Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Нужна ли обществу дифференциация секретов?

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Нужна ли обществу дифференциация секретов?

Светлана Конявская
Кандидат филологических наук, преподаватель кафедры
“Защита информации" МФТИ (Физтех), зам. генерального
директора ЗАО “ОКБ САПР"

Несколько лет назад в рамках решения задачи защищенных флешек (почти вечного двигателя) ОКБ САПР было введено в оборот понятие служебного носителя (СН) и на базе защищенного служебного носителя "Секрет"1 выпущена линейка продуктов.

Администратор может установить запрет на подключение каждого конкретного "Секрета" к компьютерам вне заранее заданного перечня или не устанавливать такое ограничение, тогда пользователь может подключать "Секрет" к посторонним для системы компьютерам и работать на них с данными, хранящимися в "Секрете", – под свою персональную ответственность, так как информация об этом будет отражена в журнале.

Если же запрет установлен, пользователь может подключить "Секрет" в USB-порт неразрешенного ПК, но работать с данными не сможет, так как диск устройства не примонтируется и не будет определен компьютером как флешка. А вот факт попытки подключения при этом будет зафиксирован в журнале "Секрета".

Таким образом, в зависимости от специфики функциональных обязанностей, режима работы и репутации сотрудника можно гибко настроить систему разрешений на действия с флешкой именно для него и контролировать его действия в той мере, в которой это целесообразно.


Предсказуемо, что скорость работы СН с шифрованием довольно мала – пользователю придется подождать при чтении и записи данных с/на флешку. Кого-то это совершенно не смущает, ведь главное – это защищенность данных (в условиях невысокой стоимости устройства), а другие готовы использовать СН без шифрования, лишь бы только привычные действия выполнялись быстрее. Иногда компромисс неуместен, и для этих случаев есть отдельное решение – СОН на базе служебного носителя "Быстрый Секрет", его скорость заметно выше: 6,1 Мбит/с (чтение) и 5,7 Мбит/с (запись).

Объем диска всех перечисленных СН может быть 8/16/32 Гбайт – этот параметр влияет на стоимость, поэтому дифференциация по нему тоже вполне уместна.

"Секрет Руководителя"

Общаясь с представителями организаций, эксплуатирующих "Секреты", мы обнаружили еще одну особенность, о которой раньше не задумывались. Действительно, не для всякого сотрудника уместен порядок, при котором для изменения режима доступа следует обратиться к администратору. Например, довольно неловкой для всех является ситуация, когда по окончании командировки руководитель должен сдать свой "Секрет" для установки запрета на подключение к посторонним машинам, снятого на период командировки под его ответственность. Более того, скорее всего, руководитель просто забудет об этом. А в установке этого запрета ведь заинтересован в первую очередь он сам, так как именно это гарантирует конфиденциальность данных в случае потери или кражи устройства. Можно вменить руководителю обязанность самому администрировать свое устройство, тогда он сам сможет добавить новый ПК в разрешенные, а затем аннулировать регистрацию. Однако на руководителя, как правило, возлагается так много совершенно необходимых обязанностей, что от выполнения "лишних" действий он закономерно хочет быть избавлен. Для таких случаев мы сделали "Секрет Особого Назначения" на базе служебного носителя "Секрет Руководителя".

В "Секрете Руководителя" администратор может временно (на интервал дат) отключить все запреты и разрешить подключение к неограниченному кругу компьютеров (см. рис.). Это возможно без снижения защищенности за счет наличия встроенных часов реального времени (RTC) – подмена системного времени не обманет устройство. Через заданный период времени ограничения на подключение снова вступают в силу.

Обратная связь дает нам возможность учитывать такие особенности существования устройств в реальной жизни, которые довольно сложно придумать умозрительно, не впадая в нелепые крайности. В результате сейчас, выбирая служебный носитель, на базе которых реализован "Секрет Особого Назначения", можно (и нужно) учесть: объем флеш-ки, потребность в шифровании, скорость работы СН, потребность во временной установке и снятии ограничений. Это довольно высокая степень свободы!

Когда у общества нет цветовой дифференциации штанов, то нет цели. К сожалению или к счастью, это в природе человека. Но в той мере, в которой новые устройства выполняют наши задачи, а не маркируют наши качества, их дифференциация по функциональным особенностям – не самоцель, а средство повышения эффективности от их внедрения и сохранения инвестиций.

Наибольшее распространение в силу простоты управления и удачного набора функций на данный момент получил "Секрет Особого Назначения" (СОН) – продукт, не требующий установки на ПК специального ПО, позволяющий гибко настраивать список разрешенных для работы компьютеров и фиксирующий в аппаратном журнале все – успешные и неуспешные – попытки подключения к компьютерам. Если СОН подключали к какому-то ПК, это событие записывается в его аппаратном журнале, отредактировать который пользователь не может.

"Секрет Особого Назначения" реализован на базе криптографического секрета, то есть с аппарат- ным шифрованием всех данных при записи на диск (и расшифровыванием при чтении). По заказу может быть изготовлена партия и без поддержки шифрования. При этом скорости чтения и записи данных с/на флеш-память указанных вариантов реализации следующие:

  • базовый СН: 12,5 и 8,8 Мбит/с;
  • криптографический СН: 200 Кбит/с и чтение, и запись.
___________________________________________
1 http://prosecret.ru/
ОКБ САПР
115114, Москва,
2-й Кожевнический пер., 12
Тел.: (495) 994-7262
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
http://www.okbsapr.ru/

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2017
Посещений: 462


  Автор
Светлана

Светлана  Конявская

кандидат филологических наук, ЗАО "ОКБ САПР"

Всего статей:  38

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.