О применении DLP-систем для защиты данных в корпоративных сетях
Проанализирована возможность использования архитектуры DLP-системы для защиты данных в корпоративных сетях. Разработана программа для выполнения мониторинга системных событий в приложениях, определенных политиками информационной безопасности. Проаналізовано можливість використання архітектури DLP-си...
Saved in:
| Published in: | Комп’ютерні засоби, мережі та системи |
|---|---|
| Date: | 2011 |
| Main Authors: | , |
| Format: | Article |
| Language: | Russian |
| Published: |
Інститут кібернетики ім. В.М. Глушкова НАН України
2011
|
| Online Access: | https://nasplib.isofts.kiev.ua/handle/123456789/46464 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Journal Title: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Cite this: | О применении DLP-систем для защиты данных в корпоративных сетях / А.С. Крячок, А.В. Шевчук // Комп’ютерні засоби, мережі та системи. — 2011. — № 10. — С. 153-161. — Бібліогр.: 7 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1859673726861180928 |
|---|---|
| author | Крячок, А.С. Шевчук, А.В. |
| author_facet | Крячок, А.С. Шевчук, А.В. |
| citation_txt | О применении DLP-систем для защиты данных в корпоративных сетях / А.С. Крячок, А.В. Шевчук // Комп’ютерні засоби, мережі та системи. — 2011. — № 10. — С. 153-161. — Бібліогр.: 7 назв. — рос. |
| collection | DSpace DC |
| container_title | Комп’ютерні засоби, мережі та системи |
| description | Проанализирована возможность использования архитектуры DLP-системы для защиты данных в корпоративных сетях. Разработана программа для выполнения мониторинга системных событий в приложениях, определенных политиками информационной безопасности.
Проаналізовано можливість використання архітектури DLP-системи для захисту даних у корпоративних мережах. Розроблено програму для виконання моніторингу системних подій у додатках, визначених політиками інформаційної безпеки.
It is analyzed the possibility of using the DLP-system architecture for data protection in corporation networks. The program for system events monitoring was developed.
|
| first_indexed | 2025-11-30T15:06:46Z |
| format | Article |
| fulltext |
Комп’ютерні засоби, мережі та системи. 2011, № 10 153
A. Kriachok, A. Shevchuk
APPLICATION OF
DLP-SYSTEMS FOR DATA
PROTECTION IN
CORPORATION NETWORKS
It is analyzed the possibility of using
the DLP-system architecture for
data protection in corporation net-
works. The program for system
events monitoring was developied.
Key words: DLP-system, data pro-
tect, program’s system.
Проаналізовано можливість ви-
користання архітектури DLP-
системи для захисту даних у кор-
поративних мережах. Розроблено
програму для виконання моніто-
рингу системних подій у додат-
ках, визначених політиками інфо-
рмаційної безпеки.
Ключові слова: DLP-система,
захист даних, програмна система.
Проанализирована возможность
использования архитектуры DLP-
системы для защиты данных в
корпоративных сетях. Разрабо-
тана программа для выполнения
мониторинга системных событий
в приложениях, определенных по-
литиками информационной безо-
пасности.
Ключевые слова: DLP-система,
защита данных, программная
система.
А.С. Крячок, А.В. Шевчук, 2011
УДК 004.4: 381.3
А.С. КРЯЧОК, А.В. ШЕВЧУК
О ПРИМЕНЕНИИ DLP-СИСТЕМ
ДЛЯ ЗАЩИТЫ ДАННЫХ
В КОРПОРАТИВНЫХ СЕТЯХ
Введение. Широкое применение вычисли-
тельных сетей увеличивает важность задачи
защиты данных, поскольку существует веро-
ятность несанкционированного использова-
ния или модификации информации. На всех
этапах жизненного цикла информационной
системы данные подвергаются определен-
ным воздействиям. Основными причинами
случайных воздействий на систему могут
быть отказы и сбои аппаратуры, ошибки
в программном обеспечении, ошибки в рабо-
те персонала, помехи в линиях связи и ряд
других.
Несмотря на то, что современные опера-
ционные системы для персональных компь-
ютеров имеют собственные подсистемы за-
щиты [1], они не всегда способны в полной
мере обеспечить защиту данных от внутрен-
них нарушителей (работников, посетителей
или конкурентов).
Современные программные системы за-
щиты данных предназначены для блокиров-
ки портов и контроля доступа к защищенным
данным. Основным назначением систем бло-
кировки портов [2] является разграничение
прав доступа пользователей к внешним и
внутренним устройствам компьютеров в
масштабах организации, а также контроль
всех данных, записываемых на устройства.
IRM-системы [3] могут применяться для кон-
троля доступа пользователей к защищенным
файлам. Эти системы работают по следую-
щей схеме: защищаемый файл, помещается в
специальный зашифрованный контейнер, в
котором также сохраняются права доступа к
этому файлу.
А.С. КРЯЧОК, А.В. ШЕВЧУК
Комп’ютерні засоби, мережі та системи. 2011, № 10 154
Для доступа к содержимому контейнера, пользователь должен пройти ау-
тентификацию на IRM-сервере, получить ключи для расшифровки и иметь дос-
таточные для доступа права.
Постановка задачи. Приведенные системы имеют определенные ограниче-
ния: невозможность контроля перемещения файлов, необходимость помещения
информации в незащищенные контейнеры, требование отсутствия незашифро-
ванных файлов на диске, участие пользователя в работе системы. Поэтому ак-
туальна задача создания систем защиты конфиденциальных данных от несанк-
ционированной передачи и использования. Такие системы должны выполнять
мониторинг системных событий, анализировать используемые данные, на пред-
мет их конфиденциальности и, при некоторых условиях, выполнять действия
определенные в политиках информационной безопасности.
РИС. 1. Архитектура DLP-системы
Клиентское приложение
Интерфейс пользователя
Подсистема
сетевого
взаимодействия
Подсистема
обработки
сообщений
Подсистема
защиты
данных
Сообщения
Серверное приложение
База
данных
Подсистема
сетевого
взаимодействия
Подсистема
обработки
сообщений
Подсистема
защиты
данных
Подсистема
доступа к БД
Интерфейс пользователя
Функции
мониторинга
событий
WndProc
SetClipboardViewer
SendMessage
OnSourceInitialized
OnClosed
GetPrintJobsCollection
CancelPrintJob
О ПРИМЕНЕНИИ DLP-СИСТЕМ ДЛЯ ЗАЩИТЫ ДАННЫХ В КОРПОРАТИВНЫХ СЕТЯХ
Комп’ютерні засоби, мережі та системи. 2011, № 10 155
Одним из инструментов защиты данных от несанкционированного исполь-
зования и модификации являются системы предотвращения утечки данных, из-
вестные как DLP-системы [4], которые сочетают в себе технологии для защиты
информации на протяжении ее жизненного цикла и минимальное влияние на
работу пользователей. Основными функциями DLP-системы являются: центра-
лизованное управление, настройка политик безопасности, блокирование несанк-
ционированных перемещений данных, создание цифровых отпечатков докумен-
тов [5], формирование отчетов о работе системы.
Как правило, DLP-системы имеют клиент-серверную архитектуру (рис. 1)
и выполняют следующие функции:
создание политик информационной безопасности;
поиск уязвимых данных на компьютерах пользователей;
отслеживание данных в использовании и генерирование предупреждаю-
щих сообщений о нарушении политик безопасности;
карантин сообщений электронной почты, отслеживание системных со-
бытий и блокировка перемещения файлов.
DLP-системы имеют и некоторые недостатки. Например, когда данные вы-
ходят за пределы корпоративной сети по локальным каналам (USB, CD/DVD,
принтеры), то информация не попадает на уровень сетевого шлюза. Как следст-
вие, приходится выполнять анализ данных на компьютере пользователя, что
может привести к проблемам с эффективностью фильтрации и/или повышением
нагрузки.
Реализация задачи мониторинга системных событий. Рассматриваемая
в работе программная система построена на базе архитектуры DLP-системы.
Покажем более подробно реализацию функций мониторинга [6] системных со-
бытий операционной системы Windows на примере платформы .NET Framework
и языка программирования С#.
Для отслеживания операций буфера обмена (Cut, Copy, Print Screen и др.)
необходимо перегрузить оконную процедуру приложения
private IntPtr WndProc(IntPtr hwnd, int msg, IntPtr wParam, IntPtr lParam, ref
bool handled)
{
return IntPtr.Zero;
}
и создать окно просмотра буфера обмена, которое будет отражать текущее со-
держимое буфера и принимать сообщения при изменении его содержимого. Для
создания окна просмотра буфера обмена приложение должно выполнить сле-
дующие операции:
добавить окно к цепочке окон просмотра буфера обмена;
обработать сообщение WM_CHANGECBCHAIN;
обработать сообщение WM_DRAWCLIPBOARD;
удалить окно из цепочки окон просмотра буфера обмена.
А.С. КРЯЧОК, А.В. ШЕВЧУК
Комп’ютерні засоби, мережі та системи. 2011, № 10 156
Для добавления окна в цепочку окон просмотра буфера обмена необходимо,
чтобы окно добавило себя к цепочке окон просмотра буфера обмена, вызывая
функцию SetClipboardViewer импортируемую из библиотеки User32.dll:
[DllImport("User32.dll")]
private static extern int SetClipboardViewer(int hWndNewViewer);
Значение, которое возвращает данная функция, является дескриптором сле-
дующего окна в цепочке. Окно должно следить за этим значением, например, с
помощью сохранения его в переменной m_nextClipboardViewer. На следующем
шаге необходимо перегрузить функцию OnSourceInitialized, которая вызывается
при инициализации окна приложения, и, вызвав функцию SetClipboardViewer,
добавить обработчик событий с помощью функции AddHook, который будет по-
лучать все сообщения. В результате, получим следующий код:
protected override void OnSourceInitialized(EventArgs e)
{
base.OnSourceInitialized(e);
m_nextClipboardViewer = (IntPtr)SetClipboardViewer((int)this.WindowHandle);
m_hwndSource = PresentationSource.FromVisual(this) as HwndSource;
m_hwndSource.AddHook(WndProc);
}
Блок обработки сообщения WM_CHANGECBCHAIN может быть реализован
следующим образом. Окно просмотра буфера обмена принимает сообщение
WM_CHANGECBCHAIN в то время, когда другое окно удаляется из цепочки
окон просмотра буфера. Иными словами, это сообщение должно быть передано
в следующее окно в цепочке, с помощью функции SendMessage, импортируемой
из библиотеки User32.dll. Реализация этого блока может иметь такой вид:
[DllImport("User32.dll", CharSet = CharSet.Auto)]
private static extern int SendMessage(IntPtr hwnd, int wMsg, IntPtr wParam,
IntPtr lParam);
case WM_CHANGECBCHAIN:
{
if (wParam == m_nextClipboardViewer)
{
m_nextClipboardViewer = lParam;
}
else
{
SendMessage(m_nextClipboardViewer, msg, wParam, lParam);
}
break;
}
Обработка сообщения WM_DRAWCLIPBOARD предупреждает окно про-
смотра буфера обмена об изменении содержимого буфера. При обработке дан-
ного сообщения необходимо определить тип операции буфера обмена и отпра-
вить сообщение следующему окну в цепочке окон просмотра буфера.
О ПРИМЕНЕНИИ DLP-СИСТЕМ ДЛЯ ЗАЩИТЫ ДАННЫХ В КОРПОРАТИВНЫХ СЕТЯХ
Комп’ютерні засоби, мережі та системи. 2011, № 10 157
Для удаления окна из цепочки окон просмотра буфера обмена, необходимо
вызвать функцию ChangeClipboardChain, импортируемую из библиотеки
User32.dll. Выполнение данной части кода требует перегрузки функции
OnClosed, как показано далее:
protected override void OnClosed(EventArgs e)
{
base.OnClosed(e);
ChangeClipboardChain(this.WindowHandle, m_nextClipboardViewer);
if (m_hwndSource != null)
{
m_hwndSource.RemoveHook(WndProc);
}
}
После создания окна просмотра буфера обмена у приложения появляется
возможность отслеживать операции с буфером и блокировать их, вызывая ста-
тический метод Clear класса Clipboard.
Для блокировки возможности печати документов приложение должно от-
слеживать очередь принтера и отменять ее. Реализовать эти функции можно с
помощью технологии WMI, являющейся одной из базовых технологий для цен-
трализованного управления и отслеживания работы различных частей компью-
терной инфраструктуры под управлением платформы Windows. Важной особен-
ностью WMI является то, что объекты, которые хранятся в нем, соответствуют
динамическим ресурсам, поэтому параметры таких объектов не сохраняются
постоянно, а создаются по запросу потребителя данных. Хранилище свойств
объектов WMI называется репозиторием и расположено в системной папке опе-
рационной системы Windows:
%SystemRoot%\System32\WBEM\Repository\FS
Поскольку WMI построен по объектно-ориентированному принципу, то все
данные операционной системы представлены в виде объектов, их свойств и ме-
тодов. Для обращения к объектам WMI используется специфический язык за-
просов WQL, являющийся одной из разновидностей SQL. Основное его отличие
от ANSI SQL состоит в невозможности изменения данных, т. е. посредством
WQL возможна только выборка данных с помощью команды SELECT.
Получить доступ к очереди принтера можно через WMI класс
Win32_PrintJob, представляющий работу принтера. После выполнения запроса к
классу Win32_PrintJob, получаем список работ принтера, происходящих в на-
стоящее время. Пример функции GetPrintJobsCollection, получающей список
работ принтера, приведен далее:
public StringCollection GetPrintJobsCollection(string printerName)
{
StringCollection printJobCollection = new StringCollection();
string searchQuery = "SELECT * FROM Win32_PrintJob";
А.С. КРЯЧОК, А.В. ШЕВЧУК
Комп’ютерні засоби, мережі та системи. 2011, № 10 158
ManagementObjectSearcher searchPrintJobs = new ManagementObject-
Searcher(searchQuery);
ManagementObjectCollection prntJobCollection = searchPrintJobs.Get();
foreach(ManagementObject prntJob in prntJobCollection)
{
string jobName = prntJob.Properties["Name"].Value.ToString();
char[] splitArr = new char[] {','};
string jobPrinterName = jobName.Split(splitArr)[0];
string documentName = prntJob.Properties["Document"].Value.ToString();
if (jobPrinterName == printerName)
{
printJobCollection.Add(documentName);
}
}
return printJobCollection;
}
Отмена работы принтера осуществляется путем вызова метода Delete для
объекта из списка текущих работ. Пример функции CancelPrintJob, отменяющей
работу принтера, показан далее:
public bool CancelPrintJob(string printerName, int printJobId)
{
bool isActionPerformed = false;
string searchQuery = "SELECT * FROM Win32_PrintJob";
ManagementObjectSearcher searchPrintJobs = new
ManagementObjectSearcher(searchQuery);
ManagementObjectCollection prntJobCollection = searchPrintJobs.Get();
foreach(ManagementObject prntJob in prntJobCollection)
{
string jobName = prntJob.Properties["Name"].Value.ToString();
char[] splitArr = new char[] {','};
string jobPrinterName = jobName.Split(splitArr)[0];
int jobId = Convert.ToInt32(jobName.Split(splitArr)[1]);
string documentName = prntJob.Properties["Document"].Value.ToString();
if (jobPrinterName == printerName)
{
prntJob.Delete();
isActionPerformed = true;
break;
}
}
return isActionPerformed;
}
О ПРИМЕНЕНИИ DLP-СИСТЕМ ДЛЯ ЗАЩИТЫ ДАННЫХ В КОРПОРАТИВНЫХ СЕТЯХ
Комп’ютерні засоби, мережі та системи. 2011, № 10 159
Описание программного продукта. На основе выбранной архитектуры
(рис. 1) и предложенного программного алгоритма разработана клиент-
серверная DLP-система «DLP security package» [7], сочетающая в себе набор
технологий предотвращения утечки данных по локальным и сетевым каналам.
В серверном приложении формируются политики безопасности, в которых
определяется имя исполняемого файла приложения и действия, применяемых
при выполнении операций с буфером обмена. Клиентское приложение работает
в фоновом режиме, выполняя мониторинг системных событий. При возникнове-
нии определенного события, информация о нем передается серверному прило-
жению, которое, согласно политикам безопасности, принимает решение относи-
тельно действий по данному событию.
Результаты работы программного продукта. С использованием разрабо-
танного программного обеспечения был проведен ряд экспериментов. На рис. 2
показана экранная форма с результатами работы программы «DLP security
package» на примере приложения MS Word 2007, для которого в политиках
безопасности определено блокирование операции копирования данных в буфер
обмена.
РИС. 2. Создание политики безопасности для приложения MS Word 2007
При попытке пользователя выполнить операцию копирования текста,
данное событие будет отслежено (выполняется обработка сообщения
WM_DRAWCLIPBOARD в оконной процедуре WndProc) и заблокировано (с по-
мощью вызова статического метода Clear класса Clipboard), а на экране появит-
ся окно с сообщением о блокировании данной операции согласно политике
безопасности. На рис. 3 показана реакция системы на данную операцию.
А.С. КРЯЧОК, А.В. ШЕВЧУК
Комп’ютерні засоби, мережі та системи. 2011, № 10 160
РИС. 3. Сообщение о блокировании операции копирования текста
Результаты работы предлагаемой программы на примере приложения
Notepad, для которого в политиках безопасности определено блокирование опе-
рации печати документов, показаны на рис. 4.
РИС. 4. Создание политики безопасности для приложения Notepad
На рис. 5 показано диалоговое окно с сообщением о блокировании печати
документа, согласно политике безопасности, при попытке пользователя выпол-
нить данную операцию.
О ПРИМЕНЕНИИ DLP-СИСТЕМ ДЛЯ ЗАЩИТЫ ДАННЫХ В КОРПОРАТИВНЫХ СЕТЯХ
Комп’ютерні засоби, мережі та системи. 2011, № 10 161
РИС. 5. Сообщение о блокировании операции печати документа
Выводы. Таким образом, анализ известных систем контроля данных пока-
зал определенные ограничения в их применении. Учитывая это, предложено при
проектировании систем защиты конфиденциальных данных в корпоративных
сетях использовать современную архитектуру DLP-системы. На базе этой архи-
тектуры и разработанного оригинального алгоритма создана новая программа
«DLP security package» для выполнения мониторинга системных событий
Windows в приложениях, определенных политиками информационной безопас-
ности. Проведенные эксперименты показали высокую эффективность (широкий
круг решаемых задач и низкая ресурсоемкость) данного подхода при решении
задач ограничения несанкционированного использования и модификации дан-
ных.
1. Леонтьев Б.К. Microsoft Windows XP SP3. Скрытые возможности. – M.: HT npecc, 2006. –
240 c.
2. Система защиты портов, http://www.securit.ru/products/info/zlock/purpose
3. Зенкин Д. DLP и IRM: конкуренты или союзники?
http://www.it-world.ru/upload/iblock/7e8/55188.pdf
4. Martin L. Understanding DLP,
http://www.infosectoday.com/Articles/DLP/Understanding_DLP.htm
5. Schleimer S. Winnowing: Local Algorithms for Document Fingerprinting. – 8 p.
6. Румянцев П. Азбука программирования в Win 32 API. М.: Радио и связь, 2000. – 257 с.
7. Крячок О.С., Шевчук О.В. Комп’ютерна програма «DLP security package», Свідоцтво про
реєстрацію авторського права на твір № 38296 // Міністерство освіти і науки України.
Державна служба інтелектуальної власності; 11.05.2011.
Получено 12.07.2011
http://www.securit.ru/products/info/zlock/purpose/
http://www.it-world.ru/upload/iblock/7e8/55188.pdf
http://www.infosectoday.com/Articles/DLP/Understanding_DLP.htm
|
| id | nasplib_isofts_kiev_ua-123456789-46464 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | 1817-9908 |
| language | Russian |
| last_indexed | 2025-11-30T15:06:46Z |
| publishDate | 2011 |
| publisher | Інститут кібернетики ім. В.М. Глушкова НАН України |
| record_format | dspace |
| spelling | Крячок, А.С. Шевчук, А.В. 2013-06-30T07:38:16Z 2013-06-30T07:38:16Z 2011 О применении DLP-систем для защиты данных в корпоративных сетях / А.С. Крячок, А.В. Шевчук // Комп’ютерні засоби, мережі та системи. — 2011. — № 10. — С. 153-161. — Бібліогр.: 7 назв. — рос. 1817-9908 https://nasplib.isofts.kiev.ua/handle/123456789/46464 004.4: 381.3 Проанализирована возможность использования архитектуры DLP-системы для защиты данных в корпоративных сетях. Разработана программа для выполнения мониторинга системных событий в приложениях, определенных политиками информационной безопасности. Проаналізовано можливість використання архітектури DLP-системи для захисту даних у корпоративних мережах. Розроблено програму для виконання моніторингу системних подій у додатках, визначених політиками інформаційної безпеки. It is analyzed the possibility of using the DLP-system architecture for data protection in corporation networks. The program for system events monitoring was developed. ru Інститут кібернетики ім. В.М. Глушкова НАН України Комп’ютерні засоби, мережі та системи О применении DLP-систем для защиты данных в корпоративных сетях Application of DLP-systems for data protection in corporation network Article published earlier |
| spellingShingle | О применении DLP-систем для защиты данных в корпоративных сетях Крячок, А.С. Шевчук, А.В. |
| title | О применении DLP-систем для защиты данных в корпоративных сетях |
| title_alt | Application of DLP-systems for data protection in corporation network |
| title_full | О применении DLP-систем для защиты данных в корпоративных сетях |
| title_fullStr | О применении DLP-систем для защиты данных в корпоративных сетях |
| title_full_unstemmed | О применении DLP-систем для защиты данных в корпоративных сетях |
| title_short | О применении DLP-систем для защиты данных в корпоративных сетях |
| title_sort | о применении dlp-систем для защиты данных в корпоративных сетях |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/46464 |
| work_keys_str_mv | AT krâčokas oprimeneniidlpsistemdlâzaŝitydannyhvkorporativnyhsetâh AT ševčukav oprimeneniidlpsistemdlâzaŝitydannyhvkorporativnyhsetâh AT krâčokas applicationofdlpsystemsfordataprotectionincorporationnetwork AT ševčukav applicationofdlpsystemsfordataprotectionincorporationnetwork |