Предприятия любого масштаба быстро осваивают средства коммуникации по мере их появления. Телефон, факс, электронная почта, системы мгновенного обмена сообщениями, социальные сети вроде Twitter, Facebook или LinkedIn, а также приложения Web 2.0 — всевозможные вики, блоги, интранет-порталы, всё это гораздо полезнее и удобнее для бизнеса, чем традиционные гонцы, доставляющие папирусные свитки.

Нас окружают массивы самой разной информации, касающейся нас самих, наших компаний, нашей интеллектуальной собственности, наших клиентов и конкурентов. Эта информация должна быть доступной круглосуточно и ежедневно. Эффективные и высококачественные средства для ее передачи могут дать конкурентное преимущество, однако следует помнить, что те же самые средства порождают и определенные риски. Приход технологий Web 2.0 открыл новые возможности, но вместе с тем потребовал большей ответственности. Сотрудники организаций могут и должны использовать любые инструменты, помогающие повысить продуктивность их труда. Но обычно при этом не принимаются во внимание сопутствующие угрозы информационной безопасности.

Многие компании, правительственные организации и учебные заведения ввели у себя ограничения на использование Web-технологий такого рода, тем самым ограничив доступные потоки информации. Простая блокировка сервисов вроде систем мгновенного обмена сообщениями (МОС) приводит к тому, что и продуктивность работы снижается. Но каким образом ИТ-подразделения могли бы сохранить многочисленные каналы обмена информацией, обеспечив при этом надежный мониторинг, гарантирующий адекватное использование этих каналов?

Системы FaceTime уже довольно давно применяются для защиты МОС. Разработчики ранних версий фокусировались главным образом на мониторинге и блокировке корпоративных данных, которые передаются через МОС-службы, предлагаемые AOL, Yahoo и MSN Messenger. Но платформа FaceTime USG (Unified Security Gateway, “объединенный шлюз безопасности”) уже не ограничивается простой защитой каналов МОС, теперь этот продукт способен отслеживать и контролировать передачу данных в социальные сети и блоги, а также сканировать входящий интернет-трафик для выявления вредоносного кода и неподходящего контента. Кроме того, систему USG 3.0 можно устанавливать в качестве прокси-сервера ICAP (протокол адаптации интернет-контента) с целью упростить инсталляцию и одновременно ужесточить меры защиты.

Устанавливая в нашей лаборатории это устройство, выполненное в форм-факторе 1U, я отметил, что маркировка портов на задней панели не отличается четкостью. Один из трех Ethernet-портов вообще никак не маркирован, остальные помечены цифрами 1 и 2. Мне пришлось гадать, какой из них предназначен для управления, а какие — для мониторинга и прокси.

Интеграция с Windows Server 2003 Active Directory прошла нормально, и я без проблем создал политики для групп и индивидуальных пользователей. В качестве опции можно выбрать LDAP, можно также импортировать основную информацию о сотрудниках из файлов в формате CSV. В системе предусмотрена отдельная группа для обнаруженных клиентов, которых невозможно идентифицировать. Это хорошее средство для определения политики в отношении посетителей, временно подключающихся к вашей сети.

Приписывание пользователей

Увидев на вкладке Groups & Employees (“группы и сотрудники”), что каталожная информация успешно импортирована, я приписал несколько пользователей к тестовой группе. Затем, перейдя на вкладку Policies (“политики”), создал тестовую политику и привязал ее к этой группе. Вообще-то наиболее полезные функции выполняются именно на вкладке Policies. Сюда входят установки для МОС, приложений и Web, причем в каждой категории предусмотрена подробнейшая детализация параметров. В разделе МОС я мог прицельно контролировать использование служб AIM/ICQ, Google Talk, Windows Live Messenger и Yahoo Messenger, а также блокировать или разблокировать еще 193 аналогичных онлайновых сервиса и 36 порталов — список выглядел очень внушительно. Я предпочел заблокировать всё, кроме AIM, а в этой службе запретил передачу файлов.

Можно сконфигурировать USG так, чтобы все передаваемые сотрудниками через сети общего пользования “мгновенные” сообщения маршрутизировались внутри вашей организации. К пользовательскому интерфейсу у меня возникла одна претензия: система не предупредила меня, что при переходе на другую вкладку я потеряю сделанные настройки, если предварительно специально не сохраню их.

Точно так же я мог запрещать или разрешать любым приложениям передачу или приём данных в сети. Это касается и VoIP (передача голосового трафика через IP), включая Skype и другие ресурсоемкие приложения, например для файлообменных сервисов. Впрочем, подобными функциями обладают и продукты, конкурирующие с FaceTime USG 3.0.

В то же время весьма полезной показалась мне возможность составлять списки запрещенных слов или фраз, при наличии которых сообщения не будут пропускаться. К примеру, вы можете разрешить пользователю заходить в Facebook, но при этом запретить публикацию видеоклипа, на котором ваша руководительница службы маркетинга танцует, подражая героине телесериала.

Дружественность

ГИП для работы с Интернетом достаточно прост. Когда администратор регистрируется в системе, перед ним сразу появляется настраиваемая панель управления. Здесь он может добавлять или отключать элементы вроде диаграммы с данными реального времени о трафике или отчета о десяти наиболее активных приложениях. На эту панель можно помещать любые отчеты, а размеры и положение ее элементов можно менять перетаскиванием.

Панель информативна, но использовать ее в качестве инструмента для непосредственного вмешательства нельзя. Остальные функции находятся в окне с несколькими вкладками, размещенном сверху. Здесь имеется довольно примитивная контекстная подсказка, но гораздо полезнее ее общая справка, где есть оглавление и полноценные инструкции по развертыванию.

Чтобы протестировать работу с протоколом ICAP, я использовал прокси-сервер BlueCoat ProxySG200 под управлением SGOS 5.4.1.12. ProxySG — надежный шлюз с возможностью оптимизации сетей WAN. Я затратил минимум усилий на конфигурацию двух устройств для совместной работы. В USG перешел к вкладке Configuration, выбрал раздел ICAP Services, а затем добавил новый подключенный сервис (ProxySG200) и слегка подредактировал его параметры. Затем проделал зеркальную процедуру на ProxySG200. Наша многослойная структура защиты пополнилась еще одним уровнем, и для этого не пришлось ничего менять в основании системы. USG 530 так же легко интегрируется с прокси-сервером Squid.

Одной из сильных сторон FaceTime USG 3.0 является система отчетов. Я довольно быстро привык к ее интерфейсу, но неоднократно прибегал к помощи всплывающих подсказок, поясняющих назначение отдельных кнопок и столбцов. В отчетах можно с легкостью углубляться в детали — нужно просто щелкать мышью на соответствующих ссылках или двойным щелчком активизировать столбцы. В частности, можно быстро перейти от группы “Наиболее активные пользователи социальных сетей” к конкретному пользователю на конкретном сайте.

Предусмотрена очень гибкая схема настройки отчетов. Есть мастер создания новых отчетов, с которым было бы неплохо ознакомиться поставщикам других аналогичных продуктов. Этот мастер позволил мне действительно очень быстро создать индивидуальные отчеты точно с той информацией, которая нужна мне. Созданные отчеты можно сохранять, экспортировать, распечатывать, можно также задавать график их запуска.

Отчеты — часть более обширной функциональности FaceTime USG 3.0, нацеленной на соблюдение регулирующих норм. Организации часто тратят огромные ресурсы, приводя свои системы в соответствие с требованиями Регулирующей организации участников финансового рынка (FINRA), Комиссии по ценным бумагам и биржам, Закона о перемещаемости и подотчетности страхования здоровья и т. п. Скажем, FINRA настаивает на мониторинге всех каналов (вроде блогов, Twitter, Facebook) для контроля деловой информации и проверки того, от чьего имени выступают сотрудники — от собственного (если такое еще возможно в корпоративной Америке) или от имени своих компаний.

Устройство протоколирует в журнале все замеченные действия и собственную реакцию на них. Когда журнал переполняется, информацию из него можно переносить во внешние базы данных.

Сведения о коммуникациях сотрудников можно сохранять и анализировать сколько угодно. Отрадно, что это делается не только ради безопасности. Понимание того, как сотрудники взаимодействуют друг с другом и с клиентами — в том числе и через социальные сети, — может очень существенно помочь службам маркетинга в работе.