RU2581559C2 - Система и способ применения политик безопасности к накопителю в сети - Google Patents
Система и способ применения политик безопасности к накопителю в сети Download PDFInfo
- Publication number
- RU2581559C2 RU2581559C2 RU2014131819/08A RU2014131819A RU2581559C2 RU 2581559 C2 RU2581559 C2 RU 2581559C2 RU 2014131819/08 A RU2014131819/08 A RU 2014131819/08A RU 2014131819 A RU2014131819 A RU 2014131819A RU 2581559 C2 RU2581559 C2 RU 2581559C2
- Authority
- RU
- Russia
- Prior art keywords
- drive
- security policies
- network
- tool
- criterion
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 15
- 238000012544 monitoring process Methods 0.000 claims description 17
- 238000012806 monitoring device Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 4
- 230000000694 effects Effects 0.000 abstract description 3
- 239000000126 substance Substances 0.000 abstract 1
- 230000009471 action Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 6
- 241000700605 Viruses Species 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000004140 cleaning Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000008092 positive effect Effects 0.000 description 2
- 238000007630 basic procedure Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000009414 blockwork Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/305—Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
Изобретение относится к системам и способам управления доступом к накопителю в сети. Технический результат заключается в повышении безопасности корпоративных данных путем управления доступом к накопителю с использованием системы и способа применения политик безопасности к накопителю в сети, которые определяют политики безопасности, основываясь на истории использования накопителя. Технический результат достигается с помощью системы и способа применения политик безопасности к накопителю в сети, в котором сохраняют в историю использования накопителя события, происходящие с накопителем, на основании произошедших событий определяют политики безопасности, применимые к накопителю и применяют определенные политики безопасности к накопителю. 2 н. и 2 з.п. ф-лы, 3 ил.
Description
Область техники
Изобретение относится к решениям для обеспечения безопасности конфиденциальных данных, а более конкретно к системам и способам применения политик безопасности к накопителю в сети.
Уровень техники
В настоящее время число устройств, используемых в корпоративной локальной сети, стремительно растет. Наряду с компьютерами и ноутбуками используются смартфоны, планшеты, коммуникаторы. Каждое устройство имеет встроенный носитель информации, а также есть и отдельные устройства - носители информации. Носители информации обычно называют накопителями. Накопители могут быть подключены к разным компьютерам и использованы для хранения и переноса информации. Почти на каждом накопителе, используемом внутри корпоративной сети, присутствуют конфиденциальные данные, которые не должны попадать за пределы сети.
Обеспечение защиты данных при использовании накопителей достаточно обширная задача. Необходимо определять политики безопасности для накопителя в отдельности или для группы накопителей, проводить мониторинг использования, сохранять историю владения, иметь возможность назначать политики безопасности для устройства. Политики безопасности могут содержать как политики доступа к устройству, так и политики шифрования. Политики безопасности могут назначаться в зависимости от различных критериев использования накопителя, например, в зависимости от того, кто владелец (кому был выдан накопитель), в каком сегменте сети используется накопитель, на каких компьютерах используется накопитель, какой тип накопителя.
Сама идея ограничения доступа к данным не нова. Так, публикация US 8341717 B1 описывает динамическое назначение сетевых политик устройствам на основании классификации. Устройства опознаются на основании цифровых сертификатов, и в зависимости от классификации сертификата устройству предоставляется доступ к различным услугам.
Заявка US 7606801 B2 описывает методы управления политиками безопасности в сетях с разными уровнями доступа к файлам, сбора данных о действиях пользователей и предупреждения о подозрительной активности пользователей.
Описываемые способы позволяют обеспечить безопасность данных в корпоративной сети, в которой используются данные устройства, но не обеспечивают безопасность хранящейся на устройствах информации и не предотвращают возможные утечки информации в случае выноса устройств за пределы корпоративной сети.
Предлагаемая система и способ позволяют управлять доступом к накопителю, а именно: применять политики шифрования, применять политики использования в зависимости от критериев использования и сохранять историю использования накопителя в течение всего жизненного цикла накопителя.
Сущность изобретения
Технический результат настоящего изобретения заключается в повышении безопасности корпоративных данных путем управления доступом к накопителю с использованием системы и способа применения политик безопасности к накопителю в сети, которые определяют политики безопасности, основываясь на истории использования накопителя.
Согласно одному из вариантов реализации, предоставляется система применения политик безопасности к накопителю в сети, которая включает в себя: средство наблюдения за накопителем, которое при возникновении события, связанного, по меньшей мере, с одним накопителем, сохраняет данное событие в историю использования накопителя, при этом событие содержит, по меньшей мере, тип операции над накопителем; средство определения политик безопасности накопителя, которое, на основании истории использования, по меньшей мере, одного накопителя, полученной от средства наблюдения за накопителем, определяет политики безопасности, применимые к накопителю; средство применения политик безопасности, которое на основании данных от средства определения политик безопасности накопителя применяет политики безопасности к накопителю.
Согласно одному из частных вариантов реализации средство определения политик безопасности накопителя определяет политику, содержащую, по меньшей мере, одну разрешенную операцию доступа к данным на накопителе, по меньшей мере, в одном сегменте сети.
Согласно другому частному варианту реализации средство определения политик безопасности накопителя определяет политику, содержащую ограничения использования, по меньшей мере, одного приложения, находящегося на накопителе, по меньшей мере, в одном сегменте сети.
Согласно еще одному частному варианту реализации средство определения политик безопасности накопителя определяет политику, стирающую данные с накопителя.
Согласно еще одному частному варианту реализации определения политик безопасности накопителя определяет политику шифрования данных на накопителе.
Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику, содержащую, по меньшей мере, одну разрешенную операцию доступа к данным на накопителе, по меньшей мере, в одном сегменте сети.
Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику, содержащую ограничения использования, по меньшей мере, одного приложения, находящегося на накопителе, по меньшей мере, в одном сегменте сети.
Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику, стирающую данные с накопителя.
Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику шифрования данных на накопителе.
Согласно еще одному частному варианту реализации предоставляется способ применения политик безопасности к накопителю в сети, в котором:
при возникновении события, связанного, по меньшей мере, с одним накопителем, сохраняют с помощью средства наблюдения за накопителем данное событие в историю использования накопителя, при этом событие содержит, по меньшей мере, тип операции над накопителем; определяют политики безопасности, применимые, по меньшей мере, к одному накопителю, с помощью средства определения политик безопасности накопителя на основании истории использования данного накопителя, полученной от средства наблюдения за накопителем; применяют политики безопасности к накопителю с помощью средства применения политик безопасности на основании данных, полученных от средства определения политик безопасности накопителя.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 изображает структуру системы управления доступом к накопителю в сети.
Фиг. 2 изображает общий случай определения политик безопасности для накопителя.
Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
Фиг. 1 отображает структуру системы управления доступом к накопителю в сети.
Средство регистрации накопителя 110 сохраняет данные о накопителях, содержащие его уникальный идентификатор и идентификатор владельца накопителя. Идентификатором накопителя может выступать любая уникальная информация о накопителе, например, его серийный номер, международный идентификатор мобильного оборудования (IMEI, англ. International Mobile Equipment Identity). Идентификатором владельца может являться, например, его логин в локальной сети, адрес электронной почты, комбинация имени и фамилии и прочие данные. Кроме этого средство регистрации может содержать и другие данные о накопителе, такие, как данные о типе накопителя, данные о сегментах сети, в которых разрешено использовать накопитель, заранее определенные политики безопасности для накопителя. Политики безопасности могут содержать политики шифрования, политики управления доступом к устройству, политики контроля приложений. Политики шифрования определяют, нужно ли, например, выполнять полнодисковое шифрование накопителя, выполнять шифрование файлов определенного типа и другие. Политики управления доступом к устройству содержат разрешения на доступ к устройству, а именно, когда можно выполнять чтение с устройства, когда запись, а также когда запрещены оба действия. Политики контроля приложений определяют правила для приложений, находящихся на накопителе, например, запретить запуск всех приложений или запретить сетевую активность запускаемых приложений.
Средство наблюдения за накопителем 120 выделяет события использования накопителя, включающие в себя такие критерии, как: тип операции над накопителем; результат операции над накопителем (например, была ли выполнена запись на накопитель); идентификатор пользователя, выполняющего действия с накопителем; компьютер, на котором выполняются действия с накопителем; сегмент сети, в котором выполняются действия с накопителем; соблюдение политик безопасности для накопителя (если накопитель был зашифрован с использованием полнодискового шифрования, на нем должен присутствовать контейнер шифрования, содержащий зашифрованную информацию). Средство наблюдения за накопителем 120 сохраняет выделенные события использования накопителя и пополняет историю использования накопителя, передает накопленные данные средству определения политик безопасности накопителя 130. В одном из вариантов реализации средство наблюдения за накопителем 120 использует базу данных для сохранения накопленной истории, включающую различные данные о защищаемых компьютерах сети. Когда накопитель подключается к компьютеру в первый и в последующие разы, можно также выделить события, связанные с компьютером (например, операционная система, актуальность обновлений операционной системы, наличие антивируса и актуальность антивирусных баз).
Средство определения политик безопасности накопителя 130 на основании данных от средства регистрации накопителя и истории использования накопителя, полученной от средства наблюдения за накопителем, определяет политики безопасности, применимые к накопителю, которые содержат правила контроля приложений, правила контроля доступа к накопителю и правила шифрования накопителя.
Задача по определению политик заключается в назначении политик накопителям, соответствующих потребностям пользователей и обеспечивающих безопасность хранимых данных. Для получения наиболее полного представления о накопителе в сети используется максимально широкий набор критериев, это позволяет более гибко выбирать политики безопасности. Для характеристики устройств учитываются, например, пользователи устройств, программное обеспечение, установленное на устройствах, аппаратная часть устройств, файлы, хранящиеся на устройстве, а также местоположение устройства в корпоративной локальной сети.
Местоположение накопителя - группа критериев, которая определяет мобильность накопителя. На основании этой группы делают вывод о том, покидает ли накопитель границы корпоративной локальной сети, в каких участках корпоративной сети находится накопитель и т.д. Статистику по местоположению получают, например, проанализировав компьютеры и точки доступа, к которым подключается накопитель, по маске подсети или используют данные с модуля геолокации накопителя. Если установлено, что накопитель перемещается, то накопитель по критерию мобильности признается мобильным, в противном случае устройство признается немобильным. Также определить данный критерий возможно, проанализировав данные об аппаратном обеспечении накопителя, если аппаратура соответствует фотоаппарату или телефону, то логично предположить, что устройство является мобильным. Критерии этой группы в частном случае могут определять следующий тип местоположения: накопитель не перемещается, накопитель перемещается внутри корпоративной сети, накопитель покидает пределы корпоративной сети.
Пользователи накопителя - группа критериев, которая определяет владельцев накопителя или лиц, которые временно используют данный накопитель для работы. Эти критерии могут указывать как на конкретное лицо, так и на некоторую группу пользователей, например администраторы, топ-менеджеры, разработчики и т.д.
Программное обеспечение, установленное на накопителе, - группа критериев, которая характеризует программное обеспечение, под управлением которого находится накопитель (операционную систему и компоненты, приложения, микропрограммы и т.д.). Также критерии определяют принадлежность программного обеспечения к некоторой группе, например, игровое программное обеспечение, офисные программы, браузеры, специальное программное обеспечение и т.д. Под специальным программным обеспечением понимается совокупность программ, используемых для решения определенного класса задач, например, программное обеспечение автоматизированной системы управления технологическими процессами. Также критерий может характеризовать уязвимость программного обеспечения, показывая, насколько данное программное обеспечение угрожает безопасности накопителя. В частном случае используется критерий устаревания программного обеспечения, который показывает, насколько программное обеспечение устарело.
Следует выделить и группу критериев, которая включает в себя критерии, характеризующие файлы, хранящиеся на накопителе. Эти критерии учитывают тип хранящихся документов, их количество, гриф секретности документов (специальная отметка, свидетельствующая о степени секретности сведений, содержащихся в их носителе) или их конфиденциальность (информация, хранящаяся в документе, общедоступна, или к ней имеет доступ ограниченный круг лиц). Применение этих критериев к накопителю позволяет составить представление о назначении и целях использования накопителя. Для определения конфиденциальности документов, хранящихся на накопителе, в частном случае могут применяться методы поиска по словарю, синтаксический разбор фрагментов документа по шаблону, технологии цифровых отпечатков. Для определения грифа секретности применяются в частном случае те же методы и технологии, что и для определения конфиденциальности.
Средство определения политик безопасности накопителя 130 использует вышеописанные критерии. Например, в одном из вариантов реализации накопитель подключается к компьютеру, на котором обрабатываются данные конфиденциального характера (например, сервер). Этот вывод делается за счет того, что компьютер находится в определенной группе. Следовательно, можно предположить, что на накопитель может быть записана защищаемая информация, что приведет в итоге к ее утечке. В свою очередь можно автоматически применить политики шифрования накопителя. Более того, можно сразу сузить область доступности накопителя политиками, определяющими ограничения доступа к накопителю, до тех компьютеров, которые аналогичны тому, к которому произведено подключение (находятся в той же группе или выполняют те же функции, например, серверные). В более сложном случае можно формировать политики меры не в момент подключения накопителя к компьютеру, а в момент попытки копирования на накопитель неких данных. Включение компьютеров в группу может производиться администратором сети.
В другом варианте реализации, например, компьютеры с конфиденциальными данными явно не выделены в отдельную группу. Но при этом средство наблюдения за накопителем 120 определяет, что на компьютере, к которому подключен накопитель, используется приложение определенного типа. Например, клиент для работы с банком, приложение документооборота, HR - приложение. В этом случае можно автоматически на основании сведений о том, какие приложения запускались на данном компьютере в течение заданного интервала времени, сделать достаточно обоснованный вывод о том, нужно ли средству определения политик безопасности накопителя 130 создавать дополнительные политики безопасности для накопителя или нет.
В еще одном варианте реализации, наблюдая за историей перемещения накопителя, определяется, что он подключается к компьютерам определенной группы. Таким образом, можно создать политику безопасности, блокирующую использование накопителя за пределами этой группы, а на основании сведений об используемом в пределах этой группы программном обеспечении назначить политики шифрования.
В еще одном варианте реализации, используя историю накопителей пользователя, можно выделить политики безопасности, отражающие аккуратность и потенциальную опасность его пользователя. Например, по данным истории пользователь терял накопители. Вероятно, текущий накопитель тоже будет утерян, поэтому имеет смысл сразу назначать упреждающие политики безопасности, например, использовать шифрование. Если в истории есть данные о занесении вирусов на накопитель, можно определить политики безопасности для контроля приложений, например, запретить для этого накопителя запуск любого исполняемого кода.
Следует отметить, что связанные с накопителем события могут включать не только события о явном использовании накопителя, но и данные о том, какие приложения установлены и используются на компьютерах, к которым подключается накопитель, установлены ли на компьютерах обновления операционной системы, как часто компьютер заражается вирусами и т.п. Например, если накопитель регулярно подключается к компьютерам без последних обновлений безопасности (отсутствуют обновления для операционной системы, или базы антивирусного приложения устарели), можно сделать вывод о повышенной вероятности заражения этого накопителя и изменить политики по данному накопителю в сторону ужесточения.
Средство определения политик безопасности накопителя 130 не только анализирует историю, но и обладает данными о ранее принятых и реализованных политиках безопасности. Основываясь на этих данных, средство определения политик безопасности накопителя 130 может определять новые политики безопасности, основываясь на ранее определенных политиках. Например, с накопителем произошли некоторые события, которые были зафиксированы средством наблюдения за накопителем 120 и сохранены в базе произошедших событий. Основываясь на событиях, были сформированы политики ограничения безопасности. Через некоторое время (например, через неделю), изучая журнал событий, средство определения политик безопасности накопителя 130 может определить, дали ли ранее определенные политики положительный эффект или нет. Например, пользователь постоянно «заражает» накопитель вирусами. Средство определения политик безопасности накопителя 130 определяет политики: запретить выполнение находящихся на накопителе приложений, подключение накопителя ко всем компьютерам за исключением компьютера владельца, выполнить полнодисковое шифрование накопителя. Если с течением времени на накопителе не обнаружены вирусы, то средство определения политик безопасности накопителя 130 определяет, что после применения политик «заражение» накопителя прекратилось, следовательно, изменение политик было эффективно, и его стоит применять в подобных ситуациях. В другом варианте реализации, используя ранее принятые и реализованные политики безопасности, средство определения политик безопасности накопителя 130 будет определять политики безопасности постепенно. Например, в случае возникновения вышеописанной ситуации (накопитель «заражен») сначала ограничивается выполнение приложений, затем подключение к другим компьютерам, затем производится шифрование накопителя. Таким образом, можно определить более эффективный набор политик для каждого отдельного случая.
В одном из вариантов реализации средство определения политик безопасности накопителя 130 информирует офицера безопасности. Например, если средство определения политик безопасности накопителя 130 исчерпало все доступные ему меры модификации политики, а положительный эффект так и не наступил. В такой ситуации необходимо информировать офицера безопасности, выдав ему отчет о том, в чем заключается проблема с конкретным накопителем, и какие ограничения политик уже предпринимались автоматически.
Средство применения политик безопасности накопителя 140 на основании правил от средства определения политик безопасности накопителя 130 применяет ограничения по использованию накопителя. Правила контроля доступа к накопителю регулируют возможные операции чтения и записи на накопителе в целом или для определенных файлов, например, на накопителе типа «фотоаппарат», запрещена запись файлов определенных форматов в любом сегменте сети. Другой пример состоит в том, что накопитель блокируется в системе или на отдельном компьютере, если компьютер расположен в сегменте сети, не разрешенном для использования накопителя. Кроме того, средство применения политик безопасности к накопителю 140 может выполнять очистку накопителя от данных, например, производить полное или быстрое форматирование устройства.
Кроме того, средство применения политик безопасности накопителя 140 на основании правил контроля приложений от средства определения политик безопасности накопителя 130 применяет ограничения по использованию накопителя. Например, запрещен запуск исполняемых файлов с накопителя в заданных или во всех сегментах сети.
Также средство применения политик безопасности накопителя 140 на основании политик шифрования от средства определения политик безопасности накопителя 130 выполняет шифрование на устройстве. Может применяться как полнодисковое шифрование, так и шифрование отдельных файлов или файлов определенных форматов.
Фиг. 2 изображает общий случай определения политик безопасности для накопителя.
На начальном этапе происходит регистрация 220 накопителя в системе. Накопитель может появиться в системе, например, после закупки. Изначально накопитель не выдан никому из сотрудников, поэтому регистрируются в системе, например, со статусом «Новый накопитель». Владельцем такого накопителя, например, может являться системная учетная запись. Для такого накопителя автоматически формируются правила, предписывающие средству применения политик безопасности к накопителю, блокировать работу с накопителем. Новый накопитель опционально должен очищаться от данных, например, с использованием быстрого форматирования. Далее уточняют данные о накопителе. Это позволяет расширить функциональность средства определения политик безопасности накопителя в предлагаемой системе. Например, в свойствах накопителя указывается, что это фотоаппарат, видеокамера или диктофон. Это можно распознать автоматически по свойствам накопителя (например, классификация драйвера накопителя, тип накопителя, уникальный идентификатор накопителя, производитель накопителя, версия аппаратного обеспечения накопителя, версия программного обеспечения накопителя), а также задать вручную, например, администратор сети может изменить автоматически определенный тип накопителя или указать тип, если он не был определен автоматически. Средство определения политик безопасности учтет это при создании политик средства шифрования для этого устройства. При применении полнодискового или файлового шифрования устройство перестанет функционировать, так как не опознает, например, файловую систему или отдельные файлы на используемом накопителе. Это важно и в случае, если для средства определения политик безопасности задана глобальная политика «шифровать все», так как для указанных устройств автоматически будет создано исключение. С другой стороны известно, что, например, с фотоаппарата можно копировать фотографии и видеофайлы на ПК (в общем случае заданный набор расширений файлов) и удалять их. Записывать данные на фотоаппарат нельзя, равно как нельзя запускать исполняемые файлы. На основании этого можно создать правила для контроля доступа к накопителю и для контроля приложений. В результате кто бы не получил новое устройство, политики для конкретного устройства будут иметь приоритет и учтут его специфику. Аналогично политики можно задавать и для других типов устройств (например, для диктофонов, видеокамер, видеорегистраторов), которые нельзя шифровать, но необходимо ограничивать возможности работы с ними, тем самым исключив утечки данных. В общем случае при регистрации накопителя эти данные могут заполняться автоматически при условии, что средство регистрации накопителя будет иметь базу данных для опознания типа и функционального назначения устройства.
Далее пользователи начинают работать с накопителем 240. Возможны две типовые ситуации - владельцем накопителя становится конкретный человек или отдел. В момент определения владельца для накопителя будет автоматически создан набор правил для средства определения политик безопасности накопителя, осуществляющих контроль доступа к накопителю (необходимо разрешить работу с накопителем конкретному сотруднику или всему персоналу заданной группы) а также набор правил для контроля приложений и шифрования.
С точки зрения безопасности можно выделить ряд характерных ситуаций и сценариев, которые может обработать предлагаемая система.
Подключение накопителя к различным ПК в фирме 241. Средство наблюдения сохраняет историю событий, связанных с накопителем. История событий важна, например, в случае служебных расследований (можно понять, как примерно перемещался накопитель по сети, сформировать круг потенциальных нарушителей безопасности при возникновении инцидентов).
Неиспользование накопителя длительное время 242. Это говорит о том, что накопитель или потеряли, или не используют. В первом случае его можно блокировать, во втором - сигнализировать об этом владельцу накопителя, который может принять решение о возврате накопителя. Если средство наблюдения за накопителем будет фиксировать дату последнего подключения и использовать общий счетчик частоты использования, то неиспользование накопителя можно легко зафиксировать и автоматизировать реагирование. Например, если накопитель не используется 3 месяца, или пользователь сообщает, что не может найти выданный накопитель, но не уверен, что накопитель утерян, в системе для средства определения политик безопасности накопителя вносится политика «условно потерян», автоматически генерируются правила для средства контроля доступа к накопителю для блокировки, с отметкой даты и времени, и причины «Предположительно потерянный накопитель». Если пользователь найдет накопитель, то при его подключении к компьютеру пользователя, которому накопитель выдавался, средство наблюдения за накопителем опознает это действие, и средство определения политик безопасности автоматически отменит политики, связанные с блокировкой. При подключении к неавторизованному компьютеру (компьютеру, пользователь которого не является владельцем накопителя), средства определения политик безопасности блокируют использование накопителя, после чего может быть выдано предупреждение службе безопасности. Если накопитель не используется 6 месяцев, то в этом случае, например, для средства определения политик безопасности накопителя вносится статус «накопитель утерян», и генерируются правила для блокировки утерянного накопителя. В тот же статус накопитель переводится вручную, если пользователь сообщает о его хищении или потере. Любая попытка работы с таким накопителем должна пресекаться. Кроме того, например, при блокировке можно задать дополнительную политику «Стереть данные при первом подключении». Такая политика может создаваться в автоматическом или в ручном режиме (опционально), так как если накопитель был украден, а затем опять появился в сети, важно знать, какие данные находятся на накопителе. В случае обнаружения накопителя (он был утерян долгое время, но затем найден) его можно разблокировать. В случае подключения к любому компьютеру в сети (к компьютеру владельца или другого пользователя) средство наблюдения за накопителем генерирует предупреждение для службы безопасности.
Нарушение политики шифрования 243. Например, средство наблюдения за накопителем обнаружило, что контейнер шифрования удален. В одном из вариантов реализации в такой ситуации система автоматически создает для средства определения политик безопасности политику «Нарушение политики шифрования», выдается предупреждение службе безопасности, для средства контроля доступа к накопителю автоматически создается правило блокировки со статусом «Блокировка ввиду нарушения политик шифрования». В другом варианте реализации система автоматически создает для средства определения политик безопасности политику «Восстановление политики шифрования», устройство очищается от данных (форматируется), к нему применяется полнодисковое шифрование.
Увольнение пользователя 244. При этом обычно все накопители, выданные пользователю, сдаются. При этом, например, средство регистрации накопителя переводит их статус «Новый» с очисткой данных или сразу фиксируется выдача на другого пользователя без удаления данных. Если, например, накопитель уволенного пользователя не предъявляется системе, то он автоматически переходит в статус «Накопитель утерян».
Перевод пользователя на другую должность 245. В такой ситуации политики безопасности накопителя будут другими, и та информация, которую пользователь ранее хранил на накопителе, не может быть использована. В таком случае, например, при фиксации смены должности система автоматически корректирует политики для накопителей пользователя, например, инициирует их принудительную очистку. В другом случае при переводе пользователь сдает накопители по аналогии с увольнением.
Поломка накопителя 246. В такой ситуации, например, накопителю с помощью средства определения политик безопасности накопителя вносится статус «Блокировка вышедшего из строя накопителя», но без удаления из базы данных средства регистрации накопителя для того, чтобы сохранилась история использования накопителя.
Обнаружение вируса на накопителе 247. В этом случае, например, можно опционально блокировать накопитель с особым статусом «Блокировка зараженного накопителя» и выдачей предупреждения. Это важно, например, если по политикам такой накопитель запрещено выносить за пределы корпоративной сети.
Блокировка накопителя службой безопасности 248. Например, накопитель блокируется со статусом «Заблокирован службой безопасности», кроме того, необходимо иметь возможность блокировать все накопители заданного пользователя или указанного отдела.
Накопитель списан вне зависимости от исправности 249. В такой ситуации уничтожение данных важно и может быть обязательным с сохранением информации средством наблюдения за накопителем, выполнено оно или нет. После этого накопитель получает статус "Блокирован как списанный" с формированием правила для средства контроля доступа к накопителю на запрет его использования.
Стоит отметить, что система может создавать отчеты помощью генератора отчетов при смене статуса. Например, если накопитель выдается пользователю, то автоматически распечатывается документ, на котором есть данные накопителя, дата, место для подписи получившего накопитель пользователя. Такой документ (его электронный вариант или изображение) может вноситься в систему средством регистрации накопителя и привязываться к накопителю. Пока нет документа в системе, не формируются правила на разрешение использования накопителя. В случае инцидента специалист безопасности сразу получит все документы, позволяющие привлечь пользователя к расследованию инцидента.
Еще одна функция, которая возможна в системе, - проведение принудительной инвентаризации. Для заданных накопителей (по накопителю, пользователю, группе пользователей, отделу) средством определения политик безопасности для накопителя включается статус «Требуется подтверждение наличия». Пользователи получают запрос на подтверждение того факта, что накопитель у них. Подтверждение выполняется, например, посредством подключения накопителя к любому компьютеру, на котором разрешено его использование. Если подтверждение выполнено в заданный период времени (например, 10 дней), то статус «Требуется подтверждение наличия» снимается с фиксацией даты подтверждения и компьютер, с которого оно выполнено. Иначе накопитель автоматически переводится в статус «условно потерян».
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
Claims (4)
1. Система применения политик безопасности к накопителю, являющемуся устройством для хранения информации, в сети, которая включает в себя:
- средство регистрации накопителя, предназначенное для сохранения в базе данных в момент появления накопителя в сети идентификатора по меньшей мере одного накопителя и идентификатора по меньшей мере одного владельца накопителя, при этом идентификатором накопителя является серийный номер;
- средство наблюдения за накопителем, предназначенное для сохранения возникающего события, связанного по меньшей мере с одним накопителем, в историю использования накопителя, при этом событие содержит по меньшей мере: тип операции над накопителем, результат операции над накопителем, идентификатор пользователя, выполняющего операцию над накопителем;
- средство определения политик безопасности накопителя, предназначенное для определения с учетом критериев на основании истории использования по меньшей мере одного накопителя, полученной от средства наблюдения за накопителем, и информации, сохраненной средством регистрации накопителя, политики безопасности, применимые к накопителю, при этом критериями являются критерий, характеризующий уязвимости программного обеспечения, хранящегося на накопителе, и по меньшей мере один из:
критерий, определяющий мобильность накопителя;
критерий, определяющий пользователя накопителя;
критерий, характеризующий конфиденциальность файлов, хранящихся на накопителе;
- средство применения политик безопасности, предназначенное для применения политик безопасности к накопителю на основании данных от средства определения политик безопасности накопителя путем ограничения операции чтения и записи на накопителе в целом или для отдельных файлов.
- средство регистрации накопителя, предназначенное для сохранения в базе данных в момент появления накопителя в сети идентификатора по меньшей мере одного накопителя и идентификатора по меньшей мере одного владельца накопителя, при этом идентификатором накопителя является серийный номер;
- средство наблюдения за накопителем, предназначенное для сохранения возникающего события, связанного по меньшей мере с одним накопителем, в историю использования накопителя, при этом событие содержит по меньшей мере: тип операции над накопителем, результат операции над накопителем, идентификатор пользователя, выполняющего операцию над накопителем;
- средство определения политик безопасности накопителя, предназначенное для определения с учетом критериев на основании истории использования по меньшей мере одного накопителя, полученной от средства наблюдения за накопителем, и информации, сохраненной средством регистрации накопителя, политики безопасности, применимые к накопителю, при этом критериями являются критерий, характеризующий уязвимости программного обеспечения, хранящегося на накопителе, и по меньшей мере один из:
критерий, определяющий мобильность накопителя;
критерий, определяющий пользователя накопителя;
критерий, характеризующий конфиденциальность файлов, хранящихся на накопителе;
- средство применения политик безопасности, предназначенное для применения политик безопасности к накопителю на основании данных от средства определения политик безопасности накопителя путем ограничения операции чтения и записи на накопителе в целом или для отдельных файлов.
2. Система по п. 1, в которой критерий мобильности накопителя определяется на основании статистики местоположения накопителя.
3. Способ применения политик безопасности к накопителю, являющемуся устройством для хранения информации, в сети, в котором:
- регистрируют накопитель в момент появления в сети с помощью средства регистрации накопителя, сохраняя в базе данных идентификатор по меньшей мере одного накопителя и идентификатор по меньшей мере одного владельца накопителя, при этом идентификатором накопителя является серийный номер;
- при возникновении события, связанного, по меньшей мере, с одним накопителем, сохраняют с помощью средства наблюдения за накопителем данное событие в историю использования накопителя, при этом событие содержит по меньшей мере: тип операции над накопителем, результат операции над накопителем, идентификатор пользователя, выполняющего операцию над накопителем;
- определяют с учетом критериев политики безопасности, применимые, по меньшей мере, к одному накопителю, с помощью средства определения политик безопасности накопителя на основании истории использования данного накопителя, полученной от средства наблюдения за накопителем, при этом критериями являются критерий, характеризующий уязвимости программного обеспечения, хранящегося на накопителе, и по меньшей мере один из:
критерий, определяющий мобильность накопителя;
критерий, определяющий пользователя накопителя;
критерий, характеризующий конфиденциальность файлов, хранящихся на накопителе;
- применяют политики безопасности к накопителю с помощью средства применения политик безопасности на основании данных, полученных от средства определения политик безопасности накопителя, ограничивая операции чтения и записи на накопителе в целом или для отдельных файлов.
- регистрируют накопитель в момент появления в сети с помощью средства регистрации накопителя, сохраняя в базе данных идентификатор по меньшей мере одного накопителя и идентификатор по меньшей мере одного владельца накопителя, при этом идентификатором накопителя является серийный номер;
- при возникновении события, связанного, по меньшей мере, с одним накопителем, сохраняют с помощью средства наблюдения за накопителем данное событие в историю использования накопителя, при этом событие содержит по меньшей мере: тип операции над накопителем, результат операции над накопителем, идентификатор пользователя, выполняющего операцию над накопителем;
- определяют с учетом критериев политики безопасности, применимые, по меньшей мере, к одному накопителю, с помощью средства определения политик безопасности накопителя на основании истории использования данного накопителя, полученной от средства наблюдения за накопителем, при этом критериями являются критерий, характеризующий уязвимости программного обеспечения, хранящегося на накопителе, и по меньшей мере один из:
критерий, определяющий мобильность накопителя;
критерий, определяющий пользователя накопителя;
критерий, характеризующий конфиденциальность файлов, хранящихся на накопителе;
- применяют политики безопасности к накопителю с помощью средства применения политик безопасности на основании данных, полученных от средства определения политик безопасности накопителя, ограничивая операции чтения и записи на накопителе в целом или для отдельных файлов.
4. Способ по п. 3, в котором критерий мобильности накопителя определяется на основании статистики местоположения накопителя.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2014131819/08A RU2581559C2 (ru) | 2014-08-01 | 2014-08-01 | Система и способ применения политик безопасности к накопителю в сети |
| US14/555,052 US9537895B2 (en) | 2014-08-01 | 2014-11-26 | System and method for securing use of a portable drive with a computer network |
| EP15163366.6A EP2980722B1 (en) | 2014-08-01 | 2015-04-13 | System and method for securing use of a portable drive with a computer network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2014131819/08A RU2581559C2 (ru) | 2014-08-01 | 2014-08-01 | Система и способ применения политик безопасности к накопителю в сети |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2014131819A RU2014131819A (ru) | 2016-02-20 |
| RU2581559C2 true RU2581559C2 (ru) | 2016-04-20 |
Family
ID=55181287
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2014131819/08A RU2581559C2 (ru) | 2014-08-01 | 2014-08-01 | Система и способ применения политик безопасности к накопителю в сети |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9537895B2 (ru) |
| RU (1) | RU2581559C2 (ru) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2731330C1 (ru) * | 2016-12-19 | 2020-09-01 | Алибаба Груп Холдинг Лимитед | Защищенные автономные операции с ресурсами |
| RU2817533C1 (ru) * | 2023-03-03 | 2024-04-16 | Акционерное общество "Аладдин Р.Д." | Способ и система однонаправленной передачи данных между вычислительными устройствами |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3384652B1 (en) * | 2015-11-30 | 2021-08-11 | Hewlett-Packard Development Company, L.P. | Security mitigation action selection based on device usage |
| JP2017163280A (ja) * | 2016-03-08 | 2017-09-14 | キヤノン株式会社 | 情報処理装置及び情報処理装置における暗号化ユニットの搭載判別方法、及びプログラム |
| US10043005B2 (en) * | 2016-03-31 | 2018-08-07 | Bitdefender IPR Management Ltd. | Systems and methods for application control in virtualized environments |
| US10902152B2 (en) * | 2017-06-30 | 2021-01-26 | Oracle International Corporation | Restricting plug-in application recipes |
| US11023300B2 (en) | 2017-06-30 | 2021-06-01 | Oracle International Corporation | Governing access to third-party application programming interfaces |
| JP7337627B2 (ja) * | 2019-09-24 | 2023-09-04 | 株式会社日立製作所 | 通信制御装置およびシステム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7120635B2 (en) * | 2002-12-16 | 2006-10-10 | International Business Machines Corporation | Event-based database access execution |
| JP2009217373A (ja) * | 2008-03-07 | 2009-09-24 | Ns Solutions Corp | 情報処理装置、情報処理方法及びプログラム |
| US7702642B1 (en) * | 2005-12-07 | 2010-04-20 | Precise Software Solutions, Inc. | Method, system and computer-readable code for instrumenting code for logging database-related strings |
| JP2011186849A (ja) * | 2010-03-09 | 2011-09-22 | Nippon Telegr & Teleph Corp <Ntt> | Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム |
| RU2450333C1 (ru) * | 2010-12-30 | 2012-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ защиты личных данных на мобильном устройстве |
| RU2488879C1 (ru) * | 2012-06-19 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для защиты доступа к данным, сохраненным на мобильном устройстве, с помощью пароля |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6961541B2 (en) | 2002-05-24 | 2005-11-01 | Aeroscout, Inc. | Method and apparatus for enhancing security in a wireless network using distance measurement techniques |
| JP4612416B2 (ja) | 2002-08-09 | 2011-01-12 | ヴィスト・コーポレーション | 危殆化した遠隔装置上のデータへのアクセスを防止するシステムおよび方法 |
| US9197668B2 (en) * | 2003-02-28 | 2015-11-24 | Novell, Inc. | Access control to files based on source information |
| US7523316B2 (en) * | 2003-12-08 | 2009-04-21 | International Business Machines Corporation | Method and system for managing the display of sensitive content in non-trusted environments |
| JP2005184368A (ja) | 2003-12-18 | 2005-07-07 | Matsushita Electric Ind Co Ltd | 通信制御装置、通信制御方法、およびネットワークカメラシステム |
| JP2005284679A (ja) | 2004-03-29 | 2005-10-13 | Fujitsu Ltd | リソース利用ログ取得プログラム |
| JP4387856B2 (ja) | 2004-04-08 | 2009-12-24 | 富士通株式会社 | コンピュータロック管理プログラム、コンピュータロック管理方法およびコンピュータロック管理装置 |
| US7593532B2 (en) | 2004-04-22 | 2009-09-22 | Netapp, Inc. | Management of the retention and/or discarding of stored data |
| US20050246494A1 (en) | 2004-05-03 | 2005-11-03 | Leon Jose L Jr | Data storage arrangement and method for storing and transferring data |
| JP2006146358A (ja) | 2004-11-16 | 2006-06-08 | Nec Nexsolutions Ltd | Usb周辺機器制御システム、及びusb周辺機器制御方法 |
| AU2005330619B2 (en) | 2005-04-22 | 2011-08-11 | Daon Technology | A system and method for protecting the privacy and security of stored biometric data |
| US7606801B2 (en) | 2005-06-07 | 2009-10-20 | Varonis Inc. | Automatic management of storage access control |
| WO2006134269A1 (fr) | 2005-06-14 | 2006-12-21 | Patrice Guichard | Procede et dispositif de protection de donnees et de systeme informatique |
| US20070266422A1 (en) | 2005-11-01 | 2007-11-15 | Germano Vernon P | Centralized Dynamic Security Control for a Mobile Device Network |
| US7717326B2 (en) | 2006-11-15 | 2010-05-18 | International Business Machines Corporation | Method and system for protecting data |
| US8484701B2 (en) | 2007-03-29 | 2013-07-09 | Christopher Murphy | Methods for internet security via multiple user authorization in virtual software |
| US8214885B2 (en) | 2007-05-07 | 2012-07-03 | Mocana Corporation | Managing network components using USB keys |
| GB2452479A (en) | 2007-08-31 | 2009-03-11 | Sony Corp | Content protection through deletion of a decryption key in response to a predetermined event |
| WO2009083970A2 (en) * | 2007-12-27 | 2009-07-09 | Safend Ltd. | System and method for securely storing information |
| US8272028B2 (en) | 2008-10-15 | 2012-09-18 | Ricoh Company, Ltd. | Approach for managing access to electronic documents on network devices using document retention policies and document security policies |
| US8341717B1 (en) | 2008-11-13 | 2012-12-25 | Sprint Communications Company L.P. | Dynamic network policies based on device classification |
| US20100125891A1 (en) | 2008-11-17 | 2010-05-20 | Prakash Baskaran | Activity Monitoring And Information Protection |
| US20100161878A1 (en) | 2008-12-18 | 2010-06-24 | Gigaflash Limited | Method of unlocking portable memory device |
| US8340633B1 (en) * | 2009-04-09 | 2012-12-25 | Mobile Iron, Inc. | Mobile activity intelligence |
| KR20120108965A (ko) | 2009-09-17 | 2012-10-05 | 로얄 캐네디언 민트 | 전자 지갑용 자산 저장 및 이체 시스템 |
| US8856918B1 (en) * | 2010-01-07 | 2014-10-07 | Symantec Corporation | Host validation mechanism for preserving integrity of portable storage data |
| JP5505010B2 (ja) | 2010-03-19 | 2014-05-28 | 富士通株式会社 | 記憶媒体アダプタ及びデータアクセス不能化方法 |
| US20110258303A1 (en) | 2010-03-29 | 2011-10-20 | Badri Nath | System and method for personal device sharing using social networks |
| EP2450817A1 (en) | 2010-11-08 | 2012-05-09 | Thomson Licensing | Electronic component with time-limited use |
| EP2727042B1 (en) | 2011-07-01 | 2016-04-06 | Fiberlink Communications Corporation | Rules based actions for mobile device management |
| KR101258834B1 (ko) * | 2011-09-23 | 2013-05-06 | 삼성에스디에스 주식회사 | 보안 정책에 의한 모바일 기기 관리장치 및 방법, 그리고 모바일 기기 관리를 위한 관리 서버 |
| US9027076B2 (en) * | 2012-03-23 | 2015-05-05 | Lockheed Martin Corporation | Method and apparatus for context aware mobile security |
| JP5880256B2 (ja) | 2012-04-26 | 2016-03-08 | ソニー株式会社 | 情報処理装置及び方法、プログラム、並びに情報処理システム |
| US20140148140A1 (en) * | 2012-11-29 | 2014-05-29 | Lg Cns Co., Ltd. | Policy-based mobile device management system (mdms) based on access history information |
| US9215250B2 (en) * | 2013-08-20 | 2015-12-15 | Janus Technologies, Inc. | System and method for remotely managing security and configuration of compute devices |
-
2014
- 2014-08-01 RU RU2014131819/08A patent/RU2581559C2/ru active
- 2014-11-26 US US14/555,052 patent/US9537895B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7120635B2 (en) * | 2002-12-16 | 2006-10-10 | International Business Machines Corporation | Event-based database access execution |
| US7702642B1 (en) * | 2005-12-07 | 2010-04-20 | Precise Software Solutions, Inc. | Method, system and computer-readable code for instrumenting code for logging database-related strings |
| JP2009217373A (ja) * | 2008-03-07 | 2009-09-24 | Ns Solutions Corp | 情報処理装置、情報処理方法及びプログラム |
| JP2011186849A (ja) * | 2010-03-09 | 2011-09-22 | Nippon Telegr & Teleph Corp <Ntt> | Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム |
| RU2450333C1 (ru) * | 2010-12-30 | 2012-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ защиты личных данных на мобильном устройстве |
| RU2488879C1 (ru) * | 2012-06-19 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для защиты доступа к данным, сохраненным на мобильном устройстве, с помощью пароля |
Non-Patent Citations (1)
| Title |
|---|
| P 2005184368 A, 07.07.2005. * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2731330C1 (ru) * | 2016-12-19 | 2020-09-01 | Алибаба Груп Холдинг Лимитед | Защищенные автономные операции с ресурсами |
| RU2817533C1 (ru) * | 2023-03-03 | 2024-04-16 | Акционерное общество "Аладдин Р.Д." | Способ и система однонаправленной передачи данных между вычислительными устройствами |
Also Published As
| Publication number | Publication date |
|---|---|
| US9537895B2 (en) | 2017-01-03 |
| US20160036859A1 (en) | 2016-02-04 |
| RU2014131819A (ru) | 2016-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2581559C2 (ru) | Система и способ применения политик безопасности к накопителю в сети | |
| EP3479280B1 (en) | Ransomware protection for cloud file storage | |
| US10419488B2 (en) | Delegating security policy management authority to managed accounts | |
| JP5270694B2 (ja) | 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム | |
| US8499152B1 (en) | Data positioning and alerting system | |
| RU2559728C2 (ru) | Система и способ копирования файлов с зашифрованного диска | |
| JP5851029B2 (ja) | デジタル資産の価値を決定して利用するための方法および装置 | |
| WO2007052388A1 (ja) | 機密ファイル保護方法、及び機密ファイル保護システム | |
| US10768941B2 (en) | Operating system management | |
| US11599659B2 (en) | Documenting and annotating code activities | |
| KR101223594B1 (ko) | Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체 | |
| US20200201995A1 (en) | Identification and control of malicious users on a data storage system | |
| US20210034735A1 (en) | Enforcement of password uniqueness | |
| US20110126293A1 (en) | System and method for contextual and behavioral based data access control | |
| US20160335433A1 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| JP4044126B1 (ja) | 情報漏洩抑止装置、情報漏洩抑止プログラム、情報漏洩抑止記録媒体、及び情報漏洩抑止システム | |
| RU2622630C2 (ru) | Система и способ восстановления модифицированных данных | |
| US10999310B2 (en) | Endpoint security client embedded in storage drive firmware | |
| JP2011198256A (ja) | コンテント保護装置 | |
| KR102488337B1 (ko) | 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치 | |
| JP2005044021A (ja) | ネットワークセキュリティー方法、ネットワークセキュリティープログラム、ネットワークセキュリティーシステム、及び情報管理装置 | |
| EP2980722B1 (en) | System and method for securing use of a portable drive with a computer network | |
| KR20110061296A (ko) | 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치 및 보안 방법 | |
| KR20190108233A (ko) | 프로그램 구동 제어 방법 | |
| Room | Data Loss Prevention |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| HE9A | Changing address for correspondence with an applicant |