Перейти к содержанию

защита информации от кражи персоналом

Оценить эту тему:


Рекомендуемые сообщения

Еще раз хочу отметить, мое заявление не реклама, рекламируют не так и не в этом месте

8302[/snapback]

А чем Вам место не понравилось ? Проф форум - для рекламы самое то. Любой пиарщик подтвердит. А когда производитель пишет, что его продукт решает какую-то задачу лучше чем обсуждаемые, называя при этом методы реализуемые этими продуктами примитивными (пардон, тревиальными) это не реклама ?:)

 

не запретить (это делает и Windows), а разрешить лишь необходимые.

8302[/snapback]

 

разграничить к необходимым (к тем, которые будут разрешены для подключения - по типу, серийному номеру

8302[/snapback]

 

Дальше реализуйте ту ключевую политику, которая нужна (решайте необходимую для Вас задачу защиты) - один ключ, сможет расшифровать где угодно (но тогда, естественно, сможет и похитить), два ключа - хищение данных становится невозможным, даже при хищении компьютера, но обработка информации может вестись только в корпоративной сети

8302[/snapback]

Я Вас немного покрамсал для экономии места. Смысл вроде не исказил. Эти три механизма не решают поставленных в данной теме задач, т.к. первые два просто упорядочивают работу с вннешниме накопителями, а последний в варианте с одним ключом защищает исключительно от кражи носителя, а вариант с двумя ключами я вообще не понял зачем применять, если можно просто запретить использование накопителей внешних. Если только стоит задача не хранить секреты на пк, но работать с ними только на пк ?

 

Например, известен способ, не буду говорить о конкретных продуктах, а то опять скажете о рекламе, где пользователь перед запуском приложения может указать уровень работы процесса с конфиденциальными документами. Красивое решение - на первый взгляд да. С точки зрения безопасности - это нонсенс. Основу защиты ОС составляет задание привилегий для пользователей - здесь учетная запись одна, следовательно, и открытую, и конфиденциальную информацию пользователь будет обрабатывать с равными привилегиями (посмотрите список привилегий в ОС, которого Вы в этом случае лишаетесь). И это не единственный недостаток данного подхода.

8302[/snapback]

Никто Вам не запрещал не рекламироваться не говорить о конкретных продуктах, просто приводите конкретные факты, а не общие теоритические рассуждения, механизм такойто, компромитируется такто.

 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 135
  • Создана
  • Последний ответ

Топ авторов темы

Топ авторов темы

В дополнение. То, что Вы приводите в качестве примера - это реализация мандатного механизма контроля доступа (у нас аналогичная есть в системе Панцирь-С (это уже сертификация, начиная с 4 класса СВТ). Однако требование к реализации таково - все субъекты и объекты должны быть помечены (им должны быть присвоены метки безопасности - секретно и т.д.) и только в этом случае может быть достигнуто предотвращение возможности уменьшение грифа документа.

Однако здесь не все так просто, как Вы сформулировали в свое задаче. А какую метку Вы установите на системный диск, а какую метку Вы присвоите системным пользователм (например, System), о них также нельзя забывать. Теперь, все хорошо с файлами, а структура иерархическая, какую метку Вы присвоите папке и на основании каких соображений. Все это может привести к тому, что пользователь сможет понизить категорию документа при обработке на компьютере, затем записать на внешний накопитель.

Вы вырвали простейший случай из общей постановки задачи и хотите решить проблему защиты, так не получится (конечно, получится, только какая будет защита?)/

Могу Вам выслать статью по нашим подходам к реализации мандатного механизма.

Ссылка на сообщение
Поделиться на другие сайты

Я на всякий случай извиняюсь, что влажу в Ваш диалог, но так ка форум публичный все таки влезу.

Во первых вариант который Вы предложили крайне не удобный, не очевидный, требует для использования знаний системного администратора. Очевидно, что данная задача требует мандатного доступа. Мне не очень понятно, почему Вы так настойчиво рекомендуете Панцирь в котором мандатки нет, и которым данную задачу решать как минимум не удобно, о надежности решения я не говорю, тк демо-версия продукта не доступна, когда у Вас есть Панцирь-С в котором мандатка реализована, и который должен быть значительно удобней.

 

Пользователь систем имеет доступ "общедоступно", т.е. к секретам доступа нет.

Все субъекты по умолчанию - общедоступно. Это я о SecretsSaver и SecretNet.

 

структура иерархическая, какую метку Вы присвоите папке и на основании каких соображений. Все это может привести к тому, что пользователь сможет понизить категорию документа при обработке на компьютере

[\quote]

Пример в студию, пожалуйста.

 

На статьи я думаю лучше просто дать ссылку.

 

 

Ссылка на сообщение
Поделиться на другие сайты

Пример по доступу к файлам - это самый простейший вариант.

Обычно задачи гораздо сложнее. Особенно когда используются базы данных с множественым (и тем более удаленным) доступом или когда баз много и они распределенные, да еще написаны на разных СУБД. Конечно, если идет речь только о запрете копирования на внешний носитель - то это иной вопрос, но по-моему вопрос ставился изначально шире.

Я же уже писал ,что разграничивать доступ и ставить защиту(кстати от чего и кого ?) можно на разных уровнях сетевых протоколов. Поэтому о чем-то конкретном можно говорить тогда, когда четко сформулировано техзадание на защиту АИС, КСПД и т.п. (или хотя бы задание на техзадание)

Вопрос по доступу к разным файлам - это только часть общей задачи, причем не самая большая. В любом случае, ИМХО, спор ни о чем.

 

Ссылка на сообщение
Поделиться на другие сайты

Наоборт, очень рад, что влезаете в диалог.

Разработчика всегда обвиняют в рекламе, но есть и другая цель (которую преследую в форуме я) - это апробация (обсуждение) решений. Любую задачу всегда можно решить различными способами, я пытаюсь обосновать, как хороши наши способы и отнюдь не в порядке рекламы, а чтобы в лишний раз убедиться в этом, либо усомниться (и то, и другое хорошо). Так же необходимо принимать решение и обосновывать, в какую сторону развивать продукты (подобные обсуждения могут быть очень полезными для разработчика, если он не самодур, я себя к таким относить не хочу).

По Вашим соображениям:

1. Действительно, в форуме рассматривается лишь локальная задача, а есть принтер (при обращении к которому процесс на уровне драйвера не определить), есть устройства (и не только, отображаемые как файловый объект), к ним, как правило, идет обращение через драйвер (перехватывая запрос мы видим пользователя System, процесс System (можно подняться на прикладной уровень - там увидешь и пользователя, и процесс, но "потеряешь" в безопасности). Поэтому решения часто неоднозначны, причем, подчас, у разработчика выбор - безопасность, либо внешняя привлекательность продукта.

 

Относительно мандатного механизма вопрос особый. Так, как у нас построен дискриционный (по требованиям РД) - предполагает не установку атрибута, а задание прав (т.е. пользователю разрешаем запись/чтение, чтение, выполнение) конкретного объекта (не на объект устанавливаем, какие пользователи могут к нему обращаться), позволяет этим механизмом реализовать все требования к мандатному. В Панцире-С у нас есть мандатный (по требованиям РД), но на практике он не упрощает задачу администрирования, по сравнению с нашим же дикреционным.

 

Например, есть статьи по этому поводу на www.sec.ru, www.bugtraq.ru, www.security-bridge.com, на нашем сайте www.npp-itb.spb.ru. Посмотрите две статьи, посвященные подходам к построению интерфейсов (там описан наш подход к минимазации числа атрибутов, организации интерфейса и т.д.), также статью, посвященную моделям контроля доступа (обоснование, как строить дискреционный механизм правильно, и что в этом случае мандатный механизм есть лишь частный случай дискреционного).

Если будут проблемы с поиском материалов, напишите мне на info@npp-itb.spb.ru

P.S.Будут благодарен, если Вы выскажете свое мнение по поводу этих подходов.

Ссылка на сообщение
Поделиться на другие сайты

Относительно замечания:

 

Пользователь систем имеет доступ "общедоступно", т.е. к секретам доступа нет.

Все субъекты по умолчанию - общедоступно. Это я о SecretsSaver и SecretNet.

 

А что делать с ситемным диском, он также должен быть помечен (как по требования РД, так и по соображениям здравого смысла).

 

Общедоступен - разрешим его модифицировать пользователю. Секретно - запретим в него доступ системному пользователю (синий экран, если механизм защиты реализован корректно). А таких вопросов масса, мы ведь говорим о защите.

Ссылка на сообщение
Поделиться на другие сайты

Уважаемый ИТБ

Во-первых спасибо за ответ-пример, это именно то что я хотел от вас получить. Тут я должен согласиться с уважаемым motov'ым, что с точки зрения пользователя вариант не слишком удобный, хотя возможно задачу он решает.

Во-вторых предлагаю учесть, что технический уровень присутствующих на форуме специалистов, в большинстве своем не позволяет им обсуждать архитектуру системы защиты на равне с вами, так как опыта разработки подобных систем у присутствующих скорее всего нет. Поэтому, я предлагаю вместо (или как минимум кроме) теоритических обоснований приводить практические их реализации. Например, вы говорите об грифе на секретный диск. Практический пример иллюстрирующий ваши доводы - использование низкоуровневого дискового редактора для доступа к секретной информации. Я правильно понял ?

Хотелось бы чтобы вы приводили подобные примеры для остальной своей аргументации. Примите во внимание, что руководство, которое часто принимает окончательное решение, скорее всего не дочитает до конца доклад написанный профессиональным языком.

 

И вопрос по "Панцирю". В нем реализован механизм создания замкнутой программной среды. Поясните пожалуйста, необходимость включения в продукт данного механизма - это исключительно требования РД или аналогичный механизм (Software Ristriction Policy) реализованный в Windows имеет какието недостатки ? И если имеет, то опять попрошу прокоментировать примером.

Ссылка на сообщение
Поделиться на другие сайты
а последний в варианте с одним ключом защищает исключительно от кражи носителя, а вариант с двумя ключами я вообще не понял зачем применять, если можно просто запретить использование накопителей внешних.

8314[/snapback]

В том-то и задача, что все внешние накопители отключить нельзя. На отчуждаемый носитель должна выводиться только неконфиденциальная информация.

 

Чаще всего это делают простой передачей записи на отчуждаемый носитель в подразделения СБ/СИБ с запретом для всех остальных (не факт, что это лучший вариант).

Если только стоит задача не хранить секреты на пк, но работать с ними только на пк ?

8314[/snapback]

Эту задачу можно решить терминалами/терминальным доступом (в задаче изложенной в начале данной ветки это не предусматривалось - т.к. хранение конфиденциалки предусматривается на рабочих станциях пользователей) и "Панцирь" (по декларации разработчика) с ними работает (пока другие СЗИ с терминалами не работают).

 

В любом случае пока я не вижу (кроме оргмер) возможности:

- снижения степени конфиденциальности данных при выделении части данных из элктронного документа более высокой степени конфиденциальности. Например: выписка по отдельному вопросу/массиву данных с более низкой степенью конфиденциальности (открытая информация) из документа/массива с более выскоой степенью (конфиденциально) - такая ситуация всегда возможна

- снижения степени конфиденциальности данных без появления отдельного супервизора (встает вопрос контроля за ним и ведения логов изменения степени конфиденциальности данных).

 

Подобные действия (вообще-то) должны производится как минимум двумя лицами (команда одного уполномоченного пользователя с подтверждением другого)...

Т.е. например дома он доступ к этой информации не получит, т.к. там нет одного из ключей. А зачем тогда вообще сменные носители ? Чтобы внутри офиса информацию переносить ?

8297[/snapback]

На счет работы дома - тут стоит ввести категорический запрет или работа в терминале (как минимум через VPN) без подключения ко всей сети/базе (только со специально созданным для данной работы массивом данных).

 

Отчуждаемые носители только для выдачи информации внешним адресатам.

Заводите две учетные записи - одна для работы с секретными данными

лругая - открытыми. Пусть пользователь авторизуется и входит в систему с секретными правами (можно и наоборот). Для каждой - свои разграничения

8313[/snapback]

"А теперь вопрос" (с):

1. Что делать если обе эти учетные записи необходимы системному администратору (не администратору безопасности) - возможности по изменению полномочий, возможность входа от имени системы и т.п.?

2. Что делать если эти две учетные записи принадлежат администратору безопасности (который в единственном числе) - порядок контроля за его действиями, полномочия по изменению/удалению логов, кто контролирует действия/логи?

Ссылка на сообщение
Поделиться на другие сайты

Зашедшему.

Во-первых, не считаю с точки зрения пользователя этот вариант не удобным. Зайдите в проводник, выбирите исполняеый файл, по правой кнопке мыши выбирите "запуск от имени" - запустите. В чем сложность? Настройки механизмов требуют менее минуты, в чем сложность? А решение в общем виде - можете разграничить по пользователям доступ к принтерам, к сети (куда угодно).

Второе. Я говорил о грифе не на секретный, а на системный диск.

Третье. Я здесь пытаюсь вести дискуссию не с лицами, принимающими решение (почему-то меня все время обвиняют в рекламе, а реклама, как Вы правильно отметили, делается иным языком), а со специалистами. Конечно, как разработчик, я вынужден влезать "в дебри", но это вопросы защиты информации, где "поверхностные решения" подчас просто бессмыслены. А свои, отчасти полученные из практики знания, я не утаиваю, наоборот, пишу (иногда даже "кричу") массу статей, где все рассказываю.

Четвертое. В Windows амкнутость программной среды реализован относительно неплохо. Нехостатки (как я их вижу):

1. Невозможно запретить доступ на запись в системный диск пользователю System (увидите синий экран). Т.е. с этими правами можно модифицировать системный диск - какой-либо системный процесс, затем его запустить. ОсС предоставляет сервис запуска приложений с правами System (например, серверные части клиент-серверных приложений). Ошибка в таком приложении может привести к получению этих прав - к запуску любого кода (ошибки на расширение привилегий).

2. Замкнутость программной среды определяется не только исполняемыми файлами. Например - это bat файлы (командные интерпретаторы, виртуальные машины). Их запуск происходит по запросу не на выполнение, а на чтение. Механизм не работает.

3. Интерес представляет замкнутость программной среды не только для пользователя, но для процесса - когда процессу можно указать, какие иные процессы он может запускать (субъект доступа процесс и объект доступа процесс). Данная очень полезная на практике опция не реализована.

Ссылка на сообщение
Поделиться на другие сайты

Toparenko

Мы можем усекать возможности администратора (например, админисртратор безопасности определяет, что может системный администратор). Один всегда должен быть главным - а как иначе?

В Unix мы все это делаем программно (можем установить любые права пользователю root, но не администратору безопасности), в Windows для этого программно-аппаратная реализация (плата поставляется к КСЗИ Панцирь-К опционально (здесь разграничить доступ системному администратору мы можем, а вот предотвратить им снятие наших драйверов (контролировать можем - у даленно, с сервера, предотвратить нет) без платы очень сложно (кстати говоря, это аппаратное решение нами запатентовано)

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...

×
×
  • Создать...