file classification infrastructure

Microsoft TechDayshttp://www.techdays.ru

File Classification Infrastructure

Олег РжевскийMVP – Windows Desktop Experience


Содержание• Данные в организации: цена

хранения и риски• Как может помочь классификация

данных• Windows Server 2008 R2 File

Classification Infrastructure• Сценарии• Рекомендации по внедрению• Демонстрация


Данные в организации: стоимость хранения

Ежегодный прирост объема данных, хранящихся на корпоративных файловых серверах, начиная с 2008 года и по прогнозу до 2012 года, составляет 51% (IDC)60% всех данных составляет малоиспользуемая и устаревшая информация

Рост объемов информации


Данные в организации: стоимость хранения

Ежегодное снижение стоимости систем хранения примерно составляет 30% (IDC)В среднем, затраты на хранение и управление данными в организации со временем возрастают

Стоимость систем хранения


Данные в организации: риски

Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года, регламентирующий информационную безопасность в коммерческих и государственных организациях - окончательно вступил в силу 1 января 2010 года Постановление Правительства № 781 от 17 ноября 2007 и № 687 от 15 сентября 2008 года“Приказ трёх” (совместный приказ ФСТЭК, ФСБ, Мининформсвязи) № 55/86/20 от 13 февраля 2008 года

Изменения в законодательстве и отраслевых стандартах



В пункте 1 статьи 19 Федерального закона «О персональных данных» говорится: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». В пункте 2 Постановления правительства № 781 говорится: «Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных)…».

Изменения в законодательстве и отраслевых стандартах (продолжение)



Разрешения NTFSПолитики аудитаEncrypting File System (EFS)BitLockerWindows Rights Management Service (RMS)Политики блокировки внешних USB-устройствМногочисленные решения сторонних разработчиков (резервное копирование, антивирусная защита, DLP)

Безопасность и защита от утечки информации


Управление разделяемыми папками

IT

Разграничение доступа Резервное копирование Антивирусная защита


Через некоторое время…

Разграничение доступа Резервное копирование Антивирусная защита

Стоимость/риски хранения Защита от утечки

информации Соответствие стандартам Утилизация


Классифицируйте данные

Управляйте данными на основе их ценности для бизнеса

Примените политики в

зависимости от классификации

Шаг 1

Шаг 2



по расположениюпо атрибутампо дате создания/изменения файловпо именипо расширению

“Традиционная” классификация

FCI добавляет классификационные свойства, расширяя возможные критерии выборки файлов.

}Можно использовать знаки подстановки



API получения свойств для внешних приложений

Извлечь данные

Выделить классификационные

свойства

Классифицировать файлы

Сохранить классификационные

свойства

Применить политики на основе

классификации

API установки свойств для внешних приложений


File Classification Infrastructure Работает в домене и в рабочей

группеПоддерживается во всех версиях Windows Server 2008 R2Не накладывает ограничения на клиентские операционные системыИнтегрируется с Sharepoint, Rights Management Service

Можно внедрять прямо сейчас!



В файловых потоках NTFS (NTFS alternate data streams)

В свойствах документов Microsoft Office (только для документов Microsoft Office)

Где сохраняются классификационные свойства?


FCI: установка


Классификация и применение политик

Разработайте классификатор свойств, которые должны назначаться файлам Используйте автоматическую классификацию для назначения свойствЗапланируйте задачи по управлению файлами на основе их классификации


Классификация

2

Сценарий: перемещение неиспользуемых файлов на другой файловый сервер

Архивирование

3

Пользователь копирует файлы в определенную папку на файловом сервере Windows Server 2008 R2

File Classification Infrastructure (FCI) присваивает файлам в этой папке классификационное свойство “Business Need” со значением “Low”

Назначенное задание перемещает файлы с признаком “Low Business Need” и измененные более чем 6 месяцев назад на другой файловый сервер

c

c

1



2

Сценарий: распознавание конфиденциальных файлов и ограничение доступа к ним

Назначениеразрешений

3

4

Пользователь копирует файл “marketing.docx” в папке Public на файловом сервере Windows Server 2008 R2

File Classification Infrastructure (FCI) классифицирует файл как “конфиденциальный”, т.к. в тексте содержатся слова “конфиденциально” или “для внутреннего использования”

Назначенное задание изменяет разрешения NTFS на файл

Уполномоченные сотрудники продолжают получать доступ к “marketing.docx”

Рядовой сотрудник не получает доступ к файлу “marketing.docx” в папке Public

c

c

1

5


(Near)Real-Time Classification

Процессы FCI работают как назначенные заданияПриложения могут запрашивать свойства FCI, вызывая немедленное выполнение классификации

Вызывает команду при создании или модификации выбранного множества файловПозволяет администратору выбирать файлы на основе их классификационных свойствЯвляется консольным приложением

Code Galleryhttp://code.msdn.microsoft.com/

FCINRCT

FCI в Windows 2008 R2Пример кода Near-Real-Time Classification


PowerShell Host Classifier

Позволяет классифицировать файлы на основе сценария PowerShell

if (($_.Name.IndexOf(‘Confidential’) –lt 0) –and $_.RelativePath.IndexOf(‘Confidential’) –lt 0)){ $false }Else { $true}

Прост при развертывании и при создании собственной логики классификацииВходит в Windows 2008 R2

SDK


Инфраструктура MSIT (2009 г.)5 кластеров Windows 2008 R2

20% всех файловых серверов в MSITна каждый сервер приходится 1-6TB данных (4 – 24 миллиона файлов)Классификационные свойства

Важность для бизнеса (business impact)

высокий, средний, низкий

Срок использования (retention)длинный, короткий, постоянный

Основное внимание – политикам, назначаемым по важности для бизнеса


FCI

MSIT: Архитектура классификации по важности для бизнеса

Классификация запускается ночью с 22 до 6 часовFile Management Tasks запускаются в 12 часов дняОтчеты по классификации готовятся ежемесячно

Folder Classifie

r

Content Classifie

r

Файловый сервер

Файл

File Management

Task

File Management

Task

Если “высокая важность”, запустить Icacls

Если “высокая важность”, запустить RMS Tool

Политика

Политика


Классификаци

яКлассификат

ор стороннего

разработчика



Основные рекомендации

Сначала разработайте политики, затем выясните, какие потребуются для них классификационные свойстваПротестируйте правила классификации до развертыванияНа основе FCI Content Classifier, как правило, можно реализовать практически любую логику классификацииОшибки и предупреждения возникают, если классифицируемые файлы доступны только для чтения, открыты или поврежденыТеперь управлять файлами можно штатными средствами Windows Server 2008 R2, а не сторонними продуктами


Источники информации

Доклад подготовлен на основе материалов выступления Joel Garcia “File Classfication Infrastructure” на конференции TechEd Berlin 2009

Инфраструктура классификации файловwww.microsoft.com/windowsserver2008/ru/ru/fci.aspx

Вопросы и ответыtechnet.microsoft.com/ru-ru/library/ee344836(WS.10).aspx


Демонстрация

file classification infrastructure

Documents

cc1 microsoft techdayshttp

dlp microsoft techdayshttp

aspxmicrosoft techdayshttp

r2 sdkmicrosoft techdayshttp

file management tasks

public windows server

comfcinrctfci windows

fci content classifier