На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-6-17 на главную / новости от 2003-6-17
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 17 июня 2003 г.

Жертвы

Суммарная безопасность данных определяется устойчивостью ко взломам самого узкого звена. Таким в ИС зачастую является операционная система. Но "Юпитер" за счет наличия в нем собственной канонической схемы вычислительного процесса позволяет эти узкие места защитить.

Правда, для того чтобы этого достичь, компания, его применяющая, должна пойти на определенные жертвы в области удобства работы пользователей.

Во-первых, на уровне ОС нужно переключить все сетевые сервисы (FTP, Telnet, SNMP и т. п.) на магистраль “Юпитера” через прокси-соединение. Таким образом устраняются все чужеродные подключения, через которые может пройти атака. С соответствующих конфигурационных файлов и настроек снимается контрольная сумма.

При запуске “Юпитер” определяет, разрешенная это или не разрешенная конфигурация. Причем эти проверки делаются и далее, в моменты времени, утвержденные в регламенте.

Во-вторых, для каждой машины администратор задает модули, разрешенные к исполнению. Их список записывается в специальные таблицы “Юпитера”, и с каждого исполняемого модуля, перечисленного в списке, также снимается контрольная сумма. В процессе работы “Юпитер” периодически проверяет, разрешено ли выполнение приложений, и их целостность.

И наконец, вся информация, содержащая элементы коммерческой или государственной тайны, должна быть перемещена из произвольных файлов в специализированное хранилище.

Рабочий каталог пользователя — вершина айсберга, с которой он может дальше что-либо делать, — также лежит в спецхранилище и доступен только после того, как человек предъявит полномочия. Рабочие же документы и ссылки на другие данные доступны через Web-браузер (интранет-сервер встроен в виртуальную машину “Юпитер”).

Если нужный документ находится в удаленном хранилище, то HTTP-доступ к нему всегда происходит через тракт “Юпитера” по процедуре, описанной в предыдущем разделе. Установки стека протоколов TCP/IP для этого не требуется.

Взаимодействие со спецхранилищем может быть сопряжено с неудобствами, скажем, из того же Word’а документы приходится сохранять во временном файле. Но для подобных продуктов ИВК предлагает специализированные макросы, обеспечивающие прозрачное перемещение порций информации между ними и спецхранилищем или очередью сообщений.

В большинстве систем документооборота такое взаимодействие строится через интерфейсы ODMI (Open Document Management Interface), но в ИВК сочли, что этот подход снижает защищенность системы в целом.

 

← май 2003 11  13  14  16  17  18  19  20  22 июль 2003 →
Реклама!
 

 

Место для Вашей рекламы!