Будущее ИТ: SaaS-решения и увеличение информации

Эксперты Huawei опубликовали информацию о будущем ИТ.  Уже в ближайшие годы они предсказывают формирование Networked World, использование облачных вычислений и многократное увеличение потока данных

Здесь можно оставить свои комментарии. Выпуск подготовленплагином wordpress для subscribe.ru

Системы корпоративного поиска не представляют угрозу информационной безопасности компании

С каждым годом растут объемы информации внутри компании. Значительную часть корпоративных документов составляют текстовые документы, веб-страницы, электронные письма и архивы различных Интернет-мессенджеров. Данные хранятся на разных серверах с различными файловыми системами, рабочих станциях, ноутбуках, сайтах и т.д. На первый план выходит задача - обеспечить быстрый и эффективный поиск по всем документам. Эту задачу решает система корпоративного поиска.

Система корпоративного поиска – сетевое устройство, предназначенное для поиска информации в корпоративной сети предприятия, которое просматривает и индексирует содержимое корпоративного Интранета, баз данных, файловых и web-серверов, а также других ИТ-систем предприятия, обеспечивая поддержку множества файловых форматов и национальных языков.

В некоторых статьях появляются сообщения об опасности использования системы корпоративного поиска. По мнению авторов таких статей, препятствием на пути внедрения системы корпоративного поиска являются повышенные риски информационной безопасности. В этих источниках приводятся результаты исследований, в которых указываются угрозы, возникающие при использовании корпоративных поисковых систем - утечка конфиденциальной информации, несанкционированный доступ, потери данных.

Система корпоративного поиска и угрозы информационной безопасности компании

Насколько такие опасения обоснованы? Некоторые отечественные специалисты считают, что если обеспечить сотрудников компании мощными средствами поиска, то для злоумышленников упростится процесс поиска всей конфиденциальной информации и не нужно будет выведывать где она храниться. Также называется еще одна причина утечки – непреднамеренная ошибка служащего, заключающаяся в том, что он перепутает конфиденциальный и публичный файл – найдет по ключевому слову документ, находящийся в закрытом доступе. Или допустит утечку информации из-за того, что не будет знать о конфиденциальном характере документа.

Если компания не контролирует все коммуникационные каналы (почту, Интернет, IM и др.), то утечка произойдет вне зависимости, есть или нет в компании система поиска. Сотрудник, задумавший «слить» корпоративную информацию и без нее справится с поиском конфиденциальной информации. Для защиты от этой угрозы в компании нужно внедрять комплексную систему защиты от утечек информации. Возникает вопрос – как в общем доступе оказался конфиденциальный инструмент? Почему сотрудник просматривает документы, к которым у него нет доступа? Какие возможности существуют в поисковых системах для обеспечения безопасности документов?

Возможности систем корпоративного поиска по обеспечению информационной безопасности

Большинство систем корпоративного поиска могут интегрироваться с системами безопасности компании. Тогда правила безопасности, определенные внутри системы корпоративной сети, будут действовать и для системы корпоративного поиска.
В самой системе корпоративного поиска можно управлять доступом в двух плоскостях – на уровне документов и уровне ролей пользователей.

Компании должны иметь четкое представление о том, какие документы могут быть доступны каждому сотруднику. Существует несколько вариантов определить доступ к документам:

1. Все или ничего. То есть, если пользователь вошел в систему поиска, то он может искать информацию, если нет – то не может.

2. По коллекции. Здесь все данные делятся и группируются по категориям, например, «общий доступ», «ограниченный доступ», «конфиденциальный» и т.д. И для пользователей и документов определяются соответствующие сочетания. Тогда при входе в систему корпоративного поиска для каждого пользователя определяются его полномочия и уровень доступа к соответствующим коллекциям, в которых он может производить поиск.

3. По документам/записям. Определяются группы пользователей или пользователи, которые могут смотреть определенные документы, записи в БД, веб-страницы. Причем, в зависимости от возможностей самой системы корпоративного поиска, можно настроить увидит ли пользователь в результатах выдачи название и описание документа.

В системах корпоративного разграничения доступа существует несколько основных групп пользовательских прав, которые с успехом могут быть применены и к универсальным системам корпоративного поиска:

1. Глобальный статус. Другими словами - все для всех. Имеет смысл только в компаниях, в которых не хранятся свои внутренние документы.

2. Общий статус. Пользователям присваивается определенное звание. Уровни доступа – партнер, менеджмент, работники, клиенты и т.д.

3. Группа/роль. Могут быть определены произвольные группы пользователей. Некоторые группы могут быть основаны уровне менеджмента или ранга. Также могут быть определены такие группы, как «Управление персоналом», «Финансы», члены которых могут получить дополнительный доступ к соответствующей информации.

4. Конкретный пользователь. Со стороны некоторых систем корпоративного поиска, эта модель трудно осуществима.

После данного рассмотрения можно сделать вывод - чтобы защитить свои данные, доступ к каждому документу лучше всего определить на уровне отдельного пользователя. Но при этом желательно максимально автоматизировать процесс интеграции существующих средств разграничения доступа с системой корпоративного поиска. Это даст возможность легко определить, какие пользователи какие документы могут не только просматривать, но и видеть в результатах поисковой выдачи.

Пример решения проблемы обеспечения безопасности в системе корпоративного поиска

Рассмотрим, какими средствами по безопасности обеспечивает компания Google свой поисковый сервер Google Search Appliance.

Поисковый сервер Google Search Appliance интегрируется с существующими системами управления доступом, обеспечивая безопасность доступа к документам. Пользователи поиска видят результаты поиска только в том случае, если они обладают правами доступа к этим источникам. Это гарантирует безопасность корпоративной информации. Поисковый сервер Google Search Appliance встраивается в единую корпоративную систему предъявления пароля, предусматривает проверку подлинности в службе каталогов LDAP, интегрируется с механизмами NTLM, встроенной проверки подлинности Windows, а также системами однократной регистрации на основе форм, включая Oblix и Netegrity.

Авторизация при выполнении поисковых запросов осуществляется с использованием цифровых сертификатов Х509. Поиск по содержимому защищенных источников контента проводится за счет интеграции с существующими системами безопасности с использованием API-интерфейсов авторизации Google SAML (Security Assertion Mark-up Language – язык разметки для систем обеспечения безопасности), являющиеся отраслевыми стандартами. Также осуществляется поддержка Kerberos для прозрачной авторизации конечных пользователей при выполнении поисковых запросов.

На данном примере было продемонстрировано, что системы корпоративного поиска достаточно защищены и не несут угроз информационной безопасности компании, если правильно подойти к вопросу их внедрения. В компании, где установлены системы защиты, корпоративный поиск принесет только пользу.

Здесь можно оставить свои комментарии. Выпуск подготовленплагином wordpress для subscribe.ru