Обзор SecretsSaver - комплекса для ограничения доступа к конфиденциальной информации


Давно уже прошли те времена, когда руководителям компаний нужно было доказывать необходимость защиты корпоративной информации. И действительно, вряд ли директор фирмы захочет, чтобы в руках у конкурентов оказались его договора с партнерами по бизнесу, бухгалтерские документы и т. д. Да даже несанкционированный доступ к простому списку клиентов и то может дать соперникам некоторое преимущество. Вот только как защитить конфиденциальную информацию? Внешние опасности и защита от них сегодня более-менее изучены. Даже подключение корпоративной сети к Интернету (а куда сегодня без Глобальной сети) при установке и правильной настройке антивируса, файрвола и некоторого другого программного обеспечения не является критической уязвимостью корпоративной системы безопасности. Однако нельзя забывать, что существуют еще и внутренние угрозы конфиденциальной информации.

И действительно, человеческий фактор всегда был одним из слабых мест в любой системе безопасности. Так что во многих случаях утечки секретов разных компаний виноваты в первую очередь их сотрудники. В области информационной безопасности существует даже такой термин - инсайдер. Под ним скрывается человек, передающий третьим лицам информацию, к которой имеет доступ по служебной необходимости. Впрочем, стоит заметить, что далеко не все утечки случаются из-за злонамеренных действий шпионов. Зачастую сотрудники компании без всяких задних мыслей копируют данные на мобильные носители с одной целью - спокойно поработать с ними дома. Однако такой носитель может быть потерян или же информация может быть украдена с менее защищенного домашнего ПК. Вот так, сам того не желая, человек может нанести своей компании огромный ущерб.

Именно поэтому любая фирма, которая действительно заботится о сохранности своей конфиденциальной информации, не должна ограничиваться только антивирусом, файрволом и надежными средствами идентификации пользователей. Необходима также и система, способная предотвратить утечку корпоративных данных. Между тем сегодня на этом рынке наблюдается некоторый недостаток готовых решений для защиты от инсайдеров. Одним из немногих продуктов, способных полностью взять на себя защиту корпоративной информации от внутренних угроз, является система безопасности SecretsSaver Corporate Pro, разработанная специалистами компании Smart Protection Labs.

Настройка системы SecretsSaver Corporate Pro
Настройка системы SecretsSaver Corporate Pro

Сразу стоит отметить, что система защиты информации SecretsSaver Corporate Pro работает только в локальных сетях, работающих под управлением Windows 2000/2003 Server. Впрочем, сегодня сложно найти компанию, которая использовала бы другую технологию. Управление системой безопасности может осуществляться как с самого сервера, так и с любой рабочей станции, работающей под управлением Windows 2000/XP/2003. Такой подход позволяет разделить обязанности системного администратора и ответственного за информационную безопасность. Это значит, что каждый из этих специалистов будет заниматься только своим делом. Причем технический персонал компании (в частности, системный администратор) лишается всякой возможности получить доступ к конфиденциальной информации.

Итак, всеми полномочиями по настройке SecretsSaver Corporate Pro обладает только один человек. Естественно, это должен быть сотрудник, который обладает доступом ко всем секретам фирмы. В некрупных компаниях управление системой защиты может взять на себя сам руководитель. Все настройки SecretsSaver Corporate Pro хранятся в зашифрованном виде. В качестве ключа криптографического преобразования используется специальный файл. Именно поэтому изменить настройки без него просто-напросто невозможно. Так что для защиты самой системы безопасности от несанкционированного доступа достаточно обеспечить безопасность файла с ключом. Сделать это лучше всего с помощью токена - специального аппаратного ключа с защищенной памятью. Файл будет храниться на нем, а само устройство - в сейфе компании или у ответственного лица. Настройка системы осуществляется с помощью специальной консоли, установленной на одном из компьютеров сети. Кроме того, на всех остальных ПК должны работать специальные агенты. Их инсталляция, а также деинсталляция осуществляется из консоли управления. Пользователи же не могут управлять загрузкой этого агента.

Принцип работы системы защиты информации SecretsSaver Corporate Pro основан на трех понятиях: уровень секретности данных, уровень допуска сотрудников и уровень допуска компьютера. С первой из них все просто. Информация может относиться к общедоступной, служебной и секретной категориям. Общедоступными являются все публичные документы. К служебным относятся файлы, с которыми постоянно работают многие сотрудники, но при этом их нельзя придавать огласке. Ну а секретная информация должна быть доступна только ответственным работникам.

Просмотр прав доступа
Просмотр прав доступа

С уровнем доступа сотрудников дела обстоят гораздо сложнее. Дело в том, что этот параметр, в свою очередь, состоит из трех частей: уровень доступа пользователя, уровень доступа по сети и уровень доступа к сменным носителям. Первая характеристика определяет максимальную степень секретности данных, с которыми данный человек может работать, второй - степень секретности информации, которую он может передавать по сети, ну а третий - степень секретности информации, которую он может копировать на какой-либо сменный носитель. Такое разделение позволяет очень тонко настраивать разрешения для разных групп работников компании. Для примера давайте возьмем бухгалтера. Большинство документов, с которыми он работает, имеют статус секретных, и только часть - служебных. Естественно, для работы с ними сотрудник также должен иметь "секретный" уровень доступа. Кроме того, почти наверняка база системы ведения бухгалтерского учета размещается на сервере локальной сети. Таким образом, уровень сетевого доступа для бухгалтера также должен быть установлен как секретный. Однако этому сотруднику нельзя разрешать выносить за пределы компании рабочие документы, за исключением некоторых форм. Поэтому у него должен быть установлен служебный уровень доступа к сменным носителям.

Принцип разделения уровня сотрудников на три части позволяет бороться с большинством известных на сегодняшний день опасностей. Так, например, практически полностью исключается угроза воровства секретной информации с помощью троянских коней или любого другого шпионского программного обеспечения. Ведь для того чтобы получить файл по сети, необходимо иметь достаточный для этого уровень доступа. То есть фактически система защиты информации регламентирует не только доступ пользователя к данным (это есть во всех операционных системах), но и ее перемещение между компьютерами и на мобильные носители. Естественно, это очень сильно осложняет деятельность инсайдеров.

Дополнительно к двум основным понятиям в рассматриваемой системе безопасности есть еще один, дополнительный. Речь идет об уровне допуска компьютера. Суть его заключается в следующем. Каждому компьютеру в локальной сети присваивается собственный класс допуска, который определяет, какой степени секретности документы могут попадать на него. То есть если бухгалтер из рассмотренного выше примера сядет, к примеру, за компьютер простого менеджера, то он не сможет открыть свои файлы, даже зайдя в систему под своим именем. И это правильно. Ведь на компьютере менеджера вполне могут работать, например, какие-нибудь программы-шпионы. Кроме того, нельзя забывать про следы, которые может оставлять информация в операционной системе. Таким образом, разрешение просмотра бухгалтерских документов только на компьютерах ответственных сотрудников имеет свой смысл.

Работа с журналом
Работа с журналом

Ну и напоследок отметим еще одну немаловажную особенность системы защиты информации SecretsSaver Corporate Pro. Оказывается, она ведет полный лог работы со всей информацией, имеющей статус выше общедоступной. То есть с помощью журнала и реализованного в нем механизма фильтрации записей ответственный за информационную безопасность сотрудник всегда может легко увидеть, кто и когда работал с теми или иными документами.

Вот, пожалуй, и все, что можно сказать о продукте SecretsSaver Corporate Pro. Как мы с вами, уважаемые читатели, убедились, эта система действительно позволяет с помощью несложных действий серьезно увеличить степень защиты документов от воровства со стороны сотрудников компании. Естественно, ее использование не дает стопроцентной гарантии безопасности, однако может осложнить работу злоумышленников, а при возникновении неприятных ситуаций облегчает поиск и наказание виновника.





Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.