3 сентября 2010 года
поиск
Информзащита - Нам доверяют защиту информации


Контакты

127018, Россия, Москва, а/я 55

+7 (495) 980-23-45 (многоканальный)

Системы управления ИБ. Управление правами доступа к документам

Автор: Алексей Сова, ведущий специалист департамента маркетинга компании «Информзащита».

 

Начнем с вывода

При условии внедрения ряда систем, интерес к которым сегодня обусловлен не только решением бизнес-задач, но и требованиями государственных регуляторов (системы управления идентификационными данными и доступом, корреляции событий, контроля деятельности пользователей и защиты от НСД), появляется реальная возможность отказаться от громоздких и ресурсоемких  DLP-решений (DLP - Data Leak Prevention, технологии предотвращения утечек конфиденциальной информации). При этом сама система  Oracle IRM может быть быстро развернута с использованием встроенной стандартной модели прав и  позволяет установить оптимальный баланс между безопасностью, удобством использования, и управляемостью.

Фантазии на тему

Попробуем сформулировать требования к некой гипотетической системе управления документами. Основные составляющие системы - управление доступом, управление версиями и управление жизненным циклом. Управление доступом должно обеспечивать четкое разграничение полномочий пользователя при обращении с документом. Права пользователя зависят от его должностных полномочий и от степени важности (конфиденциальности) документа. Все манипуляции пользователя с документами должны отслеживаться и протоколироваться. При необходимости, права пользователя должны корректироваться, вплоть до полного запрета на работу с данным документом. Управление версиями обеспечивает возможность актуализации текущей версии документа, с прекращением доступа пользователей к его устаревшей редакции независимо от того, сколько было сделано копий и где они хранятся. И, наконец, управление жизненным циклом обеспечивает задание таких параметров как время существования документа и срок и способ завершения рабочего цикла. Например – хранить документ пять лет с возможностью вносить изменения уполномоченным лицам, а по истечении этого срока отправить в архив и запретить вносить изменения, или вовсе уничтожить.

Для того, чтобы система по управлению правами доступа к данным могла быть успешно внедрена в сети гетерогенных серверов и рабочих станций в современных крупных организациях, имеющих партнёров, клиентов, подрядчиков, такое решение должно быть безопасным, удобным рядовым пользователям и централизованно управляемым (допущенными пользователями, владельцами бизнес-процессов и администраторами). При этом система должна обладать высокой гибкостью в настройке, учитывать различные модели нарушителя и объекты защиты. К  типовым нарушителям могут относиться рядовые пользователи, имеющие доступ к различным приложениям, администраторы баз данных или приложений, обладающие расширенными полномочиями, привилегированные пользователи, слабо управляемые и часто весьма мобильные. Объекты защиты могут быть стратегическими (клиентская база, интеллектуальная собственность), тактическими (документооборот, хранилище файлов и документов) и оперативными (текущая переписка, данные на локальных рабочих местах).

Сказку сделать былью

И вот тут, когда мы определили основные требования и критерии, самое время признаться, что подобные системы отнюдь не гипотетические, а вполне себе существующие. Реализованная некоторыми производителями ПО в своих продуктах технология Information Rights Management (IRM) обеспечивает контроль и защиту критичной информации независимо от ее местоположения.  На рынке представлены подобные продукты от компаний EMC, Oracle, Microsoft и HP.

Все они обеспечивают шифрование защищаемой информации и строгое разграничение доступа и чаще всего основаны на клиент–серверной архитектуре, где сервер отвечает за хранение политик, ключей шифрования, аутентификацию пользователей. Клиентские модули обеспечивают взаимодействие с сервером,  применение политики к той или иной информации, а также ряд дополнительных сервисов по контролю работы с документом. У продукта Oracle Information Rights Management (Oracle IRM) есть несколько ключевых отличий в архитектуре, имеющие чрезвычайно важное значение для корпоративного использования, поэтому рассмотрим функционирование системы управления правами доступа к документам именно на его примере. Основные отличия Oracle IRM:

  • Используется модель прав, основанная на классификации документов, что позволяет присваивать права не отдельным файлам, а их наборам. Как результат, необходимо оперировать с меньшим количеством прав, что, в свою очередь, делает возможным периодическую или автоматическую синхронизацию прав и событий аудита между сервером и агентами Oracle IRM.
  • Автоматическая синхронизация делает возможным полностью прозрачную работу off-line с зашифрованной информацией (например, для мобильных пользователей), оставляя в силе централизованное аннулирование или изменение прав.

Решения других производителей управляют правами на основе индивидуальных файлов. Для корпоративных объёмов информации это означает слишком большой объём прав для автоматической синхронизации с рабочими станциями.   Администраторы таких решений вынуждены выбирать между механизмом кэширования прав (чтобы позволить off-line работу), постоянно находящихся на рабочих станциях, тем самым, жертвуя возможностью изъятия прав, или, всё же, оставляя отмену прав и жертвуя работой off-line. Конкурирующие решения не могут обеспечить одновременно работу off-line и возможность изъятия прав.

Oracle Information Rights Management вводит новые элементы в жизненный цикл документооборота, такие как «запечатывание» и классификацию документов, электронной почты и web-страниц и требует установки агента на рабочие станции пользователей и на каждое устройство, на котором эта закодированная информация хранится или используется.

Выгоды подхода ориентированного на защиту информации так очевидны, а изменения в привычные механизмы жизненного цикла так минимальны, что Oracle IRM может повсеместно использоваться в организациях и государственных структурах для обеспечения безопасности наиболее конфиденциальной информации.

За семью печатями

Oracle Information Rights Management использует «запечатывание» для того, чтобы обеспечить реальный периметр управления документами электронными сообщениями и web-страницами в любом месте, где бы они не были.

Используемый  процесс кодирования  называется «запечатыванием», потому что он реально выполняет три функции:

  • Происходит упаковывание информации слоем кодирования, так что, несмотря на то, как много копий сделано и где они хранятся, они бесполезны без соответствующих данных для раскодирования.
  • В кодируемый документ встраивается набор ссылок (URL links), так что каждая копия ссылается на Oracle IRM сервер, на котором информация была «запечатана».
  • Используется цифровая подпись, так что любая попытка подделки документов будет определена и предотвращена.

Права доступа на запечатанные документы хранятся отдельно от самих данных, на расположенном в сети сервере Oracle IRM, который обслуживает организация-собственник документов. Это привносит несколько новых преимуществ, так что, где бы информация не хранилась передавалась или использовалась:

  • Неавторизованные пользователи не могут получить к ней доступ (наиболее значимая выгода).
  • Только авторизованные пользователи могут открывать или модифицировать документы в соответствии с их правами (например, право на распечатывание особо секретной информации).
  • Вся работа с запечатанной информацией (и попытки доступа к ней) централизованно протоколируются.
  • Доступ к удалённо хранимой информации может быть централизованно отменён, например, если отношения с пользователем, работником по контракту, партнёром завершились (если он сделал эти копии, используя DVD, USB и др. средства).

Одним из ключевых свойств Oracle Information Rights Management  является его способность управлять информацией снаружи межсетевых экранов, даже когда информация хранится в сети других организаций или дома у пользователя. Это является принципиально важным, ввиду того, что современному бизнесу необходимо вовлекать в бизнесс-процессы других участников, партнёров, подрядчиков, поддерживающие подразделения (например, при аутсорсинге), внешних консультантов,  удаленно работающих сотрудников  и т.д.

IRM позволяет не только расширить безопасность и аудит за пределы контролируемых хранилищ данных. Оно также позволяет управлять жизненным циклом и версиями документов, где бы они ни находилась и использовалась – на рабочих станциях пользователей, ноутбуках и мобильных беспроводных устройствах, в других репозиториях, внутри и снаружи периметра безопасности сети. Например:

  • Если документы или почтовые сообщения, являющиеся собственностью компании, запечатаны, то они не только защищены от подделки (никто не имеет права их редактировать), но и, когда приходит время их удалить, каждая их копия может быть эффективно изъята с помощью удаления ключа раскодирования с сервера Oracle IRM. И это применяется к каждой отдельной копии.
  • Если запечатывание применятся к документам, имеющим версии, то Oracle IRM может быть сконфигурирован так, чтобы автоматически изымать доступ к старым версиям, при выпуске более новой.
  • Если пользователи локально сохранили старые версии документов, они не только не получат к ним доступ, но и находящиеся внутри документов ссылки (URL) их приведут к новым версиям, хранящимся в контролируемом репозитории. Своевременное обеспечение пользователей самой новой информацией способно заметно сократить расходы компаниям и государственным структурам и быть уверенным в более полном соблюдении инструкций и правил.

Где у него кнопка?

Oracle Information Rights Management имеет  архитектуру распределения прав между центральным сервером и агентами, которые должны быть инсталлированы на каждом устройстве, которое создаёт или использует запечатанную информацию.

Четыре ключевых компонента системы:

  • Сервер Oracle IRM Server – хранит ключи раскодирования и управляет правами пользователей к запечатанным документам и электронным письмам.
  • Агент Oracle IRM Desktop – позволяет авторизованным пользователям создавать и использовать запечатанную информацию в зависимости от прав, полученных с сервера Oracle IRM.
  • Консоль управления Oracle IRM Management console – позволяет администратору управлять всеми аспектами решения Oracle IRM.
  • Oracle IRM Standard Rights Model – web-приложение, позволяющее бизнес или IT-администраторам создавать новых пользователей, присваивать роли и т.д.

1. Создание.

Пользователи продолжают создавать документы и электронные сообщения с помощью существующих привычных приложений, таких как Microsoft Office, Microsoft Outlook, Adobe Reader, Lotus Notes и т.д. Например, создание  электронных сообщений происходит в обычном email-клиенте, а отправка – по кнопке «запечатать и отправить» (вместо «отправить»).

2. Классификация и назначение прав

Oracle IRM позволяет автоматически или в ручном варианте запечатывать документы на различных стадиях их жизненного цикла с помощьюсредств, интегрированных в Windows desktop, приложения по созданию документов, клиентские программы электронной почты и общих репозиториях. Запечатывание защищает документы и электронные сообщения с помощью механизмов кодирования и цифровых электронных подписей, «вшивая» неудаляемые привязки (links) к находящимся в сети серверам Oracle IRM, которые хранят информацию для раскодирования и права доступа к документам.

3. Распространение

Запечатанные документы и электронные сообщения могут распространятся любым доступным способом (email, web, через файловые сервера и т.д.). Права сохраняются отдельно от запечатанных документов и почтовых сообщений на сервере Oracle IRM, позволяя менять права в любое удобное время.

4. Проверка привилегий

Для создания и использования документов и электронных сообщений привычными средствами конечные пользователи должны загрузить и инсталлировать универсальный агент, называемый Oracle IRM Desktop. Агент  имеет небольшой размер и отвечает за аутентификацию пользователей, прозрачным образом запрашивая права с сервера Oracle IRM, защищая и протоколируя работу с запечатанными документами и почтовыми сообщениями, когда они используются встроенными средствами рабочих станций.

5. Детальный аудит доступа

Сервер и агенты совместно обеспечивают аудит всех попыток обращения к запечатанным документам и электронным письмам (on-line и off-line), всех административных операций, таких как назначение или изъятие прав. Можно управлять степенью детализации аудита, а записи аудита могут храниться в базе данных на сервере Oracle IRM, посланы  сообщений внешним приложениям для обработки или могут экпортироваться в журнальные файлы для дальнейшего импорта в стандартные средства генерации отчётов.

6. Мониторинг доступа

Консоль управления обеспечивает отчётность на основе запросов с преднастроенными формами отчётов, такими как «Активность пользователей» или «События по определённому документу», а также и отчёты определяемые пользователем.

Рис. 1.

Таким образом, Oracle Information Rights Management может контролировать каждый аспект использования запечатанных документов на рабочих станциях пользователей:

  • Кто: контроль, кто смог и кто не смог открыть документы.
  • Что: контроль доступа к набору (согласно классификации) или к любому конкретному документу.
  • Когда: контроль того, когда доступ начался и закончился с возможностью отмены права доступа в любой момент.
  • Где: предотвращение возможности доступа к критическим документам снаружи сети.
  • Как: контроль того, как именно пользователи работают с документами на своих рабочих станциях (с глубоким контролем открытия, аннотирования, внесения изменений, трассировкой изменений, контролем копирования, отправки на печать, работы с полями и ячейками форм, просмотром табличных формул и т.д.)

Во всех случаях этот постоянный контроль осуществляется на протяжении всего жизненного цикла документов и электронных сообщений вне зависимости от того, где они находятся и используются.

Всем сестрам по серьгам

Развитая поддержка современных и унаследованных операционных систем и приложений является серьёзным аргументом при внедрении в существующих распределённых гетерогенных системах корпоративного уровня. Важно также, чтобы внедряемые решения работали с различными версиями ПО, чтобы при возможных обновлениях функционирование всех систем не прерывалось.

Поэтому поддерживается широкий диапазон последних и устаревших версий приложений и операционных систем различных компаний:

  • Microsoft Office 2000-2003 (Word, Excel, PowerPoint)
  • Adobe Acrobat или Reader 6.0+
  • Email: Microsoft Outlook 2000-2003, Lotus Notes 6.5+ и Novell GroupWise 6.5-7.0
  • Email: BlackBerry for Exchange and Domino, BES 4.1+
  • HTML и XML (Internet Explorer 6.0+)
  • TXT и .RTF документы GIF, JPEG и PNG
  • TIFF и 2D CAD

Доступ к большому количеству документов контролируется в терминах существующих бизнес-процессов или уже имеющейся классификации информации (например, по степени секретности – «секретно», «совершенно секретно»), по существующим бизнес-ролям (таким как «рецензент»), по существующим группам пользователей, определённым в каталоге пользователей (например, «менеджеры отдела продаж»).

Простоту и удобство управления на основе классификации прав иллюстрирует рисунок 2. Шесть файлов были запечатаны с использованием двух предопределённых классов («конфиденциально» и «общедоступная информация»). Пользователи генеральный директор (CЕO), начальник отдела кадров (HR Director) и группа «Сотрудники компании» (all employees) получили необходимые права на эти классы, что в результате породило четыре разных права доступа на эти шесть документов.


Со временем количество запечатанных документов легко может вырасти от шести до шести тысяч, при этом, не изменяя количества прав доступа (всего четыре), потому что привязка идёт на классы, а не на индивидуальные файлы. А так как нет необходимости управления огромным числом прав,  решение Oracle обладает высокой надежностью и масштабируемостью , работая при этом на относительно скромном аппаратном обеспечении.

Рис.2.

Oracle IRM поддерживает возможность иметь исключения из общих правил (неизбежные в реальной жизни) для классификации прав доступа, что позволяет администраторам конфигурировать систему на основе индивидуальных пользователей и отдельных файлов.

Административные операции, такие как создание классификаций безопасности, определение ролей и присваивание прав на основании типов или на основании отдельного документа могут быть выделены и присвоены отдельным пользователям или группам пользователей. Владельцы бизнес-процессов и их помощники легко могут управлять безопасностью их наиболее секретной информации без привлечения IT-администраторов (то есть можно обойтись без дополнительных суперпользователей).

Популярно объясняю

Существует множество примеров использования системы управления правами доступа к документам в повседневной деятельности любой организации:

Рассылка письма руководителя компании о новой системе премирования:

  • К письму применяется шаблон «Конфиденциально – для внутреннего использования».
  • Сотрудники могут читать защищенное письмо, но не могут копировать, сохранять, редактировать или пересылать.
  • К письму приложен файл с таблицами расчета, который могут открывать  и читать только руководители подразделений.

Работа в группе:

  • Руководитель группы устанавливает ограниченные права доступа для документа Word и назначает срок действия этих прав.
  • Члены группы получают доступ к документу только на чтение.
  • После истечения установленного времени, доступ к документу прекращается.

Работа с версиями документов:

  • Устанавливается контроль номера текущей версии.
  • При создании новой версии документа, Oracle IRM прекращает возможность доступа к старым версиям, где бы они не находились.
  • При попытке открыть старую версию, пользователь перенаправляется к новой версии, хранящейся на сервере.

Управление жизненным циклом документа

  • Для документа определяются параметры жизненного цикла, например: хранить без изменений 10 лет, а затем уничтожить.
  • При достижении установленного срока доступ к документу прекращается.
  • Независимо от того, какое количество копий было сделано и где они хранятся, документ становится недоступен. 

В сухом остатке

  Основным результатом внедрения системы Information Rights Management  является уменьшение риска утечки конфиденциальной информации за счет:

  • Шифрования данных
  • Контроля действий, производимых с документом
  • Регистрации событий доступа к информации
  • Возможности  централизованно аннулировать доступ к документу

Кроме того, при условии внедрения ряда систем, интерес к которым сегодня обусловлен не только решением бизнес-задач, но и требованиями государственных регуляторов (системы управления идентификационными данными и доступом, корреляции событий, контроля деятельности пользователей и защиты от НСД), появляется реальная возможность отказаться от громоздких и ресурсоемких  DLP-решений (DLP - Data Leak Prevention, технологии предотвращения утечек конфиденциальной информации). При этом сама система  Oracle IRM может быть быстро развернута с использованием встроенной стандартной модели прав и  позволяет установить оптимальный баланс между безопасностью, удобством использования, и управляемостью.

 

01.02.2010
версия для печати