Какой формат файла является одним из наиболее защищенным от несанкционированного просмотра

Обновлено: 05.07.2024

Исключительная важность вопросов защиты информации от несанкционированного доступа обуславливает распространение и постоянное усовершенствование средств защиты информации и расширение их номенклатуры. На сегодняшний день эту задачу можно обеспечить за счет целого комплекса разносторонних решений.

В современном мире слово "информация" приобрело четкую связь с понятиями "прибыль", которую можно получить, располагая ею, и "ущерб", который может быть нанесен вследствие ее утечки. Одна из главных причин потери информации — несанкционированный доступ к данным и приложениям, получаемый абонентами, которые не прошли регистрацию и не имеют права на использование соответствующих информационных ресурсов.

К понятию несанкционированного доступа (НСД) относят атаки на корпоративную сеть извне (например, через электронную почту и интернет), доступ сотрудников к конфиденциальной информации, вероятность чтения или копирования посторонними данных, принадлежащих компании. Типовыми сценариями НСД могут стать просмотр, копирование, искажение и уничтожение данных, перехват и блокирование информации, подмена процессов обработки данных и т. д.

Риски, которые несут современные предприятия в связи с несанкционированным использованием данных и приложений, сделали этот фактор одной из наиболее опасных угроз при работе с информацией. Таким образом на одно из первых мест в информационной безопасности вышла проблема защиты от НСД, подразумевающая возможность работать в условиях безопасности как с открытыми, так и с конфиденциальными данными.

Ограничение доступа

Важно понимать, что информация нуждается в защите не только и даже не столько от внешних пользователей. Как показывает практика, первостепенное внимание необходимо уделять защите от угрозы хищения конфиденциальных данных сотрудниками предприятия, которые в силу должностных обязанностей имеют к ним доступ.

Если в 70-х годах прошлого столетия для сохранения неприкосновенности данных применялись организационные меры, и это было эффективно, то на сегодняшний день существует целый комплекс разносторонних решений для средств защиты информации (СЗИ). В силу исключительной важности проблемы НСД они постоянно совершенствуются, их номенклатура расширяется и все шире распространяется на ИТ-рынке.

Во-первых, это комплекс инженерных средств, затрудняющих или исключающих физический доступ к объектам. Во-вторых, — механические, электрические, электронные и другие устройства, защищающие информацию. И наконец, это специальные программы, охраняющие информацию от НСД. Естественно, о надежной защите объекта можно говорить только при реализации системного подхода, то есть комплексного применения всех перечисленных средств наряду с организационными методами защиты информации.

Повышенное внимание к программным средствам защиты со стороны специалистов по защите информации обусловлено множеством причин. Среди них, прежде всего, универсальность, простота реализации, отсутствие необходимости в дополнительном оборудовании, а также практически неограниченные возможности изменения и развития.

Программные средства защиты применяются в центральных процессорах, устройствах группового управления вводом-выводом данных, а также в аппаратуре связи в тех случаях, когда в их составе есть процессоры. На сегодняшний день программы защиты от НСД можно разделить на несколько основных групп. Каждая из них блокирует определенные виды угроз, и в совокупности они позволяют добиться высокого уровня защиты информации от несанкционированного использования.

В число программных средств, обеспечивающих разграничение доступа к данным и управление им, входят аутентификация и авторизация доступа. К ним же относятся специальные программные продукты, позволяющие управлять учетными записями пользователей информационной системы.

Самые распространенные методы защиты информационных систем — парольный доступ (в том числе многоуровневый), использование электронных замков, ключей, перемычек и т. д. Как правило, данные средства защиты не представляют серьезного препятствия для злоумышленников, так как пароли и ключи можно легко узнать или подобрать. К более сложным и надежным средствам относятся проксимити-карты, доступ на основе сопоставления биометрических данных (отпечатка пальца, сетчатки глаза), а также программы повышения достоверности идентификации (аутентификации).

Для ограничения угрозы со стороны инсайдеров используются продукты класса Identity Lifecycle Management (управление жизненным циклом учетных записей). Благодаря им новому сотруднику, принимаемому на работу, предоставляется доступ лишь к необходимым информационным ресурсам. При увольнении сотрудника доступ к данным своевременно блокируется: все его учетные записи в информационных системах компании отключаются или удаляются.

Продукты класса Identity Manager позволяют управлять и учетными записями партнеров компании, которые могут иметь доступ к информационным системам через веб-интерфейсы. Если партнер неожиданно становится конкурентом, можно своевременно блокировать учетные записи всех его сотрудников.

В целях защиты информационной системы от НСД администратор компании должен знать, какие шаги предпринимают пользователи в рамках работы в ИС предприятия: какие приложения запускают, какие файлы открывают (или пытаются открыть), получают и отправляют. Программы мониторинга событий безопасности регистрируют в специальных электронных журналах время входа в систему и выхода каждого пользователя, а также его действия, потенциально опасные для работы системы. В случае инцидента эти данные позволяют достаточно быстро определить его причину и правильно квалифицировать действия пользователей. Программы мониторинга полезны и для обнаружения вторжений извне, анализа уязвимых мест в системе защиты информационных систем.

Криптография и резервное копирование

Возможность искажения или уничтожения информации — еще одна угроза при работе с данными. Если злоумышленнику удалось взломать защиту и удалить или модифицировать информацию, на помощь приходят программы автоматического резервирования и восстановления данных. Уровень надежности системы зависит от того, насколько критична потерянная информация. В зависимости от степени важности время между произошедшим сбоем и последним копированием данных может варьироваться от суток до 1 секунды.

Шифрование данных используется в случаях, когда необходимо обеспечить конфиденциальность информации в процессе хранения либо когда ее нужно передать по незащищенному каналу. Как правило, для кодирования применяются уникальные алгоритмы, по принципу "черного ящика", когда неизвестно, по какому алгоритму записывается информация в систему хранения и как она декодируется в случае обращения к ней.

Типичный пример ситуации, требующей шифрования данных — это удаленная работа пользователей с информационной системой. Чтобы сотрудник в любой точке сети мог безопасно получать информацию, необходимую для работы, необходимо предавать ее исключительно по защищенным каналам. Таким образом, даже если хакеру удастся перехватить данные, он не сможет их прочитать.

Криптографические алгоритмы бывают двух видов: симметричные (для шифрования и дешифрования используется один и тот же ключ) и несимметричные (для шифрования используется закрытый ключ, а для расшифровывания — открытый, специальным образом полученный из закрытого ключа). Принцип несимметричных алгоритмов шифрования применяется для создания электронно-цифровой подписи, которая позволяет идентифицировать человека, подписавшего электронный документ, и подтвердить содержание подписываемого документа и времени его подписания. Разумеется, подлинность электронно-цифровой подписи можно проверить с помощью специальных программ.

Что еще поможет защите от НСД?

В практике защиты от НСД применяются и другие продукты ИБ, например межсетевые экраны (firewalls) и антивирусные средства. Первые представляют своего рода комплекс программных (иногда аппаратных) средств. Они позволяют предотвращать попадание в сеть потенциально опасных пакетов данных, которые могут быть отправлены хакером при атаке сети.

Несмотря на кажущуюся простоту и надежность данного метода защиты, он может рассматриваться исключительно в качестве дополнительного, потому что межсетевой экран не всегда "отличает" безвредный пакет данных от потенциально опасного.

Не менее серьезную угрозу несанкционированного доступа к информации представляют вирусы. С их помощью злоумышленник может получить доступ не только к чтению, но и к копированию, модификации и полному уничтожению данных.

Антивирусные программы, которые на сегодняшний день защищают практически любой компьютер корпоративной сети, диагностируют и удаляют зловредный код. Использовать необходимо лицензионные программы надежных поставщиков, так как один из главных источников "компьютерной заразы" — пиратские копии.

С каждым днем растет ценность информации и, соответственно, угрозы, связанные с ее потерей. А это значит, что развиваются и совершенствуются методы ее защиты.

Старший аналитик компании IDC, Александр Голощапов, отмечает: "Одно из новых и интересных решений, предлагаемых разработчиками, — технологии, основанные на обнаружение аномальной активности (Behavioural Anomaly Detection, BAD). Система отслеживает деятельность пользователей (сотрудников) и немедленно сигнализирует при отклонении от нормы, то есть при появлении подозрительного пользователя либо сбоев. BAD позволяет выявлять и предотвращать НСД в случае возникновения последнего, а не после драки, когда кулаками уже не машут".

Перечисленные виды программного обеспечения по защите от НСД представляют собой далеко не полный перечень средств борьбы с хакерами, инсайдерами и другими злоумышленниками. Специалисты постоянно разрабатывают новые методы.

Хотите купить софт? Позвоните партнерам фирмы «1С», чтобы получить квалифицированную консультацию по выбору программ для ПК, а также информацию о наличии и цене лицензионного ПО.

Всякий раз, когда возникает необходимость защитить документ, содержимое которого представляет ценность или не подлежит распространению, первое что приходит на ум — это создть зашифрованный архив с паролем. Такой способ защиты позволяет безопасно хранить файлы. Но как быть если доступ к содержимому необходимо предоставить третьим лицам? Как быть?, если доступ к документу нужно дать лишь на ограниченное время, а после завершения проекта отозвать? В этой статье мы подробно рассмотрим возможные способы решения этой задачи.

Создание архива с защитой паролем

Этот способ лежит на поверхности и безусловно обладает рядом преимуществ, главное из которых — его доступность и простота. Все, что требуется от нас – это загрузить архиватор, например, 7Zip, который позволяет шифровать не только содержимое документов, но и имена файлов, и выбрать длину ключа шифрования. Такой способ надежно защитит наши данные во время хранения документа.

В чем отличия ZIP-архива и PDF-файла с паролем от полноценной DRM-защиты?

Но если требуется предоставить доступ к документу партнеру или субподрядчику, то у нас возникают серьезные проблемы, так как после того, как у получателя окажется пароль, он для удобства работы извлечет документ из защищенного архива и после этого о безопасности можно забыть. Можно с уверенностью сказать, что данный способ подходит только для хранения файлов, но при этом не обеспечивает защиту при передаче документов третьим лицам. Также такой способ защиты не позволяет запретить редактировать документ и отправлять его на печать. После ввода пароля получатель имеет полный и неограниченный доступ к содержимому документа. Возможность ограничить срок действия прав на доступ к данным отсутствует.

Cоздание PDF- документа защищенного паролем

Этот путь защиты требует усилий и времени на загрузку специализированного ПО. Открытие документа происходит после ввода пароля, присутствует базовая защита от экспорта содержимого в незащищенный формат (опция «сохранить как»). Недостатом является отсутствие контроля за распространением документа (каждый, кто знает пароль, сможет получить доступ к содержимому). Кроме того, получатель документа может сделать скриншоты открытого документа с помощью нажатия клавиши «PrintScr». Возможность редактирования защищенных таким способом документов без использования специального ПО отсутствует.

В чем отличия ZIP-архива и PDF-файла с паролем от полноценной DRM-защиты?

Данный способ защиты документов позволяет ограничить возможность копирования и редактирования документа, что является безусловным преимуществом по сравнению с передачей документа в архиве с паролем.

В чем отличия ZIP-архива и PDF-файла с паролем от полноценной DRM-защиты?

Одним из недостаткв такого способа защиты является то, что ее можно обойти с помощью доступных в интернете средств. Уже на первой странице выдачи результатов поисковой системы можно найти решение для подбора пароля к защищенному PDF-файлу.

Предоставление доступа к документу в Виртуальной Комнате Данных

Данный способ требует наличия специального программного обеспечения, либо доступа к сервису Виртуальная Комната Данных. Преимуществом этого способа является возможность предоставить доступ к содержимому документа без возможности его скопировать и/или сохранить.

В чем отличия ZIP-архива и PDF-файла с паролем от полноценной DRM-защиты?

В качестве средства защиты от скриншотов выступает включенный в тело документа водяной знак. Это может быть либо информация о пользователе, либо другие данные, которые позволяют однозначно идентифицировать того, кто получил доступ. Водяной знак может быть явным (как показано на изображении ниже), либо скрытым — в виде штрих-кода.

Недостатком данного способа является отсутствие возможности полноценного редактирования содержимого документа. Даже если решение позволяет редактировать файлы в браузере, как правило, при этом возникают проблемы совместимости стилей, что часто приводит к потере форматирования и, соответсвенно, верстки. В случае, когда мы имеем дело с таблицами, формулы и макросы из MS Excel, скорее всего, корректно работать не будут.

В чем отличия ZIP-архива и PDF-файла с паролем от полноценной DRM-защиты?

Для аутентификации в Виртуальной комнате данных можно использовать одноразовые пароли (). Это является безусловным плюсом виртуальной комнаты данных по сравнению с другими способами предоставить ограниченный доступ к файлам.

Создание защищенного DRM-документа

Данная функциональность требует применения специализированного ПО. Лидерами рынка здесь сегодня являются решения от Oracle и Microsoft. С 2015 г. на российском рынке присутствует аналог Oracle IRM и Microsoft AD RMS — решение Vaultize. Каждое из решений имеет свои сильные стороны, мы их подробно рассматривали и сравнивали в одной из наших предыдущих статей. Рассмотрим процедуру создания защищенного DRM-документа в решении от Vaultize.

Как показано на видео, файл шифруется в ВКД и для его открытия используется специальная утилита vDRM. После установки данной утилиты открытие защищенных файлов происходит «в два клика» в нативных приложениях Microsoft Office. Такой подход позволяет сохранить верстку документа, корректно отображать содержимое а также корректно обрабатывать формулы и макросы в защищенных документах Microsoft Excel. Несмотря на то, что файлы открываются в привычных Microsoft Word и Excel, можно отключить возможность экспорта таких файлов из приложения. Также можно запретить копирование содержимого документа с помощью контекстного меню и горячих клавиш (ctrl+c и ctrl+v не работают). Желающих сделать скриншот с помощью клавиши PrintScr тоже ждет разочарование — содержимое буфера обмена подменяется на текстовое предупреждение о том, что копировать файл нельзя. Ниже представлен скриншот попытки скопировать в буфер обмена содержимого экрана.

При попытке скопировать и вставить текст из защищенного документа получаем результат, как на изображении ниже.

В чем отличия ZIP-архива и PDF-файла с паролем от полноценной DRM-защиты?

При каждом открытии файла происходит проверка прав доступа пользователя. Данные о попытке открытия, как и история работы с документом, отправляются на сервер владельца документа, о чем утилита vDRM честно предупреждает при первом открытии файла. Владелец документа может в любой момент изменить права доступа или заблокировать доступ к уже загруженному на любой сторонний компьютер файлу. Таким образом, можно сказать, что этот способ защиты содержимого файлов является самым надежным и гибким с точки зрения управлением правами доступа.

В чем отличия ZIP-архива и PDF-файла с паролем от полноценной DRM-защиты?

Вместо вывода

Каждый из рассмотренных способов защиты содержимого файлов имеет право на жизнь и наличие любой защиты лучше, чем ее полное отсутствие.
Использование архивов с защитой паролем позволяет обеспечить защиту файлов при их хранении. Такой способ подходит в случаях, когда не требуется регулярно пользоваться файлом и отсутствует необходимость предоставлять доступ к немутретьим лицам.

Создание защищенного паролем pdf-файла позволяит предотвратить экспорт файла из приложений Adobe, но не защитит документ от копирования содержимого экрана в буфер обмена. Еще один момент, который стоит упомянуть — это возможность подобрать пароль к pdf-документу с помощью специализированных утилит.

Виртуальная комната данных позволяет обеспечить максимальную защиту благодаря тому, что документ физически не сохраняется на стороннем компьютере. Данный способ позволит редактировать документы с частичной потерей настроек визуального оформления и без использования макросов и формул. Несмотря на то, что документ не защищается от снимков экрана, на него могут быть нанесены отметки, которые в случае необходимости при расследовании помогут точно идентифицировать источник утечки. В случае, когда отметки нанесены неявным образом (штрих-код), внешний получатель останется в неведении о том, что если он допустит несанкционированное распространение документа, то его потом можно будет идентифицировать.

На сегодняшний день наиболее гибкий с точки зрения управления правами и надежный с точки зрения защиты способ предоставлять к документам ограниченный доступ — это использование DRM-системы. Защищенный с помощью DRM корректно отображается в приложениях Microsoft Office, а его содержимое надежно защищено от копирования. Все действия с защищенными файлами логируются, владелец документа может заблокировать доступ к данным и управлять правами доступа даже после загрузки документов на устройства третьих лиц. Из недостатков такого подхода можно отметить небольшой выбор DRM-платформ, представленных на российском рынке. Решения от Oracle и Microsoft имеют высокую стоимость владения и ограниченную поддержку. Компания Oracle уже объявила об окончании поддержки своего решения Oracle IRM, а платформа AD RMS будет доступна только в облаке Microsoft. В качестве альтернативы Oracle IRM и AD RMS мы предлагаем рассматривать решение компании Vaultize.

Компания Vaultize специализируется на разработке платформ и инструментов для защищенного обмена документами. Сегодня линейка Vaultize включает набор инструментов как для создания корпоративной виртуальной комнаты данных (Virtual Data Room, VDR), так и DRM-платформы.

Техническую поддержку решений Vaultize в России и странах СНГ оказывает компания MitraSoft.

Откуда исходит опасность?

Прежде, чем предпринимать какие-либо меры по защите системы и файлов, нужно понять, от каких именно угроз вы собираетесь строить защиту. Защита от зловредного программного обеспечения и вымогателей-шифровальщиков работает не так, как защита файлов в случае кражи компьютера, которая, в свою очередь, недостаточна для защиты действительно важных данных. Однако некоторые меры безопасности необходимо предпринять в любом случае, и речь сейчас совершенно не об установке широко разрекламированного антивируса или не менее разрекламированного сервиса VPN.

Шифрование диска: защита системного раздела BitLocker

Шифрование загрузочного раздела – та самая «неуязвимая защита», которая, по утверждению многих компаний, «надёжно защитит ваши данные от хакеров».

На самом же деле шифрование само по себе не способно защитить ваши данные ни от вирусов, ни от хакеров – по крайней мере, если вы хотя бы время от времени обращаетесь к зашифрованным данным.

И тем не менее, зашифровать загрузочный раздел встроенной в Windows утилитой BitLocker совершенно необходимо; просто защита эта – вовсе не от хакеров и не от вирусов-шифровальщиков. От чего же защитит шифрование диска?

  • Доступность : Windows 10 Professional и выше; требуется наличие модуля TPM0, подсистемы Intel PTT или, если нет ни одного из них, редактирование групповых политик Windows. Шифрование device encryption доступно во всех редакциях Windows, работающих на многих субноутбуках и планшетах (к примеру, Microsoft Surface).
  • Обратите внимание : Windows 10 Home не может создавать зашифрованные разделы или шифровать диски. В то же время в ней можно монтировать уже зашифрованные диски без каких-либо ограничений.
  • Защита от физического доступа к диску, извлечённому из компьютера : максимальная
  • Защита от физического доступа к самому компьютеру : зависит от ряда условий
  • Другие локальные пользователи компьютера : отсутствует
  • Зловредное ПО, вирусы-шифровальщики : отсутствует
  • Дистанционный взлом : отсутствует
  • Сценарии использования : защита данных в случае кражи жёсткого диска или всего устройства; мгновенное уничтожение доступа к данным при продаже жёсткого диска или его отправке в мастерскую для гарантийного ремонта.

Шифрование – это сложно? Долго? Замедляет доступ к данным? Ответ во всех случаях отрицательный. Чтобы включить шифрование BitLocker, достаточно иметь компьютер с Windows 10 Professional или Enterprise, который будет оборудован или модулем TPM2.0 (они встречаются нечасто), или программным эмулятором Intel Platform Trust Technology (его нужно будет включить в BIOS). Далее откройте Панель управления и запустите апплет BitLocker Drive Encryption.

Детальное исследование BitLocker выходит далеко за рамки этой статьи, поэтому заинтересовавшихся читателей приглашу ознакомиться с нашей статьёй Introduction to BitLocker: Protecting Your System Disk . В этой статье, в частности, рассказывается о том, как включить BitLocker, если нет ни TPM2.0, ни Intel PTT.

Если вы – пользователь ультралёгкого ноутбука, то ваш системный раздел может быть уже зашифрован, даже если на нём установлена Windows 10 Home. Шифрование BitLocker Device Encryption применяется автоматически, если ваша административная учётная запись привязана к учётной записи Microsoft Account (а не создана в качестве локальной).

От чего защитит шифрование системного раздела? В первую очередь – от физического копирования данных при извлечении диска любой природы (HDD, SSD, NVME) из компьютера. Обратите внимание: если диск извлекли из компьютера, то расшифровать защищённый раздел злоумышленнику не удастся, даже если ему известен ваш пароль. Для расшифровки потребуется длинный двоичный ключ BitLocker Recovery Key (который, кстати, может сохраняться в учётной записи Microsoft Account; если злоумышленнику станет известен пароль от неё, то и извлечение этого ключа не составит проблемы).

Во вторую – от несанкционированного доступа к данным, если украден весь компьютер или ноутбук целиком. Стойкость защиты в этом случае зависит от таких факторов, как возможность угадать ваш пароль или извлечь из компьютера образ оперативной памяти. Так, BitLocker уязвим перед следующими векторами атак:

  • Снятие образа оперативной памяти и поиск ключей шифрования, в том числе через порты Thunderbolt или посредством атаки cold boot attack .
  • Перебор или извлечение пароля от вашей учётной записи Windows (извлечь пароль можно, к примеру, из облака Google account, если вы сохранили в нём пароль от учётной записи Microsoft и использовали её для входа в компьютер).
  • Obtaining your BitLocker Recovery Key from your Microsoft Account or Active Directory.

А вот от каких-либо дистанционных или вирусных атак BitLocker не защитит: если вы сумели войти в систему, значит, содержимое зашифрованного раздела уже доступно для чтения и записи. Точно так же BitLocker не защитит и от других пользователей, которым вы разрешили доступ к компьютеру.

Ещё о шифровании: защита внешних накопителей

BitLocker – прекрасное решение для защиты системного раздела, но его роль этим не ограничивается. Если ваша редакция Windows поддерживает BitLocker, то вы сможете использовать его для шифрования других встроенных дисков, а также внешних накопителей USB (флешки, внешние жёсткие диски и т.п.)

Для шифрования внешних устройств предусмотрен режим BitLocker To Go . В отличие от защиты системного раздела, шифрование BitLocker To Go основано на пароле. Вы можете использовать любой пароль (желательно, чтобы он не совпадал ни с одним из используемых вами паролей, особенно – с паролем от учётной записи Windows). Для удобства вы сможете сделать так, что зашифрованные внешние накопители будут монтироваться на вашем компьютере автоматически (без запроса пароля). С одной стороны, это несколько снижает безопасность, когда у злоумышленника есть доступ не только к зашифрованному накопителю, но и к вашему компьютеру. С другой – если речь о зашифрованной флешке, которую вы потеряли в поездке, то данным ничего не угрожает (если пароль стойкий и неизвестен злоумышленнику).

  • Доступность :
  • Создание зашифрованного накопителя : Windows 10 Professional и выше
  • Доступ к уже зашифрованным накопителям : любые редакции Windows 10 без каких-либо ограничений
  • Защита от физического доступа к устройству, извлечённому из компьютера : зависит от стойкости выбранного пароля
  • Защита от физического доступа к самому компьютеру : аналогично предыдущему разделу
  • Другие локальные пользователи компьютера : зависит от того, было ли смонтировано устройство
  • Зловредное ПО, вирусы-шифровальщики : зависит от того, было ли смонтировано устройство (отсутствует, если устройство подключено и смонтировано)
  • Дистанционный взлом : зависит от того, было ли смонтировано устройство (отсутствует, если устройство подключено и смонтировано)
  • Сценарии использования : защита данных на внешних накопителях в случае кражи или потери; мгновенное уничтожение доступа к данным при продаже устройства или отправке в ремонт.

В отличие от защиты системного раздела, BitLocker To Go does не поддерживает многофакторную аутентификацию (TPM+PIN и подобные схемы). Соответственно, модуль TPM не может быть использован для дополнительной защиты.

Шифрование сторонними утилитами

Если ваша редакция Windows не поддерживает BitLocker, вы можете воспользоваться одной из альтернативных утилит. В частности, высочайший уровень защиты обеспечивает бесплатная утилита с открытым исходным кодом VeraCrypt.

  • Доступность : все версии Windows 10 (а также более старые ОС)
  • Защита от физического доступа к устройству, извлечённому из компьютера : высокая; зависит от стойкости выбранного пароля
  • Защита от физического доступа к самому компьютеру : так же или выше, чем у BitLocker (зависит от настроек)
  • Другие локальные пользователи компьютера : зависит от того, было ли смонтировано устройство
  • Зловредное ПО, вирусы-шифровальщики : зависит от того, было ли смонтировано устройство (отсутствует, если устройство подключено и смонтировано)
  • Дистанционный взлом : зависит от того, было ли смонтировано устройство (отсутствует, если устройство подключено и смонтировано)
  • Сценарии использования : защита данных в случае извлечения накопителя; мгновенное уничтожение доступа к данным при продаже накопителя или отправке в ремонт.

Правильно настроить VeraCrypt сложнее, чем BitLocker, а обсуждение этих настроек выходит далеко за рамки данной статьи. Я подробно описал особенности защиты VeraCrypt в статье

Как укрепить «Веру». Делаем шифрованные контейнеры VeraCrypt неприступными, опубликованной в журнале «Хакер».

Шифрование средствами файловой системы (EFS)

Согласно Википедии , Encrypting File System (EFS) — система шифрования на уровне файлов, предоставляющая возможность «прозрачного шифрования» данных, хранящихся на разделах с файловой системой NTFS, для защиты потенциально конфиденциальных данных от несанкционированного доступа при физическом доступе к компьютеру и дискам.

Описание сколь точное, столь и бесполезное, не объясняющее того, для кого, а главное – в каких ситуациях предназначена EFS, а также от каких именно угроз она способна уберечь.

  • Доступность : все версии Windows 10 (а также более старые ОС), за исключением редакции Home
  • Защита от физического доступа к устройству, извлечённому из компьютера : высокая; зависит от стойкости пароля к учётной записи Windows
  • Защита от физического доступа к самому компьютеру : аналогично предыдущему
  • Другие локальные пользователи компьютера : эффективная защита
  • Зловредное ПО, вирусы-шифровальщики : данные других пользователей компьютера защищены от извлечения, но не от уничтожения или шифрования; данные текущего пользователя не защищены
  • Дистанционный взлом : аналогично предыдущему
  • Сценарии использования : защита данных в случае, когда компьютером пользуется несколько человек; защита от кражи информации, если взломана одна из других учётных записей на том же физическом компьютере; эффективный дополнительный уровень защиты от физического доступа, если используется шифрование системного раздела BitLocker.

Как видно из приведённой выше таблицы, шифрование файлов средствами EFS максимально эффективно для защиты файлов и документов между разными пользователями одного и того же компьютера. Даже если у одного из пользователей компьютера есть административные привилегии, он не сможет прочитать зашифрованные данные, даже если сбросит пароль другого пользователя. Впрочем, удалить или зашифровать защищённые EFS файлы ему удастся.

В чём разница между EFS и BitLocker, и какую из этих технологий имеет смысл использовать?

BitLocker защищает целый раздел. Если вашим компьютером пользуется (имеет учётные записи) несколько человек, каждый из них сможет получить доступ к данным. Если один из пользователей имеет административные привилегии, он сможет прочитать любые файлы любого другого пользователя.

EFS защитит только те папки и файлы, для которых пользователь указал соответствующий атрибут. В то же время прочитать зашифрованные файлы сможет только сам пользователь (или тот, кому известен его пароль); другие пользователи, даже администраторы, прочитать зашифрованные файлы не смогут.

В случае кражи устройства или извлечения диска первой линией обороны становится BitLocker. Если злоумышленнику удастся преодолеть этот рубеж, ему придётся взламывать ещё и шифрование EFS. В то же время рассчитывать исключительно на EFS (без BitLocker) в качестве защиты от физического доступа не стоит: BitLocker предлагает защиту длинным и стойким аппаратным ключом (конфигурация TPM/Intel PTT), в то время как файлы, зашифрованные EFS, защищены лишь паролем от учётной записи.

Как включить шифрование EFS? Проще простого. Выберите файл или папку, которую хотите защитить, и кликните по ней правой кнопкой мыши. В меню выберите Properties , затем Advanced во вкладке General . В Advanced Attributes выберите опцию Encrypt contents to secure data и кликните OK .

На том – всё: Windows зашифрует файлы в фоновом режиме.

У использования EFS есть один недостаток. Если вы забудете пароль от учётной записи или вам придётся его сбросить, вы потеряете доступ к зашифрованным файлам. Для восстановления доступа рекомендуем воспользоваться утилитой Elcomsoft Advanced EFS Data Recovery , для работы которой вам потребуется указать тот пароль от учётной записи, который использовался до сброса.

Обратите внимание: менять пароль от учётной записи штатным образом (через соответствующий диалог в Windows) вы можете без ограничений; система автоматически и моментально перешифрует все необходимые ключи.

Защита важных документов

Итак, два слоя защиты мы уже рассмотрели: это шифрование загрузочного раздела посредством BitLocker и шифрование папок с файлами или отдельных файлов средствами EFS. Эти уровни отлично защитят от ряда угроз, но совершенно не справятся с другими. И BitLocker, и EFS оказываются бессильными, если на ваш компьютер производится дистанционная атака, устанавливается зловредное программное обеспечение или троян-шифровальщик. Это нормально: описанные выше технологии и не предназначены для защиты от такого рода угроз.

Защититься от кражи конфиденциальной информации как на вашем компьютере, так и в момент пересылки поможет шифрование самих документов средствами Microsoft Office.

  • Доступность : все версии Microsoft Office
  • Степень защиты : сильная зависимость как от пароля, так и от версии Microsoft Office и формата файла, в котором сохранён документ. Максимальная степень защиты с современными (Office 2013 и более новыми) версиями Office при использовании форматов .DOCX, .XLSX и т.д. (в отличие от старых форматов .DOC, .XLS, степень защиты которых низкая).
  • Защита от физического доступа к устройству, извлечённому из компьютера : аналогично предыдущему
  • Защита от физического доступа к самому компьютеру : аналогично предыдущему
  • Другие локальные пользователи компьютера : аналогично предыдущему
  • Зловредное ПО, вирусы-шифровальщики : содержимое документов защищено от несанкционированного доступа, но не от уничтожения или шифрования
  • Дистанционный взлом : аналогично предыдущему
  • Сценарии использования : защита важных данных, которые хранятся в таблицах и документах Microsoft Office; защита данных не только на компьютере пользователя, но и во время пересылки.
  • Как включить шифрование : Защита документов паролем

Что выбрать между шифрованием EFS и защитой документов паролем? Эти виды защиты покрывают разные сценарии использования. EFS – совершенно прозрачная защита всей папки с документами. Стоит вам войти в систему, и вы сможете пользоваться любыми защищёнными документами без ввода дополнительных паролей. Стоит злоумышленнику узнать пароль от вашей учётной записи Windows, и он сможет получить доступ ко всем защищённым EFS файлам.

В то же время шифрование средствами Microsoft Office потребует от вас сознательных усилий. Вам придётся вводить пароль каждый раз при открытии документа. Однако защищённые таким образом документы злоумышленнику потребуется взламывать по одному, а степень защиты у Microsoft Office может быть очень высокой.

Особенности шифрования документов

Шифрование документов в Microsoft Office имеет ряд особенностей, полное описание которых выходит за рамки данной статьи. Однако коротко перечислить все пункты необходимо во избежание ошибок.

Защита архивов и резервных копий

О том, что резервные копии делать необходимо, говорят все. О том, что их необходимо защищать, обычно не говорят совсем. Подумайте о том, что резервная копия содержит все те файлы и всю ту информацию, которую вы хотели бы защитить на компьютере, но готовы сохранить в виде обычного, незашифрованного файла.

При создании резервных копий используйте следующие рекомендации.

  • Сохраняйте резервные копии на устройствах (встроенных или внешних накопителях), защищённых BitLocker. Напомню, что никаких дополнительных неудобств это не несёт: вы можете настроить защиту BitLocker таким образом, чтобы Windows автоматически монтировала накопитель, если вы вошли в систему. Использование BitLocker защитит ваши резервные копии даже если программа резервного копирования не поддерживает шифрования. Обратите внимание : если вам придётся восстанавливать систему из образа резервной копии, Windows 10 корректно смонтирует защищённый BitLocker накопитель. Для монтирования внешних устройств (BitLocker To Go) вам потребуется только пароль, а для доступа к встроенным дискам – длинный двоичный BitLocker Recovery Key (обычно Windows предлагает сохранить его в учётной записи Windows Account при создании зашифрованного тома).
  • Если вы используете для создания резервных копий программу, которая поддерживает шифрование – задайте пароль и используйте шифрование. Обратите внимание: утилита, вероятно, сохранит ваш пароль в системе (чтобы не запрашивать пароль каждый раз при создании резервной копии). Не используйте этот пароль повторно для защиты других типов данных.

Одним из распространённых инструментов частичного резервного копирования являются привычные всем утилиты-архиваторы: WinZip, 7Zip, WinRar и подобные. Все эти утилиты предлагают возможность шифрования содержимого резервных копий паролем. Стойкость шифрования у разных утилит различается, но общий уровень защиты достаточно высок. Использование стойкого, уникального пароля, составленного как минимум из 8 символов (желательно использовать буквы, цифры и специальные символы и не использовать слова из словаря) защитит архив в достаточной мере. Если же вы разместите архивы на накопителе, зашифрованном посредством BitLocker, то данные будут надёжно защищены.

Обратите внимание : стойкость шифрования архивов ZIP/7Z/RAR существенно ниже, чем стойкость BitLocker или документов Office 2013 (и более новых). Не используйте один и тот же пароль для шифрования архивов и других типов данных.

С момента изобретения письменности человечество стало переносить личные, государственные и вселенские тайны на подходящие материальные носители. Как только предки не изощрялись в том, чтобы тексты не были прочитаны чужими глазами. Самым древним и востребованным способом защиты по праву является криптограмма (в переводе с греческого означает «тайнопись»). Например, священные иудейские тексты шифровались методом замены - вместо первой буквы алфавита писалась последняя буква, вместо второй — предпоследняя и т.д. Этот древний шифр называется Атбаш.

защита документов

Люди выдумали великое множество способов защитить бумажные документы от копирования и редактирования (подмены). Часть из них перебрались в «цифру», а часть была придумана специально для защиты электронных документов.

Зачем защищать документы от копирования и редактирования

В основном, защита от копирования и редактирования требуется для рабочих документов в форматах DOCX и PDF. Аналитические агентства, проектные институты и другие компании, предлагающие информационные продукты, предоставляют результаты исследований в защищенном формате, чтобы предотвратить несанкционированное использование и распространение. Также для бизнеса важно обеспечить защиту от подмены – для снижения рисков нужно гарантировать, что документ навсегда останется в неизменном виде.

Однако защита от копирования и редактирования может пригодиться и для личных целей, например, при создании книги, курса обучения, оказании консалтинговых услуг. То есть такой функционал может пригодиться каждому, кто разрабатывает интеллектуальные продукты и хочет контролировать их распространение.

Защита электронных документов DOC и PDF в наши дни

Давайте кратко пробежимся по самым распространенным методам.

Маркировка

На документ можно нанести информацию о том, что он имеет особый статус и его нельзя редактировать и копировать. Иногда маркировку делают незаметной, чтобы выявить «крота» - источник утечки. В простой реализации точку в документе ставят в разных местах и отслеживают какой вариант «всплывет». Усовершенствованный вариант – использование специализированных программно-аппаратных комплексов в связке с МФУ, позволяющих менять интервалы и кегль шрифта индивидуально для каждого экземпляра документа. Такая защита носит реактивный характер, то есть позволяет выявить виновного по факту обнаружения инцидента. Далее мы посмотрим методы, имеющие проактивный характер.

Пароль

Самый распространенный и доступный всем способ защитить электронные документы от несанкционированного доступа заключается в установке пароля на документ или архив. Обычно это делается встроенными инструментами программы, например, в приложении Acrobat можно ограничить редактирование, копирование содержимого и печать (ссылка на инструкцию). Но нужно учитывать следующее – сам файл можно копировать, и если выложить защищенный таким образом документ и пароль в интернет, то его легко сможет открыть каждый желающий.

пароль для защиты документов PDF и DOC

Доступ по цифровому ключу (флешке)

Метод основывается на наличии у пользователя физического ключа (флешки или SD карты) для расшифровки документа. Есть флешка – есть доступ. То есть файл можно копировать, но копию нельзя открыть без определенного материального носителя. Это решает проблему несанкционированного распространения, но с ограничениями. Во-первых, флешка или SD карта стоит денег, и, во-вторых, нужно обеспечить доставку этого предмета до пользователя, что увеличивает стоимость и затрудняет обмен документами в оперативном режиме. В-третьих, пользователю всегда придется иметь этот ключ при себе, и, в-четвертых, любая техника имеет свойство ломаться – и вам нужно будет оговаривать срок гарантии и обеспечивать замену в случае поломки.

Система управления правами доступа

В основном этот метод защиты документов используется для корпоративных пользователей на базе службы управления правами Active Directory (AD RMS). Документы, защищенные AD RMS, шифруются, а автор может устанавливать разрешения для тех, кто получит доступ к файлам.

  • Чтение, изменение, печать.
  • Срок действия документа.
  • Запрет пересылки электронного письма.
  • Запрет печати электронного письма.

Комбинированные методы защиты документов

Во всех вышеперечисленных методах есть свои достоинства и недостатки. Производители систем защиты документов постоянно работают над тем, чтобы соединить сильные стороны в одном решении. Идеальной кажется такая комбинация:

В качестве уникального материального носителя в итоге можно использовать компьютер или мобильное устройство пользователя, например, операционная система и процессор имеют собственные серийные номера, которые нельзя подделать. Это позволит контролировать количество копий защищенного документа.

Управление правами доступа через интернет обеспечивает DRM. При создании пароля задаются параметры доступа: на скольких устройствах можно открыть документ, сколько времени доступ будет действовать, возможно ли оперативно отозвать доступ. При активации пароля начинают действовать все заданные ограничения.

Метки сами по себе не обеспечивают защиту, но позволяют детектировать утечку по цифровому отпечатку, так как для каждого пользователя формируется уникальная комбинация цифр и букв, отображаемых на документе.

Профессиональный онлайн-сервис для защиты документов, включающий DRM, привязку к устройству пользователя, водяные метки и серийные номера (вместо паролей). Данный сайт предлагает услуги на платной основе, но есть бесплатное тестирование. Если доступ к файлам нужно предоставлять не более чем на 14 дней, то можно пользоваться только тестовыми серийными номерами, каждый раз открывая новое пространство (проект) в своем аккаунте.

защита документов от копирования

Если 14 дней недостаточно, то можно приобрести лицензию на 30 дней. В ее стоимость входят 10 серийных номеров с неограниченным сроком использования. Лицензия дает право на трансформацию файлов в защищенный формат. Когда срок действия лицензии закончится, файлы останутся в защищенном виде, и серийные номера продолжат работать, но для того, чтобы трансформировать новые файлы в защищенный формат нужно приобрести продление лицензии или лицензию на новый проект.

Разработчики данного сервиса позаботились о пользователях чуть больше, чем надо. Они создали не только инструмент для надежной защиты документов от копирования и редактирования, но и полноценную электронную почту, чтобы вы точно были уверены, что ваши данные улетят к получателю в целостности и сохранности.

защита вложений от утечки

Основной функционал сервиса доступен бесплатно, такие функции как отзыв доступа к письму, установка таймера на просмотр, отправка от собственного доменного имени предоставляются в рамках платных тарифных планов. Идеально подходит для платных рассылок. Под простотой интерфейса кроются серьезные технологии защиты, но вам о них думать не нужно – ставите галочку и письмо с документом защищено и отправлено по списку адресов. Если вы автор с ответственным подходом к защите информации, то вам сюда.

Если говорить о недостатках этого решения, то для просмотра требуется установить программу-просмотрщик по аналогии с PDF. Она есть для всех платформ кроме Linux.

Защита документов от копирования и редактирования всегда накладывает ограничения на использование. Важно сохранить баланс между удобством, защищенностью и стоимостью.

Читайте также: