data security.

[Paweł Sikora]

witam,

ostatnio pochylam sie nad ogolnym tematem zabezpieczenia poufnosci danych
biegajacych w sieci koropracyjnej.

nie chce tu teraz gdybac nad firewall-ami i polityka w tej materii,
a chce sie skupic tylko na mozliwosci fizycznego wyprowadzenia
informacji z firmy przez uzytkownikow nie majacych uprawnien admina.

w szczegolnosci chodzi mi o...

1).
zabezpiecznie danych przed skopiowaniem na urzadzenia podpiete do:

- portow usb (pendrive, dongle usb2bluetooth).
- portow e-sata.
- portow rs232.
- portow firewire.
- ...

2).
zabezpieczenie danych na dyskach twardych skradzionych z firmowych komputerow.
tu mam na mysli jakies transparentne szyfrowanie partycji z danymi.
szeregowi uzytkownicy nie moga znac hasel/kluczy, a jednoczesnie musza miec
na maszynie dostep do danych i nie moga ich skopiowac (patrz punkt 1).

oczywiscie, zeby nie bylo zbyt prosto, to w gre wchodza platformy
linux oraz windows.

z tego co pobieznie objezalem to na linuksie sporo da sie zalatwic
przez zabranie uzytkownikom praw do zapisu dla pewnych grup urzadzen,
przez zablokowanie ladowania modulow kernele (grsec), przez zabronienie
tworzenia pewnych polaczen sieciowych (grsec,firewall), przez zachowanie
poufnosci via ipsec oraz przez ecryptfs z administracyjnie zarzadzanym
haslem w autostarcie.

co do windowsa, to tu sprawa wyglada nieco gorzej. sa hack-i do rejestru
blokujace np. zapis na usb[1], ale wyciecie dostepu do innych urzadzen,
to juz chyba tylko przez wylaczenie przez admina kontrolerow w menedzerze,
czy wykasowanie bazy sterownikow, a i to nie wiem czy jest skuteczne :)
z szyfrowaniem partycji to juz w ogole jazda. nie wiem, czy bitlocker,
albo truecrypt podda sie latwo zarzadzaniu tak jak ecryptfs?

tak, czy inaczej, jesli ktos chcialby sie podzielic przemysleniami,
to zapraszam :)

[1]
http://www.howtogeek.com/howto/windows-vista/registry-hack-to-disable-writing-to-usb-drives/