Raptor Опубликовано 17 марта, 2006 Поделиться Опубликовано 17 марта, 2006 Неплохо подойдет под эту задачу SecretNet (ЗАО НИП Информзащита) Там, кстати, реализована и "полномочка" и контроль за внешними носителями. Кто желает убедиться - ссылок в инете полно. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ИТБ Опубликовано 20 марта, 2006 Поделиться Опубликовано 20 марта, 2006 Важно не то, что реализовано, а то, как реализовано. Рассмотрим возможный пример реализации "Полномочки". Пусть "Полномочка" состоит в том, что один и тот же пользователь может обрабатывать как открытую, так и конфиденциальную информацию, причем текущий уровень пользователя определяется максимальным уровнем открытого документа (такой уровень получает процесс, открывший документ). Но беда-то в том, что все остальные разграничения (не к файловым объектам) реализуются под учетную запись. Вот Вам противоречие - под одной учетной записью можно обрабатывать информацию различных грифов, следовательно ко всем внешним ресурсам (не к файловым объектам) необходимо уже разграничивать для разных пользователей - но тогда один пользователь не должен обрабатывать одновременно информацию разных грифов (как с практическим использованием подобной "полномочки"). Я ранее утверждал, что единственно корректный способ разграничений - по пользователям (иначе сразу натолкнемся на проблему буфера обмена и т.д.), сразу будем говорить о необходимости отключения корзины и т.д. и т.п. Другое противоречие. А с каким грифом будет вновь созданный документ, кто это проконтролирует - пользователь одновременно может создать его с различными грифами (кстати такое было бы невозможно, если бы полномочка была бы реализована в соответствии с соответствующими требованиями к данному механизму - уровень пользователя статичен, не изменяется в зависимости от уровня обрабатываемых данных). Этот ряд можно продолжить. style_emoticons/default/smile9.gif Ссылка на комментарий Поделиться на другие сайты More sharing options...
ИТБ Опубликовано 20 марта, 2006 Поделиться Опубликовано 20 марта, 2006 Забыл ответить на следующий важный вопрос: "В ОС windows nt и выше реализован дескриционный механизм разграничения доступа, причем достаточно мощный и гибкий. Зачем создавать новый ?" Я принципиально не согласен с этой позицией. Не будем забывать, что эта ОС универсальная, а не созданная для защиты конфиденциальной информации в корпоративной сети предприятия. Все ее механизмы защиты могут быть кардинально пересмотрены (что мы и делаем в своих разработках). В рамках форума дать развернутый комментарий на этот вопрос не представляется возможным, однако у меня есть статья (десяток страниц) именно по этому поводу. Если интересует, готов "закинуть" для ознакомления, сообщите куда. Ссылка на комментарий Поделиться на другие сайты More sharing options...
зашедший Опубликовано 20 марта, 2006 Автор Поделиться Опубликовано 20 марта, 2006 2 ИТБ Так как я наиболее подробно познакомился с СЗИ SecretsSaver Corporate, то скажу как это реализовано в ней. Понятия текущий уровень пользователя в вашем контексте там нет. Есть текущий уровень сессии. Равен максимальному грифу открытого документа. Как ограничивается доступ к ресурсам не знаю, но возможность распространять информацию блокируется в зависимости от уровня доступа пользователя к сети и сменным носителям и от текущего уровня сессии. Т.е. если сотрудник имеет уровень доступа к сети равный "секретно", а уровень доступа к сменным носителям равный "общедоступно", то после открытия документа с грифом "секретно" будет заблокирован доступ к сменным носителям, а после открытия документа с грифом "сов.секретно" будет заблокирован и доступ к сети. Вновь созданный документ будет иметь гриф равный уровню сессии. Поэтому проблемы с буфером обмена нет. Корзина должна быть отключена, но в нашем случае это абсолютно не критично. Кстати в письме я Вас спрашивал, ответа не получил к сожалению. Продублирую. Каким образом можно посмотреть Ваш продукт в действии ? То что Вы рассказываете очень интересно, но хотелось бы составить собственное впечатление. Ссылка на комментарий Поделиться на другие сайты More sharing options...
зашедший Опубликовано 20 марта, 2006 Автор Поделиться Опубликовано 20 марта, 2006 Еще один момент забыл. Понижать гриф документа в SecretsSaver Corporate может только офицер безопасности. Сотрудник может только повышать. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.