- ОКБ Сапр

реклама
ОКБ САПР
http://www. okbsapr.ru
e-mail: okbsapr@okbsapr.ru
Безопасное применение
мобильных
USB-носителей
КЗИ-2012
Флешка (USB-флеш-накопитель) компактное
запоминающее
устройство,
использующее
в
качестве носителя флеш-память и
подключаемое
к
считывающему
устройству по интерфейсу USB
Достоинства USB-накопителей
 универсальность, доступность
 мобильность, компактность
 разнообразный привлекательный дизайн
 приемлемая скорость чтения/записи
 приемлемый объем
 приемлемая стоимость
 высокий уровень доверия к технологии
Угрозы безопасности
USB-накопителей
Следствие универсальности, мобильности и
компактности:
 кража/потеря
 вынос за пределы охраняемой зоны
 внедрение ложного носителя
Угрозы информации и ИС
 нарушение конфиденциальности и целостности
информации на USB-носителе
 навязывание ложной информации
 вредоносное ПО (вирусы…)
Методы защиты
Ограничение доступа к USB-носителю:
 встроенные возможности СЗИ НСД
 DLP-системы (DLP – Data Leak Prevention)
 шифрование данных (пофайловое или
«прозрачное»)
Применение СЗИ НСД
Достоинства:
 единый центр управления, единая аутентификация и
авторизация пользователей
 аппаратная поддержка защиты
 контроль доступа не только к USB интерфейсам
Недостатки:
 уступают по функционалу DLP-системам
DLP - средства
Достоинства:
 разнообразный функционал
 «закрывают» другие уязвимости и интерфейсы
Недостатки:
 требуют встраивания в единую систему защиты
 требует обеспечения безопасной вычислительной среды
Шифрование
Достоинства:
 высокий уровень защиты
Недостатки:
 не учитывает других каналов утечки
 сложность управления (СКЗИ)
 требует обеспечения безопасной вычислительной среды
Варианты построения
 СЗИ НСД (ограниченная функциональность)
 DLP-средства + СЗИ НСД (безопасная среда)
 шифрование носителя со сложным
управлением + СЗИ НСД (безопасная среда)
Остаточные риски
 отсутствует контроль доступа к USB-носителю
там, где он запрещен
 кража, потеря и вынос за охраняемый
периметр «разрешенных» носителей
ВОЗМОЖЕН
Что делать?
 DLP-средства
 СЗИ НСД
 специальный носитель «Секрет» в
качестве «разрешенных» носителей
Структура USB-накопителя
Контроллер
Память
Состав «Секрета»
 аппаратный модуль «Секрет» (безопасное
хранение ключей и внутреннего ПО)
 внешнее ПО (на контролируемом компьютере ввод
пароля, протокол взаимной аутентификации
компьютера и «Секрета»)
 внутреннее ПО (на контроллере «Секрета»
протокол взаимной аутентификации)
Ассоциация
Выводы
Вынос, потеря и кража СН не опасны
 СН сам принимает решение, на каких компьютерах и
какой пользователь его может использовать
Внос ложных носителей не опасен
 ПО компьютера принимает решение, какой пользователь
и какие СН на нем может использовать
Выводы
 компьютерах
корпоративной
сети
нельзя
использовать никакие другие флешки кроме
«Секретов» (СЗИ НСД, DLP, ПО «Секрет»)
 флешки
корпоративной
сети
нельзя
использовать ни на каких других компьютерах
(«Секрет»)
Храните свои данные в
Секрете!
ОКБ САПР, Пенза
http://www. okbsapr.ru
e-mail: gmm@okbsapr.ru
М.М. Грунтович
КЗИ-2012
Скачать