Monday, September 13, 2010

Microsoft Windows Server 2003 Scalable Networking Pack

Пытаясь разобраться почему у меня не работает Autoenrollment, я заметил, что мой верный wireshark ничего не видит. Бред какой-то. 10 лет ловил трафик libpcap-ом. А тут какая-то мистика - одни SYN-ы и SYN-ACK-и. Оказывается MS снова всех обманул - изобрел Scalable Networking Pack. Идея, как бы позитивная, - разгрузить процессор, но лично меня слова типа "DMA" крайне беспокоят, думаю скоро это будут весьма успешно эксплуатировать горячие головы.
Коротенький раздел "Windows Server 2003 Scalable Networking Pack open issues", вызвал у меня улыбку умиления - при всем этом бардаке, у меня в сети на продуктивном сервере это чудо "SNP" стоит, установленное вместе с сервиспаком!

Friday, September 10, 2010

Бог решает...

К моему величайшему сожалению, я не знал этого Человека. И не имею права считать себя байкером. Но я всю жазнь в дороге и живу в этой стране. Душой я с ними.

Wednesday, September 8, 2010

Еще 5 лет жизни

Почему-то все эту новость крайне негативно. Но почему? Лично я после того как ПФРФ много раз воровали, наблюдая за тем как живут мои родители на пенсии, изучая текущие "реформы" пенсионного фонда, вспоминая о том, как в "кризис" латали дыры в бюджете в т.ч. и пенсионным фондом и это не помешало в 2010-м посткризисном году России удвоить количество своих миллиардеров, а также прочих любопытных знаний, которые даже никто не пытается скрывать, от чего становится особенно обидно, для себя решил, что в РФ до пенсии доживать не надо и это:

  1. Позволит мне остаться патриотом, так как государству не нужны пенсионеры, что ж, поможем Родине.
  2. Позволит мне не быть обузой своим многочисленным детям.

Wednesday, September 1, 2010

Классификация информации и DLP

Я решил повнедрять DLP. На данном этапе (весьма и весьма начальном) выяснил, что несмотря на то, что тема "модная" и внедрятели рассказывают о том, что это успешно делается, все далеко не так просто. Не буду тратить время на рассказ как работают системы DLP, перейду сразу к проблемам "стандартного" подхода к внедрению.

  1. У меня есть классификация информации, допустим: Коммерческая тайна (КТ), Для служебного использования (ДСП) и Открытая (О). Крайне сложно понять какие типы информации попадают в какие классы, так как: а) это невозможно сделать без заинтересованности бизнес-подразделений, чего добиться крайне сложно, б) сами бизнес-подрездения не имеют представления какие типы информации у них в обращении.
  2. Даже если я, с горем пополам, определил какие типы информации попали в какие категории, крайне сложно научить DLP распознавать эти типы информации с нужной степенью достоверности, а низкая достоверность крайне неблагоприятно влияет на стоимость владения.
  3. Такой подход к категоризации опять же решит задачу, так как один и тот же тип информации (например, договор) в разных случаях может иметь различную категорию. Как эти исключения "запрограммировать", я не знаю.
... да и вообще, поддерживать эту типизационно-классификационную модель в актуальном состоянии с нужной степенью полезности мне представляется крайне тяжелым.

Сразу оговорюсь, что подобый "стандартный" подход с большой степенью вероятности применим в сильно заформализованных предприятиях, например государственных, где четко определены категории документов и даны требования к их оформлению (например, на них обязательно проставление грифов). Тут все будет просто и красиво.

Подискутировав данную тематику с коллегами родился следующий подход, который я и предлагаю на ваш суд, уважаемые читатели, любые мысли относительно изъянов данного подхода крайне интересны. Для предметности и понятности я буду давать пояснения на примере файлов в сетевых папках.

Задача DLP - предотвратить компрометацию данных, т.е. чтобы неавторизованные пользоватли не получили доступ к информации. Пока, на данном, начальном, этапе предлагаю единицей информации банально считать файл (в дальнейшем можно поиграться с цифровыми отпечатками, ключевыми словами с весами и прочими инструментами, которые предоставляет DLP для классификации данных "на лету", но давайте есть слона по частям) Аналогична
и задача контроля доступа.

Процедура получения доступа к информационному ресурсу формализована, не важно используется MAC, DAC или RBAC. В любом случае есть роль, которая выполняет согласование уровня доступа к реусурсу желающим. Идея заключается в распростаранении такого же подхода на отдельные файлы. Идентифицировать конкретные файлы можно, например по хешу или как-то по принадлежности к сетевому ресурсу (по тому, в какой сетевой папке лежит), если такая возможность у DLP имеется. Соответственно, будет две политики использования: только чтение или чтение и изменение, аналогично тому, как это настраивается для сетевого ресурса: доступ в папку только по чтению или по чтению и записи. Можно подумать о введение дополнительных прав, например, запрет удаления. При этом, основная цель недопущения компрометации документа будет достигнута - пользователь не получит доступ к файлу, если у него нет членства в группах доступа к сетевому ресурсу, где этот файл хранится, независимо от того, как пользователь этот файл получил: по почте от коллеги, через съемный носитель или еще как. Доступ к файлу он получает на основании членства в группе доступа к сетевому ресурсу, которое появляется после отработки процедуры предоставления доступа в сетевой ресурс, через согласующего.

Отвязывание политики доступа к файлу "как к его сетевому ресурсу" должно согласовываться аналогичным предосталвленю доступа образом через назначенного согласующего.

Проблемы, что я тут вижу:
  1. Политик использования файлов у меня будет столько сколько сетевых ресурсов и типов доступа к ним у меня есть, т.е. тьма.
  2. Вместо "похожих" по цифровым отпечаткам у меня одинаковой политикой использования будут обладать непохожие документы, имеющие фиксированый хеш и принадлежность к одной папке (вот единственный критерий "похожести").
Решение имеет крайний, но рабочий вариант: все найденные в сетевых ресурсах документы объявить ДСП и привязать политику, разрешающую доступ только корпоративных пользователей. Все-таки защитимся от утечки информации внешним пользователям. Дальнейшая проработка политик - уже в процессе эксплуатации в аккуратном диалоге с бизнес-подразделениями. Уверен, найдутся подразделения и информация, которую не захотят распространять даже внутри Компании.