Прозрачное шифрование сетевых папок в корпоративном пространстве

    Широкое распространение сетевых технологий (LAN, CAN, VPN) позволяет компаниям организовать быстрый и удобный обмен информацией на различных расстояниях. Тем не менее, защита информации в корпоративной среде – задача, которая остается актуальной по сегодняшний день и тревожит умы руководителей предприятий малого, среднего и крупного звена самых разнообразных сфер деятельности. Кроме того, какой бы ни была численность компании, для руководства практически всегда возникает необходимость разграничить права доступа сотрудников к конфиденциальной информации исходя из степени ее важности.



    В этой статье мы поговорим о прозрачном шифровании как об одном из наиболее распространенных способов защиты информации в корпоративной среде, рассмотрим общие принципы шифрования для нескольких пользователей (криптография с несколькими открытыми ключами), а также расскажем о том, как настроить прозрачное шифрование сетевых папок при помощи программы CyberSafe Files Encryption.

    В чем преимущество прозрачного шифрования?


    Использование виртуальных криптодисков либо функции полнодискового шифрования вполне оправдано на локальном компьютере пользователя, однако в корпоративном пространстве более целесообразным подходом является использование прозрачного шифрования, поскольку эта функция обеспечивает быструю и удобную работу с засекреченными файлами одновременно для нескольких пользователей. При создании и редактировании файлов процессы их шифрования и дешифрования происходят автоматически, “на лету”. Для работы с защищенными документами сотрудникам компании не нужно иметь какие-либо навыки в области криптографии, они не должны выполнять какие-либо дополнительные действия для того чтобы расшифровать или зашифровать секретные файлы.

    Работа с засекреченными документами происходит в привычном режиме при помощи стандартных системных приложений. Все функции по настройке шифрования и разграничению прав доступа могут быть возложены на одного человека, например системного администратора.

    Криптография с несколькими открытыми ключами и цифровые конверты


    Прозрачное шифрование работает следующим образом. Для шифрования файла используется случайно сгенерированный симметричный сеансовый ключ, который в свою очередь защищается при помощи открытого асимметричного ключа пользователя. Если пользователь обращается к файлу для того, чтобы внести в него какие-то изменения, драйвер прозрачного шифрования расшифровывает симметричный ключ при помощи закрытого (приватного) ключа пользователя и далее, при помощи симметричного ключа, расшифровывает сам файл. Подробно о том, как работает прозрачное шифрование, мы рассказали в предыдущем топике.

    Но как быть в том случае, если пользователей несколько и засекреченные файлы хранятся не на локальном ПК, а в папке на удаленном сервере? Ведь зашифрованный файл — один и тот же, однако у каждого пользователя своя уникальная ключевая пара.

    В этом случае используются так называемые цифровые конверты.



    Как видно из рисунка, цифровой конверт содержит файл, зашифрованный при помощи случайно сгенерированного симметричного ключа, а также несколько копий этого симметричного ключа, защищенных при помощи открытых асимметричных ключей каждого из пользователей. Копий будет столько, скольким пользователям разрешен доступ к защищенной папке.

    Драйвер прозрачного шифрования работает по следующей схеме: при обращении пользователя к файлу он проверяет, есть ли его сертификат (открытый ключ) в списке разрешенных. Если да – при помощи закрытого ключа этого пользователя расшифровывается именно та копия симметричного ключа, которая была зашифрована при помощи его открытого ключа. Если в списке сертификата данного пользователя нет, в доступе будет отказано.

    Шифрование сетевых папок при помощи CyberSafe


    Используя CyberSafe, системный администратор сможет настроить прозрачное шифрование сетевой папки без использования дополнительных протоколов защиты данных, таких как IPSec или WebDAV и в дальнейшем управлять доступом пользователей к той или иной зашифрованной папке.

    Для настройки прозрачного шифрования у каждого из пользователей, которым планируется разрешить доступ к конфиденциальной информации, на компьютере должен быть установлен CyberSafe, создан персональный сертификат, а открытый ключ опубликован на сервере публичных ключей CyberSafe.

    Далее сисадмин на удаленном сервере создает новую папку, добавляет ее в CyberSafe и назначает ключи тех пользователей, которые в дальнейшем смогут работать с файлами в этой папке. Конечно, можно создавать столько папок, сколько требуется, хранить в них конфиденциальную информацию различной степени важности, а системный администратор в любой момент может удалить пользователя из числа имеющих к доступ к папке, либо добавить нового.

    Рассмотрим простой пример:

    На файловом сервере предприятия ABC хранится 3 базы данных с конфиденциальной информацией различной степени важности – ДСП, Секретно и Совершенно Секретно. Требуется обеспечить доступ: к БД1 пользователей Иванов, Петров, Никифоров, к БД2 Петрова и Смирнова, к БД3 Смирнова и Иванова.

    Для этого на файл-севере, в качестве которого может быть любой сетевой ресурс, потребуется создать три отдельных папки для каждой БД и назначить этим папкам сертификаты (ключи) соответствующих пользователей:





    Конечно, такую или другую аналогичную задачу с разграничением прав доступа можно решить и при помощи ACL Windows. Но этот метод может оказаться эффективным лишь при разграничении прав доступа на компьютерах сотрудников внутри компании. Сам по себе он не обеспечивает защиту конфиденциальной информации в случае стороннего подключения к файловому серверу и применение криптографии для защиты данных просто необходимо.

    Кроме того, все настройки параметрами безопасности файловой системы можно сбросить при помощи командной строки. В Windows для этого существует специальный инструмент — «calcs», который можно использовать для просмотра разрешений на файлах и папках, а также для их сброса. В Windows 7 эта команда называется «icacls» и исполняется следующим образом:

    1. В командной строке с правами администратора, вводим: cmd
    2. Переходим к диску или разделу, например: CD /D D:
    3. Для сброса всех разрешений вводим: icacls * /T /Q /C /RESET

    Возможно, что icacls с первого раза не сработает. Тогда перед шагом 2 нужно выполнить следующую команду:

    takeown /R /F *

    После этого ранее установленные разрешения на файлах и папках будут сброшены.

    Можно создать систему на базе виртуального криптодиска и ACL (подробнее о такой системе при использовании криптодисков в организациях написано здесь.). Однако такая система также уязвима, поскольку для обеспечения постоянного доступа сотрудников к данным на криптодиске администратору потребуется держать его подключенным (монтированным) в течении всего рабочего дня, что ставит под угрозу конфиденциальную информацию на криптодиске даже без знания пароля к нему, если на время подключения злоумышленник сможет подключиться к серверу.

    Сетевые диски со встроенным шифрованием также не решают проблему, поскольку обеспечивают защиту данных лишь тогда, когда с ними никто не работает. То есть, встроенная функция шифрования сможет защитить конфиденциальные данные от компрометации лишь в случае хищения самого диска.

    В CyberSafe шифрование/дешифрование файлов осуществляется не на файловом сервере, а на стороне пользователя. Поэтому конфиденциальные файлы хранятся на сервере только в зашифрованном виде, что исключает возможность их компрометации при прямом подключении злоумышленника к файл-серверу. Все файлы на сервере, хранящиеся в папке, защищенной при помощи прозрачного шифрования, зашифрованы и надежно защищены. В то же время, пользователи и приложения видят их как обычные файлы: Notepad, Word, Excel, HTML и др. Приложения могут осуществлять процедуры чтения и записи этих файлов непосредственно; тот факт, что они зашифрованы прозрачен для них.

    Пользователи без доступа также могут видеть эти файлы, но они не могут читать и изменять их. Это означает, что если у системного администратора нет доступа к документам в какой-то из папок, он все равно может осуществлять их резервное копирование. Конечно, все резервные копии файлов также зашифрованы.

    Однако когда пользователь открывает какой-либо из файлов для работы на своем компьютере, существует возможность, что к нему получат доступ нежелательные приложения (в том случае, конечно, если компьютер инфицирован). Для предотвращения этого в CyberSafe в качестве дополнительной меры безопасности существует система доверенных приложений, благодаря которой системный администратор может определить список программ, которые смогут получить доступ к файлам из защищенной папки. Все остальные приложения, не вошедшие в список доверенных, не будут иметь доступа.Так мы ограничим доступ к конфиденциальной информации для шпионских программ, руткитов и другого вредоносного ПО.

    Поскольку вся работа с зашифрованными файлами осуществляется на стороне пользователя, это означает, что CyberSafe не устанавливается на файл-сервер и при работе в корпоративном пространстве программа может быть использована для защиты информации на сетевых хранилищах с файловой системой NTFS, таких как Windows Storage Server. Вся конфиденциальная информация в зашифрованном виде находится в таком хранилище, a CyberSafe устанавливается только на компьютеры пользователей, с которых они получают доступ к зашифрованным файлам.



    В этом заключается преимущество CyberSafe перед TrueCrypt и другими программами для шифрования, которые требуют установки в место физического хранения файлов, а значит, в качестве сервера могут использовать лишь персональный компьютер, но не сетевой диск. Безусловно, использование сетевых хранилищ в компаниях и организациях намного более удобно и оправдано, нежели использование обычного компьютера.

    Таким образом, при помощи CyberSafe без каких-либо дополнительных средств можно организовать эффективную защиту ценных файлов, обеспечить удобную работу с зашифрованными сетевыми папками, а также разграничить права доступа пользователей к конфиденциальной информации.

    КиберСофт

    41,00

    Компания

    Поделиться публикацией
    Комментарии 25
      +6
      Ваш продукт не опенсорсен, даже та его часть, которая непосредственно занимается шифрованием. Откуда мне знать, что под слоем вмппротекта у вас не припасен подарочек?
        +3
        Мы предоставляем исходный код своей библиотеки шифрования. Однако в CyberSafe входят несколько драйверов (NtKernel, AlfaFile) которые предоставляют свои сорцы за отдельную плату. Но большинство операций происходят на OpenSSL.
        Откуда мне знать, что под слоем вмппротекта у вас не припасен подарочек?

        Никак. Также как Вы не можете знать и о 99% ПО, которое установлено в Вашем ПК. Однако, по нашему другому продукту CyberSafe Firewall отсутствие НДВ заверено Российксой Федерацией в лице ФСТЭК сертификатом соответствия. Такие же сертификаты мы получаем сейчас на всю линейку CyberSafe.
          +1
          Для получения бумажки с НДВ4 необходимо, помимо правильно оформленных документов, обеспечить:
          1) Контроль исходного состояния ПО
          2) Контроль полноты и отсутствия избыточности исходных текстов
          3) Контроль соответствия исходных текстов ПО его объектному (загрузочному) коду

          Первое — подразумевает соответствие контрольных сумм дистрибутива, значениям заявленным в документах.

          Второе — подразумевает, что в представленном для исследований наборе файлов исходных текстов отсутствуют файлы, не участвующие в сборке программного обеспечения и не использующиеся в процессе его функционирования.

          Третье — подразумевает, что полученный в лаборатории при сборке результат соответствует представленным данным.

          ВОПРОС: Имея данную бумажку и будучи уверенным, что всё из вышеперечисленного лабораторией за денежку было проверено, можно ли утверждать, что представленное средство безопасно?
            –1
            Исследование программного продукта проводится на предмет его соответствия требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

            В рамках этого исследования многое делается, итогом чего служит соответствие (или несоответствие за денежку или без) программы требованиям к межсетевым экранам в РФ (определенной категории, естественно). Соответственно данная программа как сетевой экран является надежной.

            Для шифровального средства проводится другая проверка и другой организацией (ФСБ) после чего криптосредство признается надежным или нет. К сожалению, последнее исследование еще не готово в отношении CyberSafe.

            Можно сколько угодно обвинять, что за денежку любое напишут, также как и что на олимпиаде все деньги поворованы, но мы, как компания к которой предъявляются все эти требования, можем сказать что эти исследования как раз и дают 100% гарантию того, что бэкдоров в программе нет. В отличие от «друзей» из-за океана, на которых мы все равняемся, и которые, оказывается, все на крючке у АНБ.
              +1
              Соответственно данная программа как сетевой экран является надежной.

              Не правильный вывод.

              Данная программа как сетевой экран соответствует руководящим документам ФСТЭК 97 года (тогда ещё ГТК), списанным с документов буржуев более раннего периода (привет, АНБ). Соответствие этим требованиям сегодня (по прошествии без малого 17 лет) не говорит ни о чём, за исключением желания производителя влезть в регулируемый рынок «средств защиты» и заработать денег на «бумажной безопасности».

              Для шифровального средства проводится другая проверка и другой организацией (ФСБ) после чего криптосредство признается надежным или нет. К сожалению, последнее исследование еще не готово в отношении CyberSafe.


              Ну получите ещё одну бумажку с заветными СКЗИ КС1 и влезете в рынок перс. данных, также смачно регулируемым нашими регуляторами. Но эта бумажка уж точно с защищённостью ничего общего не имеет, взять хотя бы за основание факт отсутствия в открытом доступе требований к этим самым СКЗИ. А как же правило Кирхгофа, что надёжность любого шифратора должна определяться только секретностью ключа? Не, не слыхали?)

              Можно сколько угодно обвинять, что за денежку любое напишут, также как и что на олимпиаде все деньги поворованы, но мы, как компания к которой предъявляются все эти требования, можем сказать что эти исследования как раз и дают 100% гарантию того, что бэкдоров в программе нет. В отличие от «друзей» из-за океана, на которых мы все равняемся, и которые, оказывается, все на крючке у АНБ.


              Ну про олимпиаду мне лично всё понятно, как и про систему сертификации в этой стране. Но позвольте, неужто ваш продукт работает под управлением созданной в недрах наших НИИ отечественной ОС и созданного там же отечественного процессора, исключающего (даже при производстве оного на Тайване) наличие каких-либо закладочек?

              Или же всё-таки http://cybersafesoft.com/cssetup.exe намекает на Windows?
                0
                Я все же исхожу из того, что если я рядом с теми кто ворует на олимпиаде не сидел, то и не знаю. По аналогии с сертификацией, если Вы не знаете заявляемые требования к СКЗИ то это не значит что их не знают другие, в том числе компании, имеющие допуск к гос.тайне. Если бы Вы реально участвовали в системе сертификации СКЗИ, то Вам было бы очевидно что все меры РД направлены на ИСКЛЮЧЕНИЕ любых возможных уязвимостей, согласно Российской криптографической науки. А так это лишь Ваши инсинуации на тему, прошу простить. И почему-то когда PGP заявляет что соответствуют FIPS 140-2, то это лишь поднимает вес продукта. У нас же, как всегда, разве можем, мы, русские, продажные и никчемные, что-то нормально сделать.
                  0
                  Я все же исхожу из того, что если я рядом с теми кто ворует на олимпиаде не сидел, то и не знаю.

                  Ну хорошо, что Вы хотя бы не отрицаете самого факта наличия таковых…

                  По аналогии с сертификацией, если Вы не знаете заявляемые требования к СКЗИ то это не значит что их не знают другие, в том числе компании, имеющие допуск к гос.тайне. Если бы Вы реально участвовали в системе сертификации СКЗИ, то Вам было бы очевидно что все меры РД направлены на ИСКЛЮЧЕНИЕ любых возможных уязвимостей, согласно Российской криптографической науки.


                  А вот и не угадали. Знакомы эти самые требования к шифровальным (криптографическим) средствам. И нет в них ничего, что требовало бы такой жуткой закрытости. Только по Вашей логике получается, что такая закрытость есть мера, которая согласно российской криптографической науки направлена на ИСКЛЮЧЕНИЕ любых возможных уязвимостей и чего-то там ещё? А как же правило Кирхгофа? Не, не слыхали?))

                  Создаётся впечатление, что российская криптографическая наука и здесь впереди планеты всей.

                  И почему-то когда PGP заявляет что соответствуют FIPS 140-2, то это лишь поднимает вес продукта. У нас же, как всегда, разве можем, мы, русские, продажные и никчемные, что-то нормально сделать.


                  Я право не знаю, к чему вы здесь русский народ упомянули всуе. Автор PGP — Филипп Циммерманн.

                  Но давайте отталкиваться от реальности? Держите тезис: существующая система сертификации — тормоз для развития отечественного рынка информационной безопасности. Есть что возразить? Тогда, пожалуйста, для начала приведите один-два отечественных продукта, нацеленных на обеспечение «безопасности» и сертифицированных по всем-всем-всем уровням СВТ, НДВ и прочих слов из 3х букв, представленных на западных рынках?
                    +1
                    Согласен. Что тормоз большой. Абсолютно. Вы думаете нам не хотелось открытой конкуренции?? Те деньги что мы отдаем на бумажки с грифами можно на год нанять команду из тогоже Симантек -) Я говорю лишь о том, что наличие сертификата не говорит о том чо сами же чекисты напихивают туда бэкдоры. Вот американцы напихивают, факт. А наши нет, ну понимаю что не верится, но нет этого. Вот и все. А то что ФСБ лезет в коммерческий рынок (ладно уж гос компании) это неприемлимо конечно. У ПО должен быть авторитет, а не бумажка.
                      0
                      Вот за такую позицию плюсую, хотя про бекдоры ещё поспорил бы, особенно в контексте заряженных таблиц замен для ГОСТ 28147-89.
        0
        не по делу
          0
          К сожалению, общественность не понимает или упорно не хочет понимать о чем пишут авторы статей: если на файл сервер с трукриптом проникнуть (надо рассказывать как?) то все это шифрование не имеет смысла, даже пароль не нужен от контейнера. Все данные подключены на букву и с удовольствием сливаются при обращении ЛЮБОЙ программы к диску. А в КС на сервере вообще нет средств расшифровки. ТОЛЬКО на стороне клиента. Наверное ребята из компании PGP не самые профаны в области защиты данных: и они именно эту систему внедрили — PGP NetShare, а не шаринг криптодиска. А то что, лекго спрятать 10-20-50 ГБ файл и это прокатит как «любой» файл… ну не знаю, если только «маша» какая-нибудь будет проверять.
            +1
            Да, я потом перечитал об реализации. выглядит очень грамотно. Мой коммент не к месту был.
              +2
              Можно так же точно проникнуть на рабочую станцию и достать всё что лежит в зашифрованной папке, это не панацея. И шифрование общего ключа ключами пользователей тоже не новая идея. По сути это несколько трукриптовских контейнеров, ключи от которых выданы разным людям, а шифрование производится на стороне клиента.

              Да, вы скажете что у вас есть супер драйвер, который помешает сторонним программам попасть в папку, но
              1) Если надо будет, его расковыряют и вмпрот не поможет.
              2) Всегда можно притвориться «доверенной программой».
                –1
                Согласен. Панацеи нет.
                По сути это несколько трукриптовских контейнеров, ключи от которых выданы разным людям, а шифрование производится на стороне клиента.

                Не совсем ясно по какой «сути». Трукрипт (и КС тоже кстати включает себя работу с криптодисками) использует шифрование в МЕСТЕ хранения файлов. Никакой передачи по сети речи нет. Прочитайте в статье абзац про сетевые хранилища. Как бы Вы установили трукрипт на сетевой диск — хранилище?
                  0
                  Я же написал, что «а шифрование производится на стороне клиента». Я прекрасно понимаю как работает ваша программа, сам делал похожий продукт (только для БД, не для файлов). Но у меня правда не было мыслей говорить об этом как о ноу-хау в нескольких статьях и вообще говорить в слух (особенно тут и в нынешнее время) о проприетарном продукте, основной целью которого является шифрование.
              0
              что в РФ можно использовать только определенные алгоритмы


              Вот именно поэтому КС имеет сертификат Крипто-Про и работает с сертифицированным криптопровайдером.
              +2
              Не понимаю, как работает программа при создании нового файла обычным пользователем.

              Допустим у нас есть сетевой каталог в котором работают я и другие 2 сотрудника. Я, обычный пользователь, создаю новый файл на шаре, который автоматом зашифровывается, в его поток сажается симметричный ключ для расшифровки. Этот ключ зашифрован моим открытым ключем.

              Как остальные 2 юзера получат доступ к этому файлу?

              Что бы им получить доступ нужно с помощью моего закрытого ключа расшифровать мой симметричный ключ, перешифровать его своим открытым ключем и заново сохранить эту дополнительную копию симметричного ключа.

              Где они возьмут закрытый ключ для этой операции, если он хранится только она моей машине?
                0
                Нет, все по-другому происходит. В статье об этом написано в п. «Криптография с открытыми ключами и цифровые конверты».
                Смотрите.
                Я, обычный пользователь, создаю новый файл на шаре, который автоматом зашифровывается, в его поток сажается симметричный ключ для расшифровки. Этот ключ зашифрован моим открытым ключем.

                Здесь все верно. Но только вместе с симметричным ключом, зашифрованным при помощи Вашего открытого ключа, в поток сажаются еще 2 копии этого же симметричного ключа, зашифрованные открытыми ключами тех 2-х пользователей, которые вместе с вами имеют доступ к папке. Таким образом, если кто-либо из них захочет открыть файл, сохраненным Вами, для расшифровки симметричного ключа будет использован уже ЕГО, а не ваш закрытый ключ.
                  0
                  Симметричный ключ генерится на моем компьютере или на сервере?
                    0
                    Все операции по шифрованию/дешифрованию осуществляются исключительно на стороне пользователя. Это же относится и к генерации симметричного ключа. Симметричный ключ генерируется в момент добавления папки на сервер, шифруется ключами всех пользователей, которым разрешен доступ и записывается конвертом в ADS.
                      0
                      1. Мой сгенеренный симметричный ключ передает в открытом виде на сервер получается? Затем серверная часть шифрует его всеми нужными открытыми ключами, так?

                      2. Прошло время. Я захотел добавить еще пользователя к своему файлу. Как это будет выглядеть?
                      Чьим приватным ключем будет расшифрован симметричный ключ для добавления нового пользователя?
                      Или есть некая база симметричных ключей для проведения операции добавления?
                  0
                  Свяжитесь с Dr.Web, ваш сайт находится в списке вредоносных. online2.drweb.com/cache/?i=0454ebfb0bd605fbc2fc74e439faa6ab
                    0
                    Мой сгенеренный симметричный ключ передает в открытом виде на сервер получается? Затем серверная часть шифрует его всеми нужными открытыми ключами, так?

                    Нет, конечно. Симметричный ключ всегда защищен и используется только на момент шифрования или расшифровки файла. И, как я уже писал, НИКАКИХ операций по шифрованию и дешифрованию на сервере НЕ происходит. Все происходит на стороне пользователя.

                    Давайте разберемся на конкретном примере как все происходит.

                    Допустим в группе — 3 пользователя, один из них — Админ, два других Иванов и Петров. Админ создает папку на сервере и после этого добавляет ее в CybeberSafe в список папок, защищенных при помощи прозрачного шифрования. Делает он это на своем компьютере. Добавляя папку, Админ назначает открытые ключи тех пользователей, которые кроме него будут иметь доступ к этой папке (в нашем случае ключи Иванова и Петрова). В этот момент (когда Админ нажимает в программе кнопку «Применить») происходит генерация симметричного ключа, 3 копии которого, ЗАЩИЩЕННЫЕ открытыми ключами Админа, Иванова и Петрова записываются в ADS на сервер (ну и сам зашифрованный файл, конечно).

                    Далее Иванов хочет добавить новый файл в эту папку. На своем ПК в CyberSafe он находит ее на сервере, нажимает «Включить» и вводит пароль для своего закрытого ключа. Драйвер прозрачного шифрования убеждается, что открытый ключ Иванова действительно находится в списке разрешенных, папка включается и становится доступной Иванову для работы. В этот же момент драйвер получает с сервера ту копию симметричного ключа, которая защищена при помощи открытого ключа Иванова. Расшифровывает симметричный ключ при помощи закрытого ключа Иванова. Шифрует симметричным ключом файл. После этого зашифрованный файл отправляется на сервер. Естественно, на сервере по прежнему есть 3 копии симметричных ключей, защищенных при помощи открытых ключей Админа, Иванова и Петрова, так что каждый из них в любое время сможет получить доступ к новому файлу.

                    Прошло время. Я захотел добавить еще пользователя к своему файлу. Как это будет выглядеть?
                    Чьим приватным ключем будет расшифрован симметричный ключ для добавления нового пользователя?
                    Или есть некая база симметричных ключей для проведения операции добавления?

                    Пользователи добавляются не к отдельным файлам, а ко всей папке. Добавлять новых пользователей и удалять уже существующих может только администратор (при создании папки его закрытый ключ назначается Ключом Администратора). Поэтому, при добавлении нового пользователя, симметричный ключ будет расшифрован при помощи приватного ключа администратора, далее будет создана еще одна его копия, которая зашифруется открытым ключом добавляемого пользователя. Весь обновленный конверт снова перезапишется на сервер в ADS.
                      0
                      В общем софт хороший. Но функционал маловат.
                      Ситуация «злопыхатель хакнул админский пароль залез на файлопомоку и давай сбрасывать права» возможна, но редка.Чаще инсайдеры тащут информацию.
                      Поэтому для защиты данных в более широком и полноценном смысле, более интересна была бы система DLP с функцией шифрования.

                        0
                        Да, тут согласен. Нужно двигаться в этом направлении.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое