Нужно сделать локальную сеть закрытую из вне, чтобы полностью ввод/ вывод информации производился через один- два компьютера, а все остальные компьютеры не имели возможности внести и вынести из сети информацию. Проблема заключается в том , что есть лицензионные программы с ключами аппаратной защиты через USB и LPT порты, которые нельзя отключить, но через них в принципе можно вынести информацию, подключив сотовый телефон или флеш карту. Отключение через BIOS портов тоже малопригодно, потому что пароли BIOS легко подбираются и обходятся. Также есть ноутбуки, с помощью которых так же можно подключившись к локальной сети вынести информацию...МОжно ли организовать домен с компьютерами, который бы не был виден при включении с сеть компьтеров из другой рабочей группы, а также компьютеры в домене не видели компютеры этой рабочей группы?
ПРограммы типа deviceLOck тоже не обеспецивает нужной безопасности, потому что можно подобрав пароль к BIOS подлкючить USB порты, затем загрузить с флеш карты свою операционную системы и также вынести информацию.
Интересует любая информация об организации и практические примеры. Может есть какая нибудь практика и ссылки на ресурсы в сети на подобные задачи.
В общем интересуют практические решения любой из поставленных задачек или решение всей проблемы в целом.
Заранее благодарен за ответ.

Решение, которое видел в реальной жизни в одной компании - на входе в офис сдаются телефоны, флэшки, дискетки и т.д. и т.п. на хранение у охранника. Если в офисе у тебя увидят вышеобозначенный девайс - увольнение.
Еще один вариант - заклеить все порты номерными голографическими наклейками и регулярно их сверять, нарушена целостность - уволнять сотрудника.
Далее - отключение портов в БИОСе. Опечатывание аналогичными наклейками системных блоков (чтобы нельзя было его вскрыть и сбросить БИОС).
Установка аппаратных средств защиты а-ля Аккорд-АМДЗ.
Вход в домен - по смарткартам.
В идеале - вообще установка на рабочих местах терминалов с запуском по смарткарте (например с использованием серверов и терминалов Sun).
Вроде все, больше идей нет.
А, ну ещё разумеется, установка аудита на все события - чтобы можно было выяснить кто и что делал.

Ну а если IMHO - вынести всё равно получится (например - разобрать системник и вынуть винт - и идёт вся защита в одно место). Вопрос в том, что об этом смогут узнать. Защита от инсайдера, особенно если в их число входит и администратор сети - это большая головная боль.
Кстати, про администратора - его пароль можно разделить на 2 части - одну знает он, вторую - руководитель предприятия (или руководитель службы безопасности). Чтобы даже он ничего сам не мог сделать.

ИМХО, как аксиому следует принять следующую истину - абсолютной защиты - НЕТ, во все времена на любую защиту всегда находились пути её обхода - от самого простейшего до насложнейшего. Можно залить USB-порты клеем, выпаять контакты на материнской плате (хотя гарантировать работоспособность после этого не могу), поставить металлодетектор на входе, устраивать обыск сотрудников на входе-выходе... да и ещё много чего можно, однако на личном опыте уже в студенческую пору неоднократно наблюдал такие трюки, которые тогда даже самому изощрённому в борьбе с нами администратору в голову не приходили...

Пример - рабочая станция без CD, DVD, FDD, опечатанный корпус системника, USB-порты отключены в BIOS.
Решение - аккуратно вынимается всего ОДНА заглушка на лицевой панели, через полученное отверстие подключается принесённый с собой жёсткий диск. Загружается ОС - информация сливается на HDD, компьютер выключается, жёсткий диск извлекается, заглушка ставится на место. Вуаля - и всё как ничего не бывало.

P.S. Правильное разграничение доступа к информации, прав пользователей, можно даже попробовать отследить и удалить из ОС все драйвера переносных носителей информации и т.п. Главное - постоянно следить за новыми методами защиты и появляющимися методами её обхода.

Далее - отключение портов в БИОСе. Опечатывание аналогичными наклейками системных блоков (чтобы нельзя было его вскрыть и сбросить БИОС).
Установка аппаратных средств защиты а-ля Аккорд-АМДЗ.
Дело в том что просто опечатать порты не получится, с течением времени к ним нужно подключать устройства например сканеры, ключи аппаратной защиты, а отключение через биос не дает положительного эффекта, потому что есть универсальные пароли на определенные версии Биос.
Был случай человек вообще притащил компьтер из дома и подключил к локальной сети, а в сети есть общедоступные папки. При желании можно было все утащить. Вот возможно ли сделать так чтобы подключение нового компоютера к локальной сети было в принцпе невозможно, то есть чтобы он не видел компьютеры домена и они его тоже...

to: xoxmodav В приведённом тобой примере для защиты достаточно было в БИОСе отключить все винты, кроме того, который уже был установлен, а не оставлять автоопределение, которое стоит по умолчанию.
to: babki
1. Проблема с универсальными паролями на БИОС решается его перепрошивкой.
2. В БИОСе отключаются все порты и выставляется загрузка только с жесткого диска.
3. С помощью локальных политик безопасности настраиваются права пользователей, в т.ч. - запрет на создание сетевых ресурсов. Кроме того - на всех компах, кроме сервера запрещается всем доступ по сети.
4. Далее - в группу локальных админов на каждом компе включается доменный админ. Встоенной учётной записи админа локальными политиками запрещается все, что можно запретить. Поясню, для чего - если человек сбросит БИОС, разобрав системник (а от этого можно защититься только поставив системник в сейф :) ), то он сможет загрузиться с дискетки и сбросить пароль любому локальному пользователю (в т.ч. - и встроенному админу). А вот если этому пользователю вход в систему будет запрещён - то и пусть себе сбрасывает хоть 100 раз.
5. По поводу притащил комп из дома - с этим на самом деле сложнее всего. Тут уже проще сделать это все-таки организационно, а не программно - если есть такие требования к защите информации - значит необходимо ввести запрет на внос системников и ноутбуков и заставить охрану это отслеживать, переведя всю отвественность на них. Честно говоря - других идей просто нет. Поскольку даже если вы установите аппаратные фильты пакетов сетевого уровня (ФПСУ-IP и им подобные) и разрулите доступ по IP-адресам - то достаточно будет просто поставить принесённому компу один из IP-адресов компов, существующих в сети. Правда, честно говоря, плотно с подобными вещами не работал - вполне возможно, что там можно разрулить и по MAC-адресу. Вот в этом случае - фиг чего получится, если комп будет другой, а на всех ваших компах сетевая плата будет интегрирована в мать (чтобы нельзя было её переставить в принесённый системник).

Еще раз повторю уже высказанную мысль - в случае, если предъявляются подобные требования к информационной безопасности - гораздо логичнее рассматривать сеть, построенную с использованием терминалов вместо персональных компьютеров.

babkiДело в том что просто опечатать порты не получится, с течением времени к ним нужно подключать устройства например сканеры, ключи аппаратной защитыи в чем проблема?.. отклеил номерную ленту, подключил сканер, зафиксировал соединение новой лентой и сделал отметку в соответствующем журнале. Правда в том, что нельзя добиться требуемого уровня безопасности только средствами информационных технологий без привлечения организационных методов и без утверждения на уровне руководства "политики безопасности предприятия", обязательной для исполнения каждым сотрудником.

babkiПРограммы типа deviceLOck тоже не обеспецивает нужной безопасности, потому что можно подобрав пароль к BIOS подлкючить USB порты, затем загрузить с флеш карты свою операционную системы и также вынести информацию.
При включенном шифровании NTFS - не вынести.
А в висте поддержка BitLocker есть...

xeel

Ещё задолго до твоего рождения была сформулирована аксиома - "Никогда нельзя недооценивать противника". Постоянно совершенствуются как методы взлома и обхода, так и методы самой защиты.

Пример я привёл чисто для наглядной иллюстрации. Из него можно понять, что опечатывание корпуса сзади - далеко не панацея. Вынув заглушку на лицевой панели, можно также достать батарейку (для этого не надо быть фокусником) и сбросить BIOS, потом подключить и загрузиться с принесённого HDD и слить на него информацию с HDD, стоящего на этой машине (куда можно залить всё доступное из сети). Или же поключить ещё один винт с файловой системой FAT, которая не поддерживает шифрование и на него слить всё нужное из сети. После чего через пару дней подойти к администратору и сказать с глупым выражением лица, что при загрузке компьютера выдаются какие-то непонятные сообщения. В результате ты, как администратор, даже не поймёшь, что произошло.

По пункту 4. Если он сбросит пароль локального админа, то запросто сможет зайти локально и ты его уже никакими групповыми политиками не ограничишь. Также можно блокировать выполнение пользовательской части групповой политики домена путём замыкания в локальной политики, да и остальные настройки тоже можно поковырять. И если в настроенной тобой групповой политике домена эти параметры не будут заданы явно, то при загрузке ОС... увы...

Описанными тобой методами можно бороться с обыкновенными пользователями, человек хорошо и основательно разбирающийся в устройстве самой ОС и системах защиты без особого труда обойдёт всё выше тобой описанное. Защита информации никогда не являлась лёгкой работой, механизм которой можно было настроить однажды и он мог исправно и бесперебойно функционировать, обеспечивая 100% уровень безопасности и надёжности на все времена. Человеческий фактор, социальная инженерия, низкий уровень подготовки сотрудников и многое другое дадут злоумышленнику обойти все поставленные тобой ловушки и запреты.

P.S. Думаю, стоит эту тему уже в "Информационную безопасность" переносить.

При включенном шифровании NTFS - не вынести.
А в висте поддержка BitLocker есть...
А вот NTFS ставить на локальные машины вообще не хочется. но к этому поддталкивает ограничение на размер файлов системы FAT32. Во первых сам пользователь может так свои данные зашифровать, что потом и сам никогда не расшифрует. В случае краха системы, что бывает не так уж редко, нужно чтобы доступ к данным был не закрыт.

Все таки в серьезных организациях типа банков ведь такие системы существуют. Или же там все решатеся видеонаблюдением и сильнейшими административными методами? хотел бы послушать мнение человека , работающего в таких структурах...
Есть одна идея но не знаю как ее реализовать: например есть компьютер в сети(на нем подключены дисководы, записывающие СD-rom, флеш карта и другие устройства ввода/вывода), его видит любой пользователь домена, любой пользователь домена можен на этот компьютер поместить свою информацию и забрать с него ТОЛЬКО СВОЮ информацию,НО на ее удаление он не имеет никаких прав. ПОльзователь помещает через сеть на это компьютер свои данные для выноса, затем садится за этот компьютер локально со своим доменным логином, входит в систему и ему предоставляется для записи данные только с этого компьютера. НО как сделать так чтобы человек с этого компьютера не смог видеть доступные для него в сети данные? ТО есть нужно чтобы компютер входил в домен но не видел ни контроллера домена, ни других компьютеров домена, даже при явном подключение к ресурсам типа \\Server\share$.
А затем в в течение месяца накопленная информация для выноса каждым пользователем анализируется.

babki

Реализуй на нём сетевой ресурс с разграничением прав доступа. Хотя не пойму - какая разница, что он туда скопирует, что из сети заберёт. Где ты найдёшь столько времени, чтобы просматривать каждый файл, который они оттуда скидывают? А методов внедрения зашифрованной информации в файлы картинок, звуков и т.п. уже существует достаточно, т.е. тебе придётся анализировать АБСОЛЮТНО все файлы - а это ИМХО - страшный сон администратора безопасности.

По поводу шифрования - чтобы ничего не потерялось, необходимо хранить пользователям важные данные на правильно настроенном файловом сервере, так как там доменный администратор имеет право сброса и изменения разрешений EFS (скорее всего он и на рабочих станциях домена имеет такие же полномочия).

Когда в организации всплывает вопрос об информационной безопасности, надо понимать принципы её построения. Вот пирамида, вершины которой напрямую зависят друг от друга:

.........................................финансовые затраты
......................................../...................................\
удобство пользователей------------------------------уровень безопасности

Теперь тебе необходимо определить каждой из трёх вершин. например при доминировании одной из вершин остальные подстраиваются под неё (пример - доминирует только "Уровень безопасности", тогда резко увеличиваются "Финансовые затраты" и сильно уменьшается "Удобство пользователей").

Потом происходит этап планирования и создания документа, в ктором детально рассматриваются и оговариваются вопросы безопасности, меры пресечения, как всё это будет реализовываться, административные наказания, привлечение к уголовной ответственности, планируется служба охраны, контролирующая внос/вынос накопителей и т.п., и многое-многое другое.

Затем, основываясь на этот документ, происходит развёртывание и реализация. Также в это время ищутся недочёты, недосмотры и исправляются.

После всех этапов служба безопасности, администраторы безопасности, системные администраторы постоянно следят за данной системой, в случае необходимости производя её модернизацию или внося изменения. И этот процесс практически бесконечен, почти как круговорот воды в природе.

xeel
MAC-адрес уже давно не критерий безопасности, его можно изменить.

Или же там все решатеся видеонаблюдением и сильнейшими административными методами?

Сейчас системы видеонаблюдения сильно подешевели: у меня на 16 каналов пишет на hdd 120 Гб по две недели, стоит меньше 1500$
Оказывает хорошее психологическое воздействие на персонал. Любые фокусы с копанием в компах не пройдут.
Но, имхо, терминалы - лучше всего.
USB ключи для программ типа Autocad нужны всегда, зачем их вынимать?
Защита компьютеров должна подкрепляться и защитой помещений, например доступом к компьютерам и в помещения по отпечаткам пальцев. (100$/устройство), работой ржимников с их пломбированием и подписями. Нельзя все сваливать на ПК и сети.
Вообще проблема защиты - это проблема людских взаимоотношений. Много знаю примеров, когда доверенные лица, типа первого заместителя директора, для которых защит не существует, могли предать генерального директора по корыстным или иным соображениям.

xoxmodav
Вынув заглушку на лицевой панели, можно также достать батарейку (для этого не надо быть фокусником)
Фокусником - нет. А вот навыки работы гинекологом пригодятся :)
Я уже писал, что для организации подобного уровня информационной безопасности необходимо использование терминалов на рабочих местах.
babki
Все таки в серьезных организациях типа банков ведь такие системы существуют. Или же там все решатеся видеонаблюдением и сильнейшими административными методами? хотел бы послушать мнение человека , работающего в таких структурах...
Я работаю в серьёзной организации типа банк :).
Системы безопасности в том виде, которого хотите добиться вы, у нас не существует, т.е. физическая возможность вынести информацию из локальной сети наружу у пользователей есть - пусть даже это будет нарушением всевозможных инструкций и пусть для этого потребуются определённые приседания.
При этом сразу стоит отметить, что есть просто служебная информация (деловая переписка, внутренние нормативные документы и т.д.), которую может вынести практически каждый, а есть информация а-ля базы данных по счетам клиентов, которая хранится только на серверах, установленных в отдельных помещениях с системами видеонаблюдения и контроля доступа (т.е. зайти кому попало туда не получится). Доступ по сети к серверам обрезан максимально, все запросы выполняются через прикладной софт и т.д. и т.п. Несмотря на это, копию базы данных вытащить наружу всё равно можно, при условии доступа к консоли сервера. НО: я более чем уверен, что если кто-то из сотрудников вынесет подобную информацию - этого человека вычислят, уволят его и подадут на него в суд.
Меня, например, вполне устраивает тот доход, который я имею. И поэтому мне просто неинтересно заниматься подобными действиями (скажем так - сумму, которую я захотел бы получить если бы мне предложили вынести такую информацию явно будет превышать возможный доход от использования этой информации).
Предпочитаю получать немного, но стабильно и постоянно, чем сразу кучу денег, а потом всю жизнь прятаться от правоохранительных органов. Возможно это только мои личные предпочтения, но по-моему это тоже весьма действенный способ обезопасить организацию.

Вам рекомендую определиться - действительно ли необходимо запретить вынос ЛЮБОЙ информации? Потому что если речь идёт о документах, с которыми каждый пользователь работает на своём рабочем месте - то предотвратить её вынос будет практически невозможно. Даже если вы закроете все порты и доступы, украсть текстовую информацию можно будет просто тупо сфотографировав её на фотоаппарат, встроенный в телефон и отправив куда надо MMS - сообщением. А потом стереть из памяти. И ни в каких логах этого не останется. Единственный способ борьбы с этим - забрать у всех мониторы. Только вот боюсь, что работы тогда не получится.
С наилучшими пожеланиями в реализации поставленных задач,
Xeel.

SergOst

16 каналов - это я так понимаю 16 видеокамер наблюдений? Если это так, то что же делать при более 1000 сотрудников и кто эти записи просматривать будет и следить за действиями пользователей?

даже 100 нереально, всё равно сопрут, а вот компов 30 можно поставить в одно помещение опечатать его, а пользователям поставить только мониторы, мышки и клавы провода удлинить, а в той комнате можно сделать хоть сеть хоть чё, посадить туда админа-охранника дать ему один сканер, принтер, возможность сливать и заливать инфу на разные носители, и пусть следит кто-что сливает

а телефоном с фотиком можно сфоткать всё что угодно и спереть

Я уже писал, что для организации подобного уровня информационной безопасности необходимо использование терминалов на рабочих местах.
Терминалы поставить скорее всего не получится, так как нужен будет мощнейший сервер, который у нас на вряд ли купят. Наша организация занимается проектированием зданий и работает с ресурсоемкими приложениями типа Автокад и Архикад.
При проведении тендеров за право строить тот или иной объект выигрывает организация предложившая наименньшие суммы на постройку здания при наилучшем качестве. Зафиксированы выпиющие случаи когда на один и тот же тендер две разные организации предоставляют одно и тоже по конструкции здание(одной серии), причем вторая органиация никогда не такие здания не строила и не должа иметь чертежей его. А разработать чертежи заново -очень трудоемкий процесс. Поэтому вывод: эти чертежи ушли из нашей организации в другую, но каким путем и через кого- пока не известно. Вот нужно перекрыть такую возможность, ввод вывод информации сделать через один- два компа, или хотя бы иметь возможность вычислить такого человека....
Разграничить доступ к информации - тоже сильно не получится потому что идет коолективная работа над одним проектом нескольких специалистов и хотя бы доступ только для чтения должен быть обязательно...

babki
Знаете, в советское время подобные вопросы решались на закрытых предприятиях следующим образом: все сотрудники заходили в раздевалку, полностью раздевались (в т.ч. и нижнее бельё) и шли по коридору 20-30 м до внутренней раздевалки, где надевали рабочую одежду (само собой - мальчики отдельно, девочки отдельно). Обратно - то же самое. Только таким образом можно было проконтролировать, что никто ничего не вынес с территории завода. Боюсь, что в вашем случае это практически единственный вариант, поскольку чертежи относятся к той информации, которую можно вынести не только на цифровых носителях, но и сделав фото. Да, их потом потребуется заново начертить в Autocad'е, но это гораздо проще, нежели их разработать "с нуля".
И ещё - по поводу видеонаблюдения - как показывают проведённые исследования, если человек знает, что за ним наблюдают - в 90% случаев он не делает того, что способен сделать, когда наблюдения нет. Причём для этого достаточно просто нарисовать большой глаз на стене - и у всех работающих в помещении будет ощущение, что за ними следят. Это к тому, что можно поставить муляж камеры, направленный на каждый рабочий стол + одну скрытую на помещение - это будет не менее эффективно, чем реальная камера за каждым столом.
И ещё - если сотрудник один раз продал подобную информацию и ему это сошло с рук - значит он не откажется этот фокус повторить. Так что можно просто нанять подсадную утку, которая предложит каждому сотруднику за N-ую сумму денег эти чертежи раздобыть...
Ну вроде всё, идеи скончались.
Кстати, как можно заметить, с каждым постом мы всё больше и больше отходим от администрирования систем...

Всем спасибо! тема закрыта!