14.03.2001

Храните секреты на секретных томах

Конфидент, № 2/2001, Наталья Боровикова

Похищение корпоративной информации может нанести очень серьёзный ущерб. С этим никто не спорит, однако меры, принимаемые по её защите, далеко не всегда достаточны и эффективны.

Можно выделить несколько типов угроз безопасности корпоративных данных. Во-первых, атаки через Интернет. Сегодня работа со Всемирной паутиной для многих компаний – это повседневная необходимость. Но не все осознают, что это и палка о двух концах: недостаточная защищённость компьютера или целой сети может привести к заражению вирусами или обеспечит "лазейки" хакерам. Печальным итогом легкомысленного отношения к проблеме безопасности может стать не только искажение или уничтожение информации, но и её похищение. Алгоритм работы программных закладок, "засылаемых" на компьютер и передающих данные злоумышленнику (или, в лучшем случае, просто развлекающемуся хакеру), отлично известен, тем не менее, иногда проходят недели, прежде чем выяснится, что что-то не так. Особенно неприятно, если руководство компании обнаруживает это, увидев вывешенные на каком-нибудь сайте на всеобщее обозрение корпоративные данные для служебного пользования или же свою личную переписку. Второй тип угрозы – несанкционированный доступ непосредственно к компьютерам компании.

Западные средства массовой информации буквально каждый день сообщают о похищениях ноутбуков, а иногда даже и рабочих станций и серверов с ценной конфиденциальной информацией.

Не стоит недооценивать и человеческий фактор – едва ли не в любой крупной компании найдётся человек, готовый по тем или иным причинам продать информацию, не предназначенную для чужих ушей и глаз. Если у каждого сотрудника есть свой пароль для входа в корпоративную сеть, если он имеет доступ не ко всем разделам сервера или не ко всем файлам, всё равно не существует гарантии, что злоумышленник не воспользуется чужим логином и паролем для того, чтобы добыть необходимые ему данные. Одним из наиболее эффективных способов борьбы с этой проблемой, конечно, является чёткая кадровая политика компании.

Однако и компании, уделяющие кадровому вопросу достаточно внимания, не чувствуют себя в полной безопасности. Проблема защиты корпоративной информации особенно остро стоит перед крупными компаниями, чья корпоративная сеть насчитывает десятки компьютеров, а работа кадровой службы осложнена из-за большого количества работающих в ней сотрудников. Обычно для организации крупной корпоративной сети пользуются операционной системой Novell NetWare.

Именно для таких компаний Aladdin Software Security R.D. предлагает идеальное решение – Secret Disk Server. Это отличный инструмент для защиты информации, хранящейся и обрабатываемой на серверах. С помощью этой системы можно легко организовать безопасное хранение конфиденциальных данных. Уникальность Secret Disk Server в том, что он обеспечивает защиту при несанкционированном проникновении в помещение, где стоит сервер: конфиденциальная информация окажется недоступной, если сервер "унесут" или внезапно нагрянут нежданные "гости".

Что же представляет из себя "хранитель секретов" Secret Disk Server? Эта система обеспечивает защиту данных, расположенных на отдельных томах сервера NetWare (кроме системного тома SYS). Защита данных осуществляется полным поблочным шифрованием. После установки системы для пользователей сервера и работающих на нем программ ничего не меняется, однако информация, содержащаяся на ашифрованных томах, становится недоступной для обычного считывания.

Запуск системы и шифрование/дешифрование томов производятся с системной консоли сервера Novell NetWare. Для того чтобы начать работу, необходима активизация (монтирование) томов. Администратор системы вводит в подключенный к серверу картридер1[1] смарткарту, на которой содержатся ключ шифрования и пароль. Только затем расположенная на томах информация становится "видимой".

Таким образом, для доступа к конфиденциальным данным необходимо пройти  двухуровневую идентификацию: предъявить смарткарту с ключом шифрования и ввести пароль доступа к памяти карты. Активизировать защищённые тома можно в любое время – даже после загрузки сервера. В дальнейшем работа с ними происходит следующим образом: при записи информация зашифровывается, а при чтении расшифровывается с применением рабочего ключа шифрования, то есть осуществляется "прозрачное" шифрование данных. В случае если тома размонтированы, даже при наличии программной закладки информация, переданная по Интернету хакеру, не сможет быть им расшифрована.

При монтировании зашифрованных томов средствами Secret Disk Server для NetWare их содержимое предстает для пользователей сети как бы в исходном, незашифрованном виде, то есть с содержимым томов можно работать так, как если бы они не были зашифрованы. Информация, сохраняемая пользователями на защищённом томе во время работы, автоматически зашифровывается. "Отключение" зашифрованных разделов происходит при выключении сервера, а также если оператор или уполномоченный пользователь послал сигнал "Тревога". При получении системой этого сигнала все рабочие ключи шифрования стираются из памяти сервера, защищённые тома размонтируются, и после этого доступ к ним невозможен без повторного введения ключей со смарткарты. При подаче сигнала может использоваться "горячая" комбинация клавиш или внешние устройства (например, "красная кнопка", входящая в комплект поставки системы, радиодатчики и др.).

Таким образом, система защиты данных Secret Disk Server обеспечивает:

  • хранение данных в зашифрованном виде
  • сохранность информации при попытке физического доступа к серверу или носителям без смарткарты (которая хранится у администратора сети) и PIN-кода

Secret Disk Server для NetWare предоставляет следующие возможности:

  • зашифровывать/расшифровывать тома
  • получать доступ к зашифрованным томам, при этом без активизации этих томов с помощью правильных ключей шифрования работа с ними невозможна
  • осуществлять управление ключами шифрования, хранящимися на смарткартах, генерацию ключей, их резервное копирование и т. д.
  • по специальному защищённому паролем сигналу (сигнал "Тревога") переводить защищённые тома в неактивное состояние.

В Secret Disk Server может быть использован встроенный алгоритм кодирования с длиной ключа 128 бит, эмулятор платы "Криптон", производимой фирмой "АНКАД", а также любой алгоритм шифрования по выбору пользователя. Система имеет открытый интерфейс криптопровайдера, позволяющий использовать любые криптоалгоритмы.

Secret Disk Server для NetWare поставляется в нескольких вариантах: на 10, 25 и 50 пользователей, подключённых к защищённым томам; есть также неограниченная лицензия. Кроме того, существует аналогичная версия Secret Disk Server для Windows NT, 2000. Для ознакомления с возможностями системы служит пробная версия.

Все публикации