Запросто. Во-первых, админу потребуется обосновать необходимость использования виртуализации (это не очень просто). В противном случае СБ не даст на это добро. Во-вторых, с какого перепугу в два ночи файлсервер перегружается. При утреннем осмотре СБ это быстро выяснит. Логи, очевидно, должны сразу копироваться на защищенную машину СБ для анализа и сопоставления с отчетами админа. А слить информацию "куда угодно в интернет" не оставив следов на шлюзе - это уже из области фантастики .VPoluektov писал(а):Запретить админу, в чьих руках вся IT инфраструктура, скажем, регионального офиса компании унести пофайлово любую информацию - невозможно. Технически.
Как незаметно убить HDD или что такое РАЗДОЛБАЙСТВО
Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.
Чтобы понять, что такое рекурсия, надо сперва понять, что такое рекурсия.
Ну намудрили )))))). Всё проще гораздно.. Никакой особой тайны там нет... Стоит куча контроллеров со считывателями. Из них организуется зональная сеть доступа. Что б конкретный чел куда-то мог попасть, а куда то нет. Сами контроллеры устройства автономные.В простейшем случае комп нужен только для слива лога событий и коррекции списочного состава и прав доступа.И почти всегда выключен.Врубают для коррекции и проверки. У системы чисто утилитарная функция.Пущать-не пущать. Данные- ФИО и табельный номер. Если работа сменная, то номер смены на неделю. И всё.
Сейчас пошла такая мода. Системы видеонаблюдения и доступа клиенту приходится ставить не по личному желанию. Требуют заказчики.. Соответственно и закупается что подешевле, да по-проще. Монтировали комплекс одной ну очень сурьёзной фирме и не доходило до ответственного- нафига на регистратор ставить UPS. К счастью , в его присутствии "грамотный электрик" стал искать потребителя перебором автоматов... В результате 750 гигов видео ( примерно 2 недели записи с 16 камер) свалились. Когда я ему объяснил, что произошло он молча вышел и через 5 минут регистратор стоял под упсой.
Сейчас пошла такая мода. Системы видеонаблюдения и доступа клиенту приходится ставить не по личному желанию. Требуют заказчики.. Соответственно и закупается что подешевле, да по-проще. Монтировали комплекс одной ну очень сурьёзной фирме и не доходило до ответственного- нафига на регистратор ставить UPS. К счастью , в его присутствии "грамотный электрик" стал искать потребителя перебором автоматов... В результате 750 гигов видео ( примерно 2 недели записи с 16 камер) свалились. Когда я ему объяснил, что произошло он молча вышел и через 5 минут регистратор стоял под упсой.
"Ask not what your country can do for you, ask what you can do for your country." JFK
fant
Да нет, я не совсем про ограничение доступа говорил. Я про слив инфы, человеком, имеющим определенные полномочия, хотя и там все достаточно просто делается ...
Да нет, я не совсем про ограничение доступа говорил. Я про слив инфы, человеком, имеющим определенные полномочия, хотя и там все достаточно просто делается ...
Три пути ведут к знанию: путь размышления - это путь самый благородный, путь подражания - это путь самый легкий и путь опыта - это путь самый горький. - Конфуций
- VPoluektov
- Сообщения: 3436
- Зарегистрирован: 06 окт 2006, 19:14
Это совершенно необходимо, так как позволяет поднять проблемный сервер из дома, не тратя время на дорогу до офиса. Каковая дорога бывает не только из дома, но и с дачи / из командировки / из отпуска. Держать же двух специалистов по серверам в одном офисе - дорого; из другого же офиса специалисту все равно придется идти по тому же интерфейсу.sergo писал(а):Во-первых, админу потребуется обосновать необходимость использования виртуализации (это не очень просто).
В грамотной сети - сегодня ночью все сервера будут перегружаться (ну, может конкретно сегодня и не будут - что там приползло сегодня, я еще не видел; но чаще всего - в ночь со среды на четверг, следующую за вторым вторником месяца).sergo писал(а):Во-вторых, с какого перепугу в два ночи файлсервер перегружается.
При утреннем осмотре _чего_?sergo писал(а):При утреннем осмотре СБ это быстро выяснит.
Откуда СБ может быть уверена, что данные копируются именно с сервера? IP пакеты, равно как и усы/лапы/хвост, и подделать можно.sergo писал(а):Логи, очевидно, должны сразу копироваться на защищенную машину СБ для анализа и сопоставления с отчетами админа.
Слить - не проблема. Не оставив следов вообще - невозможно, но оставив следы, отслеживаемые только специалистами - тоже не проблема.sergo писал(а):А слить информацию "куда угодно в интернет" не оставив следов на шлюзе - это уже из области фантастики
В общем, к чему все это сводится: абсолютно везде IT и СБ играют не на одной стороне, а друг против друга. IT находит дырки - СБ их закрывает. Для того, чтобы игра шла на равных - в СБ должны работать тоже IT специалисты, а не надрессированные ГБ/милиционеры, потому что новые дырки появляются постоянно, и закрывать их тоже надо постоянно.
И да, иногда (а по моему опыту - и довольно часто) в этой игре будет выигрывать IT; потому лучше поддерживать отношения на уровне дружеского состязания, а не открытой вражды.
-
- Сообщения: 6
- Зарегистрирован: 13 май 2008, 11:41
- Откуда: Москва
- Контактная информация:
Да я не про офисы говорю, а о предприятиях, на которых необходимо обеспечить режим секретности. Говорить же о безопасности бизнеса, который прикроет первый же некоррумпированный сотрудник УБЭП - это действительно смешно .VPoluektov писал(а):Это совершенно необходимо, так как позволяет поднять проблемный сервер из дома, не тратя время на дорогу до офиса.
Об этом уже сказал fant, который, судя по всему, хорошо знаком с темой. Вся эта "безопасность" - чистая показуха.
Чтобы понять, что такое рекурсия, надо сперва понять, что такое рекурсия.
VPoluektov
Система, имеющая подобную политику, не пройдет сертификацию в гостехкомиссии, молчу уже о ФСБ.
Ну и там, где стоимость утечки информации имеет цену, дешевле иметь штат админов, нежели нарушать целостность конструкции, расширять спектр отслеживаемых моделей нарушителей и тд ...
вот, на мой взгяд, ключевая ошибка в умопостроениях.Запретить админу, в чьих руках вся IT инфраструктура
Система, имеющая подобную политику, не пройдет сертификацию в гостехкомиссии, молчу уже о ФСБ.
Ну и там, где стоимость утечки информации имеет цену, дешевле иметь штат админов, нежели нарушать целостность конструкции, расширять спектр отслеживаемых моделей нарушителей и тд ...
внушило.VPoluektov писал(а):не надрессированные ГБ/милиционеры
Три пути ведут к знанию: путь размышления - это путь самый благородный, путь подражания - это путь самый легкий и путь опыта - это путь самый горький. - Конфуций
- VPoluektov
- Сообщения: 3436
- Зарегистрирован: 06 окт 2006, 19:14
Там, где режим секретности критичен, важно не давать все рычаги в одни руки. Один человек занимается серверами (и да, может с ними сделать все что угодно - увы, обслуживающий сервера человек неизбежно может снять с них любую информацию; но при этом он не сможет эту информацию передать дальше), другой - сетевой инфраструктурой (и он - может пойти в интернет куда угодно с чем угодно; вот только идти ему туда не с чем), третьи - раздают права на сервера и на интернет (сами имея там только-только достаточно прав, чтобы этой раздачей прав заниматься)... а СИБ следит за тем, что они все делают, и убеждаются, что они не делают ничего неположенного, при этом сами не имея возможности сделать ровно ничего, кроме как следить. Так - никто не может сделать ничего фатального в одиночку; что, впрочем, не означает, что они не могут между собой договориться.sergo писал(а):Да я не про офисы говорю, а о предприятиях, на которых необходимо обеспечить режим секретности.
А бизнес - надо защищать от конкурентов и да, от тех же некоррумпированных сотрудников УБЭП (или - работать честно... что тоже вариант, хотя и нечасто встречающийся).sergo писал(а):Говорить же о безопасности бизнеса, который прикроет первый же некоррумпированный сотрудник УБЭП - это действительно смешно
А это - игра совсем на другом поле и совсем по другим правилам.VPoluektov писал(а):А бизнес - надо защищать от конкурентов и да, от тех же некоррумпированных сотрудников УБЭП
Я прекрасно помню, как в середине 90-х на российский рынок пытались войти западные компании, предлагающие системные решения в области безопасности. Все обломались. Поставить сигнализацию, систему контроля доступа, двери какие-нибудь бронированные - это пожалуйста. Но как речь заходит о комплексном решении проблемы - хозяин нашей компании-заказчика даже слушать об этом не желал.
У нас возможны только "точечные" заказы. Например, “ДиалогНаука” предлагает новую услугу: аудит наличия конфиденциальной информации в сети Интернет. Вот это будет востребовано. Но только на таком уровне - найди, сообщи, а дальше я сам буду разбираться.
Чтобы понять, что такое рекурсия, надо сперва понять, что такое рекурсия.
В то время мы как раз фин управление МО окучивали. Что б замонтировать в помещения израильские инфракрасные датчики движения, их сначала, каждый, разобрали и прощупали угрюмые дядьки и поставили пломбы...sergo писал(а):Я прекрасно помню, как в середине 90-х на российский рынок пытались войти западные компании,
"Ask not what your country can do for you, ask what you can do for your country." JFK
Что-то Вас, уважаемые коллеги, уносит в высшие сферы...
Каждой конторе охрана полагается по статусу и важности...
В маленьких и нижне-средних фирмах СБ охраняет имущество и порядок, информационной безопасностью занимается чаще всего штатный админ, ограничиваясь при этом безопасностью периметра и отражением внешних угроз. Тема инсайдеров особой популярностью не пользуется, хотя имхо, она на сегодняшний день наиболее актуальна.
В серьезных конторах, где все по уму, ни "начальник СБ", ни работники типа "kowalski" не были бы допущены к манипуляциям с критичной информацией. ибо база даных по сотрудникам относится к данным, которые фирма должна охранять по закону (Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" информация о гражданах — персональные данные — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.)
Кажется так.
ПыСы Похоже рождается новая ветка - IT безопасность...
Каждой конторе охрана полагается по статусу и важности...
В маленьких и нижне-средних фирмах СБ охраняет имущество и порядок, информационной безопасностью занимается чаще всего штатный админ, ограничиваясь при этом безопасностью периметра и отражением внешних угроз. Тема инсайдеров особой популярностью не пользуется, хотя имхо, она на сегодняшний день наиболее актуальна.
В серьезных конторах, где все по уму, ни "начальник СБ", ни работники типа "kowalski" не были бы допущены к манипуляциям с критичной информацией. ибо база даных по сотрудникам относится к данным, которые фирма должна охранять по закону (Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" информация о гражданах — персональные данные — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.)
Кажется так.
ПыСы Похоже рождается новая ветка - IT безопасность...
Добрый день всем особо старажилам ! Данная тема заставила прервать своё молчание длившееся почти год , я только наблюдал за тем что здесь происходит .И вот решил высказаться .
ИМХО данный молодой человек , представитель тех кто заменит со временем старшее покаление и его поступок демонстрирует отсутствие сознательности и ответственности за свои поступки . он и ему подобные , счетает , что может нашкодничать и избежать наказания . Вопервых если инфу снес даже по вене другого , попробуй сначало восстановить , а потом имей мужество сознаться , а не только член с яйцами между ног носить . А потом в данной ситуации видно , что он не может отстаивать свои интересы ,т.к. он не совсем виноват в данном случае , неуверенный в себе мальчик , потому что неможет отвечать за базар , а только перекинуть вину на другого , да и следы своей пакости скрыть.
далее чем ему не понраву 2к незнаю по стабильносте с проф софтом она лучше чем мною любимая хрюша . Да и вот вопрос зачем вы все раздули такой вариатизм событий , когда на лицо ущербность воспитания молодого человека .
ТЕМУ ПРЕДЛАГАЮ ЗАКРЫТЬ ,НО ОСТАВИТЬ В НАЗИДАНИЕ ДРУГИМ БАЛБЕСАМ .
ИМХО данный молодой человек , представитель тех кто заменит со временем старшее покаление и его поступок демонстрирует отсутствие сознательности и ответственности за свои поступки . он и ему подобные , счетает , что может нашкодничать и избежать наказания . Вопервых если инфу снес даже по вене другого , попробуй сначало восстановить , а потом имей мужество сознаться , а не только член с яйцами между ног носить . А потом в данной ситуации видно , что он не может отстаивать свои интересы ,т.к. он не совсем виноват в данном случае , неуверенный в себе мальчик , потому что неможет отвечать за базар , а только перекинуть вину на другого , да и следы своей пакости скрыть.
далее чем ему не понраву 2к незнаю по стабильносте с проф софтом она лучше чем мною любимая хрюша . Да и вот вопрос зачем вы все раздули такой вариатизм событий , когда на лицо ущербность воспитания молодого человека .
ТЕМУ ПРЕДЛАГАЮ ЗАКРЫТЬ ,НО ОСТАВИТЬ В НАЗИДАНИЕ ДРУГИМ БАЛБЕСАМ .