Перейти к содержанию

защита информации от кражи персоналом

Оценить эту тему:


Рекомендуемые сообщения

Зашедшему.

Уровень сессии появился еще в СЗИ "Сраж-NT", где процессы можно запускать одним пользователем с разными правами (то о чем я писал, это не та система, которую Вы рассматриваете). Вместе с тем, относительно уровня сесии я и говорил - максимальный уровень из открытых документов.

Еще раз отмечу, я категорически против подобной позиции - все права должны определяться правами пользователя (это основа построения системы защиты ОС). По моему мнению, права пользователя не должны изменяться в зависимости от категории обрабатываемой информации, т.е. быть динамическими. Естественно, что при таком подходе внешне решение выглядит "изящно", но, наверное, танк Вы будете выбирать не по наличию в нем кондиционера.

Как Вы думаете, сколько существует способов взаимодействия процессов (поименованные каналы и т.д., мне известен десяток, не задумываясь) а, эти СЗИ гарантируют перекрытие всех, а если Вы запустите один и тот же процесс с разными правами (в разных сессиях). Дело в том, что при подобном подходе естественно появляется масса проблем, т.к. это противоречит принципам построения самой ОС, буфер обмена и корзина - это очевидные проблемы.

Я не утверждаю что-либо по конкретной системе, я против такого подхода в принципе (однако, это мое личное мнение, возможно я не прав и разработчиком конкретной системы решены все проблемы, тогда хорошо - это пусть решает тот, кто использует средства защиты).

С точки зрения нового документа, вопрос как контролировать его уровень, если пользователь может быть в разных сессиях (в какой будет, с тем грифом и будет создан новый документ).

По поводу буфера обмена - если Вы откроете два текстовых редактора под одним пользователем (дважды запустите один и тот же процесс) и запустите их в разных сессиях - одним прочитаете документ одного уровня, другим другого, что с буфером обмена (я фантазирую, конкретно с системой, которую Вы смотрите, я не знакомился, т.к. меня интересуют только сертифицированные продукты, да и нет времени смотреть на все).

 

Для получения демоверсии нашей системы Панцирь-К существует определенный порядок, с условиями Вы можете познакомиться на нашем сайте www.npp-itb.spb.ru (в закладке Демоверсия). Также на сайте есть полный комплект документации на систему, его вполне достаточно для ознакомления с основными свойствами.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 135
  • Создана
  • Последний ответ

Топ авторов темы

Топ авторов темы

По моему мнению, права пользователя не должны изменяться в зависимости от категории обрабатываемой информации, т.е. быть динамическими.

8786[/snapback]

Я Вас понял. Но в этом случае придется вводить по пользователю на каждый гриф, как у Вас и описано в статье про предотвращение утечки через сеть. Я думаю спорить о преимуществах этих решений смысла нет (если только кто-нибудь не сможет привести пример задачи, которую нельзя решить каким-либо способом), т.к. в конечном итоге, по крайней мере для практика все сведется к качеству реализации.

 

 

Естественно, что при таком подходе внешне решение выглядит "изящно", но, наверное, танк Вы будете выбирать не по наличию в нем кондиционера.

8786[/snapback]

Это смотря где я на этом танке воевать буду. Если на Ближнем Востоке, то танк без кондиционера я и рассматривать не буду. Потерявшие сознание от теплового удара бойцы много не навоюют. Т.е. неудобную (или слишком сложную в эксплуатации) СЗИ отключат сразу после прохождения сертификации (в гос конторах, как это частенько бывало с SecretNet - пообщался недавно с коллегами), или просто ставить не станут.

 

Как Вы думаете, сколько существует способов взаимодействия процессов (поименованные каналы и т.д., мне известен десяток, не задумываясь) а, эти СЗИ гарантируют перекрытие всех, а если Вы запустите один и тот же процесс с разными правами (в разных сессиях).

8786[/snapback]

Про все СЗИ сказать не могу. Могу сказать только про SecretsSaver. Под сессией я имел в виду не пользовательскую сессию, а промежуток времени между перезагрузками. Про каналы не знаю, но она гарантирует, что любая записанная на диск информация получит гриф равный текущему уровню сессии. Ситуация когда на одной рабочей станции залогинено больше одного пользователя (system не считаю) у нас просто не вероятна, т.к. необходимости в ней нет. Вообще не понятно зачем одному сотруднику может понадобится больше одной учетной записи.

 

С точки зрения нового документа, вопрос как контролировать его уровень, если пользователь может быть в разных сессиях (в какой будет, с тем грифом и будет создан новый документ).

8786[/snapback]

Этот момент я выше прокоментировал - сессия только одна.

 

По поводу буфера обмена - если Вы откроете два текстовых редактора под одним пользователем (дважды запустите один и тот же процесс) и запустите их в разных сессиях - одним прочитаете документ одного уровня, другим другого, что с буфером обмена

8786[/snapback]

Т.к. сессия одна, то без разницы что с буфером обмена. При записи на диск гриф сохранится, доступ к сети и сменным носителям ограничен уровнями доступа и текущим уровнем сессии. Не знаю как это реализовано, просто попробовал (опять же говорю про SecretsSaver, про другие продукты не знаю).

 

Для получения демоверсии нашей системы Панцирь-К существует определенный порядок, с условиями Вы можете познакомиться на нашем сайте www.npp-itb.spb.ru (в закладке Демоверсия).

8786[/snapback]

Ок, попробую еще раз.

 

Также на сайте есть полный комплект документации на систему, его вполне достаточно для ознакомления с основными свойствами.

8786[/snapback]

Категорически не согласен. Считаю, что продукты такого рода обязательно смотреть в работе. Вдруг она с уже используемым ПО конфликтовать начнет ? Или дыру найдем ? Или служба поддержки у Вас окажется не вменяемой ? Да мало ли...

Ссылка на сообщение
Поделиться на другие сайты

Относительно по пользователю на каждый гриф.

А у Вас так много грифов - открытая и конфиденциальная (2, ну три пользователя, в чем сложность).

Относительно сессии. Вы говорите об интервале времени между перезагрузками. Т.е. при переходе от сессии к сессии нужна перезагрузка?

Есле запускать ппроцессы с правами различных пользователей, по сути это и есть выбор сессии (Вы завели двух пользователей - открытый и конфиденциальный со своими разграничениями), то перезагрузка не нужна, у Вас одновременно могут быть открыты приложения обоих пользователей (сессиий), в обоих Вы можете работать (буфер обмена между пользователями изолирован нашими средствами (ОС при таком запуске его не изолирует), у каждого пользователя своя корзина, для каждого пользователя свои разграничения - к принтеру, к хостам (по TCP, UDP/IP) и т.д. Так что удобнее

(усложнение настройки исчисляется секундами). Кстаити говоря, Вы рассматриваете лишь одну задачу из совокупности. Например, кардинально новые возможности защиты предоставляет разграничения для процессов (приложений) с правами или вне прав пользователей и т.д. Трудно это связать с полномочными разграничениями.

Относительно ввода нового документа я говорил о другом. Пользователю требуется создать совершенно новый документ (ввести текст с консоли). Документ конфиденциальный. Он создает сессию открытой обработки и записывает созданные данные в открытый каталог, кто проконтролирует?

Относительно сложности - здесь две стороны медали. С одной стороны, СЗИ должна быть простой в эксплуатации (но в моем понимании, разработчик СЗИ не должен ориентироваться на дурака администратора, простой, не значит в ущерб защищенности - реализация одной коасной кнопки "защитить", с другой стороны, должна обладать достаточным набором механизмов защиты (которые могут востребоваться не сразу, а в процессе эксплуатации) для решения задач при различных изменениях ее эксплуатации. Например, в используемом вами приложении обнаружена дыра, которая будет исправлена разработчиком через 5-8 месяцев, что делать, откзататься от использования приложения - в нашей КСЗИ Вы в этом случае сможете воспользоваться механизмом доверительного контроля доступа (разганичить права доступа для скомпрометированного приложения).

Относительно того, что смотреть ПО в работе совершенно согласен. Я говорил, что сначала нужно посмотреть по документации потенциальные возможности СЗИ (может быть в результате этого Вам и продукт смотреть не захочется - не подойдет по сфоим функциям). Если фунционал ПО интересен, тогда конечно следует смотеть эксплуатационные свойства.

Ссылка на сообщение
Поделиться на другие сайты
Относительно сессии. Вы говорите об интервале времени между перезагрузками. Т.е. при переходе от сессии к сессии нужна перезагрузка?

8821[/snapback]

Да. Переход от сессии к сессии это вход в систему от имени другого сотрудника. Для этого нужна перезагрузка. Но зачем на один ПК входить разным сотрудникам ? Каждый ведь работает на своем. Такая необходимость - это издержка вашего способа решения задачи. А издержка подхода SecretsSaver - необходимость перезагрузки после работы с грифованной информацией, если после этого надо писать не грифованную или писать на сменный носитель или лезть в публичную сеть (последнии два в зависимости от уровней доступа). Тут уж кому что меньше нравится.

 

Есле запускать ппроцессы с правами различных пользователей, по сути это и есть выбор сессии (Вы завели двух пользователей - открытый и конфиденциальный со своими разграничениями), то перезагрузка не нужна, у Вас одновременно могут быть открыты приложения обоих пользователей (сессиий), в обоих Вы можете работать (буфер обмена между пользователями изолирован нашими средствами (ОС при таком запуске его не изолирует), у каждого пользователя своя корзина, для каждого пользователя свои разграничения - к принтеру, к хостам (по TCP, UDP/IP) и т.д. Так что удобнее

(усложнение настройки исчисляется секундами).

8821[/snapback]

Контрпример. Есть конфиденциальный документ. Он достаточно велик для того чтобы его запомнить, но достаточно мал, чтобы его можно было перепечатать. Это может быть например список вида

контактное лицо, раб. телефон, моб. телефон

Число записей например 500.

Открываем этот документ от имени пользователя имеющего право доступа, но не распространения. Размещаем окно вверху экрана. Создаем новый файл от имени пользователя не имеющего право доступа к конфиденциальной информации. Размещаем окно внизу экрана. Тупо перепечатываем текст из секретного файла в несекретный. Копируем несекретный файл на флеш-диск и несем его конкурентам или шлем по почте. При этом не надо фотографировать экран или переписывать данные на бумажку нервничая и привлекая внимание агентов СБ.

 

Относительно ввода нового документа я говорил о другом. Пользователю требуется создать совершенно новый документ (ввести текст с консоли). Документ конфиденциальный. Он создает сессию открытой обработки и записывает созданные данные в открытый каталог, кто проконтролирует?

8821[/snapback]

Не понял что вы хотите сказать. Возможно это как раз имеет отношение к моему примеру ? Откуда система может узнать, что вводимый с клавиатуры в открытой сессии и в открытый каталог документ является конфиденциальным ?

 

Относительно сложности - здесь две стороны медали. С одной стороны, СЗИ должна быть простой в эксплуатации (но в моем понимании, разработчик СЗИ не должен ориентироваться на дурака администратора, простой, не значит в ущерб защищенности - реализация одной коасной кнопки "защитить", с другой стороны, должна обладать достаточным набором механизмов защиты (которые могут востребоваться не сразу, а в процессе эксплуатации) для решения задач при различных изменениях ее эксплуатации.

8821[/snapback]

Думаю, что в фирмах которые позволят себе внедрить систему типа рассматриваемых, дураков администраторов быть в принципе не может. Дело в том, что возможно работать с ней придется не проф. ит-шнику, а сотруднику той же СЭБ, чтобы проконтролировать того самого слишком умного администратора.

 

Ссылка на сообщение
Поделиться на другие сайты

1, При нашем способе нет необходимости входить под разными пользователями. Вы можете разрешить вход только под одним (у нас же свой механизм авторизации ользователя при входе в систему), можете под разными, причем с одним паролем.

Уже когда вошли, Вы можете в проводнике выбрать необходимый исполняемый файл и по правой кнопке его запустить с правами другого пользователя. При этом Вам выпадет диалог выбрать пользователя, с правами которого запустить приложение и ввод пароля ОС (пароль можно оставить пустым - у нас своя авторизация, с правами какого можно или нельзя запустить также можно контрролировать нашим механизмом контроля олицетворения и заимствования прав). У нас ничего перезагружать не нужно.

Если же необходимо, отключите эту возможность и реализуйте вход пользователя под своей учетной записью (с тем же паролем) под другую сессию (учетная запись - это сессия), получите решение, аналогичное рассматриваемому Вами.

2. Контрпример. Вы опять берете некий отдельный пример не в общем контексте решения задачи. Здесь опять же есть различные решения (разработка этих решений есть разработка политики безопасности). То что Вы описали проше сделать с использованием ручки и листа бумаги, для этого незачем открывать два окна (на бумаге получится быстрее и вынести проще).

3. По моему примеру. Речь о том, что пользователь вводит новый документ в компьютер, пусть с листа бумаги (а не модифицирует существующий). Если он может выбирать сесиию, то он введет этот документ туда, куда захочет, вне зависимости от гифа документа.

4. Естественно, что я это и предполагаю, иначе бы мы не вели столь интерессную и, наверное, полезную (причем обеим сторонам, мне ведь тоже интересно мнение специалиста, использующего средство защиты - подобные мнения во многом формируют направление развития наших продуктов. Сделать подобное решение, как Вы описываете, для нас (на основе существующих) несколько недель, вопрос - стоит ли - я также постоянно апробирую правильность своей позиции). Речь велась о том, что не следует упрощать средства защиты, да еще позиционировать это как потребительское свойство СЗИ, в угоду возможной низкой квалификации потребителя. Моя позиция, следует упрощать администрирование, но не возможности СЗИ.

 

Ссылка на сообщение
Поделиться на другие сайты
2. Контрпример. Вы опять берете некий отдельный пример не в общем контексте решения задачи. Здесь опять же есть различные решения (разработка этих решений есть разработка политики безопасности).

8857[/snapback]

У меня есть модели нарушителей, есть соответствующие списки угроз. Я сопоставляю эти угрозы с алгоритмами работы СЗИ. Политика безопасности, с моей точки зрения, описывает общие концепции. А я привел частный случай обработать который и должна конкретная подсистема системы безопасности.

 

 

То что Вы описали проше сделать с использованием ручки и листа бумаги, для этого незачем открывать два окна (на бумаге получится быстрее и вынести проще).

8857[/snapback]

С теоритической точки зрения - может быть. А на практике сотрудник осознает, что его действия есть кража информации, то что он списывает данные на бумагу обязательно увидят коллеги - все это заставляет нервничать. Кроме того, у нас например, для черновиков используется прошитые блокноты, так что на бумаге вынести не получится. Вернее можно, но очень рисковано.

 

 

Если он может выбирать сесиию, то он введет этот документ туда, куда захочет, вне зависимости от гифа документа.

8857[/snapback]

Вы имеете в виду, что для назначения грифа вновь созданного вручную документа пользователь должен создавать его в определенной сессии ?

Ссылка на сообщение
Поделиться на другие сайты

Зашедшему.

Вопрос. Вы действительно серьезно относитесь к таким формализациям, как модели нарушителей и угроз? Если эта информация не конфиденциальная, хотелось бы взглянуть, если возможно, перешлите на мой адрес info@npp-itb.spb.ru. Меня всегда интересовали такие вещи, как можно прописать в списке угроз, например, ошибку в приложении и т.д.

На Ваш вопрос. Мы уже обсуждаем его несколько раз и что-то не понимаем друг друга. Суть в следующем. Если полльзователь размечен как конфиденциальный и имеет право на запись только в конфиденциальный каталог (нет понятия сессии), то любой вновь создаваемый им документ может быть сохранен только в конфиденциальном каталоге (этот как работа с документами в первом отделе). Речь идет не о том, что он какой-то документ прочтет, модифицирует и сохранит, а введет текст заново - создаст новый документ. При различных сессиях, он сможет сохранить вновь созданный документ, как в конфиденциальном, так и в открытом каталоге.

Ссылка на сообщение
Поделиться на другие сайты

Любая система безопасности это система правил и ограничений. Причем правил и ограничений предназначеннйх, в первую очередь, для своих сотрудников.

 

А на счет моделей - они нужны для того что бы понять что закрывать в первую очередь и что делать в первую очередь при возникновении проблемы.

Ссылка на сообщение
Поделиться на другие сайты

Вопрос не в том, что существуют попытки подобной формализации (то, что Вы называете моделями), для меня новость. Просто я этих моделей насмотрелся и могу утверждать, чтоб чтобы "породить" хороший подобный документ, необходимо очень хорошее знание системных средств, средств телекоммуникаций и т.д. Далеко не всегда подобное происходит, в результате чего, подобные модели превращаются в "фарс". Вот очем речь.

Одни пишут, другие читают, а документ не о чем (то же имеет место с концепциями, политиками безопасности и т.д.).

Ссылка на сообщение
Поделиться на другие сайты
Вопрос не в том, что существуют попытки подобной формализации (то, что Вы называете моделями), для меня новость. Просто я этих моделей насмотрелся и могу утверждать, чтоб чтобы "породить" хороший подобный документ, необходимо очень хорошее знание системных средств, средств телекоммуникаций и т.д. Далеко не всегда подобное происходит, в результате чего, подобные модели превращаются в "фарс". Вот очем речь.

Одни пишут, другие читают, а документ не о чем (то же имеет место с концепциями, политиками безопасности и т.д.).

8976[/snapback]

Одними системными средствами и телекомом сыт не будешь...

Если не ошибаюсь, наиболее опасными (по совокупной стоимости рисков) для штатов остаются потери и кражи ноутбуков =)

А формализация и модель должны быть. И именно грамотно построенные. Иначе куча сил и денег уйдет на поддержание систем, ЭЦП и проч., а утечка будет проходить по другим каналам. Причем очень простым.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...

×
×
  • Создать...