Главная страница

Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009


Скачать 5.26 Mb.
НазваниеУчебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009
Дата03.04.2022
Размер5.26 Mb.
Формат файлаpdf
Имя файлаinformacionnaya_bezopasnost.pdf
ТипУчебное пособие
#437466
страница26 из 36
1   ...   22   23   24   25   26   27   28   29   ...   36
блокировка определенных типов
файлов. Это, как правило, исполняемые файлы (exe, com, bat) и файлы, содержащие макросы и OLE-объекты (файлы, созданные в приложениях MS
Office).

266
Рис. 18.12 - Негативное воздействие различных факторов на незащищенную почтовую систему
Серьезную опасность для корпоративной сети представляют различного рода атаки с целью «засорения» почтовой системы. Это, в первую очередь, пересылка в качестве вложений в сообщениях электронной почты файлов больших объемов или многократно заархивированных файлов.
«Открытие» таких файлов или попытка «развернуть» архив может привести к
«зависанию» системы. При этом одинаково опасны как умышленные атаки этого типа, например, «отказ в обслуживании» (Denial of Service) и
«почтовые бомбы» (mail-bombs), так и «неумышленные», когда пользователи отправляют электронные письма с вложениями большого объема, просто не подумав о том, к каким последствиям может привести открытие подобного файла на компьютере адресата.
Действенный способ избавиться от «засорения» почтовой системы и
ее перегрузки — фильтрация по объему передаваемых данных, по количеству
вложений в сообщения электронной почты и глубине вложенности
архивированных файлов.
Другой особенностью электронной почты является ее доступность и простота в использовании. Во многом результатом этого стало широкое и повсеместное применение этого вида сервиса Интернет. Стихийность развития и отсутствие единых правил функционирования почтового сервиса привели к неконтролируемому использованию электронной почты, а в связи с этим, и к возникновению целого ряда рисков, связанных с неуправляемой циркуляцией электронной почты в сети.
Отсутствие контроля над почтовым потоком, как правило, становится причиной того, что сотрудники компании используют электронную почту в

267
целях, не связанных с деятельностью компании (например, для обмена видео-файлами и графикой, частной переписки, ведения собственного бизнеса с использованием почтовых ресурсов компании, рассылки резюме в различные организации и т.п.).
Кроме того, к такому же результату может привести непродуктивное
использование почтовых ресурсов в трудовой деятельности сотрудников
(например, чрезмерное увлечение почтовой перепиской в случаях, когда необходимости в такой переписке нет, использование электронной почты не по назначению и т.п.). Причиной этого, как правило, является отсутствие в компании правил, регламентирующих использование системы электронной почты. Последствиями непродуктивного использования почтового сервиса являются снижение производительности труда в компании, а также излишние финансовые затраты. Сэкономить средства в значительной степени поможет проведение анализа эффективности использования системы
электронной почты, который основывается на базе статистических
данных о функционировании системы. Подобную статистику возможно
получить лишь в случае ведения архива электронной почты. Обработка информации, содержащейся в архиве, позволяет получать отчеты о различных параметрах электронной почты, ее объемах и структуре, представить наглядную картину использования почтового трафика сотрудниками компании, а это, в свою очередь, поможет предотвратить использование электронной почты, несвязанное с деятельностью компании, и повысить эффективность работы корпоративной почтовой системы.
Передача в электронных письмах графических, видео и звуковых файлов, которые, как правило, имеют большой объем даже если такая передача предусмотрена условиями ведения бизнеса, приводит к значительной перегрузке сети, соответственно к дополнительным финансовым затратам на ее обслуживание. Избежать этого, а значит и добиться значительной экономии средств компании, поможет, так называемая, отложенная доставка писем, которая позволяет доставлять сообщения больших объемов в то время, когда загрузка сети не имеет критического значения (например, в ночное время, в выходные дни и т.п.).
К «засорению» трафика также ведет рассылка спама. Как правило, это письма, содержащие навязчивые предложения самых разнообразных услуг, товаров и т.п. Такого рода почта является «группой риска» с точки зрения переноса вирусов. Большое количество ненужной почты загружает каналы,
«замусоривает» почтовые ящики, отнимает время на удаление ненужных писем и повышает вероятность случайного удаления нужных. Конечно рассылка, например, сообщений рекламного характера, напрямую не преследует цели «засорить» почтовую систему организации, однако косвенно приводит к негативным последствиям. Использование списков рассылки, в которую могут входить все пользователи одной корпоративной сети, и получение одновременно всеми этими пользователями сообщений рекламного характера грозит компании снижением производительности ее

268 сетевых ресурсов. Блокировка спама, в первую очередь, связана с контекстным анализом сообщений, то есть проверкой электронной почты на наличие ключевых слов и выражений, которые обычно употребляются в сообщениях рекламного характера.
Переписка с внешними корреспондентами представляет наибольшую угрозу из-за особенностей электронной почты
(невозможность контролировать маршрут передачи писем, а также их копирование и перенаправление, осуществлять аутентификацию отправителя/получателя, возвращать письма после их отправления). Кроме того невозможен либо затруднен контроль количества отправляемых копий письма. Содержимое сообщения может быть прочитано в процессе передачи его по Интернету, поскольку заголовки и содержимое электронных писем часто передаются в открытом виде.
Рис. 18.13 - Проблемы, возникающие при пересылке электронной почты через Интернет
Другой проблемой, связанной с особенностями электронной почты, является то, что электронная почта позволяет неконтролируемое накопление информации в архивах и практически неуничтожима. В противоположность бытующему мнению, удалить электронную почту непросто. Резервные копии сообщений могут оставаться на персональных компьютерах отправителя и получателя или в сети компаний, где они работают. Если электронное почтовое сообщение отправлено через коммерческую службу или через
Интернет, то оно будет передаваться через несколько различных серверов.

269
Каждый сервер в цепочке между отправителем и получателем может сохранить копию сообщения в своих архивах. Даже методичное выяснение местонахождения каждой копии электронного письма с последующим его удалением не дает никакой гарантии того, что сообщение не осталось на жестком диске компьютера или сервера.
Все эти особенности, а также простота копирования электронного сообщения и невозможность проконтролировать данную операцию приводят к тому, что сотрудник может передать корпоративную информацию любому количеству людей как внутри, так и за пределами компании анонимно и без соответствующего разрешения, сразу или по истечении какого-либо времени.
При этом, такая информация может представлять собой служебную информацию компании это грозит серьезным нарушением конфиденциальности и может привести к неприятным для компании последствиям.
Чтобы обеспечить
защиту
от
утечки
конфиденциальной
информации из сети, необходимо осуществлять контроль адресатов,
фильтрацию передаваемых данных на наличие в текстах сообщений или в прикрепленных к электронному письму файлах слов и выражений,
имеющих отношение к «закрытой» тематике, осуществлять разграничение доступа различных категорий пользователей к архивам электронной почты и т.п.
Одно из основных отличий электронной почты состоит в формальном к ней отношении (по сравнению с другими видами коммерческих коммуникаций):
- Во-первых, большинство пользователей относятся к электронной почте как к чему-то временному, то есть поступают с ней по принципу «прочитал и выкинул». При таком отношении существует риск случайного удаления значимой информации. Кроме того, существует опасность потери переписки с важным клиентом. Все эти проблемы решаются путем создания в организации архива
электронной почты.
- Во-вторых, такое отношение к электронной почте приводит к тому, что из-за кажущейся недолговечности электронных сообщений люди часто используют их для того, чтобы выразить чувства и мнения в выражениях, которые они никогда не позволили бы себе употребить в традиционных письмах. Публикация таких писем в сети может нанести серьезный ущерб репутации компании или явиться причиной юридических исков к ней.
Еще одна область связана с возможностью привлечения к юридической ответственности компании и ее сотрудников — за нарушение авторского
права. Защищенные этим правом материалы могут содержаться или в сообщении электронной почты, или в присоединенных файлах. К подобным материалам относятся графическая, аудио, видео и различная текстовая информация, т. е. любая информация, которая может быть представлена в

270 электронном виде и передана по компьютерным сетям. Копирование или распространение этих материалов без предварительного согласия автора или владельца авторских прав является нарушением закона. Если компания допускает, чтобы материалы почты, защищенные авторским правом, использовались сотрудниками, не имеющими на это полномочий, то она может быть привлечена к ответственности за прямое или косвенное пособничество нарушению авторского права.
18.4.2 Средства обеспечения безопасности электронной почты
Учитывая описанные выше риски, связанные с использованием электронной почты, организациям необходимо принять соответствующие меры для защиты от них.
Подход к защите должен быть всесторонним и комплексным —
необходимо
сочетать
организационные
меры
с
использованием
соответствующих технических средств.
К организационным мерам относятся разработка и внедрение в компании политики использования электронной почты. Технические средства должны обеспечить выполнение данной политики как за счет мониторинга почтового трафика, так и за счет адекватного реагирования на нарушения.
Очень важно отметить, что политика использования электронной почты первична по отношению к средствам ее реализации, поскольку составляет основу для формирования комплекса мер по защите информационной системы от вышеперечисленных рисков. Сначала необходимо сформулировать политику, составить правила использования электронной почты, определить, как созданная система должна реагировать на определенные нарушения данной политики и только затем переводить правила на компьютерный язык того средства, которое используется для контроля выполнения положений политики использования электронной почты.
К таким техническим средствам относится специальное программное обеспечение, называемое система контроля содержимого электронной
почты (content security software). В функции таких систем входит контроль почтового трафика и ведение архива переписки по электронной почте. К данным системам предъявляются следующие требования:
- Проведение текстового анализа;
- Фильтрация передаваемых данных:
1. по размеру и объему данных;
2. по количеству вложений в сообщения электронной почты;
3. по типу файлов (вложенных в электронную почту);
4. по адресу электронной почты;
- Контроль использования почтовых ресурсов и разграничение доступа к ним различных категорий пользователей;

271
- Отложенную доставку сообщений электронной почты по расписанию;
- Ведение полнофункционального архива электронной почты.
Рис. 18.14 - Решение проблем защиты почтовой системы
Выполнение этих требований обеспечивается применением в средствах защиты определенных механизмов. К таким механизмам могут относиться:
1. Рекурсивная декомпозиция (специальный алгоритм, применяемый для разбора сообщений электронной почты на составляющие компоненты с последующим анализом их содержимого);
2. Эвристическое определение кодировок текстов;
3. Определение типа файлов по сигнатуре;
4. Полнотекстовый поиск по архиву электронной почты и т.п.
18.4.3 Политика использования электронной почты
Средство защиты — система контроля содержимого электронной почты, само по себе никаких задач по обеспечению безопасности не решает.
Это всего лишь «машина», которая помогает человеку в решении данной проблемы. Поэтому задачу по обеспечению безопасности необходимо такой
«машине» поставить. Это означает, что должен быть выработан специальный набор правил, который в дальнейшем будет переведен на язык машины.
Данный
набор
правил
называется
«политикой
использования
электронной почты».
Во многих организациях такие правила существуют уже длительное время. Как и всякая ограничительная мера, они создают определенные

272 неудобства пользователям системы, а если пользователю что-то неудобно, он либо перестает этим пользоваться, либо старается обойти препятствия.
Поэтому такого рода политики, не подкрепленные техническими средствами контроля за их выполнением, постепенно теряют силу. Программные системы, ориентированные на фильтрацию почты, следует позиционировать именно как инструмент для внедрения и контроля исполнения этих правил.
Таким образом, политика использования электронной почты — это
закрепленные в письменном виде и доведенные до сотрудников
инструкции и другие документы, которые регламентируют их
деятельность и процессы, связанные с использованием системы
электронной почты. Данные документы и инструкции обладают юридическим статусом и, как правило, предоставляются для ознакомления сотрудникам организации.
Политика использования электронной почты является важнейшим элементом общекорпоративной политики информационной безопасности и неотделима от нее.
Политика должна соответствовать следующим критериям:
- Быть лаконично изложенной и понятной всем сотрудникам компании, простота написания не должна привести к потере юридического статуса документа;
- Исходить из необходимости защиты информации в процессе экономической деятельности компании;
- Быть согласованной с другими организационными политиками компании (регламентирующими финансовую, экономическую, юридическую и другие сферы деятельности компании);
- Иметь законную силу, т.е. политика, как документ, должна быть одобрена и подписана всеми должностными лицами руководящего звена компании, а ее выполнение должно быть детально продумано;
- Не противоречить федеральным и местным законам;
- Определять меры воздействия на сотрудников, нарушивших положения данной политики;
- Соблюдать баланс между степенью защищенности информации и продуктивностью деятельности компании;
- Детально определять мероприятия по обеспечению политики использования электронной почты в компании.
Политика использования электронной почты, как правило, рассматривается с двух сторон — как официально оформленный юридический документ и как материал, который описывает технику реализации политики.
Как документ политика должна включать:
- Положение, что электронная почта является собственностью компании и может быть использована только в рабочих целях.

273
- Указание на то, что применение корпоративной системы электронной почты не должно противоречить законодательству РФ и положениям политики безопасности.
- Инструкции и рекомендации по использованию и хранению электронной почты.
- Предупреждение о потенциальной ответственности сотрудников компании за злоупотребления при использовании электронной почты в личных целях и возможном использовании электронной почты в судебных и служебных разбирательствах.
- Письменное подтверждение того, что сотрудники компании ознакомлены с политикой использования электронной почты и согласны с ее положениями.
С технической точки зрения политика устанавливает правила использования электронной почты, то есть определяет следующее:
Что контролируется
Прохождение каких сообщений входящей, исходящей или внутренней электронной почты должно быть разрешено или запрещено.
На кого распространяется
Категории лиц, которым разрешено или запрещено отправлять исходящие или получать входящие сообщения электронной почты.
Как реагирует система
Что необходимо делать с теми или иными сообщениями электронной почты, которые удовлетворяют или не удовлетворяют критериям, определенным правилами использования электронной почты.
18.4.4 Системы контроля содержимого электронной почты
Внедрение политики использования электронной почты требует от руководства компании понимания, что наличие только документально оформленной политики не гарантирует ее выполнения. Необходимо создание в компании соответствующих условий реализации данной политики. При этом важнейшим условием является наличие в корпоративной сети программно-технических средств контроля выполнения положений и требований политики. К таким средствам относятся системы контроля содержимого электронной почты.
Системы контроля содержимого электронной почты — это
программное обеспечение, способное анализировать содержание письма
по различным компонентам и структуре в целях реализации политики
использования электронной почты.
К особенностям данных продуктов относятся:
1. Применение при анализе содержания специально разработанной политики использования электронных писем.

274 2. Способность осуществлять
«рекурсивную декомпозицию» электронных писем.
3. Возможность распознавания реальных форматов файлов вне зависимости от различных способов их маскировки (искажение расширения файлов, архивирование файлов и т.п.).
4. Анализ множества параметров сообщения электронной почты.
5. Ведение архива электронной почты
6. Анализ содержимого сообщения электронной почты и прикрепленных файлов на наличие запрещенных к использованию слов и выражений.
Системы контроля электронной почты помимо основной своей задачи мониторинга почтового трафика способны выполнять и другие функции.
Практика показала, что в настоящее время такие системы используются в качестве:
1. Средств управления почтовым потоком.
2. Средств управления доступом.
3. Средств администрирования и хранения электронной почты.
4. Средств аудита контента
(важнейшую функцию которого осуществляет архив электронной почты).
5. Основы системы документооборота.
18.4.5 Требования к системам контроля содержимого электронной почты
Спектр возможностей всех категорий систем контроля содержимого электронной почты достаточно широк и существенно меняется в зависимости от производителя. Однако ко всем системам предъявляются наиболее общие требования, которые позволяют решать задачи, связанные с контролем почтового трафика.
Основныме требования предьявляемые к таким системам - полнота и адекватность
1. Полнота — это способность систем контроля обеспечить
наиболее
глубокую
проверку
сообщений
электронной
почты.
Это предполагает, что фильтрация должна производиться по всем компонентам письма. При этом ни один из объектов, входящих в структуру электронного сообщения, не должен быть «оставлен без внимания». Условия проверки писем должны учитывать все проблемы, риски и угрозы, которые могут существовать в организации, использующей систему электронной почты.
2. Адекватность — это способность систем контроля содержимого
как можно более полно воплощать словесно сформулированную политику
использования электронной почты, иметь все необходимые средства
реализации написанных людьми правил в понятные системе условия
фильтрации.

275
К другим наиболее общим требованиям относятся:
3. Текстовый анализ электронной почты - анализ ключевых слов и выражений с помощью встроенных словарей. Данная возможность позволяет обнаружить и своевременно предотвратить утечку конфиденциальной информации, установить наличие запрещенного содержания, остановить рассылку спама, а также передачу других материалов, запрещенных политикой безопасности. При этом качественный анализ текста должен предполагать морфологический анализ слов, то есть система должна иметь возможность генерировать и определять всевозможные грамматические конструкции слова. Эта функция приобретает большое значение в связи с особенностями русского языка, в котором слова имеют сложные грамматические конструкции.
4. Контроль отправителей и получателей сообщений электронной
почты. Данная возможность позволяет фильтровать почтовый трафик, тем самым реализуя некоторые функции межсетевого экрана в почтовой системе.
5. Разбор электронных писем на составляющие их компоненты
(MIME-заголовки, тело письма, прикрепленные файлы и т.п.), устранение
«опасных» вложений и последующий сбор компонентов письма воедино, причем с возможностью добавлять к сообщению электронной почты необходимые для администраторов безопасности элементы (например, предупреждения о наличии вирусов или «запрещенного» текста в содержании письма).
6. Блокировка или задержка сообщений большого размера до того
момента, когда канал связи будет менее всего загружен (например, в
нерабочее время). Циркуляция в почтовой сети компании таких сообщений может привести к перегрузке сети, а блокировка или отложенная доставка позволит этого избежать.
7. Распознавание графических, видео и звуковых файлов. Как правило, такие файлы имеют большой размер, и их циркуляция может привести к потере производительности сетевых ресурсов. Поэтому способность распознавать и задерживать данные типы файлов позволяет предотвратить снижение эффективности работы компании.
8. Обработка сжатых/архивных файлов. Это дает возможность проверять сжатые файлы на содержание в них запрещенных материалов.
9. Распознавание исполняемых файлов. Как правило, такие файлы имеют большой размер и редко имеют отношение к коммерческой деятельности компании. Кроме того, исполняемые файлы являются основным источником заражения вирусами, передаваемыми с электронной почтой. Поэтому способность распознавать и задерживать данные типы файлов позволяет предотвратить снижение эффективности работы компании и избежать заражения системы.
10. Контроль и блокирование спама. Циркуляция спама приводит к перегрузке сети и потере рабочего времени сотрудников. Функция контроля и блокирования спама позволяет сберечь сетевые ресурсы и предотвратить

276 снижение эффективности работы компании. Основными способами защиты от спама являются: проверка имен доменов и IP-адресов источников рассылки спама по спискам, запрос на указанный адрес отправителя
(блокировка в случае отсутствия ответа), текстовый анализ спам-сообщения на наличие характерных слов и выражений в заголовках электронной почты
(from/subject), проверка заголовков на соответствие спецификации RFC-822 и т.п.
11. Способность определять число вложений в сообщениях
электронной почты. Пересылка электронного письма с большим количеством вложений может привести к перегрузке сети, поэтому контроль за соблюдением определенных политикой информационной безопасности ограничений на количество вложений обеспечивает сохранение ресурсов корпоративной сети.
12. Контроль
и
блокирование
программ-закладок
(cookies), вредоносного мобильного кода (Java, ActiveX, JavaScript, VBScript и т.д.), а также файлов, осуществляющих автоматическую рассылку (так называемые
«Automatic Mail-to»). Эти виды вложений являются крайне опасными и приводят к утечке информации из корпоративной сети.
13. Категоризация
ресурсов
почтовой
системы
компании
(«административный», «отдел кадров», «финансы» и т.д.) и разграничение доступа сотрудников компании к различным категориям ресурсов сети (в т.ч. и в зависимости от времени суток).
14. Реализация различных вариантов реагирования, в том числе: удаление или временная блокировка сообщения; задержка сообщения и помещение его в карантин для последующего анализа; «лечение» зараженного вирусом файла; уведомление администратора безопасности или любого другого адресата о нарушении политики безопасности и т.п.
15. Возможность модификации данных, которая предусматривает, например, удаление неприемлемых вложений и замену их на тексты заданного содержания. Такая возможность позволит администратору удалять из писем прикрепленные файлы, тип которых запрещен политикой безопасности компании. К таким типам могут относиться исполняемые, видео и звуковые файлы, не имеющие отношения к деятельности компании.
А это, в конечном итоге, позволит избежать заражения сети вирусами и добиться от сотрудников продуктивного использования почтового сервиса.
16. Ведение полнофункционального архива электронной почты,
способного обеспечить хранение в режиме on-line большого количества
электронной почты с высоким уровнем доступности данных. На основании хранящейся в архиве информации, возможно проводить дальнейший анализ почтового потока компании, корректировать работу системы, осуществлять анализ инцидентов, связанный с злоупотреблением сотрудниками компании почтовым сервисом и т.п.

277
На Рис. 18.15 представлена последовательность работы типичной системы контроля содержимого электронной почты. Схема обработки сообщения, как правило, включает в себя следующие этапы: рекурсивная декомпозиция электронного письма; анализ содержимого электронного письма; «категоризация» электронного письма (отнесение к определенной категории); действие над письмом по результатам присвоения категории.
Рис. 18.15 - Схема обработки сообщения системой контроля содержимого электронной почты
18.4.6 Принципы функционирования систем контроля содержимого
электронной почты
Каждое попадающее в систему электронное письмо должно проверяться на соответствие заданным условиям. При этом, по меньшей мере, должны выполняться следующие условия отбора писем:
- условия на почтовые заголовки;

278
- условия на структуру письма (наличие, количество и структура вложений);
- условия на типы вложений (MS Office, исполняемые, архивы и т.п.);
- условия на содержимое (текст) писем и вложений;
- условия на результат обработки письма.
Кроме того, система должна позволять анализировать почтовые сообщения по всем их составляющим: атрибутам конверта, заголовкам сообщения, MIME-заголовкам, телу сообщения, присоединенным файлам.
18.4.6.1 Категоризация писем и фильтрация спама
Рассмотрим вопрос категоризации писем. Важно отметить, что гибкость при фильтрации почтовых сообщений особенно необходима, когда это касается такой проблемы, как спам. Одним из главных критериев выбора системы контроля содержимого электронной почты в настоящее время является как раз ее способность как можно более качественно справляться с данной проблемой.
Существует четыре основные методики определения, какое письмо
относится к спаму, а какое нет.
1. Выявление спама по наличию в письме определенных признаков, таких как наличие ключевых слов или словосочетаний, характерное написание темы письма (например, все заглавные буквы и большое количество восклицательных знаков), а также специфическая адресная информация.
2. Определение адреса отправителя и его принадлежности к, так
называемым, «черным спискам» почтовых серверов Open Relay Black List
(ORBL). В эти списки заносятся те серверы, которые замечены в массовых рассылках спама и идея состоит в том, чтобы вообще не принимать и не транслировать почту, исходящую с этих серверов.
3. Совместное
использование
методик
по
фильтрации
по
определенным признакам и проыеркой «черных списко». По продуктивности мало чем отличается от двух первых. Результаты тестирования хорошо настроенного фильтра с применением обеих методик показывают, что из
100% спам-сообщений обнаруживается только 79,7%. При этом был выявлен значительный процент ложных срабатываний, а это значит, что к спаму были отнесены обычные письма (1,2% от задержанных писем), а это грозит для компании потерей важной информации. Некачественное разделение спама и обычных писем обусловлено, в том числе и некоторой «однобокостью» стандартных фильтров. При отбраковке писем учитываются «плохие» признаки и не учитываются «хорошие», характерные для полезной переписки.
4. автоматическая настройка фильтров согласно особенностям
индивидуальной переписки, а при обработке учет признаков как «плохих»,

279
так и «хороших» фильтров. Эта четвертая методика, предложенная американским программистом и предпринимателем Полом Грэмом.
Методика основывается на теории вероятностей и использует для фильтрации спама статистический алгоритм Байеса. По имеющимся оценкам, этот метод борьбы со спамом является весьма эффективным. Так, в процессе испытания через фильтр были пропущены 8000 писем, половина из которых являлась спамом. В результате система не смогла распознать лишь 0,5% спам-сообщений, а количество ошибочных срабатываний фильтра оказалось нулевым.
Требование полного разбора письма при решении задачи категоризации следует дополнить требованием устойчивости.
- Во-первых, система должна быть устойчивой по отношению к
обработке писем с некорректной стрктурой. Структура письма подчиняется определенным правилам.
Разбор письма на составляющие основан на применении этих правил к конкретному письму. Возможны случаи, когда почтовая программа автора письма формирует письмо с нарушением этих правил. В этом случае письмо не может быть корректно разобрано..
- Во-вторых, система должна надежно определять типы файлов-
вложений. Под «надежностью» имеется в виду определение, не основанное на имени файла, а также на информации, вписываемой в письмо почтовым клиентом при прикреплении файла (mime-type).
Такая информация может быть недостоверна либо в результате сознательных попыток обмануть систему контроля, либо в результате неправильных настроек почтовой программы отправителя. Бессмысленно запрещать пересылку файлов типа
JPEG, если файл picture.jpg после переименования в page.txt пройдет незамеченным.
- В-третьих, система болжна обеспечивать полноту проводимых
проверок, то есть высокое количество и разнообразие критериев
анализа
электронной
почты.
При этом система должна осуществлять фильтрацию по любым атрибутам сообщений, по объему сообщений и вложенных файлов, по количеству и типу вложений, по глубине вложенности, а также уметь анализировать содержимое прикрепленных файлов вне зависимости от того, являются ли эти файлы сжатыми или архивными. Существенным преимуществом многих продуктов является возможность создания собственного сценария обработки сообщений электронной почты.
При анализе текста нужно иметь возможность работать с нормализованными словоформами и т.д.

280
18.4.6.2 Реализациия политики использования
Рассмтрим не отдельные правила, а все множество правил, составляющих политику. Любая реалистичная политика состоит из целого множества правил, которые, естественно, объединяются в группы. Очевидно, что правила для исходящей почты отличаются от правил для входящей, правила для руководства компании — от правил для рядовых сотрудников и т.д. Более того, поскольку правила применяются к письму в определенной последовательности, хотелось бы, чтобы эта последовательность была логичной и могла зависеть от результатов анализа письма. Все это вместе приводит к требованию «прозрачности»: правила, заданные в системе, должны «читаться» как правила, написанные на естественном языке, понятном человеку.
Все сказанное выше относилось к анализу письма. Однако сам по себе анализ ничего не дает. По его результатам письмо должно быть отнесено к какой-нибудь категории (безопасное, важное, неразрешенное и т.п.). Если такая категоризация проведена, то можно говорить о каких-либо действиях по отношению к проанализированному письму, например, доставить его адресату, заблокировать, и т.д. Другими словами, необходима возможность задавать системе правила, по которым она обрабатывает письма.
Рис. 18.16 - Фильтрация по всем компонентам письма

281
Любое правило можно представить себе как связку «условие + действие». Какие же действия нужны для того, чтобы обеспечить реализацию разумной политики?
Само по себе отнесение письма к определенной категории уже может рассматриваться как неявное действие. На этом действии следует остановиться подробнее. Дело в том, что жесткая категоризация как основа для принятия решений по электронному письму оказывается весьма непрактичной. Действительно, пусть мы выделили категорию писем
«письмо, отправленное на запрещенный адрес» для того, чтобы блокировать доставку. С другой стороны, у нас может быть категория «письма руководства компании», которые надо отправлять безусловно. Что делать с письмом президента, отправленным по «запрещенному» адресу? Здравый смысл подсказывает, что приоритет должен быть отдан категории «письма руководства компании», что, безусловно, и будет сделано в системе с жесткой категоризацией. Однако будет потеряна существенная информация о письме. Разумный выход из таких ситуаций заключается в возможности относить письма сразу к нескольким категориям. Такая «свободная категоризация» позволит системе гибко реагировать на самые различные комбинации данных, содержащихся в письмах.
На Рис. 18.17 показана схема действий, поддерживаемых правилами фильтрации почтовых сообщений типичной системы контроля содержимого электронной почты.
Рис. 18.17 - Схема реагирования типичной системы контроля содержимого электронной почты

282
18.4.6.3 Долговременное хранение и архивирование
В последнее время большое значение для обеспечения безопасности информационных систем приобрело наличие в компании архива почтовых сообщений.
Некоторые разработчики систем контекстного анализа предусматривают прикрепление к своим продуктам специальных модулей архивирования. Именно наличие архива электронной почты и определяет в настоящее время полнофункциональность продуктов этой категории. При этом ведение архива — это не просто автоматическая архивация почтовых сообщений в файл, а способность регистрации сообщений и учета необходимой информации на протяжении всего жизненного цикла сообщения, возможность получения любых выборок и статистики из архива по запросам, созданным с использованием любых критериев.
Кроме того, долговременный архив предоставляет возможность ретроспективного анализа почтовых потоков и не только позволяет найти виновных в нарушении принятых в компании правил по прошествии определенного времени, но и дает материал для построения объективной и обоснованной политики использования электронной почты.
18.4.6.4 Контекстный контроль содержимого
Отличительным признаком средств контекстного анализа является способность накопления статистики и генерации отчетов. Многие продукты имеют в своем арсенале только встроенные формы отчетов, другие способны осуществлять только просмотр статистики работы конкретного пользователя системы электронной почты.
Одним из основных критериев оценки систем контекстного анализа для российского рынка является поддержка продуктом различных кодировок кириллицы (СР1251, СР866, ISO8859-5, KOI8-R, MAC), что дает возможность анализа русскоязычных текстов. Кроме того, «проклятие» множественных кодировок тяготеет над российскими информационными системами. Все осложняется тем, что разные части письма, включая почтовые заголовки, могут быть написаны в разных кодировках. Вдобавок эти кодировки не всегда указаны или не всегда указаны верно.
Рассмотрим вопрос, касающийся архитектуры систем контроля содержимого электронной почты. В подобных продуктах уникальной особенностью является открытая архитектура, которая позволяет разработчикам расширять функциональные возможности системы, интегрируя в нее дополнительные модули и не затрагивая ее ядра. Это дает возможность постоянно наращивать способности системы контроля содержимого по защите электронной почты и одновременно с этим экономить значительные средства, которые могут потребоваться на модернизацию всей системы.

283
1   ...   22   23   24   25   26   27   28   29   ...   36


написать администратору сайта