Защита файлов от копирования
Подскажите, пожалуйста, существует ли такая программа, с помощью которой можно было бы защитить файлы от копирования. Например, чловек скачал с сайта файл, но передать его по e-mai, скопировать на диск (дискеты и т.д.) l или выложить на другом сайте не мог? Т.е. если кому-то еще нужен такой же файл, то он вынужден бы был идти на тот же самый сайт и скачивать файл оттуда опять же без возможности передавать его третьям лицам...
Или это нереально в принципе?
Спасибо
комментариев: 6 документов: 1 редакций: 0
Если ваш файл не является программой, а так-же в том варианте который вы описали – это технически "нереально в принципе", но в отдельных случаях может быть решено административными методами.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 38 документов: 5 редакций: 0
Если к этому файлу можно получить доступ, то, теоретически, можно сделать с ним все, что душе угодно... Хотя это порой и проблемно...
Это, кстати, головная боль издателей CD дисков... Диск можно, например, запаролить, но если Вы дадите хотя бы 1 пароль, то уже можно будет наладить нелегальное копирование... Поэтому не стоит, мне кажется, париться с этим вопросом... Если к контенту можно плучить доступ и закачать его на комп, то уже вопрос техники – как его сохранить... В "темпах" этот файл все одно осядет...
Замочите в себе буржуа, разможите его пустую голову о свой монитор
и тогда желание срубить бабла пройдет само собой
Есть сетка – 5 машин подключены к роутеру с фаерволом к которому подключен ADSL
Если такую задачу решить возможно, был бы крайне признателен за подробное решение
сюда забрел в поисках решения, пишите на rubelko(собака) gmail.com
C Уважением
Константин
Видимо, вы хотели сделать запрет не на копирование файлов с заданным расширением а запрет на копирование файлов какого-то типа (расширение можно поставить по желанию любое). Однако и это не спасёт ситуацию. Если программа написана с учётом обхода защиты, она отредактирует так называемый "заголовок" файла (первые его несколько байт, отвечающих за его тип), после чего пошлёт, например, картинку как текст или наоборот. По моему мнению, при правильной стратегии безопасности потребность осуществить то что вы хотите не возникнет. Всё решается на уровне разделения прав между пользователями. Разные же типы файлов – это плод восприятия, а реально всё это нули и единицы и концептуальных отличий между ними нет. Можно попытаться наворотить систему, запретив пользователю запускать много какие программы, запретив пользоваться теми или иными протоколами передачи данных, я даже допускаю столь сильное половое извращение как подгруженный модуль к ядру, который смотрит на все копируемые файлы, пытается понять их тип по заголовку или распознаванием данных что внутри (на основе конечного набора алгоритмов и известных ему типов расширений), и в итоге запрещает или разрешает некоторые действия. Однако, всё это предельно косолапо, криво и т.д. и легко ломается :) Есть так называемый "политики монопольного доступа" в Linux, и их простейшие аналоги в других серьёзных системах, где делается что-то подобное, но вот до различения разных типов файлов, думаю, там тоже "не додумались", так как это бредово. Обычно решаются задачи типа "запретить исполнение файлов хэш которых не состоит в списке" или "запретить исполнение того-то и того-то строго в такое время" и т.д. Вам следует осознать, что "разные типы файлов" – это слишком человеческий язык и он на абстрактном уровне очень хреново формализуется. Скажем так, я могу подделать файл любого типа под тот, который разрешён, скопировать его куда хочу, а потом вернуть ему исходный вид. Возводить же комплексную схему типа псевдоселинукса+ещё много чего... во-первых нереалистично сложно, во-вторых, как я уже написал выше, не нужно.
Я даже догадываюсь зачем это может быть нужно, типа фирма хочет чтоб сторудники не уводили документы на сторону и всё такое. В этом смысле тоже лучше не изобретать велосипед а воспользоваться существующим опытом режимных предприятий: интернет отключить, а ту информацию что всё-таки надо выносить – проверять вручную (этим может заниматься отдельное лицо). Всё остальное слишком уже ненадёжно.
комментариев: 11558 документов: 1036 редакций: 4118
Механизмы добровольного контроля доступа для этого не годятся. Задачу можно решить средствами принудительного (мандатного) контроля доступа (SELinux, RSBAC, grsecurity): определите типы несекретных объектов (включая и приложение, которое может писать "разрешённые" файлы), остальное ограничьте. Отличие подобных систем в том, что атрибуты безопасности всегда перемещаются вслед за самими объектами, т.е. пользователь не может, к примеру, вставить текст из секретного объекта в несекретный или сохранить его через "разрешённое" приложение, чтобы организовать утечку.
Замечу, что даже такая схема не исключает принятия организационных мер (как отметил выше Гость). Легко понять, что в обычном случае ничто не помешает пользователю сфотографировать экран компьютера на цифровую фотокамеру или даже на камеру сотового телефона.
комментариев: 371 документов: 19 редакций: 20
Я опишу методику настройки ОС Windows которая была опробована в нескольких организациях и дала превосходный результат.
Первое что нужно сделать – это определить список софта нужного для работы пользователя. Затем проверяем этот софт на возможность его работы с понижеными привилегиями (из под ограниченого пользователя). Софт не работающий в этом режиме относим к категории опасного, и ищем ему замену. После ставим пароль на учетную запись администратора, и создаем учетную запись пользователя. Обязательно проверяем права доступа. Пользователь не должен иметь прав на запись куда-либо кроме своей директории.
Затем открываем апплет Local Security Policy и создаем там Software Restriction Polices. Устанавливаем по умолчанию запрет на запуск всего, удаляем дефолтовые правила и создаем для каждого приложения правило разрешающиее его запуск. Обязательно следите за тем, чтобы ни один разрешенный на исполнение путь не был доступен на запись.
После проводим общую настройку системы заключающуюся в отключении всего лишнего (коего в Windows навалом), и устанавливаем фаерволл wipfw. (порт ipfw с BSD на винду). В фаерволле выбираем политику блокировки всего по умолчанию, и разрешаем входящие соединения только по нужным нам портам.
Этот несложный комплекс мер призван защищить систему от вредоносного софта (вирусов, троянов, эксплоитов), причем он в отличии от антивируса дает практически 100% гарантию отсутсвия нежелательных программ. За два года эксплуатации парка машин настроеных по такой методике не было ни одного случая взлома или заражения.
Если вы хотите защищиться от инсайдеров, то все это следует дополнить контролем деятельности пользователей. Для этого разрешаем HTTP только через корпоративный прокси, и ведем логи доступа. Разрешаем SMTP только через корпоративный сервер, и сохраняем копию всей передающейся почты. Все остальные протоколы запрещаем на фаерволле шлюза и разрешаем лишь по мере необходимости. Желательно ставим на рабочие машины кейлогер с возможностью снятия скриншотов (пойдет bpk keylogger) и сливаем логи на корпоративный сервер.
Если для работы не нужен доступ к USB портам, то отключаем их в менеджере устройств. Ставим пароль на BIOS, системный блок опечатываваем. Все логи должны периодически просматриваться службой безопасности. Целостность печатей на системных блоках тоже должна иногда проверяться.
Ну и наконец организационные меры:
1 – Заставить сотрудников подписать договор о секретности обрабатываемой информации содержащий требование о полной компенсации убытков в случае нарушения.
2 – Ввести меры по контролю физического доступа к рабочим помещениям. Поставить охрану, ввести пропускную систему.
3 – Поставить на входе чувствительный металлоискатель и запретить вход с любыми запрещенными предметами (такими как камеры, мобилы, внешние накопители, и.т.д.)
4 – Ввести обыск сотрудников на выходе.
комментариев: 11558 документов: 1036 редакций: 4118
Ваша методика подойдёт когда можно обойтись только минимальным интернетом и когда можно позволить пользователям работать с компьютером как с банкоматом (то есть нельзя исполнять смамим написанные проги).
Не нравится мне это вот чем: де-факто, никаких мер препятствующих пересылке запрещённых документов, получается, нет, единственное лишь – "неминуемое" наказание.
Если кому-либо хоть раз удастся пронести мобильный телефон с фотокамерой, то он его может больше никогда не проносить мимо охраны а хранить в стенах организации, посредством него можно фотать экран и отсылать по мобильному инету скрины. Заметим, что всего один пронос телефона, и вся защита может оказаться фикцией.
А пользователи уведомляются о том что за ними сле6дят или нет?
Для комплекта надо повесить скрытые видеокамеры и в реальном времени наблюдать за всеми: не вздумал ли кто фотографировтаь экран, не болтает ли кто с соседом вместо работы и т.д. Ещё лучше научить всех сотрудников стучать друг на друга что существенно повысит надёжность, ну и как завершающий аккорд переехать на место жительства в Японию или хотя бы в Америку (в Японии во многом по описанию такие же схемы как у вас+стукачество+видеокамеры).
комментариев: 11558 документов: 1036 редакций: 4118
Должны. Без предупреждения работодатель делать такое не вправе.
А у нас пофигизм и разгильдяйство.
P. S.: я пошутил :)
комментариев: 371 документов: 19 редакций: 20
Такие меры не стоят даже обсуждения ввиду их принципиальной ненадежности. Если есть возможность пересылать разрешенные документы, то можно переслать запрещенный, в крайнем случае перепечатав его с клавиатуры вручную.
Если вы работаете с информацией высокой секретности, то на рабочих местах не должно быть даже намека на сеть, а передача любой информации из системы должна выполняться админом через вскрытие пломб и подключение внешнего носителя с последующим опечатыванием портов после завершения процедуры.
Для более простых случаев будет достаточно договора о секретности и максимально полного наблюдения за каждым шагом сотрудников.