|
|
Средства мониторинга и фильтрации содержимого электронной почты 1. Введение Электронная почта один из наиболее широко используемых видов сервиса как в корпоративных сетях, так и в сети Интернет. В процессе информационного обмена электронная почта:
Однако, следует отметить, что несмотря на все неоспоримые преимущества использования электронной почты, существует немало опасностей (см. рис.1), сопряжённых с её применением. Рис.1 Проблемы и негативное воздействие различных факторов на незащищенную почтовую систему 2. Риски использования электронной почты Компания подвергается рискам в силу ряда свойств электронной почты. Например, благодаря применению стандарта MIME электронная почта может переносить большие объемы информации различных форматов данных в виде прикрепленных к сообщениям файлов. Достоинство электронной почты превратилось в угрозу, поскольку электронная почта стала представлять собой практически идеальную среду для переноса вредоносных программ, в том числе компьютерных вирусов, «троянских» программ и т. п. Если надлежащий контроль электронной почты не обеспечен, это может привести к чрезвычайно серьезным последствиям и даже нанести компании непоправимый ущерб. Серьезную опасность для корпоративной сети представляют различного рода атаки с целью «засорения» почтовой системы. Это, в первую очередь, пересылка в качестве вложений в сообщениях электронной почты файлов больших объемов или многократно заархивированных файлов, как правило, с большой глубиной вложенности архива. Открытие таких файлов или попытка «развернуть» архив может привести к «зависанию» системы. При этом одинаково опасны как умышленные атаки этого типа, так и неумышленные, когда пользователи отправляют электронные письма с вложениями большого объема, просто не подумав о том, к каким последствиям может привести открытие подобного файла на компьютере адресата. Отсутствие контроля над почтовым потоком, как правило, становится причиной того, что сотрудники компании используют электронную почту в целях, не связанных с деятельностью компании (например, для обмена видео-файлами и графикой, частной переписки, ведения собственного бизнеса с использованием почтовых ресурсов компании, рассылки резюме в различные организации и т. п.). Это приводит к резкому падению производительности труда в целом по компании. Кроме того, к такому же результату может привести непродуктивное использование почтовых ресурсов в трудовой деятельности сотрудников (например, чрезмерное увлечение почтовой перепиской в случаях, когда необходимости в такой переписке нет, использование электронной почты не по назначению и т. п.). Вообще передача в электронных письмах графических, видео и звуковых файлов, которые, как правило, имеют большой объем, даже если такая передача предусмотрена условиями ведения бизнеса, приводит к значительной перегрузке сети, а значит и к дополнительным финансовым затратам на ее обслуживание. К «засорению» трафика также ведет получение спама. В принципе сам по себе спам безвреден, если не считать, что такого рода почта является «группой риска» с точки зрения переноса вирусов. Однако большое количество ненужной почты загружает каналы, «замусоривает» почтовые ящики, отнимает время на удаление ненужных писем и повышает вероятность случайного удаления нужных. Конечно, рассылка, например, сообщений рекламного характера, напрямую не преследует цели «засорить» почтовую систему организации, однако косвенно приводит к крайне негативным последствиям. Использование списков рассылки, в которую могут входить все пользователи одной корпоративной сети, и получение одновременно всеми этими пользователями сообщений рекламного характера грозит компании снижением производительности ее сетевых ресурсов. Переписка с внешними корреспондентами таит наибольшую угрозу в силу определенных особенностей электронной почты. К таким особенностям относятся: невозможность контролировать маршрут передачи писем, а также их копирование и перенаправление, осуществлять аутентификацию отправителя/получателя, возвращать письма после их отправления. Кроме того, невозможен либо затруднен контроль количества отправляемых копий письма. Содержимое сообщения может быть прочитано в процессе передачи его по Интернет, поскольку заголовки и содержимое электронных писем передаются в открытом виде. Другой проблемой, связанной с особенностями электронной почты, является то, что электронная почта позволяет неконтролируемое накопление информации в архивах и практически неуничтожима. В противоположность бытующему мнению, удалить электронную почту непросто. Резервные копии сообщений могут оставаться на персональных компьютерах отправителя и получателя или в сети компаний, где они работают. Если электронная почта послана через коммерческую службу или через Интернет, то она будет передаваться через несколько различных серверов. Каждый сервер в цепочке между отправителем и получателем может сохранить копию сообщения в своих архивах. Даже методичное выяснение местонахождения каждой копии электронного письма с последующим его удалением не дает никакой гарантии того, что сообщение не осталось на жестком диске компьютера или сервера. С помощью широко доступного программного обеспечения даже рядовой пользователь сможет восстановить сообщение электронной почты после того, как его якобы удалили. Все эти особенности, а также простота копирования электронной почты и невозможность проконтролировать данную операцию приводят к тому, что сотрудник может передать корпоративную информацию любому количеству людей как внутри, так и за пределами компании анонимно и без соответствующего разрешения, сразу или по истечении какого-либо времени. При этом, такая информация может представлять собой как служебную информацию компании (тексты договоров, сведения о планируемых сделках и т. п.), так и пароли, системные данные, исходные коды программ или другую конфиденциальную информацию и интеллектуальную собственность компании. Это, в конечном итоге, грозит серьезным нарушением конфиденциальности и может привести к весьма неприятным для компании последствиям. В отличие от бумажной корреспонденции, электронную почту очень легко неумышленно отправить по неверному адресу. Причиной этого может быть как неумелое пользование адресными книгами, так и ошибка в указании адреса получателя или, что еще хуже, случайный выбор опции, предусматривающей рассылку сообщения большой группе пользователей, в то время как сообщение является конфиденциальным Одно из основных отличий электронной почты состоит в том, что отношение к ней намного менее формально, чем к другим видам коммерческих коммуникаций. Во-первых, большинство пользователей относятся к электронной почте как к чему-то временному, то есть поступают с ней по принципу «прочитал и выкинул». При таком отношении существует риск случайного удаления значимой информации. Кроме того, существует опасность потери переписки с важным клиентом. Во-вторых, такое отношение к электронной почте приводит к тому, что из-за кажущейся недолговечности электронных сообщений люди часто используют их для того, чтобы выразить чувства и мнения в выражениях, которые они никогда не позволили бы себе употребить в традиционных письмах. Публикация таких писем в сети может нанести серьезный ущерб репутации компании или явиться причиной юридических исков к ней. Еще одна область связана с потенциальной юридической ответственностью компании и ее сотрудников это нарушение авторского права. Защищенные этим правом материалы могут содержаться или в сообщении электронной почты, или в присоединенных файлах. К подобным материалам относятся графическая, аудио, видео и различная текстовая информация, т. е. вся та информация, которая может быть представлена в электронном виде и передана по компьютерным сетям. Копирование или распространение любого из этих материалов без предварительного согласия автора или владельца авторских прав является нарушением закона. Если компания допускает, чтобы материалы почты, защищенные авторским правом, использовались сотрудниками, не имеющими на это полномочий, она может быть привлечена к ответственности за прямое или косвенное пособничество нарушению авторского права. 3. Требования к системе фильтрации содержимого электронной почты При рассмотрении вопроса выбора той или иной системы фильтрации содержимого электронной почты следует принимать во внимание все вышеописанные риски. Данная система должна обеспечивать полный комплекс мер противодействия угрозам. В функции системы должен входить контроль почтового трафика и ведение архива переписки по электронной почте. Система фильтрации должна выполнять следующие функции:
Одним из основных критериев оценки систем контекстного анализа для российского рынка является поддержка продуктом различных кодировок кириллицы (Win1251, DOS 866, ISO8859.5, KOI8, MAC, cp866), что дает возможность анализа русскоязычных текстов. Большинство продуктов иностранного производства не способны обеспечить поддержку кодировок кириллицы, а это в значительной степени снижает возможность их использования на территории РФ. Большое значение для систем контроля содержимого имеет удобство администрирования системы, что предполагает наличие русскоязычного интерфейса, возможность разделения функций управления и администрирования системы, то есть разграничения доступа различных категорий пользователей к средствам управления системой. И наконец необходимо сказать о важности сертификации средств контроля содержимого электронной почты Гостехкомиссией РФ. Во-первых, потому что при проведении испытаний того или иного продукта Гостехкомиссия подтверждает его соответствие определенным техническим условиям, а это является подтверждением качества данного продукта. Во-вторых, сертификация позволяет использовать продукт в государственных структурах, где наличие сертификата является обязательным требованием. Сравнительный анализ систем контроля содержимого электронной почты, проведённый специалистами нашей компании показал, что среди представленных в настоящее время на российском рынке продуктов наиболее полнофункциональными и отвечающими современным требованиям являются: системы «Дозор-Джет» и MAILsweeper for SMTP. 4. Выводы В настоящее время деятельность компаний все больше зависит от электронной почты. Удобство и практичность электронной почты очевидны. Однако не учитывать проблемы, которые возникают в связи с неконтролируемым ее использованием, уже нельзя. Последствия для компаний могут быть непредсказуемыми. В настоящее время существуют средства реализации серьезных преимуществ электронной почты, позволяющие снять угрозу надежности, конфиденциальности и продуктивности компании это системы контроля содержимого электронной почты. Сегодня популярность таких средств растет в геометрической прогрессии. По прогнозу компании International Data Corp., к 2003 г. около 3,9 млн. различных организаций будут применять программы мониторинга электронной почты. Необходимость систем контроля содержимого электронной почты подтверждается «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации», разработанными Гостехкомиссией при Президенте РФ в 2001 г. (СТР-К)1. Таким образом, все перечисленные выше факты еще раз подтверждают необходимость применения в системах безопасности корпоративных сетей систем контроля содержимого электронной почты, которые способны не только обеспечить защиту системы электронной почты и стать эффективным элементом управления почтовым потоком, но и значительно повысить эффективность деятельности предприятия или организации. 1В статье 6.3.11.5 этого документа говорится: «В целях контроля за правомерностью использования абонентских пунктов и выявления нарушения требований по защите информации осуществлять анализ принимаемой из Сети и передаваемой в Сеть информации, в т. ч. на наличие вирусов. Копии исходящей электронной почты и отсылаемых в Сеть файлов следует направлять в адрес защищенного архива абонентских пунктов для последующего анализа со стороны администратора (службы безопасности)». |