Перейти к содержанию

защита информации от кражи персоналом


Рекомендуемые сообщения

Теперь, что касается вопросов возможных уязвимостей мандатных уровней (понижения категории документов).

 

Вы тестируете различные средства, поэтому рассмотрим общую проблему.

Если Вы тестируете средство защиты, то могут возникнуть одни вопросы, если некую имитацию средства защиты – вопросы совсем иные.

Как понять, что Вы рассматриваете на самом деле.

Если Вы рассматриваете средство защиты, то оно никак не связано с возможностью механизмов защиты, встроенных в ОС (это свой драйвер, свои способы хранения настроек, в частности, атрибутов доступа, мандатных меток, прав доступа и т.д., как правило в файле). Если речь идет об имитации – это интерфейс, обеспечивающий малую автоматизацию настройки встроенных в ОС механизмов защиты (замечу, подобный интерфейс пишется студентом 4-5 курса за несколько месяцев – имея опыт работы профессором в ВУЗе более 15 лет, поверьте, что я знаю, о чем говорю). В нашем случае, подобная автоматизация состоит в том, чтобы настроенный Вами полномочный доступ из интерфейса средства защиты (категорий – секретно, общедоступно и т.д.) автоматически преобразовать в соответствующие атрибуты доступа, предоставляемые соответствующей файловой системой. Кстати говоря, не сложно посмотреть установленные атрибуты даже в том случае, если разработчик, пытаясь выдать свой интерфейс за средство защиты, позаботится о том, чтобы установленные атрибуты не отображались в соответствующих настройках ОС.

Таким образом, если мы говорим о средстве защиты, у меня к Вам будут конкретные вопросы (проблемы, встающие перед разработчиком в этом случае мне понятны).

Если же речь идет об интерфейсе (прежде всего, задайте себе вопрос, нужна ли Вам имитация), здесь вопрос вполне конкретный – можно ли существующими атрибутами обеспечить полномочный доступ, какие при этом возникают проблемы (и, кстати говоря, как настраивает эти атрибуты интерфейс, при задании Вами полномочий).

Дело за малым – отличить средство защиты от имитации.

 

Здесь все очень просто. Используйте файловую систему FAT и посмотрите, будут ли работать разграничения, задаваемые в интерфейсе средства защиты. Будут – мы имеем дело действительно со средством защиты (одни вопросы для обсуждения), не будут – мы имеем дело с имитацией – естественно, что имитация не работает c FAT (которая не имеет возможностей по разграничению прав доступа к файловым объектам) – совсем иные вопросы для обсуждения.

 

style_emoticons/default/smile10.gif

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 135
  • Создана
  • Последний ответ
Вы тестируете различные средства, поэтому рассмотрим общую проблему.

Если Вы тестируете средство защиты, то могут возникнуть одни вопросы, если  некую имитацию средства защиты – вопросы совсем иные.

8449[/snapback]

Вопрос всегда один - насколько сложно обойти систему защиты и какие условия необходимо выполнить для успешного обхода системы защиты. И соответсвенно какова вероятность того, что пользователь сможет такие условия создать.

 

Если Вы  рассматриваете средство защиты, то оно никак не связано с возможностью механизмов защиты, встроенных в ОС (это свой драйвер, свои способы хранения настроек, в частности, атрибутов доступа, мандатных меток, прав доступа и т.д., как правило в файле). Если речь идет об имитации – это интерфейс, обеспечивающий малую автоматизацию настройки встроенных в ОС механизмов защиты (замечу, подобный интерфейс пишется студентом 4-5 курса за несколько месяцев – имея опыт работы профессором в ВУЗе более 15 лет, поверьте, что я знаю, о чем говорю).

8449[/snapback]

А почему не использовать механизмы защиты которые уже реализованы ы ОС ? Они уже там есть и работают, их все равно придется либо настраивать либо отключать. Они оттестированы гораздо лучше любого средства защиты, так как опыт их использования значительно больше. Какой смысл их дублировать ?

 

Здесь все очень просто. Используйте файловую систему FAT и посмотрите, будут ли работать разграничения, задаваемые в интерфейсе средства защиты. Будут – мы имеем дело действительно со средством защиты (одни вопросы для обсуждения), не будут – мы имеем дело с имитацией – естественно, что имитация не работает c FAT  (которая не имеет возможностей по разграничению прав доступа к файловым объектам) – совсем иные вопросы для обсуждения.

8449[/snapback]

Мне кажется вполне логичным и разумным использовать в системе защиты максимальное число готовых механизмов, и если система защиты требуют для своей работы ntfs, и использует ее функциональность, это совсем не значит, что это имитация. Цель - решение проблемы, а не изобретение очередного велосипеда. Еще раз повторю - критерий может быть только один - насколько тяжело обойти защиту.

 

Ссылка на комментарий
Поделиться на другие сайты

По поводу Ваших тезисов.

Во-первых, в принципе не согласен!

Те ОС, которые мы рассматриваем - универсальные - не заточены для использования при обработке конфиденциальной информакции, иначе мы использовали бы их механизмы и не обсуждали все эти вопросы.

Во-вторых, по данным за 2005 год, например, Windows XP признана критически опасной (могу дать ссылку) - более 20 неустраненных ошибок на начало 2006 года (к слову об оттестированности). Если добавочная СЗИ разрабатыавется правильно (используются документированные функции, тестируется с использованием рекомендованных средств), то никакие исправления, path-и не скажутся на работоспособности СЗИ (если бы это было не так, с компьютерами вообще нельзя было бы работать ("висли" бы все внешние драйверы и приложения). Этот вопрос также можно отставить.

И главное, ко мне были вопросы, на которые можно ответить, поняв о чем речь. Если рассматривается интерфейс, а не средство защиты, то он настраивает встроенные в ОС механизмы и атрибуты NTFS. Если это так, то у разработчика интерфейса достаточно ограниченные возможности по тому, как реализовать полномочные правила доступа настройкой атрибутов NTFS. И все эти возможности, а следовательно, и то, насколько корректно при этом реализуются полномочные разграничения, не сложно оценить - для этого достаточно знать, как работают механизмы защиты ОС.

Если анализируется средство защиты, то здесь все зависит от разработчика СЗИ - он может заложить и реализовать возможности, принципиально отличающиеся от возможностей механизмов ОС. Здесь уже может быть получена не имитация полномочного механизма, путем соответствующих настроек атрибутов дискреционного механизма, а создан полноценный механизм полномочного контроля доступа. Однако здесь есть свои технические тонкости.

Просто надо определиться, чтобы отвечать.

И о каком "велосипеде" Вы говорите, в чем больше велосипеда - создать нормальный полномочный контроль доступа, либо попытаться как-то добиться его имитации посредством малой автоматизации настроек - настраивая механизм, не предназначенный для решения этой задачи?

 

Ссылка на комментарий
Поделиться на другие сайты

Те ОС, которые мы рассматриваем - универсальные - не заточены для использования при  обработке конфиденциальной информакции, иначе мы использовали бы их механизмы и не обсуждали все эти вопросы.

Во-вторых, по данным за 2005 год, например, Windows XP признана критически опасной (могу дать ссылку) - более 20 неустраненных ошибок на начало 2006 года (к слову об оттестированности). Если добавочная СЗИ разрабатыавется правильно (используются документированные функции, тестируется с использованием рекомендованных средств), то никакие исправления, path-и не скажутся на работоспособности СЗИ (если бы это было не так, с компьютерами вообще нельзя было бы работать ("висли" бы все внешние драйверы и приложения). Этот вопрос также можно отставить.

И главное, ко мне были вопросы, на которые можно ответить, поняв о чем речь. Если рассматривается интерфейс, а не средство защиты, то он настраивает встроенные в ОС механизмы и атрибуты NTFS. Если это так, то у разработчика интерфейса достаточно ограниченные возможности по тому, как реализовать полномочные правила доступа настройкой атрибутов NTFS. И все эти возможности, а следовательно, и то, насколько корректно при этом реализуются полномочные разграничения, не сложно оценить - для этого достаточно знать, как работают механизмы защиты ОС.

Если анализируется средство защиты, то здесь все зависит от разработчика СЗИ - он может заложить и реализовать возможности, принципиально отличающиеся от возможностей механизмов ОС. Здесь уже может быть получена не имитация полномочного механизма, путем соответствующих настроек атрибутов дискреционного механизма, а создан полноценный механизм полномочного контроля доступа. Однако здесь есть свои технические тонкости.

Просто надо определиться, чтобы отвечать.

И о каком "велосипеде" Вы говорите, в чем больше велосипеда - создать нормальный полномочный контроль доступа, либо попытаться как-то добиться его имитации посредством малой автоматизации настроек - настраивая механизм,  не предназначенный для решения этой задачи?

8461[/snapback]

В ОС windows nt и выше реализован дескриционный механизм разграничения доступа, причем достаточно мощный и гибкий. Зачем создавать новый ?

Полномочного (мандатного) механизма там нет, следовательно нужно писать свой. Когда говорил про велосипед имел в виду именно это. Естественно реализация полномочного механизм через дискриционный (как это сделано в DallasLock) особой стойкостью не отличается. С этим я согласен. Но использование в реализации мандатки возможностей ntfs и использование дискриционного механизма вещи разные, т.к. дискриционный механизм сам реализован на этих возможностх (я естественно имею в виду семейство nt). Вы же не можете написать продукт абсолютно не используя функционала ОС для которой он пишется.

Обсуждать архитектурные особенности различных СЗИ очень интересно, особенно если в обсуждении участвует разработчик Вашего уровня, но основным критерием при выборе может быть только практическая проверка заявленных свойств продукта. Какая бы распрекрасная ни была архитектура, реализована она может быть с ошибками. А на практике доводом против может быть только успешно реализованная атака и степень ее сложности. Так как Вы видимо тестировали различные СЗИ, приведите просто примеры Ваших тестов, можно без результатов на тестируемых системах. И практику это даст возможность быстро и качественно сделать выбор.

Например для DallasLock версии 7.0 полномочия (в смысле мандатные) меняются принадлежностью к группе безопасности, т.е. администратор может эти полномочия легко менять.

Ссылка на комментарий
Поделиться на другие сайты

Я никоим образом не пытаюсь кого-либо в чем-либо убедить. Потребитель сам выберет, что ему нужно - встроенная защита, добавочная защита и т.д.

Естестенно, что обсуждать можно архитектурные решения и их практическую реализацию. Первое - это то, что должно быть, что хотели сделать - второе - что получилось (ошибки программирования и т.д.).

Естественно, сначала надо понять что сделать-то хотели, может быть такое нельзя получить в принципе (замечу, мой опыт работы в этой области уже около 9 лет, показывает, что, как разработчики, так, следовательно, и продукты сильно различаются, причем в нашей области (защита информации) - "от великого до смешного один шаг").

А для этого решение надо проанализировать (как пишут наши коллеги, протестировать). Однако, как тестировать, что конкретно проверять? Простой пример, подключили второе устройство (например, Flash), появилась новая буква (диск), к ней без дополнительных настроек СЗИ будет контролироваться доступ? При одном подходе к реализации это следует проверить, при другой нет (а таких тестов можно придумать десятки, если не сотни - все их смотреть - это месяцы). А достаточно одну такую возможность не посмотреть, можно получить в итоге хищение данных.

 

Напомню, в чем суть вопроса. Коллеги в формуре сформулировали проблему, попросили помочь разобраться. Я, в меру своих возможностей и времени, пытаюсь помочь.

 

На что обращу Ваше внимание. Я (по ряду причин) никогда не укажу на конкретный недостаток конкретной системы, даже если он мне известен. Поэтому я не обсуждаю конкретные продукты, я говорю о тех или иных возможных проблемах при разных подходах к реализации (это поможет минимизировать объем необходимых исследований продукта).

 

Если нашим коллегам это поможет, буду рад. Если это им не нужно, пусть сообщат.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...