FreeSource : EugenePivnev/Projects/TheControl

Хотел назвать Total Control, но уж больно словосочетание заезженное.

Область деятельности

Внутренняя сеть компании.

Цель

Предотвращение утечки информации.
Речь не идет о защите класса банка или ФСБ – просто небольшой офис.

Преамбула

В принципе, речь идет о защите данных вообще.
Проблема разрушения/дискредитации данных снаружи решена давно и просто – Linux-as-desktop + никаких прав пользователям + нормально настроенный firewall + отсутствие прямого доступа снаружи внутрь (firewall+DMZ) + антивирус +... В общем, решается штатными средствами.
НО – после перекрытия каналов снаружи обнаруживается, что защититься от «злобных хакеров» – недостаточно.
Пока были хакеры – проблемы видно не было. Когда каналы снаружи внутрь перекрыты – оказывается, что тонны важной информации уплывают наружу от инсайдеров.
Вот на этом и сконцентрирован данный проект.

Subj, собственно

Носители (fixed)
- FDD
  Прикрыты как класс. Только у сисадмина. Т.е. делается «читать нельзя писать» («всех впускать – никого не выпускать» – классики были правы).
  Вообще-то флопам в офисе делать нечего – разве что для выгрузки «электронной отчетности» в налоговую. Но это очень эпизодически и может быть сделано с машины сисадмина.
- xD-RW
  Аналогично.
- USB
  Аналогично.
Сеть (Интернет)

Прежде всего закрываются все ненужные порты наружу (например – smtp). Открытые же тщательно фильтруются.

Почта
В принципе, концептуально решено – остался мелкий тюнинг.
HTTP
вот это – большой вопрос. То, что весь http-трафик пускается ч-з прокси – само собой. Сейчас задача стоит остановить HTTP-upload – при этом не мешая отправке заполненных форм.
IM
прикрыто как класс.
Другое
в принципе, можно сделать client-server с определенными характеристиками, но это уже их области шпионства, что не входит в область компетенции данного решения.

Физически

Бумага (!)
Все предыдущие проблемы рано или поздно решаются. Т.е . вынести информацию на электронном носителе – невозможно. Зато можно распечатать, а потом распознать! (Вопрос надиктовывания по телефону не стоит – это в другую строну, и решается организационно и/или другими средствами).
Как вариант – обрабатывать офисную бумагу так, чтобы она взаимодействовала с сигнализацией. Т.е. типа RFID.
Надо проработать вопрос нанесения RFID-compatible-меток на каждый лист бумаги. Т.е. бумага изготавливается как всегда, но, например, с магнитными полосами. И уже в офисе листы кодируют.
Или же поступается как в случае со струйниками – каждый принтер вносит свою signature в рисунок (но – магнитный). Тогда магнитную метку наносит сам принтер – на любую бумагу. Этот вариант кажется более предпочтительным.