АЛЕКСЕЙ СОВА Ведущий специалист Семинар компании «Информзащита» Информационная безопасность: новые угрозы – новые решения новые угрозы – новые решения Управление правами доступа к данным легитимных пользователей

2 О чём пойдёт речь Что такое Oracle IRM, и для чего он нуженЧто такое Oracle IRM, и для чего он нужен Как работает Oracle IRMКак работает Oracle IRM Как внедрять это решение в корпоративной системеКак внедрять это решение в корпоративной системе Примеры типовых внедренийПримеры типовых внедрений ЗаключениеЗаключение

3 Что такое и для чего нужен Oracle Information Rights Management

4 Два типа информации: 4 Database Неструктурированная 80-90% Database Business Intelligence Структурированная10-20%

5 Методы защиты информации Телекоммуникации (периметр и внутренняя сеть)Телекоммуникации (периметр и внутренняя сеть) Защита электронной почты (сервера, анализ контента, защита ПК)Защита электронной почты (сервера, анализ контента, защита ПК) Безопасность файловых серверовБезопасность файловых серверов Защита персональных компьютеров (ОС, антивирус, внешние порты, Host Based Intrusion Prevention)Защита персональных компьютеров (ОС, антивирус, внешние порты, Host Based Intrusion Prevention) Защита серверов приложенийЗащита серверов приложений Защита корпоративных приложенийЗащита корпоративных приложений Защита баз данныхЗащита баз данных Альтернатива = Защита самой информации (Information centric security)

6 Обеспечение безопасности с помощью IRM Безопасность и аудит работы с информацией, где бы она не находилась (information centric security) Обезопасить копии файлов и контролировать их использованиеОбезопасить копии файлов и контролировать их использование Предотвратить неправомочную пересылку и редактированиеПредотвратить неправомочную пересылку и редактирование Защитить конфиденциальную информацию, передаваемую партнёрам, поставщикам и клиентамЗащитить конфиденциальную информацию, передаваемую партнёрам, поставщикам и клиентам Отменить доступ, когда проект завершён или сотрудник уволенОтменить доступ, когда проект завершён или сотрудник уволен Возможность online и offline использованияВозможность online и offline использования Централизованный отзыв доступаЦентрализованный отзыв доступа

7 Как работает Oracle Information Rights Management

8 Схема работы Oracle IRM Все документы шифруются (seal)Все документы шифруются (seal) Ключи расшифровки находятся на сервереКлючи расшифровки находятся на сервере Для доступа к ключам/серверу необходимо пройти аутентификациюДля доступа к ключам/серверу необходимо пройти аутентификацию Клиентские приложения (MS Word, Adobe Acrobat Reader и т.д.) работают под управлением клиента Oracle IRM, который гарантирует права использования документовКлиентские приложения (MS Word, Adobe Acrobat Reader и т.д.) работают под управлением клиента Oracle IRM, который гарантирует права использования документов

9 Как работает Oracle IRM Администратор Бизнес-менеджер Аудит Oracle IRM Management Console Автор Редактор Рецензент Oracle IRM Desktop Запечатывание и классификация документов и писем Передача через , web, file shares, IM, USB, DVD, и т.д. Пользователь Читатель Oracle IRM Desktop Oracle IRM Server Корпоративная аутентификация, службы каталогов, системы CRM и т.д. Автоматическая синхронизация прав / аудит действий Безопасный offline cache

10 Пользователь Создатель/Редактор IRM Server Web Server SMTP Server Журнал аудита IRM Management Console [ ][ ] Unsealer IRM Desktop Администратор/Аудитор

11 Oracle IRM: Постоянный контроль Кто? Контроль, кто смог и кто не смог открыть документыКонтроль, кто смог и кто не смог открыть документыЧто? Контроль доступа к набору (согласно классификации) илиКонтроль доступа к набору (согласно классификации) или к любому конкретному документу Когда? Контроль того, когда доступ начался и закончился с возможностью отмены права доступа в любой моментКонтроль того, когда доступ начался и закончился с возможностью отмены права доступа в любой моментГде? Предотвращение возможности доступа к критическим документам снаружи сетиПредотвращение возможности доступа к критическим документам снаружи сетиКак? Контроль того, как именно пользователи работают с документами на своих рабочих станциях (с глубоким контролем открытия, аннотирования, внесения изменений, трассировкой изменений, контролем копирования, отправки на печать, работы с полями и ячейками форм, просмотром табличных ф ормул и т.д.)Контроль того, как именно пользователи работают с документами на своих рабочих станциях (с глубоким контролем открытия, аннотирования, внесения изменений, трассировкой изменений, контролем копирования, отправки на печать, работы с полями и ячейками форм, просмотром табличных ф ормул и т.д.)

12 IRM: Интеграция в инфраструктуру Аутентификация Аутентификация на сервере Oracle IRM по имени и паролюАутентификация на сервере Oracle IRM по имени и паролю Windows-аутентификацияWindows-аутентификация Синхронизация с LDAP-каталогами с помощью Oracle IRM Directory Gateway (например Microsoft LDAP, Sun ONE Directory Server, iPlanet, Lotus Notes Domino)Синхронизация с LDAP-каталогами с помощью Oracle IRM Directory Gateway (например Microsoft LDAP, Sun ONE Directory Server, iPlanet, Lotus Notes Domino) Аутентификация через Web (Oracle IRM Web Service SDK с поддержкой SOAP/WSDL)Аутентификация через Web (Oracle IRM Web Service SDK с поддержкой SOAP/WSDL) Примеры интеграции в приложения (с помощью Oracle IRM API): Автоматическое «запечатывание», встроенное в собственный документооборотАвтоматическое «запечатывание», встроенное в собственный документооборот Автоматическое «запечатывание» и «распечатывание» файлов, покидающих или попадающих в хранилищеАвтоматическое «запечатывание» и «распечатывание» файлов, покидающих или попадающих в хранилище Временное «распечатывание» для полнотекстового индексированияВременное «распечатывание» для полнотекстового индексирования

13 Как внедрять в корпоративной системе Oracle Information Rights Management

14 Контексты безопасности Управление правами доступа сотен пользователей к тысячам документов непрактично Существенно управлять группами документов и пользователейСущественно управлять группами документов и пользователей Контекст безопасности является определяющим Наборы связанных документовНаборы связанных документов Люди и группы, которые используют эти документыЛюди и группы, которые используют эти документы Роли, которые имеют пользователи на доступ к этой информацииРоли, которые имеют пользователи на доступ к этой информации Контекст безопасности основан на классификации по теме или уровню секретности Темы: Документы руководства, Проект «Моби-Дик», Объявления по компанииТемы: Документы руководства, Проект «Моби-Дик», Объявления по компании Уровень секретности: Top Secret, Code Red, Level 1, 2, 3Уровень секретности: Top Secret, Code Red, Level 1, 2, 3

15 Стандартные роли на доступ к информации Oracle IRM определяет стандартный набор ролейOracle IRM определяет стандартный набор ролей Роли могут быть связаны с отдельными пользователями, группами и контекстами (типами информации)Роли могут быть связаны с отдельными пользователями, группами и контекстами (типами информации) В Oracle IRM возможны различные административные роли:В Oracle IRM возможны различные административные роли:

16 Ограничение прав легитимных пользователей Oracle IRM управляет доступом к информации на основе: Oracle IRM управляет доступом к информации на основе: Существующих классификаций информации, таких как «Конфиденциально»Существующих классификаций информации, таких как «Конфиденциально» Существующих ролей пользователей, таких как «Рецензент»Существующих ролей пользователей, таких как «Рецензент» Существующих групп пользователей в корпоративном каталоге, таких как «Бухгалтерия»Существующих групп пользователей в корпоративном каталоге, таких как «Бухгалтерия» Oracle IRM позволяет легко внедрить криптографическую защиту в корпоративной системе Oracle IRM позволяет легко внедрить криптографическую защиту в корпоративной системе Теперь и конечные пользователи, и администраторы способны понимать и управлять всей системой! Теперь и конечные пользователи, и администраторы способны понимать и управлять всей системой!

17 Примеры внедрений Oracle Information Rights Management

18 Oracle IRM. Примеры Рассылка письма руководителя компании о новой системе премирования. К письму применяется шаблон «Company Confidential» («Конфиденциально – для внутреннего использования»).К письму применяется шаблон «Company Confidential» («Конфиденциально – для внутреннего использования»). Сотрудники могут читать защищенное письмо, но не могут копировать, сохранять, редактировать или пересылать.Сотрудники могут читать защищенное письмо, но не могут копировать, сохранять, редактировать или пересылать. К письму приложен файл, доступный только для руководителей подразделений.К письму приложен файл, доступный только для руководителей подразделений. Публикация данных о продажах на корпоративном портале Доступ к отчету через web-браузер.Доступ к отчету через web-браузер. На отчет накладываются ограничения.На отчет накладываются ограничения. Данные можно просмотреть, но нельзя распечатать,Данные можно просмотреть, но нельзя распечатать, скопировать или вставить в другую программу.

19 Oracle IRM. Примеры Работа в группе Руководитель группы устанавливает ограниченные права доступа для документа Word и назначает срок действия этих прав.Руководитель группы устанавливает ограниченные права доступа для документа Word и назначает срок действия этих прав. Члены группы получают доступ к документу только на чтениеЧлены группы получают доступ к документу только на чтение Открыть документ могут только члены группыОткрыть документ могут только члены группы После истечения установленного времени доступ к документу прекращаетсяПосле истечения установленного времени доступ к документу прекращается Работа с партнерами и контрагентами Сотрудник рекламного агентства отправляет проект рекламы представителям заказчикаСотрудник рекламного агентства отправляет проект рекламы представителям заказчика Уполномоченный сотрудники заказчика могут ознакомиться с документом и высказать свои пожеланияУполномоченный сотрудники заказчика могут ознакомиться с документом и высказать свои пожелания На документ установлены ограничения, предотвращающие его передачу сторонним лицам и ограничение по времени доступа.На документ установлены ограничения, предотвращающие его передачу сторонним лицам и ограничение по времени доступа.

20 Oracle IRM. Примеры Работа с версиями документов Устанавливается контроль номера текущей версииУстанавливается контроль номера текущей версии При создании новой версии документа, Oracle IRM прекращает возможность доступа к старым версиям, где бы они не находилисьПри создании новой версии документа, Oracle IRM прекращает возможность доступа к старым версиям, где бы они не находились При попытке открыть старую версию, пользователь перенаправляется к новой версии, хранящейся на сервереПри попытке открыть старую версию, пользователь перенаправляется к новой версии, хранящейся на сервере Управление жизненным циклом Для документа определяются параметры жизненного цикла, например: хранить без изменений 7 лет, а затем уничтожитьДля документа определяются параметры жизненного цикла, например: хранить без изменений 7 лет, а затем уничтожить При достижении установленного срока доступ к документу прекращается.При достижении установленного срока доступ к документу прекращается. Независимо от того, какое количество копий было сделано и где они хранятся, документ становится недоступен.Независимо от того, какое количество копий было сделано и где они хранятся, документ становится недоступен.

21 Выводы

22 Почему заказчики выбирают Oracle IRM Oracle Information Rights Management предоставляет правильный баланс между Безопасностью, Удобством использования, и Управляемостью Безопасность Документы и электронные письма остаются защищёнными: и неважно, сколько сделано копий и где ониДокументы и электронные письма остаются защищёнными: и неважно, сколько сделано копий и где они Доступ к документам протоколируется, а права доступа можно изъять в любое время: даже для копий, покинувших организациюДоступ к документам протоколируется, а права доступа можно изъять в любое время: даже для копий, покинувших организацию Удобство использования Так же легко, как и использование незащищённых документов и писемТак же легко, как и использование незащищённых документов и писем Просто немного расширяются возможности обычных средств: Microsoft Word, PowerPoint, Excel, Outlook, Lotus Notes, Adobe Reader, и т.д.Просто немного расширяются возможности обычных средств: Microsoft Word, PowerPoint, Excel, Outlook, Lotus Notes, Adobe Reader, и т.д. Нет необходимости в обновлении: поддерживаются текущие и устаревшие операционные системы и приложенияНет необходимости в обновлении: поддерживаются текущие и устаревшие операционные системы и приложенияУправляемость Интуитивное, основанное на политиках корпоративное управление: миллионы документов и писем + тысячи пользователейИнтуитивное, основанное на политиках корпоративное управление: миллионы документов и писем + тысячи пользователей Быстрое внедрение: легко масштабируется для использования в инфраструктуре любой организацииБыстрое внедрение: легко масштабируется для использования в инфраструктуре любой организации

(495) #327(495) #327 АЛЕКСЕЙ СОВА ведущий специалист ВОПРОСЫ ? Семинар компании «Информзащита» Информационная безопасность: новые угрозы – новые решения новые угрозы – новые решения