Утечка конфиденциальной информации чревата нежелательными последствиями как для компаний, так и для физических лиц. Разглашение конфиденциальных данных может привести к финансовым и материальным потерям, нанести ущерб деловой и персональной репутации, повлечь за собой моральные и юридические издержки. В условиях бурного развития мобильных устройств резко возрастает угроза компрометации важных данных через несанкционированный физический доступ к оборудованию и носителям информации, в частности, при их утрате. Опасность представляют и системы обмена данными (локальная сеть, Интернет), которые могут распространять информацию в открытом, доступном для всех виде. Поэтому в современных ОС часто имеются механизмы защиты от несанкционированного доступа к информации. Однако использование разнородных вычислительных средств в рамках одной сети и часто практикуемая технология привязки защиты к учетной записи пользователя приводит к несовместимости штатных средств защиты и их уязвимости для привилегированного пользователя (например, системного администратора), имеющего доступ к учетным записям. В этом случае выходом из положения становится применение криптографических методов защиты контента, включающих в себя полное шифрование защищаемой информации, как хранимой на ПК, так и размещенной на общих сетевых ресурсах и предоставляемой по сети для обработки на ПК пользователей.

С 2003 г. компания InfoWatch (www.infowatch.com) поставляет на российский рынок решения для защиты конфиденциальной информации компаний от внутренних угроз. Этой осенью компания предложила российским пользователям новый продукт InfoWatch CryptoStorage (IWCS) — программное решение для криптографической защиты конфиденциальной информации, хранящейся на ПК. Оно позволяет избежать несанкционированного доступа к данным и обеспечивает защиту конфиденциальной информации в том случае, если носитель, на котором она хранится, был утерян.

IWCS обеспечивает надежную защиту различных объектов хранения данных на компьютере. Защищенные объекты делятся на две категории: естественные объекты, созданные путем установки защиты на уже существующие объекты ОС (файлы, папки и т. п.), USB-устройства хранения и т. п., и объекты, созданные средствами самого решения — защищенные файлы-контейнеры. После создания защищенного контейнера все данные, помещаемые в него, будут автоматически защищены.

Продукт позволяет защитить информацию, хранящуюся в файлах, папках, на физических дисках, включая системные и загрузочные, а также данные на съемных носителях (USB-устройства хранения и прочие устройства класса mass storage). Для защиты используются криптографические средства. Работа с защищенными объектами ведется в прозрачном режиме, когда считываемые данные автоматически расшифровываются в памяти компьютера, а записываемые — зашифровываются. IWCSP позволяет также защищать от несанкционированного доступа содержимое оперативной памяти, сохраняемое на диске при переходе в спящий (hibernate) режим, данные файла дампа памяти (crash dump), сохраняемого на диске в экстренных ситуациях, информацию из временных файлов и файлов подкачки.

Решение предусматривает возможность создавать специальные виртуальные защищенные файлы-контейнеры для размещения конфиденциальной информации, размер которых ограничен только особенностями ОС. Такие файлы-контейнеры рассматриваются системой как виртуальные логические диски. Пользователь также может устанавливать защиту на папки и файлы внутри защищенных дисков, в том числе и внутри виртуальных файлов-контейнеров. Файлы-контейнеры, в свою очередь, могут размещаться внутри защищенной папки; глубина вложенности при этом неограниченна. Файлы-контейнеры можно копировать, переносить на другой компьютер, отправлять по почте, записывать на CD, DVD. При этом возможность подключения файла-контейнера не утрачивается.

Хотя решение ориентировано в первую очередь на ПК, оно поддерживает работу и с защищенными объектами, размещенными в сети. Возможности работы с такими объектами определяются типом защищенного объекта. Так, на рабочем месте можно использовать все типы защищенных объектов, расположенных локально. Кроме того, на рабочем месте можно работать с защищенными папками и файлами и защищенными контейнерами, находящимися на файловых серверах или удаленных компьютерах.

В IWCSP интегрирована функция авторизации пользователя; авторизация выполняется в обязательном порядке перед началом работы с защищаемыми данными. В случае защиты загрузочного или системного раздела жесткого диска авторизация пользователя предшествует загрузке в системе. Работа с защищенными объектами возможна только после авторизации.

В новинке использован стойкий алгоритм шифрования — AES с ключом 128 бит. Этот алгоритм одобрен международным криптографическим сообществом и принят в качестве стандарта в криптографии. Кроме того, в решении предусмотрено разграничение прав доступа к защищенному объекту по паролю. Возможен одновременный доступ к объекту нескольких пользователей.

Еще одно важное требование, предъявляемое сегодня к средствам криптозащиты, — эффективное удаление данных. Это требование было учтено при разработке IWCSP. Если уничтожить ключ шифрования, то все данные, зашифрованные этим ключом, можно также считать уничтоженными, вне зависимости от их физического местонахождения.

В качестве дополнительного средства защиты продукт позволяет затирать данные на диске без возможности обратного восстановления специальными утилитами. Хорошо известно, что при удалении файла его данные остаются на диске, и их можно восстановить многочисленными утилитами. Чтобы исключить доступ к конфиденциальной информации, содержащейся в таких файлах до установки защиты, применяется гарантированное удаление файлов, которое включает затирание информации в файле путем многократной перезаписи, после чего будет нельзя установить, что содержалось в начальной записи. Существует множество рекомендаций на тему о том, какими значениями и в какой последовательности проводить эту перезапись.

В завершение отметим, что независимость InfoWatch CryptoStorage от ОС и учетных записей пользователей делает это решение мощным универсальным инструментом, обеспечивающим индивидуальный рубеж защиты конфиденциальных данных в интересах их владельца.