Комплексные системы для защиты информации между БД и пользователем?
Поясню, есть большая база данных в локальной сети с красивым клиентом и ограничением прав доступа (и т.п. фишками, не самописная, не Российская), где можно 2 раза кликнуть на документ/чертеж/прошивку/видео/mkv/mp3/образ диска/%smth_else%, этот объект скачается на локальный компьютер в %temp% и откроется в нужном приложении/cad'e.
Как сделать так, чтобы этот объект нельзя было достать никаких образом из %temp% для того чтобы скопировать/украсть? Т.е. разрешать открывать определенные файлы только определенным процессам или программам, а после работы мгновенно удалять.
Да, мы отключили флешки, подумали обо всем на свете, что пользователь может сфотографировать экран, снять слепок, пытать админа и т.д.. Но в данный момент вопрос такой, есть ли программные комплекты для полной защиты связи между БД и приложением пользователя.
Немного данных о сети. Active Directory, у всех win 7 prof. Приоритет - максильмально быстрое внедрение.
Открылся у меня в CAD'е нужный чертеж, я жму кнопку "сохранить" и сохраняю его куда мне надо. Даже в %temp% лезть не надо. Связь может быть сколь угодно надежной, но остается модификация самого приложения.
Как правило, такое ПО тонко настраивается, вплоть до кнопок, что мы и сделали. Можно с помощью AD запретить запись на диски, повторюсь, это конкретный вопрос, все остальные ньансы уже решены. Вынести информацию всегда не проблема - сфоткал и все. Вынести информации массово уже сложно. Это преследует не только цель безопасности, но и обязывает пользователей "общаться" между собой через БД, а не кидать файлики по электронной почте, через расшаренную папку или еще как.
скачается на локальный компьютер в %temp% и откроется в нужном приложении/cad'e
Клиент поработает с файлом в, скажем, cad'e, сохранит измененный файл в %temp%, потом измененный файл закачается в базу как новая версия?
Для такой работы файл, а так же сборочные единицы и т.п. должны жить в %temp% и быть доступны cad'у. А в любом cad'e можно "Сохранить как"
Плохо описаны начальные условия.
Вангую следующее:
1. Есть бд, есть клиент. Вы не можете править их код.
2. Клиент выгружает на рабочую станцию файлы напрямую из бд в temp.
3. Вам надо исключить возможность копирования этих фалов.
Если все это так и !в клиенте можно настраивать папку temp, и это может только админ!, то пишите свой лаунчер, который запускает нужную вам программу от привилегированного пользователя, имеющего права на переназначенную папку temp. Другие пользователи не имеют к ней доступ.
Получается ваша прога и проводник пользователя выполняются в разных acl-контекстах и не имеют к друг другу доступа.
Простой
Средний
Средний