Горюнов М.С.
Высшее
учебное заведение: «Национальный горный университет», Украина
Средства контроля
доступа и предотвращения утечки информации
Для ограничения доступа к информации и
протоколирования фактов доступа можно использовать стандартные сервисы безопасности.
К их числу относятся аутентификация, управление доступом, шифрование и аудит.
Однако традиционные схемы
аутентификации и управления доступом не обеспечивают адекватного уровня защиты.
В дополнение к ним целесообразно использовать специализированные сервисы
управления правами доступа к электронным документам, использующиеся, например,
в MS Windows Server 2003. RMS (Rights Management Services) — технология, используемая RMS-совместимыми приложениями для защиты электронных
документов от несанкционированного употребления. RMS позволяет при распространении информации определять
ограничения по ее использованию. Например, автор документа может ограничить
"время жизни" документа, а также возможность для определенных
пользователей открывать, изменять, копировать в буфер обмена, печатать или
пересылать документ. Основное отличие данной технологии от традиционных
способов разграничения доступа к информации заключается в том, что права
доступа и дополнительные ограничения хранятся в теле самого документа и
действуют независимо от его местонахождения. Шифрование документов,
реализованное в технологии RMS, не позволяет получать доступ к их содержанию каким-либо
обходным путем.
Для предотвращения несанкционированного
копирования конфиденциальной информации на внешние носители используется
специализированное программное обеспечение, предназначенное для контроля
внешних коммуникационных портов компьютера (USB, IR, PCMCIA и т.п.). Эти программные продукты поставляются такими
компаниями как SecureWave, Safend, Control Guard и др., а также отечественными разработчиками: SmartLine и SecurIT. Пользователям присваиваются права
доступа к контролируемым устройствам, по аналогии с правами доступа к файлам. В
принципе, практически такого же эффекта можно добиться, используя штатные
механизмы Windows, однако использование
специализированного продукта все же предпочтительней, тем более что в ряде
продуктов поддерживается также механизм теневого копирования данных,
позволяющий дублировать информацию, копируемую пользователем на внешние
устройства.
Недостатки подобных продуктов на основе
статической блокировки устройств заключаются в том, что они не контролируют
передачу сведений по сети и не умеют выделять конфиденциальную информацию из
общего потока, работая по принципу "все или ничего". Кроме того,
защиту от выгрузки программного агента такой системы, как правило, можно
обойти.
Большие возможности по предотвращению
утечки информации предоставляет программное обеспечение, обладающее
возможностью динамически регулировать доступ к каналам передачи данных, в
зависимости от уровня конфиденциальности информации и уровня допуска сотрудника.
Для реализации этого принципа используется механизм мандатного управления
доступом. Хозяин информационного ресурса не может ослабить требования на доступ
к этому ресурсу, в его власти только усиливать их в пределах своего уровня. В
таких системах конфиденциальные сведения не могут копироваться на носитель или
передаваться по коммуникационному порту, имеющему более низкий уровень конфиденциальности,
нежели копируемая информация. Ослаблять требования может только администратор,
наделенный особыми полномочиями.
Однако системы мандатного управления
доступом, как правило, дороги, сложны в реализации и оказывают существенное
ограничивающее влияние на бизнес-процессы. Но самое обидное то, что, если речь
идет не об особо охраняемых объектах, где на входе обыскивают, сотрудники
работают по записи и все за одним компьютером, который никуда не подключен,
опломбирован и не имеет внешних портов, а о реальной корпоративной среде, в
которой используются ноутбуки, КПК и разнообразные каналы внешних коммуникаций,
то злонамеренный инсайдер (в данном контексте под этим словом понимается
санкционированный пользователь компьютерной сети) все равно найдет способ
похитить информацию, поскольку он имеет к ней легальный доступ. Поэтому, в то
время как нормативная база предписывает обязательное использование мандатного
управления доступом в системах, имеющих дело с государственной тайной, в
корпоративной среде такие механизмы защиты применяются редко.
Средства
контроля доступа и предотвращения утечки информации направлены, главным
образом, на защиту от несанкционированного доступа и несанкционированного
копирования информации и малоэффективны для защиты от "инсайдеров",
имеющих к этой информации легальный доступ. В связи с этим в настоящее время
особенно активно развивается рынок специализированных систем обнаружения и
предотвращения утечек информации (Information Leakage Detection and Prevention или сокращенно ILD&P).
Литература:
1. Терентьев А.И. Введение в иформационную
безопасность.Учебное пособие, - М.:МГТУ ГА, 2001,-144с.
2. Биячуев Т.А.
Безопасность корпоративных сетей. Учебное пособие / под ред. Л.Г.Осовецкого -
СПб.: СПбГУ ИТМО, 2004. - 161 с.
3. Эдуард Гордеев,
Александр Астахов, "Как организовать эффективную систему предотвращения
утечки конфиденциальной информации из коммерческой организации"
4. Дэн Яхин,
"InfoWatch: Многоуровневый подход к обнаружению и предотвращению утечек
информации", whitepaper, 2005