Перейти к содержанию

защита информации от кражи персоналом

Оценить эту тему:


Рекомендуемые сообщения

Теперь, что касается вопросов возможных уязвимостей мандатных уровней (понижения категории документов).

 

Вы тестируете различные средства, поэтому рассмотрим общую проблему.

Если Вы тестируете средство защиты, то могут возникнуть одни вопросы, если некую имитацию средства защиты – вопросы совсем иные.

Как понять, что Вы рассматриваете на самом деле.

Если Вы рассматриваете средство защиты, то оно никак не связано с возможностью механизмов защиты, встроенных в ОС (это свой драйвер, свои способы хранения настроек, в частности, атрибутов доступа, мандатных меток, прав доступа и т.д., как правило в файле). Если речь идет об имитации – это интерфейс, обеспечивающий малую автоматизацию настройки встроенных в ОС механизмов защиты (замечу, подобный интерфейс пишется студентом 4-5 курса за несколько месяцев – имея опыт работы профессором в ВУЗе более 15 лет, поверьте, что я знаю, о чем говорю). В нашем случае, подобная автоматизация состоит в том, чтобы настроенный Вами полномочный доступ из интерфейса средства защиты (категорий – секретно, общедоступно и т.д.) автоматически преобразовать в соответствующие атрибуты доступа, предоставляемые соответствующей файловой системой. Кстати говоря, не сложно посмотреть установленные атрибуты даже в том случае, если разработчик, пытаясь выдать свой интерфейс за средство защиты, позаботится о том, чтобы установленные атрибуты не отображались в соответствующих настройках ОС.

Таким образом, если мы говорим о средстве защиты, у меня к Вам будут конкретные вопросы (проблемы, встающие перед разработчиком в этом случае мне понятны).

Если же речь идет об интерфейсе (прежде всего, задайте себе вопрос, нужна ли Вам имитация), здесь вопрос вполне конкретный – можно ли существующими атрибутами обеспечить полномочный доступ, какие при этом возникают проблемы (и, кстати говоря, как настраивает эти атрибуты интерфейс, при задании Вами полномочий).

Дело за малым – отличить средство защиты от имитации.

 

Здесь все очень просто. Используйте файловую систему FAT и посмотрите, будут ли работать разграничения, задаваемые в интерфейсе средства защиты. Будут – мы имеем дело действительно со средством защиты (одни вопросы для обсуждения), не будут – мы имеем дело с имитацией – естественно, что имитация не работает c FAT (которая не имеет возможностей по разграничению прав доступа к файловым объектам) – совсем иные вопросы для обсуждения.

 

style_emoticons/default/smile10.gif

 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 135
  • Создана
  • Последний ответ

Топ авторов темы

Топ авторов темы

Вы тестируете различные средства, поэтому рассмотрим общую проблему.

Если Вы тестируете средство защиты, то могут возникнуть одни вопросы, если  некую имитацию средства защиты – вопросы совсем иные.

8449[/snapback]

Вопрос всегда один - насколько сложно обойти систему защиты и какие условия необходимо выполнить для успешного обхода системы защиты. И соответсвенно какова вероятность того, что пользователь сможет такие условия создать.

 

Если Вы  рассматриваете средство защиты, то оно никак не связано с возможностью механизмов защиты, встроенных в ОС (это свой драйвер, свои способы хранения настроек, в частности, атрибутов доступа, мандатных меток, прав доступа и т.д., как правило в файле). Если речь идет об имитации – это интерфейс, обеспечивающий малую автоматизацию настройки встроенных в ОС механизмов защиты (замечу, подобный интерфейс пишется студентом 4-5 курса за несколько месяцев – имея опыт работы профессором в ВУЗе более 15 лет, поверьте, что я знаю, о чем говорю).

8449[/snapback]

А почему не использовать механизмы защиты которые уже реализованы ы ОС ? Они уже там есть и работают, их все равно придется либо настраивать либо отключать. Они оттестированы гораздо лучше любого средства защиты, так как опыт их использования значительно больше. Какой смысл их дублировать ?

 

Здесь все очень просто. Используйте файловую систему FAT и посмотрите, будут ли работать разграничения, задаваемые в интерфейсе средства защиты. Будут – мы имеем дело действительно со средством защиты (одни вопросы для обсуждения), не будут – мы имеем дело с имитацией – естественно, что имитация не работает c FAT  (которая не имеет возможностей по разграничению прав доступа к файловым объектам) – совсем иные вопросы для обсуждения.

8449[/snapback]

Мне кажется вполне логичным и разумным использовать в системе защиты максимальное число готовых механизмов, и если система защиты требуют для своей работы ntfs, и использует ее функциональность, это совсем не значит, что это имитация. Цель - решение проблемы, а не изобретение очередного велосипеда. Еще раз повторю - критерий может быть только один - насколько тяжело обойти защиту.

 

Ссылка на сообщение
Поделиться на другие сайты

По поводу Ваших тезисов.

Во-первых, в принципе не согласен!

Те ОС, которые мы рассматриваем - универсальные - не заточены для использования при обработке конфиденциальной информакции, иначе мы использовали бы их механизмы и не обсуждали все эти вопросы.

Во-вторых, по данным за 2005 год, например, Windows XP признана критически опасной (могу дать ссылку) - более 20 неустраненных ошибок на начало 2006 года (к слову об оттестированности). Если добавочная СЗИ разрабатыавется правильно (используются документированные функции, тестируется с использованием рекомендованных средств), то никакие исправления, path-и не скажутся на работоспособности СЗИ (если бы это было не так, с компьютерами вообще нельзя было бы работать ("висли" бы все внешние драйверы и приложения). Этот вопрос также можно отставить.

И главное, ко мне были вопросы, на которые можно ответить, поняв о чем речь. Если рассматривается интерфейс, а не средство защиты, то он настраивает встроенные в ОС механизмы и атрибуты NTFS. Если это так, то у разработчика интерфейса достаточно ограниченные возможности по тому, как реализовать полномочные правила доступа настройкой атрибутов NTFS. И все эти возможности, а следовательно, и то, насколько корректно при этом реализуются полномочные разграничения, не сложно оценить - для этого достаточно знать, как работают механизмы защиты ОС.

Если анализируется средство защиты, то здесь все зависит от разработчика СЗИ - он может заложить и реализовать возможности, принципиально отличающиеся от возможностей механизмов ОС. Здесь уже может быть получена не имитация полномочного механизма, путем соответствующих настроек атрибутов дискреционного механизма, а создан полноценный механизм полномочного контроля доступа. Однако здесь есть свои технические тонкости.

Просто надо определиться, чтобы отвечать.

И о каком "велосипеде" Вы говорите, в чем больше велосипеда - создать нормальный полномочный контроль доступа, либо попытаться как-то добиться его имитации посредством малой автоматизации настроек - настраивая механизм, не предназначенный для решения этой задачи?

 

Ссылка на сообщение
Поделиться на другие сайты
Те ОС, которые мы рассматриваем - универсальные - не заточены для использования при  обработке конфиденциальной информакции, иначе мы использовали бы их механизмы и не обсуждали все эти вопросы.

Во-вторых, по данным за 2005 год, например, Windows XP признана критически опасной (могу дать ссылку) - более 20 неустраненных ошибок на начало 2006 года (к слову об оттестированности). Если добавочная СЗИ разрабатыавется правильно (используются документированные функции, тестируется с использованием рекомендованных средств), то никакие исправления, path-и не скажутся на работоспособности СЗИ (если бы это было не так, с компьютерами вообще нельзя было бы работать ("висли" бы все внешние драйверы и приложения). Этот вопрос также можно отставить.

И главное, ко мне были вопросы, на которые можно ответить, поняв о чем речь. Если рассматривается интерфейс, а не средство защиты, то он настраивает встроенные в ОС механизмы и атрибуты NTFS. Если это так, то у разработчика интерфейса достаточно ограниченные возможности по тому, как реализовать полномочные правила доступа настройкой атрибутов NTFS. И все эти возможности, а следовательно, и то, насколько корректно при этом реализуются полномочные разграничения, не сложно оценить - для этого достаточно знать, как работают механизмы защиты ОС.

Если анализируется средство защиты, то здесь все зависит от разработчика СЗИ - он может заложить и реализовать возможности, принципиально отличающиеся от возможностей механизмов ОС. Здесь уже может быть получена не имитация полномочного механизма, путем соответствующих настроек атрибутов дискреционного механизма, а создан полноценный механизм полномочного контроля доступа. Однако здесь есть свои технические тонкости.

Просто надо определиться, чтобы отвечать.

И о каком "велосипеде" Вы говорите, в чем больше велосипеда - создать нормальный полномочный контроль доступа, либо попытаться как-то добиться его имитации посредством малой автоматизации настроек - настраивая механизм,  не предназначенный для решения этой задачи?

8461[/snapback]

В ОС windows nt и выше реализован дескриционный механизм разграничения доступа, причем достаточно мощный и гибкий. Зачем создавать новый ?

Полномочного (мандатного) механизма там нет, следовательно нужно писать свой. Когда говорил про велосипед имел в виду именно это. Естественно реализация полномочного механизм через дискриционный (как это сделано в DallasLock) особой стойкостью не отличается. С этим я согласен. Но использование в реализации мандатки возможностей ntfs и использование дискриционного механизма вещи разные, т.к. дискриционный механизм сам реализован на этих возможностх (я естественно имею в виду семейство nt). Вы же не можете написать продукт абсолютно не используя функционала ОС для которой он пишется.

Обсуждать архитектурные особенности различных СЗИ очень интересно, особенно если в обсуждении участвует разработчик Вашего уровня, но основным критерием при выборе может быть только практическая проверка заявленных свойств продукта. Какая бы распрекрасная ни была архитектура, реализована она может быть с ошибками. А на практике доводом против может быть только успешно реализованная атака и степень ее сложности. Так как Вы видимо тестировали различные СЗИ, приведите просто примеры Ваших тестов, можно без результатов на тестируемых системах. И практику это даст возможность быстро и качественно сделать выбор.

Например для DallasLock версии 7.0 полномочия (в смысле мандатные) меняются принадлежностью к группе безопасности, т.е. администратор может эти полномочия легко менять.

Ссылка на сообщение
Поделиться на другие сайты

Я никоим образом не пытаюсь кого-либо в чем-либо убедить. Потребитель сам выберет, что ему нужно - встроенная защита, добавочная защита и т.д.

Естестенно, что обсуждать можно архитектурные решения и их практическую реализацию. Первое - это то, что должно быть, что хотели сделать - второе - что получилось (ошибки программирования и т.д.).

Естественно, сначала надо понять что сделать-то хотели, может быть такое нельзя получить в принципе (замечу, мой опыт работы в этой области уже около 9 лет, показывает, что, как разработчики, так, следовательно, и продукты сильно различаются, причем в нашей области (защита информации) - "от великого до смешного один шаг").

А для этого решение надо проанализировать (как пишут наши коллеги, протестировать). Однако, как тестировать, что конкретно проверять? Простой пример, подключили второе устройство (например, Flash), появилась новая буква (диск), к ней без дополнительных настроек СЗИ будет контролироваться доступ? При одном подходе к реализации это следует проверить, при другой нет (а таких тестов можно придумать десятки, если не сотни - все их смотреть - это месяцы). А достаточно одну такую возможность не посмотреть, можно получить в итоге хищение данных.

 

Напомню, в чем суть вопроса. Коллеги в формуре сформулировали проблему, попросили помочь разобраться. Я, в меру своих возможностей и времени, пытаюсь помочь.

 

На что обращу Ваше внимание. Я (по ряду причин) никогда не укажу на конкретный недостаток конкретной системы, даже если он мне известен. Поэтому я не обсуждаю конкретные продукты, я говорю о тех или иных возможных проблемах при разных подходах к реализации (это поможет минимизировать объем необходимых исследований продукта).

 

Если нашим коллегам это поможет, буду рад. Если это им не нужно, пусть сообщат.

 

 

Ссылка на сообщение
Поделиться на другие сайты

Неплохо подойдет под эту задачу SecretNet (ЗАО НИП Информзащита)

Там, кстати, реализована и "полномочка" и контроль за внешними носителями.

Кто желает убедиться - ссылок в инете полно.

Ссылка на сообщение
Поделиться на другие сайты

Важно не то, что реализовано, а то, как реализовано.

Рассмотрим возможный пример реализации "Полномочки". Пусть "Полномочка" состоит в том, что один и тот же пользователь может обрабатывать как открытую, так и конфиденциальную информацию, причем текущий уровень пользователя определяется максимальным уровнем открытого документа (такой уровень получает процесс, открывший документ). Но беда-то в том, что все остальные разграничения (не к файловым объектам) реализуются под учетную запись. Вот Вам противоречие - под одной учетной записью можно обрабатывать информацию различных грифов, следовательно ко всем внешним ресурсам (не к файловым объектам) необходимо уже разграничивать для разных пользователей - но тогда один пользователь не должен обрабатывать одновременно информацию разных грифов (как с практическим использованием подобной "полномочки").

Я ранее утверждал, что единственно корректный способ разграничений - по пользователям (иначе сразу натолкнемся на проблему буфера обмена и т.д.), сразу будем говорить о необходимости отключения корзины и т.д. и т.п.

Другое противоречие. А с каким грифом будет вновь созданный документ, кто это проконтролирует - пользователь одновременно может создать его с различными грифами (кстати такое было бы невозможно, если бы полномочка была бы реализована в соответствии с соответствующими требованиями к данному механизму - уровень пользователя статичен, не изменяется в зависимости от уровня обрабатываемых данных). Этот ряд можно продолжить.

style_emoticons/default/smile9.gif

Ссылка на сообщение
Поделиться на другие сайты

Забыл ответить на следующий важный вопрос:

 

"В ОС windows nt и выше реализован дескриционный механизм разграничения доступа, причем достаточно мощный и гибкий. Зачем создавать новый ?"

 

Я принципиально не согласен с этой позицией. Не будем забывать, что эта ОС универсальная, а не созданная для защиты конфиденциальной информации в корпоративной сети предприятия. Все ее механизмы защиты могут быть кардинально пересмотрены (что мы и делаем в своих разработках).

В рамках форума дать развернутый комментарий на этот вопрос не представляется возможным, однако у меня есть статья (десяток страниц) именно по этому поводу.

 

Если интересует, готов "закинуть" для ознакомления, сообщите куда.

Ссылка на сообщение
Поделиться на другие сайты

2 ИТБ

Так как я наиболее подробно познакомился с СЗИ SecretsSaver Corporate, то скажу как это реализовано в ней.

Понятия текущий уровень пользователя в вашем контексте там нет. Есть текущий уровень сессии. Равен максимальному грифу открытого документа. Как ограничивается доступ к ресурсам не знаю, но возможность распространять информацию блокируется в зависимости от уровня доступа пользователя к сети и сменным носителям и от текущего уровня сессии.

Т.е. если сотрудник имеет уровень доступа к сети равный "секретно", а уровень доступа к сменным носителям равный "общедоступно", то после открытия документа с грифом "секретно" будет заблокирован доступ к сменным носителям, а после открытия документа с грифом "сов.секретно" будет заблокирован и доступ к сети.

Вновь созданный документ будет иметь гриф равный уровню сессии. Поэтому проблемы с буфером обмена нет. Корзина должна быть отключена, но в нашем случае это абсолютно не критично.

Кстати в письме я Вас спрашивал, ответа не получил к сожалению. Продублирую. Каким образом можно посмотреть Ваш продукт в действии ? То что Вы рассказываете очень интересно, но хотелось бы составить собственное впечатление.

Ссылка на сообщение
Поделиться на другие сайты

Еще один момент забыл. Понижать гриф документа в SecretsSaver Corporate может только офицер безопасности. Сотрудник может только повышать.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...

×
×
  • Создать...