Доклады, выступления, видео и электронные публикации
Подходы к построению системы защищенного применения служебных носителей информации.
Служебный носитель информации (СНИ) представляет собой портативное запоминающее устройство, которое использует в качестве носителя флеш-память, предоставляется сотруднику организацией и подключается к инфраструктуре информационной системы организации (компьютерам или иным считывающим устройствам) по интерфейсу USB с целью обработки (хранения, приема/передачи) корпоративной информации.
В основу построения системы защищенного применения СНИ положены результаты исследования следующих вопросов:
- с какой целью и каким образом сотрудники организаций используют СНИ? (мотивационные факторы);
- каковы основные угрозы безопасности информации, обрабатываемой с использованием СНИ? (сдерживающие факторы).
Исследование различных аспектов (прикладного; психологического; аспекта, связанного с защитой обрабатываемой информации) применения СНИ и выделение его характерных особенностей позволяют сформировать набор требований к системе защищенного применения СНИ:
1) должна быть сохранена принципиальная возможность реализации сотрудником прикладных целей:
- ограничение доступа к данным посредством определения порядка доступа к СНИ как к физическому устройству;
- распространение данных посредством выполнения адресной транспортировки;
- отложенное распространение данных в виде реализации контролируемого распространения данных, ранее размещенных на СНИ с целью ограничения к ним доступа;
2) должен быть сохранен высокий уровень «психологического обладания» технологией за счет удовлетворения потребностей сотрудников в автономности и контроле, безопасности, удовлетворении от использования технологии;
3) должны быть предусмотрены механизмы противодействия основным угрозам безопасности информации СНИ, в том числе хищению корпоративной информации, ее несанкционированной модификации и блокированию, а также внедрению с использованием СНИ вредоносного ПО.
Анализ мотивирующих и сдерживающих факторов показывает, что в настоящее время в отношении использования СНИ в организации с некоторой степенью условности имеет место «конфликт интересов»: сотрудник узурпирует функции управления доступом к информации СНИ, контролируя и распространяя ее по своему усмотрению, в то время как корпоративные интересы требуют противодействия возможности несанкционированного доступа к информации СНИ со стороны третьих лиц.
Предполагается, что в системе защищенного применения СНИ должен быть соблюден разумный баланс между мотивационной и сдерживающей составляющими.
Сложившаяся ситуация дает основания выдвинуть предположение, что система защищенного применения СНИ должна реализовывать разделение функций контроля между организацией и сотрудником: организация ограничивает множество компьютеров, на которых может быть осуществлен доступ к информации, а сотрудник контролирует процесс ее обработки в рамках ограничиваемого организацией множества компьютеров.
Для реализации данной концепции в общем случае может быть использовано два подхода. При этом в обоих подходах используются артефакты разделения функций контроля между организацией и сотрудником: защищенный сервер организации и портативное устройство сотрудника в форме специального носителя (СН) - аппаратного модуля, выполненного в форм-факторе флеш-диска с интерфейсом USB и предназначенного для ограничения доступа к корпоративной информации. Доступ к информации осуществляется исключительно в результате некоторого заданного управляющего взаимодействия между этими артефактами.
1 подход . Корпоративная информация хранится на USB-флеш-накопителе, входящем в состав СН. Доступ к корпоративной информации предоставляется только в результате выполнения следующих условий:
1) подключение СН к USB-порту рабочей станции;
2) успешная авторизация сотрудника на доступ к информации СН посредством ввода пароля;
3) взаимная аутентификация СН и защищенного сервера организации, размещенного в одном сегменте сети с рабочей станцией, посредством выполнения соответствующего криптографического протокола.
Характерными чертами данного подхода являются:
- доступ к данным не может быть получен без ведома сотрудника (сохраняется положительное влияние эффектов, связанных с «психологическим обладанием» и реализацией прикладных целей сотрудника);
- доступ к данным СН осуществляется сотрудником только на компьютере организации, подключенным к сегменту сети организации, в который включен соответствующий сервер аутентификации;
- имеется возможность ограничить использование в организации посторонних СН за счет использования процедуры эмиссии СН;
- имеется возможность расширения числа компьютеров, на которых может быть получен доступ к данным СН, за счет регистрации последнего в дружественных сегментах сети с явного разрешения организации (это может быть удобно, например, если есть необходимость передачи корпоративной информации на СН между филиалами организации, не включенными в единую сеть);
- имеется возможность ограничения числа компьютеров, на которых может быть получен доступ к данным СН, даже внутри сегмента сети, в который включен соответствующий сервер аутентификации;
- конфиденциальность информации сохраняется в случае выноса СН за пределы организации;
- имеется возможность противодействия несанкционированной модификации и блокированию информации СН за счет использования процедуры авторизации сотрудника перед получением доступа к данным;
- существенно затруднено распространение посредством СН вредоносного ПО, поскольку множество компьютеров, на которых имеется возможность получения доступа к информации СН, ограничено сегментами сети организации;
- затруднена реализация угрозы восстановления остаточной информации СН, выведенных из употребления, сданных в ремонт, на обслуживание, переданных для использования другим пользователям или для использования за пределами ИС;
- имеется возможность реализации прозрачного шифрования корпоративной информации, записываемой на СН, и расшифрования в момент считывания после выполнения процедур авторизации и аутентификации;
- так же как и при использовании «традиционных» USB-флеш-накопителей, максимальный объем обрабатываемой корпоративной информации ограничен емкостью флеш-диска СН, и в том случае, если корпоративная информация хранится на СН в единственном экземпляре, потеря или кража СН приводит к нарушению доступности информации (однако с сохранением свойства конфиденциальности).
2 подход . Корпоративная информация хранится в каталоге на защищенном сервере организации. Доступ к корпоративной информации предоставляется в результате выполнения следующих условий:
1) подключение СН к рабочей станции;
2) успешная авторизация сотрудника на доступ к информации на сервере посредством ввода пароля;
3) взаимная аутентификация СН и защищенного сервера, на котором зарегистрирован СН, посредством выполнения соответствующего криптографического протокола.
При использовании данного подхода СН не содержит корпоративную информацию и в простейшем случае может представлять собой аппаратный ключ, предназначенный для получения доступа к ней со стороны авторизованного пользователя. В более сложных реализациях СН может выступать в качестве носителя «персональной рабочей среды» пользователя, в состав которой могут входить ОС, набор необходимых для обработки информации приложений, криптографические ключи для организации защищенного взаимодействия с хранилищем и другие компоненты.
Для описываемого подхода характерны большинство свойств, перечисленных выше для первого подхода, включая сохранение положительного влияния эффектов, связанных с «психологическим обладанием» (в силу того, что без СН невозможно получить доступ к определенной для него корпоративной информации, имеют место предпосылки, связанные с автономностью, контролем, безопасностью и получением удовлетворения от использования СН) и реализацией прикладных целей сотрудника.
К числу существенных отличительных особенностей второго подхода следует отнести следующие:
- потеря или кража СН не приводит к нарушению конфиденциальности, целостности и доступности (если реализован механизм восстановления утраченного СН) корпоративной информации;
- невозможна реализация угрозы восстановления корпоративной информации СН, выведенных из употребления, сданных в ремонт, на обслуживание, переданных для использования другим пользователям или для использования за пределами ИС, поскольку СН не содержит корпоративной информации;
- исключено распространение посредством СН вредоносного ПО, поскольку отсутствует возможность сохранения информации в памяти СН;
- преднамеренное осуществление сбоев, внесение неисправностей, уничтожение СН не приводит к нарушению целостности и доступности корпоративной информации (если реализован механизм восстановления испорченного СН);
- максимальный объем корпоративной информации, обрабатываемой с использованием СН, ограничен только размерами выделенного хранилища на сервере;
- отсутствует возможность расширения числа компьютеров, на которых может быть получен доступ к корпоративной информации за счет регистрации СН в дружественных сегментах сети - отсутствие сетевого подключения между сегментами в этом случае является решающей преградой. Следует отметить, что данное условие представляет собой существенное ограничение, во многом противоречащее традиционному представлению о функциональности USB-флеш-накопителей.
Автор: Лыдин С. С.
Дата публикации: 01.01.2012
Библиографическая ссылка: Лыдин С. С. Подходы к построению системы защищенного применения служебных носителей информации // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая 2012 года, Суздаль (Россия). М., 2012. С. 167–169.
Метки документа:
секрет
флешки и usb-накопители
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.