2 декабря, среда 18:42
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Контроль печати на терминальной ферме в ЦОД. Поиск решения

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Контроль печати на терминальной ферме в ЦОД. Поиск решения

    Добрый день, уважаемые знатоки!

    В поиске по форуму ничего не нашел. В интернетах по гуглу тоже ничего конкретного.
    Прошу Вас помочь советами и идеями по следующему вопросу:

    Разрабатываем проект обеспечения безопасности информационной инфраструктуры одного из крупнейших государственных заказчиков. Все вычислительные ресурсы находится на одной площадке ЦОД в головном офисе. Требования к системам защиты не ниже чем по классу 1Г. Используются преимущественно сертифицированные ФСТЭК продукты. Все пользователи со своих рабочих мест подключаются к серверам через терминальную ферму на базе Citrix. Принтер подключен локально к хосту пользователя. Задача в следующем - пользователь некоторого ПО (пока рассматривается SAP GUI) распечатывает документ. Необходимо организовать контроль печати, а именно:

    - дата, время выдачи документа;
    - устройство (принтер, принт-сервер) с которого было осуществлена печать;
    - идентификатор субъекта (пользователя) запросившего документ;
    - тип документа (содержит гриф КТ или нет, а так же по возможности его код, шифр ЕСКД )

    Архитектурно контроль нужно организовать в рамках ЦОД, т.е. либо на терминальной ферме либо на сервере приложений (SAP), ресурсы которого опубликованы на Терминальной ферме .

    Из некоторых решений функционирующих в ЦОД в моем распоряжении есть следующие:

    - Symantec Critical Protection
    - SIEM ArcfSight, IBM Tivoli
    - Symantec Endpoint Protection


    Какие мысли у меня уже были:

    1. Для определения грифа конфиденциальности документа и прав на его открытие\печать можно использовать технологию Microsoft RMS.
    Но остается вопрос о том как классифицировать документ, который не лежит файлом, а напечатанный из какого-нибудь прикладного, например актуально из SAP GUI

    2. Идея использовать нестандартный (самописный) драйвер печати, который бы предоставлял необходимый функционал логирования.
    НО данное предложение в рамках разрабатываемого проекта отрицается.

    3. Все сразу скажут, что решение данной задачи это функционал DLP-систем. НО! почему это не подходит постараюсь аргументировать:
    - скорее всего придется устанавливать агентские приложения DLP-системы на все пользовательские хосты, что очень дорого (тысячи АРМов головного офиса и всех дочек подключенных к нему по защищенным каналам). Поэтому, если вариант с DLP и возможен то необходимо реализовать именно на кластере ТФ или серверах прикладного ПО (SAP).

    4. Рассматривали решение Printer Activity Monitor от разработчика Red Line. Но как это ПО не закрывает потребности в определении грифа конфиденциальности печатаемого документа.


    Общие мыли в сторону объединения стандартных средств мониторинга и журналирования Windows Teeminal Server с объединением в одну связку с SIEM ArcfSight. Есть группа разбработчиков готовых написать парсер в случае если понадобиться. Или еще есть предположения о "допиливании" приклада SAP с тем, что бы при запросе на печать он выдал не необходимые данные в систему мониторинга.


    Надеюсь, мне удалось обозначить проблему.
    Жду ваших идей и предложений, коллеги!

  • #2
    Сообщение от yoziba Посмотреть сообщение
    есть предположения о "допиливании" приклада SAP с тем, что бы при запросе на печать он выдал не необходимые данные в систему мониторинга.
    Вот это правильное направление, именно SAP должен отдавать (или логировать внутри себя) данные о действиях юзера, о грифе документа, пользователе и т.д. и т.п.
    И, кстати, совершенно неважно, печатал юзер этот документ или нет, важно отслеживать факт получения им КИ. (юзер мог, например, сфотографировать экран монитора на мобилу или запомнить содержание документа или показать кому-то с экрана...).

    Комментарий


    • #3
      Согласен проблема в том, что стандартного функционала в SAP поддерживающего наши требования нет. Программистов АВАР понимающих задачи ИБ и способных это реализовать просто нет.

      Таки больше взор устремляем в сторону использования имеющегося ПО и средств терминальной фермы.
      Кто еще предложит свои мысли?

      Комментарий


      • #4
        Сообщение от yoziba Посмотреть сообщение
        3. Все сразу скажут, что решение данной задачи это функционал DLP-систем. НО! почему это не подходит постараюсь аргументировать:
        - скорее всего придется устанавливать агентские приложения DLP-системы на все пользовательские хосты, что очень дорого (тысячи АРМов головного офиса и всех дочек подключенных к нему по защищенным каналам). Поэтому, если вариант с DLP и возможен то необходимо реализовать именно на кластере ТФ или серверах прикладного ПО (SAP).
        Есть DLP с поддержкой работы виртуальных и терминальных сред (не то, что бы там нужна была какая-то поддержка, но нюансы работы есть), первое попавшееся, там есть, например, "теневое копирование" всех заданий на печать и журналирование.


        Сообщение от yoziba Посмотреть сообщение
        4. Рассматривали решение Printer Activity Monitor от разработчика Red Line. Но как это ПО не закрывает потребности в определении грифа конфиденциальности печатаемого документа.
        В любом случае нужно будет как-то кодировать эту информацию, даже для DLP. т.е. прикладной софт при печати должен или название задачи корректно формулировать с грифами и кодами или ещё как. OCRить из самого задания на печать ("теневой копии") будет затруднительно.


        Сообщение от yoziba Посмотреть сообщение
        Общие мыли в сторону объединения стандартных средств мониторинга и журналирования Windows Teeminal Server с объединением в одну связку с SIEM ArcfSight. Есть группа разбработчиков готовых написать парсер в случае если понадобиться. Или еще есть предположения о "допиливании" приклада SAP с тем, что бы при запросе на печать он выдал не необходимые данные в систему мониторинга.
        Если задачу нужно решить в общем виде, то нужно работать в направлении "перехвата" заданий на печать и их журналирования, если только SAP, то однозначно проще будет контролировать на его уровне что печаталось, когда и кем (а из стандартных журналов Windows можно получить потом информацию печаталось ли вообще или только послали на печать, куда послали и пр.).

        Комментарий


        • #5
          Zuz, спасибо большое за мнение.

          1) Рассмотрим, предложенный вами вариант по использование DLP с поддержкой виртуальных и терминальных сред
          Кстати, были у нас еще смысли по использованию программно-аппаратных комплексов СЗИ, например "Аккорд", он по заявлениям разработчиков, обладает возможностью аппаратного контроля печати, журналирования. и т.д. Но нам не подходит потому что решение endpoint'овое на хосты пользователей, а мы решаем задачу применительно к серверам в ЦОДе.

          Может быть кто знает аппаратные решения для серверов?

          2) Думаем над тем как прогрифовать документы по степени конфиденциальности. Самое простое - дописывать в имя файла некий шифр\код. Простота метода заключается и в его уязвимости, достаточно просто переименовать файл для обхода ограничений.

          Комментарий


          • #6
            Сообщение от yoziba Посмотреть сообщение
            Zuz, спасибо большое за мнение.

            1) Рассмотрим, предложенный вами вариант по использование DLP с поддержкой виртуальных и терминальных сред
            Кстати, были у нас еще смысли по использованию программно-аппаратных комплексов СЗИ, например "Аккорд", он по заявлениям разработчиков, обладает возможностью аппаратного контроля печати, журналирования. и т.д. Но нам не подходит потому что решение endpoint'овое на хосты пользователей, а мы решаем задачу применительно к серверам в ЦОДе.

            Может быть кто знает аппаратные решения для серверов?

            2) Думаем над тем как прогрифовать документы по степени конфиденциальности. Самое простое - дописывать в имя файла некий шифр\код. Простота метода заключается и в его уязвимости, достаточно просто переименовать файл для обхода ограничений.
            У вас есть две разные задачи:
            1. регистрация печати из приложений, для которых объектом печати является "файл" (например, Microsoft Office)
            2. регистрация печати из приложений, для которых объектом печати является "экранная форма" (SAP GUI, браузеры и т.п.)

            В обоих случаях вам совершенно незачем изобретать велосипед, регистрация фактов печати делается менеджером печати Windows. Более того, сертифицированные нашлепки типа Аккорда или SecretNet'а тоже работают с очередью печати через интеграцию с менеджером печати.

            В первом случае объект печати идентифицируется именем файла и можно играться именами, включать в них метки уровня конфиденциальности и т.п. При этом вам придется смириться с тем, что пользователь может переименовать файл или скопипастить его содержимое в другой файл с другим, соответственно, именем.

            Во втором случае вам придется изучить каждое приложение, с которым предстоит работать пользователю и выяснить, как оно работает с очередью печати. Есть, как минимум, два варианта:
            2.1. приложение вообще не заморачивается идентификацией объекта, сбрасывая печатную форму во временный файл со случайным именем;
            2.2. приложение пытается идентифицировать экранную форму.

            В случае 2.1 вы можете зарегистрировать факт печати, но никакие наложенные средства защиты не скажут вам, что именно было распечатано
            В случае 2.2 вам может повезти. А может и не повезти Например, Sharepoint идентифицирует экранную форму примерно вот так: http://domain.name/path?FolderCTID=0...50CF805F07E%7D Как видите, от того, что вы зарегистрируете факт печати экранной формы с таким идентификатором, вам ни холодно, ни жарко. И вариант большого везения, так как в шарике форма однозначно идентифицируется параметрами GET-запроса. Если параметры, по которым формируется документ, передаются POST-запросом или в cookie, то даже такой идентификатор ничего не скажет вам о том, какую же именно информацию увидел и отправил на печать пользователь.

            Отсюда мораль:
            1. Если вам нужно только выполнить требования 1Г, не растрачивайте впустую бюджетные средства, а ограничьтесь встроенными средствами аудита печати ОС
            2. Если вам действительно нужно знать, что печатают пользователи, регистрация и маркировка документов должна делаться только на уровне приложения. Опять же, наложенные СЗИ в этом случае не в тему совсем.
            Последний раз редактировалось malotavr; 13.11.2015, 13:01.

            Комментарий


            • #7
              Спасибо всем за ваши отклики!

              Если кому то будет интересно, как вариант еще нашли узкоспециализированное программное решение http://www.arti.ru/services/security/

              Комментарий


              • #8
                Сообщение от yoziba Посмотреть сообщение
                Спасибо всем за ваши отклики!
                Скажите, а как категорировали информацию? (каким ПО)
                [OFF]Красим белим, иногда защищаем[/OFF]

                Комментарий


                • #9
                  Пока этот вопрос не решен, он так же в статусе обсуждения внутри нашей проектной группы.

                  У нас есть софт собственной разработки призванный для шифрования и подписывания документов с использованием ЭП по ГОСТу.
                  Если в него встроить функцию добавления в документ дополнительного реквизита - уровня конфиденциальности, то вопрос можно решить для документов имеющих стандартное расширение.

                  Комментарий


                  • #10
                    Сообщение от yoziba Посмотреть сообщение
                    У нас есть софт собственной разработки призванный для шифрования и подписывания документов с использованием ЭП по ГОСТу.

                    Ростелеком? Вообще, если у Вас такие возможности по написанию и сертификации, то вопрос по контролю распечатки тоже можно встроить в свой софт, тем более особых проблем с этим нет (по крайней мере гораздо проще чем категорирование)
                    [OFF]Красим белим, иногда защищаем[/OFF]

                    Комментарий

                    Обработка...
                    X