В апреле 2024 года Роспатент зарегистрировал систему и способ перехвата файловых потоков от «СёрчИнформ» в качестве уникальной разработки. Эта технология лежит в основе DCAP-системы «СёрчИнформ FileAuditor» и позволяет осуществлять контроль данных в файловых хранилищах на драйверном уровне.
Обычные DCAP-системы классифицируют файлы по контенту и ограничивают доступ к ним, если не соблюдаются заданные условия. Большинство систем класса выстраивают ограничения на уровне прав пользователей в операционной системе: например, для чтения файла достаточно открыть его под учетной записью обычного пользователя, а для изменения уже потребуются права администратора. Такие ограничения можно настроить средствами ОС, однако действовать они будут на конкретные файлы/директории и для конкретных учеток.
В FileAuditor ограничения устроены иначе. Они действуют сразу для всех файлов заданной категории (например, содержащих персональные данные) и работают для процессов, которые пытаются получить доступ к файлу.
Например, блокировки в FileAuditor могут запретить доступ ко всем сканам паспортов посредством графических редакторов, чтобы исключить подделку документов. Чтобы реализовать такую блокировку, компоненты FileAuditor выступают как драйверы режима ядра. В отличие от пользовательского режима, эти драйверы не привязаны к учетным записям в операционной системе и взаимодействуют напрямую с файловыми потоками – последовательностями байтов, в которых файловые данные фактически «записаны» в память ПК.
FileAuditor встраивает в файловый поток свою метку контентной классификации, делая ее как бы «частью» файла, которую практически невозможно снять или удалить. Эта метка становится своего рода «инструкцией» для приложений, когда и как им можно взаимодействовать с файлом. При этом метки незаметны для пользователей и наследуются при различных действиях с файлами, включая копирование, переименование, смену расширения, перемещение. FileAuditor автоматически перепроверяет наличие меток и устанавливает их даже на файлы, которые заново создаются на базе конфиденциальных документов. Это обеспечивает непрерывный контроль. Запреты доступа действуют для любых приложений: достаточно задать условия блокировки и имя процесса, которому при их соблюдении доступ будет открыт или закрыт. Указать можно произвольный процесс, от службы в ОС до самописного корпоративного ПО. Блокировки применяются по меткам для выбранных пользователей, ПК, директорий, при наличии определенных атрибутов и другим критериям, которые можно гибко настроить.
Это совершенно нехарактерный для DCAP-решений подход:
Обычные DCAP-системы классифицируют файлы по контенту и ограничивают доступ к ним, если не соблюдаются заданные условия. Большинство систем класса выстраивают ограничения на уровне прав пользователей в операционной системе: например, для чтения файла достаточно открыть его под учетной записью обычного пользователя, а для изменения уже потребуются права администратора. Такие ограничения можно настроить средствами ОС, однако действовать они будут на конкретные файлы/директории и для конкретных учеток.
В FileAuditor ограничения устроены иначе. Они действуют сразу для всех файлов заданной категории (например, содержащих персональные данные) и работают для процессов, которые пытаются получить доступ к файлу.
Например, блокировки в FileAuditor могут запретить доступ ко всем сканам паспортов посредством графических редакторов, чтобы исключить подделку документов. Чтобы реализовать такую блокировку, компоненты FileAuditor выступают как драйверы режима ядра. В отличие от пользовательского режима, эти драйверы не привязаны к учетным записям в операционной системе и взаимодействуют напрямую с файловыми потоками – последовательностями байтов, в которых файловые данные фактически «записаны» в память ПК.
FileAuditor встраивает в файловый поток свою метку контентной классификации, делая ее как бы «частью» файла, которую практически невозможно снять или удалить. Эта метка становится своего рода «инструкцией» для приложений, когда и как им можно взаимодействовать с файлом. При этом метки незаметны для пользователей и наследуются при различных действиях с файлами, включая копирование, переименование, смену расширения, перемещение. FileAuditor автоматически перепроверяет наличие меток и устанавливает их даже на файлы, которые заново создаются на базе конфиденциальных документов. Это обеспечивает непрерывный контроль. Запреты доступа действуют для любых приложений: достаточно задать условия блокировки и имя процесса, которому при их соблюдении доступ будет открыт или закрыт. Указать можно произвольный процесс, от службы в ОС до самописного корпоративного ПО. Блокировки применяются по меткам для выбранных пользователей, ПК, директорий, при наличии определенных атрибутов и другим критериям, которые можно гибко настроить.
Это совершенно нехарактерный для DCAP-решений подход:
большинство ограничиваются привязкой «разграничения доступов» к формальным признакам, атрибутам файлов, например, имя, размер, расширение, месторасположение. Как только одна из характеристик изменится – блокировка перестанет действовать.
У нас разграничения привязаны к меткам, те – к контенту, то есть именно тому, что по-настоящему нуждается в защите. Ведь, например, проектному институту важно защищать конкретные чертежи, а не все файлы формата .DWG.
В этом и состоит уникальность разработки.
Какие задачи решает FileAuditor
Посмотрите видео 7 мин
1. Где работают DCAP системы: локальные и сетевые файловые системы, СХД, NAS, FTP, почтовые сервера и СУБД.
2. Как DCAP анализирует данные: встроенные шаблоны классификации, возможности кастомизации, технологии, виды данных.
3. Как DCAP защищает от утечек: разграничение прав доступа, методики построения обработки информации, «помощь» DLP.
4.Как DCAP помогает эффективно работать с информацией в больших массивах: отчетность, фильтрация, работа с интерфейсом.
2. Как DCAP анализирует данные: встроенные шаблоны классификации, возможности кастомизации, технологии, виды данных.
3. Как DCAP защищает от утечек: разграничение прав доступа, методики построения обработки информации, «помощь» DLP.
4.Как DCAP помогает эффективно работать с информацией в больших массивах: отчетность, фильтрация, работа с интерфейсом.
Закажите бесплатный 30-дневный триал
Полнофункциональное ПО без ограничений по пользователям и функциональности
Полнофункциональное ПО без ограничений по пользователям и функциональности
