Какой самый излюбленный рекламный подарок на выставке? Ответ очевиден: карта USB. Крошечные накопители с большой емкостью стали настолько дешевыми, что уже десятками валяются на рабочих столах и в ящиках. И с этим уже ничего не поделать. Хотя носители данных, к которым следует причислить еще и портативные жесткие диски, а также iPod и цифровые камеры, быстры, вместительны и удобны, они таят в себе и некоторую опасность: имеющему определенные намерения сотруднику без труда удастся вынести из офиса практически все, что может быть представлено в виде цифровой информации. Между тем в продаже появились карты вместительностью 8 Гбайт, что позволяет перекачать на носитель размером с шоколадную конфету все данные, содержащиеся на сервере. Правда, многие предприятия, похоже, уже осознают возросший риск: результаты исследования, проведенного компанией Reflex Magnetics в Англии в 2004 г., свидетельствуют, что 82% респондентов рассматривают накопители USB в качестве угрозы, но тем не менее 60% опрошенных не следят за их использованием, а 84% не предпринимали никаких усилий, чтобы избежать возможного ущерба.

Подобная беспечность потенциально опасна. Даже если не бояться промышленного шпионажа, доступность недорогих накопителей USB большого объема чревата бедой: вирусы, «черви», троянцы — целый спектр вредоносных программ может попасть прямиком на рабочее место пользователя, минуя брандмауэр и центральный антивирусный сканер. К такому выводу пришли и аналитики Gartner Group. В крошечных накопителях большой емкости они видят угрозу целостности данных на предприятиях и настоятельно рекомендуют не допускать их бесконтрольного применения. Ключевое слово здесь — «бесконтрольное». Речь не идет о том, что предприятие должно вообще запретить применение портативных накопителей. Контролируемый доступ выглядит весьма многообещающим подходом, позволяя и впредь не отказываться от посредничества маленьких помощников. Для обеспечения надлежащей безопасности в решении должно учитываться две вещи: прежде всего, предприятию следует составить четкие правила по использованию устройств USB. И хотя доверие — это хорошо (см. по этому поводу врезку «Экономия контроля»), но контроль все же необходим, а потому специальное программное обеспечение должно следить за тем, чтобы только разрешенные устройства хранения получали доступ к данным и никакие данные не копировались без разрешения из сети.

Между тем на рынке уже имеется множество программ для контроля интерфейсов USB. Однако тенденция развивается в направлении комбинированных решений, которые помимо портов USB следят и за всеми другими интерфейсами ПК. Они позволяют администратору контролировать манипуляции пользователей с носителями данных любого типа. Базовый принцип один и тот же: на каждом ПК посредством директив программного обеспечения для администрирования определяется, кто, когда, к каким устройствам и каким образом может получить доступ (см. Рисунок 1). За соблюдением директив следит клиентское программное обеспечение на контролируемых ПК. И либо клиенты получают новые директивы и их обновления путем обязательной рассылки, либо сами регулярно запрашивают эту информацию.

КОНТРОЛЬ, НО ПРАВИЛЬНЫЙ

Все программы пользуются базой данных, в которую заносятся сведения о зарегистрированных устройствах и записываются надлежащие директивы. Поскольку даже на среднем по размеру предприятии количество используемых устройств может оказаться огромным, большое значение приобретает способ заполнения такой базы данных. Поэтому намного удобнее, когда учет производится при помощи сканера, который обследует все компьютеры в сети и автоматически заносит в хранилище информацию о найденных интерфейсах и подключенных устройствах. Однако подобный инструмент предлагают не все производители, а если такая программа и имеется, то она не входит в обязательный комплект поставки программного обеспечения для блокирования USB.

Рисунок 1. Структура решения по управлению USB.
Некоторые продукты позволяют подключать устройства USB к ПК администратора и регистрировать их в базе данных. Особенно удобно, если на некоторый период времени кого-либо из пользователей можно наделить правами администратора для регистрации новых устройств на определенных ПК. Таким способом можно при необходимости на короткое время разрешить посетителю свободно пользоваться картой USB, а затем автоматически удалить ее из базы данных. Для составления сводки устройств, активных в конкретный момент или бывших активными когда-то на персональных компьютерах в сети, компания Smartline предлагает бесплатно загрузить программу PnP-Auditor. Сканер обследует домен или сетевую среду Microsoft и для всех найденных ПК составляет список устройств Plug-and-Play. То, что PnP-Auditor не оставляет без внимания еще и шину Firewire и разъемы РС Card, весьма предусмотрительно: через них информация также легко поступает в сеть или копируется из нее. При этом пропускная способность может оказаться значительно более высокой, нежели у USB.

Невзирая на то, какое решение будет использоваться, некоторые факторы должны учитываться всегда. Так, решающее значение имеют типы и количество распознаваемых интерфейсов. USB в этот список входит в любом случае, но нельзя оставлять без внимания последовательные и параллельные соединения, равно как и уже упомянутую шину Firewire, PCMCIA и дисководы для гибких дисков и CD/DVD. Впрочем, на вопрос о том, какое устройство разрешить и какое запретить, ответить совсем не просто. Конечно, можно наложить табу на все накопители USB, но едва ли в какой-либо среде это имеет смысл. Почти всегда пользователям требуется доступ к определенным носителям данных. В такой ситуации и пригодится программное обеспечение для как можно более точного распознавания носителей.

Опираясь на встроенные микросхемы памяти, некоторые продукты могут считывать не только тип устройства USB (его класс) и информацию о производителе, но и его имя, а также однозначный идентификационный номер. При наличии такой системы сотрудники предприятия смогут пользоваться, например, только картами USB типа XYZ от производителя АВС или лишь 15 вручную отобранными устройствами с определенными номерами. В соответствии с этой концепцией различные производители предусматривают контроль даже за компакт- и DVD-дисками, поскольку их использование также можно разрешать или запрещать явным образом. Один из поставщиков предлагает весьма элегантное решение: оно вычисляет на основе содержимого носителя данных контрольную сумму и предоставляет возможность пользоваться перезаписываемыми компакт- и DVD-дисками, коль скоро их содержимое не изменилось. Еще дальше идут продукты, способные работать с любым устройством, распознаваемым операционной системой Windows, в том числе с клавиатурой, мышью, монитором и звуковой картой. Это становится полезным, когда возрастают требования к системе обеспечения безопасности, и взято на вооружение, к примеру, правоохранительными органами. Однако за более широкую функциональность приходится платить заметно усложненной конфигурацией, а значит, развертывание такого ПО в корпоративной сети необходимо планировать очень тщательно. И хотя внезапно погаснувшие экраны и отключившиеся клавиатуры весьма наглядно демонстрируют функциональность решения по мониторингу, это вряд ли обрадует персонал компании.

Пользователи заинтересованы в увеличении числа поддерживаемых операционных систем на стороне клиента, но пока внимание поставщиков сосредоточено, конечно, на Windows. Однако есть и исключения: ОС Windows 98, которую до сих пор можно найти на небольших предприятиях, либо не поддерживается вообще, либо поддерживается, но в ограниченном объеме. Аналогичные претензии имеются и к обслуживанию Mac OS и UNIX.

Чем более детально настраивается решение, тем больше свободы оно предлагает пользователю без компрометации системы обеспечения безопасности. Быстрое предоставление прав на чтение или запись для устройства обязательно. Точность решения увеличится, если возможно установить ограничение для объема копируемых за день данных: документ Word объемом 1 Мбайт вполне допустим, база данных предприятия объемом 2 Гбайт — нет. Дополнительным положительным моментом является возможность отключения функции записи в программе прожига компакт- и DVD-дисков при одновременном разрешении чтения с носителей. То же самое касается и управления по времени, чтобы, например, ночью, особенно в офисе, подключение к компьютеру камеры и использование ее карты памяти в качестве носителя данных не допускались ни при каких условиях.

Почти все решения в их нынешних версиях предлагают опцию «теневое копирование». При этом ведется протокол всех операций записи. В некоторых продуктах программное обеспечение записывает лишь имена файлов, в других — весь по-ток данных. Между тем на рынке появились решения, которые записывают даже считываемые данные. Таким образом, администратор сможет установить, какие данные попали в его сеть извне.

НЕ ЗАБЫТЬ О ПОЛЬЗОВАТЕЛЕ

При таком разнообразии возможностей запрета и контроля не следует забывать о пользователе — они не должны препятствовать его работе. Вполне уместно отправить сотруднику сообщение, когда он пытается сделать что-либо, запрещенное администратором явным образом. В остальном программное обеспечение должно работать невидимо в фоновом режиме — или почти невидимо: небольшая пиктограмма на панели задач помогает администратору удостовериться, что программное обеспечение работает и нужные правила действуют на данном ПК. Пользователю не следует предоставлять доступ к механизмам управления блокированием USB.

Еще один камень преткновения может помешать контролю за состоянием портов: поскольку клиентское программное обеспечение на ПК в большинстве случаев связывается с центральным сервером правил при помощи удаленного вызова процедур (Remote Procedure Call, RPC), инсталлированный брандмауэр должен разрешать доступ. Это касается также встроенного в настольный компьютер брандмауэра, входящего в состав Windows XP SP2, который по умолчанию активируется после инсталляции и довольно «герметичен».

Разумеется, всякому контролю предшествует инсталляция. Некоторые решения предлагают собственные инструменты для развертывания клиентского программного обеспечения и директив, другие пользуются входящими в состав Windows механизмами распространения программного обеспечения, к примеру, при помощи групповых правил. В случае применения альтернативного решения для развертывания программного обеспечения необходимо проследить за тем, чтобы оно полностью согласовывалось с инсталляционным форматом пакетов.

ШИФРОВАНИЕ И УПРАВЛЕНИЕ

Добиться максимальной надежности помогут решения для автоматического шифрования содержимого перед его копированием на носитель данных. Это окажется оправданным при потере авторизованной карты USB. Однако и при внутреннем использовании такая мера предосторожности будет оправдана, если шифрование привязано к определенному компьютеру и пользователю. Пользователь сможет открыть файл и внести в него изменения только на своем рабочем месте в офисе, если именно оно зарегистрировано в сети компании.

Все большее число производителей специализированных решений для мониторинга и блокирования обращаются к этому принципу и комбинируют свои продукты с механизмами шифрования или предлагают, кроме того, специальные карты USB, при этом в некоторые из них в качестве дополнительной защитной меры встраивается сканер отпечатков пальцев. Управление процессом шифрования вы-полняется администратором или передается пользователям. Одному сотруднику может быть предоставлено право шифрования, а другому — только работа с зашифрованными носителями данных.

Чем больше сеть, тем полнее должно быть решение для реализации контроля (о других возможностях см. врезку «Альтернатива: управление документами вместо контроля портов»). Главная задача администратора — держать его под контролем. Правила пользования должны быть ясно определены и грамотно изложены. Хорошая система блокирования USB наглядно представляет и отображает всю систему регулирования доступа — на бумаге или в виде файла. Необходимо отслеживать изменения в правилах, чтобы, если понадобится, можно было выяснить, кто должен отвечать за случившуюся фатальную модификацию. Ясно также, что нужна бесшовная интеграция со службами каталогов, такими, к примеру, как Active Directory или LDAP. И, наконец, реализация системы блокирования USB должна производиться без избыточных записей в базу данных.

Эльмар Терек — независимый журналист.

© AWi Verlag

Экономия контроля

Моя любимая история про USB связана с компанией, где проблема интерфейсов решалась просто: на каждом рабочем месте соответствующее гнездо заклеивалось. Вскоре произошло важное событие: обновилось централизованное программное обеспечение для проведения учета — с введением адаптеров Dongle для USB в качестве средства защиты от копирования на каждом компьютере. Инвестирование в решение управления USB было бы, без сомнения, более выгодным решением. В специализированных журналах содержится множество историй о неудачах, связанных с подобными, с виду изящными, но, скорее, аппаратными методами решения проблемы USB.

Однако в данном случае речь идет совсем о другом. Вы слышали о Никласе Лумане? Этот философ и социолог активно занимался темой доверия и — что снова и снова поражает непосвященных — вывел экономический принцип: кто готов доверять сотрудникам, тот не должен их контролировать, а высвободившиеся таким образом временные и финансовые ресурсы можно потратить на что-либо более выгодное.

Автор рассматривает тему управления USB с точки зрения последовательно действующего администратора: «Доверие — это хорошо, но контроль все же необходим». Однако контроль всегда воспринимается как недоверие и неизбежно вызывает дух противоречия — просто у одного человека он проявляется больше, а у другого меньше. Это относится и к описываемой ситуации, когда затрагиваются такие полезные с точки зрения сотрудника инструменты, как карты USB. Дело в том, что подавляющая часть пользователей ничего не крадет и не растрачивает с их помощью — ими просто пользуются для работы дома или в командировках. Я согласен с Брюсом Шнайером, всемирно известным специалистом в области обеспечения безопасности: безопасность должна в первую очередь ориентироваться на нужды хороших людей, а не плохих.

К сказанному следует добавить, что новейшее исследование, проведенное журналом KES и посвященное вопросам безопасности, показало, что самую большую угрозу представляют не целенаправленные атаки, а ошибки и неосторожность сотрудников. Поэтому, мне кажется, шифрование и предупреждение конечных пользователей о потенциально опасных действиях являются наиболее важными функциями систем управления USB — и если уж на них выделять деньги, то управление ими должно быть настолько гибким, насколько это возможно.

Д-р Йоханнес Виле

Альтернатива: управление документами вместо контроля портов

Сегодня уже вряд ли кто-то согласится блокировать порты, поскольку главное — защищать информацию, причем неважно, где и как она хранится и каким образом передается», — считает Франк Бенинг, директор по продажам в Европе, на Ближнем Востоке и в Африке компании Workshare. Его предприятие наряду с другими, работающими в области управления документами, предлагает совсем иной подход для снижения опасности, связанной с портами USB. Выпускаемое ими программное обеспечение анализирует файлы, подготовленные к копированию или отправке, на наличие явной или скрытой информации, которая определена как конфиденциальная.

При подозрительных действиях программное обеспечение предупреждает пользователя, а в особо критических случаях — блокирует производимую операцию. Другие компании делают ставку на виртуальные сейфы для данных в сети. «У нас есть клиенты, которые не готовы работать в рамках подхода, ориентированного на порты или устройства, — объясняет Бенинг, — среди них — несколько страховых компаний, чьи сотрудники должны, к примеру, как можно быстрее передать фотографии с места аварии — неважно, днем или ночью, безопасный ли это канал и делались ли снимки разрешенной к употреблению камерой». Однако выход информации за пределы офиса и на таких предприятиях требует все же более тщательного регулирования.

Д-р Йоханнес Виле — редактор журнала LANline.