Comments 24
Только непонятно, как что с этим сделать можно… Толку-то от такой изолированной среды? Готовить бумажки для распечатки и всё?
Пользоваться интернетом. Аськи, соц.сети, личная почта и пр.
ну, набрать в аську секрет по-прежнему можно.
а вот локальная машина становится бесполезной — только через PrintScreen + OCR…
а вот локальная машина становится бесполезной — только через PrintScreen + OCR…
Вы не в госучреждении работаете? А то схема изоляции внутряка от внешки наводит на мысли :) По теме — сквид и самс действительно хороши, стоит такое решение на работе. Но когда-то в целях экономии купили самые дешёвые вин7, соответственно, о домене со всеми его плюшками можно смело забыть.
А в чем тогда безопасность? Все каналы утечки остались, ради чего весь изврат?
я так понял, это просто для выхода в сеть… контактики там или погоду посмотреть…
это что бы с рабочего компьютера нельзя было через интернет ни какую информацию передать, кроме как набрав ее на коавиатуре
Эх. Вообще в госконторах местами встречается банальное разделение внутренняя сеть — lan, с закрытыми на машинах usb/com/lpt. т.е доступ только к внутреним ресурсам — внутренние файлопомойки, емейлы с копированием всей переписки в СБ, логированием документов уходящих на печать с присвоением этим распечатанным листкам штрихкодов и сканерами этих штрихкодов на шреддерах.
И один комп на отдел живущий в отдельном влане, свободно имеющим доступ в интернет, тоже с закрытыми usb. При желании что-то на компы обычный, инетный установить — только через ИТ отдел, что-то из инета отправить — пожалуйста, на свою рабочую почту.
Это не считая RDP/vnc ферм где работать с еще более закрытой информацией и компами первого отдела, вообще никуда не подключенными кроме (фильтрованного) электропитания и находящимися в экранированных и отдельно заземленных помещениях.
И один комп на отдел живущий в отдельном влане, свободно имеющим доступ в интернет, тоже с закрытыми usb. При желании что-то на компы обычный, инетный установить — только через ИТ отдел, что-то из инета отправить — пожалуйста, на свою рабочую почту.
Это не считая RDP/vnc ферм где работать с еще более закрытой информацией и компами первого отдела, вообще никуда не подключенными кроме (фильтрованного) электропитания и находящимися в экранированных и отдельно заземленных помещениях.
Относительно информационной безопасности решение не самое эффективное, а пользователям приходится страдать. Если нужна безопасность, то обычно идут другими путями.
— Все сидят без инета. Инет только на нескольких компах не подключенных к внутренней сети. Так например сделано в некоторых банковских учреждениях.
— Зарезано все кроме разрешенных сайтов и установлена IPC/DLP система. Пример применения тот же самый.
— Все сидят без инета. Инет только на нескольких компах не подключенных к внутренней сети. Так например сделано в некоторых банковских учреждениях.
— Зарезано все кроме разрешенных сайтов и установлена IPC/DLP система. Пример применения тот же самый.
К стати, наша компания приняла следующие меры для инфо. безопасности:
— Отключили съемные носители на рабочих станциях. Разрешили только у некоторых.
— В инет доступ разрешен только через http прокси. Остальные протоколы запрещены и разрешаются только в исключительных случаях.
— На прокси используется SkyDNS. Соц сети и остальная чепуха запрещена. Есть еще SquidGuard с черным и белыми списками. Некоторым разрешен доступ только к определенным сайтам.
— Вся почта идет через корпоративный сервер. Имеются копии всех проходящих писем.
— Установлены пара систем для контроля информации которая выводится с компов во внешний мир.
З.Ы. Система раздачи инета частично самописная. Является интегратором iptables, squid и др. компонентов с GUI на QT.
Слить инфо можно, но утечку найти стало проще.
— Отключили съемные носители на рабочих станциях. Разрешили только у некоторых.
— В инет доступ разрешен только через http прокси. Остальные протоколы запрещены и разрешаются только в исключительных случаях.
— На прокси используется SkyDNS. Соц сети и остальная чепуха запрещена. Есть еще SquidGuard с черным и белыми списками. Некоторым разрешен доступ только к определенным сайтам.
— Вся почта идет через корпоративный сервер. Имеются копии всех проходящих писем.
— Установлены пара систем для контроля информации которая выводится с компов во внешний мир.
З.Ы. Система раздачи инета частично самописная. Является интегратором iptables, squid и др. компонентов с GUI на QT.
Слить инфо можно, но утечку найти стало проще.
Интересно, а скайп в http proxy вы урезаете?
Я не изучал вопрос работы skype через http proxy. Он основан на web технологиях? Т.е. звонок из браузера производится?
— На сайт skype так просто не зайти. Сам сайт скайпа заблокирован черным списком. Анонимайзеры забанены на skydns. skydns прописан на проксе. Т.е. нужно найти анонимайзер неизвестный skydns.
— Самостоятельно устанавливать ПО на рабочих станциях запрещено. Настроена соответствующая GPO. При запуске не санкционированного ПО система показывает сообщение о запрете. А попытка запуска фиксируется в логе.
И вообще, по большому счету вопросы И.Б. нужно решать не только техническими средствами, тех средства это лишь дополнение. Нужно уделять бОльшее внимание персоналу.
— На сайт skype так просто не зайти. Сам сайт скайпа заблокирован черным списком. Анонимайзеры забанены на skydns. skydns прописан на проксе. Т.е. нужно найти анонимайзер неизвестный skydns.
— Самостоятельно устанавливать ПО на рабочих станциях запрещено. Настроена соответствующая GPO. При запуске не санкционированного ПО система показывает сообщение о запрете. А попытка запуска фиксируется в логе.
И вообще, по большому счету вопросы И.Б. нужно решать не только техническими средствами, тех средства это лишь дополнение. Нужно уделять бОльшее внимание персоналу.
Я правильно понимаю: все IP и доменные имена неизвестные skydns банятся?
Это громко сказано — на деле же при промышленном шпионаже гораздо проще достичь основного его предназначения, если техническая сторона информационной безопасности имеет мелкие лазейки. Естественно, что основным инструментом при шпионаже является «свой» персонала в чужой команде, но я не видел пока ни одной компании, где невозможно было бы подкупить-шантажировать нужного сотрудника. Разница лишь в том, что при правильной работе политики безопасности финансист не сможет скопировать и передать перспективный проект из отдела разработок.
Моё мнение — варианты habrahabr.ru/post/166197/#comment_5739573 — самые эффективные, хоть и напоминают конц. лагерь :)
И вообще, по большому счету вопросы И.Б. нужно решать не только техническими средствами, тех средства это лишь дополнение. Нужно уделять бОльшее внимание персоналу.
Это громко сказано — на деле же при промышленном шпионаже гораздо проще достичь основного его предназначения, если техническая сторона информационной безопасности имеет мелкие лазейки. Естественно, что основным инструментом при шпионаже является «свой» персонала в чужой команде, но я не видел пока ни одной компании, где невозможно было бы подкупить-шантажировать нужного сотрудника. Разница лишь в том, что при правильной работе политики безопасности финансист не сможет скопировать и передать перспективный проект из отдела разработок.
Моё мнение — варианты habrahabr.ru/post/166197/#comment_5739573 — самые эффективные, хоть и напоминают конц. лагерь :)
Банятся известные skydns домены из определенных категорий, банятся ip адреса, банится наш собственный черный список. У нас в сети нет больших коммерческих и др. секретов. Поэтому правила не столь жесткие. Основная задача — не допустить заражение компов через интернет и съемные носители, вторая задача — по возможности, знать кто, куда, что уносил.
Скайп работает посредством метода connect, причем никакие баны по именам не помогут, т. к. к прокси он обращается уже с запросом на ип.
Все мыры, какие вы описали приведут к неработоспособности отдельных фич, но в целом работать будет. Самый простой и действенный, при этом способный порушить много лишнего способ запрета — запретить метод коннект, когда в запросе фигурирует ip. Большинство https сайтов не пострадает, а вот аська и подобные вещи отвалятся.
ЗЫ. Ну и да, ип будет динмаически меняться, черный список поддерживать не получиться.
Все мыры, какие вы описали приведут к неработоспособности отдельных фич, но в целом работать будет. Самый простой и действенный, при этом способный порушить много лишнего способ запрета — запретить метод коннект, когда в запросе фигурирует ip. Большинство https сайтов не пострадает, а вот аська и подобные вещи отвалятся.
ЗЫ. Ну и да, ип будет динмаически меняться, черный список поддерживать не получиться.
Пользователь сливает файло на dropbox / google drive / яндекс диск.
Как будете искать утечку?
Как будете искать утечку?
вы, вероятно, не поняли концепцию. Если исходить из того, что клиент для dropbox/gdrive/ипрочих установлен на той машине, куда доступ по NX, то как попадут туда данные которые будут утекать? Доступа иначе чем по nx нет. Файлы для утечки залить нет возможности.
А если клиент установлен на конечных машинах пользователя (что в общем затруднительно ибо ставить ничего, никому нельзя), то как этот клиент выйдет в инет — прокси то нет.
А если клиент установлен на конечных машинах пользователя (что в общем затруднительно ибо ставить ничего, никому нельзя), то как этот клиент выйдет в инет — прокси то нет.
Вашу концепцию я понял. Мой вопрос адресован alexander007.
Как-то ненадежно и показушно выглядят все предпринятые меры, если вспомнить, что такое смартфрн, 3g, камера, wifi карточка в usb или pci…
Если вспомнить, что по локалке передача не запрещена, то в разрыв устанавливается раутер и смартфон допускается в сеть.
Если вспомнить, что по локалке передача не запрещена, то в разрыв устанавливается раутер и смартфон допускается в сеть.
на что только не пойдет начальство, лишь бы не платить своим сотрудникам достойную зарплату…
Sign up to leave a comment.
Доступ в интернет в сложных административных условиях