Система SecureTower позволяет блокировать данные, переданные по почтовым протоколам SMTP и MAPI. Для настройки параметров блокировки перейдите на вкладку Блокировка данных окна Профиль настроек агента.

Если блокировка данных была активирована, то ко всем почтовым сообщениям, переданным по протоколам SMTP, MAPI будут применяться установленные правила блокирования. При отправке данных, они будут перехвачены системой и обработаны на предмет удовлетворения поисковым условиям правил блокирования. Данные, переданные во вложениях сообщений (электронных писем, запросов), отправленных по протоколам SMTP и MAPI также подвергаются проверке на удовлетворение правилам блокирования.

Если письмо, отправленное по SMTP или MAPI, прошло проверку и не вызвало срабатывания правил блокирования, то оно будет передано на почтовый сервер для дальнейшей обработки и отправки адресату. Факт проверки при этом останется незаметным для пользователя.  

Если данные, передаваемые в почтовом сообщении SMTP, вызвали срабатывание одного или нескольких правил, то передача такого сообщения будет заблокирована. При этом пользователь получит в почтовой программе сообщение об ошибке: "Message was blocked by security policy!". Если данные, передаваемые в почтовом сообщении MAPI, вызвали срабатывание одного или нескольких правил, то передача такого сообщения будет заблокирована, а пользователь получит письмо о невозможности доставки.

Почтовые сообщения, заблокированные системой, помещаются в базу перехваченных данных, при этом к атрибутам данных добавляется дополнительный атрибут "Заблокировано" с перечнем правил, срабатывание которых привело к блокировке.

Для активации функции блокирования передачи данных, создайте правило или группу правил блокирования как описано далее.

Создание группы

В предустановленной группе Blocking rules можно создавать новые группы правил либо отдельные правила, если необходимость в разделении на группы отсутствует. Корневая группа Blocking rules не доступна для удаления.

Для того чтобы создать группу правил:

1. Нажмите кнопку Добавить на панели инструментов окна и выберите пункт Группу или щелкните правой кнопкой мыши корневую группу в списке и выберите ту же опцию из контекстного меню.

 

2. В открывшемся диалоговом окне введите название создаваемой группы в поле ввода Название группы и ее описание (опционально) в соответствующем поле ввода.

3. Нажмите OK для добавления группы. Вновь добавленная группа отобразится в списке и будет активирована по умолчанию.
4. Если необходимо сохранить группу, но не использовать входящие в нее правила в текущем профиле, снимите флажок с чек бокса рядом с ее именем в списке.
5. Перейдите к созданию правил в данной группе как описано далее.

Содержимое группы можно развернуть для просмотра и свернуть, нажав соответственно на кнопки / , которые расположены слева от названия группы в зависимости от текущего состояния.

Создание правила блокирования

Для создания нового правила:

1. Выберите в списке группу, которая будет являться корневой для нового правила.
2. На панели инструментов окна нажмите кнопку Добавить либо выберите аналогичную команду из контекстного меню, доступного при нажатии правой клавишей мыши по имени группы в списке.
3. Выберите пункт Правило блокирования SMTP или Правило блокирования MAPI в зависимости от протокола, который требуется заблокировать.
4. В открывшемся диалоговом окне введите название создаваемого правила в поле ввода Название правила и его описание (опционально) в соответствующем поле ввода.
5. Для того чтобы перейти к работе с условиями поиска, в разделе формирования условия выберите ссылку Добавить условие.
6. Укажите условия и задайте их параметры для поиска информации, подлежащей блокировке, как описано далее. Поиск и блокировка будут осуществляться агентом SecureTower в автоматическом режиме. Поиск может производиться по определенному тексту, встречаемому в перехваченных данных, IP-адресу (либо выборочно по локальному или удаленному IP-адресу), по указанному порту (либо выборочно по локальному или удаленному порту), по размеру данных, по типу данных и дате перехвата. Типы условий доступны для выбора в раскрывающемся списке, с предустановленным значением Текст.

7. Для сохранения введенных настроек, нажмите кнопку OK. Вновь созданное правило активируется автоматически для редактируемого профиля настроек.
8. Если необходимо сохранить правило, но отключить его для текущего профиля настроек, снимите флажок выбора рядом с именем правила.

Блокирование с учетом контента

Система выполняет поиск писем, содержащих как в теле письма так и в прикрепленных файлах и архивах, все указанные в запросе слова, отдельную фразу или любые из слов, введенных в поисковом запросе. Возможно также исключение из поиска писем, содержащих указанные слова. В случае ввода в строку нескольких слов они должны разделяться пробелами. Помимо отдельных слов в строку можно вводить заключенные в кавычки словосочетания для поиска точного совпадения фразы.

При поиске по ключевым словам (тексту) можно установить дополнительные параметры поиска, нажав на кнопку справа от поля ввода:

• Нечеткий поиск

Поиск указанных слов, содержащих ошибки (опечатки) в написании. При активации данной опции, с помощью ползунка можно установить степень нечеткости поиска, т.е. степень отличия искомых слов от указанных в строке ввода. Не рекомендуется устанавливать слишком высокое значение нечеткости для коротких слов, т.к. это может привести к большому числу ложных срабатываний правила.

• Расстояние между словами (применимо только для поиска по всем указанным словам)

Поиск всех введенных в строку слов с учетом расстояния между ними. Например, при установке значения «5» правило будет срабатывать при обнаружении в потоке трафика введенного словосочетания, только если между отдельными словами в нем будет присутствовать не более пяти других слов.

• Соблюдать порядок слов (только при активированной опции «расстояние между словами»)

При активации данной опции правило будет срабатывать, только если все указанные слова были обнаружены в том же порядке, в каком они были введены в текстовое поле.

• Транслитерация

Поиск введенного слова (слов) с учетом транслитерации латинскими символами. Например, при вводе в текстовое поле слова «стол» будет также найдено слово «stol».

Блокирование по дате

Для поиска по дате можно задать условия Равно (для анализа трафика только за указанный день), Не равно (для анализа трафика за все дни, кроме указанного), В диапазоне (анализ трафика за указанный период), Вне диапазона (анализ трафика за все время, кроме указанного периода).

Блокирование по времени, дням недели

Для поиска по времени можно задать условия, аналогичные условиям поиска по датам.

Для поиска по дням недели можно задать условия Равно (анализ трафика только за указанные дни недели) либо Не равно (анализ трафика за все дни недели, кроме указанного).

Блокирование по размеру письма

При поиске учитывается размер письма в msg-формате, в котором оно передаётся. Следует учитывать, что размер в msg-формате всегда больше исходного из-за добавления заголовка к телу письма и кодировки прикрепленных файлов в текстовый формат, что увеличивает размер передаваемого письма.

Для поиска по размеру письма можно задать условия Равно (поиск писем определенного размера), Не равно (поиск писем любых размеров, кроме указанного), В диапазоне (указание нижней и верхней границ размера письма), Вне диапазона (поиск писем любых размеров, кроме соответствующих выбранному диапазону). После указания размера письма в поле ввода необходимо выбрать единицу измерения (байт, килобайт, мегабайт, гигабайт).

Блокирование по статусу документа

В системе SecureTower документам присваиваются различные статусы. Для поиска доступны следующие статусы:

• Шифрован - данные зашифрованы или доступ к информации запрещен (защищенные паролем архивы, документы MS Word, MS Excel);
• Расшифрован - данные были расшифрованы (зашифрованные данные, переданные по протоколу SSL, которые были перехвачены и расшифрованы агентом);
• Поврежден - данные были повреждены (данные, которые были повреждены при пересылке либо изначально).

Для поиска данных по определенному статусу укажите желаемую позицию в списке статусов и выберите условие соответствия перехваченных данных выбранному статусу Да/Нет. При выборе условия Да система будет генерировать оповещения при обнаружении  данных, имеющих установленный статус. При условии соответствия Нет система будет игнорировать данные с указанным статусом при анализе перехваченной информации.

Блокирование по почтовым атрибутам

При поиске в почтовых сообщениях можно задать следующие условия:

• Отправитель - поиск писем, содержащих/не содержащих указанные выражения в поле «Отправитель». Доступен ввод нескольких позиций в строке условия через пробел;
• Получатель - поиск писем, содержащих/не содержащих указанные выражения в поле «Получатель». Доступен ввод нескольких позиций в строке условия через пробел;
• Тема - поиск писем, содержащих/не содержащих указанные выражения в поле «Тема»;
• Прочие параметры в заголовке - поиск писем, содержащих/не содержащих указанные выражения в других полях заголовка;
• Письма с вложениями - поиск писем, содержащих/не содержащих прикрепленные файлы.
• UserDN - поиск писем, содержащих/не содержащих указанные выражения в поле «local_user_dn». Условие поддерживается для правил блокирования MAPI. В письмах, перехваченных по протоколу MAPI, не всегда есть поле "Отправитель". В таких ситуациях уникальное доменное имя в поле UserDN позволяет идентифицировать того, кто отправляет письмо.

По умолчанию условия поиска по электронным письмам применяются также и к вложенным данным, переданным вместе с письмом.

Блокирование по параметрам файлов

Поиск конкретных файлов система может осуществлять по их имени или по расширению:

• при выборе опции поиска по имени файла можно выбрать дополнительное условие – Равно или Не равно – для поиска файлов с конкретным именем либо всех файлов, кроме имеющих указанное имя (имя файла в этом случае указывается в поле ввода справа);
• при выборе опции поиска по расширению файла можно выбрать дополнительные условия: Равно (поиск файлов только с указанным расширением), Не равно (поиск файлов с любыми расширениями, кроме указанного) или Расширение не соответствует типу (поиск файлов, расширение которых было изменено). Расширение файлов указывается в поле ввода справа.

Блокировка по компьютеру/домену

Система позволяет блокировать отправку данных на основании атрибутов компьютера, с которого данные были перехвачены, либо домена, в который входят контролируемые компьютеры и пользователи. Вы можете задать компьютер либо домен, указав его Имя или SID.  

Блокировка по IP-адресу/порту

Для блокирования отправки данных с отдельных IP-адресов и портов вы можете указать следующие типы условий: локальный/удаленный IP-адрес или порт, равно/не равно для отдельного значения, в диапазоне/вне диапазона для диапазона значений.

Операции с условиями блокирования

Поиск можно производить с учетом некоторых из указанных условий (операция «ИЛИ») либо нескольких условий одновременно (операция «И»).

При выборе поисковой операции «И» правило блокировки сработает только в тех случаях передачи информации, которые удовлетворяют ВСЕМ указанным условиям поиска одновременно. Для этого в разделе Выберите операцию, применяемую к условиям в блоке  отметьте опцию И.  

При выборе поисковой операции «ИЛИ»  блокировка передачи информации будет осуществляться только в тех случаях , которые удовлетворяют ОДНОМУ из указанных условий поиска либо ОДНОМУ из блоков условий. Для этого в разделе Выберите операцию, применяемую к условиям в блоке отметьте опцию Или.

Для того чтобы добавить новое условие поиска, щелкните ссылку Добавить условие. Для удаления какого-либо условия щелкните значок , расположенный в правой части соответствующего условия. По умолчанию в данном окне предоставляется форма для введения первого условия, однако его можно удалить, если необходимо создать блок условий.

Для того чтобы добавить целый блок условий, щелкните ссылку Добавить блок.  Создание блоков позволяет воспользоваться возможностью автоматического поиска с учетом сложных условий. Новые блоки или условия можно также создавать в составе других блоков и условий.

В случае необходимости помещения всех введенных условий поиска в один блок, выберите ссылку Обрамить блоком.

После того как условия были обрамлены блоком, становится доступной опция Отменить обрамление.

При создании нового или редактировании существующего правила блокирования доступен ряд дополнительных операций в меню Инструменты. Для перехода к работе с меню нажмите кнопку "Инструменты" и выберите требуемую операцию из списка (подробнее см. Создание поискового запроса Руководства пользователя).

Удаление/изменение правил

Для того чтобы удалить или изменить существующее правило, щелкните по имени нужного правила в списке правил в окне Профиль настроек агента. Нажмите кнопку соответствующей команды на панели инструментов:

• Для изменения правила нажмите кнопку Изменить и внесите необходимые изменения в окне Редактирование правила блокировки как указано выше. Операция изменения также доступна при двойном щелчке по выбранному правилу левой клавишей мыши.
• Для удаления правила нажмите кнопку Удалить и нажмите OK в окне подтверждения действия. Операция удаления также доступна при нажатии клавиши Delete на клавиатуре компьютера.

Импорт/экспорт

Для импорта/экспорта правил выберите соответствующую опцию раскрывающегося меню Инструменты:

• Выберите Импорт для загрузки ранее созданных правил в профили настроек. Выберите в открывшемся окне файл формата STRB, содержащий требуемые данные и нажмите Открыть для загрузки файла. В открывшемся окне Импорт правил отметьте нужные правила, установите режим импорта и нажмите Импорт для завершения процесса.
• Выберите Экспорт для сохранения правил блокировки в файл формата STRB. В открывшемся окне Экспорт правил отметьте нужные правила и нажмите Экспорт. Введите в открывшемся окне имя файл формата STRF, в который будут сохранены правила и нажмите Сохранить для загрузки файла.