Перейти к содержанию

ИТБ

Members
  • Публикаций

    34
  • Зарегистрирован

  • Посещение

Репутация

0 Обычный

Информация о ИТБ

  • Звание
    Подозрительный тип
  1. "Игрушки" хороши для Бонда. При защите же конфиденциальных данных, хищение которых может нанести большой вред, надо формулировать и решать задачи профессионально. Если мы говорим о шифровании на флеш, то не так важно, программно, аппаратно, важно, чтобы пользователь, имея эту флэш, украв компьютер со свеми установленными драйверами защиты, не смог дома все это расшифровать. А это уже вопросы реализации ключевой политики - несколько ключей, только один из которых доступен пользователю. Здесь шла речь о троянах, нет ничего проще предотвратить возможность запуска на компьютере любого деструкти
  2. Познакомьтесь с КСЗИ "Панцирь-К" для ОС Windows 2000/XP/2003 (разработка ЗАО "Нпп "Информационные технологии в бизнесе") www.npp-itb.spb.ru. Данная система позволяет защитить системный диск от модификации даже для пользователя System. Возможности применения описаны в разделе "Публикации"
  3. Коллеги, если с flash-устройствами требуется работать (нельзя отключить), то никакие орг.меры не помогут. Есть одно средство - шифрование, причем ключ шифрования должен быть недоступен пользователю. Тогда хищение данных не приведет к раскрытию их конфиденциальности. В качестве примера такого решения предлагаю познакомиться с СЗД "Панцирь" для ОС Windows 2000/XP/2003 (на сайте www.npp-itb.spb.ru). И обратите внимание на реализацию ключевых политик, это очень важно для противодействия раскрытию информации (при хищении) санкционированным пользователем.
  4. В нашей КСЗИ "Панцирь-К" для ОС Windows 2000/XP/2003 есть возможность управлять подключением устройств (в том числе, по серийным номерам изготовителей, если они есть). Описание на сайте www.npp-itb.spb.ru. Сможете решить свои проблемы. Если хотите, вышлю Вам статью с описанием этой функции, сообщите адрес (мой nfo@npp-itb.spb.ru).
  5. Спасибо коллеги, одно маленькое замечание. Не смотрите на это средство как на средство защиты, защита это иной вопрос, может осуществляться иными средствами встроенными или добавочными. И не смотрите на это решение как на самодостаточное - это всего лишь одна из подсистем. Мы говорим лишь о функции контроля, давайте предполагать, что необходимая защита этой опции имеется. Кроме того, у нас два вопроса - второй, а что нужно в части контроя?
  6. Зашедшему. Подготовил статью по поводу полномочного контроля доступа. Если интересует, могу сбросить, сообщите куда (мой info@npp-itb.spb.ru)
  7. По поводу ноутбуков. Это серьезный вопрос и (не в порядке рекламы, а то меня все время в этом обвиняют) мы предлагаем в нашем средстве СЗД для ОС Windows 2000/XP/2003 реализацию такой ключевой политики (при шифровании), которая обеспечивает невозможность расшифрования данных пользователем при наличии данных, установленной СЗД (т.е. полностью компьютера) и ключа шифрования (можете познакомиться с решением на нашем сайте www.npp-itb.spb.ru). Относительно формализации все правильно, вопрос в том, кто это осуществляет и какой результат получает потребитель (это же основа для построения системы
  8. Уважаемые коллеги, вопросы от разработчика средств защиты. Два вопроса. 1. Сейчас мы пытаемся усилить свои средства защиты механизмами контроля действий пользователей на защищаемых компьютерах. Один из подобных механизмов состоит в оперативном визуальном контроле действий пользователей. Краткое описание ниже. Вопрос. Насколько по вашему мнению данная функция полезна и будет востребована? 2. Поделись своим опытом (как разработчикам, нам это важно). Какие функции контроля вам бы пригодились и были бы полезными? Краткое описание подсистемы. Для обработки информации на защищаемом объекте по
  9. Вопрос не в том, что существуют попытки подобной формализации (то, что Вы называете моделями), для меня новость. Просто я этих моделей насмотрелся и могу утверждать, чтоб чтобы "породить" хороший подобный документ, необходимо очень хорошее знание системных средств, средств телекоммуникаций и т.д. Далеко не всегда подобное происходит, в результате чего, подобные модели превращаются в "фарс". Вот очем речь. Одни пишут, другие читают, а документ не о чем (то же имеет место с концепциями, политиками безопасности и т.д.).
  10. Зашедшему. Вопрос. Вы действительно серьезно относитесь к таким формализациям, как модели нарушителей и угроз? Если эта информация не конфиденциальная, хотелось бы взглянуть, если возможно, перешлите на мой адрес info@npp-itb.spb.ru. Меня всегда интересовали такие вещи, как можно прописать в списке угроз, например, ошибку в приложении и т.д. На Ваш вопрос. Мы уже обсуждаем его несколько раз и что-то не понимаем друг друга. Суть в следующем. Если полльзователь размечен как конфиденциальный и имеет право на запись только в конфиденциальный каталог (нет понятия сессии), то любой вновь создаваем
  11. 1, При нашем способе нет необходимости входить под разными пользователями. Вы можете разрешить вход только под одним (у нас же свой механизм авторизации ользователя при входе в систему), можете под разными, причем с одним паролем. Уже когда вошли, Вы можете в проводнике выбрать необходимый исполняемый файл и по правой кнопке его запустить с правами другого пользователя. При этом Вам выпадет диалог выбрать пользователя, с правами которого запустить приложение и ввод пароля ОС (пароль можно оставить пустым - у нас своя авторизация, с правами какого можно или нельзя запустить также можно контрро
  12. Относительно по пользователю на каждый гриф. А у Вас так много грифов - открытая и конфиденциальная (2, ну три пользователя, в чем сложность). Относительно сессии. Вы говорите об интервале времени между перезагрузками. Т.е. при переходе от сессии к сессии нужна перезагрузка? Есле запускать ппроцессы с правами различных пользователей, по сути это и есть выбор сессии (Вы завели двух пользователей - открытый и конфиденциальный со своими разграничениями), то перезагрузка не нужна, у Вас одновременно могут быть открыты приложения обоих пользователей (сессиий), в обоих Вы можете работать (буфер о
  13. Зашедшему. Уровень сессии появился еще в СЗИ "Сраж-NT", где процессы можно запускать одним пользователем с разными правами (то о чем я писал, это не та система, которую Вы рассматриваете). Вместе с тем, относительно уровня сесии я и говорил - максимальный уровень из открытых документов. Еще раз отмечу, я категорически против подобной позиции - все права должны определяться правами пользователя (это основа построения системы защиты ОС). По моему мнению, права пользователя не должны изменяться в зависимости от категории обрабатываемой информации, т.е. быть динамическими. Естественно, что при т
  14. Забыл ответить на следующий важный вопрос: "В ОС windows nt и выше реализован дескриционный механизм разграничения доступа, причем достаточно мощный и гибкий. Зачем создавать новый ?" Я принципиально не согласен с этой позицией. Не будем забывать, что эта ОС универсальная, а не созданная для защиты конфиденциальной информации в корпоративной сети предприятия. Все ее механизмы защиты могут быть кардинально пересмотрены (что мы и делаем в своих разработках). В рамках форума дать развернутый комментарий на этот вопрос не представляется возможным, однако у меня есть статья (десяток страниц)
  15. Важно не то, что реализовано, а то, как реализовано. Рассмотрим возможный пример реализации "Полномочки". Пусть "Полномочка" состоит в том, что один и тот же пользователь может обрабатывать как открытую, так и конфиденциальную информацию, причем текущий уровень пользователя определяется максимальным уровнем открытого документа (такой уровень получает процесс, открывший документ). Но беда-то в том, что все остальные разграничения (не к файловым объектам) реализуются под учетную запись. Вот Вам противоречие - под одной учетной записью можно обрабатывать информацию различных грифов, следовательн
×
×
  • Создать...