DLP системы - Форум по вопросам информационной безопасности

технология сессионного контроля доступа, предполагающая создание на компьютере различных (включая накопители, сетевые ресурсы и т.д.) режимов обработки информации, с оответствующим уровнем защиты обработки информации в каждом режиме, с разделением режимов по данным - предотвращение обмена информацией между режимами. Если у Вас на одном компьютере обрабатывается и открытая, и конфиденциальная информация, конфиденциальная не сможет обрабатываться в незащищенном режиме - с использованием соответствующих незащищенных объектов.

Вот что вы описали это и есть режим работы с помощью мандатных меток. Так реализовано в SecretNet с функцией контроля потоков

Коллега, я по понятным причинам принципиально обсуждаю в открытой печати не средства, а только технологии. Но могу сказать, что в данном средстве не реализован сессионный контроль доступа.
А вот по реализации в нем упомянутого Вами контроля потоков у нас есть серьезные вопросы. Если Вы хорошо знаете эту систему, соотнесите механизм, обеспечивающий корректность реализации контроля потоков, с запатентованным нами техническим решением: Щеглов А.Ю., Щеглов К.А. Система переформирования объекта в запросе доступа // Патент №2538918 от 26.06.2013, т.е. запатентованным еще в 2013 году(http://www.freepatent.ru/images/img_patents/2/2538/2538918/patent-2538918.pdf) и, по возможности, выскажите свое мнение. Спасибо.

Коллега, я по понятным причинам принципиально обсуждаю в открытой печати не средства, а только технологии. Но могу сказать, что в данном средстве не реализован сессионный контроль доступа.
А вот по реализации в нем упомянутого Вами контроля потоков у нас есть серьезные вопросы. Если Вы хорошо знаете эту систему, соотнесите механизм, обеспечивающий корректность реализации контроля потоков, с запатентованным нами техническим решением: Щеглов А.Ю., Щеглов К.А. Система переформирования объекта в запросе доступа // Патент №2538918 от 26.06.2013, т.е. запатентованным еще в 2013 году(http://www.freepatent.ru/images/img_patents/2/2538/2538918/patent-2538918.pdf) и, по возможности, выскажите свое мнение. Спасибо.

Обязательно почитаю

> Если говорить о защите от кражи (не от случайной утечки) информации, то для этого существует, например, технология сессионного контроля доступа...

Хм... Берем среднестатистический ФГУП ЦНИИ АБВГД, проведение научно-исследовательских работ. Используются открытые источники, результат НИР засекречивается.

Каждый первый сотрудник работает на "открытом" компе, и, когда его работа фактически закончена, приносит файлик в первый отдел и выполняет традиционный шаманские пляски, связанные с засекречиванием документа. При этом куски его работы по закону всемирного распиздяйства еще годами хранятся на "открытом" компе, вставляются в другие документы и летают по электронной почте, в том числе и во внешний мир. Это не "случайная утечка" и не "кража", это вполне себе осознанное разглашение и нарушение режима секретности. Вы такие нарушения как обнаруживать предлагаете?

> Если говорить о защите от кражи (не от случайной утечки) информации, то для этого существует, например, технология сессионного контроля доступа...

Хм... Берем среднестатистический ФГУП ЦНИИ АБВГД, проведение научно-исследовательских работ. Используются открытые источники, результат НИР засекречивается.

Каждый первый сотрудник работает на "открытом" компе, и, когда его работа фактически закончена, приносит файлик в первый отдел и выполняет традиционный шаманские пляски, связанные с засекречиванием документа. При этом куски его работы по закону всемирного распиздяйства еще годами хранятся на "открытом" компе, вставляются в другие документы и летают по электронной почте, в том числе и во внешний мир. Это не "случайная утечка" и не "кража", это вполне себе осознанное разглашение и нарушение режима секретности. Вы такие нарушения как обнаруживать предлагаете?

Элементарно...как предписывает настольная книга...Организационными мерами и путем сложной работы по контролю режимно-секретными подразделениями.

to А.Ю. Щеглов
Просмотрел информацию по вашему патенту. Излишне много гостированных оборотов, постоянное употребление одних и тех же формулировок - это все несколько "замыливает" глаз, поэтому могу быть не до конца объективен. Но, в сущности, ваш подход ничем не отличается от мандатной политики контроля потоков информации, реализованной на уровне ОС Windows еще в Аккорд-NT/2000, СТРАЖ 2.5 и т.п. Технология схожа, результат аналогичный (в общей мере степени). Вы правы, эффективное решение в области защиты КИ от утечки - только за счет замкнутого технологического процесса, когда штатный пользователь не способен выйти за его рамки. Единственное, чего я не понял, так это под управлением какой ОС работает ваше изобретение? Если под "своей" - бессмысленно, поскольку не решает общую задачу внедрения в существующие системы (только частную по согласованию). Если под той же линейкой MS Windows - то за счет чего в среду ОС интегрируется изобретение? Если за счет драйвера/службы, то это не "новизна", а стандартное "узкое место", обеспечивающее в эксплуатации многие часы невиданного по напряжению геморроя....
Также чем реализуется обход классических клинчей вроде "настройки СРД-изобретения vs настройки СРД-ОС"?
+ да, к первичной теме "DLP-системы" это обсуждение патентованного изобретения и самой идеи разграничения прав доступа никакого отношения не имеет...

PS Кстати, что подразумевается под "сессионным контролем"? СРД на уровне пользовательской сессии (выбор грифа обрабатываемой информации при входе в систему) или СРД на уровне приложений (выбор грифа при запуске каждого приложения каждый раз)?

> Элементарно...как предписывает настольная книга...Организационными мерами и путем сложной работы по контролю режимно-секретными подразделениями

Услышав такую фразу на собеседовании, я обычно прощаюсь с кандидатом и прошу больше не беспокоить наших кадровиков :)

Вообще это очень "интересные" ребята, по поводу ОС Windows еще в Аккорд-NT/2000, СТРАЖ 2.5 и т.п. В свое время (лет 7-9 назад), они нас пригласили сделать презентацию нашей системы и наших патентов у них на стенде. Сами видите, чем все это закончилось (посмотрите прототип - это опять же наше изобретение), я лично был на этой презентации и рассказал им о всех своих патентах на тот момент времени. У нас много кто из компаний-разработчиков средств защиты информации постоянно запрашивает демо-версию. Мы им ее не даем, но они ее получают иным путем В результате имеем то, что имеем, потому и патентуем наши решения, нужно же как-то защищаться от подобных "ребят"! Нужно же как-то защититься от этой массы "создателей" средств защиты информации! Вообще классный специалист по безопасности - это "штучный товар" -классных разработчиков (я не о программистах) - единицы! А о тексте изобретения, так это существующая форма, это не наша "выдумка" - оформлено в соответствии с существующими требованиями!
Замечание. Все эти решения реализованы в рамках моей первой книги А.Ю. Щеглов "Защита компьютерной информации от несанкционированного доступа". - СПб.: Наука и техника. - 2004, 324 с. Сегодня у меня приняты к опубликованию еще две новых книги, надеюсь, что они Вас в хорошем смысле"удивлят"!

Извините, "УДИВЯТ"! (описка). А вообще и "удивлят" - это не так плохо! За 3 года у меня ( с коллегой - с сыном- аспирантом) более 40 публикаций на эту тему в журналах, рекомендованных ВАК (для тех, кто понимает), более 10 патентов на изобретения, подготовлено к опубликованию 2 монографии (реальные монографии, по результатам СВОИХ собственных исследований!). Мы знаем, что делаем в области информационной безопасности. К сожалению, патентованием (а это затраты времени и средств) приходится хоть как-то защищаться от ОСТАЛЬНЫХ "создателей" средств защиты информации. А как еще быть, когда ТВОИ идеи через год-два используются другими? Честно говоря, достало! После праздников (надо отдохнуть, год был тяжелым, сертификация новой системы защиты "Панцирь+" тяжело далась, поскольку там очень много принципиально новых методов и механизмов защиты - запатентованных решений) займемся вопросами авторского права. Думаю, что все эти вопросы Вы увидите в открытой печати.