|
Система защиты информации от несанкционированного
доступа
Secret Net 5.1 |
|
Secret Net 5.1
– это система защиты
информации на серверах и рабочих станциях от несанкционированного
доступа. Функционирует под управлением ОС семейства MS Windows (Vista,
2000, XP и 2003).
Secret Net предназначен
для защиты информации, составляющей коммерческую или государственную
тайну, или относящейся к персональным данным.
-
Приведение
автоматизированных систем в соответствие законодательным требованиям
и существенное упрощение процесса аттестации;
-
Снижение рисков за
счет системы защиты от внутренних угроз;
-
Контроль и мониторинг
при обработке персональных данных позволяет повысить уровень
автоматизации и сократить затраты, связанные с административными
мероприятиями по безопасности.
В новой версии реализована
поддержка систем терминального доступа, построенных на базе служб
сетевых операционных систем MS Windows или программного обеспечения
Citrix. Это позволяет в полном объеме использовать
механизмы защиты СЗИ Secret Net и при терминальном входе пользователя на
удаленный компьютер.
Наличие сертификатов ФСТЭК
обеспечивает возможность использования Secret Net 5.1 для защиты
автоматизированных систем до уровня 1Б включительно и информационных
систем обработки персональных данных до 1 класса включительно.
Возможности СЗИ Secret Net
-
Обеспечение
разграничения доступа к защищаемой информации и устройствам
-
Идентификация и
аутентификация пользователей
-
Доверенная
информационная среда
-
Централизованное
управление политиками безопасности, позволяет оперативно реагировать
на события НСД
-
Ведение журналов
событий, аудит
-
Гарантированное
уничтожение данных при их удалении пользователем
-
Поддерживает
терминальные сессии пользователей для платформ Citrix и Microsoft
-
Масштабируемая система
Варианты СЗИ Secret Net
Разные варианты Secret Net,
предназначенные для решения различных задач, позволяют построить
эффективную систему защиты информации от НСД в соответствии с
потребностями бизнеса:
-
Автономный вариант–
предназначен для защиты серверов и рабочих станций. Рекомендуется
применять при небольшом количестве защищаемых рабочих станций
(20-25);
-
Сетевой вариант–
дополнен средствами централизованного управления безопасностью для
работы в больших сетях. Рекомендовано к применению в сетях с большим
количеством рабочих станций;
|
|
Автономный вариант Secret Net |
Secret
Net 5.1 – это комплексное решение, сочетающее в себе
необходимые возможности по защите информации,
средства централизованного управления, средства
оперативного реагирования и возможность мониторинга
безопасности информационной системы в реальном
времени.
Разграничение доступа
Secret Net 5.1 совместно с ОС Windows
обеспечивает идентификацию и аутентификацию
пользователя с помощью программно-аппаратных
средств при его входе в систему. В качестве
устройств для ввода в нее идентификационных
признаков могут быть использованы iButton и
eToken Pro.
Функция управления доступом пользователей к
конфиденциальной информации. Каждому
информационному ресурсу назначается один их трёх
уровней конфиденциальности: "Не
конфиденциально", "Конфиденциально", "Строго
конфиденциально", а каждому пользователю –
уровень допуска. Доступ осуществляется по
результатам сравнения уровня допуска с
категорией конфиденциальности информации.
Функция обеспечивает разграничение доступа к
устройствам с целью предотвращения
несанкционированного копирования информации с
защищаемого компьютера. Существует возможность
запретить, либо разрешить пользователям работу с
любыми портами \ устройствами.
Разграничивается доступ к следующим
портам (устройствам):
Поддерживается контроль подключения устройств на
шинах USB, PCMCIA, IEEE1394 по типу и серийному
номеру. Права доступа на эти устройства задаются
не только для отдельных пользователей, но и для
групп пользователей.
Также существует возможность запретить
использование сетевых интерфейсов — Ethernet,
1394 FireWire, Bluetooth, IrDA, WiFi.
Доверенная информационная среда
Защита от
загрузки с внешних носителей
С
помощью средств аппаратной поддержки можно
запретить пользователю загрузку ОС с внешних
съёмных носителей. В качестве аппаратной
поддержки система Secret Net 5.1 использует
программно-аппаратный комплекс «Соболь“ и Secret
Net Touch Memory Card. Плату аппаратной
поддержки невозможно обойти средствами BIOS:
если в течение определённого времени после
включения питания на плату не было передано
управление, она блокирует работу всей системы.
Замкнутая
программная среда
Для каждого пользователя ПК формируется
определенный перечень программ, разрешенных для
запуска. Он может быть задан как индивидуально
для каждого пользователя, так и определен на
уровне групп пользователей. Применение этого
режима исключает распространение
вирусов, "червей", шпионского ПО и
использования ПК в качестве игровой приставки.
Контроль
целостности
Используется для слежения за неизменностью
контролируемых объектов с целью защиты их от
модификации. Контроль проводится в
автоматическом режиме в соответствии с некоторым
заданным расписанием.
Объектами контроля могут быть файлы, каталоги,
элементы системного реестра и секторы дисков.
Каждый тип объектов имеет свой набор
контролируемых параметров. Так, файлы могут
контролироваться на целостность содержимого,
прав доступа, атрибутов, а также на их
существование, т.е. на наличие файлов по
заданному пути. При обнаружении несоответствия
предусмотрены следующие варианты реакции на
возникающие ситуации нарушения целостности:
-
регистрация события в журнале Secret Net;
-
блокировка компьютера;
-
восстановление повреждённой/модифицированной
информации;
-
отклонение или принятие изменений.
Контроль
аппаратной конфигурации компьютера
Осуществляет своевременное обнаружение изменений
в аппаратной конфигурации компьютера и
реагирования на эти изменения. Предусмотрено два
вида реакций:
Функциональный самоконтроль подсистем
Самоконтроль производится перед входом
пользователя в систему и предназначен для
обеспечения гарантии того, что к моменту
завершения загрузки ОС все ключевые компоненты
Secret Net 5.1 загружены и функционируют.
Защита информации в процессе хранения
Шифрование файлов
Предназначено для усиления защищенности
информационных ресурсов компьютера. В системе
Secret Net 5.1 управление шифрованием файлов и
доступ к зашифрованным файлам осуществляется на
уровне каталога. Пользователь, создавший
зашифрованный ресурс, является его владельцем,
он может пользоваться им не только
индивидуально, но и предоставлять доступ к этому
ресурсу другим пользователям.
Шифрование файлов производится по алгоритму ГОСТ
28147–89.
Контроль
печати конфиденциальной информации.
Печать осуществляется под контролем системы
защиты. При разрешённом выводе конфиденциальной
информации на печать документы автоматически
маркируются в соответствии с принятыми в
организации стандартами. Факт печати
отображается в журнале защиты Secret Net 5.1.
Гарантированное уничтожение данных
Уничтожение достигается путем записи случайной
последовательности на место удаленной информации
в освобождаемую область диска. Для большей
надежности может быть выполнено до 10 циклов
(проходов) затирания.
Регистрация событий
Система Secret Net 5.1 регистрирует все события,
происходящие на компьютере: включение \
выключение компьютера, вход \ выход
пользователей, события НСД, запуск приложений,
обращения к конфиденциальной информации,
контроль вывода конфиденциальной информации на
печать и отчуждаемые носители и т.п.
В
Secret Net 5.1 реализована возможность экспорта и
импорта различных параметров системы. После проверки
корректности работы защитных механизмов на
компьютере, принимаемом за эталонный, выполняется
экспорт значений параметров в файл. Далее значения
импортируются на необходимое количество компьютеров.
|
|
Сетевой вариант Secret Net |
Сетевая версия системы Secret Net 5.1 обладает всеми
возможностями автономной версии, кроме того в нее
включены средства централизованного управления, что
существенно облегчает работу администратора
безопасности.
Автономный вариант системы Secret Net может
использоваться для защиты рабочих станций локальной
сети. Однако, если количество защищаемых рабочих
станций в локальной сети больше 20–25, то
целесообразнее использовать сетевой вариант Secret
Net.
Система централизованного управления
В
качестве хранилища информации в системе
централизованного управления используется Active
Directory (AD). Для нужд централизованного
управления Secret Net 5.1 схема Active Directory
расширяется — создаются новые объекты и изменяются
параметры существующих.
Для выполнения этих действий используется
специальный модуль изменения схемы AD, который
устанавливается и запускается на контроллере домена
при установке системы централизованного управления.
Для приведения параметров работы защитных средств
компьютера в соответствие настройкам безопасности
Secret Net 5.1, задаваемым с помощью групповых
политик, используется агент Secret Net 5.1,
установленный на каждом сервере или рабочей станции
защищаемой сети.
Столь тесная интеграция Системы Управления с Active
Directory позволяет легко использовать Secret Net для организации защиты сети, использующей многодоменную структуру. Построение защитной системы
сети, использующей многодоменную структуру, на
основе выделенного сервера безопасности, как это
было в системах защиты предыдущего поколения, имело
ряд существенных недостатков. Постоянно возникающие
проблемы синхронизации данных между контроллером
домена и сервером безопасности, завышенные
требования к аппаратной части сервера безопасности –
всё это значительно затрудняло централизованное
управление безопасностью информационной системы. В
Secret Net 5.1 эти проблемы принципиально
отсутствуют.
Оперативный мониторинг и аудит
В
Secret Net 5.1 предусмотрена функция оперативного
мониторинга и аудита безопасности информационной
системы предприятия, которая позволяет решать такие
задачи, как:
-
Оперативный контроль состояния
автоматизированной системы предприятия
(получение информация о состоянии рабочих
станций и о работающих на них пользователях).
-
Централизованный сбор журналов с возможностью
оперативного просмотра в любой момент времени, а
также хранение и архивирование журналов.
-
Оповещение администратора о событиях НСД в
режиме реального времени.
-
Оперативное реагирование на события НСД —
выключение, перезагрузка или блокировка
контролируемых компьютеров.
-
Ведение журнала НСД.
Система Оперативного управления имеет свою базу
данных, в которой хранится вся информация, связанная
с работой сервера по обеспечению взаимодействия
компонентов, а также журналы, поступающие от
агентов.
В качестве базы данных используется СУБД Oracle 9i.
Мониторинг
Программа мониторинга устанавливается на рабочем
месте администратора оперативного управления —
сотрудника, уполномоченного контролировать и
оперативно корректировать состояние защищаемых
компьютеров в режиме реального времени.
С помощью программы мониторинга администратор может
управлять сбором журналов с рабочих станций.
Предусмотрено два варианта. Первый — сервер
оперативного управления собирает журналы по команде
администратора. Второй — администратор составляет
расписание и передает его серверу, далее сервер
собирает журналы в соответствии с этим расписанием.
Предусмотрена возможность создать удобный для
администратора вид представления сети – т.н. "срез"
(например, по отделам, по территориальному
размещению и т.п.), в случае крупной распределённой
сети, делегировать другим администраторам выделенные
им для управления сегменты сети.
Аудит
В
системе Secret Net 5.1 для проведения аудита
используются 4 журнала, три из которых – штатные
журналы ОС и одни хранит сведения событий,
происходящих в Secret Net 5.1. Журналы ведутся на
каждом защищаемом компьютере сети и хранятся в его
локальной базе данных. Сбор журналов осуществляется
по команде аудитора или по расписанию.
Программа работы с журналами позволяет аудитору
просматривать записи журналов и тем самым
отслеживать действия пользователей, связанные с
безопасностью автоматизированной информационной
системы предприятия.
В журналах предусмотрена удобная система фильтрации
по различным критериям, которая значительно упрощает
работу, связанную с поиском и анализом событий.
С помощью программы работы с журналами аудитор может
выдавать команды серверу на архивацию журналов, а
также на восстановление журналов из архива.
Предусмотрена возможность просмотра архивов, а также
сохранения журнала в файл для последующей передачи и
анализа записей вне системы Secret Net 5.1.
|
|
Система
защиты информации "Блокпост-2000/XP" |
Назначение: защита от несанкционированного доступа
ресурсов рабочей станции ЛВС
или автономного ПК, функционирующих под управлением
операционных систем MS Windows 2000/XP.
Система защиты дополняет стандартные защитные механизмы
операционных систем (ОС) MS Windows 2000 и Microsoft
Windows XP функциями, обеспечивающими:
 |
идентификацию пользователей при помощи специальных
аппаратных средств (iButton);
|
|
|
дискреционное и мандатное управление доступом
пользователей к информационным ресурсам ПК;
|
|
|
оперативный контроль за работой пользователей ПК путем
регистрации событий, связанных с безопасностью
информационной системы (ИС), с помощью средств просмотра
и представления зарегистрированной информации;
|
|
|
контроль целостности программ, используемых
пользователями и ОС; |
|
|
возможность создания для любого пользователя замкнутой
программной среды (списка разрешенных для запуска
программ); |
|
|
контроль запуска процессов (создание списка запрещенных
для запуска программ); |
|
|
простоту управления объектами с помощью механизма
шаблонов настроек; |
|
|
контроль сетевых подключений с помощью встроенного
персонального экрана. |
Система защиты информации "Блокпост - 2000/XP" имеет сертификат ФСТЭК по 4 классу для СВТ, 3 уровню исследования на НДВ
и может использоваться для защиты информации от
несанкционированного доступа в АС по классу 1В
включительно.
Сертификат
ФСТЭК № 964/1 от
28.02 2005 (дата окончания - 14.02.2011)
|
|
Сетевая система защиты информации от НСД
"Блокхост-Сеть" |
|
Назначение: защита от НСД
рабочих станций и серверов в локальной вычислительной
сети.
"Блокхост-сеть"
обеспечивает защиту от НСД к информации, содержащейся
на:
-
Локальном компьютере (без подключения к сети).
-
Сетевом компьютере (в одноранговой или
доменной сети).
-
Рабочих станциях, объединенных в сеть, с
установленной на каждой из них клиентской частью СЗИ
"Блокхост-сеть".
"Блокхост-сеть" дополняет и усиливает функциональные
возможности операционной системы по защите информации.
Серверная часть "Блокхост-сеть"
обеспечивает централизованную защиту информации:
-
Разграничение удаленного доступа пользователей к
защищаемой информации, содержащейся на рабочих
станциях (объединенных в одноранговую или доменную
сеть) на основе мандатного (полномочного) механизма.
-
Удаленное администрирование клиентской части "Блокхост-сеть"
на рабочих станциях (объединенных в одноранговую или
доменную сеть).
-
Удаленное ведение оперативного контроля.
Клиентская часть "Блокхост-сеть" обеспечивает локальную
защиту информации, содержащейся на рабочей станции.
Аппаратные средства, функционирующие в составе
"Блокхост-сеть" (eToken,RuToken, другие USB устройства)
позволяют:
-
Хранить персональные данные для идентификации и
аутентификации.
-
Хранить криптографическую информацию.
"Блокхост-сеть"
пзволяет:
Сертификат ФСТЭК № 1351
от 02.03.2007 (дата окончания 02.03.2013)
Сертификат ФСТЭК № 1517 от
30.11.2007 (дата окончания 30.11.2010)
|
|
Система защиты информации
от несанкционированного доступа
"Щит-РЖД"
|
|
 Назначение: защита информации от
НСД и обеспечения конфиденциальности информации при
ее обработке на ПК под управлением
MS
Windows 2000/XP.
Защита информации обеспечивается даже при хищении ПЭВМ
или съемных носителей.
"Щит-РЖД"
обеспечивает полноту функций защиты при работе с широким
спектром прикладного ПО, является
многоуровневой системой защиты и поддерживает 5
уровней конфиденциальности.
Возможности:
|
|
идентификация и
аутентификация пользователей в доверенной среде
и с применением RuToken;
|
|
|
динамический контроль целостности системы защиты,
ОС, прикладных программ и управляющих
данных; |
|
|
контроль доступа к устройствам, файлам и папкам;
|
|
|
управление печатью, автоматическая маркировка и учет
документов; |
|
|
прозрачное кодирование жестких дисков, дискет,
компакт-дисков и виртуальных дисков;
|
|
|
интерактивная очистка освобождаемых областей
дисковой памяти при удалении файлов;
|
|
|
гарантированное уничтожение информации по решению
пользователя; |
|
|
регистрация действий пользователя в системных
журналах ОС. |
Минимальные аппаратные требования:
|
|
Pentium – совместимый процессор с частотой 300 МГц
или выше; |
|
|
128 Mb оперативной памяти (RAM);
|
|
|
не
менее 50 МБ свободного места на HDD;
|
|
|
дисковод для CD-дисков;
|
Сертификат
ФСТЭК № 1090/1 от
14.02 2007 (дата окончания - 14.02.2013) |
|
Система защиты информации
от несанкционированного доступа "Аура"
|
|
Система защиты информации от
несанкционированного доступа "Аура"
предназначена для комплексной защиты
информации, обрабатываемой на ПЭВМ под управлением ОС
семейства Microsoft:
Windows 2000 Professional SP4,
2000 Server SP4, XP Professional SP3, Server 2003 Standard Edition SP2,
Server 2003 Enterprise Edition SP2, Server 2008 Standard Edition SP2,
Server 2008 Enterprise Edition SP2, Vista Business SP2,
Vista Ultimate SP2
(поддерживаются 32-битные версии операционных систем).
"Аура"
сертифицирована по 3 классу защищенности СВТ и 2 уровню
контроля НДВ и дает возможность построения
автоматизированных систем отвечающих классу 1Б, 1В, 1Г,
1Д и информационных систем по обработке персональных
данных по классам К1, К2, К3, К4.
Защита
информации обеспечивается даже при хищении носителей
информации.
СЗИ от НСД "Аура"
решает следующие задачи:
-
обеспечение доверенной среды для аутентификации
пользователей и контроля целостности информационных
объектов;
-
усиленная аутентификация;
-
многоуровневый контроль целостности информационных
объектов вычислительной системы;
-
контроль доступа к устройствам, файлам и папкам;
-
управление печатью, автоматическая маркировка и учет
документов;
-
прозрачное кодирование жестких дисков, съемных
носителей и виртуальных дисков;
-
достоверное уничтожение информационных объектов;
-
регистрация действий пользователя в системных
журналах;
-
идентификация и
аутентификация в доверенной среде с применением
электронных устройств
Rutoken
(на данный момент используется Rutoken версии 1.0.
При установке новых драйверов функция блокировки
консоли доступна и с Rutoken версии 2.0).
Минимальные аппаратные требования:
-
Pentium-совместимый процессор с частотой 1 ГГц или
выше;
- не
менее 256 Мб ОЗУ;
-
для установки СЗИ НСД необходимо не менее 60 Мб
свободного места на используемом ПЭВМ постоянном
носителе машинной памяти;
-
манипулятор типа “мышь”;
-
устройство для работы со съемными носителями
информации (дисковод для компакт-дисков, дисков DVD
и т.п.);
-
видеокарта SVGA, поддерживающая спецификацию Vesa.
Совместимость СЗИ «Аура» с аппаратной
частью
Для проверки совместимости СЗИ «Аура» с аппаратной
частью используется процедура проверки
Аварийная
деинсталляция
требуется в случаях:
-
утеря пароля администратора СЗИ;
-
неудачное обновление ПО под установленной СЗИ;
-
проблемы с загрузкой СЗИ после замены оборудования
рабочей станции;
-
нарушение нормальной работы СЗИ вследствии
повреждения вирусом ОC;
-
отказ или обнуление счетчика инсталляций
электронного ключа Guandant;
-
невозможность загрузки администратором ОС вследствие
неверной её настройки.
Аварийная деинсталляция обычно позволяет сохранить
работоспособность ОС и все настройки пользователей
(рабочий стол, документы, ярлыки приложений и т.д.). В
следующих случаях аварийная деинсталляция невозможна:
-
диск с ОС шифрован и утерян ключ шифрования к нему;
- на
диске физически повреждена ОС.
Сертификат ФСТЭК
№ 2188 от 21 октября 2010 года.
Сертификат действителен до 21 октября 2013 года. |
|
Система защиты
информации от несанкционированного доступа "Страж
NT" (версия 3.0) |
|
 Система
защиты информации «Страж NT» (версия 3.0) предназначена
для комплексной и многофункциональной защиты
информационных ресурсов от несанкционированного доступа
в многопользовательских автоматизированных системах на
базе персональных ЭВМ, функционирующих под управлением
32-х разрядных операционных систем семейства Microsoft:
Windows
2000,
Windows XP,
Windows Server
2003,
Windows Vista,
Windows Server
2008,
Windows
7.
СЗИ "Страж NT" (версия 3.0) может
применяться:
Отсутствие аппаратной составляющей
позволяет применять СЗИ на компьютерах недесктопного
исполнения (ноутбуки, сервера, промышленные компьютеры).
СЗИ "Страж NT"
(версия 3.0) имеет сертификат ФСТЭК России, который
позволяет использовать ее при
создании автоматизированных систем до класса
защищенности 1Б включительно и
для защиты информации в ИСПДн
до 1 класса включительно.
В СЗИ "Страж NT" (версия 3.0)
реализованы следующие подсистемы и защитные механизмы:
-
Строгая двухфакторная аутентификация
до загрузки операционной системы с использованием
аппаратных идентификаторов.
-
Дискреционный и мандатный принципы
разграничения доступа пользователей к ресурсам
системы.
-
Замкнутая программная среда для
пользователей.
-
Регистрация событий, в том числе и
действий администратора.
-
Маркировка печатных документов,
независимо от приложения, выдающего их на печать.
-
Гарантированное стирание
освобождаемой оперативной памяти и удаляемых
ресурсов системы.
-
Контроль целостности критических
ресурсов системы и компонентов системы защиты.
-
Управление пользователями.
-
Управление носителями информации.
-
Преобразование информации на
отчуждаемых носителях.
-
Управление устройствами.
-
Тестирование механизмов системы
защиты.
-
Сокрытие логической структуры
жесткого диска при загрузке компьютера с внешнего
носителя.
-
Функция снятия системы защиты в
случаях аварийной загрузки штатной операционной
системы.
Сертификат
ФСТЭК № 2145 от
30.07 2010 (дата окончания -
30.07.2013)
|
|
