21 октября, воскресенье 07:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Комплексная система защиты от НСД

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Комплексная система защиты от НСД

    Хотелось бы услышать ваше мнение по поводу КСЗИ "Панцирь-К", вроде получше чем SecretNet.
    http://npp-itb.spb.ru/products/index.shtml

  • #2
    А как быть с тем, если враг захочет загрузиться с флешки?
    У секретнета есть железка, которая перехватывает управление во время загрузки.
    Кроме того, секретнет может работать как антивирусное средство - он "знает" какие исполняемые файлы есть на компьютере и не допустит появление новых - как игрушек так и закладок. Я использовал это его свойство там где не было подключения к интернету а антивирусная защита требуется.

    Комментарий


    • #3
      А как быть с тем, если враг захочет загрузиться с флешки?
      У секретнета есть железка, которая перехватывает управление во время загрузки.
      Кроме того, секретнет может работать как антивирусное средство - он "знает" какие исполняемые файлы есть на компьютере и не допустит появление новых - как игрушек так и закладок. Я использовал это его свойство там где не было подключения к интернету а антивирусная защита требуется.


      В Панцире есть возможность запретить подключать иные дисковые устройства, кроме разрешенных. Также можно запретить изменять файлы или папки (но читать и выполнять их можно).

      Комментарий


      • #4
        Сообщение от Jaffar Посмотреть сообщение
        В Панцире есть возможность запретить подключать иные дисковые устройства, кроме разрешенных. Также можно запретить изменять файлы или папки (но читать и выполнять их можно).
        Панцирь - программное средство, следовательно работает когда загружена операционка. А ДО ее загрузки пользы от панциря никакой. А как вы им запретите грузиться с флешки?

        А если враг просто ДОБАВИЛ экзешник на диск? Чего тогда панцирь сделает?

        Комментарий


        • #5
          Про Панцирь много выступал его автор на сайте Секлаба и там же было много реальных отзывов об этом продукте.

          Hint: искать на секлабе статьи с авторством г-на Щеглова или указанием компании НПП БИТ.

          Комментарий


          • #6
            А как быть с тем, если враг захочет загрузиться с флешки?
            У секретнета есть железка, которая перехватывает управление во время загрузки.


            Под железкой подразумевается что то типа ПАК "Соболь"?

            Комментарий


            • #7
              Сообщение от Алексей Лукацкий Посмотреть сообщение
              Про Панцирь много выступал его автор на сайте Секлаба и там же было много реальных отзывов об этом продукте.

              Hint: искать на секлабе статьи с авторством г-на Щеглова или указанием компании НПП БИТ.

              Не могу не вмешаться, когда речь заходит о нашем продукте и компании.
              1. Г-н Лукацкий, прошу Вас не ошибаться с названием компании, которой руковожу - ЗАО "НПП "Информационные технологии в бизнесе" (сокращенное ЗАО "НПП "ИТБ"). НПП "БИТ" - это совершенно другая компания.
              2. Вы не хуже меня знаете, что секлаб весьма своеобразный ресурс, наверное, один из самых посещаемых, и наиболее разнородных по составу участников.Я читал там отзывы и на Ваши, и на свои статьи, на мой взгляд, не стоит акцентировать внимание участников форума на подобных отзывах.

              Комментарий


              • #8
                1. Относительно "железок".
                Они появились десяток лет назад, тогда с одной лишь целью, защититься от наличия инженерных паролей в BIOS. Подобных паролей давно не существует, а "железяки" остались.
                Чтобы предотвратить несанкционированную загрузку системы, достаточно установить необходимый способ загрузки в BIOS, и установить пароль (максимально большой длины) - это не пароль на вход в систему, часто не используется. Вот и все, зачем дополнительные затратные средства, в защите компьютеров есть дела куда важнее.
                2. Панцирь корректно функционирует с "железками" ряда (на чем проверядли) сторонних производителей, если очень захочется, можете использовать.
                3. Сравнение средств состоит не в том, чтобы абстрактно что-то утверждать. Рассмотрите какую-либо задачу защиты (напаример,утечка конфиденциальных данных - инсайдерская атака, сетевая атака на расширение привилегий, атака на ошибки приложений - таких вариантов множество). Посмотрите может ли средство решить данную задачу (необходимые задачи), и как? Достаточно ли в нем для этого механизмов защиты и корректно ли они реализованы? В результате получите сравнительную оценку.

                Пока не зарегистрировался на форуме, А.Щеглов

                Комментарий


                • #9
                  Ну, раз уж г-н Щеглов к нам присоединился, по устоявшейся традиции подолью масла в огонь

                  У подобных решений есть один, но очень большой недостаток: некорректное позиционирование. Продукт позиционируется как комплексное решение, предназначенное для защиты как от внешних атак, так и для инсайдеров, достаточное для соответствия требованиям класса АС 1Г. Это красивый пример того, как легко ввести потребителя в заблуждение, не сказав ни единого слова неправды

                  1. Это действительно комплексное решение в том смысле, что оно защищает почти все объекты доступа операционной системы. Ключевое словосочетание - "операционной системы". К примеру, если Панцирь защищает сервер сервер баз данных, то в одном тэйблспейсе у вас могут храниться несколько таблиц. Эти таблицы (и даже отдельные кортежи в них) могут иметь разный уровень конфиденциальности. Для Панциря это будет один объект.
                  Аналогичная проблема с приложениями, например - с web-приложениями. Панцирь худо-бедно можно применять совместно c IIS'ом, если вы строите интегрированную авторизацию на базе SSPI. Но если вы используете веб-сферу с интегрированной же (на базе Java) авторизацией, средства контроля доступа уровня операционной системы (включая Панцирь) тихо курят в сторонке.

                  2. Если вы установите Панцирь на операционную систему, вы действительно получите АС уровня 1Г. Разумеется, если речь идет о рабочей станции. Если это сервер с приложениями, то в вашей АС есть "видимые пользователю интерфейсы", не контролируемые Панцирем (см. п.1). Такую систему, опираясь только на Панцирь, вы уже на 1Г не аттестуете.

                  3. Утверждение об эффективности против инсайдера верно, если предполагать, что инсайдер просо утаскивает плохо лежащие файлы. Панцирь не позволяет контролировать HTTP/HTTPS трафик, SQL-запросы, выполняемые Activex компонентами с клиентской стороны, трафик GSS-API для любителей SAP'а. Список можно продолжать долго.

                  Короче, это неплохой продукт для решения очень узкого круга задач и не соответствующий заявленной области применения. Андрей Юрьевич, именно это я имел в виду, когда некорректно употребил слово "поделка".

                  Комментарий


                  • #10
                    Сообщение от Jaffar Посмотреть сообщение
                    А как быть с тем, если враг захочет загрузиться с флешки?
                    У секретнета есть железка, которая перехватывает управление во время загрузки.


                    Под железкой подразумевается что то типа ПАК "Соболь"?
                    С SecretNet идет еще и своя железка, можно доставить и Соболь.

                    Комментарий


                    • #11
                      Преймуществом SecretNet является его сетевой вариант, когда политики, логи контролируются центразовано. Не знаю насчет панциря - на сайте не нашел внятного подтвержения этому, хотя какие-то слова проскальзовали.
                      Одним из требований по глассу 1Г для АС является очитска освбождаемых учатков памяти. А для 1Д - этого не требуется. не нашел настроек чтоб в нем где это вкючается.Здается мне что он этого не делает. Шифрование информации....наверно надо использовать сертифицированные ФСБ средства...а СекретНет имеет только сертификат ФСТЭК.....но, главное, что он устраивает ФСТЭК

                      Комментарий


                      • #12
                        Сообщение от Berrimor Посмотреть сообщение
                        Панцирь - программное средство, следовательно работает когда загружена операционка. А ДО ее загрузки пользы от панциря никакой. А как вы им запретите грузиться с флешки?

                        А если враг просто ДОБАВИЛ экзешник на диск? Чего тогда панцирь сделает?
                        Я думаю, что шифрование зашишаемых объектов достаточная защита от зарузки хоть с чего

                        Комментарий


                        • #13
                          Сообщение от virus Посмотреть сообщение
                          Преймуществом SecretNet является его сетевой вариант, когда политики, логи контролируются центразовано. Не знаю насчет панциря - на сайте не нашел внятного подтвержения этому, хотя какие-то слова проскальзовали.
                          Одним из требований по глассу 1Г для АС является очитска освбождаемых учатков памяти. А для 1Д - этого не требуется. не нашел настроек чтоб в нем где это вкючается.Здается мне что он этого не делает. Шифрование информации....наверно надо использовать сертифицированные ФСБ средства...а СекретНет имеет только сертификат ФСТЭК.....но, главное, что он устраивает ФСТЭК
                          1. В состав КСЗИ "Панцирь-К" входит система защиты данных (СЗД) "Панцирь". Это средство защиты также поставляется и самостоятельно. Оно решает задачи гарантированного удаления, шифрования (файловых объектов на жествок диске, внешних накопителях, разделенных в сети), сокрытие защищаемых файловых объектов, разграничение доступа на основе ключевой информации и т.д. Посмотрите документацию на это средство защиты на сайте.
                          А.Щеглов
                          2. Относительно централизованного управления в Панцире, конечно же оно присутствует, серьезный упор в нем сделан на контроль действий пользователя (используется подсистема оперативного слежения (СОС) "Панцирь"). Скачайте с сайта руководство администратора (удаленное администрирование) для Панцирь-К, там все это описано.

                          Комментарий


                          • #14
                            Сообщение от malotavr Посмотреть сообщение
                            Ну, раз уж г-н Щеглов к нам присоединился, по устоявшейся традиции подолью масла в огонь

                            У подобных решений есть один, но очень большой недостаток: некорректное позиционирование. Продукт позиционируется как комплексное решение, предназначенное для защиты как от внешних атак, так и для инсайдеров, достаточное для соответствия требованиям класса АС 1Г. Это красивый пример того, как легко ввести потребителя в заблуждение, не сказав ни единого слова неправды

                            1. Это действительно комплексное решение в том смысле, что оно защищает почти все объекты доступа операционной системы. Ключевое словосочетание - "операционной системы". К примеру, если Панцирь защищает сервер сервер баз данных, то в одном тэйблспейсе у вас могут храниться несколько таблиц. Эти таблицы (и даже отдельные кортежи в них) могут иметь разный уровень конфиденциальности. Для Панциря это будет один объект.
                            Аналогичная проблема с приложениями, например - с web-приложениями. Панцирь худо-бедно можно применять совместно c IIS'ом, если вы строите интегрированную авторизацию на базе SSPI. Но если вы используете веб-сферу с интегрированной же (на базе Java) авторизацией, средства контроля доступа уровня операционной системы (включая Панцирь) тихо курят в сторонке.

                            2. Если вы установите Панцирь на операционную систему, вы действительно получите АС уровня 1Г. Разумеется, если речь идет о рабочей станции. Если это сервер с приложениями, то в вашей АС есть "видимые пользователю интерфейсы", не контролируемые Панцирем (см. п.1). Такую систему, опираясь только на Панцирь, вы уже на 1Г не аттестуете.

                            3. Утверждение об эффективности против инсайдера верно, если предполагать, что инсайдер просо утаскивает плохо лежащие файлы. Панцирь не позволяет контролировать HTTP/HTTPS трафик, SQL-запросы, выполняемые Activex компонентами с клиентской стороны, трафик GSS-API для любителей SAP'а. Список можно продолжать долго.

                            Короче, это неплохой продукт для решения очень узкого круга задач и не соответствующий заявленной области применения. Андрей Юрьевич, именно это я имел в виду, когда некорректно употребил слово "поделка".

                            Честно говоря, я к Вам присоединился не Панцирь обсуждать, а лишь уточнить, что неверно названа наша компания, поэтому не очень понимаю, почему Вы "обрушились" на меня с подобной обличительной речью.
                            К сожалению, не знаю Вашего имени и отчества, не смотря на то, что мы иногда "пересекаемся" в форумах.
                            Вы совершенно правы в том, что Панцирь, это средство защиты, реализованное на уровне ядра (драйверы), поэтому разграничения возможны к объектам, создаваемым ОС. То, что мы не "поднимаемся" на более высокий уровень (не делаем разграничений к объектам, создаваемым приложениями) обусловливается двумя причинами. Во-первых, за всеми "фантазиями" разработчиков приложений не угонишься, во-вторых, эффективной защита может быть только на уровне ядра - "чуть приподниметесь", увеличите вероятность обхода защиты на порядки.
                            Уверяю Вас, мы все это анализировали.
                            Например, если говорить о БД, наверное, не так сложно размещать таблицы разных уровней конфиденциальности в различных файлах, глядишь, получим эффективную защиту. Но это уже вопросы к разработчикам БД. Наверное, им следует корректно формулировать ТЗ при разработке БД с конфиденциальной информацией, но это другой вопрос.
                            Относительно трафика и его контроля. В Панцире есть разграничение доступа к сетевым ресурсам (то, что от большой квалификации, иногда называют "персональным межсетевым экраном").
                            Если же говорить о контроле, как таковом (DLP) решения, то я к подобным решениям отношусь весьмя отрицательно (и ни один я, посмотрте на соответствующую ветку в данном форуме). Для защиты от этой группы угроз, нами разработана СЗИ VPN "Панцирь" для ОС Windows 2000/XP/2003, которая интегримруется с КСЗИ "Панцирь-К". Данная система еще находится на тестировании (начнем поставки через пару месяцев), но на нашем сайте есть статья, описывающая основные принципы построения. Если интересно, посмотрите.

                            С Вашим заключением "Короче, это неплохой продукт для решения очень узкого круга задач и не соответствующий заявленной области применения" я категорически не согласен (не в смысле "неплохой"). Надеюсь, как-нибудь мы лично пересечемся (мне интересно было бы с Вами познакомиться, к Вашей квалификации я очень уважительно отношусь), и я попытаюсь убедить Вас в правильности моей точки зрения. Сделать же это в рамках форума технически весьма затруднительно.

                            Комментарий


                            • #15
                              Чтобы предотвратить несанкционированную загрузку системы, достаточно установить необходимый способ загрузки в BIOS, и установить пароль (максимально большой длины) - это не пароль на вход в систему, часто не используется. Вот и все, зачем дополнительные затратные средства, в защите компьютеров есть дела куда важнее

                              Вообще-то электронные замки создавались не для этого. Основная задача замка - не столько аутентифицировать пользователя (хотя многие на это упирают, толкуя "замок" слишком буквально), сколько провести контроль целостности системных и иных файлов ДО загрузки ОС. Вторая задача, реализуемая не у всех, - датчик ПСЧ. Третья - контроль загрузки с посторонних источников. Учитывая, что современные материнки позволяют УДАЛЕННЫЙ доступ к себе, а также удаленное управление выключенной машиной, то наличие такой функции в ЭЗ очень полезно.

                              Комментарий


                              • #16
                                virus а СекретНет имеет только сертификат ФСТЭК.

                                У ИЗ есть секретнет,заточенный под ФСБ (с сертификатом). Называется изделие М-506

                                Комментарий


                                • #17
                                  Сообщение от Не зарегистрирован Посмотреть сообщение
                                  Вы "обрушились" на меня с подобной обличительной речью.
                                  Ну что вы Алексей однажды справедливо заметил, что я люблю поспорить. А тут такой хороший повод Я пропустил вашу "битву против всех", о чем немножко жалею.

                                  Сообщение от Не зарегистрирован Посмотреть сообщение
                                  К сожалению, не знаю Вашего имени и отчества, не смотря на то, что мы иногда "пересекаемся" в форумах.
                                  ...
                                  Надеюсь, как-нибудь мы лично пересечемся
                                  http://moikrug.ru/malotavr

                                  Дмитрий Кузнецов, руковожу информационной безопасностью в одном из банков. В апреле буду в Питере на открытии очередного отделения, с удовольствием загляну к вам.

                                  Сообщение от Не зарегистрирован Посмотреть сообщение
                                  Вы совершенно правы в том, что Панцирь, это средство защиты, реализованное на уровне ядра (драйверы), поэтому разграничения возможны к объектам, создаваемым ОС. То, что мы не "поднимаемся" на более высокий уровень (не делаем разграничений к объектам, создаваемым приложениями) обусловливается двумя причинами. Во-первых, за всеми "фантазиями" разработчиков приложений не угонишься, во-вторых, эффективной защита может быть только на уровне ядра - "чуть приподниметесь", увеличите вероятность обхода защиты на порядки.
                                  Это понимаете вы, это понимаю я. К сожалению, очень часто этого не понимают люди, принимающие решения по внедрению того или иного продукта. Ориентируясь на словосочетание "комплексная система защиты" и уверения системных интеграторов, они принимают решение на внедрение подобного рода продуктов, считая, что результатом внедрения будет система защиты, решающая весь комплекс технических проблем ИБ, как на уровне инфраструктуры, так и на уровне приложений. Бывает очень трудно торпедировать эту не очень умную инициативу

                                  Разумеется, корень проблемы в неправильной организации работ по ИБ внутри компании, но часть вины лежит и на вендоре.

                                  Полагаю, вы согласитесь, что утверждение "Это ... комплексная система защиты информации, самостоятельно решающая весь спектр задач защиты конфиденциальной информации, что обеспечивает достаточность ее использования в АС класса защищенности 1Г." действительно вводит потребителя в заблуждение?

                                  Сообщение от Не зарегистрирован Посмотреть сообщение
                                  С Вашим заключением "Короче, это неплохой продукт для решения очень узкого круга задач и не соответствующий заявленной области применения" я категорически не согласен (не в смысле "неплохой").
                                  Уточню. Если принять в качестве аксиомы, что Панцирь способен решить абсолютно все задачи по управлению доступом и мониторингу, которые можно решить на уровне операционной системы, то это всего лишь процентов 20 (субъективная оценка, основанная на моем личном опыте ) всех задач, которые нужно решить для того, чтобы комплексно обеспечить одну только конфиденциальность данных. Еще 50% приходится на решение аналогичных задач на уровне приложений, и 30% - на решение организационных проблем. Если из этих 20% вычесть то, что с помощью Панциря сделать не удастся (не думаю, что вы реализовали контроль над инъектированием PE-блоков в работающий процесс или контроль режима отладки, хотя могу и ошибаться), и то, что можно сделать голыми средствами операционной системы, то остаток я называю "очень узким классом задач"

                                  Под "заявленной областью применения" я имею в виду процитированное выше утверждение про "весь спектр задач".

                                  Комментарий


                                  • #18
                                    эффективной защита может быть только на уровне ядра

                                    Если уж мы полезни в теорию, то эффективной она не может быть в принципе, т.к. вы работаете на третьем уровне, а под вами еще два НЕДОВЕРЕННЫХ уровня - операционка и железо (материнка со всеми прибамбасами). Ставить доверенную защиту на недоверенную ОС (да еще какую ;-) - затея бессмысленная с точки зрения специалиста. А уж если вспомнить про потенциальные закладки в материнке, то можно сразу повеситься ;-)

                                    Комментарий


                                    • #19
                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      Чтобы предотвратить несанкционированную загрузку системы, достаточно установить необходимый способ загрузки в BIOS, и установить пароль (максимально большой длины) - это не пароль на вход в систему, часто не используется. Вот и все, зачем дополнительные затратные средства, в защите компьютеров есть дела куда важнее

                                      Вообще-то электронные замки создавались не для этого. Основная задача замка - не столько аутентифицировать пользователя (хотя многие на это упирают, толкуя "замок" слишком буквально), сколько провести контроль целостности системных и иных файлов ДО загрузки ОС. Вторая задача, реализуемая не у всех, - датчик ПСЧ. Третья - контроль загрузки с посторонних источников. Учитывая, что современные материнки позволяют УДАЛЕННЫЙ доступ к себе, а также удаленное управление выключенной машиной, то наличие такой функции в ЭЗ очень полезно.
                                      Средство защиты должно предотвращать возможность несанкционированной модификации системных ресурсов в процессе функционирования, а не контролировать до загрузки ОС (это лишь частичное решение задачи), что является моим глубоким убеждением.

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        эффективной защита может быть только на уровне ядра

                                        Если уж мы полезни в теорию, то эффективной она не может быть в принципе, т.к. вы работаете на третьем уровне, а под вами еще два НЕДОВЕРЕННЫХ уровня - операционка и железо (материнка со всеми прибамбасами). Ставить доверенную защиту на недоверенную ОС (да еще какую ;-) - затея бессмысленная с точки зрения специалиста. А уж если вспомнить про потенциальные закладки в материнке, то можно сразу повеситься ;-)

                                        Не нужно "валить все в кучу", это совершенно различные источники угроз, связанные с совершенно различными группами потенциальных злоумышленников.
                                        Никто же не спорит, что хорошо иметь собственную ОС (естественно, что речь не о какой-либо собственной сборке свободного ПО), собственное "железо" и т.д. Это уже скорее вопросы национальной, а не информационной безопасности. Сейчас же имеем то, что имеем, приходится максимально эффективно решать задачи обеспечения ИБ в данных условиях.
                                        И, наверное, не стоит уж так драмматизировать ситуацию с потенциальными закладками при защите конфиденциальной информации. С повышением грифа, данная проблема уже может стать доминирующей.

                                        Комментарий


                                        • #21
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          эффективной защита может быть только на уровне ядра

                                          Если уж мы полезни в теорию, то эффективной она не может быть в принципе, т.к. вы работаете на третьем уровне, а под вами еще два НЕДОВЕРЕННЫХ уровня - операционка и железо (материнка со всеми прибамбасами).
                                          Кроме того, ровно над этим средством защиты находится недостоверный интерфейс обращения к нему Если вспомнить, что обход средств защиты чаще всего осуществляется не модификацией кода, а изменением связей между объектными блоками в контексте процесса (когда до вызываемой функции доходит совсем не то, что передает вызывающий процесс)... А запретить вызовы WriteProcessMomory() и CreateRemoteThread() нельзя, потому что они используются даже такими банальными приложениями как Microsoft Office.

                                          Про уязвимости в системных процессах даже упоминать стыдно

                                          Комментарий


                                          • #22
                                            Сообщение от malotavr Посмотреть сообщение
                                            Ну что вы Алексей однажды справедливо заметил, что я люблю поспорить. А тут такой хороший повод Я пропустил вашу "битву против всех", о чем немножко жалею.



                                            http://moikrug.ru/malotavr

                                            Дмитрий Кузнецов, руковожу информационной безопасностью в одном из банков. В апреле буду в Питере на открытии очередного отделения, с удовольствием загляну к вам.



                                            Это понимаете вы, это понимаю я. К сожалению, очень часто этого не понимают люди, принимающие решения по внедрению того или иного продукта. Ориентируясь на словосочетание "комплексная система защиты" и уверения системных интеграторов, они принимают решение на внедрение подобного рода продуктов, считая, что результатом внедрения будет система защиты, решающая весь комплекс технических проблем ИБ, как на уровне инфраструктуры, так и на уровне приложений. Бывает очень трудно торпедировать эту не очень умную инициативу

                                            Разумеется, корень проблемы в неправильной организации работ по ИБ внутри компании, но часть вины лежит и на вендоре.

                                            Полагаю, вы согласитесь, что утверждение "Это ... комплексная система защиты информации, самостоятельно решающая весь спектр задач защиты конфиденциальной информации, что обеспечивает достаточность ее использования в АС класса защищенности 1Г." действительно вводит потребителя в заблуждение?



                                            Уточню. Если принять в качестве аксиомы, что Панцирь способен решить абсолютно все задачи по управлению доступом и мониторингу, которые можно решить на уровне операционной системы, то это всего лишь процентов 20 (субъективная оценка, основанная на моем личном опыте ) всех задач, которые нужно решить для того, чтобы комплексно обеспечить одну только конфиденциальность данных. Еще 50% приходится на решение аналогичных задач на уровне приложений, и 30% - на решение организационных проблем. Если из этих 20% вычесть то, что с помощью Панциря сделать не удастся (не думаю, что вы реализовали контроль над инъектированием PE-блоков в работающий процесс или контроль режима отладки, хотя могу и ошибаться), и то, что можно сделать голыми средствами операционной системы, то остаток я называю "очень узким классом задач"

                                            Под "заявленной областью применения" я имею в виду процитированное выше утверждение про "весь спектр задач".
                                            Дмитрий, я тоже очень люблю поспорить (на профессиональные темы).
                                            Кстати,"битва против всех" (на мой взгляд, весьма любопытный способ диалога)не получилась (на мой взгляд) именно по причине отсутствия "бойцов" (как интерес, так и квалификация), несколько иной ресурс. Подобные диалоги, например, мне, как разработчику СЗИ, очень полезны, как и любая здравая критика.
                                            Относительно всего спектра решаемых задач защиты, готов, с определенными оговорками, с Вами согласиться. Как отмечал, на уровень приложений мы не лезем. Относительно процессов - у нас в каждом механизме защиты в качестве субъекта может выступать, как пользователь (учетная запись), так и процесс (как для понижения, так и для повышения прав пользователей, последнее, например, для защиты модификации системного диска с правами System). Для защиты от атак на ошибки в приложениях, для критичных приложений могут разграничиваться права доступа, как к системным ресурсам, так и к хранящимся на компьютере конфидненциальным данным.Другими словами, не важно, как модифицирован запущенный процесс (исполняемые файлы мы модифицировать не позволим в том числе и на системном диске, в том числе и с системными правами), он сможет делать ровно то, что ему позволено. В том числе, именно для процессов задаются разрешенные правила олицетворения (по сути, котнтролируем не только ID, но и EID при доступе к ресурсам).
                                            Но так мы "заберемся в дебри", мне придется в форуме "переписать" всю документацию на нашу систему защиты.
                                            Если, действительно, будет интерес, готов не только рассказать, но и показать, если найдете минутку (для показа, часик), будучи в Питере.

                                            Комментарий


                                            • #23
                                              Пока не зарегистрировался на форуме, А.Щеглов
                                              Видно "пока" ещё не кончилось )))

                                              А.Щеглов, вы представляете свой продукт, а пишите от "Не зарегистрирован ".

                                              Ветку читают не только malotavr, Алексей Лукацкий и вы. Выглядит это со стороны не очень приглядно.
                                              Имхо разумеется )

                                              Комментарий


                                              • #24
                                                Сообщение от box_roller Посмотреть сообщение
                                                Пока не зарегистрировался на форуме, А.Щеглов
                                                Видно "пока" ещё не кончилось )))

                                                А.Щеглов, вы представляете свой продукт, а пишите от "Не зарегистрирован ".

                                                Ветку читают не только malotavr, Алексей Лукацкий и вы. Выглядит это со стороны не очень приглядно.
                                                Имхо разумеется )
                                                Не вижу, что-либо неприглядного. Я же не анонимно пишу. Вы же обращаетесь ко мне "А.Щеглов".
                                                На самом деле, все гораздо проще, чем Вам могло показаться. Пару раз пытался зарегистрироваться, получил пароль, а войти что-то пока не получается (теория и практика, подчас, "далеки" друг от друга), напишу администратору.
                                                Да, и не представляю я свой продукт, по крайней мере, не планировал этим заниматься, лишь уточнил название нашей компании, в результате чего (либо, вопреки чему),появились вопросы, по возможности ответил.

                                                Комментарий


                                                • #25
                                                  Сообщение от Jaffar Посмотреть сообщение
                                                  Хотелось бы услышать ваше мнение по поводу КСЗИ "Панцирь-К", вроде получше чем SecretNet.
                                                  http://npp-itb.spb.ru/products/index.shtml
                                                  имхо

                                                  Ни одна из перечисленных систем не является комплексной.
                                                  КОМПЛЕКС - (от лат. complexus - связь - сочетание), совокупность предметов или явлений, составляющих одно целое.
                                                  Если перечислить функционал обоих систем, то целое не получится.

                                                  "Системами" они являются, а "комплексными" - нет.

                                                  "вроде получше" - лучше или хуже, это не критерий выбора. Мы их не сравниваем, а "примеряем" на себя их функционал (на конкретные существующие уязвимости), удобство, цену, поддержку и т.д. Если одна хуже другой (субъективная оценка), то не значит что нам нужна та, что лучше.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от box_roller Посмотреть сообщение
                                                    имхо
                                                    "вроде получше" - лучше или хуже, это не критерий выбора. Мы их не сравниваем, а "примеряем" на себя их функционал (на конкретные существующие уязвимости), удобство, цену, поддержку и т.д. Если одна хуже другой (субъективная оценка), то не значит что нам нужна та, что лучше.
                                                    Вот, сделал еще попытку зарегистрироваться, надеюсь, получилось.
                                                    В части Вашего комментария, совершенно согласен.

                                                    Комментарий

                                                    Пользователи, просматривающие эту тему

                                                    Свернуть

                                                    Присутствует 1. Участников: 0, гостей: 1.

                                                    Обработка...
                                                    X