GD Star Rating
loading...

Вот сижу и под мигание зеленых лампочек думаю над реализацией задачи:
Креативное агенство, работает с фото и видеоматериалами.
Процес выглядит так: Прибежали фотографы скинули материалы на сетевой диск и начали редактировать – получили конечный результат и положили в нужную папку.

Требуетcя организовать систему хранения данных так:
Разрешено вносить информацию с носителей обрабатывать на рабочей станции, но нельзя выносить наработки из сети.

Первая мысль – закрыть наглухо все порты ввода вывода.
Сразу натыкаемся на проблему – люди будут в процессе работать с данными которые не относятся к работе и на них не налагается запрет.
Во вторых в процессе работы – человека ответственного за ввод данных рано поздно это достанет и он начнет делегировать свой доступ кому попало.

Вторая мысль – раскладываем яйца по разным корзинам:
Выносим процесс обработки защищенных данных на терминальный сервер.
Возникают вопросы с которыми я не сталкивался – как поведут себя дизайнерскией приложения (Photoshop и прочее, в плоть до видеоредакторов) на терминальном сервере? кто нибудь сталкивался с таким? какой нужен сервер если начнет расти количество фотографов?
Возникает дополнительная проблема! фотографы люди очень цвето-чувствительные, мониторы калибруют очень тщательно – как произвести калибровку локально установленного монитора под приложение работающее на удаленном сервере?

пока пришел только к решению “Яйца отдельно – мухи отдельно”:
Станция для обработки – не имеет возможности выноса информации за периметр, работает только с сетевым диском, для остальных работ и вноса информации на сетевой диск с “Защищенными данными” используются другие машины.

Кто нибудь сталкивался с подобным процессом организации работы?

21 Responses to организовать систему хранения

  1. 6zer0:

    Какой, йопт, терминальный сервер, для обработки видео? Шутеш.

    Нужно понять твою инфраструктуру, чтобы давать советы. В Сбербанке вон, даже порты аудио заклеивают стикерами с голограммой (:

  2. Slguru:

    Под мигание светодиодов желтое,
    Я Бетховена слушал сонату лунную…

    Херово себя поведут Photoshop & K на терминальном сервере.

  3. TumorF:

    нужно не препятствовать утечке, а её оперативно мониторить и карать – так чтобы если сотрудник что-то слил уже через 20 минут с ним вели беседу, тогда у них мотивация пропадёт

  4. Slguru:

    Да ладно! Я буду долго готовиться, потом солью чего нибудь на 100500$ – хоть оббеседуйтесь со мной потом.

  5. B_zenon:

    >>Прибежали фотографы скинули материалы на сетевой диск

    Так у них уже есть материалы эти. Нафотошопить и дома можно, если вдруг что.

    Смысл воровать то, что уже на флешке лежит?

  6. NiRed:

    кури Alladin Esafe, там DLP есть и всякие ништяки по контролю\запрету всего подряд.

    Ну или чтото более DLPишное – Symantec например. Про eSafe готов ответить на вопросы.

  7. Ykchenko:

    Да… спасибо за наводку. Это нужное решение… правда с внедрением теперь придется разбираться. Надо подумать над техзаданием.
    Есть кто работал с DLP системами и приблизительно сможет описать как использует их на практике?

  8. TumorF:

    ты не понял, о чём я говорю. утрируя, я говорю не о том, чтобы строить высокий забор, высота которого будет известна злоумышленнику, а мониторить левые подвижки к нарушению. если народ будет знать, что его удерживает, они это обойдут. а если они будут уверены, что какие-то их действия, причём неизвестно заранее какие, привлекут ненужное внимание, они не станут суетиться. обычно так, в общем-то, везде и делают – все сидят и ссутся внутренней службы безопасности

  9. Leoev:

    Такой заеб в первую очередь надо решать на административном уровне.

  10. ReNo:

    M$ предлагает тоже какое-то DRM решение, но не уверен, работает ли оно с картинками и видиками.

  11. RiMar:

    А что тебе мешает сделать комп для скидывания на “сетевой диск”, а на всех остальных все вводы-выводы заблочить? все USB, всё вообще.
    Модель. комп с USB и правом записи на СДДМ-> “сетевой диск для материала” -> сотни компов без USB но с фш чтения с СДДМ и и правом записи на СДДР -> “сетевой диск для результатов” -> комп начальника.
    Никаких замарочек, никаких проблем. На первый сетевой диск записывается только с флешкокомпа. получить результаты со второго можно и от дизайнеров, и от начальника, но дизайнеры физически не могут ничего унести

  12. Goen:

    DLP сами по себе эффективны только от случайных утечек. Также хороши тем, что позволяют снизить объёмы мониторинга поскольку могут эффективно отсеивать то, что заведомо не утечки. Но для нормального контроля всё равно приходится работать ручками.

  13. 02:

    Точно очень хорошая штукенция. И вроде еще Касперский корпоративный умеет блокировать usb. Так же 2008домен тоже умеет рулить USB.

  14. Goen:

    только на 2007-х клиентах.

  15. UkAdmin2:

    От неслучайных тоже. Если правильно настроены.
    Другое дело что решение тяжелое и стоит ли огород городить ради такой задачи.

    Поручить ввод определенному товарищу, остальным работу с флэшками запретить. Легко настраиваемых решений для работы с флэшками море.

  16. Goen:

    отнюдь. Я знаю массу примеров когда с помощью DLP ловили злоумышленников, но данные уже утекли. А сколько было случаев когда данные утекли и это никак не обнаруживалось не знает никто. DLP вообще рекламное название лучше было б назвать DLD.

    А всё потому, что если не выполнен достаточно сложный и комплекный пакет базовых мер безопасности никакое DLP не поможет.

  17. Ykchenko:

    Одно из очевидных решений – закрыть всё! и жестко регламентировать кто может вносить/выносить информацию.
    Возникает другая проблема – все IT свистелки и перделки разбиваются о людскую лень.
    Рано или поздно – всех достанет процесс, а если добавить сюда еще и то что коллектив “творческие люди” по итогу получим – распиздяйство, передачу паролей, крики “надоелло”
    Вообщем.. я пока трясу людей, и формирую ТЗ.
    Что родится -покажу,расскажу

  18. RiMar:

    нет никаких паролей, есть физические терминалы 🙂 попробуй осмыслить мой вариант и ткнуть пальцем в слабое место ))

  19. Tcit:

    RiMar дело говорит. С одного компа можно писать на сетевую шару (не читать, а только писать) и в него можно “тыкать флэшки”, а со всех других можно делать все что угодно кроме “тыкать флэшки” и “передавать любым способом на первый”. Правда тут мы упираемся в “работать со своими данными”, но в данном случае пусть со своими данными на своих домашних ПК работают или по очереди на первом компе.

    Зы правда первоначальный посыл мне совсем не понятен. Ведь если приносят фотки фотографы, то и спиздить эти фотки намного проще “до офиса”. Вижу только 1 вариант. Фотограф приносит, потом фотошопер фотошопит а фотограф пиздит. Но тогда можно же просто сделать что бы “фотошопер” сохранял все это дело в недоступное для фотографа место.

  20. RiMar:

    да не, видимо просто фотошопят недели напролёт на рабочих компах – дома невыгодно

Добавить комментарий