DeviceLock 6.3 ставит локальную печать под централизованный административный контроль
Старые угрозы — новые проблемы
Защита от утечек информации при печати документов
Проблема контроля локальной печати
Контроль локальной печати в DeviceLock 6.3
Событийное протоколирование и теневое копирование печати
Преимущества решения DeviceLock
Старые угрозы — новые проблемы
Чем более распределенными становятся вычислительные процессы в корпоративных информационных системах (КИС) и чем больше организации полагаются на использование Интернета в качестве телекоммуникационной инфраструктуры своих КИС, тем большая часть их конфиденциальной или иной коммерчески ценной информации создается, обрабатывается и хранится на настольных, портативных и мобильных персональных компьютерах (ПК) работников. В связи с этим в последнее время в корпоративном и государственном секторах ИТ особое внимание уделяется обеспечению информационной безопасности (ИБ) оконечных вычислительных устройств — endpoint security.
Считается, что наименее защищенными, а следовательно, наиболее опасными каналами утечки данных с ПК работников являются самые современные, связанные с прогрессом в области микроэлектроники, ИТ и телекоммуникаций — сетевые приложения (электронная почта, службы мгновенных сообщений, социальные сети, IP-телефония, файлообменные сети), съемные устройства хранения на базе USB флэш-памяти, персональные мобильные устройства (КПК, смартфоны, MP3-плееры и т.п.). Реагируя на спрос, производители программных средств ИБ спешат предложить рынку продукты защиты от утечки данных с компьютеров именно через эти высокотехнологичные каналы.
При этом среди представителей СМИ, отраслевых и рыночных аналитиков, а также, к сожалению, руководства департаментов ИБ предприятий и организаций существует расхожее, но иногда совершенно неоправданное мнение о том, что исторически более ранние каналы потенциальной утечки информации, включая известные в докомпьютерную эпоху, уже давно и надежно перекрыты доступными на рынке популярными продуктами и решениями. При этом как-то само собой разумеется, что если в отраслевом сообществе и СМИ нет дискуссий по проблемам защиты от давно известных типов угроз, то нет и самих угроз.
Однако реальная ситуация оказывается совсем иной: существующие решения устраняют угрозу только частично, и практикующие специалисты хорошо знают об этом и учитывают в своих проектах и консалтинге, но напоминать об этом публике не считают нужным. А журналисты на эту тему не пишут, потому что она неактуальна, к тому же они не осведомлены о деталях.
Защита от утечек информации при печати документов
Одним из наиболее характерных примеров такого опасного заблуждения является обеспечение информационной безопасности печати документов в КИС. Высокие риски неконтролируемой утечки информации в процессе печати документов существовали задолго до появления компьютерной техники, особенно в организациях, деятельность которых связана с использованием информации ограниченного доступа: конфиденциальными данными, коммерческой, служебной или государственной тайной.
Эти риски еще более выросли в современных условиях, когда практически во всех корпоративных ИС стали применяться сетевые принтеры, а также системы централизованной печати документов на высокопроизводительных многофункциональных устройствах (МФУ), используемых одновременно многими подразделениями организации. Помимо коммерческих рисков, практически любые связанные с печатью инциденты в области ИБ могут повлечь за собой легальные и административные риски, обусловленные тем, что действующие нормативные государственные акты, а также отраслевые стандарты в области ИБ требуют защищать информацию в любой форме, включая печатные документы, которые по природе своей являются открытыми, удобны для копирования и скрытного перемещения за пределы организации.
Для защиты информации в системах сетевой централизованной печати документов ведущие производители принтеров, а также независимые софтверные компании предлагают широкий набор программных и программно-аппаратных средств и решений, обеспечивающих конфиденциальность, целостность, доступность и учет документов на всех этапах процесса печати, включая отправку с персональных компьютеров, обработку и формирование задания на сервере печати, доставку задания на сетевой принтер и печать документа. К таким широко известным на корпоративном рынке решениям относятся FollowMe Printing компании Ringdale, SD Express Printing от Capella Technologies, JScribe от CCP Systems AG, G2 компании SafeCom, интегрированные с принтерами enterprise-класса от Hewlett-Packard, Xerox, Samsung, Ricoh и Konica Minolta.
Защита от утечек данных в этих системах достигается благодаря применению целого ряда технологий ИБ, в том числе:
- шифрование документов перед отсылкой на печать или их туннелирование по каналам VPN с компьютеров пользователей к принтерам и принт-серверам;
- хранение образов печатаемых документов в памяти принтеров в зашифрованном виде вплоть до момента печати;
- разграничение доступа к принтерам на персональной основе;
- выдача задания на печать только после того, как его инициатор аутентифицировался локально и физически находится рядом с принтером;
- гарантированное удаление копий документов с принтеров после их печати либо по истечении заданного времени;
- централизованная регистрация событий печати и сохранение электронных копий отпечатанных документов в базе данных для целей анализа и аудита.
Но означает ли использование в организации одного или нескольких из перечисленных решений и технологий, что проблема защиты информации при печати в корпоративной среде полностью решена? В действительности нет.
Проблема контроля локальной печати
В повседневной корпоративной практике документы очень часто печатаются на неподконтрольных ИТ-центру локальных или сетевых принтерах. Например, на предприятиях с недостаточным уровнем контроля за поведением работников или низким уровнем дисциплины неавторизованные или неучтенные принтеры могут быть подсоединены к ПК персонала либо по халатности, либо намеренно, чтобы избежать контроля со стороны ИТ-администрации. Иногда такой неучтенный принтер подключают в режиме «по требованию» — только непосредственно на время печати, таким образом многократно снижая вероятность его обнаружения средствами сетевого мониторинга состояния ПК. В некоторых организациях использование локально подключенных принтеров разрешено или даже предписано для отдельных категорий сотрудников, поскольку печатаемые ими документы содержат настолько секретную информацию, что передача их по сети вообще запрещена. Применение разного рода компьютерного надомного труда, что сейчас очень популярно, очевидно, требует разрешить работнику печать документов на локальном принтере. Наконец, в большинстве организаций, независимо от их размеров и вида деятельности, руководство предпочитает печатать документы на «личных» принтерах, подключенных к их рабочим станциям напрямую.
В таких ситуациях упомянутые выше решения по информационной безопасности систем централизованной сетевой печати документов не обеспечивают реального контроля за доступом пользователей к локальным принтерам и их использованием, поскольку агентские компоненты этих решений, как правило, реализованы в виде драйверов виртуальных портов и не способны предотвратить действия пользователей по подключению локального или сетевого принтера к иному произвольному — физическому или виртуальному — порту. С точки зрения корпоративной ИБ такая ситуация означает, по сути, наличие неблокированного канала утечки информации при печати документов. Представители подразделений ИБ многих крупных пользователей DeviceLock неоднократно говорили об этом как о серьезной нерешенной проблеме.
Контроль локальной печати в DeviceLock 6.3
Эффективное и экономичное решение проблемы контроля процессов локальной печати в корпоративной среде стало основным функционалом, добавленным в новую версию программного продукта DeviceLock 6.3, выпущенную компанией «Смарт Лайн» в апреле этого года. Реализованное как компонент универсальной архитектурной платформы предотвращения утечек данных с оконечных вычислительных устройств (DeviceLock Endpoint Data Leakage Prevention Platform), это решение позволяет администраторам ИБ централизованно контролировать доступ пользователей к локальным, сетевым и виртуальным принтерам независимо от способа их подключения к компьютерам, в том числе с помощью любых не USB-интерфейсов.
Окно задания правил доступа к принтерам
Для каждого компьютера в сети, для их групп, для всех компьютеров подразделения или же для всего их парка в организации DeviceLock 6.3 позволяет задать гранулированные правила, определяющие, кому, когда и на каких принтерах разрешено печатать.
Окно консоли управления Shadow Log Viewer и Printer Viewer
На базе поддержки в DeviceLock 6.3 групповых политик вкупе с использованием в правилах различных типов объектов из корпоративной директории, включая объекты Microsoft Active Directory и Novell eDirectory, а также из любой LDAP-совместимой директории администраторам не составит труда специфицировать гибкие политики применения принтеров для индивидуальных пользователей, их групп, департаментов или же для всей организации. Времязависимые политики могут быть заданы с точностью до часа и дня в рамках недельного графика, а также для любых субъектов и объектов доступа — пользователей, компьютеров и принтеров. DeviceLock 6.3 позволяет разграничить правила доступа к реальным (локальным и сетевым) и виртуальным принтерам, например программам конвертации в PDF. Дополнительная степень гибкости достигается за счет возможности задать разные политики для принтеров, подключенных к разным интерфейсам компьютера: USB, LPT, Bluetooth и Wi-Fi. При подключении принтеров по USB разные правила доступа могут быть определены для каждой модели и каждого принтера. В то же время доступ может быть задан для всех типов принтеров сразу.
Событийное протоколирование и теневое копирование печати
DeviceLock 6.3 протоколирует все связанные с процессами печати события и автоматически доставляет их в центральную базу данных, где они сохраняются для целей аудита. Политика протоколирования задается с тем же уровнем гранулированности, что и политика доступа к принтерам. Каждая событийная запись включает данные об идентификаторе пользователя, имени и размере отпечатанного документа, имени приложения, из которого документ был напечатан, имени принтера, результате, времени и дате печати. Содержимое журнала протоколирования может быть централизованно проанализировано с помощью программы просмотра Audit Log Viewer, встроенной во все типы консолей управления DeviceLock 6.3.
Аналогичная по гибкости политика может быть задана и для функции теневого копирования посланных на печать документов. Копии всех подпадающих под установленную политику документов записываются в недоступную для пользователя директорию файловой системы, автоматически передаются на центральный сервер и сохраняются в той же, что и протоколы, базе данных для их анализа с помощью встроенной программы просмотра DeviceLock Printer Viewer, которая графически отображает документы непосредственно из их образов в форматах наиболее популярных спулеров печати: PS, PCL 5/6, HP-GL/2, GDI (ZjStream) и NT EMF. Кроме того, Printer Viewer дает возможность послать просматриваемый документ на печать а также сохранить его в нескольких графических форматах: BMP, GIF, JPEG, PNG, EMF и TIFF.
Преимущества решения DeviceLock
Уникальная по числу параметров и гранулированности политика доступа DeviceLock позволяет поставить под строгий централизованный контроль администрации ИБ использование любых, в том числе локально подключаемых типов принтеров в организации независимо от места расположения компьютеров — в офисе или вне его, сетевого режима их работы — онлайн или офлайн и, наконец, независимо от того, хочет или не хочет конкретный пользователь подвергаться контролю.
Реализованные на уровне ядра операционной системы компоненты DeviceLock функционируют в самозащищенном режиме, исключающем их удаление или блокирование со стороны любых пользователей ПК, включая локальных системных администраторов.
Детальное централизованное событийное протоколирование и теневое копирование обеспечивают возможности отслеживания действий по применению принтеров любыми пользователями КИС, аудита состояния ИБ организации на соответствие корпоративной политике и требованиям стандартов в области ИБ, сбора доказательной базы для расследования инцидентов в области ИБ и, при необходимости, судебных разбирательств.
Важно отметить, что уникальные функциональные и административные характеристики DeviceLock 6.3 по контролю локальной печати документов не конкурируют с уже используемыми в организациях решениями по защите от утечек данных в системах централизованной сетевой печати документов, а, напротив, гармонично дополняют, таким образом защищая ранее сделанные инвестиции корпоративных пользователей в их комплексные системы обеспечения безопасности информации.
30-дневную ознакомительную версию DeviceLock 6.3 вы найдете на CD-ROM, приложенном к журналу.