Безопасность систем электронной почты

Сравнительный анализ систем "Дозор-Джет" и MAILsweeper.


Анализ рынка программного обеспечения в области информационной безопасности и сравнение его функциональных возможностей показывает, что среди представленных в настоящее время на российском рынке продуктов наиболее полнофункциональными и отвечающими современным требованиям являются система мониторинга и архивирования электронной почты "Дозор-Джет", компании "Инфосистемы Джет" (Россия) и MAILsweeper, компании "ClearSwift" (Великобритания).

"Дозор-Джет" и MAILsweeper являются программными продуктами, которые имеют общий набор функциональных возможностей, позволяющих отнести их к одному классу средств защиты информации. Такими возможностями являются:

  1. Фильтрация электронных писем на основе анализа их содержимого.
  2. Применение при анализе технологии рекурсивной декомпозиции, т.е. разбора электронных писем на составляющие его компоненты (заголовки письма, MIME-заголовки, тело письма, прикрепленные файлы и т.п.),
  3. Применение специальных методов оценки при анализе содержимого.
  4. Осуществление определенных действий над письмом по результатам такого анализа.

В качестве критериев сравнения систем выбраны следующие:

  • гибкость в применении правил обработки писем, т.е. способность систем применять различные правила обработки к одному и тому же письму, присваивать ему различные категории, а также осуществлять различные действия по результатам обработки;
  • глубина проводимого анализа сообщений, то есть количество и разнообразие критериев оценки, глубина проводимых проверок;
  • способность системы адекватно реагировать на те или иные события, то есть применять разнообразные действия по результатам анализа содержимого электронной почты.

Применение вышеуказанных критериев позволило специалистам компании "Инфосистемы Джет" оценить системы "Дозор-Джет" и MAILsweeper и определить их соответствие требованиям, которые предъявляются в настоящее время к системам контроля содержимого электронной почты. Данное сравнение в дальнейшем поможет Заказчикам определиться в выборе продукта безопасности, который будет подходить для той или иной информационной системы (см.
таблицу сравнения основных характеристик систем "Дозор-Джет" и Mailsweeper).

"Дозор-Джет" можно отнести к системам промышленного уровня за счет того, что продукт функционирует на UNIX-платформе и включает в свой состав подсистему архивирования, реализованную на основе СУБД Oracle. Система "Дозор-Джет" используется в организациях, объем почтового трафика которых достигает 5 гигабайт в день, а количество почтовых адресов превышает 5000. Это, в свою очередь, требует применения аппаратных средств, которые способны обеспечить высокую производительность и отказоустойчивость системы.

Система MAILsweeper устанавливается на серверы под управлением операционной системы MS Windows NT или Windows 2000. MAILsweeper не использует в своем составе подсистем хранения информации промышленного уровня.

"Дозор-Джет" имеет мощную систему фильтрации сообщений, которая позволяет реализовать политику использования электронной почты практически любого уровня сложности. При этом фильтрация осуществляется по всем компонентам письма: атрибутам конверта, заголовкам сообщения, MIME-заголовкам, телу сообщения, присоединенным файлам. Расширяемый набор проверок и действий позволяет администратору системы создавать собственные методы проверки сообщений и вложений и осуществлять различные действия над ними. Почта фильтруется на основании практически любых условий. Последовательность применения правил фильтрации в системе динамическая, что подразумевает применение любых наборов правил в заданной администратором безопасности последовательности.

В отличие от "Дозор-Джет", в MAILsweeper правила применяются в строго определенной последовательности в соответствии с их приоритетностью и иерархией проводимых проверок. Почта в MAILsweeper разделяется на потоки только на основании почтовых адресов. Кроме того, MAILsweeper не имеет возможности продолжить применение правила после выполнения текущего правила или применить другой набор правил.

В рассматриваемых системах различается подход к категоризации сообщений.


Так "Дозор-Джет" имеет систему категоризации писем, которая позволяет относить одно сообщение электронной почты сразу к нескольким смысловым категориям. Работа категоризатора основана на простой, но весьма эффективной технологии Байесовских фильтров, одинаково хорошо работающей как с русским, так и с английским языком. Автоматическая корректировка категоризатора в значительной степени повышает эффективность подсистемы фильтрации и дает возможность избежать ложных срабатываний при блокировке "запрещенных" писем.

В MAILsweeper категоризация осуществляется только на основе лексического анализа (совпадения слов и выражений) и "веса" слова (частоты употребления в тексте), что не обеспечивает хорошую защиту от ложных срабатываний, а следовательно, может привести к потере нужной информации.

Работа с текстами писем в "Дозор-Джет" включает в себя морфологический анализ слов, что позволяет искать все словоформы для данного слова. В MAILsweeper такой анализ отсутствует. Эта функция приобретает еще большее значение в связи с особенностями русского языка, в котором слова имеют сложные грамматические конструкции.

В состав "Дозор-Джет" входит подсистема архивирования промышленного уровня, реализованная на основе СУБД Oracle. Архив обеспечивает хранение в режиме on-line большого количества корпоративной электронной почты с высоким уровнем доступности данных и долговременное хранение сообщений в течение десяти лет и более. Архив предоставляет широкий спектр возможностей по хранению и поиску писем. Следует отметить такие возможности как контекстный поиск по архиву, поиск по архиву с учетом морфологического строения русского языка, разделение архива на исторические области (Partitioning), экспорт электронной почты на внешние носители.

MAILsweeper не имеет в своем составе архива электронной почты. Система производит архивацию сообщений в виде файла. В архив письмо помещается целиком. "Дозор-Джет" предоставляет возможность регистрации электронных писем.


Регистрация означает сохранение в базе данных только информации об определенных заголовках электронного письма (автор, адресат, размер и т.п.) и его MIME-структуре. Регистрация, в отличие от сохранения всего письма, дает возможность экономить пространство на дисковых массивах и ускорить поиск необходимой информации.

Говоря об архиве электронной почты, важно отметить, что в арсенале компании "ClearSwift" есть специально разработанный для MAILsweeper модуль, который называется Archivist. Данный модуль предназначен только для поиска необходимого почтового сообщения в архиве электронной почты по следующим атрибутам: адресат, получатель, тема письма, дата получения/отправки, наименование файлов-приложений.

Система "Дозор-Джет" имеет широкие возможности по генерации отчетов. Благодаря наличию архива, система способна получать выборки любой сложности по создаваемым запросам (создание специфических запросов на SQL, возможность генерации любых видов отчетов с помощью Oracle Report, Crystal Report). В архиве системы находится вся "учетная" информация о письмах (заголовки, типы вложений, их размеры и т.п.), что позволяет получать отчеты по самым разным параметрам почтового трафика. Дополнительный модуль "Статистика" содержит набор отчетов, представленных в формате MS Excel.

MAILsweeper осуществляет построение отчетов только при помощи Crystal Report. При этом для создания отчетов обязательно наличие Microsoft SQL server.

Благодаря технологии эвристического определения кодировки система "Дозор-Джет" способна осуществлять анализ русскоязычных почтовых сообщений независимо от используемой кодировки кириллицы (CP1251, СР866, ISO8859-5, KOI8-R, MAC), включая тексты, кодировка которых не указана (например, тестовые файлы в сжатых форматах) или декларирована неверно. Также определяется кодировка текстов, находящихся внутри архивированных файлов.

MAILsweeper не способен гарантированно осуществлять обработку текстов сообщений электронной почты, кодировка которых не декларирована (например, тестовые файлы в сжатых форматах) или декларирована неверно, поскольку кодировка определяется только по MIME-заголовкам.



"Дозор-Джет" имеет модульную структуру, которая позволяет добавлять в систему дополнительные функциональные возможности, не затрагивая его ядра. Это дает возможность подключать к системе внешние программы, которые предназначены для дополнительной обработки электронных писем, что расширяет функциональные возможности "Дозор-Джет". Таким образом, продукт способен интегрироваться с системами документооборота, различными подсистемами информационной безопасности (межсетевыми экранами, средствами создания виртуальных защищенных сетей, антивирусами, системами электронной цифровой подписи и т.д.) и системами управления корпоративными информационными ресурсами (HP OpenView). Всего в составе "Дозор-Джет" имеется девять различных модулей. Кроме того, в "Дозор-Джет" существует возможность вызова внешних программ (программ третьих производителей), что позволяет осуществлять дополнительную обработку электронных писем.

MAILsweeper имеет в своем составе только один модуль Archivist, предназначенный для работы с архивом электронной почты. Кроме того, система (так же как и в "Дозор-Джет") имеет возможность вызова внешних программ.

Продолжая тему модульности системы, отметим, что "Дозор-Джет" имеет в своем составе специальный модуль проверки и постановки ЭЦП, при активации которого система получает возможность обеспечивать контроль целостности, пересылаемой по электронной почте информации. Кроме того, "Дозор-Джет" имеет возможность автоматически шифровать исходящие сообщения в формате S/MIME.

В отличие от "Дозор-Джет", система MAILsweeper способна только определять наличие ЭЦП в письме, но не имеет возможности шифровать сообщения, а также проверять подлинность и ставить электронно-цифровую подпись.

"Дозор-Джет" является единственным сертифицированным продуктом на рынке систем контроля содержимого электронной почты. Гостехкомиссия России провела испытания системы "Дозор-Джет" и признала ее соответствие техническим условиям и руководящему документу "Защита от несанкционированного доступа к информации.




Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей", о чем свидетельствует сертификат N 465 от 14.06.2001. MAILsweeper является продуктом, применение которого на территории Российской Федерации не сертифицировано соответствующими органами.

И наконец, "Дозор-Джет" является отечественной разработкой. Компания "Инфосистемы Джет" предоставляет своим клиентам техническую поддержку любого уровня непосредственно от производителя. Это дает возможность оперативного решения любых проблем, связанных с функционированием системы. Компания "ClearSwift" предоставляет техническую поддержку только через сертифицированных партнеров на территории России (НИП "Информзащита").

Таблица 1. Таблица сравнения основных характеристик систем "Дозор-Джет" и Mailsweeper



"Дозор-Джет"

MAILsweeper для SMTP



Версия



2.6



4.3



Платформа



UNIX



Windows



Используемые процессоры



SPARC/PA-RISC/Intel



Intel



Операционная система



Sun Solaris, HP-UX, Linux



Windows 2000/NT



Интерфейс управления



Web-навигатор



Графический, с использованием Microsoft Management Console



Система обработки электронной почты



Последовательность применения правил определяется динамически

Расширяемый набор проверок и действий

Первое применяемое правило создается на основании любых условий

К одному письму может применяться несколько правил



Правила применяются в строго определенной последовательности в соответствии с их приоритетностью и иерархией проводимых проверок

Расширяемый набор действий

Первое применяемое правило фильтрует сообщения на основании почтовых адресов

Не имеет возможности продолжить применение правил после выполнения текущего правила или применить другой набор правил



Анализ текстов



Возможность поиска слов с учетом словообразования (как английского, так и русского)

Полнофункциональные регулярные выражения



Совпадение слов и строк

Ограниченное подмножество регулярных выражений





Категоризация сообщений



Адаптивная система категоризации, основанная на Байесовских фильтрах

Автоматическая корректировка категоризатора



Категоризация на основе лексического анализа (совпадения слов и выражений) и "веса" слова (частотности употребления в тексте)



Действия по результатам обработки сообщения



  • Блокировать
  • Отправить уведомление
  • Зарегистрировать
  • Поместить в архив
  • Применить набор правил
  • Доставить
  • Установить права доступа
  • Пометить
  • Запустить внешнюю программу
  • Переслать на определенный адрес


  • Блокировать
  • Отправить уведомление
  • Поместить в карантин
  • Доставить
  • Доставить в соответствии с расписанием
  • Переслать на определенный адрес
  • Копировать в архивный файл
  • Запустить внешнюю программу


Модификация данных



Удаление вложения определенного типа



Удаление вложения определенного типа

Включение в тело письма определенного текста



Проверка сообщений на вирусы



Средствами третьих производителей

Наличие интерфейса для антивирусных программ

Реализован унифицированный интерфейс к антивирусам:

  • Symantec Anti-Virus (Symantec)
  • AVP (Лаборатория Касперского)
  • Dr.Web (Диалог-Наука)


Средствами третьих производителей

  • Command Interceptor (Command Software Systems)
  • VetNT (Computer Associates)
  • FPROT (Frisk F-Secure Anti-Virus, компании F-Secure)
  • SAVAPI ( H+BEDV)
  • Сommand line (McAfee Norman Virus Control (Norman)
  • TBA и Sophos Anti-Virus (Sophos)
  • Symantec Anti-Virus (Symantec)


Архив сообщений



Реализован на основе СУБД Oracle или PostgreSQL (для Lite-версии)

Помещение писем в архив по любым критериям

Помещение в архив всего письма или его регистрационной информации



Архивация в виде файлов

Архивирование в директорию или на определенный адрес в сети

Архивирование только всего письма



Контекстный поиск по архиву



Имеет модуль контекстного поиска в архиве электронной почты

Также осуществляется по текстам вложенных файлов



Реализуется только дополнительно установленным модулем Archivist, который использует Indexing Service, входящий в состав Windows 2000/NT



Атрибутивный поиск по архиву





По любым атрибутам письма



  • по адресату/получателю
  • теме письмадате получения/отправки
  • наименованию файлов-приложений


Морфологический поиск по архиву



Имеет модуль поиска по архиву с учетом морфологического строения русского языка



Не имеет



Возможность хранения архива электронной почты на внешних носителях



Имеет модуль хранения электронной почты на внешних носителях



Не имеет



Возможность долговременного архива электронной почты



Имеет модуль разделения архива на исторические области (Partitioning)



Не имеет



Генерация отчетов



  • 2 типа встроенных отчетов по любым атрибутным и текстовым запросам
  • фиксированные отчеты в MS Excel
  • возможность построения отчетов пользователем с помощью стандартных средств (Crystal Report, Oracle Report)


Для построения отчетов требуется наличие Microsoft SQL server

Построение отчетов при помощи Crystal Report



Определение кодировки



Эвристическое определение кодировки

Анализ русскоязычных почтовых сообщений независимо от используемой кодировки кириллицы (Win-1251, DOS-866, ISO-8859.5, KOI-8, MAC), включая тексты, кодировка которых не декларирована или декларирована неверно

Определение кодировки в текстах внутри архивированных файлов



Определение кодировки по MIME-заголовку

Не гарантированная обработка текстов сообщений, кодировка которых не декларирована (например, тестовые файлы в сжатых форматах) или декларирована неверно



Удобство управления и администрирования



Русскоязычный интерфейс

Русскоязычная документация



Отсутствие русскоязычного интерфейса

Отсутствие русскоязычной документации



Удаленное администрирование



Удаленное администрирование по протоколу SSL



Не имеет



Разграничение доступа



Собственные средства разграничения доступа различных категорий пользователей к средствам управления и различным объектам системы



Средствами Windows 2000/NT

Контролируется доступ к:

  • сервисам создания базы данных правил;
  • средствам запуска/остановки сервисов


Возможность подключения и наличие дополнительных модулей



Имеет девять различных модулей:



  • Модуль подключения ЭЦП
  • Модуль разделения архива на исторические области (Partitioning)
  • Модуль хранения архива электронной почты на внешних носителях
  • Модуль контекстного поиска в архиве почтовых сообщений
  • Модуль поиска по архиву с учетом морфологического строения русского языка
  • Модуль статистики и отчетов
  • Модуль взаимодействия с HP Open View
  • Модуль категоризации почтовых сообщений (антиспам)
  • Модуль доступа к архиву почтовых сообщений по протоколу IMAP4


Имеет только один модуль - Archivist для работы с архивом электронной почты



Возможность проверки и постановки ЭЦП



Имеет модуль проверки и постановки ЭЦП.



Не имеет



Возможность шифрования отдельного письма



Возможность автоматического шифрования исходящего сообщения



Не имеет



Фильтрация спама



На основе модуля категоризации сообщений

Автоматизированная корректировка фильтров

Использование при блокировке сообщений списков ORBL



На основе лексического анализа (наличие определенных слов и фраз, а также частота их повторения в тексте письма)

Не использует при блокировке сообщений списков ORBL



Защита от атак типа "mail-bombs"



Осуществляется за счет ограничения объема временного каталога, который создается специально для анализа каждого письма



Не имеет



Мониторинг ресурсов системы



Встроенными средствами

Осуществляется мониторинг:

  • Свободное место в спуле (Мб)
  • Свободное место в директории логов (Мб)
  • Свободное место во временной директории (Мб)
  • Количество временных директорий фильтра
  • Доступность сервера баз данных
  • Свободное место, доступное для базы данных (Мб)
  • Наличие сервисов
  • Количество сообщений в спуле
  • Количество сообщений, обработка которых завершилась с ошибкой
  • Самое старое сообщение находится в спуле (мин)
  • Количество блокированных сообщений до применения правил
  • Средняя загрузка (за 5 мин)


Встроенными средствами осуществляется предупреждение администратора о превышении лимита времени на обработку сообщения (по умолчанию всегда 30 минут)

При помощи Windows 2000 Performance Monitor осуществляется мониторинг:



  • Количество запрещенных сообщений
  • Наличие и количество активных сессий
  • Количество сообщений в папке "Проверено"
  • Количество обработанных сообщений
  • Количество сообщений, находящихся на обработке
  • Количество модифицированных сообщений
  • Количество сообщений в папке "Не проверено"
  • Количество сообщений, помеченных как "подозрительные"
  • Количество активных соединений
  • Общее количество соединений
  • Количество соединений после последней перезагрузки системы
  • Объем полученных и отправленных сообщений (байт)
  • Общее количество полученных и отправленных сообщений


Сертификация



Сертификат N 465 от 14.06.2001 "Защита от несанкционированного доступа к информации. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей"



Не имеет



Предоставление услуг и техническая поддержка



Компания-разработчик предоставляет полный комплекс услуг и техническую поддержку



Только через сертифицированных партнеров на территории России (НИП "Информзащита")




Содержание раздела