Что мы имеем сегодня?

Проблема контроля над нелегальной миграцией данных за пределы организации с использованием переносных устройств (flash-накопители, переносные HDD, PCMCIA-карты, КПК и пр.) давно актуальна для многих компаний. Но до сих пор ее решение сводится к созданию нетривиальных политик безопасности. Однако такие решения, во-первых, сложны и нестандартны, во-вторых – в большинстве реализаций не позволяют проводить централизованный аудит событий, связанных с копированием данных на съемные устройства. Помимо этого, при создании жесткой политики безопасности системному администратору бывает трудно решить проблему предоставления выборочного доступа к таким устройствам, а уж про прямые и наглядные разрешения типа ACL – вообще говорить не приходится.

Как итог – большинство системных администраторов либо смирилось с проблемой утечки информации через мобильные устройства, либо скрупулезно пытаются создавать политики безопасности, способные решить задачу предотвращения доступа к таким устройствам. Себя я отношу к первой категории, так как управлять сетью IT-компании и пытаться запретить копировать что-либо на съемные носители почти невозможно, а управление изменениями политик в данном случае затруднительно.

Есть ли варианты?

Несколько месяцев назад компания SecurIT (http://www.securit.ru), разработчик популярных систем защиты информации при ее хранении на дисках и лентах, анонсировала новый продукт – систему Zlock, основное назначение которой – разграничение прав пользователей на использование внешних устройств, например USB-flash-дисков и пр. В статье речь пойдет о последней версии продукта – Zlock 1.2.

Для каждого типа устройств Zlock предполагает возможность гибкой настройки прав доступа на основе списков контроля доступа (ACL). Для каждого физического или логического устройства и для каждого пользователя или группы пользователей из Active Directory можно разрешить либо полный доступ, либо чтение, либо вообще доступ запретить. Подключаемые устройства могут идентифицироваться по любым признакам, таким как класс устройства, код производителя, код устройства, серийный номер и т. д. Это дает возможность назначать разные права доступа к устройствам одного класса, например, запретить использование USB-flash-дисков, но при этом разрешить использование USB-ключей для аутентификации пользователей и работы защищенных от копирования коммерческих программ. Возможность ведения журнала операций чтения-записи позволяет создать систему безопасности, основанную не только на превентивном предотвращении доступа, но и на анализе тех операций, которые должны выполняться по долгу службы. Таким образом, в ситуациях, когда из-за специфики работы нельзя полностью запретить запись информации на переносные носители (например, IT-компании), созданная система безопасности будет вести журнал всех операций и шанс найти источник утечки все равно останется.