Главная » Безопасность » Защита11 » Системы MAILsweeper и «Дозор-Джет»

Системы MAILsweeper и «Дозор-Джет»

Анализ рынка программного обеспечения в области информационной безопасности и сравнение его функциональных возможностей показывает, что среди представленных в настоящее время на российском рынке продуктов наиболее полнофункциональными и отвечающими современным требованиям являются система мониторинга и архивирования электронной почты «Дозор-Джет» компании «Инфосистемы Джет» (Россия) и MAILsweeper компании «ClearSwift» (Великобритания). «Дозор-Джет» и MAILsweeper являются программными продуктами, которые имеют общий набор функциональных возможностей, позволяющих отнести их к одному классу средств защиты информации. Такими возможностями являются:

1. Фильтрация электронных писем на основе анализа их содержимого.
2.Применение при анализе технологии рекурсивной декомпозиции, т.е. разбора электронных писем на составляющие его компоненты (заголовки письма, MIME-заголовки, тело письма, прикрепленные файлы и т.п.).
3.Применение специальных методов оценки при анализе содержимого.
4.Осуществление определенных действий над письмом по результатам такого анализа.

В качестве критериев сравнения систем выбраны следующие:

— гибкость в применении правил обработки писем, т.е. способность систем применять различные правила обработки к одному и тому же письму, присваивать ему различные категории, а также осуществлять различные действия по результатам обработки;
— глубина проводимого анализа сообщений, то есть количество и разнообразие критериев оценки, глубина проводимых проверок;
— способность системы адекватно реагировать на те или иные события, то есть применять разнообразные действия по результатам анализа содержимого электронной почты.

Применение вышеуказанных критериев позволило специалистам компании «Инфосистемы Джет» оценить системы «Дозор-Джет» и MAILsweeper и определить их соответствие требованиям, которые предъявляются в настоящее время к системам контроля содержимого электронной почты. Данное сравнение в дальнейшем поможет Заказчикам определиться в выборе продукта безопасности, который будет подходить для той или иной информационной системы — razgovorodele.ru. «Дозор-Джет» можно отнести к системам промышленного уровня за счет того, что продукт функционирует на UNIX-платформе и включает в свой состав подсистему архивирования, реализованную на основе СУБД Oracle.

Система «Дозор-Джет» используется в организациях, объем почтового трафика которых достигает 5 гигабайт в день, а количество почтовых адресов превышает 5000. Это, в свою очередь, требует применения аппаратных средств, которые способны обеспечить высокую производительность и отказоустойчивость системы. Система MAILsweeper устанавливается на серверы под управлением операционной системы MS Windows NT или Windows 2000. MAILsweeper не использует в своем составе подсистем хранения информации промышленного уровня.

«Дозор-Джет» имеет мощную систему фильтрации сообщений, которая позволяет реализовать политику использования электронной почты практически любого уровня сложности. При этом фильтрация осуществляется по всем компонентам письма: атрибутам конверта, заголовкам сообщения, MIME-заголовкам, телу сообщения, присоединенным файлам. Расширяемый набор проверок и действий позволяет администратору системы создавать собственные методы проверки сообщений и вложений и осуществлять различные действия над ними. Почта фильтруется на основании практически любых условий. Последовательность применения правил фильтрации в системе динамическая, что подразумевает применение любых наборов правил в заданной администратором безопасности последовательности.

В отличие от «Дозор-Джет», в MAILsweeper правила применяются в строго определенной последовательности в соответствии с их приоритетностью и иерархией проводимых проверок. Почта в MAILsweeper разделяется на потоки только на основании почтовых адресов. Кроме того, MAILsweeper не имеет возможности продолжить применение правила после выполнения текущего правила или применить другой набор правил.

В рассматриваемых системах различается подход к категоризации сообщений. Так «Дозор-Джет» имеет систему категоризации писем, которая позволяет относить одно сообщение электронной почты сразу к нескольким смысловым категориям. Работа категоризатора основана на простой, но весьма эффективной технологии Байесовских фильтров, одинаково хорошо работающей как с русским, так и с английским языком. Автоматическая корректировка категоризатора в значительной степени повышает эффективность подсистемы фильтрации и дает возможность избежать ложных срабатываний при блокировке «запрещенных» писем.

В MAILsweeper категоризация осуществляется только на основе лексического анализа (совпадения слов и выражений) и «веса» слова (частоты употребления в тексте), что не обеспечивает хорошую защиту от ложных срабатываний, а, следовательно, может привести к потере нужной информации.

Работа с текстами писем в «Дозор-Джет» включает в себя морфологический анализ слов, что позволяет искать все словоформы для данного слова. В MAILsweeper такой анализ отсутствует. Эта функция приобретает еще большее значение в связи с особенностями русского языка, в котором слова имеют сложные грамматические конструкции.

В состав «Дозор-Джет» входит подсистема архивирования промышленного уровня, реализованная на основе СУБД Oiacle. Архив обеспечивает хранение в режиме on-line большого количества корпоративной электронной почты с высоким уровнем доступности данных и долговременное хранение сообщений в течение десяти лет и более. Архив предоставляет широкий спектр возможностей по хранению и поиску писем. Следует отметить такие возможности как контекстный поиск по архиву, поиск по архиву с учетом морфологического строения русского языка, разделение архива на исторические области, экспорт электронной почты на внешние носители.

MAILsweeper не имеет в своем составе архива электронной почты. Система производит архивацию сообщений в виде файла. В архив письмо помещается целиком. «Дозор-Джет» предоставляет возможность регистрации электронных писем. Регистрация означает сохранение в базе данных только информации об определенных заголовках электронного письма (автор, адресат, размер и т.п.) и его MIME-структуре. Регистрация, в отличие от сохранения всего письма, дает возможность экономить пространство на дисковых массивах и ускорить поиск необходимой информации.

Говоря об архиве электронной почты, важно отметить, что в арсенале компании «ClearSwift» есть специально разработанный для MAILs weeper модуль, который называется Archivist. Данный модуль предназначен только для поиска необходимого почтового сообщения в архиве электронной почты по следующим атрибутам: адресат, получатель, тема письма, дата получения (отправки), наименование файлов-приложений.

Система «Дозор-Джет» имеет широкие возможности по генерации отчетов. Благодаря наличию архива, система способна получать выборки любой сложности по создаваемым запросам (создание специфических запросов на SQL, возможность генерации любых видов отчетов с помощью Oracle Report, Crystal Report). В архиве системы находится вся «учетная* информация о письмах (заголовки, типы вложений, их размеры и т.п. — razgovorodele.ru), что позволяет получать отчеты по самым разным параметрам почтового трафика. Дополнительный модуль «Статистика» содержит набор отчетов, представленных в формате MS Excel. MAILsweeper осуществляет построение отчетов только при помощи Crystal Report. При этом для создания отчетов обязательно наличие Microsoft SQL server.

Благодаря технологии эвристического определения кодировки система «Дозор-Джет» способна осуществлять анализ русскоязычных почтовых сообщений независимо от используемой кодировки кириллицы (СР1251, СР866, IS08859-5, KOI8-R, MAC), включая тексты, кодировка которых не указана (например, тестовые файлы в сжатых форматах) или декларирована неверно. Также определяется кодировка текстов, находящихся внутри архивированных файлов.

MAILsweeper не способен гарантированно осуществлять обработку текстов сообщений электронной почты, кодировка которых не декларирована (например, тестовые файлы в сжатых форматах) или декларирована неверно, поскольку кодировка определяется только по MIME-заголовкам. «Дозор-Джет» имеет модульную структуру, которая позволяет добавлять в систему дополнительные функциональные возможности, не затрагивая его ядра. Это дает возможность подключать к системе внешние программы, которые предназначены для дополнительной обработки электронных писем, что расширяет функциональные возможности «Дозор-Джет». Таким образом, продукт способен интегрироваться с системами документооборота, различными подсистемами информационной безопасности (межсетевыми экранами, средствами создания виртуальных защищенных сетей, антивирусами, системами электронной цифровой подписи и т.д.) и системами управления корпоративными информационными ресурсами (HP Open View).

Всего в составе «Дозор-Джет» имеется девять различных модулей. Кроме того, в «Дозор-Джет» существует возможность вызова внешних программ (программ третьих производителей), что позволяет осуществлять дополнительную обработку электронных писем, MAILsweeper имеет в своем составе только один модуль Archivist, предназначенный для работы с архивом электронной почты. Кроме того, система (так же как и в «Дозор-Джет») имеет возможность вызова внешних программ.

Продолжая тему модульности системы, отметим, что «Дозор-Джет» имеет в своем составе специальный модуль проверки и постановки ЭЦП, при активации которого система получает возможность обеспечивать контроль целостности, пересылаемой по электронной почте информации. Кроме того, «Дозор-Джет» имеет возможность автоматически шифровать исходящие сообщения в формате S/MIME. В отличие от «Дозор-Джет», система MAILsweeper способна только определять наличие ЭЦП в письме, но не имеет возможности шифровать сообщения, а также проверять подлинность и ставить электронно-цифровую подпись.