Axel_L
@Axel_L
помощник сисадмина

Какое негативное влияние на КСПД может оказать DLP-система?

Доброго времени суток!
На предприятии собираются внедрять одну из DLP-систем: InfoWatch, Searchinform.
Интересует следующий момент: какие возможные варианты развития негативных событий для корпоративной сети, или
пользователей, у которых установлен агент dlp, могут быть?
Если у кого-то был опыт, отпишитесь пожалуйста хотя бы в двух словах что, где и как произошло.

В настоящее время проводится тестирование собственными силами отдела защиты информации поэтому тонкой настройки системы никто не проводил, мониторится все, что было в тестовых модулях системы. Стоят клиенты на компьютерах пользователей и есть сервер, который мониторит трафик, может еще что-то есть.

В день, когда отдел ЗИ начал устанавливать агентов по сети на компьютеры пользователей, почти лег канал связи между офисами + некоторые пользователи жаловались на низкую производительность системы - это было замечено мной (возможно эти события никак не связаны между собой, но все же момент неприятный)
  • Вопрос задан
  • 479 просмотров
Решения вопроса 3
@res2001
Developer, ex-admin
Разворачивал DLP от McAfee, никаких тормозов не замечено, все прошло гладко. Не знаю как в InfoWatch все устроено, но у McAfee есть понятие супер-агент - это агент, у которого есть локальный репозиторий пакетов. В каждом удаленном офисе у меня развернут 1 супер-агент, остальные компы в той сети обновляются с него. Поэтому особого трафика между офиса не генерируется, к тому же пакеты по супер-агентам можно раскидать заблаговременно.
Если в сети ранее действовали административные правила, запрещающие пользователям использовать внешние устройства хранения (флэшки, CD/DVD RW и т.п.), то пользователи не заметят, что у них появилась DLP. У меня до DLP как раз были подобные регламенты + в биосе отключали USB где было возможно, CD/DVD девайсов физически вообще нигде не было, кроме админов.
Сейчас DLP работает уже несколько лет, большой нагрузки на сеть не замечено. В политиках DLP заблокированы внешние устройства хранения, кроме особо привилегированных сотрудников.
Вообще разворачивать программные продукты в сети должны админы, т.к. это их прямая обязанность, а вот тонкую настройку уже могут проводить сотрудники ЗИ, если есть квалифицированные кадры. Да и то я бы им и это не доверил - DLP это еще что, вот если бы они персональный фаервол разворачивали, например, при неправильном предварительном конфигурировании можно вообще всю сеть колом поставить. У меня безопасники скидывают нам требования к защите, мы их реализовываем, а они потом тестируют на соответствие реализации требованиям. Админского доступа к DLP и тому подобным антивирусам они не имеют - могут только смотреть настройки и получать отчеты.
Ответ написан
CityCat4
@CityCat4 Куратор тега Сетевое администрирование
//COPY01 EXEC PGM=IEBGENER
Нормальный СМП - это маленькая, тихая, незаметная вещь - сидит в памяти компа и стучит куда надо и когда надо. Не знаю, как Searchinform - он в свое время меня ну совсем не впечатлил, но при развертывании Стахановца никто ничего не замечает.
Не должен он оказывать никакого влияния на сеть. Если же он его оказывает - это неправильный СМП :)
Ответ написан
@labyrinth
Если говорить про агентскую реализацию, то нагрузка на канал напрямую зависит от настроек. Могу пояснить на примере Searchinform. Агенты собирают информацию, шифруют её, складывают в определённую папку, а затем пересылают на сервер для анализа. Соответственно, если сервер в головном офисе, а передаём на него со всех городов и весей, то можем напороться на слишком узкий канал между регионом и головой. В админке есть родительская настройка "максимальная скорость передачи данных", которая разлетается на все агенты. Может оказаться так, что для головного офиса 5 мегабит приемлемо, а для региона всё ляжет. Поэтому предусмотрена возможность изменения родительских настроек вплоть до отдельно взятой машины. Если этого не сделали, то вот она, проблема.

Ещё на количество передаваемых данных влияет то, насколько плотный мониторинг установлен. К примеру, модуль, отвечающий за снятие скриншотов рабочих столов. В нём есть настройки количество снимков. Можно поставить раз в минуту, а можно раз в 5 секунд. Почувствуйте разницу. Или модуль, отвечающий за контроль подключаемых устройств. При определённых настройках он может снимать теневые копии со всего, что пишется на устройство (флешку, винчестер и т.п.). Если не сделать настроек, то всасывать будет всё подряд (например, когда сотрудник из корпоративной файлопомойки пишет себе пару фильмов домой). Настройками же можно указать, какие форматы копировать, а какие игнорировать. Или наоборот: снимать теневую копию со всего кроме указанных (и указать весь "тяжёлый" медиаконтент).
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы