КРИПТОТЕХНОЛОГИИ
Деннис Фишер
Хакеры находят все новые и новые лазейки для нарушения границ систем безопасности, поэтому оборону приходится эшелонировать все глубже и глубже. Ряд компаний разрабатывает программные и аппаратные средства, обеспечивающие защиту на всех уровнях вплоть до файлов баз данных.
В начале апреля свои новинки в этой области представили сразу два разработчика - фирмы Vormetric и Decru. Их продукты шифруют файлы базы данных не только при хранении, но и при пересылке, одновременно предоставляя администраторам возможность самого жесткого контроля над доступом.
CoreGuard позволяет администраторам и служащим обрабатывать файлы,
даже не имея прав на ознакомление с их содержимым
Новую платформу безопасности собирается выпустить и начинающая фирма Liquid Machines. Ее продукт способен встраивать права доступа непосредственно в документы, а также модифицировать приложения, которые, собственно говоря, и следят за соблюдением таких прав.
Все эти разработки - наглядное проявление новой тенденции: и потребители, и производители все дальше отходят от таких традиционных методов борьбы, как обнаружение взломов и применение сетевых экранов, оказавшихся весьма ненадежными.
“Мы хотим защитить сами данные, а не инфраструктуру. Нужны инновации, а не полные ошибок старые исходники и попытки что-то в них исправить, - пояснил политику своей фирмы исполнительный директор Liquid Machines Джим Шунмейкер. - Главное заинтересованное лицо здесь - предприятие, и все аспекты защиты возлагаются на него”.
Подобного подхода придерживаются Vormetric и Decru. Система CoreGuard первой из них сочетает в себе программный агент на хост-компьютере и устройство, устанавливаемое в вычислительном центре между этим компьютером и сетью хранения данных. По желанию администратора все файлы или их часть могут зашифровываться с использованием алгоритмов Triple-DES (Data Encryption Standard - стандарт шифрования данных) или AES (Advanced Encryption Standard - усовершенствованный стандарт шифрования). При выборе криптотехнологии учитывается мнение пользователя. Когда файл зашифрован, система выделяет из него метаданные и сохраняет их в виде открытого текста, благодаря чему администратор и другие служащие могут обрабатывать файл, даже не имея прав на ознакомление с его содержимым.
Связь с приложением Vormetric поддерживает серверный агент, расположенный между приложением и ОС. Именно он следит за соблюдением правил контроля над доступом. Разрешение на чтение информации или ее запись выдается после проверки идентификатора пользователя с учетом времени суток и характера затребованного ресурса. Если эти параметры не соответствуют правилам, доступ запрещается.
“Пусть даже возникнут проблемы с устройством, но если программе запрещено запускать что-либо в это время суток, образовавшейся брешью никто воспользоваться не сможет, - утверждает специалист по безопасности крупной издательской компании, где проходила проверку система CoreGuard. - Но руководителям своих подразделений я могу уверенно пообещать, что на их повседневную работу это никак не повлияет”.
Чтобы защитить сетевые ресурсы от процессов-злоумышленников, CoreGuard, кроме всего прочего, снабжает все санкционированные приложения цифровой подписью, которая служит как бы пропуском через аппаратную часть системы. Само это устройство стоит 29 500 долл., а за каждый серверный агент нужно заплатить еще 2995 долл.
Нечто подобное реализовала в своей аппаратной системе DataFort FC520 и фирма Decru из Редвуд-Сити (шт. Калифорния). Сердцем созданного ею блока служит заказная микросхема шифрования, залитая очень стойкой к внешним воздействиям эпоксидной смолой. Все криптоключи хранятся в устройстве, причем администратору несложно систематизировать доступ из различных подразделений, создав для каждого из них собственный ключ.
Liquid Machine тем временем работает над другим решением проблемы. Ее платформа, пока еще не получившая названия, предоставляет доступ к информации по правилам, в основе которых лежит роль пользователя в структуре организации. В каждый документ или ресурс здесь закладываются индивидуальные привилегии доступа, определяющие, кто из пользователей имеет право читать, модифицировать или распечатывать документ. Платформа несколько изменяет код всех задействованных приложений, благодаря чему те получают возможность считывать из документа права доступа и действовать в соответствии с ними.
Выпуск новой платформы намечен на июнь.
