Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Зашифруйте данные — и в путь!

Ави Баумштейн

Что произойдет, если вы потеряете мобильное устройство, «начиненное» данными, которые не предназначены для посторонних глаз?

Посмотрим правде в глаза: в последние годы кража ноутбуков приняла характер эпидемии. В обзоре по вопросам компьютерных преступлений и безопасности, недавно опубликованном институтом CSI, половина опрошенных заявили, что в 2007 г. в их организациях имели место случаи кражи ноутбуков и иных мобильных устройств.

Реагируя на это, власти по меньшей мере 35 штатов США потребовали подачи уведомлений обо всех случаях возникновения угрозы хищения персональных данных. И по мере роста озабоченности общественности все повторяющимися случаями компрометации конфиденциальной информации — практически у всех есть знакомые, ставшие жертвами воровства персональных данных, — все больше пользователей начинают уделять пристальное внимание практике шифрования данных, принятой в компаниях, с которыми они сотрудничают.

Как говорится, нет худа без добра: в вышеупомянутых законодательных требованиях об обязательном уведомлении властей о краже информации сделано исключение в отношении зашифрованных данных. Таким образом, благодаря федеральному законодательству продукты для шифрования уже успели проделать некоторый путь в своем развитии.

Что намерен предпринять Дядюшка Сэм

Директор Министерства обороны США по информационным технологиям Джон Гаймс в июле 2006 г. обнародовал меморандум, который гласит, что все чувствительные данные, хранящиеся в мобильных устройствах, должны быть зашифрованными. В порядке реакции на этот документ организация Data At Rest Tiger Team (DARTT) недавно дала положительное заключение по 10 продуктам шифрования. В развитие процесса (который эксперты описывают как процесс формирования самой полной системы критериев оценки качества названных продуктов) DARTT разослала поставщикам комплекс технических требований, разбитых на три категории — «критически важные», «важные» и «желательные».

Критически важным требованием является поддержка верификации персональных данных в соответствии с федеральным стандартом обработки информации FIPS 140-2. Важное требование — это наличие возможности дистанционного стирания информации в мобильном устройстве. К числу желательных требований относятся поддержка так называемых доверенных платформенных модулей (Microsoft) и единая однократная регистрация в системе.

Для получения положительного заключения продукт для шифрования в обязательном порядке должен соответствовать всем критически важным требованиям. Формальное лабораторное тестирование при этом применяется мало. Вместо этого DARTT опирается на отчеты правительственных агентств, которые уже имеют опыт работы с соответствующими продуктами. В июне 2007 г. Управление общего обслуживания Минобороны США выбрало 10 продуктов полнодискового шифрования, шифрования файлов и папок, а также аппаратный продукт для шифрования устройств флэш-памяти, подключаемых через USB-порты. Это может пролиться золотым дождем на компании, которые получат соответствующие контракты, — поистине огромный объем внедрения, который может привести к падению цен на аналогичные продукты всех остальных игроков рынка. Согласно данным Административно-бюджетного управления США, за пять лет объем соответствующих закупок может достичь 79 млн долл. Отрицательной стороной такого хода событий представляется тот факт, что все это будет касаться только компаний, заполучивших контракты, а остальным поставщикам в это время придется нести большие расходы на исследования и разработки.

Целостный подход

Правительство рассмотрело 10 продуктов аналогичного назначения по той простой причине, что одного продукта, который выполнял бы все элементы управления шифрованием, просто не суще-ствует. На самом деле единственное, что может быть хуже потери ноутбука, начиненного под завязку незашифрованными чувствительными данными, — это необходимость управлять организацией, перегруженной зашифрованными устройствами. В настоящий момент ИТ-службам приходится сколачивать воедино системы, каждая из которых может решать только отдельную проблему. Например, для администрирования своих BlackBerry-устройств компания может иметь систему BlackBerry Enterprise Server и реализовать алгоритм защиты контента Content Protection — встроенный алгоритм шифрования компании RIM, а для устройств с ОС Windows Mobile — вести политики при помощи сервера Exchange 2003 и выполнять некоторые дополнительные функции через консоль шифрования данных третьей фирмы. Еще одна система может потребоваться для ведения политик и восстановления ключей при применении пакета полнодискового шифрования для ноутбуков Windows. Средство же FileVault компании Apple блокирует все, что связано с учетными записями пользователей, но не работает с приложениями или системными библиотеками, а также не поддерживает централизованное администрирование.

Если в настоящее время вы вовлечены в процесс выбора системы шифрования, то на перспективу рекомендуем планировать и рассмотреть те платформы, обновление которых может потребоваться как минимум через 18 месяцев. Кратчайший путь построения хорошо администрируемой и удачный в применении системы шифрования сводится к приобретению продукта, который обеспечивает шифрование как можно более широкой гаммы мобильных устройств и реализует единый согласованный набор политик. Ранее мы сделали обзор систем полнодискового шифрования. Одним из свидетельств, что данная технология все больше приобретает характер доминирующей, стал тот факт, что компанию SafeBoot, удостоившую звания «Выбор редактора», поглотила такая крупная компания, как McAfee.

Прикройте свои тылы

При пропаже устройства с чувствительными данными вам нужно будет доказать, что эти данные были зашифрованы. Ключом к ограничению ответственности является аудит. К счастью, эту функцию, предлагают все централизованно администрируемые пакеты шифрования. Компания SafeBoot обеспечивает аудит даже подключаемых через USB-порты устройств флэш-памяти, что архиважно, поскольку из-за их малых размеров эти накопители очень часто теряют. Продукт File Armor компании Mobile Armor создает саморасшифровывающиеся архивы, что очень удобно, когда речь идет о коллективной работе служащих данной компании и компаний-партнеров с одними и теми же файлами. Но особую ценность этому продукту придает тот факт, что при попытке пользователя расшифровать архив соответствующее ПО регистрирует данного пользователя и во взаимодействии с консолью администратора проверяет, не был ли ему закрыт доступ к архиву.

Функция принудительного шифрования данных в устройстве путем реализации соответствующей политики и внесения в журнал записи, подтверждающей, что шифрование произведено и само устройство недавно прошло регистрацию в консоли администратора, позволяет свести ущерб, связанный с хищением чувствительных данных клиента, к стоимости пропавшего ноутбука. Если же этой функции нет, то для решения того же вопроса потребуются крупные денежные расходы, этот инцидент приведет к серьезным потерям репутации, поскольку компании придется уведомлять клиентов о похищении их данных. Как говорится, почувствуйте разницу!

Проведение политик

Мы не устаем повторять: успешная информационная защита начинается с выработки всеохватывающих политик. Это особенно справедливо в отношении шифрования мобильных устройств. Нельзя отрицать, что шифрование создает неудобства для пользователей. Политики позволяют организовать поддержку данного мероприятия на уровне руководства, что жизненно важно для ослабления противодействий со стороны рядовых пользователей. Ваши политики должны четко определять, какие данные подлежат защите и при каких обстоятельствах, а также вообще ограничивать количество чувствительных данных, хранимых в мобильных устройствах. В этом деле следует отдавать предпочтение безопасному дистанционному доступу к таким данным. Ваша цель — предотвратить несанкционированный доступ к данным.

Если ограничить шифрование только тем минимумом, который необходим для противодействия соответствующим угрозам, то можно существенно упростить требуемую систему шифрования и сделать пользование ею более легким.

Если же пользователи все-таки обязаны иметь данные под рукой, то их количество необходимо свести к абсолютно необходимому минимуму. Бизнес-аналитику, изучающему закупочные тенденции среди клиентов, совсем не обязательно иметь номера их кредитных карточек. Ключом к соблюдению законодательных требований по защите информации является встраивание в корпоративные информационные системы функции изъятия чувствительных данных из числа допускаемых к выводу из системы, или, что еще лучше, встраивание функции, затрудняющей преобразование таких данных в переносимый формат.

Размер имеет значение

По сравнению с ноутбуками карманные персональные компьютеры (КПК) и смартфоны хуже поддерживают шифрование. С малой по размерам клавиатуры труднее вводить сложные пароли, особенно содержащие специальные символы, а многофакторная аутентификация практически невозможна. Это может препятствовать включению аутентификации мобильных устройств в общую систему аутентификации компании — их владельца. Ограниченная вычислительная мощность малых устройств означает также, что потребление вычислительных ресурсов на исполнение функции шифрования заметно замедляет работу этих устройств. И наконец, характерный для смартфонов режим постоянного включения означает необходимость принятия мер к тому, чтобы шифрование не нарушало работу основных функций смартфона. Например, шифрование базы данных персонального календаря-ежедневника — идея хорошая, но если модуль-уведомитель не сможет считывать информацию о назначенных встречах из-за отсутствия введенного пароля, то он не сможет выдавать владельцу смартфона соответствующие напоминания.

Теперь поговорим о переносимых устройствах памяти, подключаемых через USB-порты. Нам понравилось новое семейство аппаратно-шифруемых USB-накопителей компании SafeBoot, которые не требуют ПО, — шифровальные ключи вводятся через биометрический считыватель отпечатков пальцев. Эти накопители администрируются средством Management Center той же компании. Последнее заведует сменой паролей, восстановлением ключей и даже блокировкой отдельных устройств.

В целом же оказывается, что вы даете дополнительные пароли и без того не отличающимся слишком крепкой памятью служащим, находящимся вне офиса, которые они позабудут с тем же успехом. Поэтому необходимо разработать средства, помогающие пользователям разблокировать свои полевые устройства. И большинство продуктов корпоративного класса реализуют функцию восстановления паролей в том или ином виде. Например, компания PGP решает эту проблему путем передачи одноразового пароля Whole Disk Encryption на «ответственное хранение» в сервер администрирования. Если пользователь забыл свой пароль, то служба оперативной поддержки формирует 32-символьную маркерную строку и посылает ее пользователю в виде SMS-сообщения. Как только пользователь ввел маркер восстановления и успешно включил свой ноутбук, система делает запрос на смену пароля, аннулирует вышеупомянутый маркер и направляет в сервер новый, подлежащий использованию в следующий раз.

Эта возможность также очень важна в ситуациях, когда вам нужен доступ к данным, находящимся в ноутбуке, пользователь которого уже не работает в вашей компании. Одни ИТ-службы пользуются маркерами восстановления при обеспечении службе оперативной поддержки контролируемого доступа к ноутбукам, находящимся в пользовании у служащих компании, другие — придерживающиеся менее авторитарного варианта подотчетности, — создают отдельные пароли шифрования, которые в тех же целях сообщаются техникам службы оперативной поддержки.

Делайте хоть что-нибудь

Богатство выбора на рынке продуктов шифрования информации в мобильных устройствах делает выбор поставщика платформы шифрования сложной задачей. Но самое главное при этом не стоять на месте. Начните изучать продукты, указанные в контрактах Управления общего обслуживания, и постарайтесь найти дополнительных поставщиков, готовых предоставить вам все, чего не хватает, или предлагающих решения для менее масштабных по ответственности случаев..

  
10 '2008
СОДЕРЖАНИЕ

инфраструктура

• Отвод тепла в ЦОДе: проекты

• Решения для надежного долговременного хранения данных

• БЛВС удаленных офисов

информационные системы

• Не спешите мигрировать на Vista

• В поисках "приборной панели" для ИТ-директора

• Корпоративные системы пространственного позиционирования

сети связи

• Поддержка разных технологий доступа к IMS-сети

кабельные системы

• Заземление в вопросах и ответах

• СКС: "горячие" применения и системы управления

защита данных

• Контроль физического доступа шагает в ногу с IP-конвергенцией

• Зашифруйте данные - и в путь!

новые продукты

• "Мистраль-телеком" - кондиционеры для базовых станций; Шкафы "Энеогомеры"


• Калейдоскоп


Реклама: Мерседес Bmw Vw Audi магазин запчастей.
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх