[xeel]

Решение, которое видел в реальной жизни в одной компании - на входе в офис сдаются телефоны, флэшки, дискетки и т.д. и т.п. на хранение у охранника. Если в офисе у тебя увидят вышеобозначенный девайс - увольнение.
Еще один вариант - заклеить все порты номерными голографическими наклейками и регулярно их сверять, нарушена целостность - уволнять сотрудника.
Далее - отключение портов в БИОСе. Опечатывание аналогичными наклейками системных блоков (чтобы нельзя было его вскрыть и сбросить БИОС).
Установка аппаратных средств защиты а-ля Аккорд-АМДЗ.
Вход в домен - по смарткартам.
В идеале - вообще установка на рабочих местах терминалов с запуском по смарткарте (например с использованием серверов и терминалов Sun).
Вроде все, больше идей нет.
А, ну ещё разумеется, установка аудита на все события - чтобы можно было выяснить кто и что делал.

Ну а если IMHO - вынести всё равно получится (например - разобрать системник и вынуть винт - и идёт вся защита в одно место). Вопрос в том, что об этом смогут узнать. Защита от инсайдера, особенно если в их число входит и администратор сети - это большая головная боль.
Кстати, про администратора - его пароль можно разделить на 2 части - одну знает он, вторую - руководитель предприятия (или руководитель службы безопасности). Чтобы даже он ничего сам не мог сделать.

[xoxmodav]

ИМХО, как аксиому следует принять следующую истину - абсолютной защиты - НЕТ, во все времена на любую защиту всегда находились пути её обхода - от самого простейшего до насложнейшего. Можно залить USB-порты клеем, выпаять контакты на материнской плате (хотя гарантировать работоспособность после этого не могу), поставить металлодетектор на входе, устраивать обыск сотрудников на входе-выходе... да и ещё много чего можно, однако на личном опыте уже в студенческую пору неоднократно наблюдал такие трюки, которые тогда даже самому изощрённому в борьбе с нами администратору в голову не приходили...

Пример - рабочая станция без CD, DVD, FDD, опечатанный корпус системника, USB-порты отключены в BIOS.
Решение - аккуратно вынимается всего ОДНА заглушка на лицевой панели, через полученное отверстие подключается принесённый с собой жёсткий диск. Загружается ОС - информация сливается на HDD, компьютер выключается, жёсткий диск извлекается, заглушка ставится на место. Вуаля - и всё как ничего не бывало.

P.S. Правильное разграничение доступа к информации, прав пользователей, можно даже попробовать отследить и удалить из ОС все драйвера переносных носителей информации и т.п. Главное - постоянно следить за новыми методами защиты и появляющимися методами её обхода.

[babki]

Цитата:

Далее - отключение портов в БИОСе. Опечатывание аналогичными наклейками системных блоков (чтобы нельзя было его вскрыть и сбросить БИОС). Установка аппаратных средств защиты а-ля Аккорд-АМДЗ.

Дело в том что просто опечатать порты не получится, с течением времени к ним нужно подключать устройства например сканеры, ключи аппаратной защиты, а отключение через биос не дает положительного эффекта, потому что есть универсальные пароли на определенные версии Биос.
Был случай человек вообще притащил компьтер из дома и подключил к локальной сети, а в сети есть общедоступные папки. При желании можно было все утащить. Вот возможно ли сделать так чтобы подключение нового компоютера к локальной сети было в принцпе невозможно, то есть чтобы он не видел компьютеры домена и они его тоже...

[xeel]

to: xoxmodav В приведённом тобой примере для защиты достаточно было в БИОСе отключить все винты, кроме того, который уже был установлен, а не оставлять автоопределение, которое стоит по умолчанию.
to: babki
1. Проблема с универсальными паролями на БИОС решается его перепрошивкой.
2. В БИОСе отключаются все порты и выставляется загрузка только с жесткого диска.
3. С помощью локальных политик безопасности настраиваются права пользователей, в т.ч. - запрет на создание сетевых ресурсов. Кроме того - на всех компах, кроме сервера запрещается всем доступ по сети.
4. Далее - в группу локальных админов на каждом компе включается доменный админ. Встоенной учётной записи админа локальными политиками запрещается все, что можно запретить. Поясню, для чего - если человек сбросит БИОС, разобрав системник (а от этого можно защититься только поставив системник в сейф ), то он сможет загрузиться с дискетки и сбросить пароль любому локальному пользователю (в т.ч. - и встроенному админу). А вот если этому пользователю вход в систему будет запрещён - то и пусть себе сбрасывает хоть 100 раз.
5. По поводу притащил комп из дома - с этим на самом деле сложнее всего. Тут уже проще сделать это все-таки организационно, а не программно - если есть такие требования к защите информации - значит необходимо ввести запрет на внос системников и ноутбуков и заставить охрану это отслеживать, переведя всю отвественность на них. Честно говоря - других идей просто нет. Поскольку даже если вы установите аппаратные фильты пакетов сетевого уровня (ФПСУ-IP и им подобные) и разрулите доступ по IP-адресам - то достаточно будет просто поставить принесённому компу один из IP-адресов компов, существующих в сети. Правда, честно говоря, плотно с подобными вещами не работал - вполне возможно, что там можно разрулить и по MAC-адресу. Вот в этом случае - фиг чего получится, если комп будет другой, а на всех ваших компах сетевая плата будет интегрирована в мать (чтобы нельзя было её переставить в принесённый системник).

Еще раз повторю уже высказанную мысль - в случае, если предъявляются подобные требования к информационной безопасности - гораздо логичнее рассматривать сеть, построенную с использованием терминалов вместо персональных компьютеров.

[amel27]

babki

Цитата:

Дело в том что просто опечатать порты не получится, с течением времени к ним нужно подключать устройства например сканеры, ключи аппаратной защиты

и в чем проблема?.. отклеил номерную ленту, подключил сканер, зафиксировал соединение новой лентой и сделал отметку в соответствующем журнале. Правда в том, что нельзя добиться требуемого уровня безопасности только средствами информационных технологий без привлечения организационных методов и без утверждения на уровне руководства "политики безопасности предприятия", обязательной для исполнения каждым сотрудником.

[Игорь Лейко]

babki

Цитата:

ПРограммы типа deviceLOck тоже не обеспецивает нужной безопасности, потому что можно подобрав пароль к BIOS подлкючить USB порты, затем загрузить с флеш карты свою операционную системы и также вынести информацию.

При включенном шифровании NTFS - не вынести.
А в висте поддержка BitLocker есть...

[xoxmodav]

xeel

Ещё задолго до твоего рождения была сформулирована аксиома - "Никогда нельзя недооценивать противника". Постоянно совершенствуются как методы взлома и обхода, так и методы самой защиты.

Пример я привёл чисто для наглядной иллюстрации. Из него можно понять, что опечатывание корпуса сзади - далеко не панацея. Вынув заглушку на лицевой панели, можно также достать батарейку (для этого не надо быть фокусником) и сбросить BIOS, потом подключить и загрузиться с принесённого HDD и слить на него информацию с HDD, стоящего на этой машине (куда можно залить всё доступное из сети). Или же поключить ещё один винт с файловой системой FAT, которая не поддерживает шифрование и на него слить всё нужное из сети. После чего через пару дней подойти к администратору и сказать с глупым выражением лица, что при загрузке компьютера выдаются какие-то непонятные сообщения. В результате ты, как администратор, даже не поймёшь, что произошло.

По пункту 4. Если он сбросит пароль локального админа, то запросто сможет зайти локально и ты его уже никакими групповыми политиками не ограничишь. Также можно блокировать выполнение пользовательской части групповой политики домена путём замыкания в локальной политики, да и остальные настройки тоже можно поковырять. И если в настроенной тобой групповой политике домена эти параметры не будут заданы явно, то при загрузке ОС... увы...

Описанными тобой методами можно бороться с обыкновенными пользователями, человек хорошо и основательно разбирающийся в устройстве самой ОС и системах защиты без особого труда обойдёт всё выше тобой описанное. Защита информации никогда не являлась лёгкой работой, механизм которой можно было настроить однажды и он мог исправно и бесперебойно функционировать, обеспечивая 100% уровень безопасности и надёжности на все времена. Человеческий фактор, социальная инженерия, низкий уровень подготовки сотрудников и многое другое дадут злоумышленнику обойти все поставленные тобой ловушки и запреты.

P.S. Думаю, стоит эту тему уже в "Информационную безопасность" переносить.

[babki]

Цитата:

При включенном шифровании NTFS - не вынести. А в висте поддержка BitLocker есть...

А вот NTFS ставить на локальные машины вообще не хочется. но к этому поддталкивает ограничение на размер файлов системы FAT32. Во первых сам пользователь может так свои данные зашифровать, что потом и сам никогда не расшифрует. В случае краха системы, что бывает не так уж редко, нужно чтобы доступ к данным был не закрыт.

Все таки в серьезных организациях типа банков ведь такие системы существуют. Или же там все решатеся видеонаблюдением и сильнейшими административными методами? хотел бы послушать мнение человека , работающего в таких структурах...
Есть одна идея но не знаю как ее реализовать: например есть компьютер в сети(на нем подключены дисководы, записывающие СD-rom, флеш карта и другие устройства ввода/вывода), его видит любой пользователь домена, любой пользователь домена можен на этот компьютер поместить свою информацию и забрать с него ТОЛЬКО СВОЮ информацию,НО на ее удаление он не имеет никаких прав. ПОльзователь помещает через сеть на это компьютер свои данные для выноса, затем садится за этот компьютер локально со своим доменным логином, входит в систему и ему предоставляется для записи данные только с этого компьютера. НО как сделать так чтобы человек с этого компьютера не смог видеть доступные для него в сети данные? ТО есть нужно чтобы компютер входил в домен но не видел ни контроллера домена, ни других компьютеров домена, даже при явном подключение к ресурсам типа \\Server\share$.
А затем в в течение месяца накопленная информация для выноса каждым пользователем анализируется.

[xoxmodav]

babki

Реализуй на нём сетевой ресурс с разграничением прав доступа. Хотя не пойму - какая разница, что он туда скопирует, что из сети заберёт. Где ты найдёшь столько времени, чтобы просматривать каждый файл, который они оттуда скидывают? А методов внедрения зашифрованной информации в файлы картинок, звуков и т.п. уже существует достаточно, т.е. тебе придётся анализировать АБСОЛЮТНО все файлы - а это ИМХО - страшный сон администратора безопасности.

По поводу шифрования - чтобы ничего не потерялось, необходимо хранить пользователям важные данные на правильно настроенном файловом сервере, так как там доменный администратор имеет право сброса и изменения разрешений EFS (скорее всего он и на рабочих станциях домена имеет такие же полномочия).

Когда в организации всплывает вопрос об информационной безопасности, надо понимать принципы её построения. Вот пирамида, вершины которой напрямую зависят друг от друга:

Цитата:

.........................................финансовые затраты ......................................../...................................\ удобство пользователей------------------------------уровень безопасности

Теперь тебе необходимо определить каждой из трёх вершин. например при доминировании одной из вершин остальные подстраиваются под неё (пример - доминирует только "Уровень безопасности", тогда резко увеличиваются "Финансовые затраты" и сильно уменьшается "Удобство пользователей").

Потом происходит этап планирования и создания документа, в ктором детально рассматриваются и оговариваются вопросы безопасности, меры пресечения, как всё это будет реализовываться, административные наказания, привлечение к уголовной ответственности, планируется служба охраны, контролирующая внос/вынос накопителей и т.п., и многое-многое другое.

Затем, основываясь на этот документ, происходит развёртывание и реализация. Также в это время ищутся недочёты, недосмотры и исправляются.

После всех этапов служба безопасности, администраторы безопасности, системные администраторы постоянно следят за данной системой, в случае необходимости производя её модернизацию или внося изменения. И этот процесс практически бесконечен, почти как круговорот воды в природе.

xeel
MAC-адрес уже давно не критерий безопасности, его можно изменить.