Безопасность информации



Предыдущая | Следующая

компания должна разделить все данные на критически важные, важные, неважные и открытую информацию.

Решения активной защиты строятся на основе:
• межсетевых экранов;
• антивирусных решений;
• систем обнаружения вторжений (Intrusion Detection);
• системы работы с уязвимостями операционных и прикладных систем, активного оборудования;
• решений по криптографической защите информации.
Для того чтобы говорить об активной защите, как о системе, необходимо обеспечить:
• взаимодействие между разными модулями;
• возможность функционирования составляющих частей как единого целого (имеется в виду, что если используется несколько межсетевых экранов или систем обнаружения вторжений в рамках одной корпоративной сети, то необходимо обеспечить единую точку их администрирования и контроля).

Как защищать информацию в офисе
Первое usb
Программы ZLock и тонкая настройка всех параметров системы. Ваще самая лучшая защита – это клей или специальные доработки корпусов с замками.

Второе Ethernet
Прежде всего необходимо настроить маршрутизаторы, привязав локальные IP-адреса к MAC-адресам, и закрыть на брандмауэре все незанятые Ethernet-порты. Это намного проще и надежнее, чем помещать хабы в железный сейф, стоимость которого (помноженная на количество хабов в сети) весьма значительна.

Третье com/lpt
Проще всего поставить замок

 

Четвертое
Методы защиты, основанные на NTFS-потоках
Файловая система NTFS выгодно отличается от FAT16/32 тем, что поддерживает несколько потоков (streams) в рамках одного файла, еще называемых атрибутами (attributes), только не путайте их с атрибутами типа «только на чтение» или атрибутами времени создания/доступа/последней модификации — это совершенно различные сущности.
Каждый файл от рождения имеет один безымянный поток, и именно с этим потоком мы работаем при открытии/закрытии файла, и именно его объем берется за основу при подсчете размера файла. Однако мы можем создавать и другие потоки, отделяя их названия от имени файла символом ":", например, X:\my_file:my_stream1, X:\my_file:my_stream2. Естественно, полный путь указывать необязательно, и X:\my_file:my_stream1 работает так же хорошо, как и my_file:my_stream1 (если, конечно, my_file:my_stream1 находится в текущем каталоге).
Проведем простой эксперимент. Возьмем FAR и, нажав <Shift-F4> (создание нового файла), введем "kpnc:nezumi", после чего в отрывшемся окне редактора наберем что-нибудь наподобие "hello, world!" или любой другой лозунг. Сохраняем изменения по <F2> и выходим. Смотрим — FAR (и Проводник Windows) показывает нулевой размер файла. Странно, не правда ли?! Нажимаем <F4> и видим, что файл действительно пуст. Но если нажать <Shift-F4> + "kpnc:nezumi", то наше приветствие "hello, world!" вновь появится на экране.
Если нет FAR'а, тот же самый фокус можно проделать и со штатным Блокнотом, только... он требует, чтобы имена файла и потока оканчивались обязательным расширением .txt, иначе ничего не получится! ОК, окажем ему услугу. Пишем в командной строке "notepad kpnc.txt:nezumi.txt", утвердительно отвечая на запрос о создании нового файла. Вводим что-нибудь, сохраняемся. Выходим. Теперь, если попытаться открыть файл двойным щелчком, мы ничего не увидим (безымянный поток остается пустым), и Проводник отрапортует о нулевом размере файла, но стоит набрать "notepad kpnc.txt:nezumi.txt", как содержимое потока nezumi.txt немедленно появляется на экране!!! Ну прямо чудеса на виражах!!!
Теперь поговорим, как эти «чудеса» можно использовать на практике. При копировании на файловую систему, отличную от NTFS (например, на лазерный диск или FLASH’ку, размеченную под FAT), копируется только безымянный поток, а все остальные игнорируются. При передаче по локальной сети все потоки сохраняются (и это хорошо!), однако ни FAR, ни Проводник не позволяют выбирать, какие именно потоки копировать, а какие нет. Утилита командной строки copy с этим также не справляется, обвиняя нас в неправильном синтаксисе, хотя он и правильный. Некоторые утилиты (например, RAR) поддерживают сохранение всех потоков файла, чтобы полученный архив можно было записать на не-NTFS-носитель, а при последующей распаковке на NTFS-разделе получить все потоки обратно.
Потоки — идеальное средство для защиты от несанкционированного копирования файлов. Создаем файл с тремя потоками. Первый — безымянный, он может содержать все что угодно (или же не содержать ничего). Второй — именованный. Именно он хранит тело документа/электронной таблицы/базы данных, с которым необходимо работать. Третий (именованный) поток играет роль своеобразного балласта и несет на своем борту несколько гигабайтов мусора, сгенерированного произвольным образом и желательно очень трудно сжимаемого архиваторами.
Допустим, злоумышленник захотел скопировать этот файл на FLASH’ку, размеченную под FAT. Тогда он получит только первый (безымянный) поток, не содержащий ничего или содержащий грозное предупреждение с пожеланием немедленно явиться к начальнику с повинной. Если же FLASH’ка отформатирована под NTFS, то Проводник попытается скопировать все три потока, но третий поток туда ни за что не влезет (правда, с учетом порядка копирования потоков, поток-балласт, должен следовать вторым, а поток с полезной нагрузкой ? идти последним, но это уже детали).
Аналогичным образом обстоят дела и с передачей файла по сети. Незаметно передать несколько гигабайтов злоумышленнику не удастся, особенно если на исходящий трафик установлен жесткий лимит.
Единственная возможность — передать файл по сети на ноутбук, подключенный через Ethernet, но о защите Ethernet-портов от подключения «левых» устройств мы уже говорили, так что злоумышленник остается с носом. Не такая уж плохая защита, особенно с учетом того, что ее создание не требует никаких дополнительных затрат и реализуется штатными средствами операционной системы.
Недостатки предложенной защиты
• Открыв файл в Word’e/Excel’е и скопировав его в буфер обмена, злоумышленник сможет записать его через USB, если USB-порт открыт на запись, а также передать по сети через тот же Skype;
• Квалифицированный программист сможет написать программу для выборочного копирования отдельных потоков (впрочем, этой угрозой можно пренебречь, мы же сразу договорились, что защищаемся только от пользователей);
• Потоки-балласты занимают достаточно много места, уменьшая полезную емкость жесткого диска (хотя при современных объемах жестких дисков несколько дополнительных гигабайтов на каждый секретный файл — вполне посильная ноша и приобретение более емких винчестеров обойдется дешевле специализированных защитных комплексов от сторонних разработчиков).

Пятое скайп
есть программы для детектирования и блокирования Skype-трафика
администратор может периодически сканировать клиентские компьютеры на предмет наличия этого самого Skype и тут же удалять его как зловредную программу.
И еще
Помимо Skype конфиденциальная информация может быть передана через электронную почту или любой файлообменный сервер, типа http://rapidshare.com/, но они в отличие от Skype оставляют следы в логах proxy-серверов и брандмауэров, позволяя вывести нечестного сотрудника компании на чистую воду, но… только пользы от этого будет немного. Ведь секретный файл уже ушел и назад его не вернешь.

 

Шестое
Методы защиты, основанные на запуске программ от имени специального пользователя
Допустим, в компании есть оператор архива, который обязан резервировать все файлы, но при этом не должен иметь к ним доступа, чтобы не утащить налево. Возможно ли это?! Здравый смысл шепчет, что нет, в то время как операционные системы семейства NT (и UNIX в том числе) утверждают, что да. Все очень просто. Пользователь запускает программу от имени другого пользователя, обладающего правами доступа ко всем файлам, которая выполняет архивацию и записывает результат в указанный оператором архива файл, но доступа к этому файлу оператор не имеет! Чтобы злоумышленник не подсунул программе резервирования сменный носитель, который потом будет подключен к другой машине, где он обладает правами администратора (например, к своему домашнему компьютеру), следует использовать атрибут шифрования файла. Тогда для его открытия одних лишь прав администратора окажется недостаточно, еще потребуется заполучить ключ, хранящийся в учетной записи того пользователя, от имени которого запускается программа архивации, а эта учетная запись оператору архива, естественно, недоступна. Подобная практика защиты очень широко распространена, и соответствующие профили даже встроены в Windows NT, однако ничто не мешает нам использовать ее не только для архивации, но и для повседневной работы с секретными файлами.
Рассмотрим, например, MS Word, запускаемый от имени специального пользователя с тщательно настроенными правами доступа к секретным файлам. Как следствие, обычный пользователь сможет открывать/сохранять файлы только через MS Word, но не сможет скопировать их через «Сохранить как…». То есть скопировать-то он их сможет, но вот открыть сохраненный файл — нет, даже если он записан на FLASH’ку, KПК или другое устройство. К сожалению, по умолчанию буфер обмена одного пользователя доступен всем остальным, что позволяет «перетягивать» секретные файлы через copy/paste, однако, изменив настройки политики безопасности, можно (и нужно!) сделать буфер обмена специального пользователя невидимым для всех остальных.
Перспективы просто фантастические, и самое главное — никому не нужно ничего платить. Достаточно приобрести операционную систему семейства Windows NT (но только не Windows Vista, в которой по умолчанию выставляются довольно «демократичные» права доступа, позволяющие инсайдерам повышать уровни своих привилегий вплоть до администратора) и… опс! Разработчики Windows NT забыли встроить возможность запуска программы от имени других пользователей с автоматическим вводом пароля. Его надо запрашивать явным образом в специальном диалоговым окне, а это значит, что секретный пароль придется сообщать всем простым пользователям, иначе они не смогут запустить ни Word, ни другое защищаемое нами приложение, но зная пароль…
Здесь возможны два выхода из ситуации. Первый — администратор сам запускает Word и оставляет его открытым, не позволяя пользователям его закрывать. Глупо, конечно и утомительно, зато бесплатно. Второе — пишем собственный загрузчик, запускающий программы от имени других пользователей и автоматически передающий им пароль, жестко прошитый в его теле, а, чтобы пароль не бросался в глаза при просмотре файла в hex-редакторе, зашифруем загрузчик любым exe-упаковщиком.
Кстати, поскольку проблема необходимости явного ввода пароля (отсутствующая в UNIX-подобных операционных системах) возникла не вчера и даже не позавчера, в сети можно найти множество готовых загрузчиков, в том числе и бесплатных, однако по соображениям безопасности лучше не доверять чужому коду и нанять программиста, который напишет несколько сотен строк на Си самостоятельно, предоставив вам исходный код, чтобы у него не возникло соблазна встроить туда закладку.