также термины "фильтрация по содержимому" и "технология контроля содержимого информационного обмена"). Ее суть заключается в декомпозиции объектов информационного обмена на компоненты, анализе содержимого этих компонентов, определении соответствия их параметров принятой в компании политике использования Интернет-ресурсов и осуществлении определенных действий по результатам такого анализа. В случае фильтрации веб-трафика под объектами информационного обмена подразумеваются веб-запросы, содержимое веб-страниц, передаваемые по запросу пользователя файлы и т.д.
Существует множество программных продуктов, предназначенных для контроля содержимого информационного обмена. Все они в той или иной степени выполняют возложенную на них задачу. Однако необходимо иметь в виду, что никакая автоматическая система не дает 100% гарантии безопасности без деятельного участия человека в процессе фильтрации. Любая технология — только дополнительный инструмент в руках администратора. И от того, насколько система адекватна задачам, которые ставит перед собой администратор, будет зависеть, удастся ли снизить уровень рисков, связанных с использованием Интернета.
средства контроля использования Интернет-ресурсов
В этом разделе кратко описаны имеющиеся на рынке средства фильтрации веб-трафика. Эти средства можно условно разделить по типам и методам фильтрации. В настоящее время известно три типа средств, способных в той или иной степени обеспечить контроль использования Интернет-ресурсов на корпоративном уровне.
К первому типу относятся межсетевые экраны, прокси-серверы, маршрутизаторы и подобные им средства фильтрации.
Второй тип — это современные антивирусные программы, обладающие базовыми возможностями контентной фильтрации.
К третьему типу относятся специализированные средства, разработанные непосредственно для контроля использования Интернет-ресурсов.
Каждый тип средств контроля использования Интернет-ресурсов предназначен для фильтрации на разных уровнях сетевой иерархии. Средства первого и второго типов напрямую не предназначены для контроля содержимого информационного обмена по каналам Интернета. Так, межсетевые экраны, прокси- серверы и маршрутизаторы осуществляют фильтрацию трафика на сетевом и транспортном уровнях. Специализированные средства контентной фильтрации осуществляют ее на прикладном уровне. Если говорить об антивирусных программах, то со средствами третьего типа их объединяет именно способность осуществлять некоторые базовые функции контентной фильтрации.
В общем, средства первого и второго типов можно считать достаточно эффективными для компаний, в которых контроль содержимого информационного обмена не является первостепенной задачей (например, там, где конфиденциальная информация не циркулирует в корпоративной сети). В организациях же, где активно используется Интернет и при этом актуальны задачи контроля доступа пользователей к Интернет-ресурсам и защиты от утечки конфиденциальной информации, применение таких средств недостаточно. Это обусловлено следующими недостатками средств первого и второго типов:
- ограниченное количество параметров, по которым возможна фильтрация трафика /* В современных файрволлах? Ой ли? ;) – прим. ред. */; - ограниченные возможности по фильтрации текста в запросах пользователей и загружаемых страницах;
- невозможность декомпозиции объектов информационного обмена, следовательно, отсутствие более глубокой фильтрации (например, тип файлов определяется по декларированному, а значит, не обязательно реальному расширению, при этом отсутствуют средства для определения реального типа файла по сигнатуре);
- отсутствие необходимой гибкости при реализации политики использования Интернет-ресурсов;
- отсутствие функциональности, обеспечивающей контентную фильтрацию. Например, не все межсетевые экраны и прокси-серверы поддерживают контроль передаваемых данных на уровне команд протоколов.
Специализированные программные средства контроля использования Интернет-ресурсовпредназначены для проверки передаваемых данных на соответствие тем или иным условиям информационного обмена и выполнения соответствующих действий по итогам проверки. Программное обеспечение этого типа можно разделить по месту использования на клиентское и серверное. Клиентское программное обеспечение работает на каждой рабочей станции, где требуется обеспечить контроль использования Интернет-ресурсов.
Применение клиентского программного обеспечения в организациях неэффективно, исключая отдельные специфические случаи. Клиентское программное обеспечение постоянно работает на компьютере пользователя и ненадежно с точки зрения безопасности, поскольку потенциально его конфигурация и настройки могут быть искажены (подделаны) опытным пользователем или специализированным вредоносным кодом. Кроме того, такое программное обеспечение требует больших трудозатрат на настройку и сопровождение, поскольку эти операции осуществляются для каждой рабочей станции в отдельности.
В корпоративной среде наиболее эффективно применение программного обеспечения, функционирующего на выделенном сервере, поскольку оно разработано специально для использования в корпоративных сетях и наиболее полно соответствует требованиям по функциональности и безопасности. К таким требованиям относятся:
- централизованное размещение (обеспечивает удобство установки, настройки и сопровождения);
- размещение на сервере и ограничение доступа к настройкам ПО (обеспечивает безопасность, поскольку исключена возможность изменения настроек пользователями).
классификация корпоративных средств контроля использования Интернет-ресурсов
Далее рассматриваются серверные (а значит, корпоративные) средства фильтрации веб-трафика. Говоря об их классификации, необходимо выделить основные признаки, по которым они различаются:
- используемые методы фильтрации;
- место размещения в инфраструктуре сети и способ воздействия на трафик (технологии pass-by и pass-through);
- возможность выбора режима функционирования — standalone (автономные) и integrated (встраиваемые);
- глубина политики фильтрации;
- подход к оповещению о действиях пользователей;
- возможность генерации различных видов отчетов по данным фильтрации.
Когда говорят о классификации по методам фильтрации, классы определяются набором параметров, по которым производится проверка содержимого информационного обмена. Системы используют различные наборы проверок в зависимости от возложенных на средства фильтрации задач.
Наиболее типичны и распространены системы, в которых основным способом фильтрации веб-трафика является проверка адресов Интернет-ресурсов (URL). Конечно, эти системы применяют и другие способы (фильтрация по командам протоколов, именам пользователей, IP-адресам рабочих станций и типам файлов), однако именно результат проверки адреса сайта служит основанием для решения о блокировании сайта. Такие системы, как правило, фильтруют только запросы пользователей, не проверяя загружаемые сайты на наличие запрещенного политикой безопасности содержимого.
Существуют системы, в которых реализован комплексный подход к фильтрации трафика. В них проверки равноценны по значимости, а состав набора проверок определяется задачами, возлагаемыми на систему контроля. Отличием таких систем является то, что они обладают наиболее широким набором проверок, среди которых одной из важнейших является проверка содержания текста запросов и сайтов.
Существующие системы различаются по месту размещения в корпоративной сети. Их можно разделить на две крупные группы — работающие как прокси- серверы (технология pass-through) и работающие как анализаторы пакетов (packet sniffer), перехватывающие пакеты нужных протоколов и проверяющие их на наличие запрещенного содержимого (технология pass-by).
Системы, использующие технологию pass-through, работают как обычные HTTP-прокси. Как правило, их устанавливают между клиентскими местами и внешним прокси-сервером или межсетевым экраном. Клиентские места должны быть настроены так, чтобы они использовали нужный прокси-сервер. К достоинствам систем, использующих технологию pass-by, можно отнести их прозрачность для пользователя и возможность установки без перенастройки клиентских мест. Недостатком является то, что они не всегда могут справляться с большим потоком данных, передаваемых по контролируемым протоколам.
Говоря о режимах функционирования системы, различают автономные (standalone) и встраиваемые решения (integrated). Автономные системы, устанавливаемые "в разрыв" и работающие независимо от других подсистем, более надежны с точки зрения качества фильтрации.
В них возможность ошибок при фильтрации снижена до минимума за счет полного контроля над передаваемыми данными. Обычно такие решения используются совместно с внешними прокси-серверами в целях увеличения скорости доступа за счет кэширования данных.
Некоторые компании поставляют программное обеспечение для контроля использования Интернет-ресурсов в виде встраиваемых модулей к существующим прокси-серверам или межсетевым экранам. Достаточно часто модули фильтрации создаются для широко используемого прокси-сервера Microsoft ISA. Кроме того, некоторые системы фильтрации поставляются в виде отдельных серверов, а доступ к ним осуществляется по протоколу ICAP, который является стандартом для контроля и модификации запросов и ответов, проходящих через прокси-сервер, поддерживающий данный протокол. Достаточно часто в виде ICAP-серверов реализуются антивирусные комплексы (Symantec Antivirus, Dr.Web, TrendMicro). К достоинствам продуктов, реализованных в виде таких серверов, можно отнести то, что они могут взаимодействовать с разными типами прокси-серверов и межсетевых экранов, которые реализуют функцию клиента ICAP, а также то, что серверы могут выполнять проверку только определенных типов данных. Недостатком этого подхода следует считать то, что при использовании протокола ICAP сервер фильтрации может не иметь полного контроля над передаваемыми данными.
как выбирать систему?
Каков же определяющий фактор при выборе средств фильтрации веб-трафика? Ответ прост — функциональность. Именно этим и различаются представленные на рынке средства контроля использования Интернет-ресурсов. А вот какую именно функциональность выбрать, зависит от задач, стоящих перед организацией.
В идеале специализированные средства фильтрации веб-трафика должны реализовывать следующие функции:
- проверка адресов Интернет-ресурсов;
- проверка текстов в передаваемом потоке на наличие запрещенного содержимого (по возможности, с извлечением текста из файлов разных форматов, таких как Microsoft Word/Excel и т.п.);
- антивирусная проверка;
- проверка типов передаваемых данных;
- проверка объема передаваемых данных/предоставление квот на загрузку;
- проверка присвоенной сайту категории;
- проверка сайта на соответствие определенному рейтингу;
- проверка прав доступа пользователей с помощью различных методов аутентификации;
- проверка времени доступа пользователей к разным категориям ресурсов/предоставление временных квот;
- поддержка фильтрации HTTPS-трафика;
- определение разных политик фильтрации для разных направлений передачи данных;
- определение разных политик фильтрации для разных групп пользователей;
- модификация или замена передаваемых данных;
- уведомление администраторов безопасности о нарушении политики безопасности;
- сохранение всего или части исходящего из организации трафика с возможностью последующего анализа;
- возможность анализа качества и эффективности политики использования Интернет-ресурсов;
- возможность масштабирования системы контроля.
проверка адресов Интернет-ресурсов
Один из основных способов фильтрации веб-трафика — фильтрация по URL. Используя данный способ фильтрации, можно запретить доступ как ко всему сайту или домену, так и к его части или отдельной странице. Рекомендуется выбирать средства фильтрации, которые способны обеспечить блокировку доступа и в том случае, когда пользователь вместо полного URL указывает только IP-адрес сервера.
Системы контроля использования Интернет-ресурсов, применяющих данный способ фильтрации, используют специальный сервис по категоризации сайтов. Такой сервис предоставляется по подписке провайдерами Интернет-услуг или компаниями, производящими системы контроля использования Интернет- ресурсов. Основу сервиса составляет база данных URL, которая постоянно обновляется и пополняется. Эта работа производится в специальных лабораториях и позволяет создавать актуальную и относительно полную базу данных адресов Интернет-ресурсов. При выборе системы контроля использования Интернет-ресурсов необходимо учитывать, входит ли в поддержку такой системы предоставление сервиса категоризации. Наиболее ценной при этом является функция категоризации сайтов по запросу. Она включает в себя обязательную организацию обратной связи между клиентом и компанией, занимающейся категоризацией. Это позволяет клиенту в случае появления нового сайта, не указанного в базе данных URL, посылать запрос на категоризацию данного сайта и включать его в базу данных URL. Для доступа к базам данных URL, как правило, используется специальное клиентское ПО.
Основной недостаток метода проверки адресов Интернет-ресурсов заключается в том, что базы данных URL заведомо неполны из-за огромной скорости расширения сети Интернет. Ежедневно возникают сотни новых веб-ресурсов, к которым могут получать доступ пользователи. Отследить появление доменов второго уровня типа www.mysite.ru вполне возможно с помощью баз данных регистраторов. Но как отследить домены третьего, четвертого и всех остальных уровней? Как часто бывает, содержание поддоменов и каталогов (например, www.mysait.ru/soft, sport.myportal.ru) часто не соответствует тематике главной страницы и должно быть отнесено к другой категории.
Многие системы контроля доступа к Интернет-ресурсам используют проверку адреса сайта как основную для принятия решения о его блокировании. Однако необходимо иметь в виду, что Интернет — очень быстро меняющаяся среда. Даже такие гиганты веб-поиска, как Google, Altavista или Yahoo, зачастую "не знают" и половины всех существующих ресурсов. Сайты часто меняют свое содержание или местоположение, да и новые страницы появляются с поражающей быстротой. Все это обуславливает крайне низкую эффективность фильтрации по адресам Интернет-ресурсов. Выбирая систему фильтрации, необходимо учитывать то, что анализ веб-трафика должен быть комплексным и включать если не все, то большинство из перечисленных выше проверок. В частности, это касается проверки запросов на наличие запрещенного содержимого.
проверка текстов на наличие запрещенного содержимого
Качество фильтрации значительно повышается за счет контроля веб-трафика на наличие запрещенного содержимого в текстах. Здесь подразумевается проверка на наличие ключевых слов и выражений. Очень важно, чтобы анализировалось содержание не только страниц сайтов, но и запросов пользователей или любой другой передаваемой ими по сети информации. Это, например, необходимо при контроле переписки пользователей, использующих бесплатные почтовые ящики.
Практика показала, что наиболее эффективны системы, использующие так называемый нейро-лингвистический анализ текста. В данном случае речь идет о подходе к реализации ряда функций автоматической обработки, основанном на использовании ассоциативной семантической сети для оценки сверхфразового строения текста.
Кроме того, обычная проверка наличия определенного текста по словарям не должна состоять только из простого сравнения. Качество фильтрации значительно повышается при использовании методики, согласно которой словам и выражениям присваиваются весовые категории. Это обеспечивает гибкость при фильтрации по ключевым словам и выражениям.
Одним из основных критериев оценки систем контентной фильтрации для русскоязычных пользователей является поддержка продуктом различных кодировок кириллицы. Большинство продуктов иностранного производства не поддерживают кодировки кириллицы, а это значительно снижает пользу от их применения. Ситуация усложняется еще и тем, что разные части загружаемых сайтов могут иметь различные кодировки. Вдобавок эти кодировки не всегда указаны верно. Большинство систем определяет кодировку по MIME-типу, что приводит к ошибкам. На помощь приходит технология эвристического анализа, то есть специальные алгоритмы анализа последовательности символов, типичных для той или иной кодировки. Такой анализ позволяет практически стопроцентно определить, в какой кодировке написан текст.
проверка прав доступа пользователей
Выбор системы контроля веб-трафика зависит от того, способна ли система обеспечить проверку прав доступа пользователей. Но обычно такая проверка осуществляется либо внутренними средствами, либо с помощью интегрированной подсистемы аутентификации.
Таким образом, аутентификация пользователей может производиться следующими способами:
- с использованием различных методов аутентификации: RADIUS, TACACS+, NTLM, LDAP;
- с использованием различных баз данных и служб каталогов: Java System Directory Server (Sun Microsystems), Active Directory (Microsoft), eDirectory (Novell);
- с использованием различных внутренних и внешних баз данных.
антивирусная проверка
Одна из основных задач, возлагаемых на средства контентной фильтрации, — защита от вирусов. Такая защита может осуществляться как встроенными средствами, так и с помощью внешних систем. При выборе систем контроля использования Интернет-ресурсов необходимо учитывать, использует ли данная система результаты антивирусной проверки при дальнейшем анализе трафика. Наличие такой функции позволяет адаптировать политику использования Интернет-ресурсов и избегать, например, загрузки данных с тех сайтов, откуда ранее был получен вредоносный мобильный код.
проверка типов передаваемых данных
Ограничение по типам передаваемых данных может иметь важное значение для многих организаций. Так, можно установить запрет на отправку за пределы организации данных в форматах, отличных от простого текста, например, файлов Microsoft Word и Excel, которые могут содержать важную информацию. При этом тип файла не должен определяться по информации, указанной в запросе или ответе, то есть по расширению файла или MIME-типу, указанному сервером. Для точной обработки данных система контроля должна определять тип файла по его сигнатуре. Требование определения типа файла по сигнатуре обусловлено еще и тем, что большинство веб-серверов при передаче данных объявляют MIME-тип, ориентируясь на расширение файла, что может быть неправильным из-за неверного указания типа в файле соответствий или переименования файла пользователем.
проверка размера передаваемых данных/квоты на загрузку файлов
Для обеспечения нормальной работы каналов передачи данных может потребоваться ограничение объемов данных, загружаемых пользователями, поскольку при передаче больших файлов пользователь может занять весь канал, из-за чего доступ других пользователей будет затруднен. Поэтому система контроля должна иметь возможность ограничивать объем передаваемых данных или ограничивать полосу пропускания, выделяемую для отдельного пользователя.
На практике это выглядит следующим образом: устанавливается предельный объем данных, который разрешается ежедневно загружать пользователям (при необходимости пользователи оповещаются об этом). Реализовать данную функциональность помогает квотирование по объему передаваемого трафика. Это дает пользователю возможность самому следить за размером загружаемых файлов.
проверка присвоенной сайту категории
Производители ПО, как правило, предоставляют услугу категоризации сайтов в качестве одного из элементов технической поддержки продукта. Категоризация осуществляется непосредственно в лингвистических лабораториях производителей и предоставляется по подписке.
Выбирая провайдера данных услуг, важно учитывать полноту и объемы предоставляемых баз данных категорированных сайтов. При этом необходимо, чтобы категоризация осуществлялась с учетом области деятельности заказчика и его представления о том, к какой категории следует относить тот или иной сайт. Ведь один и тот же Интернет-ресурс разными заказчиками может быть отнесен к различным категориям. Например, для банка сайт Интернет- магазина не может представлять информационной ценности, тогда как оптовые компании постоянно используют подобные ресурсы в своей повседневной деятельности.
Серьезным недостатком услуги категоризации является жесткая привязка Интернет-ресурса к его категории. То есть один и тот же ресурс не может принадлежать к нескольким категориям. Но иногда при построении гибкой политики использования Интернет-ресурсов в этом возникает необходимость. В частности, в одной и той же компании в соответствии с политикой безопасности доступ к определенному ресурсу может быть разрешен одним пользователям и запрещен другим.
проверка времени доступа к ресурсам/предоставление временных квот
Простой запрет доступа к некоторым ресурсам неудобен в тех случаях, когда требуется предоставить пользователю доступ к ресурсам, но только в определенное время, например, разрешить загружать большие файлы с обновлениями программ только в вечернее время, когда повышенная загрузка каналов из-за большого объема передачи не вызовет затруднений при доступе в Интернет других пользователей. Поэтому в системах контроля доступа к Интернет-ресурсам должны присутствовать средства, обеспечивающие запрещение или разрешение доступа к определенным ресурсам в определенное время, то есть по расписанию.
Кроме того, в некоторых случаях необходимо выделить пользователям квоты на использование определенных Интернет-ресурсов. Например, за день разрешается провести на новостных сайтах 30 минут. Пользователь может сделать это сразу, выбрав свою дневную квоту, а может читать новости 6 раз по 5 минут в течение дня. Некоторые средства контроля использования Интернет-ресурсов располагают такой возможностью, что значительно повышает производительность труда сотрудников. При этом сохраняется демократичный подход, который благотворно сказывается на климате в коллективе.
политика фильтрации для разных направлений передачи данных
Чтобы создаваемая политика доступа к Интернет-ресурсам была эффективной, средства контроля должны обеспечивать возможность задавать разные условия проверки для разных направлений передачи данных и команд протоколов. При наличии такой функциональности можно, например, запретить передачу документов Microsoft Word из организации, при этом разрешая загружать документы этого формата. Эту функциональность можно использовать не только для контроля типов данных, но и для проверки содержимого на наличие запрещенных слов или объема передаваемых данных.
Многие из имеющихся на рынке систем обеспечивают фильтрацию только исходящего трафика, то есть запросов пользователя, совершенно не уделяя внимания проверке информации, загружаемой на стороне клиента. Это в значительной степени снижает гибкость реализуемой политики использования Интернет-ресурсов, поскольку требует жесткого ограничения доступа пользователей к сайтам. Существуют сайты, на которых часть информации может относиться к категории запрещенной, а часть — к разрешенной. Именно на этапе ответа на запрос пользователя возможно разделение на запрещенное и разрешенное содержание. При этом полезна возможность модификации данных, речь о которой пойдет в следующем разделе.
модификация или замена передаваемых данных
Иногда полезно предоставить пользователю доступ к данным, например, к странице на веб-сервере, но удалить из этих данных какую-либо часть, которая нарушает политику безопасности или может привести к проникновению вредоносного кода в корпоративную сеть. Хороший пример такого подхода — анализ на предмет потенциальной опасности JavaScript, находящегося на странице, и удаление соответствующих частей страницы. Чтобы исключить возможность описанных выше нарушений, системы контроля должны иметь в своем составе средства замены и модификации передаваемых данных.
политика фильтрации для разных групп пользователей
Средство контроля доступа должно различать пользователей, доступ которых к внешним ресурсам оно контролирует. Если при этом система контроля позволяет привязать к пользователю или группе пользователей отдельную политику безопасности, то такой инструмент поможет создать гибкую политику безопасности, что обеспечит эффективную работу с передаваемыми данными. Кроме того, необходима возможность создания правил, которые будут применяться ко всем пользователям, например, правила для проверки передаваемых данных на наличие вредоносного содержимого.
поддержка фильтрации HTTPS-трафика
Многие сайты для обеспечения безопасности передаваемых данных (таких как пароли, номера кредитных карт и т.п.) предлагают пользователю доступ к сайту по протоколу HTTPS, который шифрует все передаваемые данные.В настоящее время некоторые сайты, предоставляющие бесплатные почтовые ящики, тоже стали предлагать доступ по протоколу HTTPS. Для организации такая услуга может оказаться достаточно серьезной опасностью, поскольку через этот канал может произойти утечка конфиденциальной информации. Поэтому система контроля веб-трафика должна поддерживать обработку зашифрованных данных.
система уведомлений о нарушении политики безопасности
Оповещение администратора о нарушениях политики безопасности и прочих событиях является достаточно важной частью системы контроля доступа пользователей к Интернет-ресурсам. В различных системах подсистемы оповещения отличаются друг от друга.
В зависимости от настройки системы оповещаться о нарушениях политики может либо администратор, либо пользователь. Обычно пользователю выдается специальным образом оформленная страница с сообщением о том, что ресурс, к которому пользователь обращается, входит в список запрещенных. Такое действие системы называется "уведомление с подтверждением" и является довольно значимой функцией, позволяющей предотвратить ошибочные действия пользователей, не прибегая к помощи администратора и не используя дополнительных ресурсов системы. Оповещение администратора безопасности может производиться различными способами:
- по электронной почте;
- через интерфейсы к внешним подсистемам оповещения (SNMP, SMS, и т.п.);
- путем мониторинга в режиме реального времени.
Мониторинг в режиме реального времени предполагает интерактивный просмотр событий, происходящих в системе. Он реализуется во многих системах контроля веб-трафика и позволяет в режиме реального времени наблюдать за работой пользователей, а также просматривать сетевой трафик в момент его прохождения, выявляя проблемные соединения.
Такой мониторинг требует многоуровневой настройки и включает следующие параметры: страницы, категории, разрешенные/запрещенные страницы, имена пользователей. Цветовая маркировка позволяет быстро определить, к какой категории принадлежит сайт. Кроме прочего, такой мониторинг позволяет в случае необходимости оперативно модифицировать политику безопасности.
возможность последующего анализа трафика
Для администратора системы контроля трафика может быть полезной возможность анализа переданных данных уже после их передачи. В первую очередь это может касаться данных, переданных из организации во внешний мир. Например, система контроля может сохранять данные, переданные с помощью команды POST протокола HTTP в базу данных или в файлы на диске, и предоставлять администратору интерфейс для последующего их анализа. Имея такой инструмент, администратор может корректировать политику безопасности или анализировать передаваемую информацию.
В отношении данных, получаемых из внешних источников, такая функциональность, возможно, неэффективна из-за их большого объема. Однако может быть полезен контроль передаваемых данных для отдельных групп сотрудников. Но анализ большого количества данных может оказаться очень трудоемкой работой и должен производиться только в редких случаях.
способы представления статистических данных
Применение системы контроля использования Интернет-ресурсов нельзя представить без анализа событий, происходящих в системе. Администраторам необходимо оперативно получать информацию о текущем состоянии системы, а также сводные отчеты об использовании Интернет-ресурсов пользователями или группами пользователей. Такая информация позволяет не только контролировать использование Интернет-ресурсов, но и проверять эффективность политики безопасности и динамически адаптировать ее к изменяющимся условиям и задачам. Поэтому в большинстве существующих средств контроля использования Интернет-ресурсов есть возможность формирования статистических отчетов, а также интерактивного наблюдения за доступом к внешним ресурсам.
Существует несколько способов представления статистических данных о трафике. Первый способ предполагает использование внутренних возможностей продукта, то есть встроенной системы генерации отчетов. Как правило, в состав такой системы входят подсистема генерации отчетов и база данных, в которую в виде журналов записывается вся информация о событиях, а также некоторые запросы пользователей (например, команды POST). С помощью внутренних средств производятся SQL-запросы к базе данных, результаты которых дают наглядную картину трафика и действий пользователей. При этом могут создаваться типовые запросы (например, "100 часто загружаемых сайтов", "100 пользователей, переславших наибольшие объемы данных за указанный период", "100 самых активных пользователей" и т.п.) с изменяемыми параметрами (например, по дате и времени).
Другой способ предполагает получение отчетов с помощью стандартных средств, таких как Crystal Reports, Oracle Reports и т.п. Эти средства интегрируются с системой контроля использования Интернет-ресурсов и тоже используют базу данных, которая создается в результате фильтрации трафика. Способность интегрироваться с различными стандартными средствами создания отчетов и должна определять выбор системы контроля веб-трафика.
Имеющиеся на рынке системы контроля также различаются по возможностям представления отчетов в различных форматах. К наиболее популярным форматам можно отнести PDF, HTML, MS Word, MS Excel, MS Access.
Достоинством систем контентной фильтрации является наличие такой функциональностикак возможность удаленного просмотра отчетов через Интернет. При этом важно, чтобы такой доступ был обеспечен по закрытым каналам, поскольку данная информация во многих случаях является конфиденциальной. И наконец, достоинством систем контроля использования Интернет-ресурсов, которые имеют возможность накапливать статистическую информацию и обрабатывать ее, является способность вести историю использования Интернет-ресурсов конкретным пользователем или группой пользователей за определенный период с указанием объема передаваемых данных.
проверка сайта на соответствие определенному рейтингу
Некоторые компании предлагают сервис, который выставляет тому или иному сайту определенный рейтинг. Автоматическая система стандартизации, такая, как, например, PICS (Platform for Internet Content Selection)от W3C) встраивает в данные, доступные на сайте, специальную метку, которая может учитываться как серверными программами, так и обычными браузерами. На основе данных рейтингов можно обеспечивать управление доступом к различным Интернет-ресурсам.
возможность масштабирования системы контроля
В связи с ростом пропускной способности Интернет-каналов становится важным вопрос о масштабировании системы контроля веб-трафика. Должна быть предусмотрена возможность расширения пропускной способности системы контроля, ее размещения на нескольких серверах для балансировки нагрузки и обеспечения безотказной работы. При использовании многомашинной конфигурации выход из строя одного из серверов не приведет к отказу всего сервиса, что значительно повышает надежность системы.
Кроме того, масштабирование системы может предусматривать разнесение выполняемых задач на разные серверы. Например, мониторинг содержимого информационного обмена является ресурсоемкой задачей, поэтому выделение специального сервера под выполнение данной задачи значительно снизит нагрузку на систему в целом.
Олег Слепов, консультант по информационной безопасности, Алексей Отт, ведущий разработчик программного обеспечения, "Инфосистемы Джет".
Олег Слепов, консультант по информационной безопасности, Алексей Отт, ведущий разработчик программного обеспечения, "Инфосистемы Джет".
Сетевые решения. Статья была опубликована в номере 08 за 2005 год в рубрике технологии
