Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Трое человек говорят о трех разных вещах. С чего спор - все... 07.07.08 10:50 Число просмотров: 8903
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 07.07.08 10:55 Количество правок: 5
|
[moved from hardware] > При разработке политик безопасности ИС необходимо исходить > из того, что "супостату" известно, что в ИС есть > (храниться/обрабатывается) инфа с "ограниченным доступом". > А желание выглядеть "кирпичом" - имхо идет от неуверенности > (ничего личного, только жизненные наблюдения) в своем > решении безопасности. > Не знаю я примеров, когда такая позиция "кирпича" спасала > при серьезных проверках. Есть примеры? :)
Трое человек говорят о трех разных вещах. С чего спор - все правы (по своему).
2 "Lurga":
Прежде всего хотелось бы предостеречь от смешивания "РАИДа" и аппаратной шифровалки в одну кучу. Прозрачные аппаратные шифровалки существуют, но чтоб они были внутри аппаратного РАИДа - глубоко сомневаюсь, что такие могут существовать. Возможно использование тандема из двух плат, где шифровалка перехватит обращения к контроллеру дисковой подсистемы и зашифрует/расшифрует поток данных, представившись контроллером дисков, а сама будет обращаться к существующему контроллеру. Знаю точно, что такие существовали для простых АТА контроллеров (не РАИДов) еще во времена Пентиумов. Видеть не довелось, поскольку в момент моего присутствия в фирме не было в наличии. Сейчас не уверен, что такие найдутся.
В принципе нет необходимости прибегать к железякам по многим (не буду зря перечислять здесь) причинам. Вполне можно воспользоваться как программным "зеркалом", так и програмной прозрачной шифровалкой. Чесслово, когда-то десятка полтора-два лет назад сам принимал участие в написании таковой для 3,5" дискет.
2 Ustin:
Очень полезная статья. Даже обсуждать нечего в рамках данной ветки.
Прелесть в том, чтобы всячески постараться сделать так, чтоб "злоумышленник" удовлетворился фэйком. Я б еще посоветовал криптоконтейнер прятать получше маскировав его. Умная собака не всегда может схватить первую обглоданную кость и убежать с ней. Если проверяльщик увидит явный софт и типовой контейнер, то он им заинтересуется однозначно.
> Выносить или не выносить КИ из офиса - уже решается по > стойкости "человеческого фактора" носителя КИ. Возможно > сейф в кабинете гендиректора будет достаточно, а может и > есть необходимость в банковском сейфе или вынос КИ за > пределы государства, материка, вселенной :) > Вот только достаточно жесткий режим КИ, потребует жесткий > регламент и к ИТ. Ведь плановая или внеплановая > перезагрузка приведут к необходимости сложных операций > "собираний" КИ. Возможно использование более > "долгоработающих" умных НАС.
2 Garick:
Почему разные мнения и все правы по своему? Потому что шифроваться таким образом у людей возникает необходимость не от хорошей жизни. Для защиты от шпиона-любителя достаточно любой устойчивой шифровалки, но некоторым хочется защититься и от заинтересованых официальных лиц, а тут уже намного сложнее. Поэтому технология, выстраданная "Ustin'ом", наиболее интересна из-за того, что эти официальные лица обладают возможностью и поломать шифровалки средней стойкости, и юридически всех "на уши поставить", и термректоральный криптоанализ применить, а вы тут о дискетке в сейфе директора и официально задокументированом регламенте.
|
|
|