Как видно из результатов, особенности реализации теневого копирования в системе DeviceLock могут стать причиной утечки данных. Путем несложных манипуляций с кнопкой RESET злоумышленник может «вынести» приличные объемы конфиденциальной информации в обход теневого копирования, и служба безопасности об этом может только догадываться. Эта особенность может быть связана с не очень удачным проектированием системы – формирование теневой копии осуществляет системная служба, выступая в качестве дополнительного звена, что приводит к созданию копии после записи данных на внешний носитель.

В Zlock теневое копирование осуществляет драйвер, благодаря чему можно реализовать превентивное теневое копирование – запись теневой копии производится до записи данных на внешний носитель. Если обратить внимание на результаты первого теста, то видно, что в теневую копию Zlock записалось больше информации, чем успело скопироваться на флешку. Правда, разработчикам Zlock удалось добиться более высокой надежности ценой снижения скорости копирования данных на отслеживаемые устройства, что может быть критично для организаций, в которых сотрудники интенсивно работают с внешними носителями данных.

Выводы

Реализация теневого копирования в DeviceLock обладает рядом существенных недостатков, которые не только затрудняют анализ деятельности пользователей службой безопасности, но и могут привести к записи данных на носитель в обход функции теневого копирования.

В первую очередь, имеются в виду некорректная обработка операций с файлами, отображаемыми в память (memory-mapped files), и запись теневой копии в локальное хранилище после копирования данных.

С другой стороны, DeviceLock позволяет вести теневое копирование записываемых данных на другие устройства – порты ввода/вывода, КПК и CD/DVD-приводы. Кроме того, система позволяет фиксировать прямую запись на диск.

Что касается Zlock, то, несмотря на более позднее появление теневого копирования, разработчики смогли реализовать эту функциональность гораздо надежней, но с рядом ограничений, кроме уже упомянутого падения производительности. В частности, в теневых копиях Zlock не фиксируется прямая запись на диск. Конечно, она может быть выполнена только какими-либо специальными утилитами для работы с диском и только пользователем с администраторскими привилегиями, а, как известно, защищаться от такого пользователя не имеет смысла, поскольку он и так может отключить любую систему, но всегда хочется стремиться к идеалу.

В заключение хотелось бы выразить надежду, что данная статья станет источником дополнительной информации для потенциальных пользователей теневого копирования и поможет сэкономить время и усилия на этапе выбора решения.

Удачи!

Приложение

Закон суров, но он закон

Следует обратить внимание на один важный момент, про который часто забывают. В настоящее время Законом РФ «Об оперативно-розыскной деятельности» всем, кроме специально уполномоченных организаций, запрещается негласное получение информации с использованием специальных технических средств (ст. 6). При этом в качестве негласного получения информации может иметься в виду не только контроль телефонных переговоров сотрудников и их электронной почты, но и рассматриваемый в данной статье контроль файлов, копируемых на внешние носители. Это означает, что руководитель предприятия и/или другие должностные лица, пытаясь обеспечить свои законные права по обеспечению конфиденциальности информации, могут сами стать нарушителями закона и близко познакомиться со статьей 138 Уголовного кодекса, которая запрещает нарушение тайны переписки, телефонных разговоров и иных сообщений граждан.