ОКБ САПР okbsapr.ru InfoSecurity, 2011 Организация защищенной работы с USB- накопителями

перенос информации между компьютерами хранение информации Назначение USB-накопителей

универсальность, доступность мобильность, компактность скорость чтения/записи объем стоимость дизайн безопасность доверие к технологии Свойства USB-накопителей

сетевые технологии (разделяемые ресурсы рабочих станций, файловый сервер, ftp, http, …) несъемные носители информации пассивные съемные носители информации (дискета, CD, DVD…) Конкурирующие технологии

скорость (?) объем (?) удельная стоимость (?) Недостатки USB-накопителей

универсальность доступность мобильность компактность доверие к технологии Достоинства USB-накопителей

Угрозы безопасности USB-накопителей Следствие универсальности, мобильности и компактности: кража/потеря вынос за пределы охраняемой зоны внедрение ложного носителя

Угрозы информации и ИС нарушение конфиденциальности и целостности информации на USB-накопителе навязывание ложной информации вредоносное ПО (вирусы…)

Традиционная защита отключение USB-разъемов заклеивание USB-разъемов отключение сервисов операционной системы контроль доступа к носителям шифрование файлов прозрачное шифрование данных

Недостатки запрет использования приводит к неудобствам и потере достоинств технологии программные агенты требуют дополнительной защиты от несанкционированного доступа шифрование выполняется на пароле остаточный риск (разрешенные носители - универсальные)

Принципы защиты Защита состоит в ограничении универсальности и исходит из пассивности носителя: дискета, CD, DVD – пассивные носители но USB-накопители – активные устройства

Контроллер Память Структура USB-накопителя

Специальный носитель (СН) аппаратная поддержка в СН аутентификации компьютерной системы безопасный протокол взаимной аутентификации СН и компьютерной системой

Аппаратная поддержка решение о доступе к данным на USB- накопителе принимают совместно СН и компьютерная система прозрачное шифрование данных USB- накопителя крнтроллером СН

Безопасный протокол взаимная аутентификация компьютерной системы и СН на основании владения ключами аутентификации авторизация пользователя СН на основании знания PIN-кода (опционально)

«Личный секрет»

регистрация авторизация смена PIN-кода отмена регистрации

Авторизация ввод PIN-кода пользователем криптографический протокол аутентификации с использованием ключей аутентификации СН и рабочей станции монтирование флеш-диска

«Секрет фирмы»

Авторизация

«Секрет фирмы» сервер аутентификации: регистрация, удаленная аутентификация, смена PIN-кода, отмена регистрации рабочая станция: ввод PIN-кода, ретрансляция протокола аутентификации СН и сервера аутентификации

Безопасность СН сложность проникновения внутрь микросхемы встроенные аппаратные и технологические механизмы защиты прошивки кода безопасная технология изготовления, администрирования и использования СН безопасный криптографический протокол авторизации

Выводы Вынос, потеря и кража СН не опасны использовать СН можно только на рабочих станциях, знающих ключ аутентификации или в сети сервера аутентификации использовать СН может только тот, кто знает PIN-код

Дополнительные меры защиты администратор, выполняющий операции регистрации СН использование на рабочих станциях ТОЛЬКО СН (программный фильтр внешних носителей)

Храните свои данные в Секрете!

ОКБ САПР, Пенза okbsapr.ru InfoSecurity, 2011 М.М. Грунтович