Большое количество социальных сетей, бесплатных почтовых сервисов, предоставляющих доступ через веб-интерфейс таят в себе значительную угрозу для руководителей больших компаний или любых учреждений, охраняющих свою тайну — будь-то коммерческие решения или ноу-хау в различных сферах жизнедеятельности человека.
И если вопрос выноса информации на съемных носителях можно решить физически, закрыв доступ к USB, ограничить зоны wi-fi и т.д. То как быть с менеджерами проектов или другими сотрудниками, чья обязанность, по долгу службы, использовать интернет в повседневных целях.
Их возможности по выносу информации просто огромные.
Умелый администратор сразу смекнет, закрыть все (на ферволле) и оставить только необходимые адреса. Но как известно запретить все нельзя, найдется лазейка, позволяющая получать доступ к тому же сервису ICQ, даже если забанены IP адреса, и закрыты порты. Много моих знакомых давно обошли защиту своих сисадминов.
Актуальным остается вопрос электронных писем, если на корпоративном почтовом сервере можно отследить отправку писем, то как быть с mail.ru или любым другим почтовиком.
Я думаю, со мной согласятся многие, что практически все закрыть нереально.
Закручивания в сфере безопасности негативно складываются на производительности работы сотрудника.
Хотя с другой стороны большая часть сотрудников 60% рабочего времени проводит в социальных сетях, использует почтовые ящики которым не нужен ваш закрытый 25 или 110 порт.
Давайте подойдем к проблеме с другой стороны, а кто мешает сотруднику заниматься посторонней работой у себя дома, дома — пожалуйста, но как тогда забрать секреты работодателя, где вынос на внешних носителях невозможен — только через каналы внешнего доступа.
Для контроля каналов Интернет классическим подходом является фаервол.
Закрываем почтовые сервисы (mail.ru, …), фильтруем строки URL запроса в сквиде, которые содержат последовательность символов mail, закрываем порты на ICQ, ставим пароль на доступ к интернету. Фух! вроде закрылись. НО
1) Почтовых серверов тысячи, почему бы не воспользоваться бесплатным почтовым ящиком в домене Бразили (админ надеюсь не знает его Доменное имя или айпи)
2) ICQ порты закрыты, но не беда, можно сделать редирект портов на внешнем сервере, например делать запрос на my.site.com:80, а на сервере my.site.com сделать перенаправление портов на login.icq.com:5190
3) Другие способы…, например реализация редиректа на своем внешнем сайте (сервисе) для различного рода социальных сетей.
Как видите, огромное количество лазеек. Выходов тоже много, эффективность каждого оценивается в отдельности и на основании функциональности того или иного подхода.
Приведем несколько примеров защиты:
1) Классический — фаервол, уже было сказано — все не закроешь.
2) Выборочный — анализ трафика для некоторых пользователей. Например снифер пакетов.
3) На мой взгляд наиболее продуктивный — глобальный фильтр, вернее не фильтр а глобальный анализатор.
Рассмотрим 3й случай более подробнее: Что для этого надо сделать?
Установить некоторый перехватчик пакетов, задача которого не блокировать, а анализировать. Лучший враг (конкурент) — это перехваченный конкурент с его агентурной сетью. Задача анализатора — прозрачно внедрятся в существующую IT-архитектуру предприятия и зеркалировать весь трафик с внешним миром… и анализировать его.
На основе сигнатур, свойственных для социальных сетей, почтовых сервисов, сервисов обмена мгновенными сообщениями можно анализировать не только время, проведенное Вашим сотрудником в работе, но и информацию, которой он оперирует используя Ваши внешние каналы.
Наткнулся недавно на сервис контроля социальных сетей, где сказано Social Watch (http://socialwatch.ru/):
Если вы – руководитель, сервис поможет вам контролировать подчиненных. Добавьте ссылки на профили ваших работников в социальных сетях, и получайте ежедневный отчет, кто и когда заходил на сайты.
Представляю Вас добавляющего ссылки на профили Ваших рабочих, на мой взгляд очень не практичное и утомительное задание.
Интересное решение предлагает компания Инфосистемы Джет (http://www.jetsoft.ru/product/product.html), в рамках своего продукта Дозор-Джет, у Вас появляется возможность контролировать весь (!) трафик выходящий наружу. Вы сможете не только подсчитывать время работы Ваших подчиненных, но и анализировать их действия. Продукт прозрачно интегрируется в структуру Вашего предприятия и не требует специализированного оборудования.
Более подробная информация на сайте компании http://www.jetsoft.ru/download/presentation.html
Пишите, с радостью отвечу на Ваши вопросы. Если есть возражения или замечания, рад ответить на них.
Тут уж дело такое — закрывай не закрывай — лазейки найдутся.
Самое оптимальное закрыть все популярное.
Раз в месяц анализировать самый большой трафик, обычно первые 3 ресурса по трафику.
И 3 пользователя, которые больше всех тратят.
Соответственно пользователи не должны иметь права на установку и настройку ПО (например доступ на запись файла настрое только у админа), правда доступ на настройку не всегда удается….
Примерно так