28.01.2014 Sergejus Korablevas

Bet kokio įmonės lygio produkto pasirinkimas nėra banalus techninių specialistų ir sprendimų priėmėjų uždavinys. Nutekėjimo prevencijos sistemos pasirinkimas Duomenys Apsauga nuo nuotėkio (DLP) yra dar sunkesnė. Vieningos koncepcinės sistemos trūkumas, reguliarūs nepriklausomi lyginamieji tyrimai ir pačių gaminių sudėtingumas verčia vartotojus užsakyti bandomuosius projektus iš gamintojų ir savarankiškai atlikti daugybę testų, nustatant savo poreikių spektrą ir susiejant juos su sistemų galimybėmis. išbandyta

Toks požiūris tikrai teisingas. Subalansuotas, o kai kuriais atvejais net ir sunkiai priimtas sprendimas supaprastina tolesnį įgyvendinimą ir išvengia nusivylimo konkretaus produkto veikimu. Tačiau sprendimo priėmimo procesas šiuo atveju gali užsitęsti jei ne metus, tai daug mėnesių. Be to, nuolat plečiama rinka, atsirandantys nauji sprendimai ir gamintojai dar labiau apsunkina užduotį ne tik išsirinkti produktą diegimui, bet ir sudaryti preliminarų tinkamų DLP sistemų sąrašą. Tokiomis sąlygomis naujausios DLP sistemų apžvalgos turi neabejotiną praktinę vertę technikos specialistams. Ar konkretus sprendimas turėtų būti įtrauktas į testų sąrašą, ar jį būtų per sudėtinga įgyvendinti mažoje organizacijoje? Ar sprendimas gali būti pritaikytas 10 000 darbuotojų įmonei? Ar DLP sistema gali valdyti verslui svarbius CAD failus? Atviras palyginimas nepakeis kruopštaus testavimo, bet padės atsakyti į pagrindinius klausimus, kylančius pradiniame DLP atrankos proceso etape.

Nariai

Dalyviai buvo atrinkti populiariausi (2013 m. vidurio analitinės centro „Anti-Malware.ru“ duomenimis). Rusijos rinka InfoWatch, McAfee, Symantec, Websense, Zecurion ir Jet Infosystem įmonių informacijos saugumo DLP sistemos.

Analizei buvo panaudotos komerciškai prieinamos DLP sistemų versijos rengiant apžvalgą, dokumentacija ir atidaryti atsiliepimus Produktai.

DLP sistemų palyginimo kriterijai buvo parinkti atsižvelgiant į įvairaus dydžio ir pramonės šakų įmonių poreikius. Pagrindinė DLP sistemų užduotis yra užkirsti kelią nuotėkiams Konfidenciali informacijaįvairiais kanalais.

Šių įmonių produktų pavyzdžiai pateikti 1-6 paveiksluose.
3 pav. Symantec produktas

4 pav. InfoWatch gaminys

5 pav. Websense produktas

6 pav. McAfee produktas

Veikimo režimai

Du pagrindiniai DLP sistemų veikimo režimai yra aktyvus ir pasyvus. Aktyvus – dažniausiai pagrindinis veikimo režimas, kuris blokuoja veiksmus, kurie pažeidžia saugumo politiką, pvz., konfidencialios informacijos siuntimą išoriniam asmeniui. pašto dėžutę. Pasyvusis režimas dažniausiai naudojamas sistemos konfigūravimo etape, norint patikrinti ir koreguoti nustatymus, kai yra didelė klaidingų teigiamų rezultatų dalis. Tokiu atveju politikos pažeidimai fiksuojami, tačiau informacijos judėjimo apribojimai netaikomi (1 lentelė).

Šiuo aspektu visos nagrinėjamos sistemos pasirodė lygiavertės. Kiekvienas iš DLP gali veikti tiek aktyviu, tiek pasyviu režimu, o tai suteikia klientui tam tikros laisvės. Ne visos įmonės yra pasirengusios nedelsiant pradėti naudoti DLP blokavimo režimu - tai kupina verslo procesų sutrikimo, kontroliuojamų padalinių darbuotojų nepasitenkinimo ir vadovybės pretenzijų (įskaitant pagrįstas).

Technologijos

Aptikimo technologijos leidžia klasifikuoti elektroniniais kanalais perduodamą informaciją ir nustatyti konfidencialią informaciją. Šiandien yra kelios pagrindinės technologijos ir jų atmainos, panašios iš esmės, bet skirtingos įgyvendinant. Kiekviena technologija turi ir privalumų, ir trūkumų. Be to, skirtingi tipai technologijos tinka įvairių klasių informacijai analizuoti. Todėl DLP sprendimų gamintojai stengiasi integruotis į savo gaminius maksimali suma technologijos (žr. 2 lentelę).

Apskritai gaminiuose yra daug technologijų, kurios, tinkamai sukonfigūruotos, užtikrina didelį konfidencialios informacijos atpažinimo procentą. DLP McAfee, Symantec ir Websense yra gana prastai pritaikyti Rusijos rinkai ir negali pasiūlyti vartotojams palaikymo "kalbinėms" technologijoms - morfologijai, transliteracijos analizei ir užmaskuotam tekstui.

Valdomi kanalai

Kiekvienas duomenų perdavimo kanalas yra potencialus nutekėjimo kanalas. Net vienas atidaryti kanalą gali panaikinti visas kontroliuojančios informacijos saugos tarnybos pastangas informacijos srautus. Štai kodėl taip svarbu blokuoti kanalus, kurių darbuotojai nenaudoja darbui, o likusius kontroliuoti nuotėkio prevencijos sistemomis.

Nepaisant to, kad geriausios šiuolaikinės DLP sistemos gali stebėti daugybę tinklo kanalų (žr. 3 lentelę), patartina blokuoti nereikalingus kanalus. Pavyzdžiui, jei darbuotojas dirba kompiuteriu tik su vidine duomenų baze, prasminga apskritai išjungti jo prieigą prie interneto.

Panašios išvados galioja ir vietiniams nuotėkio kanalams. Tiesa, tokiu atveju gali būti sunkiau blokuoti atskirus kanalus, nes prievadai dažnai naudojami periferiniams įrenginiams, I/O įrenginiams ir pan.

Šifravimas atlieka ypatingą vaidmenį užkertant kelią nutekėjimui per vietinius prievadus, mobiliuosius diskus ir įrenginius. Šifravimo įrankiais gana paprasta naudotis, jų naudojimas gali būti skaidrus vartotojui. Tačiau tuo pačiu metu šifravimas leidžia neįtraukti visa klasė nutekėjimai, susiję su neteisėta prieiga prie informacijos ir mobiliųjų diskų praradimu.

Vietinių agentų valdymo padėtis paprastai yra prastesnė nei tinklo kanalų (žr. 4 lentelę). Visais produktais sėkmingai valdomi tik USB įrenginiai ir vietiniai spausdintuvai. Be to, nepaisant aukščiau nurodytos šifravimo svarbos, tokia galimybė yra tik tam tikruose produktuose, o priverstinio šifravimo funkcija, pagrįsta turinio analize, yra tik Zecurion DLP.

Siekiant išvengti nutekėjimo, svarbu ne tik atpažinti jautrius duomenis perdavimo metu, bet ir apriboti informacijos platinimą įmonės aplinkoje. Norėdami tai padaryti, gamintojai į DLP sistemas įtraukia įrankius, kurie gali identifikuoti ir klasifikuoti tinklo serveriuose ir darbo vietose saugomą informaciją (žr. 5 lentelę). Duomenys, pažeidžiantys informacijos saugumo politiką, turi būti ištrinti arba perkelti į saugią saugyklą.

Atskleisti slaptą informaciją apie šeimininkus įmonių tinklas naudojamos tos pačios technologijos, kaip ir kontroliuojant nuotėkius elektroniniais kanalais. Pagrindinis skirtumas yra architektūrinis. Jei tinklo srautas arba failų operacijos yra analizuojamos siekiant išvengti nutekėjimo, tada saugoma informacija, darbo stočių ir tinklo serverių turinys yra tiriamas siekiant aptikti neteisėtas konfidencialių duomenų kopijas.

Iš nagrinėjamų DLP sistemų tik InfoWatch ir Dozor-Jet nepaiso priemonių, skirtų informacijos saugojimo vietoms nustatyti. Tai nėra esminė elektroninio nuotėkio prevencijos funkcija, tačiau ji labai riboja DLP sistemų galimybę aktyviai užkirsti kelią nuotėkiams. Pavyzdžiui, kai konfidencialus dokumentas yra įmonės tinkle, tai nėra informacijos nutekėjimas. Tačiau jei šio dokumento vieta nėra reglamentuota, jei informacijos savininkai ir apsaugos pareigūnai nežino apie šio dokumento vietą, tai gali sukelti nutekėjimą. Yra Nepatvirtintas prisijungimas informacijai ar dokumentui nebus taikomos atitinkamos saugumo taisyklės.

Valdymo paprastumas

Tokios funkcijos kaip paprastas naudojimas ir valdymas gali būti tokios pat svarbios kaip technines galimybes sprendimus. Juk tikrai sudėtingą produktą bus sunku įgyvendinti, projektas pareikalaus daugiau laiko, pastangų ir atitinkamai finansų. Jau įdiegta DLP sistema reikalauja techninių specialistų dėmesio. Be tinkamos priežiūros, reguliaraus audito ir nustatymų koregavimo, laikui bėgant konfidencialios informacijos atpažinimo kokybė labai sumažės.

Valdymo sąsaja gimtąja apsaugos pareigūno kalba yra pirmasis žingsnis siekiant supaprastinti darbą su DLP sistema. Tai ne tik leis lengviau suprasti, už ką atsakingas tas ar kitas nustatymas, bet ir žymiai pagreitins daugybės parametrų, kuriuos reikia sukonfigūruoti, kad sistema veiktų tinkamai, konfigūravimo procesą. Anglų kalba gali būti naudinga net rusakalbiams administratoriams vienareikšmiškai aiškinant konkrečias technines sąvokas (žr. 6 lentelę).

Dauguma sprendimų numato gana patogus valdymas iš vienos (visiems komponentams) konsolės su žiniatinklio sąsaja (žr. 7 lentelę). Išimtys yra rusų „InfoWatch“ (nėra vienos konsolės) ir „Zecurion“ (nėra žiniatinklio sąsajos). Tuo pačiu metu abu gamintojai jau paskelbė apie internetinės konsolės pasirodymą būsimuose gaminiuose. Vienos konsolės „InfoWatch“ trūkumas yra dėl skirtingos produktų technologinės bazės. Mūsų pačių agentūrinio sprendimo kūrimas buvo sustabdytas kelerius metus, o dabartinis EndPoint sauga yra trečiosios šalies produkto „EgoSecure“ (anksčiau vadinto „cynapspro“) įpėdinis, kurį bendrovė įsigijo 2012 m.

Kitas dalykas, kurį galima priskirti InfoWatch sprendimo trūkumams, yra tas, kad norint sukonfigūruoti ir valdyti pavyzdinį DLP produktą InfoWatch TrafficMonitor, reikia žinoti specialų scenarijų. LŽŪA kalba o tai apsunkina sistemos veikimą. Nepaisant to, daugumai technikos specialistų perspektyva tobulinti savo profesinį lygį ir išmokti papildomos, nors ir nelabai paplitusios kalbos, turėtų būti vertinama teigiamai.

Sistemos administratoriaus vaidmenų atskyrimas yra būtinas siekiant sumažinti riziką, kad būtų išvengta supervartotojo su neribotomis teisėmis atsiradimo ir kitų machinacijų naudojant DLP.

Registravimas ir ataskaitų teikimas

DLP archyvas – tai duomenų bazė, kurioje kaupiami ir saugomi įvykiai ir objektai (failai, laiškai, http užklausos ir kt.), kuriuos jos veikimo metu užfiksavo sistemos jutikliai. Duomenų bazėje surinkta informacija gali būti naudojama įvairiais tikslais, įskaitant vartotojų veiksmų analizę, svarbių dokumentų kopijų išsaugojimą, informacijos saugumo incidentų tyrimo pagrindą. Be to, visų įvykių duomenų bazė itin naudinga diegiant DLP sistemą, nes padeda išanalizuoti DLP sistemos komponentų elgseną (pavyzdžiui, išsiaiškinti, kodėl tam tikros operacijos blokuojamos) ir koreguoti saugos nustatymus. (žr. 8 lentelę).

Šiuo atveju matome esminį architektūrinį skirtumą tarp Rusijos ir Vakarų DLP. Pastarieji apskritai nearchyvuoja. Tokiu atveju patį DLP tampa lengviau prižiūrėti (nereikia prižiūrėti, saugoti, daryti atsarginių kopijų ir tirti didžiulio duomenų kiekio), bet ne eksploatuoti. Juk įvykių archyvas padeda konfigūruoti sistemą. Archyvas padeda suprasti, kodėl buvo užblokuotas informacijos perdavimas, patikrinti, ar taisyklė veikė tinkamai, atlikti reikiamus sistemos nustatymų pataisymus. Taip pat reikėtų pažymėti, kad DLP sistemoms reikia ne tik pradinės konfigūracijos diegimo metu, bet ir reguliaraus „derinimo“ veikimo metu. Netinkamai prižiūrima, technikos specialistų neišugdyta sistema daug praras informacijos atpažinimo kokybe. Dėl to padidės ir incidentų, ir klaidingų teigiamų rezultatų skaičius.

Ataskaitų teikimas yra svarbi bet kokios veiklos dalis. Informacijos saugumas nėra išimtis. Ataskaitos DLP sistemose vienu metu atlieka kelias funkcijas. Pirma, glaustos ir suprantamos ataskaitos leidžia informacijos saugos tarnybų vadovams greitai stebėti informacijos saugumo būklę, nesigilinant į smulkmenas. Antra, išsamios ataskaitos padeda apsaugos pareigūnams koreguoti saugos politiką ir sistemos nustatymus. Trečia, vaizdinės ataskaitos visada gali būti rodomos aukščiausiems įmonės vadovams, siekiant parodyti DLP sistemos rezultatus ir patiems informacijos saugos specialistams (žr. 9 lentelę).

Beveik visi apžvalgoje aptariami konkuruojantys sprendimai siūlo tiek grafinius, patogius aukščiausio lygio vadovams ir informacijos saugos tarnybų vadovams, tiek lentelių ataskaitas, labiau tinkančias techniniams specialistams. Grafinių ataskaitų trūksta tik DLP InfoWatch, kuriam jos buvo sumažintos.

Sertifikavimas

Klausimas, ar reikia sertifikuoti informacijos saugos priemones ir ypač DLP, yra atviras, ir ekspertai dažnai ginčijasi šia tema profesinėse bendruomenėse. Apibendrinant šalių nuomones, reikia pripažinti, kad pats sertifikavimas neduoda rimto Konkurencinis pranašumas. Tuo pačiu metu yra nemažai klientų, visų pirma vyriausybinių organizacijų, kurioms tam tikro sertifikato buvimas yra privalomas.

Be to, esama sertifikavimo procedūra nėra gerai koreliuojama su kūrimo ciklu programinės įrangos produktai. Dėl to vartotojai susiduria su pasirinkimu: pirkti jau pasenusią, bet sertifikuotą prekės versiją arba naujausią, bet nesertifikuotą versiją. Standartinė išeitis šioje situacijoje – įsigyti sertifikuotą prekę „lentynoje“ ir naują prekę naudoti realioje aplinkoje (žr. 10 lentelę).

Palyginimo rezultatai

Apibendrinkime įspūdžius apie svarstytus DLP sprendimus. Apskritai visi dalyviai padarė teigiamą įspūdį ir gali būti panaudoti siekiant užkirsti kelią informacijos nutekėjimui. Produktų skirtumai leidžia nurodyti jų taikymo sritį.

InfoWatch DLP sistemą galima rekomenduoti organizacijoms, kurioms iš esmės svarbu turėti FSTEC sertifikatą. Tačiau paskutinis sertifikuota versija„InfoWatch Traffic Monitor“ buvo išbandytas 2010 m. pabaigoje, o sertifikato galiojimas baigiasi 2013 m. Agentais pagrįsti sprendimai, pagrįsti InfoWatch EndPoint Security (taip pat žinomas kaip EgoSecure), labiau tinka mažoms įmonėms ir gali būti naudojami atskirai nuo „Traffic Monitor“. Dalijimasis„Traffic Monitor“ ir „EndPoint Security“ gali sukelti mastelio didinimo problemų didelėse įmonėse.

Vakarų gamintojų (McAfee, Symantec, Websense) produktai, pasak nepriklausomų analitinių agentūrų, yra daug mažiau populiarūs nei rusiški. Priežastis yra žemas lokalizacijos lygis. Ir tai net ne sąsajos sudėtingumas ar dokumentacijos rusų kalba trūkumas. Konfidencialios informacijos atpažinimo technologijų ypatybės, iš anksto sukonfigūruoti šablonai ir taisyklės yra „paaštrintos“ DLP naudojimui Vakarų šalyse ir yra skirtos Vakarų reguliavimo reikalavimams įvykdyti. Dėl to informacijos atpažinimo kokybė Rusijoje pasirodo pastebimai prastesnė, o užsienio standartų reikalavimų laikymasis dažnai yra nesvarbus. Tuo pačiu metu patys gaminiai visai neblogi, tačiau vargu ar artimiausioje ateityje DLP sistemų naudojimo specifika Rusijos rinkoje leis jiems tapti populiaresniais nei vietiniai pokyčiai.

Zecurion DLP pasižymi geru masteliu (vienintelė Rusijos DLP sistema, patvirtinta, kad įdiegta daugiau nei 10 000 darbo vietų) ir aukšta technologine branda. Tačiau stebina tai, kad trūksta internetinės konsolės, kuri padėtų supaprastinti įvairiems rinkos segmentams skirto įmonės sprendimo valdymą. „Zecurion DLP“ pranašumai yra aukštos kokybės konfidencialios informacijos atpažinimas ir visa nutekėjimo prevencijos produktų linija, įskaitant apsaugą vartuose, darbo vietas ir serverius, vietos nustatymo ir duomenų šifravimo įrankius.

Dozor-Jet DLP sistema, viena iš vidaus DLP rinkos pradininkų, plačiai naudojama tarp Rusijos įmonės ir toliau plečia savo klientų bazę dėl plačių Jet Infosystems sistemos integratoriaus, ne visą darbo dieną dirbančių ir DLP kūrėjų ryšių. Nors technologiškai DLP šiek tiek atsilieka nuo galingesnių kolegų, daugelyje įmonių jo naudojimas gali būti pateisinamas. Be to, skirtingai nuo užsienio sprendimų, Dozor Jet leidžia archyvuoti visus įvykius ir failus.


Siūlome daugybę žymeklių, kurie padės išnaudoti visas DLP sistemos galimybes.

DLPsistemos: kas tai

Prisiminkite, kad DLP sistemos (Data Loss / Leak Prevention) leidžia valdyti visus įmonės tinklo ryšio kanalus (paštą, internetą, momentinių pranešimų sistemas, „flash drives“, spausdintuvus ir kt.). Apsauga nuo informacijos nutekėjimo pasiekiama dėl to, kad agentai yra įdiegti visuose darbuotojų kompiuteriuose, kurie renka informaciją ir perduoda ją į serverį. Kartais informacija renkama per šliuzą naudojant SPAN technologijas. Informacija analizuojama, po to sistema arba apsaugos pareigūnas priima sprendimus dėl incidento.

Taigi, jūsų įmonėje įdiegta DLP sistema. Kokių veiksmų reikia imtis, kad sistema veiktų efektyviai?

1. Teisingai sukonfigūruokite saugos taisykles

Įsivaizduokime, kad sistemoje, aptarnaujančioje 100 kompiuterių, sukuriama taisyklė „Pataisyti visą korespondenciją su žodžiu „sutartis““ Tokia taisyklė išprovokuos didžiulį skaičių incidentų, kurių metu tikrasis nutekėjimas gali dingti.

Be to, ne kiekviena įmonė gali sau leisti išlaikyti visą darbuotojų, sekančių incidentus, personalą.

Norėdami padidinti taisyklių naudingumą, galite naudoti įrankius, kad sukurtumėte veiksmingas taisykles ir stebėtumėte jų darbo rezultatus. Kiekviena DLP sistema turi funkciją, leidžiančią tai padaryti.

Apskritai, metodika apima sukauptos incidentų duomenų bazės analizę ir įvairių taisyklių derinių kūrimą, kurie idealiu atveju lemia 5-6 tikrai skubius incidentus per dieną.

2. Reguliariai atnaujinkite saugos taisykles

Staigus incidentų skaičiaus sumažėjimas arba padidėjimas yra rodiklis, kad taisykles reikia koreguoti. Priežastys gali būti tokios, kad taisyklė prarado savo aktualumą (vartotojai nustojo pasiekti tam tikrus failus) arba darbuotojai išmoko taisyklę ir nebeatlieka sistemos draudžiamų veiksmų (DLP – mokymo sistema). Tačiau praktika rodo, kad išmokus vieną taisyklę, gretimoje vietoje galimas nuotėkio pavojus išaugo.

Taip pat turėtumėte atkreipti dėmesį į sezoniškumą įmonės darbe. Per metus gali keistis pagrindiniai parametrai, susiję su įmonės darbo specifika. Pavyzdžiui, didmeniniam smulkios įrangos tiekėjui pavasarį bus aktualūs dviračiai, rudenį – sniego paspirtukai.

3. Apsvarstykite atsako į incidentą algoritmą

Yra keletas reagavimo į incidentus būdų. Testuojant ir paleidžiant DLP sistemas, dažniausiai žmonės nėra informuojami apie pakeitimus. Incidentų dalyviai tik stebimi. Sukaupus kritinę masę, su jais bendrauja apsaugos skyriaus arba personalo skyriaus atstovas. Ateityje darbas su vartotojais dažnai paliekamas saugos skyriaus atstovų malonei. Būna minikonfliktų, kolektyve kaupiasi negatyvas. Tai gali išsilieti per tyčinį darbuotojų sabotavimą įmonės atžvilgiu. Svarbu rasti balansą tarp disciplinos reikalavimo ir sveikos atmosferos palaikymo komandoje.

4. Patikrinkite blokavimo režimo veikimą

Yra du reagavimo į incidentą sistemoje režimai – fiksavimas ir blokavimas. Jei blokuojamas kiekvienas laiško persiuntimo ar pridėto failo pridėjimo prie „flash drive“ faktas, vartotojui kyla problemų. Darbuotojai dažnai puola sistemos administratorius prašymus atrakinti kai kurias funkcijas, vadovybė taip pat gali būti nepatenkinta tokiais nustatymais. Dėl to DLP sistema ir įmonė gauna neigiamą, sistema diskredituojama ir demaskuojama.

5. Patikrinkite, ar nebuvo įvestas komercinės paslapties režimas

Leidžia tam tikrą informaciją padaryti konfidencialia, taip pat įpareigoja bet kurį asmenį, kuris apie tai žino, prisiimti visą teisinę atsakomybę už jos atskleidimą. Esant rimtam informacijos nutekėjimui pagal įmonėje veikiančią komercinės paslapties režimą, pažeidėjas gali susigrąžinti faktinės ir moralinės žalos sumą per teismą pagal 98-FZ „Dėl komercinių paslapčių“.

Tikimės, kad šie patarimai padės sumažinti netyčinių nutekėjimų skaičių įmonėse, nes DLP sistemos sukurtos sėkmingai su jais susidoroti. Tačiau nereikėtų pamiršti sudėtingos informacijos saugumo sistemos ir to, kad tyčinis informacijos nutekėjimas reikalauja ypatingo dėmesio. Yra modernių sprendimų, kurie leidžia papildyti funkcionalumą DLP sistemos ir žymiai sumažinti tyčinio nutekėjimo riziką. Pavyzdžiui, vienas kūrėjų siūlo įdomią technologiją – kai įtartinai dažnai pasiekiami konfidencialūs failai, internetinė kamera automatiškai įsijungia ir pradeda įrašinėti. Būtent ši sistema leido užfiksuoti, kaip nelaimingasis pagrobėjas mobilia kamera aktyviai fotografavo ekrano kopijas.

Olegas Necheukhinas, saugumo ekspertas Informacinės sistemos, "Kontūras. Sauga"

DLP technologija

Skaitmeninis šviesos apdorojimas (DLP) yra pažangi technologija, kurią išrado Texas Instruments. Jo dėka buvo galima sukurti labai mažus, labai lengvus (3 kg – ar tai tikrai svoris?) Ir, nepaisant to, gana galingus (daugiau nei 1000 ANSI Lm) multimedijos projektorius.

Trumpa kūrimo istorija

Seniai, tolimoje galaktikoje...

1987 metais dr. Larry J. Hornbeckas išrado skaitmeninis daugiaveidrodis įrenginys(Digital Micromirror Device arba DMD). Šis išradimas užbaigė dešimtmečius „Texas Instruments“ mikromechaninius tyrimus deformuojami veidrodiniai įtaisai(Deformuojami veidrodiniai įrenginiai arba vėl DMD). Atradimo esmė buvo lanksčių veidrodžių atmetimas, o ne standžių veidrodžių matrica, turinti tik dvi stabilias padėtis.

1989 m. „Texas Instruments“ tapo viena iš keturių kompanijų, pasirinktų įgyvendinti „projektorių“ dalį JAV. Didelės raiškos ekranas, finansuojamas Išplėstinės tyrimų ir plėtros administracijos (ARPA).

1992 m. gegužės mėn. TI demonstruoja pirmąją DMD pagrįstą sistemą, palaikančią šiuolaikinį ARPA skiriamosios gebos standartą.

Didelės raiškos TV (HDTV) DMD versija, pagrįsta trimis DMD didelės raiškos buvo parodytas 1994 metų vasarį.

Masinis DMD lustų pardavimas prasidėjo 1995 m.

DLP technologija

Pagrindinis daugialypės terpės projektorių elementas, kurį sukūrė DLP technologijos, yra mikroskopinių veidrodžių (DMD elementų) rinkinys, pagamintas iš aliuminio lydinio, pasižyminčio labai dideliu atspindžiu. Kiekvienas veidrodis yra pritvirtintas prie standaus pagrindo, kuris judamomis plokštelėmis yra prijungtas prie matricos pagrindo. Elektrodai, prijungti prie CMOS SRAM atminties elementų, yra išdėstyti priešingais veidrodžių kampais. Veikiant elektriniam laukui, substratas su veidrodžiu užima vieną iš dviejų padėčių, kurios skiriasi tiksliai 20° dėl ribotuvų, esančių ant matricos pagrindo.

Šios dvi pozicijos atitinka įeinančiojo atspindį šviesos srautas atitinkamai į objektyvą ir efektyvų šviesos sugertuvą, užtikrinantį patikimą šilumos išsklaidymą ir minimalų šviesos atspindį.

Duomenų magistralė ir pati matrica yra sukurtos taip, kad būtų galima pateikti iki 60 ar daugiau vaizdo kadrų per sekundę su 16 milijonų spalvų raiška.

Veidrodinis masyvas kartu su CMOS SRAM sudaro DMD lustą, DLP technologijos pagrindą.

Mažas kristalo dydis yra įspūdingas. Kiekvieno matricinio veidrodžio plotas yra 16 mikronų arba mažesnis, o atstumas tarp veidrodžių yra apie 1 mikronas. Kristalas, ir ne vienas, lengvai telpa delne.

Iš viso, jei Texas Instruments mūsų neapgauna, gaminami trijų tipų kristalai (arba lustai) su skirtinga raiška. Tai:

  • SVGA: 848 × 600; 508 800 veidrodžių
  • XGA: 1024 × 768 su juoda diafragma (tarpas tarp plyšių); 786 432 veidrodžiai
  • SXGA: 1280 × 1024; 1 310 720 veidrodžių

Taigi, mes turime matricą, ką galime su ja daryti? Na, žinoma, apšvieskite jį galingesniu šviesos srautu ir vienos iš veidrodžių atspindžio krypčių kelyje pastatykite optinę sistemą, kuri fokusuoja vaizdą ekrane. Kitos krypties kelyje būtų protinga pastatyti šviesos sugėriklį, kad nereikalinga šviesa nesukeltų nepatogumų. Čia jau galime projektuoti vienspalvius paveikslus. Bet kur spalva? Kur ryškumas?

Bet tai, atrodo, buvo draugo Larry išradimas, kuris buvo aptartas DLP kūrimo istorijos skyriaus pirmoje pastraipoje. Jei vis dar nesupranti, kas yra, ruoškis, nes dabar tave gali ištikti šokas :), nes šis elegantiškas ir gana akivaizdus sprendimas yra pats pažangiausias ir technologiškai pažangiausias vaizdo projekcijos srityje.

Prisiminkite vaikišką triuką su besisukančiu žibintuvėliu, kurio šviesa tam tikru momentu susilieja ir virsta šviečiančiu ratu. Šis mūsų vizijos pokštas leidžia visiškai atsisakyti analoginių vaizdo gavimo sistemų ir naudoti visiškai skaitmenines. Juk net skaitmeniniai monitoriai paskutiniame etape turi analoginį pobūdį.

Bet kas atsitiks, jei veidrodį perjungsime iš vienos padėties į kitą dideliu dažniu? Jei nepaisysime veidrodžio persijungimo laiko (o dėl jo mikroskopinių matmenų šio laiko galima visiškai nepaisyti), tada tariamas ryškumas sumažės tik du kartus. Keičiant laiko santykį, per kurį veidrodis būna vienoje ir kitoje padėtyje, galime nesunkiai pakeisti tariamą vaizdo ryškumą. O kadangi ciklo dažnis yra labai labai didelis, jokio matomo mirgėjimo nebus. Eureka. Nors ir nieko ypatingo, bet visa tai jau seniai žinoma :)

Na, o dabar paskutinis prisilietimas. Jei perjungimo greitis pakankamai greitas, galime filtrus dėti iš eilės šviesos srauto kelyje ir taip sukurti spalvotą vaizdą.

Tiesą sakant, čia yra visa technologija. Tolesnę jos raidą stebėsime multimedijos projektorių pavyzdžiu.

DLP projektoriaus įrenginys

Texas Instruments negamina DLP projektorių, gamina daugelis kitų įmonių, tokių kaip 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA, LIESEGANG, ir tt Dauguma gaminamų projektorių yra nešiojami, sveriantys nuo 1,3 iki 8 kg, o galia iki 2000 ANSI liumenų. Projektoriai skirstomi į tris tipus.

Vienos matricos projektorius

Paprasčiausias tipas, kurį jau aprašėme, yra − vienos matricos projektorius, kur tarp šviesos šaltinio ir matricos dedamas besisukantis diskas su spalvų filtrais – mėlyna, žalia ir raudona. Disko sukimosi dažnis lemia kadrų dažnį, prie kurio esame įpratę.

Vaizdą paeiliui formuoja kiekviena pagrindinė spalva, todėl gaunamas įprastas spalvotas vaizdas.

Visi arba beveik visi nešiojamieji projektoriai yra pagaminti ant vienos matricos tipo.

Tolesnė šio tipo projektorių plėtra buvo ketvirtojo, skaidraus šviesos filtro įdiegimas, leidžiantis žymiai padidinti vaizdo ryškumą.

Trijų matricų projektorius

Sudėtingiausias projektorių tipas yra trijų matricų projektorius, kur šviesa yra padalinta į tris spalvų srautus ir atsispindi iš trijų matricų vienu metu. Toks projektorius turi gryniausią spalvą ir kadrų dažnį, jo neriboja disko greitis, kaip vienos matricos projektoriuose.

Tikslus kiekvienos matricos atspindėto srauto atitikimas (konvergencija) pateikiamas prizme, kaip matote paveikslėlyje.

Dviejų matricų projektorius

Tarpinis projektorių tipas yra dvigubos matricos projektorius. Šiuo atveju šviesa padalijama į du srautus: raudona atsispindi nuo vienos DMD matricos, o mėlyna ir žalia – iš kitos. Šviesos filtras atitinkamai pašalina mėlynus arba žalius komponentus iš spektro.

Dviejų matricų projektorius užtikrina vidutinę vaizdo kokybę, palyginti su vienos matricos ir trijų matricų tipais.

LCD ir DLP projektorių palyginimas

Palyginti su LCD projektoriais, DLP projektoriai turi keletą svarbių pranašumų:

Ar yra kokių nors DLP technologijos trūkumų?

Bet teorija yra teorija, bet praktikoje dar reikia padirbėti. Pagrindinis trūkumas yra technologijos netobulumas ir dėl to veidrodžių klijavimo problema.

Faktas yra tas, kad su tokiais mikroskopiniais matmenimis mažos dalys stengiasi „sulipti“, o veidrodis su pagrindu nėra išimtis.

Nepaisant Texas Instruments pastangų išrasti naujas medžiagas, mažinančias mikroveidrodžių sukibimą, tokia problema egzistuoja, kaip matėme bandydami daugialypės terpės projektorių. Infocus LP340. Bet, turiu pasakyti, ji tikrai netrukdo gyventi.

Kita problema nėra tokia akivaizdi ir slypi optimaliame veidrodžio perjungimo režimų pasirinkime. Kiekviena DLP projektorių įmonė šiuo klausimu turi savo nuomonę.

Na, paskutinis. Nepaisant minimalaus laiko perjungti veidrodžius iš vienos padėties į kitą, šis procesas palieka vos pastebimą pėdsaką ekrane. Savotiškas nemokamas antialiasingas.

Technologijų plėtra

  • Be skaidraus šviesos filtro įvedimo, nuolat vyksta darbas siekiant sumažinti tarpveidrodinę erdvę ir stulpelio, tvirtinančio veidrodį prie pagrindo, plotą (juodas taškas vaizdo elemento viduryje).
  • Suskaidžius matricą į atskirus blokus ir išplečiant duomenų magistralę, padidinamas veidrodžio perjungimo dažnis.
  • Vykdomi darbai, siekiant padidinti veidrodžių skaičių ir sumažinti matricos dydį.
  • Šviesos srauto galia ir kontrastas nuolat didėja. Trijų matricų projektoriai, kurių galia viršija 10 000 ANSI Lm, o kontrasto santykis viršija 1000:1, jau egzistuoja šiandien ir atsidūrė naujausiuose kino teatruose, naudojant skaitmenines laikmenas.
  • DLP technologija yra visiškai pasirengusi pakeisti CRT ekrano technologiją namų kino teatruose.

Išvada

Tai dar ne viskas, ką galima būtų pasakyti apie DLP technologiją, pavyzdžiui, nepalietėme temos apie DMD matricų panaudojimą spausdinant. Tačiau palauksime, kol „Texas Instruments“ patvirtins iš kitų šaltinių turimą informaciją, kad nesuteiktume jums klastotės. Tikiuosi šito apsakymas visiškai pakankamai, kad gautume jei ne išsamiausią, bet pakankamai supratimą apie technologiją ir nekankintume pardavėjų klausimais apie DLP projektorių pranašumus prieš kitus.


Ačiū Aleksejui Slepininui už pagalbą ruošiant medžiagą

D LP-sistema naudojama, kai reikia apsaugoti konfidencialius duomenis nuo vidinių grėsmių. O jei informacijos saugumo specialistai pakankamai įvaldę ir taiko priemones, apsaugančias nuo išorinių įsibrovėlių, tai su vidiniais ne viskas taip sklandžiai.

DLP sistemos naudojimas informacijos saugos struktūroje daro prielaidą, kad informacijos saugos specialistas supranta:

  • kaip įmonės darbuotojai gali nutekėti konfidencialius duomenis;
  • kokia informacija turėtų būti apsaugota nuo konfidencialumo pažeidimo grėsmės.

Išsamios žinios padės specialistui geriau suprasti DLP technologijos principus ir tinkamai sukonfigūruoti apsaugą nuo nuotėkio.

DLP sistema turi gebėti atskirti konfidencialią ir nekonfidencialią informaciją. Jei analizuojate visus organizacijos informacinės sistemos duomenis, iškyla per didelio IT išteklių ir personalo apkrovimo problema. DLP daugiausia dirba kartu su atsakingu specialistu, kuris ne tik „moko“ sistemą tinkamai veikti, įveda naujas ir ištrina neaktualias taisykles, bet ir stebi esamus, užblokuotus ar įtartinus įvykius informacinėje sistemoje.

Norėdami konfigūruoti, naudojami "SearchInform CIB".- reagavimo į informacijos saugumo incidentus taisyklės. Sistema turi 250 iš anksto nustatytų strategijų, kurias galima koreguoti pagal įmonės poreikius.

DLP sistemos funkcionalumas yra sukurtas aplink „brandumą“ – programinės įrangos algoritmą, atsakingą už informacijos, kurią reikia apsaugoti nuo nutekėjimo, aptikimą ir skirstymą į kategorijas. Daugumos DLP sprendimų pagrindas yra dvi technologijos: lingvistinė analizė ir technologija, pagrįsta statistiniais metodais. Be to, branduolyje gali būti naudojami retesni metodai, pavyzdžiui, etikečių naudojimas arba formalūs analizės metodai.

Nutekėjimo prevencijos sistemų kūrėjai unikalų programinės įrangos algoritmą papildo sistemos agentais, incidentų valdymo mechanizmais, analizatoriais, protokolų analizatoriais, perėmėtojais ir kitais įrankiais.

Ankstyvosios DLP sistemos buvo pagrįstos vienu metodu: kalbine arba statistine analize. Praktiškai abiejų technologijų trūkumai buvo kompensuoti stiprybės vienas kitą, o DLP raida paskatino sukurti sistemas, kurios yra universalios „šerdies“ požiūriu.

Lingvistinis analizės metodas veikia tiesiogiai su failo ir dokumento turiniu. Tai leidžia nepaisyti tokių parametrų kaip failo pavadinimas, antspaudo buvimas ar nebuvimas dokumente, kas ir kada sukūrė dokumentą. Lingvistinės analizės technologija apima:

  • morfologinė analizė - ieškoti visų galimų informacijos formų, kurias reikia apsaugoti nuo nutekėjimo;
  • semantinė analizė – svarbios (pagrindinės) informacijos pasikartojimų paieška bylos turinyje, įvykių įtaka kokybinėms bylos savybėms, naudojimo konteksto įvertinimas.

Lingvistinė analizė rodo aukštą darbo su dideliu informacijos kiekiu kokybę. Masiniam tekstui DLP sistema su lingvistinės analizės algoritmu tiksliau parinks tinkamą klasę, priskirs ją norimai kategorijai ir vykdys sukonfigūruotą taisyklę. Mažiems dokumentams geriau naudoti stop žodžių techniką, kuri pasiteisino kovojant su šiukšlėmis.

Mokymasis sistemose su lingvistinės analizės algoritmu yra įgyvendintas aukštas lygis. Ankstyvosiose DLP sistemose buvo sunku suskirstyti į kategorijas ir kitus „mokymosi“ veiksmus, tačiau modernios sistemos nustatomi nusistovėję savarankiško mokymosi algoritmai: kategorijų ženklų atpažinimas, galimybė savarankiškai formuoti ir keisti atsako taisykles. Norėdami konfigūruoti informacinėse sistemose, pvz programinės įrangos sistemos duomenų apsaugos nebereikia įtraukti kalbininkų.

Lingvistinės analizės trūkumai apima susiejimą su konkrečia kalba, kai neįmanoma naudoti DLP sistemos su „anglišku“ branduoliu analizuoti rusų kalbos informacijos srautus ir atvirkščiai. Kitas trūkumas yra susijęs su sunkumu aiškiai suskirstyti į kategorijas naudojant tikimybinį metodą, dėl kurio atsakymo tikslumas yra 95%, o bet kokio konfidencialios informacijos nutekėjimas gali būti labai svarbus įmonei.

Statistiniai analizės metodai, priešingai, demonstruoja beveik 100 % tikslumą. Statistinio branduolio trūkumas yra susijęs su pačiu analizės algoritmu.

Pirmajame etape dokumentas (tekstas) suskirstomas į priimtino dydžio fragmentus (ne po ženklą, bet pakankamai, kad būtų užtikrintas operacijos tikslumas). Iš fragmentų pašalinama maiša (DLP sistemose ji randama kaip terminas Digital Fingerprint). Tada maiša lyginama su nuorodos fragmento, paimto iš dokumento, maiša. Jei sutampa, sistema pažymi dokumentą kaip konfidencialų ir veikia pagal saugumo politiką.

Statistinio metodo trūkumas yra tas, kad algoritmas pats nesugeba mokytis, formuoti kategorijų ir rašyti. Dėl to tai priklauso nuo specialisto kompetencijos ir tikimybės, kad bus nustatyta tokio dydžio maiša, kad analizė duos per daug klaidingų teigiamų rezultatų. Trūkumą pašalinti nesunku, jei laikysitės kūrėjo rekomendacijų dėl sistemos nustatymo.

Kitas trūkumas yra susijęs su maišos formavimu. Pažangiose IT sistemose, generuojančiose didelius duomenų kiekius, pirštų atspaudų duomenų bazė gali pasiekti tokį dydį, kad tikrinant srautą, ar jie atitinka standartą, labai sulėtės visa informacinė sistema.

Sprendimų pranašumas yra efektyvumas Statistinė analizė nepriklauso nuo kalbos ir netekstinės informacijos buvimo dokumente. Maiša vienodai gerai pašalinta ir iš angliškos frazės, ir nuo vaizdo, ir iš vaizdo įrašo fragmento.

Kalbiniai ir statistiniai metodai netinka aptikti bet kokio dokumento tam tikro formato duomenis, pavyzdžiui, sąskaitų numerius ar pasus. Norint nustatyti tokias tipines struktūras informacijos masyve, į DLP sistemos branduolį įvedamos formalios struktūrų analizės technologijos.

Aukštos kokybės DLP sprendimas naudoja visus analizės įrankius, kurie veikia nuosekliai, papildydami vienas kitą.

Galite nustatyti, kurios technologijos yra branduolyje.

Lygiai taip pat svarbu, kaip ir branduolio funkcionalumas, yra valdymo lygiai, kuriais veikia DLP sistema. Yra du iš jų:

Šiuolaikinių DLP produktų kūrėjai atsisakė atskiro sluoksninės apsaugos diegimo, nes tiek galutiniai įrenginiai, tiek tinklas turi būti apsaugoti nuo nuotėkio.

Tinklo lygio valdymas tuo pačiu metu ji turėtų užtikrinti didžiausią įmanomą tinklo protokolų ir paslaugų aprėptį. Kalbame ne tik apie „tradicinius“ kanalus (, FTP,), bet ir apie naujesnes tinklo mainų sistemas (Instant Messengers,). Deja, įjungta tinklo sluoksnisšifruoto srauto valdyti neįmanoma, bet Ši problema DLP sistemose išspręsta pagrindinio kompiuterio lygiu.

Prieglobos lygio valdymas leidžia išspręsti daugiau stebėjimo ir analizės užduočių. Tiesą sakant, informacijos saugos tarnyba gauna įrankį, leidžiantį visiškai kontroliuoti vartotojo veiksmus darbo vietoje. DLP su pagrindine architektūra leidžia sekti, kas, kokius dokumentus, kas parašyta klaviatūra, įrašyti garso medžiagą ir daryti. Šifruotas srautas perimamas galutinio darbo stoties lygiu (), o duomenys, kurie šiuo metu apdorojami ir saugomi vartotojo kompiuteryje, gali būti tikrinami.

Be įprastų užduočių sprendimo, DLP sistemos su valdymu host lygiu suteikia papildomas priemones informacijos saugumui užtikrinti: programinės įrangos diegimo ir modifikavimo kontrolę, I/O prievadų blokavimą ir kt.

Pagrindinio kompiuterio diegimo trūkumai yra tai, kad sistemas su dideliu funkcijų rinkiniu yra sunkiau administruoti, jos reikalauja daugiau pačios darbo vietos išteklių. Valdymo serveris reguliariai skambina galutinio įrenginio „agento“ moduliui, kad patikrintų nustatymų prieinamumą ir tinkamumą. Be to, dalį vartotojo darbo vietos išteklių neišvengiamai „suvalgys“ DLP modulis. Todėl net renkantis sprendimą, kad būtų išvengta nuotėkio, svarbu atkreipti dėmesį į techninės įrangos reikalavimus.

Technologijų atskyrimo principas DLP sistemose jau praeityje. Modernus programinės įrangos sprendimai siekiant išvengti nutekėjimų, naudojami metodai, kurie kompensuoja vienas kito trūkumus. Dėl integruoto požiūrio konfidencialūs duomenys informacijos saugumo perimetro tampa atsparesni grėsmėms.

Konkrečios DLP sistemos pasirinkimas priklauso nuo reikiamo duomenų saugumo lygio ir visada parenkamas individualiai. Dėl pagalbos renkantis DLP sistemą ir apskaičiuojant jos diegimo įmonės IT infrastruktūroje kainą, palikite užklausą ir mes susisieksime su Jumis kaip įmanoma greičiau.

Kas yra DLP sistema

DLP sistema(angl. Data Leak Prevention – duomenų nutekėjimo prevencijos priemonės) yra technologijos ir techniniai prietaisai, kurios užkerta kelią konfidencialios informacijos nutekėjimui iš informacinių sistemų.

DLP sistemos analizuoja duomenų srautus ir kontroliuoja jų judėjimą tam tikru informacinės sistemos perimetru, kuris yra apsaugotas. Tai gali būti ftp ryšiai, įmonės ir žiniatinklio paštas, vietiniai ryšiai, taip pat momentinių pranešimų ir duomenų siuntimas į spausdintuvą. Transformavus konfidencialią informaciją sraute, suaktyvinamas sistemos komponentas, kuris blokuoja duomenų srauto perdavimą.

Kitaip tariant, DLP sistemos saugotis konfidencialių ir strategiškai svarbių dokumentų, kurių nutekėjimas iš informacinių sistemų į išorę gali padaryti nepataisomą žalą įmonei, taip pat pažeisti federalinius įstatymus Nr. 98-FZ „Dėl komercinių paslapčių“ ir Nr. 152-FZ “ Apie asmens duomenis“. Informacijos apsauga nuo nutekėjimo taip pat minima GOST. “ Informacinės technologijos. Praktinės informacijos saugumo valdymo taisyklės“ – GOST R ISO/IEC 17799-2005.

Paprastai konfidencialios informacijos nutekėjimas gali būti vykdomas tiek dėl įsilaužimo ir įsiskverbimo, tiek dėl įmonės darbuotojų neatsargumo, aplaidumo, taip pat dėl ​​viešai neatskleistų asmenų pastangų - tyčinio konfidencialios informacijos perdavimo. įmonės darbuotojų. Todėl DLP sistemos yra patikimiausios apsaugos nuo konfidencialios informacijos nutekėjimo technologijos – jos aptinka apsaugotą informaciją pagal turinį, nepriklausomai nuo dokumento kalbos, scenarijaus, perdavimo kanalų ir formato.

Taip pat DLP sistema valdo absoliučiai visus kanalus, kurie kasdien naudojami informacijai perduoti elektronine forma. Informacijos srautai apdorojami automatiškai, remiantis nustatyta saugumo politika. Tačiau jei konfidencialios informacijos veiksmai prieštarauja įmonės nustatytai saugumo politikai, duomenų perdavimas blokuojamas. Tuo pačiu metu už informacijos saugumą atsakingas įmonės įgaliotas asmuo gauna momentinį pranešimą su įspėjimu apie bandymą perduoti konfidencialią informaciją.

DLP sistemos diegimas, visų pirma, užtikrina daugelio PCI DSS standarto reikalavimų, susijusių su įmonės informacijos saugumo lygiu, laikymąsi. Taip pat DLP sistemos automatiškai audituoja saugomą informaciją, pagal jos vietą ir užtikrina automatizuotą kontrolę, pagal konfidencialios informacijos judėjimo įmonėje, apdorojimo ir neteisėto slaptos informacijos atskleidimo incidentų prevencijos taisykles. Duomenų nutekėjimo prevencijos sistema, pagrįsta pranešimais apie incidentus, stebi bendrą rizikos lygį, o retrospektyvinės analizės ir neatidėliotinos reagavimo režimais kontroliuoja informacijos nutekėjimą.

DLP sistemos diegiamos tiek mažose, tiek didelėse įmonėse, užkertant kelią informacijos nutekėjimui, taip apsaugodamos įmonę nuo finansinės ir teisinės rizikos, kylančios praradus ar perdavus svarbią įmonės ar konfidencialią informaciją.