08/02/2016
Системы прозрачного шифрования дисков – высокотехнологичный наукоемкий продукт, сложный в разработке и поддержке. Но свою основную функцию – снижение уровня риска утечки конфиденциальной информации – они выполняют неплохо.
Компании, хранящие на своих серверах частные данные, в особенности - личную информацию о сотрудниках и клинтах, всегда представляли интерес для злоумышленников - как с целью перепродажи этой информации, так и простого шантажа. Взлом системы защиты - кошмар любого руководителя такой организации, поэтому вокруг хранилища данных возводятся всевозможные "стены" со сложными механизмами прохождения.
Однако, как только злоумышленник проник в компьютер с необходимыми данными, он получает практически неограниченный доступ и может скопировать, уничтожить или исказить их по своему замыслу. Наиболее простой и сравнительно недорогой способ – это использование систем прозрачного шифрования. Основное достоинство прозрачного шифрования заключается в том, что от пользователя не требуется никакого участия в процессах, все они происходят в фоновом режиме «на лету». В основе лучших в своем классе систем прозрачного шифрования, позволяющий реализовать многочисленные требования, лежит механизм, выражающийся простой формулой: файл для владельца информации доступен в расшифрованном виде, а для всех остальных – только в зашифрованном виде без доступа к ключам. Специалисты называют этот функционал «одновременностью доступа».
Современные программные средства представляют возможность шифрования данных "на лету" криптостойким ключом (256 бит) без существенного снижения производительности сервера. Виртуальная файловая система (ВФС) формирует дополнительную парную структуру описателей файлов. Специальный драйвер файловых систем обеспечивает постоянное обновление зашифрованного файла в реальной файловой системе, вслед за изменением его незашифрованной копии в ВФС. Таким образом, находящиеся на диске данные всегда зашифрованы. Для ограничения доступа к файлам драйвер файловых систем при обращении к защищенным ресурсам загружает в оперативную память ключи шифрования. Сама же ключевая информация защищена ключевой парой сертификата пользователя и хранится в криптохранилище. В результате авторизованный пользователь видит одну файловую систему, виртуальную с расшифрованными файлами, а неавторизованные в то же самое время будут видеть физическую (реальную) файловую систему, где имена и содержимое файлов зашифрованы.
Есть и еще одно, немаловажное, замечание. Злоумышленники, интересующиеся приватными данными, могут находиться и внутри компании. Серьезную угрозу, от которой не спасет криптография, представляют технические специалисты и системные администраторы компании. Но при всем при этом они, в силу своих должных обязанностей, обязаны следить за работоспособностью систем, обеспечивающих безопасность на каждом компьютере. Все чаще и чаще руководители минимизируют такую опасность, делегируя функцию системного администрирования внешним организациям - аутсорсерам, которые, во-первых, связаны юридической ответственностью (в отличие от своих сотрудников), во-вторых, гораздо менее вовлечены в бизнес организации (соответственно, применение украденным данным становится сложным и затратным), а в-третьих, обладают высоким технологическим потенциалом и способны выстроить надежную защиту.