Как это работает

Программный продукт SecureTower состоит из нескольких компонентов, каждый из которых отвечает за выполнение определенной задачи, что предусматривает возможность масштабирования системы перехвата и обеспечивает ее надежное функционирование даже в условиях высоких нагрузок на сеть.

Продукт имеет клиент-серверную архитектуру. Серверная часть продукта включает сервер перехвата, сервер базы данных, сервер обработки информации и сервер контроля рабочих станций. Клиентская часть продукта содержит консоль администратора и консоль службы безопасности и выступает в качестве графического интерфейса пользователя.

Серверные компоненты SecureTower

Сервер перехвата трафика
Сервер осуществляет перехват трафика с сетевого адаптера специально выделенного компьютера с последующим анализом и сохранением перехваченной информации в базе данных.

База данных
Данные, извлеченные сервером перехвата (электронные письма, файлы, сообщения и т.д.), сохраняются в базу данных (поддерживаемые СУБД - Microsoft SQL Server, Oracle, Postgre SQL, SQLite,MySQL). Эти данные используется сервером обработки информации для построения и обновления поисковых индексов, а также при необходимости извлечения конкретных документов для просмотра пользователем.

Сервер обработки информации
Сервер отвечает за выполнение нескольких задач: индексирование перехваченных данных, полнотекстовый поиск по ним, автоматический анализ данных и отправка уведомлений о передаче конфиденциальных данных. При обнаружении данных, удовлетворяющих заданным службой безопасности правилам, центр безопасности (компонент сервера) формирует отчеты и направляет их на указанные адреса электронной почты.

Сервер контроля рабочих станций
Сервер предназначен для централизованной установки на рабочие станции агентов для перехвата шифрованного трафика (Skype, SSL) и данных, передаваемых на внешние устройства и принтеры. Кроме того, сервер контроля рабочих станций отслеживает состояние всех установленных в сети агентов и, в случае отсутствия, сбоя или принудительного отключения агентов пользователем какой-либо конечной станции, автоматически производит повторную установку агентов на соответствующей станции. Агенты устанавливаются удаленно с помощью консоли администратора.

Пользовательский интерфейс

Консоль службы безопасности
Это основная графическая оболочка программы, в которой пользователь осуществляет непосредственную работу с продуктом. Консоль позволяет осуществлять полнотекстовый поиск по ключевым словам, просматривать перехваченные данные в удобном представлении, анализировать их. При помощи карточек пользователя осуществляется анализ деятельности конкретных сотрудников, а также идентификация человека, передавшего подозрительные данные. Кроме того, в консоли производится настройка отправки уведомлений о нарушениях политики информационной безопасности.

Консоль администратора
Консоль администратора используется для настройки работы всех компонентов продукта. Консоль позволяет устанавливать и изменять параметры перехвата и периодичность индексирования данных. В консоли представлены широкие возможности по фильтрации данных при перехвате. Также при помощи консоли можно просмотреть статистику перехвата трафика в режиме реального времени, настроить систему уведомлений о работе самой системы перехвата (перегруженность системы или базы данных) и произвести установку удаленных агентов на рабочие станции сети для перехвата шифрованного трафика, а также данных, передаваемых на внешние устройства и принтеры.

Алгоритм работы продукта

Весь внешний трафик зеркалируется на сервер перехвата с помощью управляемого коммутатора.

На сервере перехвата осуществляется анализ полученного трафика, в ходе которого выделяется необходимая информация (электронные письма, файлы, сообщения и т.д.) и сохраняется во внешнем хранилище данных.

Данные Skype и шифрованный трафик перехватываются с помощью агентов, которые удаленно устанавливаются на рабочие станции сервером контроля рабочих станций. Агенты отслеживают любые действия с внешними устройствами и принтерами, отправляя все перехваченные данные серверу для обработки. Сервер, в свою очередь, направляет полученную от агентов информацию в базу данных.

На сервере обработки информации производится построение индексов информации, находящейся в базе данных, с последующим сохранением индексов в хранилище сервера обработки информации. В дальнейшем поиск будет осуществляться только по файлам поискового индекса, а не по всему объему информации, хранимой в базе данных. Центр безопасности (установленный на сервере обработки информации) взаимодействует с поисковым сервисом и клиентской консолью. Центр в автоматическом режиме осуществляет отправку запросов поисковому сервису. При обнаружении данных, удовлетворяющих заданным службой безопасности правилам, центр безопасности формирует отчеты и направляет их на указанные адреса электронной почты. Клиентская консоль позволяет настраивать необходимые параметры работы центра безопасности и задавать список правил для поисковых запросов, а также просматривать журнал событий о работе центра безопасности.

Работа консоли службы безопасности построена на непосредственном взаимодействии с сервером обработки информации. В консоли предоставляется доступ к просмотру результатов поиска, отчетов о деятельности пользователей и уведомлений о случаях утечки информации.

Консоль администратора используется для настройки работы всех подсистем продукта: сервера перехвата, базы данных, сервера обработки информации и контроля рабочих станций.