DLP системы - Форум по вопросам информационной безопасности

to А.Ю. Щеглов
Спасибо. Но у суть моих вопросов была несколько не в том, кто стоял у истоков такого подхода в защите от НСД или кто у кого что (и т.д.). Все равно модели Flask были заложены раньше и к ним никто из отечественных разработчиков СЗИ НСД отношения явно не имел...
Ваше изобретение так или иначе использует принципы мандатной политики, поскольку метка конфиденциальности - единственное, что позволяет отличить сессию пользователя с грифом от сессии с другим грифом или с отсутствием оного. В таком случае "узкое место" - да - только в общесистемных ресурсах, необходимых для записи/чтения со стороны ОПО и ППО под любой мандатной меткой. Эту задачу решили ребята из ОКБ САПР еще в 2002 году с логикой "одно приложение - одна метка". В результате чего в АС, к примеру, с 3 метками необходимо было использовать 3 разных экземпляра ППО (каждый под свою сессию пользователя). Неудобно, зато безопасно (во всяком случае решает поставленную задачу). Потом, да, перешли на логику "разделяемых каталогов и файлов". Ребята из "Модуля" (СТРАЖ) решили за счет сквозной записи в разделяемый каталог информации от ППО, запущенных с разными грифами. Да, в сущности, какая разница? При понимании и соблюдении принципов логики функционирования СЗИ можно построить защиту от НСД на уровне ОС, избавленную от "узких" мест - было бы желание.
Меня, собственно, интересовали ответы на озвученные ранее вопросы, как то: ориентированная ОС, решение проблемы "встроенная логика vs навесная" и сущность самого термина "сессионный контроль". Впрочем, если означенный патент имеет отношение к "Панцирю", то вопросы снимаются.
Заранее извиняюсь, если что-то в моих сообщениях звучит несколько... хмм... грубовато.

Послушайте, с уважением, мне настолько не важны все эти ОКБ САПР и прочие....
Оставим их... Я (и мои коллеги - мои ученики) стараюсь создать новые полезные технологии защиты. Вот примеры: http://ntv.ifmo.ru/ru/article/14107/metod_i_abstraktnaya_model_kontrolya_i_razgranicheniya_prav_dostupa_perenapravleniem_(pereadresaciey)_zaprosov_.htm
http://ntv.ifmo.ru/ru/article/13718/zadachi_i_metody_rezervirovaniya_v_oblasti_informacionnoy_bezopasnosti.htm
Посмотрите мои материалы на этом сайте (в разделе "Материалы").
Я говорю о новых технологиях защиты (остальное в этой дискуссии меня мало интересует), кто еще об этом задумывается? Скажите?

Вообще в информационной безопасности много интересного!
Появились некие "ГУРУ" (они так себя называют) с точки зрения математики (математического моделирования) абсолютно безграмотные, да и во всех иных отношениях не особо сведующие! Зато, разбираются в нормативных документах, в юридических вопросах. Таких бы "ГУРУ", да куда подальше!!!!!!!! Пусть сначала подтвердят свою квалификацию - защитят докторскую диссертацию (иначе, какой ты "ГУРУ", где ты и где "ГУРУ" - не позорься). БЕДА в чем, вокруг этой области (очень сложной, технически) знаний очень много ................. людей!

Коллега, в части доверенной загрузки (это задача защиты аппаратными средствами), так эта задача защиты, на мой взгляд, должна быть существенно расширена (если мы говорим об аппаратной составляющей).
Данное запатентованное (лет 10 назад решение) описано в моей книге еще от 2004 года.

to А.Ю. Щеглов
За наводку на журнал спасибо - считал, что после апрельских изменений профильных ВАК-журналов по защите информации почти не осталось (зато внесли вестник Дагестанского педагогического, ага)...
Если судить с практической точки зрения, то из представленных ссылок/аннотаций к статьям (в частности первой) следует, что был заново изобретен метод "мандатной политики с контролем потоков (процессов)". Математическое и абстрактное описание - вещь полезная и важная, согласен. Именно она в первую голову позволяет развиваться отрасли (в широком смысле). Но зачем описывать существующий подход, технологию, разбирать ее и моделировать математически? С целью обнаружения величины дисперсии в каждой конкретной практической реализации? С целью разбора логических ошибок построения СЗИ НСД, использующих схожие принципы? Пожалуй. Только приведенные ссылки не об этом. И, фактически, получается попытка есть рыбу с совершенно невозможной стороны - от практики (существующей, применяемой с 90х гг.) к теории (выдвигаемой, описываемой в 2000х-2010х гг.). Пользы, в сущности, никакой, разве что, извиняюсь, очередная защита докторской/кандидатской кем-либо...
Отдельно хочется сказать, что знание юр. тонкостей и НМД - ежедневная и неизбежная необходимость в работе специалиста по ЗИ (ИБ). Разработка "новых" методов и подходов отходит на второй план, поскольку упирается в такие прекрасные понятия, как "сертификация", "оценка совместимости", "экономическая эффективность" и т.д.
И коротко о затронутой теме "доверенной загрузки". В зависимости от выбранных аппаратных и программных платформ, данная задача может решаться не только и не столько аппаратными средствами. Чем не угодили программные модули криптографической защиты загрузочных носителей?

PS Очень много написал и совсем не по теме DLP - прошу прощения у всех заинтересованных. Предлагаю создать отдельную тему про СРД, где, надеюсь, мы сможем обсудить означенные мною выше вопросы "сессионного контроля", "ориентированности операционных систем" и т.д. + вопросы доверенной загрузки (тема очень близкая).

Не могу с Вами во многом согласиться. Но о мелочах не буду. С точки зрения математики - в этих работах ее нет (математические работы у меня иные - про моделирование и проектирование, но эти вопросы не для данного форума).
В работах приведено обоснование, не более того. А как что-то создавать не обосновав решение.
Если интересно, даю ссылку на учебное пособие (это часть моего курса - читаю магистрам на 5 курсе, другая часть, как раз, математическая). Там подобное обоснование расширено, есть также описания новых методов контроля доступа (запатентованных решений). Если интересно, посмотрите. Только с пониманием того, что этот материал для студентов.
http://books.ifmo.ru/file/pdf/1764.pdf

По доверенной загрузке можем поговорить отдельно. Здесь не нужно путать две задачи - корректно загрузить собственно систему с носителя (здесь можно играться с преобразованием загрузочного сектора), это просто; не дать загрузить систему с внешних носителей, из сети и т.д. Это сложнее - нужна либо плата, либо нужно "ковырять" BIOS. На уровне загрузочных секторов такая задача не решается. Но именно эта задача понимается под доверенной загрузкой (посмотрите соответствующие требования). Первая задача - это так, из серии "хуже не будет", с точки зрения безопасности - совершенно бесполезна.

to А.Ю. Щеглов
Оставим в сторону СРД, согласен (ибо логическая точка уже поставлена). Предлагаю обсудить проблематику доверенной загрузки, но уже не в ветке, посвященной DLP-системам. Поэтому прошу сюда: http://www.itsec.ru/forum.php?sub=10567&from=20.

Наконец-то темка ожила, аж читать приятно.

Всех с прошедшими праздниками!

https://new.vk.com/stakhanovets_ru - у нас появилась группа в вконтакте! много интересной и полезной информации! программа для мониторинга пк, вся информация, перехват переписки и звонков, преорбразование речи в текст и многое другое, 1 версия бесплатна