Строго конфиденциально.

secret

Здесь поговорим о том, как реально обеспечить безопасную работу с действительно конфиденциальной информацией в компании.

Складывание важных файлов в отдельный каталог и ограничение доступа к нему проблему не решает. Так можно хранить файлы. Работать с ними так невозможно. В процессе работы файлы всегда будут перемещаться. И в конце концов окажутся где угодно. В теоретически безопасной системе этому должен препятствовать механизм контроля потоков. В коммерческих системах такого механизма нет. И не будет никогда. Были. Я помню о Trusted Solaris. Но в ней просто невозможно работать. Там реально нет ничего, кроме хранилища файлов. То есть не было ничего. Сейчас ее не существует, насколько я знаю.

Альтернативный путь — таскать защиту вместе с файлом. То есть сделать средство защиты файла неотделимым от самого файла. Это можно. Для этого можно использовать криптографию. Но с криптографией есть технические сложности. Чтобы ею пользоваться, человеку нужно понимать хотябы азы этого механизма. Это просто, но лениво. Вторая проблема — это возня с криптографическими ключами. Они индивидуальны для каждого участника обмена файлами. Иначе криптография бессмыслена. Соответственно, нужно как-то обмениваться ключами и таскать с собой «связку ключей» (key ring). Если вы храните связку на компьютере, то пересев за другой компьютер, вы не сможете ничего прочитать. Фигово. Нужно хранить связку на съемном носителе. Как бы его не потерять. Вообще, с криптографией связано много всяких неудобств. Поэтому никто не хочет ею пользоваться. Но коммерческие компании уже давно стараются придумать, как сделать эти технические проблемы «прозрачными для пользователей». Например, Symantec PGP — штука уже почти удобная, многие технические заморочки в ней «спрятаны». Но лично мне больше нравится Microsoft RMS (Rights Managment Server). Вот, кто близок к идеалу простоты и удобства.

Функционально идея RMS в том, что создавая документ Office или электронное письмо в Outlook, вы можете указать каким людям (указываются по адресам электронной почты) этот документ может быть доступен и с какими правами, индивидуально для каждого. Например, только читать, не изменять, не копировать фрагменты, не распечатывать. И все. Теперь вы можете делать с этим документом что угодно. Где угодно его хранить. Кому угодно отправлять его копию. Хоть в мусорку выбрасывать. Доступ получит только тот, кого вы указали, и только с теми правами. Документ зашифрован. Стойко. А человеку, который пытается его прочитать, нужно зарегистрироваться в вашей корпоративной службе каталога (Active Directory). Опа. Вот проблема. А если он получил документ на смартфон? И валяется на пляже? Нужно обеспечить доступность корпоративного AD и RMS снаружи. И, да, нужно обеспечить постоянную доступность.

На самом деле, Microsoft предлагает два вида RMS. Один называется AD RMS и он предназначен для тех, кто хочет заниматься «внутренним развертыванием». Второй — Azure Rights Managment, для тех кто хочет без заморочек получить доступный сервис из облака.  Azure RM входит в некоторые планы корпоративного сервиса Office 365 или Exchange Online. К другим его можно купить как отдельную подписку (кажется $2 в месяц на человека). Об этом лучше проконсультироваться в Microsoft. Я не их консультант по продажам.

Если вам необходимо работать с действительно конфиденциальной информацией, RMS — это лучшее, что можно придумать. Azure RM — это совсем классная штука, заодно решает проблемы с мобильными устройствами лучше, чем Good for Enterprise (если вы знаете, что это такое).

Если интересуют технические данные, посмотрите здесь: http://technet.microsoft.com/ru-ru/library/jj739831.aspx

 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s