Abychom byli v definicích poměrně konzistentní, můžeme říci, že informační bezpečnost začala právě s příchodem systémů DLP. Předtím všechny produkty, které se zabývaly „bezpečností informací“, ve skutečnosti chránily nikoli informace, ale infrastrukturu – místa pro ukládání, přenos a zpracování dat. Počítač, aplikace nebo kanál, který hostí, zpracovává nebo přenáší důvěrné informace, je těmito produkty chráněn stejným způsobem, jako je těmito produkty chráněna infrastruktura, která šíří zcela neškodné informace. To znamená, že právě s příchodem produktů DLP se informační systémy konečně naučily rozlišovat důvěrné informace od nedůvěrných. Možná, že díky zabudování technologií DLP do informační infrastruktury budou moci společnosti hodně ušetřit na ochraně informací – například používat šifrování pouze při ukládání nebo přenosu důvěrných informací a v jiných případech informace nešifrovat.

To je však záležitost budoucnosti a v současnosti se tyto technologie využívají především k ochraně informací před únikem. Technologie kategorizace informací tvoří jádro systémů DLP. Každý výrobce považuje své metody zjišťování důvěrných informací za jedinečné, chrání je patenty a přichází se speciálními ochrannými známkami. Ostatně ostatní prvky architektury, které se od těchto technologií liší (protokolové zachycovače, analyzátory formátů, správa incidentů a ukládání dat), jsou pro většinu výrobců shodné a pro velké společnosti jsou dokonce integrovány s dalšími produkty zabezpečení informační infrastruktury. Ke kategorizaci dat v produktech na ochranu podnikových informací před úniky se v zásadě používají dvě hlavní skupiny technologií – lingvistická (morfologická, sémantická) analýza a statistické metody (Digital Fingerprints, Document DNA, antiplagiátorství). Každá technologie má své silné a slabé stránky, které určují rozsah jejich použití.

Lingvistická analýza

Použití zastavovacích slov ("tajné", "důvěrné" a podobně) k blokování odchozích e-mailových zpráv na poštovních serverech lze považovat za předchůdce moderních systémů DLP. To samozřejmě nechrání před vetřelci – není těžké odstranit zastavovací slovo, nejčastěji umístěné v samostatném razítku dokumentu, přičemž význam textu se vůbec nezmění.

Impuls pro rozvoj lingvistických technologií dali na začátku tohoto století tvůrci emailových filtrů. Za prvé, chránit e-maily před spamem. V antispamových technologiích nyní převládají reputační metody a na začátku století došlo ke skutečné jazykové válce mezi projektilem a pancířem – spammery a antispamery. Pamatujete si na nejjednodušší metody pro oklamání filtrů založených na ignorovaných slovech? Nahrazování písmen podobnými písmeny z jiných kódování nebo čísel, přepis, náhodné mezery, podtržítka nebo zalomení řádků v textu. Antispameři se s takovými triky rychle naučili, ale pak se objevil grafický spam a další mazané druhy nechtěné korespondence.

Je však nemožné používat antispamové technologie v produktech DLP bez vážného zlepšení. K boji proti spamu skutečně stačí rozdělit tok informací do dvou kategorií: spam a nespam. Bayesova metoda, která se používá při detekci spamu, dává pouze binární výsledek: „ano“ nebo „ne“. To k ochraně podnikových dat před úniky nestačí – nelze jednoduše rozdělit informace na důvěrné a nedůvěrné. Musíte být schopni klasifikovat informace podle funkční příslušnosti (finanční, průmyslové, technologické, obchodní, marketingové) a v rámci tříd - kategorizovat je podle úrovně přístupu (pro bezplatné šíření, pro omezený přístup, pro oficiální použití, tajné, top tajemství a tak dále).

Většina moderních systémů lingvistické analýzy využívá nejen kontextovou analýzu (tj. v jakém kontextu, v kombinaci s jakými dalšími slovy se konkrétní termín používá), ale také sémantickou analýzu textu. Tyto technologie fungují tím efektivněji, čím větší je analyzovaný fragment. Na velkém fragmentu textu je analýza provedena přesněji, je pravděpodobnější určit kategorii a třídu dokumentu. Při analýze krátkých zpráv (SMS, internetové pagery) nebylo dosud vynalezeno nic lepšího než stop slova. Autor stál před takovým úkolem na podzim roku 2008, kdy z pracovišť mnoha bank prostřednictvím instant messengerů chodily na Net tisíce zpráv typu „jsme ořezáni“, „bude odebrána licence,“ odliv vkladatelů“, který měl být okamžitě zablokován před svými klienty.

Výhody technologie

Výhody lingvistických technologií jsou v tom, že pracují přímo s obsahem dokumentů, to znamená, že je nezajímá, kde a jak dokument vznikl, jaký je na něm podpis a jak se soubor jmenuje – dokumenty jsou chráněny okamžitě. To je důležité například při zpracování konceptů důvěrných dokumentů nebo pro ochranu příchozích dokumentů. Pokud dokumenty vytvořené a používané v rámci společnosti mohou být stále pojmenovány, orazítkovány nebo označeny specifickým způsobem, pak mohou mít příchozí dokumenty razítka a značky, které organizace nepřijímá. Koncepty (samozřejmě pokud nejsou vytvořeny v zabezpečeném systému workflow) mohou také již obsahovat důvěrné informace, ale ještě neobsahují potřebná razítka a značky.

Další výhodou lingvistických technologií je jejich trénovatelnost. Pokud jste alespoň jednou v životě klikli na tlačítko „Není spam“ ve svém e-mailovém klientovi, pak si již představujete klientskou část výukového systému jazykového stroje. Podotýkám, že absolutně nemusíte být certifikovaný lingvista a vědět, co přesně se v databázi kategorií změní - stačí systému označit falešně pozitivní a zbytek už udělá sám.

Třetí výhodou lingvistických technologií je jejich škálovatelnost. Rychlost zpracování informace je úměrná jejímu množství a absolutně nezávisí na počtu kategorií. Konstrukce hierarchické databáze kategorií (historicky se nazývá BKF - content filtering base, ale tento název již neodráží skutečný význam) vypadala donedávna jako jakýsi šamanismus profesionálních lingvistů, takže nastavení BKF bylo možné s klidem připsat nedostatky. Ale s vydáním několika „autolingvistických“ produktů najednou v roce 2010 se vytváření primární databáze kategorií stalo extrémně jednoduchým - systém označuje místa, kde jsou uloženy dokumenty určité kategorie, a sám určuje jazykové rysy této kategorie, a v případě falešných poplachů se učí sám. K výhodám lingvistických technologií se tedy nyní přidalo snadné přizpůsobení.

A ještě jednou výhodou lingvistických technologií, které bych rád v článku poznamenal, je schopnost detekovat kategorie v informačních tocích, které nesouvisejí s dokumenty umístěnými v rámci společnosti. Nástrojem pro sledování obsahu informačních toků lze definovat kategorie jako nelegální aktivity (pirátství, distribuce zakázaného zboží), využívání infrastruktury společnosti pro vlastní účely, poškozování image společnosti (například šíření pomlouvačných fám) a další. již brzy.

Technologické nedostatky

Hlavní nevýhodou lingvistických technologií je jejich závislost na jazyce. Není možné použít jazykový stroj určený pro jeden jazyk k analýze jiného. To bylo zvláště patrné, když američtí výrobci vstoupili na ruský trh - nebyli připraveni čelit ruskému tvoření slov a přítomnosti šesti kódování. Nestačilo překládat kategorie a klíčová slova do ruštiny - tvoření slov v angličtině je docela jednoduché a pády se vyjímají jako předložky, to znamená, že když se změní pád, změní se předložka a ne slovo samotné. Většina podstatných jmen v angličtině se stává slovesem beze změn slov. A tak dále. V ruštině je všechno jinak – z jednoho kořene mohou vzniknout desítky slov v různých částech řeči.

V Německu se američtí producenti lingvistických technologií setkali s dalším problémem – tzv. „compounds“, složenými slovy. V němčině je obvyklé připojovat definice k hlavnímu slovu, což má za následek slova, někdy sestávající z tuctu kořenů. V angličtině nic takového neexistuje, slovo je posloupnost písmen mezi dvěma mezerami, takže anglický lingvistický stroj nebyl schopen zpracovat neznámá dlouhá slova.

Pro spravedlnost je třeba říci, že nyní tyto problémy z velké části řeší američtí výrobci. Jazykový engine se musel poměrně hodně přepracovávat (a občas i přepisovat), ale velké trhy v Rusku a Německu za to rozhodně stojí. Obtížné je také zpracování vícejazyčných textů pomocí jazykových technologií. Většina motorů však stále zvládá dva jazyky, obvykle je to národní jazyk + angličtina - to je pro většinu obchodních úkolů docela dost. Autor sice narazil na důvěrné texty obsahující například kazaštinu, ruštinu a angličtinu zároveň, ale to je spíše výjimka než pravidlo.

Další nevýhodou lingvistických technologií pro kontrolu celého rozsahu podnikových důvěrných informací je to, že ne všechny důvěrné informace jsou ve formě souvislých textů. Přestože jsou informace v databázích ukládány v textové podobě a nejsou problémy s extrakcí textu z DBMS, přijaté informace nejčastěji obsahují vlastní jména – celá jména, adresy, názvy společností, ale i digitální informace – čísla účtů, kreditní karty, jejich bilance atd. Zpracování takových dat pomocí lingvistiky nepřinese mnoho užitku. Totéž lze říci o CAD / CAM formátech, tedy výkresech, které často obsahují duševní vlastnictví, programových kódech a mediálních (video/audio) formátech – některé texty z nich lze extrahovat, ale jejich zpracování je také neefektivní. Před třemi lety to platilo i pro skenované texty, ale přední výrobci DLP systémů pohotově přidali optické rozpoznávání a s tímto problémem si poradili.

Největším a nejčastěji kritizovaným nedostatkem lingvistických technologií je ale stále pravděpodobnostní přístup ke kategorizaci. Pokud jste někdy četli e-mail s kategorií „Pravděpodobně SPAM“, pochopíte, co tím myslím. Pokud k tomu dojde u spamu, kde jsou pouze dvě kategorie (spam / ne spam), dokážete si představit, co se stane, když se do systému nahraje několik desítek kategorií a tříd soukromí. Přestože lze 92-95% přesnosti dosáhnout školením systému, pro většinu uživatelů to znamená, že každý desátý nebo dvacátý pohyb informací bude chybně přiřazen do nesprávné třídy se všemi z toho vyplývajícími obchodními důsledky (únik nebo přerušení legitimního procesu) .

Obvykle nebývá zvykem přisuzovat nevýhodám náročnost vývoje technologií, ale nelze to nezmínit. Vývoj seriózního lingvistického motoru s kategorizací textů do více než dvou kategorií je vědecky náročný a poměrně složitý technologický proces. Aplikovaná lingvistika je rychle se rozvíjející věda, která dostala silný impuls ve vývoji s rozšířením internetového vyhledávání, ale dnes jsou na trhu jednotky funkčních kategorizačních motorů: existují pouze dva z nich pro ruský jazyk a pro některé jazyky ​prostě ještě nebyly vyvinuty. Proto je na trhu DLP jen několik společností, které jsou schopny plně kategorizovat informace za běhu. Dá se předpokládat, že až se trh DLP rozšíří na mnohamiliardové velikosti, Google do něj snadno vstoupí. S vlastním lingvistickým enginem, testovaným na bilionech vyhledávacích dotazů v tisících kategorií, pro něj nebude těžké okamžitě urvat vážný kus tohoto trhu.

Statistické metody

Úkol počítačového vyhledávání významných citací (proč zrovna „významných“ – o něco později) zajímal lingvisty již v 70. letech minulého století, ne-li dříve. Text byl rozdělen na kousky určité velikosti, z nichž každý byl hashován. Pokud se určitá sekvence hashů vyskytla ve dvou textech současně, pak se s vysokou pravděpodobností texty v těchto oblastech shodovaly.

Vedlejším produktem bádání v této oblasti je například „alternativní chronologie“ Anatolije Fomenka, uznávaného učence, který pracoval na „textových korelacích“ a kdysi porovnával ruské kroniky z různých historických období. Překvapen tím, jak moc se letopisy různých století shodují (o více než 60 %), koncem 70. let předložil teorii, že naše chronologie je o několik století kratší. Když tedy společnost DLP vstoupí na trh s „revoluční technologií vyhledávání citací“, lze s jistotou říci, že společnost nevytvořila nic jiného než novou značku.

Statistické technologie nezacházejí s texty jako s koherentní posloupností slov, ale s libovolnou posloupností znaků, takže fungují stejně dobře s texty v jakémkoli jazyce. Protože každý digitální objekt – dokonce i obrázek, dokonce i program – je také posloupností znaků, lze stejnými metodami analyzovat nejen textové informace, ale také jakékoli digitální objekty. A pokud se hash ve dvou zvukových souborech shoduje, jeden z nich pravděpodobně obsahuje citaci z druhého, takže statistické metody jsou účinnými prostředky ochrany proti úniku zvuku a videa, které se aktivně používají v hudebních studiích a filmových společnostech.

Je čas vrátit se ke konceptu „smysluplné citace“. Klíčovou charakteristikou komplexního hashe převzatého z chráněného objektu (který se v různých produktech nazývá buď digitální otisk prstu nebo DNA dokumentu) je krok, kterým se hash provádí. Jak je z popisu zřejmé, takový "otisk prstu" je jedinečnou vlastností předmětu a zároveň má svou velikost. To je důležité, protože pokud tisknete miliony dokumentů (což je úložná kapacita průměrné banky), pak potřebujete dostatek místa na disku pro uložení všech výtisků. Velikost takového tisku závisí na kroku hash – čím menší krok, tím větší tisk. Pokud vezmete hash v krocích po jednom znaku, pak velikost tisku přesáhne velikost samotného vzorku. Pokud se za účelem snížení „váhy“ tisku zvýší krok (například 10 000 znaků), pak zároveň pravděpodobnost, že dokument obsahující citaci ze vzorku 9 900 znaků bude důvěrný, ale vypadne nepozorovaně, přibývá.

Na druhou stranu, pokud se provede velmi malý krok, několik symbolů, ke zvýšení přesnosti detekce, pak se počet falešně pozitivních výsledků může zvýšit na nepřijatelnou hodnotu. Z hlediska textu to znamená, že byste neměli odstraňovat hash z každého písmene - všechna slova se skládají z písmen a systém bude brát přítomnost písmen v textu jako obsah citace z ukázkového textu. Obvykle sami výrobci doporučují nějaký optimální hashovací krok, aby velikost citátu byla dostatečná a zároveň i váha samotného tisku byla malá - od 3 % (text) do 15 % (komprimované video). U některých produktů vám výrobci umožňují změnit velikost významnosti citace, tedy zvýšit nebo snížit hashovací krok.

Výhody technologie

Jak je z popisu zřejmé, k detekci nabídky je zapotřebí vzorový objekt. A statistické metody dokážou s dobrou přesností (až 100 %) zjistit, zda je v kontrolovaném souboru podstatná citace ze vzorku či nikoli. To znamená, že systém nepřebírá odpovědnost za kategorizaci dokumentů – taková práce leží zcela na svědomí toho, kdo soubory před sejmutím otisků kategorizoval. To značně usnadňuje ochranu informací v případě, že jsou v podniku na nějakém místě uloženy zřídka se měnící a již kategorizované soubory. Poté stačí z každého z těchto souborů odstranit otisk a systém v souladu s nastavením zablokuje přenos nebo kopírování souborů obsahujících významné citace ze vzorků.

Nespornou výhodou je také nezávislost statistických metod na jazyce textu a netextových informacích. Jsou dobré v ochraně statických digitálních objektů jakéhokoli typu - obrázky, audio / video, databáze. O ochraně dynamických objektů budu mluvit v části „nevýhody“.

Technologické nevýhody

Stejně jako v případě lingvistiky jsou nevýhody technologie odvrácenou stranou výhod. Snadné zaškolení systému (označuje soubor systému a je již chráněn) přenáší odpovědnost za zaškolení systému na uživatele. Pokud byl důvěrný soubor náhle na nesprávném místě nebo nebyl indexován z důvodu nedbalosti nebo se zlým úmyslem, systém jej nebude chránit. V souladu s tím by společnosti, které se starají o ochranu důvěrných informací před únikem, měly poskytnout postup pro kontrolu toho, jak jsou důvěrné soubory indexovány systémem DLP.

Další nevýhodou je fyzická velikost tisku. Autor opakovaně viděl působivé pilotní projekty na tiskovinách, kdy systém DLP se 100% pravděpodobností blokuje přenos dokumentů obsahujících významné citace ze tří set vzorových dokumentů. Po roce provozu systému v bojovém režimu se však již otisk každého odchozího dopisu nesrovnává se třemi stovkami, ale s miliony vzorových otisků, což značně zpomaluje poštovní systém a způsobuje zpoždění v řádu desítek minut.

Jak jsem slíbil výše, popíšu své zkušenosti s ochranou dynamických objektů pomocí statistických metod. Doba tisku tisku závisí na velikosti a formátu souboru. U textového dokumentu, jako je tento článek, to trvá zlomek vteřiny, u hodinu a půl filmu ve formátu MP4 to trvá desítky vteřin. U souborů, které se mění jen zřídka, to není kritické, ale pokud se objekt mění každou minutu nebo dokonce sekundu, pak nastává problém: po každé změně v objektu z něj musí být odstraněn nový otisk ... Kód, který programátor není největší složitost, mnohem horší je to s databázemi používanými v billingu, ABS nebo call centrech. Pokud je doba snímání otisků delší než doba perzistence objektu, pak problém nemá řešení. Nejde o tak exotický případ – například otisk databáze, v níž jsou uložena telefonní čísla zákazníků federálního mobilního operátora, je na několik dní odstraněn, ale každou sekundu se mění. Takže když prodejce DLP tvrdí, že jeho produkt může chránit vaši databázi, v duchu přidejte slovo „kvazi-statický“.

Jednota a boj protikladů

Jak můžete vidět z předchozí části článku, síla jedné technologie se projevuje tam, kde je druhá slabá. Lingvistika nepotřebuje vzory, kategorizuje data za běhu a může chránit informace, které nebyly vtisknuty náhodou nebo designem. Tisk poskytuje nejlepší přesnost, a proto je preferován pro použití v automatickém režimu. Lingvistika skvěle pracuje s texty, tisky – s dalšími formáty pro ukládání informací.

Většina předních společností proto ve svém vývoji používá obě technologie, přičemž jedna z nich je hlavní a druhá doplňková. Je to dáno tím, že zpočátku produkty společnosti využívaly pouze jednu technologii, ve které společnost pokročila dále, a následně na žádost trhu byla připojena druhá. Například dříve InfoWatch používalo pouze licencovanou lingvistickou technologii Morph-OLogic a Websense využívalo technologii PreciseID, která patří do kategorie Digital Fingerprint, nyní však společnosti používají obě metody. V ideálním případě by tyto dvě technologie neměly být používány paralelně, ale sériově. Například tisky lépe poslouží k identifikaci typu dokladu – je to například smlouva nebo rozvaha. Poté můžete připojit jazykovou databázi vytvořenou speciálně pro tuto kategorii. To výrazně šetří výpočetní prostředky.

Mimo článek existuje několik dalších typů technologií používaných v produktech DLP. Patří mezi ně například analyzátor struktury, který vám umožní najít formální struktury v objektech (čísla kreditních karet, pasů, TIN atd.), které nelze detekovat ani pomocí lingvistiky, ani pomocí otisků prstů. Také není zveřejněno téma různých typů štítků - od záznamů v atributových polích souboru nebo jen speciální název souboru až po speciální kryptokontejnery. Posledně jmenovaná technologie se stává zastaralou, protože většina prodejců nechce znovu vynalézat kolo, ale integrovat se s dodavateli DRM, jako je Oracle IRM nebo Microsoft RMS.

Produkty DLP jsou rychle rostoucím odvětvím informační bezpečnosti, přičemž někteří prodejci uvolňují nové verze velmi často, více než jednou ročně. Těšíme se na vznik nových technologií pro analýzu oblasti podnikových informací za účelem zvýšení účinnosti ochrany důvěrných informací.

Volba konkrétního DLP systému závisí na požadované úrovni zabezpečení dat a volí se vždy individuálně. Pro pomoc při výběru DLP systému a kalkulaci nákladů na jeho implementaci do firemní IT infrastruktury zanechte poptávku a my se vám co nejdříve ozveme.

Co je systém DLP

DLP systém(Data Leak Prevention v překladu z angličtiny - prostředky zabraňující úniku dat) jsou technologie a technická zařízení, která zabraňují úniku důvěrných informací z informačních systémů.

Systémy DLP analyzují datové toky a řídí jejich pohyb v určitém obvodu informačního systému, který je chráněn. Mohou to být připojení ftp, podniková a webová pošta, místní připojení a také odesílání rychlých zpráv a dat do tiskárny. V případě transformace důvěrných informací v toku se aktivuje komponenta systému, která zablokuje přenos datového toku.

Jinými slovy, DLP systémy bdít nad důvěrnými a strategicky důležitými dokumenty, jejichž únik z informačních systémů ven může způsobit nenapravitelné škody společnosti a také porušovat federální zákony č. 98-FZ „O obchodním tajemství“ a č. 152-FZ “ O osobních údajích“. Ochrana informací před únikem je také zmíněna v GOST. "Informační technologie. Praktická pravidla pro řízení bezpečnosti informací“ - GOST R ISO/IEC 17799-2005.

K úniku důvěrných informací může zpravidla dojít jak v důsledku hackování a pronikání, tak v důsledku nepozornosti, nedbalosti zaměstnanců podniku, jakož i úsilí zasvěcených osob - záměrný přenos důvěrných informací zaměstnanci podniku. Systémy DLP jsou proto nejspolehlivějšími technologiemi pro ochranu před únikem důvěrných informací – zjišťují chráněné informace podle obsahu bez ohledu na jazyk, písmo, přenosové kanály a formát dokumentu.

Taky, DLP systém ovládá absolutně všechny kanály, které se denně používají k přenosu informací v elektronické podobě. Informační toky jsou automaticky zpracovávány na základě stanovené bezpečnostní politiky. Pokud je však jednání s důvěrnými informacemi v rozporu s bezpečnostní politikou společnosti, je přenos dat zablokován. Zároveň oprávněná osoba společnosti odpovědná za informační bezpečnost obdrží okamžitou zprávu s upozorněním na pokus o přenos důvěrných informací.

Implementace systému DLP, v první řadě zajišťuje soulad s řadou požadavků standardu PCI DSS ohledně úrovně informační bezpečnosti podniku. Systémy DLP také provádějí automatický audit chráněných informací podle jejich umístění a poskytují automatizovanou kontrolu podle pravidel pro přesun důvěrných informací ve společnosti, zpracování a předcházení incidentům nezákonného vyzrazení tajných informací. Systém prevence úniku dat na základě hlášení incidentů sleduje celkovou úroveň rizik a také v režimech retrospektivní analýzy a okamžité reakce kontroluje únik informací.

Systémy DLP jsou instalovány v malých i velkých podnicích, zabraňují úniku informací, čímž chrání společnost před finančními a právními riziky, která vznikají při ztrátě nebo přenosu důležitých firemních nebo důvěrných informací.

Rychlý rozvoj informačních technologií přispívá ke globální informatizaci moderních firem a podniků. Každým dnem rychle roste objem informací přenášených podnikovými sítěmi velkých korporací i malých firem. S rostoucími informačními toky nepochybně rostou i hrozby, které mohou vést ke ztrátě důležitých informací, jejich zkreslení nebo krádeži. Ukazuje se, že ztráta informací je mnohem jednodušší než ztráta jakékoli materiální věci. K tomu není nutné, aby někdo prováděl speciální úkony ke zvládnutí dat – někdy stačí neopatrné chování při práci s informačními systémy nebo nezkušení uživatelé.

Vyvstává přirozená otázka, jak se chránit, abyste eliminovali faktory ztráty a úniku důležitých informací pro sebe. Ukazuje se, že je docela možné tento problém vyřešit a lze jej provést na vysoké profesionální úrovni. K tomuto účelu se používají speciální DLP systémy.

Definice systémů DLP

DLP je systém pro zamezení úniku dat v informačním prostředí. Jde o speciální nástroj, který mohou správci systémů podnikových sítí využít ke sledování a blokování pokusů o neoprávněný přenos informací. Kromě toho, že takový systém dokáže zabránit faktům nelegálního získávání informací, umožňuje také sledovat jednání všech uživatelů sítě, které je spojeno s používáním sociálních sítí, chatováním, zasíláním e-mailových zpráv atd. Hlavním cílem, aby systémy prevence úniku byly zaměřeny na důvěrné informace DLP, je podpora a implementace všech požadavků politiky důvěrnosti a bezpečnosti informací, které existují v konkrétní organizaci, společnosti, podniku.

Oblast použití

Praktická aplikace systémů DLP je nejrelevantnější pro ty organizace, kde únik důvěrných dat může vést k obrovským finančním ztrátám, výraznému dopadu na pověst a také ke ztrátě zákaznické základny a osobních informací. Přítomnost takových systémů je povinná pro ty společnosti a organizace, které kladou vysoké požadavky na „hygienu informací“ svých zaměstnanců.

Systémy DLP se stanou tím nejlepším nástrojem pro ochranu takových údajů, jako jsou čísla bankovních karet klientů, jejich bankovní účty, informace o podmínkách výběrových řízení, zakázkách na práce a služby – hospodárnost takového bezpečnostního řešení je zcela zřejmá.

Typy systémů DLP

Nástroje používané k prevenci úniku informací lze rozdělit do několika klíčových kategorií:

1. standardní bezpečnostní nástroje;
2. inteligentní opatření na ochranu dat;
3. šifrování dat a řízení přístupu;
4. specializované bezpečnostní systémy DLP.

Standardní sada zabezpečení, kterou by měla používat každá společnost, zahrnuje antivirové programy, vestavěné firewally, systémy detekce narušení.

Inteligentní nástroje informační bezpečnosti umožňují využití speciálních služeb a moderních algoritmů, které vám umožní vypočítat nelegální přístup k datům, nesprávné používání elektronické korespondence atd. Tyto moderní bezpečnostní nástroje navíc umožňují analyzovat požadavky na příchozí informační systém. zvenčí z různých programů a služeb, které mohou hrát roli jakýchsi špiónů. Inteligentní bezpečnostní nástroje umožňují hlubší a podrobnější kontrolu informačního systému z hlediska možného úniku informací různými způsoby.

Šifrování citlivých informací a používání omezeného přístupu k určitým datům je dalším účinným krokem k minimalizaci možnosti ztráty citlivých informací.

Specializovaný systém prevence úniku informací DLP je komplexní multifunkční nástroj, který je schopen odhalit a zabránit neoprávněnému kopírování a přenosu důležitých informací mimo firemní prostředí. Tato rozhodnutí odhalí skutečnosti o přístupu k informacím bez povolení nebo s využitím pravomocí těch osob, které takové povolení mají.

Specializované systémy používají nástroje jako:

• mechanismy pro určení přesné shody dat;
• různé statistické metody analýzy;
• používání technik kódových frází a slov;
• strukturované otisky prstů atd.;

Porovnání těchto systémů podle funkčnosti

Zvažte srovnání systémů DLP Network DLP a Endpoint DLP.

Síťové DLP je speciální řešení na hardwarové nebo softwarové úrovni, které se uplatňuje v těch bodech struktury sítě, které se nacházejí v blízkosti „obvodu informačního prostředí“. Pomocí této sady nástrojů je prováděna důkladná analýza důvěrných informací, které se snaží v rozporu se zavedenými pravidly informační bezpečnosti odesílat mimo podnikové informační prostředí.

Endpoint DLP jsou speciální systémy, které se používají na pracovních stanicích koncových uživatelů i na serverových systémech malých organizací. Koncový bod informací pro tyto systémy může být použit k řízení vnitřní i vnější strany „perimetru informačního prostředí“. Systém umožňuje analyzovat informační provoz, jehož prostřednictvím dochází k výměně dat jak mezi jednotlivými uživateli, tak mezi skupinami uživatelů. Ochrana DLP systémů tohoto typu je zaměřena na komplexní kontrolu procesu výměny dat, včetně elektronických zpráv, komunikace na sociálních sítích a další informační aktivity.

Je nutné zavádět tyto systémy v podnicích?

Implementace DLP systémů je povinná pro všechny společnosti, které si svých informací váží a snaží se udělat vše pro to, aby zabránily jejich úniku a ztrátě. Přítomnost takových inovativních bezpečnostních nástrojů umožní společnostem zabránit distribuci citlivých dat mimo podnikové informační prostředí prostřednictvím všech dostupných kanálů výměny dat. Instalací systému DLP bude společnost schopna ovládat:

• odesílání zpráv pomocí firemní webové pošty;
• pomocí FTP připojení;
• místní připojení pomocí bezdrátových technologií, jako je WiFi, Bluetooth, GPRS;
• zasílání rychlých zpráv pomocí klientů jako MSN, ICQ, AOL atd.;
• použití externích disků - USB, SSD, CD / DVD atd.
• dokumentaci odeslanou k tisku pomocí podnikových tiskových zařízení.

Na rozdíl od standardních bezpečnostních řešení bude společnost, která má nainstalovaný DLP Securetower nebo podobný systém, schopna:

• ovládat všechny typy kanálů pro výměnu důležitých informací;
• detekovat přenos důvěrných informací bez ohledu na to, jak a v jakém formátu jsou přenášeny mimo podnikovou síť;
• kdykoli zablokovat únik informací;
• automatizovat proces zpracování údajů v souladu s bezpečnostní politikou přijatou podnikem.

Použití systémů DLP zaručí efektivní rozvoj podniků a zachování jejich výrobních tajemství před konkurenty a nepřáteli.

Jak probíhá realizace?

Chcete-li nainstalovat systém DLP ve vašem podniku v roce 2017, musíte projít několika fázemi, po kterých podnik získá účinnou ochranu svého informačního prostředí před vnějšími a vnitřními hrozbami.

V první fázi implementace je proveden průzkum informačního prostředí podniku, který zahrnuje následující akce:

• studium organizační a administrativní dokumentace, která upravuje informační politiku v podniku;
• studium informačních zdrojů, které podnik a jeho zaměstnanci využívají;
• odsouhlasení seznamu informací, které mohou být klasifikovány jako data s omezeným přístupem;
• zkoumání existujících metod a kanálů pro přenos a příjem dat.

Na základě výsledků průzkumu je vypracován zadání, které bude popisovat bezpečnostní politiky, které bude nutné zavést pomocí systému DLP.

V další fázi je nutné upravit právní stránku používání systémů DLP v podniku. Je důležité eliminovat všechny jemné body, aby později nedocházelo k žalobám zaměstnanců z toho důvodu, že je společnost sleduje.

Po vyřízení všech právních formalit se můžete pustit do výběru produktu informační bezpečnosti – může to být například systém Infowatch DLP nebo jakýkoli jiný s podobnou funkcionalitou.

Po výběru správného systému jej můžete začít instalovat a konfigurovat pro produktivní práci. Systém by měl být konfigurován tak, aby bylo zajištěno plnění všech bezpečnostních úkolů stanovených v zadání.

Závěr

Implementace systémů DLP je poměrně komplikovaný a pečlivý úkol, který vyžaduje spoustu času a zdrojů. Nezastavujte se ale na půli cesty – důležité je projít všechny fáze naplno a získat vysoce účinný a multifunkční systém pro ochranu vašich důvěrných informací. Ztráta dat totiž může podniku nebo společnosti způsobit obrovské škody, a to jak finanční, tak i z hlediska image a reputace ve spotřebitelském prostředí.

28.01.2014 Sergej Korablev

Výběr jakéhokoli produktu na podnikové úrovni není triviálním úkolem pro technické specialisty a osoby s rozhodovací pravomocí. Ještě obtížnější je vybrat si systém ochrany před ztrátou dat DLP (Data Leak Protection). Neexistence jednotného koncepčního systému, pravidelné nezávislé srovnávací studie a složitost samotných produktů nutí spotřebitele objednávat si pilotní projekty u výrobců a samostatně provádět četné testy, určující rozsah vlastních potřeb a korelovat je se schopnostmi stávajících systémů. testováno

Takový přístup je jistě správný. Vyvážené a v některých případech i těžce vybojované rozhodnutí zjednoduší další implementaci a zabrání zklamání z provozu konkrétního produktu. Rozhodovací proces se však v tomto případě může zpozdit, když ne o roky, tak o mnoho měsíců. Neustálé rozšiřování trhu, vznik nových řešení a výrobců navíc dále komplikují úkol nejen vybrat produkt k implementaci, ale také vytvořit předběžný shortlist vhodných DLP systémů. Za takových podmínek mají aktuální revize systémů DLP pro technické specialisty nepochybnou praktickou hodnotu. Mělo by být konkrétní řešení zahrnuto do seznamu testů nebo by bylo příliš složité na implementaci v malé organizaci? Lze toto řešení škálovat na společnost s 10 000 zaměstnanci? Může systém DLP ovládat důležité podnikové soubory CAD? Otevřené srovnání nenahradí důkladné testování, ale pomůže zodpovědět základní otázky, které vyvstanou v počáteční fázi procesu výběru DLP.

členové

Jako účastníci byly vybrány nejoblíbenější (podle analytického centra Anti-Malware.ru k polovině roku 2013) DLP systémy společností InfoWatch, McAfee, Symantec, Websense, Zecurion a Jet Infosystem na ruském trhu informační bezpečnosti.

Pro analýzu byly použity komerčně dostupné verze systémů DLP v době přípravy recenze a také dokumentace a otevřené recenze produktů.

Kritéria pro porovnání systémů DLP byla vybrána na základě potřeb společností různých velikostí a odvětví. Hlavním úkolem systémů DLP je zabránit úniku důvěrných informací různými kanály.

Příklady produktů těchto společností jsou uvedeny na obrázcích 1-6.

Obrázek 3 Produkt Symantec

Obrázek 4. Produkt InfoWatch

Obrázek 5. Produkt Websense

Obrázek 6. Produkt McAfee

Provozní režimy

Dva hlavní provozní režimy systémů DLP jsou aktivní a pasivní. Aktivní – obvykle hlavní režim provozu, který blokuje akce porušující zásady zabezpečení, jako je odesílání citlivých informací do externí schránky. Pasivní režim se nejčastěji používá ve fázi konfigurace systému ke kontrole a úpravě nastavení, když je podíl falešně pozitivních výsledků vysoký. V tomto případě jsou zaznamenána porušení zásad, ale nejsou uložena omezení pohybu informací (tabulka 1).

V tomto aspektu se všechny uvažované systémy ukázaly jako rovnocenné. Každé z DLP může pracovat v aktivním i pasivním režimu, což dává zákazníkovi určitou volnost. Ne všechny společnosti jsou připraveny okamžitě začít provozovat DLP v blokovacím režimu - to je plné narušení obchodních procesů, nespokojenosti ze strany zaměstnanců řízených oddělení a reklamací (včetně oprávněných) ze strany vedení.

Technika

Detekční technologie umožňují klasifikovat informace přenášené elektronickými kanály a identifikovat důvěrné informace. Dnes existuje několik základních technologií a jejich odrůd, které jsou v podstatě podobné, ale liší se v implementaci. Každá technologie má své výhody i nevýhody. Kromě toho jsou pro analýzu informací různých tříd vhodné různé typy technologií. Výrobci DLP řešení se proto snaží do svých produktů integrovat maximum technologií (viz tabulka 2).

Produkty obecně poskytují velké množství technologií, které, pokud jsou správně nakonfigurovány, poskytují vysoké procento rozpoznání důvěrných informací. DLP McAfee, Symantec a Websense jsou pro ruský trh poměrně špatně přizpůsobeny a nemohou uživatelům nabídnout podporu pro „jazykové“ technologie – morfologii, analýzu přepisu a maskovaný text.

Řízené kanály

Každý kanál přenosu dat je potenciálním kanálem pro úniky. I jeden otevřený kanál může negovat veškeré úsilí služby informační bezpečnosti, která řídí toky informací. Proto je tak důležité zablokovat kanály, které zaměstnanci nepoužívají k práci, a zbytek kontrolovat pomocí systémů prevence úniku.

Navzdory skutečnosti, že nejlepší moderní DLP systémy jsou schopny monitorovat velké množství síťových kanálů (viz tabulka 3), je vhodné blokovat nepotřebné kanály. Pokud například zaměstnanec pracuje na počítači pouze s interní databází, má smysl mu zcela zakázat přístup na internet.

Podobné závěry platí také pro místní únikové kanály. Je pravda, že v tomto případě může být obtížnější blokovat jednotlivé kanály, protože porty se často používají k připojení periferií, I / O zařízení atd.

Šifrování hraje zvláštní roli při prevenci úniků přes místní porty, mobilní disky a zařízení. Šifrovací nástroje jsou poměrně snadno použitelné, jejich použití může být pro uživatele transparentní. Zároveň však šifrování eliminuje celou třídu úniků souvisejících s neoprávněným přístupem k informacím a ztrátou mobilních disků.

Situace s kontrolou místních agentů je obecně horší než u síťových kanálů (viz tabulka 4). Všechny produkty úspěšně ovládají pouze zařízení USB a místní tiskárny. Také navzdory důležitosti šifrování uvedené výše je taková možnost přítomna pouze u určitých produktů a funkce vynuceného šifrování založená na analýze obsahu je přítomna pouze v Zecurion DLP.

Aby se předešlo únikům, je důležité nejen rozpoznat citlivá data při přenosu, ale také omezit distribuci informací ve firemním prostředí. K tomu výrobci začleňují do systémů DLP nástroje, které dokážou identifikovat a klasifikovat informace uložené na serverech a pracovních stanicích v síti (viz Tabulka 5). Data, která porušují zásady zabezpečení informací, musí být smazána nebo přesunuta do zabezpečeného úložiště.

K detekci důvěrných informací v uzlech podnikové sítě se používají stejné technologie jako ke kontrole úniků prostřednictvím elektronických kanálů. Hlavní rozdíl je architektonický. Pokud se analyzuje síťový provoz nebo operace se soubory, aby se zabránilo úniku, pak se uložené informace – obsah pracovních stanic a síťových serverů – prozkoumají, aby se zjistily neoprávněné kopie důvěrných dat.

Z uvažovaných systémů DLP pouze InfoWatch a Dozor-Jet ignorují použití prostředků pro identifikaci umístění úložišť informací. Toto není kritická funkce pro elektronickou prevenci úniku, ale značně omezuje schopnost systémů DLP proaktivně předcházet únikům. Pokud se například důvěrný dokument nachází v podnikové síti, nejedná se o únik informací. Pokud však umístění tohoto dokumentu není regulováno, pokud vlastníci informací a bezpečnostní pracovníci nevědí o umístění tohoto dokumentu, může to vést k úniku. Neoprávněný přístup k informacím je možný nebo na dokument nebudou uplatněna příslušná bezpečnostní pravidla.

Snadné ovládání

Funkce jako snadné použití a ovládání mohou být stejně důležité jako technické možnosti řešení. Skutečně komplexní produkt bude totiž obtížně realizovatelný, projekt zabere více času, úsilí a tím i financí. Již implementovaný systém DLP vyžaduje pozornost technických specialistů. Bez řádné údržby, pravidelného auditu a úprav nastavení se kvalita rozpoznávání důvěrných informací časem výrazně sníží.

Ovládací rozhraní v rodném jazyce bezpečnostního pracovníka je prvním krokem ke zjednodušení práce se systémem DLP. Usnadní nejen pochopení toho, za co je to či ono nastavení zodpovědné, ale také výrazně urychlí proces konfigurace velkého množství parametrů, které je potřeba nakonfigurovat, aby systém správně fungoval. Angličtina může být užitečná i pro rusky mluvící administrátory pro jednoznačný výklad konkrétních technických pojmů (viz tabulka 6).

Většina řešení poskytuje celkem pohodlnou správu z jediné (pro všechny komponenty) konzole s webovým rozhraním (viz Tabulka 7). Výjimkou jsou ruské InfoWatch (neexistuje jediná konzole) a Zecurion (chybí webové rozhraní). Oba výrobci přitom již oznámili podobu webové konzole ve svých budoucích produktech. Neexistence jediné konzole v InfoWatch je způsobena odlišným technologickým základem produktů. Vývoj vlastního agenturního řešení byl na několik let přerušen a aktuální EndPoint Security je nástupcem produktu třetí strany EgoSecure (dříve známého jako cynapspro), který společnost získala v roce 2012.

Dalším bodem, který lze přičíst k nevýhodám řešení InfoWatch, je to, že pro konfiguraci a správu vlajkového DLP produktu InfoWatch TrafficMonitor je potřeba znát speciální skriptovací jazyk LUA, což komplikuje chod systému. Nicméně pro většinu technických specialistů je třeba perspektivu zlepšení vlastní profesní úrovně a osvojení si dalšího, byť nepříliš běžného jazyka vnímat pozitivně.

Oddělení rolí správce systému je nezbytné pro minimalizaci rizik zamezení výskytu superuživatele s neomezenými právy a dalších machinací pomocí DLP.

Logování a hlášení

Archiv DLP je databáze, která shromažďuje a ukládá události a objekty (soubory, dopisy, http požadavky atd.) zaznamenané senzory systému během jeho provozu. Informace shromážděné v databázi lze použít pro různé účely, včetně analýzy uživatelských akcí, ukládání kopií kritických dokumentů, jako základ pro vyšetřování incidentů zabezpečení informací. Kromě toho je základ všech událostí mimořádně užitečný ve fázi implementace systému DLP, protože pomáhá analyzovat chování komponent systému DLP (například zjistit, proč jsou některé operace blokovány) a upravit nastavení zabezpečení. (viz tabulka 8).

V tomto případě vidíme zásadní architektonický rozdíl mezi ruskými a západními DLP. Ty druhé vůbec nearchivují. Samotné DLP se v tomto případě stává jednodušší na údržbu (není potřeba udržovat, ukládat, zálohovat a studovat obrovské množství dat), nikoli však na provoz. Archiv událostí totiž pomáhá konfigurovat systém. Archiv pomáhá pochopit, proč byl přenos informací zablokován, zkontrolovat, zda pravidlo fungovalo správně, a provést potřebné opravy v nastavení systému. Je třeba také poznamenat, že systémy DLP potřebují nejen počáteční konfiguraci během implementace, ale také pravidelné „ladění“ během provozu. Systém, který není řádně udržován, nevychován technickými specialisty, hodně ztratí na kvalitě rozpoznávání informací. V důsledku toho se zvýší jak počet incidentů, tak počet falešně pozitivních výsledků.

Reportování je důležitou součástí jakékoli činnosti. Informační bezpečnost není výjimkou. Sestavy v systémech DLP provádějí několik funkcí najednou. Za prvé, stručné a srozumitelné zprávy umožňují vedoucím služeb informační bezpečnosti rychle monitorovat stav informační bezpečnosti, aniž by zacházeli do podrobností. Za druhé, podrobné zprávy pomáhají bezpečnostním pracovníkům upravovat zásady zabezpečení a nastavení systému. Za třetí, vizuální zprávy mohou být vždy zobrazeny vrcholovým manažerům společnosti, aby demonstrovaly výsledky systému DLP a samotným specialistům na informační bezpečnost (viz tabulka 9).

Téměř všechna konkurenční řešení probíraná v recenzi nabízejí jak grafické, vhodné pro vrcholové manažery a vedoucí služeb informační bezpečnosti, tak tabulkové reporty, vhodné spíše pro technické specialisty. Grafické sestavy chybí pouze v DLP InfoWatch, u kterých byly sníženy.

Osvědčení

Otázka potřeby certifikace pro nástroje informační bezpečnosti a DLP zvláště je otevřená a odborníci na toto téma často polemizují v rámci odborných komunit. Shrneme-li názory stran, je třeba uznat, že certifikace sama o sobě neposkytuje vážné konkurenční výhody. Zároveň existuje řada zákazníků, především vládních organizací, pro které je přítomnost konkrétního certifikátu povinná.

Stávající certifikační postup navíc dobře nekoreluje s cyklem vývoje softwaru. V důsledku toho jsou spotřebitelé postaveni před volbu: koupit již zastaralou, ale certifikovanou verzi produktu, nebo aktuální, ale necertifikovanou verzi. Standardním východiskem v této situaci je nákup certifikovaného produktu „na regálu“ a použití nového produktu v reálném prostředí (viz tabulka 10).

Výsledky srovnání

Shrňme si dojmy z uvažovaných DLP řešení. Obecně vzato, všichni účastníci udělali příznivý dojem a lze je využít k zabránění úniku informací. Rozdíly v produktech umožňují určit rozsah jejich použití.

Systém InfoWatch DLP lze doporučit organizacím, pro které je zásadně důležité vlastnit certifikát FSTEC. Poslední certifikovaná verze InfoWatch Traffic Monitor však byla testována na konci roku 2010 a platnost certifikátu vyprší na konci roku 2013. Řešení založená na agentech založená na InfoWatch EndPoint Security (také známé jako EgoSecure) jsou vhodnější pro malé podniky a lze je používat odděleně od Traffic Monitor. Kombinované použití Traffic Monitor a EndPoint Security může způsobit problémy s škálováním ve velkých společnostech.

Produkty západních výrobců (McAfee, Symantec, Websense) jsou podle nezávislých analytických agentur mnohem méně populární než ruské. Důvodem je nízká úroveň lokalizace. A nejde ani o složitost rozhraní nebo chybějící dokumentaci v ruštině. Funkce technologií rozpoznávání důvěrných informací, předem nakonfigurované šablony a pravidla jsou „vybroušeny“ pro použití DLP v západních zemích a jsou zaměřeny na splnění západních regulačních požadavků. V důsledku toho je kvalita rozpoznávání informací v Rusku znatelně horší a dodržování požadavků zahraničních norem je často irelevantní. Samotné produkty přitom nejsou vůbec špatné, ale specifika používání DLP systémů na ruském trhu jim pravděpodobně v dohledné době neumožní stát se populárnějšími než domácí vývoj.

Zecurion DLP se vyznačuje dobrou škálovatelností (jediný ruský DLP systém s potvrzenou implementací pro více než 10 000 zakázek) a vysokou technologickou vyspělostí. Překvapivá je však absence webové konzole, která by pomohla zjednodušit správu podnikového řešení zaměřeného na různé segmenty trhu. Mezi silné stránky společnosti Zecurion DLP patří vysoce kvalitní rozpoznávání důvěrných informací a celá řada produktů pro prevenci úniku, včetně ochrany brány, pracovních stanic a serverů, detekce polohy a nástrojů pro šifrování dat.

Systém Dozor-Jet DLP, jeden z průkopníků domácího DLP trhu, je široce distribuován mezi ruské společnosti a stále roste jeho klientská základna díky rozsáhlému propojení systémového integrátora Jet Infosystems, part-time a DLP vývojáře. I když technologicky DLP poněkud zaostává za svými výkonnějšími kolegy, jeho použití lze v mnoha společnostech ospravedlnit. Na rozdíl od zahraničních řešení navíc Dozor Jet umožňuje archivovat veškeré události a soubory.

Technologie DLP

Digital Light Processing (DLP) je pokročilá technologie vynalezená společností Texas Instruments. Díky němu bylo možné vytvořit velmi malé, velmi lehké (3 kg - je to opravdu hmotnost?) a přesto poměrně výkonné (více než 1000 ANSI Lm) multimediální projektory.

Stručná historie stvoření

Kdysi dávno, v předaleké galaxii...

V roce 1987 Dr. Larry J. Hornbeck vynalezl digitální multizrcadlové zařízení(Digital Micromirror Device nebo DMD). Tento vynález dokončil desetiletí výzkumu společnosti Texas Instruments v oblasti mikromechaniky deformovatelná zrcadlová zařízení(Deformable Mirror Devices nebo opět DMD). Podstatou objevu bylo odmítnutí pružných zrcadel ve prospěch matice tuhých zrcadel s pouze dvěma stabilními polohami.

V roce 1989 se Texas Instruments stává jednou ze čtyř společností vybraných k implementaci „projektorové“ části U.S. High-Definition Display financovaný Advanced Research and Development Administration (ARPA).

V květnu 1992 TI demonstruje první systém založený na DMD, který podporuje moderní standard rozlišení pro ARPA.

Verze DMD s vysokým rozlišením (HDTV) založená na třech DMD s vysokým rozlišením byla uvedena v únoru 1994.

Masový prodej DMD čipů začal v roce 1995.

Technologie DLP

Klíčovým prvkem multimediálních projektorů vytvořených technologií DLP je matrice mikroskopických zrcadel (DMD prvky) vyrobená z hliníkové slitiny s velmi vysokou odrazivostí. Každé zrcadlo je připevněno k pevnému substrátu, který je připojen k základně matrice prostřednictvím pohyblivých desek. Elektrody připojené k paměťovým buňkám CMOS SRAM jsou umístěny v opačných úhlech zrcadel. Podložka se zrcadlem zaujímá působením elektrického pole jednu ze dvou poloh, které se liší přesně o 20° díky omezovačům umístěným na základně matrice.

Tyto dvě polohy odpovídají odrazu přicházejícího světelného toku do čočky a účinnému pohlcovači světla, který zajišťuje spolehlivý odvod tepla a minimální odraz světla.

Datová sběrnice a samotná matrice jsou navrženy tak, aby poskytovaly až 60 nebo více snímků za sekundu s rozlišením 16 milionů barev.

Zrcadlové pole spolu s CMOS SRAM tvoří čip DMD, základ technologie DLP.

Malá velikost krystalu je působivá. Plocha každého maticového zrcadla je 16 mikronů nebo méně a vzdálenost mezi zrcadly je asi 1 mikron. Křišťál, a ne jeden, se snadno vejde do dlaně.

Celkem, pokud nás Texas Instruments neklame, vyrábí se tři druhy krystalů (neboli čipů) s různým rozlišením. To:

• SVGA: 848 × 600; 508 800 zrcadel
• XGA: 1024×768 s černou clonou (mezištěrbinový prostor); 786 432 zrcadel
• SXGA: 1280×1024; 1 310 720 zrcadel

Takže, máme matrici, co s ní můžeme dělat? No jasně, nasvěťte ho výkonnějším světelným tokem a do cesty jednoho ze směrů odrazu zrcadel umístěte optickou soustavu, která zaostří obraz na stínítko. Na cestu druhým směrem by bylo rozumné umístit pohlcovač světla, aby zbytečné světlo nezpůsobovalo nepříjemnosti. Zde již můžeme promítat monochromatické obrázky. Ale kde je ta barva? Kde je jas?

Zdá se však, že to byl vynález soudruha Larryho, o kterém se hovořilo v prvním odstavci sekce o historii vzniku DLP. Pokud stále nechápete, o co jde, připravte se, protože teď vás může potkat šok :), protože toto elegantní a zcela samozřejmé řešení je dnes nejpokročilejší a technologicky nejvyspělejší v oblasti promítání obrazu.

Vzpomeňte si na dětský trik s rotující baterkou, z níž světlo v určitém okamžiku splývá a mění se v svítící kruh. Tento vtip naší vize nám umožňuje zcela opustit analogové zobrazovací systémy ve prospěch zcela digitálních. Koneckonců i digitální monitory v poslední fázi mají analogovou povahu.

Ale co se stane, když zrcadlo přepneme z jedné polohy do druhé s vysokou frekvencí? Zanedbáme-li dobu sepnutí zrcadla (a vzhledem k jeho mikroskopickým rozměrům lze tuto dobu zcela zanedbat), pak zdánlivá jasnost klesne pouze na dvojnásobek. Změnou poměru času, během kterého je zrcadlo v jedné a druhé poloze, můžeme snadno změnit zdánlivý jas obrazu. A protože frekvence cyklu je velmi, velmi vysoká, nebude vůbec žádné viditelné blikání. Eureka. I když nic zvláštního, to vše se ví už dlouho :)

No a teď k poslednímu doteku. Pokud je rychlost přepínání dostatečně vysoká, můžeme do dráhy světelného toku umístit filtry za sebou a vytvořit tak barevný obraz.

Zde je ve skutečnosti celá technologie. Jeho další evoluční vývoj budeme sledovat na příkladu multimediálních projektorů.

DLP projektorové zařízení

Texas Instruments DLP projektory nevyrábí, vyrábí je mnoho dalších společností, např. 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA, LIESEGANG, atd. Většina vyráběných projektorů je přenosná, s hmotností 1,3 až 8 kg a výkonem až 2000 ANSI lumenů. Projektory jsou rozděleny do tří typů.

Jednomaticový projektor

Nejjednodušší typ, který jsme již popsali, je − jednomaticový projektor, kde je mezi světelný zdroj a matrici umístěn rotační disk s barevnými filtry - modrým, zeleným a červeným. Frekvence otáčení disku určuje snímkovou frekvenci, na kterou jsme zvyklí.

Obraz je postupně tvořen každou z primárních barev, což vede k normálnímu plnobarevnému obrazu.

Všechny nebo téměř všechny přenosné projektory jsou postaveny na typu s jednou maticí.

Dalším vývojem tohoto typu projektorů bylo zavedení čtvrtého, transparentního světelného filtru, který umožňuje výrazně zvýšit jas obrazu.

Tří maticový projektor

Nejsložitějším typem projektorů je tří maticový projektor, kde se světlo rozděluje do tří barevných proudů a odráží se od tří matric najednou. Takový projektor má nejčistší barvy a snímkovou frekvenci, neomezenou rychlostí disku, jako u projektorů s jednou matricí.

Přesnou shodu odraženého toku od každé matice (konvergenci) zajišťuje hranol, jak můžete vidět na obrázku.

Dvoumaticový projektor

Mezilehlý typ projektorů je duální maticový projektor. V tomto případě je světlo rozděleno do dvou proudů: červená se odráží od jedné matice DMD a modrá a zelená od druhé. Světelný filtr postupně odstraňuje modré nebo zelené složky ze spektra.

Dvoumaticový projektor poskytuje střední kvalitu obrazu ve srovnání s jednomaticovými a třímaticovými typy.

Porovnání LCD a DLP projektorů

Ve srovnání s LCD projektory mají DLP projektory řadu důležitých výhod:

Má technologie DLP nějaké nevýhody?

Ale teorie je teorie, ale v praxi je stále na čem pracovat. Hlavním nedostatkem je nedokonalost technologie a v důsledku toho problém s lepením zrcadel.

Faktem je, že s takovými mikroskopickými rozměry se malé části snaží „držet pohromadě“ a zrcadlo se základnou není výjimkou.

Navzdory snaze Texas Instruments vynalézt nové materiály, které snižují přilnavost mikrozrcadel, takový problém existuje, jak jsme viděli při testování multimediálního projektoru. Infocus LP340. Ale musím říct, že do života opravdu nezasahuje.

Další problém není tak zřejmý a spočívá v optimální volbě režimů přepínání zrcadel. Každá společnost zabývající se DLP projektory má na tuto věc svůj vlastní názor.

No, poslední. Navzdory minimální době přepínání zrcátek z jedné polohy do druhé zanechává tento proces na obrazovce sotva znatelné stopy. Jakýsi bezplatný antialiasing.

Vývoj technologií

• Kromě zavedení transparentního světelného filtru se neustále pracuje na zmenšení mezizrcadlového prostoru a plochy sloupku, který připevňuje zrcadlo k podkladu (černá tečka uprostřed obrazového prvku).
• Rozdělením matice do samostatných bloků a rozšířením datové sběrnice se zvýší frekvence přepínání zrcadla.
• Pracuje se na zvýšení počtu zrcadel a zmenšení velikosti matice.
• Síla a kontrast světelného toku se neustále zvyšuje. Třímaticové projektory s výkonem přes 10 000 ANSI Lm a kontrastním poměrem přes 1000:1 již dnes existují a našly si cestu do nejmodernějších kin využívajících digitální média.
• Technologie DLP je plně připravena nahradit technologii CRT displejů v domácích kinech.

Závěr

To není vše, co by se dalo říci o technologii DLP, například tématu využití DMD matric v tisku jsme se nedotkli. Počkáme ale, až Texas Instruments potvrdí dostupné informace z jiných zdrojů, abychom vám nedali padělek. Doufám, že tato povídka je dostačující k tomu, abyste získali, ne-li nejúplnější, ale dostatečnou představu o technologii a netrápila prodejce otázkami o výhodách DLP projektorů oproti ostatním.

Děkuji Alexey Slepyninovi za pomoc při přípravě materiálu