что необходимо выполнять для контроля безопасности электронной почты
Памятка по безопасной работе с корпоративной email-корреспонденцией
Составил небольшую памятку, надеюсь, она окажется полезной для вас и ваших коллег в противодействии социальной инженерии и фишингу.
Кто-то скажет «баян», кому-то подойдет как основа, если собственных инструкций для сотрудников нет или они занимают десятки страниц.
К слову, по роду деятельности, встречались организации, у которых не просто сотрудники не знают базовых правил информационной безопасности, но и железо с софтом уязвимы перед уловками «хитрецов».
Уже больше года существует полезный в узких кругах способ (теперь нет).
Если вставить ссылку на источник в виде обычного url, то otvet.mail.ru выдаст заглушку при клике.
Если же использовать «mail.ru@» перед вредным url, то заглушка не появляется.
А на одном из тестовых серверов с Windows машиной, запрещено было майнить криптовалюту через Coinhive на уровне фаервола. Разместив браузерный майнер на поддомене https://google.com.mainer. 1.ru, всё работало в плюс.
Но эта статья не об уязвимостях софта или железа, хоть их настройкой и занимаются люди.
В общем, читайте, редактируйте под себя, используйте.
Признаки в письмах, которым не стоит доверять:
Что делать при получении подозрительного письма:
Как быстро проверить подозрительную ссылку если у вас в организации нет инструкций на этот счет:
Надеюсь, материал окажется полезным. Его можно свободно использовать для повышения осведомленности ваших коллег как базовый материал, корректируя под себя.
В следующей статье составлю список тезисов, как различать вредоносные вложения и отправителя-злоумышленника. Оказалось, что не все пользователи знают, что «.exe» можно скрыть так
Желаю вам и вашим близким непопадаемости на уловки злоумышленников.
Правила безопасности электронной почты для малого бизнеса
Тот факт, что большая часть утечек конфиденциальной информации происходит через электронную почту, скорее всего не является новостью для большинства владельцев компаний. Но, возможно, вы насторожитесь, если узнаете, что малый бизнес особенно уязвим. За первую половину прошлого года общее число кибератак на компании, имеющие не более 250 сотрудников, выросло вдвое, а средние потери от атаки составили 188 000 долларов США. По данным центра стратегических и международных исследований кибератаки ежегодно наносят американской экономике ущерб в размере 100 млрд долларов США.
Именно поэтому знаменитая атака на электронную почту Sony в 2014 году стала знаковым событием: в каждой компании задумались о том, как избежать подобной печальной участи. Разумно предположить, что если можно взломать такую крупную компанию с глубоко эшелонированной системой безопасности, то малому бизнесу с его ограниченными ресурсами вообще не на что надеяться.
Но возможно, это не так. Существует много способов защитить ваш бизнес с помощью безопасной электронной почты. Поскольку безопасность компании определяется ее самым слабым звеном, ключом к успеху служит активное участие сотрудников в организации системы безопасности. Для начала выполните следующие семь рекомендаций.
Обеспечьте быстрый старт своему предприятию с помощью экспресс-курса по Microsoft 365
Обеспечьте ежедневную производительность своего коллектива, из любой точки мира, с помощью Microsoft 365.
В частности, сотрудников необходимо обучить следующим правилам:
Кроме того, в некоторых компаниях с успехом используется тестирование реакции сотрудников на фишинговые кампании, целевые фишинговые письма и другие угрозы кибербезопасности с последующим поощрением в случае успешного прохождения тестов.
Такие функции Office 365, как подсказки политики защиты от потери данных, способствуют контекстному обучению пользователей, информируя их о попытках небезопасного обмена данными, и тем самым предохраняют от неприятностей и поддерживают производительность. Кроме того, расширенная защита от угроз Exchange Online обеспечивает дополнительную защиту от определенных типов расширенных угроз.
Сведения об авторе
Что необходимо выполнять для контроля безопасности электронной почты
Александр ТАРАНОВ
Олег СЛЕПОВ
«Jet Info», #6/2003
Учитывая описанные выше риски, связанные с использованием электронной почты, организациям необходимо принять соответствующие меры для защиты от них. Подход к защите должен быть всесторонним и комплексным — необходимо сочетать организационные меры с использованием соответствующих технических средств. К организационным мерам относятся разработка и внедрение в компании политики использования электронной почты. Технические средства должны обеспечить выполнение данной политики как за счет мониторинга почтового трафика, так и за счет адекватного реагирования на нарушения.
Очень важно отметить, что политика использования электронной почты первична по отношению к средствам ее реализации, поскольку составляет основу для формирования комплекса мер по защите информационной системы от вышеперечисленных рисков. Сначала необходимо сформулировать политику, составить правила использования электронной почты, определить, как созданная система должна реагировать на определенные нарушения данной политики и только затем переводить правила на компьютерный язык того средства, которое используется для контроля выполнения положений политики использования электронной почты.
Рисунок 4. Решение проблем защиты почтовой системы.
К таким техническим средствам относится специальное программное обеспечение, называемое система контроля содержимого электронной почты (content security software). В функции таких систем входит контроль почтового трафика и ведение архива переписки по электронной почте. К данным системам предъявляются следующие требования:
Выполнение этих требований обеспечивается применением в средствах защиты определенных механизмов. К таким механизмам могут относиться:
Средство защиты — система контроля содержимого электронной почты, само по себе никаких задач по обеспечению безопасности не решает. Это всего лишь «машина», которая помогает человеку в решении данной проблемы. Поэтому задачу по обеспечению безопасности необходимо такой «машине» поставить. Это означает, что должен быть выработан специальный свод правил, который в дальнейшем будет переведен на язык машины. Такой свод правил называется «политикой использования электронной почты».
Во многих организациях такие правила существуют уже длительное время. Как и всякая ограничительная мера, они создают определенные неудобства пользователям системы, а если пользователю что-то неудобно, он либо перестает этим пользоваться, либо старается обойти препятствия. Поэтому такого рода политики, не подкрепленные техническими средствами контроля за их выполнением, постепенно теряют силу. Программные системы, ориентированные на фильтрацию почты, следует позиционировать именно как инструмент для внедрения и контроля исполнения этих правил.
Таким образом, политика использования электронной почты — это закрепленные в письменном виде и доведенные до сотрудников инструкции и другие документы, которые регламентируют их деятельность и процессы, связанные с использованием системы электронной почты. Данные документы и инструкции обладают юридическим статусом и, как правило, предоставляются для ознакомления сотрудникам организации.
Политика использования электронной почты является важнейшим элементом общекорпоративной политики информационной безопасности и неотделима от нее.
Политика должна соответствовать следующим критериям:
Политика использования электронной почты, как правило, рассматривается с двух сторон — как официально оформленный юридический документ и как материал, который описывает технику реализации политики.
Как документ она должна включать:
С технической точки зрения политика устанавливает правила использования электронной почты, то есть определяет следующее:
Прохождение каких сообщений входящей, исходящей или внутренней электронной почты должно быть разрешено или запрещено.
На кого распространяется
Категории лиц, которым разрешено или запрещено отправлять исходящие или получать входящие сообщения электронной почты.
Как реагирует система
Что необходимо делать с теми или иными сообщениями электронной почты, которые удовлетворяют или не удовлетворяют критериям, определенным правилами использования электронной почты.
Внедрение политики использования электронной почты требует от руководства компании понимания, что наличие только документально оформленной политики не гарантирует ее выполнения. Необходимо создание в компании соответствующих условий реализации данной политики. При этом важнейшим условием является наличие в корпоративной сети программно-технических средств контроля выполнения положений и требований политики. К таким средствам относятся системы контроля содержимого электронной почты.
Системы контроля содержимого электронной почты — это программное обеспечение, способное анализировать содержание письма по различным компонентам и структуре в целях реализации политики использования электронной почты.
К особенностям данных продуктов относятся:
Спектр возможностей всех категорий систем контроля содержимого электронной почты достаточно широк и существенно меняется в зависимости от производителя. Однако ко всем системам предъявляются наиболее общие требования, которые позволяют решать задачи, связанные с контролем почтового трафика.
Самыми первыми требованиями к таким системам должны быть полнота и адекватность.
Полнота — это способность систем контроля обеспечить наиболее глубокую проверку сообщений электронной почты. Это предполагает, что фильтрация должна производиться по всем компонентам письма. При этом ни один из объектов, входящих в структуру электронного сообщения, не должен быть «оставлен без внимания». Условия проверки писем должны учитывать все проблемы, риски и угрозы, которые могут существовать в организации, использующей систему электронной почты.
Адекватность — это способность систем контроля содержимого как можно более полно воплощать словесно сформулированную политику использования электронной почты, иметь все необходимые средства реализации написанных людьми правил в понятные системе условия фильтрации.
К другим наиболее общим требованиям относятся:
Текстовый анализ электронной почты (анализ ключевых слов и выражений с помощью встроенных словарей). Данная возможность позволяет обнаружить и своевременно предотвратить утечку конфиденциальной информации, установить наличие непристойного или запрещенного содержания, остановить рассылку спама, а также передачу других материалов, запрещенных политикой безопасности. При этом качественный анализ текста должен предполагать морфологический анализ слов, то есть система должна иметь возможность генерировать и определять всевозможные грамматические конструкции слова. Эта функция приобретает большое значение в связи с особенностями русского языка, в котором слова имеют сложные грамматические конструкции.
Контроль отправителей и получателей сообщений электронной почты. Данная возможность позволяет фильтровать почтовый трафик, тем самым реализуя некоторые функции межсетевого экрана в почтовой системе.
Разбор электронных писем на составляющие их компоненты (MIME-заголовки, тело письма, прикрепленные файлы и т.п.), устранение «опасных» вложений и последующий сбор компонентов письма воедино, причем с возможностью добавлять к сообщению электронной почты необходимые для администраторов безопасности элементы (например, предупреждения о наличии вирусов или «запрещенного» текста в содержании письма).
Блокировка или задержка сообщений большого размера до того момента, когда канал связи будет менее всего загружен (например, в нерабочее время). Циркуляция в почтовой сети компании таких сообщений может привести к перегрузке сети, а блокировка или отложенная доставка позволит этого избежать.
Распознавание графических, видео и звуковых файлов. Как правило, такие файлы имеют большой размер, и их циркуляция может привести к потере производительности сетевых ресурсов. Поэтому способность распознавать и задерживать данные типы файлов позволяет предотвратить снижение эффективности работы компании.
Обработка сжатых/архивных файлов. Это дает возможность проверять сжатые файлы на содержание в них запрещенных материалов.
Распознавание исполняемых файлов. Как правило, такие файлы имеют большой размер и редко имеют отношение к коммерческой деятельности компании. Кроме того, исполняемые файлы являются основным источником заражения вирусами, передаваемыми с электронной почтой. Поэтому способность распознавать и задерживать данные типы файлов позволяет предотвратить снижение эффективности работы компании и избежать заражения системы.
Контроль и блокирование спама. Циркуляция спама приводит к перегрузке сети и потере рабочего времени сотрудников. Функция контроля и блокирования спама позволяет сберечь сетевые ресурсы и предотвратить снижение эффективности работы компании. Основными способами защиты от спама являются: проверка имен доменов и IP-адресов источников рассылки спама по спискам, запрос на указанный адрес отправителя (блокировка в случае отсутствия ответа), текстовый анализ спам-сообщения на наличие характерных слов и выражений в заголовках электронной почты (from/subject), проверка заголовков на соответствие спецификации RFC-822 и т.п.
Способность определять число вложений в сообщениях электронной почты. Пересылка электронного письма с большим количеством вложений может привести к перегрузке сети, поэтому контроль за соблюдением определенных политикой информационной безопасности ограничений на количество вложений обеспечивает сохранение ресурсов корпоративной сети.
Контроль и блокирование программ-закладок (cookies), вредоносного мобильного кода (Java, ActiveX, JavaScript, VBScript и т.д.), а также файлов, осуществляющих автоматическую рассылку (так называемые «Automatic Mail-to»). Эти виды вложений являются крайне опасными и приводят к утечке информации из корпоративной сети.
Категоризация ресурсов почтовой системы компании («административный», «отдел кадров», «финансы» и т.д.) и разграничение доступа сотрудников компании к различным категориям ресурсов сети (в т.ч. и в зависимости от времени суток).
Рынок систем контроля содержимого электронной почты сравнительно молодой, однако в настоящее время решения с применением технологии контекстного анализа стали пользоваться большой популярностью среди заказчиков. Наличие спроса привело к тому, что на рынке появилось большое количество подобных средств. Сходные задачи породили сходную функциональность, и если читать описания этих продуктов, то все они похожи друг на друга, как близнецы. Попробуем разобраться, что нужно для того, чтобы продукт, выбранный для реализации задач, перечисленных в предыдущем разделе, не обманул ваших ожиданий.
Каждое попадающее в систему электронное письмо должно проверяться на соответствие заданным условиям. При этом, по меньшей мере, должны выполняться следующие условия отбора писем:
Кроме того, система должна позволять анализировать почтовые сообщения по всем их составляющим: атрибутам конверта, заголовкам сообщения, MIME-заголовкам, телу сообщения, присоединенным файлам.
Вернемся опять к вопросу категоризации писем. Важно отметить, что гибкость при фильтрации почтовых сообщений особенно необходима, когда это касается такой проблемы, как спам. Одним из главных критериев выбора системы контроля содержимого электронной почты в настоящее время является как раз ее способность как можно более качественно справляться с данной проблемой. Существует четыре основные методики определения, какое письмо относится к спаму, а какое нет. Первая методика используется в антиспамных фильтрах, реализующих способ выявления спама по наличию в письме определенных признаков, таких как наличие ключевых слов или словосочетаний, характерное написание темы письма (например, все заглавные буквы и большое количество восклицательных знаков), а также специфическая адресная информация.
Вторая методика связана с определением адреса отправителя и его принадлежности к, так называемым, «черным спискам» почтовых серверов Open Relay Black List (ORBL). В эти списки заносятся те серверы, которые замечены в массовых рассылках спама и идея состоит в том, чтобы вообще не принимать и не транслировать почту, исходящую с этих серверов.
Третья методика включает обе перечисленные, но по продуктивности мало чем отличается от двух первых. Результаты тестирования хорошо настроенного фильтра с применением обеих методик показывают, что из 100% спам-сообщений обнаруживается только 79,7%. При этом был выявлен значительный процент ложных срабатываний, а это значит, что к спаму были отнесены обычные письма (1,2% от задержанных писем). В данном случае это грозит для компании потерей важной информации. Некачественное разделение спама и обычных писем обусловлено, в том числе и некоторой «однобокостью» стандартных фильтров. При отбраковке писем учитываются «плохие» признаки и не учитываются «хорошие», характерные для полезной переписки.
Этих недостатков лишена четвертая методика, предложенная американским программистом и предпринимателем Полом Грэмом. Она позволяет автоматически настроить фильтры согласно особенностям индивидуальной переписки, а при обработке учитывает признаки как «плохих», так и «хороших» фильтров.
Методика основывается на теории вероятностей и использует для фильтрации спама статистический алгоритм Байеса. По имеющимся оценкам, этот метод борьбы со спамом является весьма эффективным. Так, в процессе испытания через фильтр были пропущены 8000 писем, половина из которых являлась спамом. В результате система не смогла распознать лишь 0,5% спам-сообщений, а количество ошибочных срабатываний фильтра оказалось нулевым.
Таким образом, системы контроля содержимого электронной почты, которые в своем составе имеют модули фильтрации спама, основанные на методике Пола Грэма, являются в настоящее время наиболее эффективными и отвечающими современным требованиям по борьбе с рассылками рекламного характера. А это в конечном итоге и будет являться еще одним критерием при выборе системы контроля содержимого электронной почты.
Требование полного разбора письма следует дополнить требованием устойчивости. Во-первых, структура письма подчиняется определенным правилам. Разбор письма на составляющие основан на применении этих правил к конкретному письму. Вообще говоря, возможны случаи, когда почтовая программа автора письма формирует письмо с нарушением этих правил. В этом случае письмо не может быть корректно разобрано. Система должна быть устойчивой по отношению к обработке таких писем.
Во-вторых, система должна надежно определять типы файлов-вложений. Под «надежностью» имеется в виду определение, не основанное на имени файла, а также на информации, вписываемой в письмо почтовым клиентом при прикреплении файла (mime-type). Такая информация может быть недостоверна либо в результате сознательных попыток обмануть систему контроля, либо в результате неправильных настроек почтовой программы отправителя. Бессмысленно запрещать пересылку файлов типа JPEG, если файл picture.jpg после переименования в page.txt пройдет незамеченным.
В-третьих, большое значение для системы имеет полнота проводимых проверок, то есть количество и разнообразие критериев анализа электронной почты. При этом система должна осуществлять фильтрацию по любым атрибутам сообщений, по объему сообщений и вложенных файлов, по количеству и типу вложений, по глубине вложенности, а также уметь анализировать содержимое прикрепленных файлов вне зависимости от того, являются ли эти файлы сжатыми или архивными. Существенным преимуществом многих продуктов является возможность создания собственного сценария обработки сообщений электронной почты.
При анализе текста нужно иметь возможность работать с нормализованными словоформами и т.д.
Теперь поговорим немного не об отдельных правилах, а обо всем множестве правил, составляющих политику. Любая реалистичная политика состоит из целого множества правил, которые, естественно, объединяются в группы. Очевидно, что правила для исходящей почты отличаются от правил для входящей, правила для руководства компании — от правил для рядовых сотрудников и т.д. Более того, поскольку правила применяются к письму в определенной последовательности, хотелось бы, чтобы эта последовательность была логичной и могла зависеть от результатов анализа письма. Все это вместе приводит к требованию «прозрачности»: правила, заданные в системе, должны «читаться» как правила, написанные на естественном языке, понятном человеку.
Все сказанное выше относилось к анализу письма. Однако сам по себе анализ ничего не дает. По его результатам письмо должно быть отнесено к какой-нибудь категории (безопасное, важное, неразрешенное и т.п.). Если такая категоризация проведена, то можно говорить о каких-либо действиях по отношению к проанализированному письму, например, доставить его адресату, заблокировать, и т.д. Другими словами, необходима возможность задавать системе правила, по которым она обрабатывает письма.
Рисунок 6. Фильтрация по всем компонентам письма.
Любое правило можно представить себе как связку «условие + действие». Какие же действия нужны для того, чтобы обеспечить реализацию разумной политики?
Что касается последнего, то необходимо отметить, что мощность и гибкость реагирования системы по результатам анализа содержимого электронной почты является в настоящее время наиболее важным критерием оценки описываемых средств. Нет нужды говорить о том, что при оценке необходимо учитывать разнообразие вариантов действий, осуществляемых по результатам проверок. Системы контроля содержимого электронной почты должны иметь возможность блокировать (совсем или на время) доставку писем, помещать письма в карантинную зону для последующего их анализа, посылать уведомления администратору или другим адресатам о событиях, происходящих в системе и т.п. На Рис. 7 показана схема действий, поддерживаемых правилами фильтрации почтовых сообщений типичной системы контроля содержимого электронной почты.
В последнее время большое значение для обеспечения безопасности информационных систем приобрело наличие в компании архива почтовых сообщений. Некоторые разработчики систем контекстного анализа предусматривают прикрепление к своим продуктам специальных модулей архивирования. Именно наличие архива электронной почты и определяет в настоящее время полнофункциональность продуктов этой категории. При этом ведение архива — это не просто автоматическая архивация почтовых сообщений в файл, а способность регистрации сообщений и учета необходимой информации на протяжении всего жизненного цикла сообщения, возможность получения любых выборок и статистики из архива по запросам, созданным с использованием любых критериев.
Кроме того долговременный архив предоставляет возможность ретроспективного анализа почтовых потоков и не только позволяет найти виновных в нарушении принятых в компании правил по прошествии определенного времени, но и дает материал для построения объективной и обоснованной политики использования электронной почты.
Отличительным признаком средств контекстного анализа является способность накопления статистики и генерации отчетов. Многие продукты имеют в своем арсенале только встроенные формы отчетов, другие способны осуществлять только просмотр статистики работы конкретного пользователя системы электронной почты. На наш взгляд, наиболее совершенными являются системы, которые способны обеспечить получение любых выборок и статистики из архива по создаваемым запросам, создание специфических запросов на SQL, генерацию любых видов отчетов для анализа эффективности использования почтового сервиса компании.
Одним из основных критериев оценки систем контекстного анализа для российского рынка является поддержка продуктом различных кодировок кириллицы (СР1251, СР866, ISO8859-5, KOI8-R, MAC), что дает возможность анализа русскоязычных текстов. Большинство продуктов иностранного производства не способны обеспечить поддержку кодировок кириллицы, а это в значительной степени снижает возможность их использования на территории РФ. Кроме того, проклятие множественных кодировок тяготеет и над российскими информационными системами. Все осложняется тем, что разные части письма, включая почтовые заголовки, могут быть написаны в разных кодировках. Вдобавок эти кодировки не всегда указаны или не всегда указаны верно.
Теперь рассмотрим вопрос, касающийся архитектуры систем контроля содержимого электронной почты. В подобных продуктах уникальной особенностью является открытая архитектура, которая позволяет разработчикам расширять функциональные возможности системы, интегрируя в нее дополнительные модули и не затрагивая ее ядра. Это дает возможность постоянно наращивать способности системы контроля содержимого по защите электронной почты и одновременно с этим экономить значительные средства, которые могут потребоваться на модернизацию всей системы. Кроме того возможность добавлять модули к базовой системе без внесения каких-либо структурных изменений позволяет оперативно решать постоянно возникающие проблемы, связанные с возникновением новых угроз безопасности систем электронной почты.
В настоящее время на рынке информационной безопасности существуют несколько систем контроля содержимого электронной почты с открытой архитектурой. В стандартный комплект поставки таких систем, как правило, входят несколько модулей, каждый из которых позволяет обеспечить защиту от определенного вида угроз или решает отдельную задачу безопасности функционирования системы электронной почты. Так, например, в состав системы может входить модуль электронно-цифровой подписи и шифрования, который обеспечивает конфиденциальность и контроль целостности информации, пересылаемой по электронной почте.
Большое значение для систем контроля содержимого имеет удобство администрирования системы, что предполагает наличие русскоязычного интерфейса, возможность разделения функций управления и администрирования системы, то есть разграничения доступа различных категорий пользователей к средствам управления системой.
И наконец необходимо сказать о важности сертификации средств контроля содержимого электронной почты Гостехкомиссией РФ. Во-первых, потому что при проведении испытаний того или иного продукта Гостехкомиссия подтверждает его соответствие определенным техническим условиям, а это является подтверждением качества данного продукта. И во-вторых, сертификация позволяет использовать продукт в государственных структурах, где наличие сертификата является обязательным требованием.
Анализ рынка программного обеспечения в области информационной безопасности и сравнение его функциональных возможностей показывает, что среди представленных в настоящее время на российском рынке продуктов наиболее полнофункциональными и отвечающими современным требованиям являются система мониторинга и архивирования электронной почты «Дозор-Джет», компании «Инфосистемы Джет» (Россия) и MAILsweeper, компании «ClearSwift» (Великобритания).
«Дозор-Джет» и MAILsweeper являются программными продуктами, которые имеют общий набор функциональных возможностей, позволяющих отнести их к одному классу средств защиты информации. Такими возможностями являются:
В качестве критериев сравнения систем выбраны следующие:
Применение вышеуказанных критериев позволило специалистам компании «Инфосистемы Джет» оценить системы «Дозор-Джет» и MAILsweeper и определить их соответствие требованиям, которые предъявляются в настоящее время к системам контроля содержимого электронной почты. Данное сравнение в дальнейшем поможет Заказчикам определиться в выборе продукта безопасности, который будет подходить для той или иной информационной системы (см. таблицу сравнения основных характеристик систем «Дозор-Джет» и Mailsweeper).
«Дозор-Джет» можно отнести к системам промышленного уровня за счет того, что продукт функционирует на UNIX-платформе и включает в свой состав подсистему архивирования, реализованную на основе СУБД Oracle. Система «Дозор-Джет» используется в организациях, объем почтового трафика которых достигает 5 гигабайт в день, а количество почтовых адресов превышает 5000. Это, в свою очередь, требует применения аппаратных средств, которые способны обеспечить высокую производительность и отказоустойчивость системы.
Система MAILsweeper устанавливается на серверы под управлением операционной системы MS Windows NT или Windows 2000. MAILsweeper не использует в своем составе подсистем хранения информации промышленного уровня.
«Дозор-Джет» имеет мощную систему фильтрации сообщений, которая позволяет реализовать политику использования электронной почты практически любого уровня сложности. При этом фильтрация осуществляется по всем компонентам письма: атрибутам конверта, заголовкам сообщения, MIME-заголовкам, телу сообщения, присоединенным файлам. Расширяемый набор проверок и действий позволяет администратору системы создавать собственные методы проверки сообщений и вложений и осуществлять различные действия над ними. Почта фильтруется на основании практически любых условий. Последовательность применения правил фильтрации в системе динамическая, что подразумевает применение любых наборов правил в заданной администратором безопасности последовательности.
В отличие от «Дозор-Джет», в MAILsweeper правила применяются в строго определенной последовательности в соответствии с их приоритетностью и иерархией проводимых проверок. Почта в MAILsweeper разделяется на потоки только на основании почтовых адресов. Кроме того, MAILsweeper не имеет возможности продолжить применение правила после выполнения текущего правила или применить другой набор правил.
В рассматриваемых системах различается подход к категоризации сообщений. Так «Дозор-Джет» имеет систему категоризации писем, которая позволяет относить одно сообщение электронной почты сразу к нескольким смысловым категориям. Работа категоризатора основана на простой, но весьма эффективной технологии Байесовских фильтров, одинаково хорошо работающей как с русским, так и с английским языком. Автоматическая корректировка категоризатора в значительной степени повышает эффективность подсистемы фильтрации и дает возможность избежать ложных срабатываний при блокировке «запрещенных» писем.
В MAILsweeper категоризация осуществляется только на основе лексического анализа (совпадения слов и выражений) и «веса» слова (частоты употребления в тексте), что не обеспечивает хорошую защиту от ложных срабатываний, а следовательно, может привести к потере нужной информации.
Работа с текстами писем в «Дозор-Джет» включает в себя морфологический анализ слов, что позволяет искать все словоформы для данного слова. В MAILsweeper такой анализ отсутствует. Эта функция приобретает еще большее значение в связи с особенностями русского языка, в котором слова имеют сложные грамматические конструкции.
В состав «Дозор-Джет» входит подсистема архивирования промышленного уровня, реализованная на основе СУБД Oracle. Архив обеспечивает хранение в режиме on-line большого количества корпоративной электронной почты с высоким уровнем доступности данных и долговременное хранение сообщений в течение десяти лет и более. Архив предоставляет широкий спектр возможностей по хранению и поиску писем. Следует отметить такие возможности как контекстный поиск по архиву, поиск по архиву с учетом морфологического строения русского языка, разделение архива на исторические области (Partitioning), экспорт электронной почты на внешние носители.
MAILsweeper не имеет в своем составе архива электронной почты. Система производит архивацию сообщений в виде файла. В архив письмо помещается целиком. «Дозор-Джет» предоставляет возможность регистрации электронных писем. Регистрация означает сохранение в базе данных только информации об определенных заголовках электронного письма (автор, адресат, размер и т.п.) и его MIME-структуре. Регистрация, в отличие от сохранения всего письма, дает возможность экономить пространство на дисковых массивах и ускорить поиск необходимой информации.
Говоря об архиве электронной почты, важно отметить, что в арсенале компании «ClearSwift» есть специально разработанный для MAILsweeper модуль, который называется Archivist. Данный модуль предназначен только для поиска необходимого почтового сообщения в архиве электронной почты по следующим атрибутам: адресат, получатель, тема письма, дата получения/отправки, наименование файлов-приложений.
Система «Дозор-Джет» имеет широкие возможности по генерации отчетов. Благодаря наличию архива, система способна получать выборки любой сложности по создаваемым запросам (создание специфических запросов на SQL, возможность генерации любых видов отчетов с помощью Oracle Report, Crystal Report). В архиве системы находится вся «учетная» информация о письмах (заголовки, типы вложений, их размеры и т.п.), что позволяет получать отчеты по самым разным параметрам почтового трафика. Дополнительный модуль «Статистика» содержит набор отчетов, представленных в формате MS Excel.
MAILsweeper осуществляет построение отчетов только при помощи Crystal Report. При этом для создания отчетов обязательно наличие Microsoft SQL server.
Благодаря технологии эвристического определения кодировки система «Дозор-Джет» способна осуществлять анализ русскоязычных почтовых сообщений независимо от используемой кодировки кириллицы (CP1251, СР866, ISO8859-5, KOI8-R, MAC), включая тексты, кодировка которых не указана (например, тестовые файлы в сжатых форматах) или декларирована неверно. Также определяется кодировка текстов, находящихся внутри архивированных файлов.
MAILsweeper не способен гарантированно осуществлять обработку текстов сообщений электронной почты, кодировка которых не декларирована (например, тестовые файлы в сжатых форматах) или декларирована неверно, поскольку кодировка определяется только по MIME-заголовкам.
«Дозор-Джет» имеет модульную структуру, которая позволяет добавлять в систему дополнительные функциональные возможности, не затрагивая его ядра. Это дает возможность подключать к системе внешние программы, которые предназначены для дополнительной обработки электронных писем, что расширяет функциональные возможности «Дозор-Джет». Таким образом, продукт способен интегрироваться с системами документооборота, различными подсистемами информационной безопасности (межсетевыми экранами, средствами создания виртуальных защищенных сетей, антивирусами, системами электронной цифровой подписи и т.д.) и системами управления корпоративными информационными ресурсами (HP OpenView). Всего в составе «Дозор-Джет» имеется девять различных модулей. Кроме того, в «Дозор-Джет» существует возможность вызова внешних программ (программ третьих производителей), что позволяет осуществлять дополнительную обработку электронных писем.
MAILsweeper имеет в своем составе только один модуль Archivist, предназначенный для работы с архивом электронной почты. Кроме того, система (так же как и в «Дозор-Джет») имеет возможность вызова внешних программ.
Продолжая тему модульности системы, отметим, что «Дозор-Джет» имеет в своем составе специальный модуль проверки и постановки ЭЦП, при активации которого система получает возможность обеспечивать контроль целостности, пересылаемой по электронной почте информации. Кроме того, «Дозор-Джет» имеет возможность автоматически шифровать исходящие сообщения в формате S/MIME.
В отличие от «Дозор-Джет», система MAILsweeper способна только определять наличие ЭЦП в письме, но не имеет возможности шифровать сообщения, а также проверять подлинность и ставить электронно-цифровую подпись.
«Дозор-Джет» является единственным сертифицированным продуктом на рынке систем контроля содержимого электронной почты. Гостехкомиссия России провела испытания системы «Дозор-Джет» и признала ее соответствие техническим условиям и руководящему документу «Защита от несанкционированного доступа к информации. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», о чем свидетельствует сертификат N 465 от 14.06.2001. MAILsweeper является продуктом, применение которого на территории Российской Федерации не сертифицировано соответствующими органами.
И наконец, «Дозор-Джет» является отечественной разработкой. Компания «Инфосистемы Джет» предоставляет своим клиентам техническую поддержку любого уровня непосредственно от производителя. Это дает возможность оперативного решения любых проблем, связанных с функционированием системы. Компания «ClearSwift» предоставляет техническую поддержку только через сертифицированных партнеров на территории России (НИП «Информзащита»).
Таблица 1. Таблица сравнения основных характеристик систем «Дозор-Джет» и Mailsweeper