Ochrana z domácích luhů a hájů

Kvalitní zabezpečení přístupu k počítači a zejména k více či méně citlivým datům, ať už jsou právě zpracov


Kvalitní zabezpečení přístupu k počítači a zejména k více či méně citlivým
datům, ať už jsou právě zpracovávána v paměti počítače, přenášena
prostřednictvím virtuální privátní sítě ke vzdálenému uživateli nebo jen
odpočívají na pevném disku, je pro každý dobře fungující podnik nezbytností. Je
potěšitelné, že na tomto poli softwarových utilit se dobře daří českým
výrobcům, kteří se svými produkty úspěšně pronikají do světa.
Mezi průkopníky bezpečnostního softwaru u nás patří firmy Sodat Software,
Decros a AEC. S jejich produkty se můžeme setkat nejen na Invexu či CeBITu, ale
hlavně na počítačích řady firem a institucí doma i v zahraničí. AreaGuard a
diskové oblasti Softwarový balík AreaGuard brněnské firmy Sodat Software slouží
k zabezpečení firemních a uživatelských dat šifrováním. Ne náhodou získal tento
produkt, který se integruje do operačního systému Windows NT nebo Windows 2000,
na loňském Invexu prostižní ocenění The Best of Invex. První část
bezpečnostního systému AreaGuard je určena k ochraně firemních dat. Zaměřuje se
na data, která jsou majetkem firmy, ale pracuje s nimi velké množství
zaměstnanců. Bezpečnostní správce může v systému nadefinovat šifrovací klíč a
šifrovací algoritmus, tzv. chráněnou oblast (adresář na lokálním, výměnném nebo
síťovém disku, v němž se nacházejí chráněná data) a tzv. privilegované
aplikace, které jako jediné mohou pracovat s daty z chráněné oblasti. V
chráněných oblastech jsou diskrétní data uložena v zašifrované podobě.
Privilegované aplikaci jako jediné je umožněno pracovat s daty standardním
způsobem AreaGuard zajistí jejich transparentní on-line šifrování a
dešifrování. Privilegovaná aplikace však nemůže data ani jejich část uložit,
exportovat nebo přenést do jiné než chráněné oblasti. Chráněná data
zpracovávaná privilegovanými aplikacemi není možno přenést do jiných aplikací
ani za pomocí schránky. Veškeré informace o systému AreaGuard (šifrovací klíče,
seznam chráněných oblastí a privilegovaných aplikací) jsou uloženy v databázi,
která je součástí registrační databáze operačního systému a je šifrována pomocí
klíče, jejž může bezpečnostní správce uložit do hardwarového prostředku tokenu
(v dnešní době je podporován token iKey 1000 do USB portu, případně čipové
karty). Druhou částí bezpečnostního systému AreaGuard je šifrování souborů
uživatelem, který si může pro šifrování zvolit vlastní šifrovací klíč. Tato
část systému je dostupná jako samostatný produkt AreaGuard Notes. Hodnoty všech
šifrovacích klíčů lze opět uložit do tokenu, kterým lze řešit i autentizaci
uživatele ve Windows. AreaGuard se integruje přímo do jádra operačního systému
jako ovladač souborového systému. Vysoké bezpečnosti se dosahuje jeho zavedením
hned po aktivaci jádra Windows, ještě před aktivací ovladače prvního
souborového systému. Bezpečnost systému AreaGuard je postavena na síle
šifrovacího algoritmu a délce šifrovacího klíče. Bezpečnostní správce může
použít standardizované algoritmy 3DES, IDEA nebo RC4 s délkou klíče 128 bitů,
což je v dnešní době považováno za nerozluštilelné v reálném čase. Veškeré
operace se dějí přímo v jádru operačního systému. Protect a digitální podpis
Protect for Windows budějovické firmy Decros je dalším zabezpečovacím produktem
domácí provenience. Na Invexu se objevil již ve verzi 3.0, dostupný je pro
operační systémy Windows 95/98/Me i pro Windows NT/
/2000. Celý balík se skládá ze tří samostatných modulů přihlašovacího modulu
Protect Logon, šifrovacího modulu Protect Encrypt a modulu digitálního
podepisování Protect Sign.
Modul Protect Logon umožňuje uživateli bezpečné přihlášení do operačního
systému pomocí hardwarového předmětu (Smart Cards, Security Box atd.). Tyto
předměty jsou používány pro ukládání uživatelského jména a hesla. Protect
používá tyto informace pro přihlášení uživatele standardními způsoby operačního
systému Windows. Proto použití této technologie nevyžaduje žádnou modifikaci.
Přihlašovací modul Protectu je implementován jako speciální dGina modul, který
nahrazuje standardní Microsoft Gina přihlašovací modul ve Windows NT nebo jako
speciální Decros klient ve Windows 95/98.
Modul Protect Encrypt je silný, souborově orientovaný šifrovací systém určený
pro ochranu souborů a adresářů, archivů a elektronické pošty na lokálních nebo
síťových discích. Funkce ochrany dat jsou založeny na výkonném transparentním
on-the--fly souborovém šifrování, které je implementováno přímo do operačního
systému. Tento druh integrace umožňuje dosáhnout vysoké úrovně bezpečnosti
stejně jako rychlý přístup k zašifrovaným datům.
Modul Protect Sign je jednou z nejvýraznějších novinek v současné verzi
Protectu. Skládá se ze dvou částí, jimiž jsou Decros SAPI CSP (Crypto Service
Provider) a tzv. chráněný archiv. CSP lze využít pro digitální podepisování a
asymetrické šifrování ve všech aplikacích podporujících Crypto API (MS Outlook
2000, MS Outlook 98, MS Internet Explorer). Tento modul se vyznačuje úzkou
vazbou na hardwarové bezpečnostní předměty, které firma Decros nabízí a které
lze používat pro ochranu privátních klíčů. Norman Security Suite
Jakkoli zní název produktu z mezititulku cizokrajně, skrývá se za ním ryze
domácí technologie. V rámci loňské akvizice vývojového týmu AEC společností
Norman, která je jednou z vedoucích světových firem v oblasti bezpečnosti a
ochrany dat, došlo pouze k přejmenování dřívějšího produktu IronWare Security
Suite na Norman Security Suite. Jeho základem nicméně zůstalo domácí řešení
asymetrické kryptografie s veřejným klíčem Elipt. Produkt je připraven pro
instalaci na strojích s operačními systémy Windows 95/98, Windows NT/2000 a
pracuje i s UNIXem a NetWarem. Norman Security Suite je komplexní produktový
balík, který pokrývá všechny potřeby zabezpečení informačních systémů
(šifrování veřejným klíčem za použití digitálního certifikátu vydaného
certifikační autoritou). Chrání tedy jednotlivé počítače a počítačové sítě, ale
zabezpečuje i ochranu při vzájemné komunikaci mezi nimi. Celý produkt je
navržen tak, aby bylo možno kdykoli dokupovat a přidávat jednotlivé moduly. Ty
je možno rozdělit na tři velké skupiny: Kryptografické jádro C-PKI (modul pro
centrální správu klíčového hospodářství a pro správu celého systému),
Protection (moduly určené pro zabezpečení dat uložených v rámci sítí LAN/WAN,
na pracovních stanicích nebo noteboocích) a Communication (moduly určené pro
zabezpečení komunikace mezi jednotlivými počítači v síti nebo mezi sítěmi, ať
už se jedná o elektronickou poštu, přenos souborů nebo vzdálený přístup k
serverům, připojení k Internetu nebo vytvoření virtuálních privátních sítí).
Kůl v plotě nestačí
Ať už zvolíte jakýkoli softwarový či hardwarový prostředek pro ochranu svých
jistě cenných dat, celá záležitost tím zdaleka nekončí. To si uvědomují i výše
uvedené firmy a kromě zde zmíněných produktů nabízejí celou řadu užitečných
doplňků, rozšíření a služeb, ať už orientovaných na správu výpočetní techniky
nebo na bezpečnou komunikaci se světem. A nutno ještě říci, že instalací
ochranných prostředků by neměla péče o firemní data ani začínat základem
každého úspěšného řešení je totiž důkladně propracovaná bezpečnostní politika
firmy, s jejímiž zásadami jsou obeznámeni všichni zaměstnanci, kteří také
respektují její důležitost.
1 0223 / Maf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.