witam, ostatnio pochylam sie nad ogolnym tematem zabezpieczenia poufnosci danych biegajacych w sieci koropracyjnej.
nie chce tu teraz gdybac nad firewall-ami i polityka w tej materii, a chce sie skupic tylko na mozliwosci fizycznego wyprowadzenia informacji z firmy przez uzytkownikow nie majacych uprawnien admina. w szczegolnosci chodzi mi o... 1). zabezpiecznie danych przed skopiowaniem na urzadzenia podpiete do: - portow usb (pendrive, dongle usb2bluetooth). - portow e-sata. - portow rs232. - portow firewire. - ... 2). zabezpieczenie danych na dyskach twardych skradzionych z firmowych komputerow. tu mam na mysli jakies transparentne szyfrowanie partycji z danymi. szeregowi uzytkownicy nie moga znac hasel/kluczy, a jednoczesnie musza miec na maszynie dostep do danych i nie moga ich skopiowac (patrz punkt 1). oczywiscie, zeby nie bylo zbyt prosto, to w gre wchodza platformy linux oraz windows. z tego co pobieznie objezalem to na linuksie sporo da sie zalatwic przez zabranie uzytkownikom praw do zapisu dla pewnych grup urzadzen, przez zablokowanie ladowania modulow kernele (grsec), przez zabronienie tworzenia pewnych polaczen sieciowych (grsec,firewall), przez zachowanie poufnosci via ipsec oraz przez ecryptfs z administracyjnie zarzadzanym haslem w autostarcie. co do windowsa, to tu sprawa wyglada nieco gorzej. sa hack-i do rejestru blokujace np. zapis na usb[1], ale wyciecie dostepu do innych urzadzen, to juz chyba tylko przez wylaczenie przez admina kontrolerow w menedzerze, czy wykasowanie bazy sterownikow, a i to nie wiem czy jest skuteczne :) z szyfrowaniem partycji to juz w ogole jazda. nie wiem, czy bitlocker, albo truecrypt podda sie latwo zarzadzaniu tak jak ecryptfs? tak, czy inaczej, jesli ktos chcialby sie podzielic przemysleniami, to zapraszam :) [1] http://www.howtogeek.com/howto/windows-vista/registry-hack-to-disable-writing-to-usb-drives/ _______________________________________________ pld-users-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
