Шифрование информации на основе профилей пользователей – что это значит и для чего это нужно?

В предыдущем посте было представлено некое введение в профили пользователей, и мы подробно рассматривали различные методы шифрования с пояснениями всех плюсов и минусов каждого метода. В данной статье остановимся на сути метода шифрования на основе профилей пользователей и попытаемся простым и понятным языком изложить важнейшие преимущества данного метода.

Работа современного человека на компьютере сопряжена с техническими операциями обработки большого объёма разнородной информации. Большая часть технологического процесса при этом спрятана от пользователя с целью сделать работу с программами более простой для него. Например, открывая файл документа в программе MS Word, мы считаем, что документ просто будет раскрыт, как реальная книга, после чего нам будут показаны страницы текста этого документа. В реальности такое простое пользовательское действие реализуется массой скрытых технологических операций. Создаётся целый набор временных технологических параметров, а информация из исходного документа порционно копируется/помещается в временные файлы. Таким образом, конфиденциальная информация из документа копируется и фиксируется в дополнительных так называемых .tmp файлах. Конечно же, копируемая и фиксируемая информация не становится от этого менее важной или менее конфиденциальной, поэтому для защиты всех этих объектов хранения информации необходимо применять криптографическую защиту.

Технологическое разделение среды обработки информации создаёт два мира:

• мир пользователя – набор файлов, который видит и воспринимает пользователь;
• реальный мир – набор файлов, которые в действительности содержат обрабатываемую конфиденциальную информацию или её фрагменты.

Соответственно, полноценной криптографической защите информации, которая бы гарантировала отсутствие утечек, должны подлежать абсолютно все объекты, в которых может храниться и обрабатываться конфиденциальная информация. Ориентировочный перечень таких объектов:

• файлы документов;
• временные файлы офисных приложений;
• временные файлы почтовых приложений;
• файлы подкачки операционной системы Windows;
• остаточная информация, после удаления файлов документов или .tmp.

Одно дело теоретическая декларация об эффективности защиты, другое – реальное обеспечение этой защиты. Современному специалисту службы безопасности приходится знать, учитывать и даже предугадывать все возможные места расположения файлов/временных файлов, которые содержат конфиденциальную информацию. Но что делать в случае, если в организации компьютеров, которые необходимо защитить, несколько сотен или даже тысяч? Возникает непосильная задача определения объектов защиты на множестве компьютеров.

Secret Disk от компании "Аладдин Р.Д." помогает решить эти и многие другие задачи с определённым набором преимуществ для бизнеса.

Очевидно, что без определённой унификации подхода к определению границы защищаемого объекта тут не обойтись. И на помощь приходит метод профилирования пользовательской информации. Администратор единожды создаёт конфигурацию объекта защиты и далее применяет к этой конфигурации специальный метод шифрования, что обеспечивает надёжную защиту конфиденциальности всех объектов, попавших в границы конфигурации/профиля.

Как мы понимаем, профилей может быть создано несколько, и каждый будет соответствовать тому или иному типу пользователя. Особенности метода:

• зашифровываются и защищаются только те файлы, которые содержат конфиденциальную информацию (это существенно снижает нагрузку на систему шифрования);
• файлы программ и конфигурационные файлы операционной системы не защищаются (в отличие от Full Disk Encryption и подобных методов);
• так как профиль пользовательской информации это всего лишь метод группировки файловых объектов, то на одном компьютере может быть применено сразу несколько разных профилей для разных пользователей, без какой либо нагрузки на производительность компьютера.

И что мы в итоге получаем?

Применение профилей пользователя для обеспечения шифрования файлов решает множество ограничений других методов и даёт массу преимуществ.

1. Экономичное управление шифрованием: данный метод позволяет существенно упростить использование пофайлового шифрования. Специалисту безопасности теперь не нужно держать под контролем большой и изменяемый набор файлов, но можно оперировать профилями, что существенно упрощает работу с политиками шифрования.

2. Решение проблем Win10UPDATE: применение защиты профилей пользователей позволяет избежать массу проблем при обновлениях Windows 10 за счёт отказа от избыточного шифрования системных файлов ОС (шифрование системного раздела).

3. Поддержка эшелонированной защиты: метод отлично сочетается с остальными методами шифрования, позволяя специалисту ИБ выбрать наиболее оптимальный уровень защиты данных. Можно включить защиту профилей и при этом шифровать разделы или виртуальные диски, защищать USB-флеш или создавать криптоконтейнеры.

4. Реализация SSO и тесная интеграция в Windows logon. Расшифрованные данные предоставляются только авторизованному пользователю и только на период работы сессии в ОС, после завершения сессии доступ к данным автоматически блокируется.

5. Контекстная независимость защиты: информация остаётся защищённой вне зависимости от операционного контекста и режима работы рабочей станции. Неважно, загружена ОС или не загружена, данные будут предоставлены только пользователю и только после прохождения аутентификации в сеансе ОС.

6. Оптимальное расходование ресурсов производительности компьютеров: позволяет использовать рекомендованное шифрование ГОСТ для конфиденциальных данных пользователя и быстрое шифрование AES для системного раздела.