Варианты защиты конфидециальной информации от сисадмина???

Обсуждение технических вопросов по продуктам Novell

Варианты защиты конфидециальной информации от сисадмина???

Сообщение Konstantyn » 10 мар 2004, 14:03

Дело обстоит так:
Есть сеть с NW серверами, администрирование рабочих станций происходит с наиполнейшим доступом (удаленное управление через ZEN либо другими средствами.....это не важно)
Возникает вопрос, как и где хранить информацию конфиденциального характера, к которой не сможет получить доступ администратор (тоесть я :roll: ). Начальники и директора всякие имеют всяческие файлы, к которым должны иметь доступ только они!!! Тоесть иметь какую-либо область, скажем на локальной машине или на сервере, но чтобы паролем я не рулил,и не имел туда доступ (может шифрование какое....) Есть конечно всяческие сторонние продукты типа FolderGuard и т.д. , но хотелось бы решить этот вопрос на уровне сети NetWare.
В шестом NW есть такая вещь, как IFolder, но, помоему она эту проблему не решает...
Может есть у кого подобный опыт или хотябы идеи?!!!
Konstantyn
 
Сообщения: 48
Зарегистрирован: 22 янв 2004, 13:12
Откуда: Челябинск

Re: Варианты защиты конфидециальной информации от сисадмина?

Сообщение Сергей ака godless » 10 мар 2004, 14:23

Konstantyn писал(а):Дело обстоит так:
Есть сеть с NW серверами, администрирование рабочих станций происходит с наиполнейшим доступом (удаленное управление через ZEN либо другими средствами.....это не важно)
Возникает вопрос, как и где хранить информацию конфиденциального характера, к которой не сможет получить доступ администратор (тоесть я :roll: ). Начальники и директора всякие имеют всяческие файлы, к которым должны иметь доступ только они!!! Тоесть иметь какую-либо область, скажем на локальной машине или на сервере, но чтобы паролем я не рулил,и не имел туда доступ (может шифрование какое....) Есть конечно всяческие сторонние продукты типа FolderGuard и т.д. , но хотелось бы решить этот вопрос на уровне сети NetWare.
В шестом NW есть такая вещь, как IFolder, но, помоему она эту проблему не решает...
Может есть у кого подобный опыт или хотябы идеи?!!!


ИМХО это может решить PGP-Disk например ... Хранятся криптовники на серврере, при необходимости пользователь обращается к нужному файлу и подключает его как диск ...
Минусы - надо поставить на каждую машину PGP-модули ...

Но опять же ИМХО сисадмин должен мочь всё ... Они же к тебе прибегут если что то удалили, а тут такая незадача ... Но хозяин - барин ... У меня это решается так.

P.S. В самом NW чего то спрятанного от Супера нет, по определению быть не может, как в линухе от рута ... ;-))
"И да будет так ..." - как говаривал король Артур ...
Аватара пользователя
Сергей ака godless
 
Сообщения: 559
Зарегистрирован: 17 сен 2003, 15:38
Откуда: Moscow

Сообщение Музалёв Николай » 10 мар 2004, 17:07

Некоторое время тому были, но широкого распространения не успели получить, съемные жесткие диски. Нонешний вариант - USBшные флешки или те же внешние накопители. Это по поводу хранения.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3026
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Андрей Тр. aka RH » 11 мар 2004, 03:29

Для повседневного администрирования пользоваться своим личным аккаунтом ( с расширенными по сравнению с рядовым юзером правами - на большинство объектов в NDS, например, но с ограниченными на ФС ). Admin'ом пользоваться в редких случаях типа установка нового сервера и т.п. - когда это действительно нужно. Пароль, соответственно, где-то хранится и доступен по необходимости. В том же Линуксе постоянная работа под рутом - нонсенс, тут не вижу большой разницы.

"Ленивый" вариант - действительно, USB флэшки, бывают еще с каким-то шифрованием. Впрочем, это не остановит от удаленного подглядывания в Zenworks - при наличии достаточных прав.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Михаил Григорьев » 11 мар 2004, 13:09

Андрей Тр. aka RH писал(а):"Ленивый" вариант - действительно, USB флэшки, бывают еще с каким-то шифрованием. Впрочем, это не остановит от удаленного подглядывания в Zenworks - при наличии достаточных прав.


Есть флэшки с возможностью установки пароля на открытие, НО вот шифруются ли данные это непонятно, думаю нет.

По поводу подглядывания, дык и при использовании PGP если диск смонтирован то можно с помощью элементарного telnet'а юзать этот диск и копить с него все.

Идеальный вариант это комп в сейфе + отсутствие связи с внешним информационным миром (ИНет, лок-я сеть и т.д.)
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1461
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Larico » 11 мар 2004, 14:08

Подобные вопросы обсуждаются уже давно и пока безрезультатно (готового решения никто не предложил).
А для разговора с администрацией я обычно применяю следующий довод:
Ведь Вы когда приходите к доктору с проблеммой, и он вас осматривает нет речи что-либо ему не показать??? Вот также и в сети. Администратор - как доктор для сети. Он должен иметь доступ к "телу" всегда и везде. И прятать что-либо от него - себе дороже.
Аватара пользователя
Larico
 
Сообщения: 974
Зарегистрирован: 13 май 2003, 13:57
Откуда: Матрице все равно .....

Сообщение Сергей ака godless » 11 мар 2004, 15:20

Григорьев Михаил писал(а):Идеальный вариант это комп в сейфе + отсутствие связи с внешним информационным миром (ИНет, лок-я сеть и т.д.)


:lol: Тогда уж идеал - компашка в сейфе, затёртая до нечитаемого слоя ... Её невозможно прочитать, но главное - чтоб врагу не досталось !! будет достигнуто .... :lol:
"И да будет так ..." - как говаривал король Артур ...
Аватара пользователя
Сергей ака godless
 
Сообщения: 559
Зарегистрирован: 17 сен 2003, 15:38
Откуда: Moscow

Сообщение Андрей Тр. aka RH » 11 мар 2004, 15:55

А по-моему, желание конфиденциальности хранимой информации - вполне нормальное явление. Не вижу, за каким таким .. надобностью .. в повседневной спокойной жизни отделу ИТ обязательно нужно иметь возможность везде соваться. Себе же легче будет ! А то иной раз такое узнаешь .. а undo уже никак ..
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Сергей ака godless » 11 мар 2004, 16:05

Андрей Тр. aka RH писал(а):А по-моему, желание конфиденциальности хранимой информации - вполне нормальное явление. Не вижу, за каким таким .. надобностью .. в повседневной спокойной жизни отделу ИТ обязательно нужно иметь возможность везде соваться. Себе же легче будет ! А то иной раз такое узнаешь .. а undo уже никак ..


Строгое ИМХО, но IT служба на данный момент на предприятии - одна из главенствующих. Да и ответственности побольше чем у многих. Не все руководители с этим пока соглашаются, но проходит это. Спросят то в случае чего с кого ? Правильно, с IT-шника, ему и по шапке дадут если что не так. Если информация имеет отношение к работе - IT должны иметь возможность с ней работать, возможно только операции бакапа, но должны. А если к работе отношения не имеет - дома хранить и отвечать за сохранность и легитимность самостоятельно. Нефиг на рабочих машинах создавать секретные службы.
"И да будет так ..." - как говаривал король Артур ...
Аватара пользователя
Сергей ака godless
 
Сообщения: 559
Зарегистрирован: 17 сен 2003, 15:38
Откуда: Moscow

Сообщение Андрей Тр. aka RH » 11 мар 2004, 17:12

Сергей ака godless писал(а):Если информация имеет отношение к работе - IT должны иметь возможность с ней работать, возможно только операции бакапа, но должны. А если к работе отношения не имеет - дома хранить и отвечать за сохранность и легитимность самостоятельно. Нефиг на рабочих машинах создавать секретные службы.
Разумеется, речь про сугубо служебную информацию. Конечно, абы кого в ИТ-службу не набирают .. но даже в плане защиты от несанкционированного доступа ( кто-то узнал твой пароль .. да много есть сценариев на эту тему, и все неприятные ) логиниться постоянно с правами на все просто глупо. Можно привести массу примеров конфиденциальной инфы - информация о тендерах, зарплате и премиальных :) истории болезни пациентов ( "когда я работал в маленькой психиатрической больнице .." .. :roll: у военных .. ) ..

А бэкап у нас выполняется автоматически, ночью, на сервере .. при этом как бы никому никуда и логиниться не надо.

Все вышесказанное - ИМХО !
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Alexander Kulakov » 11 мар 2004, 18:55

В дополнение к сказанному хотелось бы добавить следующее: проблема защиты информации не решается каким-либо одним средством. Помочь может только комплекс организационно-технических мер. И, как правило, это дорого и неудобно. Причем чем выше степень защиты, тем более дорого и еще более неудобно. Если есть что защищать - вперед. Если это просто для выпендрежа и подешевле - PGP создаст нужный эффект. Мысли не новы и даже банальны, в любой книжке по безопасности такое можно прочитать.
ИМХО без криптозащиты в том или ином виде проблема не решается вообще. Только пока ключ от зашифрованного файла лежит у меня в сейфе и сгенерирован был лично мной - можно спать спокойно. Ну, а шифровать/расшифровывать - на ноутбуке с питанием от аккумуляторов в экранированном помещении. А затем подчищать на диске tmp, swap и т.п. А ноутбук после работы - в сейф с самоликвидатором :-))) То есть еще цепочка оргмероприятий. И это еще ничего не сказано про управление ключами и сопуствующие проблемы.
Чтобы вовремя остановиться и не доводить систему до абсурда, есть хороший принцип: стоимость прокорма собаки не должна превышать стоимости охраняемого ею имущества.
Alexander Kulakov
 
Сообщения: 26
Зарегистрирован: 23 сен 2002, 09:40
Откуда: г.Феодосия

Сообщение Музалёв Николай » 11 мар 2004, 20:36

И это еще ничего не сказано про....

то, как-где-кто-почём будет хранить копии ваших документов? Что , действительно
в сейф с самоликвидатором

??
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3026
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Мещеряков Андрей » 12 мар 2004, 00:23

Тема немножко надумато. Достоинство сетей с четко выделенным сервером - наличие абсолютно своего, нерасшаренного локального диска, что снимает проблему локального "хакинга" , которым любят пугать "компьютерщики" (люди без основополагающих знания, но знающие, однако, на какую клавиш надо топнуть, что б получить банан или яблоко :) ). Не пускайте к машине случайных людей с улицы - и все будет хорошо.. с высокой вероятностью :) . Удаленное управление через ZEN или что-то другое проблемы создавать не должно, т.к. ключи от них хранятся известно где. Опять ничего нового: достойно обращайтесь с ИТ - персоналом, не толкайте его на торговлю чужими секретами - и все будет хорошо.. с высокой вероятностью :) . Написание троянских коней и прочего эксклюзива - а Вы подумали, стоите ли Вы этого :) . Ну, а если к этому добавить шифрование :lol:
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Alexander Kulakov » 12 мар 2004, 10:37

Музалёв Николай писал(а):
в сейф с самоликвидатором

??

Это просто доведение до абсурда идеи заранее продуманных мер по ликвидации информации в случае угрозы физического захвата носителей. Взрывчатка не обязательна. Есть масса более тихих и законых способов: электромагнитный импульс, высокая температура, механическое разрушение, ванна с кислотой, наконец. Если есть что прятать - все средства хороши. В основном это актуально для носителей с ключами и носителей, где потенциально могла находиться нешифрованная информация даже временно. Ну, а копии зашифрованных файлов пусть себе лежат на сервере и бэкапятся штатными средствами.
Alexander Kulakov
 
Сообщения: 26
Зарегистрирован: 23 сен 2002, 09:40
Откуда: г.Феодосия

Сообщение Роман Полукаров » 21 мар 2004, 18:06

А не попробовать ли хранить это в библиотеке GroupWise ?
Роман Полукаров
 
Сообщения: 34
Зарегистрирован: 30 сен 2002, 19:30
Откуда: г.Новомосковск

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6