Сзи от нсд windows

Развитие рынка средств защиты от несанкционированного доступа (СЗИ от НСД) в России обусловлено необходимостью выполнения требований законодательства в области защиты информации (защита персональных данных, защита государственных информационных систем, защита государственной тайны). Обзор поможет сориентироваться на рынке решений СЗИ от НСД и разобраться в тенденциях его развития.

1. Введение
2. Что такое СЗИ от НСД
3. Сертификация СЗИ от НСД на соответствие требованиям ФСТЭК России
4. Мировой рынок средств защиты конечных точек
5. Российский рынок СЗИ от НСД и основные тенденции его развития
6. Обзор основных игроков рынка сертифицированных СЗИ от НСД
1. 6.1 «Газинформсервис»
2. 6.2. «Код Безопасности»
3. 6.3. «Конфидент»
4. 6.4. НПП ИТБ
5. 6.5. ОКБ САПР
6. 6.6. РНТ
7. 6.7. Рубинтех
8. 6.8. СПИИРАН
9. 6.9. ТСС
7. Выводы

Введение

Значительное количество угроз безопасности информации на рабочих станциях и серверах составляют угрозы несанкционированного доступа (НСД). Они ведут к утечкам конфиденциальных данных и утрате их целостности, что в свою очередь приводит к целому ряду негативных последствий для бизнеса: от репутационного ущерба и финансовых потерь до приостановки бизнес-процессов компании.

Кроме того, если компания работает с информацией ограниченного доступа, например, с  персональными данными или государственной тайной, то неизбежно сталкивается с многочисленными требованиями ФСТЭК России и ФСБ России. Невыполнение этих требований приводит к нежелательным санкциям: это могут быть как значительные штрафы, так и полная остановка деятельности компании по требованию регулятора.

Для защиты серверов и рабочих станций по требованию регуляторов используются специализированные наложенные средства защиты информации (сокращенно СЗИ от НСД). Сегодня на российском рынке информационной безопасности представлено большое количество СЗИ от НСД для серверов и рабочих станций. Далее мы расскажем, какими функциями должны обладать современные СЗИ от НСД, каким требованиям они должны соответствовать, рассмотрим основные тенденции российского рынка и основных игроков в этом сегменте, а также особенности их продуктов.

Что такое СЗИ от НСД

Российские вендоры включились в процесс разработки решений для защиты автоматизированных рабочих мест и серверов от несанкционированного доступа довольно давно. Первые разработки появились уже начале 90-х для выполнения требований руководящих документов Гостехкомиссии (теперь это ФСТЭК России) по защите информации.

В основном СЗИ от НСД создавались для повышения уровня защищенности операционной системы с использованием механизмов защиты:

• идентификация и аутентификация пользователей;
• дискреционный контроль доступа пользователей;
• мандатный контроль доступа пользователей и процессов;
• маркировка документов и контроль их вывода на печать;
• защита ввода и вывода информации на отчуждаемый физический носитель;
• регистрация событий безопасности в журнале событий;
• контроль целостности критичных файлов и данных;
• контроль доступа к периферийным устройствам и портам ввода-вывода;
• гарантированное удаление данных на дисках и выборочное затирание файлов и др.

Требования к этим механизмам защиты описаны в Руководящем документе «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Гостехкомиссия России, 1992 г.

По типу исполнения СЗИ от НСД бывают программными и программно-аппаратными. К последним относятся комплексы, где помимо специального программного обеспечения для разграничения доступа к ресурсам в составе комплекса есть аппаратный модуль — средство доверенной загрузки.

С точки зрения архитектуры СЗИ от НСД могут быть сетевыми и автономными. Сетевые СЗИ от НСД в общем случае включают сервер безопасности, а также агенты защиты, которые устанавливаются на конечные точки — рабочие станции и сервера. Сетевые СЗИ от НСД предусматривают централизованное управление защитными механизмами, а также централизованное получение информации от агентов об изменении состояния защищаемых компьютеров. В автономных СЗИ от НСД защитные механизмы устанавливаются и управляются локально (без привязки к серверу безопасности).

В последнее время наблюдается тенденция создания комплексных решений для защиты рабочих станций и серверов. Причиной этому является желание вендоров выйти из ниши классических СЗИ от НСД на уровень полноценных средств защиты информации на конечных точках (так называемый класс Information-Centric Endpoint Protection). Рецепт комплексных решений заключается в добавлении к классическим СЗИ от НСД модулей сетевой и антивирусной защиты: подсистемы персонального межсетевого экрана, подсистемы обнаружения вторжений уровня хоста, подсистемы антивирусной защиты, поиска уязвимостей, веб-фильтрации и т. д. Управление всеми компонентами осуществляется из единой консоли, что упрощает администрирование СЗИ, а интегрированность защитных механизмов между собой исключает возможность нарушения функционирования защищаемой системы.

Сертификация СЗИ от НСД на соответствие требованиям ФСТЭК России

СЗИ от НСД должны удовлетворять определенным требованиям руководящих и нормативных документов ФСТЭК России. Если мы говорим о традиционных СЗИ от НСД, которые обеспечивают разграничение доступа пользователей к ресурсам, то такие комплексы должны соответствовать требованиям руководящих документов:

• Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД СВТ).
• Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД НДВ).

СЗИ от НСД обычно включают и подсистему контроля съемных носителей и сертифицируются на соответствие Требованиям к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. № 87.

Кроме того, некоторые программно-аппаратные комплексы помимо разграничения доступа к ресурсам компьютера обеспечивают доверенную загрузку операционной системы — включают модуль доверенной загрузки. Такие СЗИ от НСД дополнительно к приведенным выше требованиям сертифицируются в том числе на соответствие Требованиям к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. № 119.

Комплексные решения, которые помимо разграничения доступа к ресурсам обеспечивают контроль сетевых соединений, защиту от вторжений, а также антивирусную защиту, сертифицируются на соответствие профилей защиты:

• Требования к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. № 9).
• Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. № 638.
• Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. № 28.

Мировой рынок средств защиты конечных точек

За рубежом привычного для нас рынка СЗИ от НСД нет. Для защиты информации на конечных точках применяются решения классов Information-Centric Endpoint Protection и Endpoint Protection Platforms.

Gartner определяет класс решений Information-Centric Endpoint Protection как решения, обеспечивающие защиту конфиденциальной информации на конечных точках на уровне данных и системы. Эта категория включает решения с различными механизмами защиты — управление правами пользователей, контроль подключаемых устройств, контроль целостности информации и доверенная загрузка, шифрование данных.

Класс решений Endpoint Protection Platforms определяется Gartner как интегрированные решения с централизованным управлением, включающие функции защиты от вредоносных программ, персонального межсетевого экрана, а также управления доступом к портам ввода-вывода и периферийным устройствам. Кроме того, многие решения Endpoint Protection Platforms также включают и другие возможности, такие как оценка уязвимости, контроль приложений и управление мобильными устройствами EMM.

Gartner в отчете Magic Quadrant (MQ) for Endpoint Protection Platforms Report отмечает, что рынок Endpoint Protection Platforms динамичен — прогнозируется, что крупные сегменты рынков, такие как DLP и EMM, будут в конечном итоге поглощены рынком Endpoint Protection Platforms в ближайшем будущем. 

Можно предположить, что российский рынок СЗИ от НСД тоже будет поглощен рынком Endpoint Protection Platforms по мере развития локальных вендоров.

В вышеупомянутом отчете Magic Quadrant (MQ) for Endpoint Protection Platforms Report (2018) выделены более 20 разработчиков, которые, по мнению Gartner, считаются наиболее значимыми на рынке Endpoint Protection Platforms. Из них многие являются ключевыми игроками также и на рынке Information-Centric Endpoint Protection.

Наиболее известные компании на российском рынке:

• Kaspersky Lab
• McAfee
• Sophos
• Symantec
• Trend Micro

В отчет Gartner включен только один российский разработчик антивирусного программного обеспечения — «Лаборатория Касперского».  Однако представленные продукты по функциональности далеки от рассматриваемых в обзоре и не могут считаться их заменителями. Рынок Endpoint Protection Platforms Report будет рассмотрен нами в отдельной статье.

Российский рынок СЗИ от НСД и основные тенденции его развития

Одной из главных причин востребованности сертифицированных СЗИ от НСД на российском рынке является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации:

• Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
• Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
• Закон Российской Федерации № 5485-I «О государственной тайне» от 21 июля 1993г. и другие.

На динамику рынка СЗИ от НСД влияет как развитие законодательной базы, так и крупные инциденты, например эпидемии WannaCry, NotPetya и BadRabbit, затронувшие не одну компанию и принесшие реальные потери в виде прямых финансовых убытков, репутационного вреда и приостановок деятельности.

Предполагается, что серьезное влияние на рынок СЗИ от НСД в будущем также окажет принятый в 2017 году Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры», а для кредитно-финансовой сферы национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».

В настоящее время среди основных игроков рынка сертифицированных СЗИ от НСД можно выделить:

• СЗИ от НСД Secret Net, Secret Net Studio и ПАК «Соболь» («Код Безопасности»)
• СЗИ от НСД Dallas Lock (компания «Конфидент»)
• СЗИ от НСД «Аккорд» (компания ОКБ САПР)
• СЗИ от НСД «Блокхост-сеть К» и «Блокхост-АМДЗ 2.0» («Газинформсервис»)
• СЗИ от НСД ПАНЦИРЬ (НПП «Безопасные информационные технологии»)
• СЗИ от НСД Diamond ACS (компания ТСС)
• СЗИ от НСД «Страж NT 4.0» (компания «Рубинтех»)
• СЗИ от НСД «Аура» (СПИИРАН)
• СЗИ от НСД «Фантом» (РНТ)

Также на рынке присутствуют некоторые нишевые продукты, например, СРД «КРИПТОН-ЩИТ» (ООО Фирма «Анкад»),СЗИ НСД «Щит-РЖД» (СПИИРАН).

Так как сам рынок СЗИ от НСД возник под влиянием российских регуляторов, то принципиальной характеристикой продукта является не столько широта функциональных возможностей, сколько классы их сертификации ФСТЭК России. Далее в таблице 1 приведем данные по действующим сертификатам наиболее популярных продуктов.

Таблица 1. Классы сертификации ФСТЭК России популярных СЗИ от НСД

Теперь рассмотрим сертифицированные СЗИ от НСД более подробно.

Обзор основных игроков рынка сертифицированных СЗИ от НСД

«Газинформсервис» 

СЗИ от НСД «Блокхост-Сеть 2.0»

Средство защиты информации «Блокхост-Сеть 2.0» предназначено для защиты информационных ресурсов от несанкционированного доступа в локальных вычислительных сетях на базе персональных компьютеров, функционирующих под управлением операционных систем Microsoft Windows 2008R2/Vista/7/8/8.1/10/2012/2012R2/2016. «Блокхост-Сеть 2.0» дополняет и усиливает собственные возможности защиты операционной системы, создавая тем самым доверенную рабочую среду функционирования процессов.

СЗИ «Блокхост-Сеть 2.0» состоит из клиентской части СЗИ «Блокхост-Сеть 2.0», в рамках которой реализованы базовые механизмы защиты, и серверной части — сервера безопасности, устанавливаемой на автоматизированное рабочее место администратора безопасности.

Средство защиты информации «Блокхост-Сеть 2.0» выполняет следующие функции защиты:

• двухфакторная аутентификация пользователей с применением персональных идентификаторов;
• дискреционный и мандатный механизмы контроля доступа к информационным ресурсам в соответствии с заданными параметрами безопасности, в том числе по времени;
• контроль целостности системного программного обеспечения, прикладного программного обеспечения и информационных ресурсов АРМ;
• очистка областей оперативной памяти после завершения работы контролируемых процессов;
• гарантированное удаление файлов и папок, что исключает возможность восстановления;
• контроль вывода информации на печать и отчуждаемые физические носители, маркировка документов;
• контроль запуска процессов;
• персональный межсетевой экран (контроль доступа к сетевым ресурсам и фильтрация сетевого трафика);
• защита от изменения и удаления СЗИ «Блокхост-Сеть 2.0».

ПАК «Блокхост-МДЗ»

Программно-аппаратный комплекс «Блокхост-МДЗ» предназначен для решения следующих задач:

• двухфакторная аутентификация пользователей для усиления защиты входа на рабочую станцию до загрузки операционной системы;
• обеспечение конфиденциальности данных, хранимых на электронных носителях, путем шифрования их содержимого;
• контроль целостности файлов с заданной периодичностью;
• выполнение гарантированного удаления файлов без возможности их восстановления;
• очистка областей оперативной памяти после завершения контролируемых процессов для предотвращения считывания остаточной информации;
• сохранение конфиденциальности данных даже при краже или утере носителей;
• контроль доступа пользователей к отчуждаемым носителям, оптическим приводам, Wi-Fi и Bluetooth-адаптерам, подключаемым через USB порты.

«Блокхост-МДЗ» состоит из 7 модулей, которые могут быть использованы как единым комплексом, так и по отдельности.

Подробнее познакомиться с СЗИ от НСД «Блокхост-Сеть 2.0» и ПАК «Блокхост-МДЗ» можно на сайте разработчика.

«Код Безопасности»

Компания «Код Безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту информационных систем, а также их соответствие требованиям международных и отраслевых стандартов. Компания основана в 2008 году и ведет свою деятельность на основании девяти лицензий ФСТЭК России, ФСБ России и Министерства обороны Российской Федерации.

В настоящее время сотрудниками «Кода безопасности» являются более 400 квалифицированных специалистов, многие из которых имеют уникальные компетенции в области разработки ИБ-решений. Свыше 900 авторизованных партнеров компании поставляют ее продукты и обеспечивают их качественную поддержку во всех регионах России и в странах СНГ. Более 32 000 государственных и коммерческих организаций доверяют продуктам «Кода безопасности» и используют их для защиты рабочих станций, серверов, виртуальных инфраструктур, мобильных устройств и сетевого взаимодействия всех компонентов информационных систем.

Для защиты конечных точек компания «Код Безопасности» предлагает несколько решений:

• СЗИ от НСД Secret Net — сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства MS Windows.
• СЗИ от НСД Secret Net LSP — сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства Linux.
• СЗИ Secret Net Studio — комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования.
• АПМДЗ «Соболь» — сертифицированный аппаратно-программный модуль доверенной загрузки.

СЗИ от НСД Secret Net 7

СЗИ от НСД Secret Net 7 сочетает в себе функции защиты информации (в соответствии с требованиями РД СВТ), средства централизованного управления, инструменты оперативного принятия решений и возможность мониторинга безопасности информационной системы в реальном времени. Тесная интеграция защитных механизмов Secret Net 7 с механизмами управления сетевой инфраструктурой повышает защищенность корпоративной информационной системы.

Основные возможности СЗИ от НСД Secret Net 7:

• Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
• Идентификация и аутентификация пользователей.
• Доверенная информационная среда.
• Контроль утечек и каналов распространения конфиденциальной информации.
• Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
• Затирание остаточной информации при освобождении и удалении областей памяти компьютера и запоминающих устройств.
• Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности.
• Масштабируемая система защиты, возможность применения Secret Net 7 (сетевой вариант) в организации с большим количеством филиалов.
• Защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).

Подробнее познакомиться с продуктом СЗИ от НСД Secret Net можно на сайте разработчика.

С 9 апреля 2018 г. компания «Код Безопасности» прекратила продажу СЗИ от НСД Secret Net 7. Теперь для защиты рабочих станций и серверов компания предлагает более современный и функциональный комплексный продукт СЗИ Secret Net Studio.

СЗИ Secret Net Studio

СЗИ Secret Net Studio — комплексное решение для защиты конечных точек. Помимо защиты от НСД продукт включает антивирус, персональный межсетевой экран и модуль авторизации сетевых соединений, систему обнаружения вторжений, а также расширенные средства централизованного управления и мониторинга.

Основные возможности СЗИ Secret Net Studio:

• Защита от НСД обеспечивается механизмами, применяемыми в СЗИ от НСД Secret Net.
• Антивирусная защита — защита от вредоносных исполняемых файлов на рабочих станциях и серверах с возможностью сканирования и запуска заданий по расписанию, а также по требованию администратора или пользователя.
• Межсетевое экранирование — контроль сетевой активности компьютера и фильтрация большого числа протоколов в соответствии с заданными политиками, в том числе на уровне отдельных приложений, пользователей или групп пользователей. Подпись сетевого трафика для защиты от подделки и перехвата внутри локальной сети. Автоматическая генерация правил с их интеллектуальным сложением в режиме обучения межсетевого экрана.
• Защита от сетевых атак (NIPS) — обнаружение атак сигнатурными и эвристическими методами. Автоматическая блокировка атакующих хостов при обнаружении аномальных пакетов, сканировании портов, DoS-атаках и др.
• Шифрование контейнеров — шифрование контейнеров любого размера по алгоритму ГОСТ 28147-89 обеспечивает защиту данных в случае несанкционированного доступа к носителям информации, их утери или кражи. Размещение шифрованных контейнеров на жестком диске или на съемном носителе. Использование аппаратных идентификаторов для хранения ключевой информации.
• Централизованное развертывание, управление и мониторинг. Развертывание обеспечивается централизованной установкой продукта на все рабочие станции контролируемого домена. Настройка сквозных и групповых политик для всех механизмов защиты осуществляется с использованием единого агента безопасности.

Подробнее познакомиться с продуктом СЗИ Secret Net Studio можно почитав обзоры на нашем сайте «Обзор Secret Net Studio 8.1. Часть 1 — защитные механизмы» и «Обзор Secret Net Studio 8.1. Часть 2 — механизмы централизованного управления и мониторинга», а также на сайте разработчика.

СЗИ от НСД Secret Net LSP

СЗИ от НСД Secret Net LSP — сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства Linux. Возможна интеграция со средствами централизованного управления Secret Net Studio и Secret Net 7, а также совместная работа с терминальным сервером под управлением Windows.

Основные возможности СЗИ от НСД Secret Net LSP:

• Защита входа в систему
• Разграничение доступа к ресурсам
• Разграничение доступа к устройствам
• Регистрация событий ИБ
• Контроль целостности
• Аудит действий пользователей
• Затирание остаточной информации
• Удобство администрирования благодаря наличию графических и консольных средств управления
• Интеграция со средствами централизованного управления Secret Net Studio и Secret Net 7
• Включение компьютера в домен Windows

Подробнее познакомиться с продуктом СЗИ от НСД Secret Net LSP можно на сайте разработчика.

АПМДЗ «Соболь»

Электронный замок «Соболь» — это сертифицированный аппаратно-программный модуль доверенной загрузки.

ПАК «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети. Комплекс имеет широкий выбор форматов исполнения и применяется совместно с продуктами Secret Net 7 и Secret Net Studio как средство, усиливающее механизм обнаружения атак на конечные точки.

Основные возможности ПАК «Соболь»:

• Механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы;
• Контроль целостности реестра Windows существенно повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы;
• Контроль целостности аппаратной конфигурации компьютера запрещает использование неавторизованных компонентов;
• Идентификация и усиленная (двухфакторная) аутентификация пользователей с использование персональных идентификаторов;
• Аудит попыток доступа к компьютеру в системном журнале, хранящемся в специальной энергонезависимой памяти;
• Блокировка несанкционированной загрузки операционной системы со съемных носителей не дает злоумышленнику возможность обойти СЗИ, работающие «внутри» ОС;
• Сбор и хранение данных о событиях безопасности облегчает расследование инцидентов;
• Использование сторожевого таймера обеспечивает блокировку компьютера в нештатной ситуации — если после включения компьютера и по истечении заданного интервала времени управление не передано комплексу «Соболь»;
• Применение аппаратного датчика случайных чисел, соответствующего требованиям ФСБ, обеспечивает повышенный класс защиты СКЗИ.

Подробнее познакомиться с АПМДЗ «Соболь» можно на сайте разработчика.

«Конфидент»

Продуктовая линейка Dallas Lock Центра защиты информации компании «Конфидент» представлена современными средствами защиты информации для платформ Windows и Linux. Решения компании позволяют не только привести информационные системы в соответствие требованиям законодательства, но и создать их комплексную защиту благодаря таким уникальным возможностям, как наличие элементов функциональности DLP-систем, управления привилегированными пользователями, создание доверенной рабочей среды.

СЗИ Dallas Lock 8.0

СЗИ Dallas Lock 8.0 —сертифицированная система защиты информации накладного типа для автономных и сетевых АРМ (применима для сложных сетевых инфраструктур). Предназначена для защиты конфиденциальной информации (редакции «К» и «С»), в том числе содержащейся в автоматизированных системах до класса защищенности 1Г включительно, в государственных информационных системах до 1 класса защищенности включительно, в информационных системах персональных данных для обеспечения 1 уровня защищенности персональных данных, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно, а также для защиты информации, содержащей сведения, составляющие государственную тайну (редакция «С») до уровня «совершенно секретно» включительно. Подробный обзор СЗИ Dallas Lock 8.0 читайте на нашем чайте.

Ключевые особенности:

• Собственные сертифицированные механизмы управления информационной безопасностью, дублирующие (подменяющие) стандартные механизмы Windows.
• Возможность применения в различных версиях и редакциях Windows (от Windows XP до Windows 10) на персональных, портативных компьютерах (ноутбуках, планшетах), серверах, в виртуализированных средах.
• Широкий набор дополнительных возможностей.
• Наличие модуля СКН — это сертифицированное средство контроля съемных машинных носителей информации (по Требованиям ФСТЭК России к СКН).
• Бесшовная интеграция с другими решениями продуктовой линейки Dallas Lock.
• Совместимость с ИТ- и ИБ-решениями других производителей.

Межсетевой экран Dallas Lock (МЭ)

Межсетевой экран Dallas Lock (МЭ) — сертифицированный модуль СЗИ НСД Dallas Lock 8.0, выполняющий функции персонального межсетевого экрана с централизованным управлением, аудитом событий информационной безопасности и предназначенный для защиты рабочих станций и серверов от несанкционированного доступа по сети. МЭ осуществляет контроль и фильтрацию проходящих через интерфейсы компьютера сетевых пакетов в соответствии с заданными правилами, блокирует нежелательную сетевую активность и уведомляет о попытках нарушения заданных правил. Модуль тесно интегрирован с СЗИ НСД Dallas Lock 8.0, что позволяет производить централизованное развертывание и настройку функциональности НСД и МЭ из единого общего интерфейса.

Ключевые особенности:

• Впервые в России поддержка Windows 10.
• Защита конфиденциальной информации в сетях, подключенных к сетям общего пользования.
• Интеграция с СЗИ Dallas Lock 8.0.
• Гибкая настройка правил фильтрации в соответствии с сетевой моделью OSI всех уровней.

Система обнаружения и предотвращения вторжений Dallas Lock (СОВ)

Dallas Lock (СОВ) — сертифицированная гибридная система обнаружения и предотвращения вторжений уровня узла в программном исполнении.

Ключевые особенности:

• Эвристический и сигнатурный анализ попыток нарушения безопасности.
• Обновление сигнатур сетевых атак и сигнатур анализа журналов операционной системы.
• Защита от атак на сетевые протоколы модели OSI различных уровней.
• Перехват вызова функций операционной системы, гибкая настройка ограничения доступа к системным функциям для недоверенных приложений.
• Гибкая настройка уровня реагирования системы и детализации журналов.

Средство доверенной загрузки Dallas Lock (СДЗ)

Dallas Lock (СДЗ) — сертифицированное средство доверенной загрузки уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, а также для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах, информационных системах персональных данных.

Ключевые особенности:

• Полноценная поддержка интерфейса UEFI.
• Разъемы для подключения: PCI (через переходник), PCI-Express, Mini PCI-Express, M.2.
• Полное администрирование СДЗ без использования ресурсов загружаемой штатной операционной системы.
• Установка дополнительных программных модулей (агентов) в среду штатной операционной системы не требуется.
• Возможность подключения датчика вскрытия корпуса на плате PCI Express.
• Унифицированный с другими продуктами Dallas Lock дизайн интерфейса СДЗ.
• Централизованное управление (функциональность будет доступна в рамках планового обновления).

СЗИ НСД Dallas Lock Linux

Dallas Lock Linux — сертифицированная СЗИ от НСД накладного типа для рабочих мест и серверов под управлением операционных систем семейства Linux. Не так давно мы обозревали СЗИ НСД Dallas Lock Linux на нашем сайте.

Ключевые особенности СЗИ НСД Dallas Lock Linux:

• Поддерживает широкий набор современных дистрибутивов Linux.
• Консоль удаленного управления СЗИ из Windows и Linux.
• Сервис-ориентированная архитектура.
• Современный графический интерфейс (GUI).
• Универсальная лицензия.

Подробнее познакомиться с линейкой продуктов Dallas Lock можно почитав обзор на нашем сайте — «Выбор сертифицированных СЗИ от НСД для серверов и рабочих станций. Обзор продуктов Dallas Lock», а также на сайте разработчика.

НПП ИТБ

Научно-производственное предприятие «Информационные технологии в бизнесе» для защиты автоматизированных рабочих мест и серверов предлагает Комплексную систему защиты информации «Панцирь+».

КСЗИ «Панцирь+»

Это сертифицированная ФСТЭК России комплексная система защиты информации от несанкционированного доступа, имеющая в своем составе сетевой экран. Комплекс предназначен для защиты операционных систем семейства Microsoft Windows.

В части защиты от целевых атак КСЗИ «Панцирь+» — это система защиты класса Last frontier — образует последний рубеж эшелонированной защиты информации. В задачи КСЗИ «Панцирь+» входит снижение рисков потерь от реализации атак, в предположении о том, что соответствующие угрозы не смогут быть выявлены на ранних стадиях обнаружения и атаки будут осуществлены.

В КСЗИ «Панцирь+» реализованы следующие три основные группы механизмов защиты:

• механизмы контроля и разграничения прав доступа субъектов к статичным объектам — к объектам, присутствующим в системе на момент назначения прав доступа к ним субъектов администратором. К таким объектам относятся локальные и разделенные в сети файловые объекты, объекты реестра операционной системы, файловые накопители, определяемые их идентификаторами с учетом серийных номеров, сетевые объекты, локальные и сетевые принтеры и т. д. Этими механизмами реализуется разграничительная политика доступа субъектов к объектам;
• механизмы контроля и разграничения прав доступа субъектов к создаваемым объектам — к объектам, отсутствующим в системе на момент назначения прав доступа субъектов к объектам администратором, создаваемым пользователями впоследствии. К таким объектам относятся создаваемые файлы и данные, временно хранящиеся в буфере обмена. Такими механизмами реализуется разделительная политика между субъектами доступа;
• механизмы защиты от обхода разграничительной и разделительной политик доступа. Эти механизмы также реализуют контроль доступа, но уже применительно к системным объектам операционной системы — к сервисам олицетворения, к возможностям прямого доступа к дискам и инжектирования кода в процессы, к переменным BIOS UEFI (NV RAM) и загрузчику ОС и т. д.

Принципиальной особенностью реализации механизмов защиты является назначение прав доступа субъектам, к объектам, а не к объектам субъектов, как в иных средствах защиты. Это позволяет использовать при задании правил доступа для идентификации объектов масок и переменных среды окружения, что не только существенно упрощает задачу администрирования, но делает возможным тиражирование настроек при внедрении комплекса.

Все механизмы защиты из состава КСЗИ «Панцирь+» сертифицированы на соответствие РД СВТ, РД МЭ, на отсутствие НДВ, большая часть ключевых механизмов защиты, в том числе от целевых атак, сертифицировано на соответствие ТУ, что обеспечивает их легитимное использование в соответствующих информационных системах: КИИ, ГИС, ИСПДн, АСУ ТП, в ИС цифровой экономики РФ.

Подробнее познакомиться с КСЗИ «Панцирь+» можно на сайте разработчика.

ОКБ САПР

ОКБ САПР — компания-разработчик программно-аппаратных средств защиты информации от несанкционированного доступа, в том числе криптографических, с более чем двадцатилетним стажем (год основания — 1989).

Продуктовая линейка «Аккорд» компании ОКБ САПР представлена программно-аппаратными комплексами для защиты Windows и Linux рабочих мест и серверов, которая включает:

• «Аккорд-АМДЗ» — аппаратный модуль доверенной загрузки.
• Программно-аппаратные комплексы «Аккорд-Win32», «Аккорд-Win64» — для разграничения доступа пользователей к рабочим станциям и серверам, работающим под управлением 32- и 64-разрядных Windows.
• Программно-аппаратные комплексы Аккорд-Х, Аккорд-Х К — для разграничения доступа пользователей к рабочим станциям и серверам под управлением Linux.
• СУЦУ — система удаленного централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд».

Отметим, что в основе всех решений семейства «Аккорд» лежит концепция аппаратной защиты, которую коротко можно сформулировать как необходимость наличия резидентного аппаратного компонента компьютерной системы, обеспечивающего ее защиту от НСД.

«Аккорд-АМДЗ»

СЗИ НСД «Аккорд-АМДЗ» представляет собой аппаратный модуль доверенной загрузки (плата расширения, устанавливаемая в свободный слот материнской платы) для серверов и рабочих станций локальной сети.

Комплекс обеспечивает доверенную загрузку различных операционных систем — загрузку только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств компьютера (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.

ПАК «Аккорд-Win32» (TSE), ПАК «Аккорд-Win64» (TSE) и «Аккорд-Win64 К»

Комплексы «Аккорд-Win32», «Аккорд-Win64» и «Аккорд-Win64 К» предназначены для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам под управлением операционных систем семейства Windows.

Комплексы «Аккорд-Win32» и «Аккорд-Win64» реализованы с аппаратным модулем «Аккорд-АМДЗ» (входит в состав продукта). «Аккорд-Win64 К» реализован программно.

Возможности:

• Идентификация/аутентификация пользователей.
• Аппаратный контроль целостности системных файлов и критичных разделов реестра.
• Доверенная загрузка операционной системы (реализуется ПАК «Аккорд-АМДЗ», входит в состав продуктов «Аккорд-Win32» (TSE) и ПАК «Аккорд-Win64» (TSE)).
• Контроль целостности программ и данных, их защита от несанкционированных модификаций.
• Создание индивидуальной для каждого пользователя изолированной рабочей программной среды.
• Разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа.
• Разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа.
• Автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса.
• Усиленная аутентификация терминальных станций с помощью контроллера «Аккорд» или ПСКЗИ ШИПКА.
• Идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА).
• Управление терминальными сессиями.
• Контроль печати на принтерах.
• Контроль доступа к USB-устройствам.

СУЦУ СЗИ от НСД

СУЦУ — система удаленного централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд» обеспечивает централизованный мониторинг событий информационной безопасности и управления средствами защиты информации от несанкционированного доступа.

Основные возможности СУЦУ:

• Управление подконтрольными рабочими станциями и серверами.
• Управление пользователями.
• Централизованный сбор и хранение информации о зарегистрированных событиях доступа к подконтрольным объектам.
• Централизованное управление средствами защиты информации от несанкционированного доступа на подконтрольных объектах.
• Управление доступом к коммутационным портам и периферийным устройствам.

СЗИ от НСД «Аккорд-X»

Программно-аппаратный комплекс средств защиты информации «Аккорд-X» предназначен для разграничения доступа пользователей к рабочим станциям под управлением Linux.

Комплекс «Аккорд-X» реализован с аппаратным модулем «Аккорд-АМДЗ» (входит в состав продукта). «Аккорд-X К» реализован программно.

Основные возможности «Аккорд-X»:

• Защита от несанкционированного доступа к компьютерам (включая возможность ограничения разрешенных часов работы каждого пользователя).
• Идентификация/аутентификация пользователей.
• Аппаратный контроль целостности системных файлов.
• Доверенная загрузка операционной системы.
• Статический и динамический контроль целостности данных, их защита от несанкционированных модификаций.
• Разграничение доступа пользователей, процессов к массивам данных (объектам) с помощью дискреционного контроля доступа.
• Разграничение доступа пользователей, процессов к массивам данных (объектам) с помощью мандатного контроля доступа.
• Разграничение доступа пользователей к определенным процессам.
• Контроль доступа к периферийным устройствам.
• Создание индивидуальной для каждого пользователя изолированной рабочей программной среды.
• Автоматическое ведение протокола регистрируемых событий.
• Контроль печати на локальных и сетевых принтерах, протоколирование вывода данных на печать, маркировка распечатанных данных (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

Подробнее познакомиться с линейкой СЗИ от НСД «Аккорд» можно на сайте разработчика.

РНТ

СЗИ от НСД «Фантом»

Это программное средство, предназначенное для создания защищенного рабочего места и серверного решения с использованием технологий виртуализации. «Фантом» позволяет обрабатывать информацию различного уровня конфиденциальности на одной аппаратной единице. Исполнение ПАК «Фантом» на внешнем жестком диске благодаря защите от НСД носителя, каналов связи, а также наличию дополнительных средств защиты позволяет выездным сотрудникам использовать произвольную аппаратную единицу (ноутбук, стационарный компьютер и т. п.) и работать с конфиденциальной информацией в условиях небезопасной среды (в заграничных командировках, в гостиницах, дома и т. п.).

СЗИ от НСД «Фантом» решает следующие основные задачи:

• Безопасная работа на любом компьютере (коллективного пользования, домашний) с индивидуального переносного USB-диска.
• Контроль операционной системы с использованием аппаратных технологий виртуализации.
• Контроль периферийных устройств компьютера, включая встроенную память и диск, с уровня гипервизора.
• Прозрачное функционирование для пользователя.
• Надежная реализация криптографических функций на уровне гипервизора.
• Повышенная отказоустойчивость за счет механизма снимков состояния и хранилища резервных копий.
• Аудит происходящих событий.
• Контроль сетевого взаимодействия.
• Усиленная аутентификация пользователей.
• Возможность отдельного размещения нескольких рабочих мест на одном компьютере или на внешнем загружаемом USB-диске.
• Возможность работы исключительно с индивидуального переносного внешнего USB-диска.
• Полная изоляция рабочих мест (виртуальных доменов).
• Контроль работы вычислительных ресурсов в режиме реального времени.
• Поддержка криптографических функций по требованиям безопасности.
• Наличие механизма хранения резервных копий, что позволяет в случае внештатной ситуации (сбой в случае воздействия злоумышленника, некорректно работающего программного обеспечения и т. п.) в любое время вернуться к сохраненному состоянию системы или ее отдельных компонентов.
• Защита от изменения системных компонент ВМ.
• Контроль целостности операционной системы, окружения пользователя и отдельных компонентов с целью противостоять проникновению в среду вредоносного кода.

В СЗИ «Фантом» также есть встроенные МСЭ, антивирус (проверяются все файлы, которые пользователь переносит из одной ВМ в другую) (данная функциональность не сертифицирована), система для отображения и анализа журнальных записей. Также можно отметить наличие VPN-клиента на уровне самого продукта, а не отдельных ВМ. Кроме того, возможна интеграция комплекса с системой обнаружения компьютерных атак «ФОРПОСТ».

Подробнее с продуктом можно ознакомиться на сайте разработчика.

Рубинтех

СЗИ от НСД «Страж NТ версия 4.0»

Компания «Рубинтех» для защиты автоматизированных рабочих мест и серверов предлагает решение «Страж NT 4.0».

СЗИ от НСД «Страж NТ версия 4.0» представляет собой программный комплекс средств защиты информации с использованием электронных идентификаторов и предназначена для защиты информационных ресурсов от несанкционированного доступа:

• на автономных рабочих станциях;
• рабочих станциях в составе рабочей группы или домена локальной вычислительной сети;
• серверах (в том числе и терминальных).

«Страж NТ 4.0» может применяться при разработке систем защиты информации для многопользовательских автоматизированных систем (АС),  информационных систем персональных данных (ИСПДн) и государственных информационных систем (ГИС)  в соответствии с требованиями законодательства Российской Федерации.

Функционирует в среде 32- и 64-разрядных операционных систем Microsoft Windows.

Сертифицирован ФСТЭК России на соответствие РД СВТ по 3-му классу защищенности и РД НДВ по 2-му уровню контроля НДВ.

Ключевые особенности СЗИ от НСД «Страж NT версия 4.0»:

• Возможность сетевого развертывания и настройки и СЗИ с любого рабочего места в сети. Децентрализованное управление без сервера безопасности.
• Поддержка компьютеров c UEFI и GPT-разбиением диска.
• Сокрытие логической структуры загрузочного жесткого диска.
• Наличие гибкого механизма сценариев настроек.
• Реализация дискреционного и мандатного принципов разграничения доступа, в том числе и на съемных носителях информации. Возможность одновременной работы с документами разных грифов в одном сеансе (без смены сеанса пользователя). Режим виртуализации объектов при настройке мандатной защиты.
• Поддержка терминальных сессий.

Основные функциональные возможности СЗИ от НСД «Страж NT 4.0»:

• Двухфакторная аутентификация до загрузки операционной системы (в том числе и для виртуальной среды) с использованием аппаратных идентификаторов.
• Дискреционный принцип контроля доступа к ресурсам системы.
• Мандатный принцип контроля доступа к ресурсам системы.
• Создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешенных приложений.
• Регистрация событий безопасности, в том числе и действий администратора.
• Маркировка выдаваемых на печать документов независимо от печатающего их приложения.
• Гарантированная очистка освобождаемой оперативной памяти, содержимого защищаемых файлов при их удалении, файлов подкачки при завершении работы системы.
• Контроль целостности защищаемых ресурсов системы и компонентов системы защиты информации.
• Управление пользователями.
• Управление носителями информации.
• Управление устройствами.
• Преобразование информации на отчуждаемых носителях.
• Тестирование системы защиты информации.

Подробнее с продуктом можно ознакомиться на сайте разработчика.

СПИИРАН

НИО ПИБ Санкт-Петербургского института информатики и автоматизации Российской академии наук (СПИИРАН) для защиты от НСД серверов и рабочих станций предлагает СЗИ «Аура».

СЗИ «Аура»

Решение предназначено для комплексной защиты информации, обрабатываемой на ПЭВМ под управлением Microsoft Windows.

СЗИ от НСД «Аура» решает следующие основные задачи:

• обеспечение доверенной среды для аутентификации пользователей и контроля целостности информационных объектов;
• усиленная аутентификация;
• многоуровневый контроль целостности информационных объектов вычислительной системы;
• контроль доступа к устройствам, файлам и папкам;
• управление печатью, автоматическая маркировка и учет документов;
• достоверное уничтожение информационных объектов;
• регистрация действий пользователя в системных журналах;
• идентификация и аутентификация пользователей в доверенной среде с применением электронных устройств Rutoken.

Подробнее с продуктом можно ознакомиться на сайте разработчика.

ТСС

Компания ТСС для защиты автоматизированных рабочих мест и серверов предлагает программно-аппаратный комплекс Diamond ACS.

Diamond ACS

Это кроссплатформенный программно-аппаратный комплекс средств защиты информации от несанкционированного доступа. Продукт позволяет осуществлять доверенную загрузку и физическое разделение контуров различной степени конфиденциальности на автоматизированных рабочих местах.

Diamond ACS может быть реализован в автономной или сетевой версиях в программном и программно-аппаратном видах (с подключением аппаратного замка Diamond ACS HW). 

Основные функции Diamond ACS в программно-аппаратном исполнении:

• централизованное управление (единая консоль управления политиками безопасности);
• контроль целостности загрузочного сектора жесткого диска до загрузки операционной системы (опционально);
• возможность работы в двух изолированных контурах различного уровня конфиденциальности на одной машине (опционально);
• разграничение доступа пользователей к данным, устройствам и приложениям на основе дискреционного и мандатного принципов контроля доступа;
• статический и динамический контроль целостности приложений и данных;
• автоматическая регистрация системных событий в журналах безопасности;
• контроль вывода на печать и маркировка документов, содержащих конфиденциальную информацию;
• блокировка рабочего места по периоду неактивности;
• возможность настройки расписания доступа пользователя в систему;
• функция многофакторной аутентификации с использованием биометрических данных пользователя (вход в систему по отпечаткам пальцев, смарт-карте и пин-коду).

Diamond ACS поддерживает Windows и Linux. Diamond ACS также может применяться в системах терминального доступа, построенных на базе терминальных служб Microsoft RDS и программного обеспечения Citrix (функционирующего на базе протокола ICA).

Комплекс обеспечивает возможность совместной работы со следующими СЗИ и СКЗИ:

• по части обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений — Diamond VPN/FW,
• для хранения ключевой и идентифицирующей информации — JaCarta (производства ЗАО «Аладдин Р.Д.»).

Подробнее с продуктом можно ознакомиться на сайте разработчика.

Выводы

Мы рассмотрели российский рынок сертифицированных средств защиты информации от несанкционированного доступа для конечных точек, рассказали, каким требованиям должны соответствовать СЗИ от НСД, а также обозначили основных игроков российского рынка СЗИ от НСД.

Основным драйвером рынка сертифицированных СЗИ от НСД является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации (защита персональных данных, защита государственных информационных систем, защита государственной тайны).

Хотя изначально СЗИ от НСД создавались применительно к решению задач усиления встроенных в операционные системы механизмов защиты, современные продукты этого класса эволюционируют в сторону комплексной защиты конечных точек сети от внешних и внутренних угроз, где функциональность СЗИ от НСД является лишь одной из составляющих.

К наиболее популярным в России продуктам можно отнести Secret Net Studio, «Аккорд», Dallas Lock, «Блокхост-сеть», Diamond ACS, «Панцирь», «Страж NT», «Аура» и «Фантом».

Среди комплексных решений для защиты автоматизированных рабочих мест и серверов можно выделить продукты Dallas Lock ЦЗИ «Конфидент» и Secret Net Studio компании «Код Безопасности». Помимо стандартных функций СЗИ от НСД у этих решений есть персональный межсетевой экран, система обнаружения вторжений. Secret Net Studio включает антивирусный модуль на базе антивирусного ядра ESET, а также планируется интеграция с Kaspersky Anti-Virus.

О плюсах и минусах рассмотренных систем в данном обзоре говорить не будем. Чтобы подробно разобраться в преимуществах той или иной системы, в дальнейшем мы проведем детальное сравнение сертифицированных СЗИ от НСД.

Средства защиты информации и где дёготь

Предисловие

Приветствую уважаемых хабравчан.
На Хабрахабре достаточно редки упоминания средств защиты информации (СЗИ) от несанкционированного доступа (НСД), если верить поиску. Например, по запросу Dallas я получил 26 топиков и 2 вопроса, из всего этого только один топик упоминал именно СЗИ от НСД Dallas Lock питерской фирмы ООО «КОНФИДЕНТ». По другим средствам картина похожая. В данном посте я бы хотел поделиться опытом применения таких средств и наиболее частым ошибкам/непониманиям при работе с ними.

Основные инструменты

В нашей компании клиентам предлагается три варианта программно-аппаратных средств защиты информации:

• Secret Net от компании «Код безопасности»
• Страж NT от НПЦ «Модуль»
• Ранее упомянутый Dallas Lock

Все продукты примерно равны по характеристикам (особенно с появлением в версии 7.7 Dallas Lock’а контроля USB-устройств), вопрос о применении конкретного средства решается либо на основе возможности установки в целевую систему, либо на основе уровня взаимоотношений с поставщиками.

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но

не работало

было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение

Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко

получается пощупать

используются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net’а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы

Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство

спасет отца русской демократии

поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.

Начнем.

Secret Net

Фаворит — он везде фаворит

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе

всегда

несекретными, а файлы — с

текущим

уровнем секретности сессии, который можно проверить во всплывающем окошке:

Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом

не выше

грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.

Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:

В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:

Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:

И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT

Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock

Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock’а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

Послесловие

Надеюсь данный пост окажется полезным для сообщества или просто познавательным. Спасибо за внимание!

Разграничение доступа пользователей в ОС Windows. ПАК СЗИ НСД «Аккорд-Win64» (1/11)

Общие сведения о комплексе

Здравствуйте!

В данной лекции мы поговорим о разграничении доступа пользователей в операционной системе Windows с использованием программно-аппаратного комплекса защиты информации от НСД «Аккорд-Win64» производства компании ОКБ САПР. Мы рассмотрим его назначение, состав, технические требования и организационные меры, необходимые для применения комплекса, а также поговорим об особенностях защитных функций данного комплекса.

Итак, программно-аппаратный комплекс СЗИ от НСД «Аккорд-Win64» (далее для краткости будем его называть комплекс «Аккорд») предназначен для применения на СВТ, функционирующих под управлением 64-х битных ОС Windows с целью обеспечения защиты от несанкционированного доступа к СВТ и АС на их основе при многопользовательском режиме эксплуатации. Поддерживаются все на данный момент существующие 64-х битные операционные системы, их перечень приведен на слайде. По мере выхода новых ОС добавляется также их поддержка. Обращу внимание, что для 32-х битных ОС есть аналогичный комплекс СЗИ от НСД «Аккорд-Win32», он поддерживает все существующие в настоящее время 32-х битные операционные системы. И все рассмотренное далее распространяется также и на него.

Комплекс «Аккорд-Win64» включает в себя аппаратные и программные средства:

• программно-аппаратный комплекс СЗИ НСД «Аккорд-АМДЗ», который мы подробно рассматривали на прошлых трех лекциях. Кратко повторю, что в него входит:
  • одноплатный контроллер, устанавливаемый в свободный слот материнской платы СВТ;
  • съемник информации с контактным устройством, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя;
  • персональные идентификаторы пользователя;
  • программные средства – встраиваемое программное обеспечение;
  • служебные (сервисные) программы комплекса.
• также в комплекс входит специальное программное обеспечение разграничения доступа в среде операционных систем Windows — СПО «Аккорд-Win64». Это программное обеспечение состоит из:
  • ядра защиты – то есть программ, реализующих защитные функции комплекса;
  • программ управления защитными функциями комплекса, то есть программ настройки комплекса в соответствии с ПРД;

Для установки комплекса «Аккорд» требуется следующий минимальный состав технических и программных средств:

• установленная на СВТ 64-х битная операционная система из перечня поддерживаемых ОС;
• наличие CD ROM для установки СПО разграничения доступа;
• наличие USB-разъема. Он необходим в случае использования в качестве идентификатора устройства с USB-интерфейсом или устройств, использующих USB-интерфейс для подключения их считывателей.
• наличие считывателя смарт-карт. Он необходим в случае использования смарт-карт в качестве идентификатора;
• объем дискового пространства для установки СПО разграничения доступа должен быть не менее 11 Мб;
• необходимо наличие соответствующего свободного слота на материнской плате СВТ для установки контроллера комплекса «Аккорд-АМДЗ».

Теперь рассмотрим организационные меры, необходимые для применения комплекса.

Для эффективного применения средств защиты комплекса и для того чтобы поддерживать необходимый уровень защищенности СВТ и информационных ресурсов автоматизированной системы (АС) необходимы:

• наличие администратора безопасности информации (супервизора). Это привилегированный пользователь, имеющий особый статус и абсолютные полномочия. Администратор БИ планирует защиту информации на предприятии, определяет права доступа пользователям в соответствии с утвержденным Планом защиты, организует установку комплекса в СВТ, эксплуатацию и контроль за правильным использованием СВТ с внедренным комплексом «Аккорд», в том числе, ведет учет выданных Идентификаторов. Также он осуществляет периодическое тестирование средств защиты комплекса. Более подробно обязанности администратора БИ по применению комплекса можно прочитать в методических материалах к лекции – «Руководстве администратора» на комплекс.
• также необходимы разработка и ведение учетной и объектовой документации (инструкция администратора, инструкции пользователей, журнал учета идентификаторов и отчуждаемых носителей пользователей и др.). Все разработанные учетные и объектовые документы должны быть согласованы, утверждены у руководства и доведены до сотрудников (пользователей). Это необходимо для того, чтобы План защиты организации (предприятия, фирмы и т.д.) и действия Администратора БИ получили юридическую основу;
• помимо этого требуется физическая охрана СВТ и его средств, в том числе проведение мероприятий по недопущению изъятия контроллера комплекса;
• следующая организационная мера — использование в СВТ технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в государственной системе защиты информации (ГСЗИ);
• и последняя мера — запрет на использование в СВТ любых сторонних служб и протоколов, позволяющих осуществить удаленный доступ к подконтрольным объектам (Telnet, SSH, TeamView и т.д.).

Теперь давайте поговорим об особенностях защитных функций комплекса.

Защитные функции комплекса реализуются при помощи следующего:

1. защиты от НСД СВТ, которая включает:
   • идентификацию пользователя по уникальному Идентификатору;
   • аутентификацию с учетом необходимой длины пароля и времени его жизни;
   • аппаратный (до загрузки ОС) контроль целостности технических средств СВТ, программ и данных на жестком диске (в том числе системных областей диска и модулей программной части комплекса);
   • ограничение времени доступа субъекта к СВТ в соответствии с установленным режимом работы пользователей;
   • блокировку несанкционированной загрузки СВТ с отчуждаемых носителей (FDD, CD-ROM, ZIP-drive, USB-disk и др.).
2. следующая защитная функция — это блокирование экрана и клавиатуры по команде пользователя или по истечению установленного интервала «неактивности» пользователя;
3. следующая возможность — разграничение доступа к локальным и сетевым ресурсам СВТ в соответствии с установленными ПРД и определяемыми атрибутами доступа, которые устанавливаются администратором БИ. Комплекс позволяет администратору использовать как дискреционный, так и мандатный методы контроля;
4. далее — это управление процедурами ввода/вывода на отчуждаемые носители информации. Дополнительно для каждого пользователя контролируется список разрешённых USB-устройств и SD карт в соответствии с их уникальными идентификационными номерами;
5. следующее — это контроль доступа к любому устройству, или классу устройств, доступных в «Диспетчере устройств» Windows, в том числе последовательных и параллельных портов, устройств PCMCI, IEEE 1394, WiFi, Bluetooth и так далее;
6. помимо контроля доступа к устройствам – есть еще возможность гарантированной очистки оперативной памяти и остаточной информации на жестких дисках и внешних носителях;
7. следующая возможность – это контроль вывода на печать документов из любых программ и программных пакетов и автоматическая маркировка печатных листов специальными пометками, грифами и т.д. Процесс печати протоколируется в отдельном журнале (создаётся учетная карточка документа);
8. помимо этого возможно осуществление регистрации контролируемых событий, в том числе несанкционированных действий пользователей, в системном журнале, доступ к которому предоставляется только Администратору БИ;
9. также есть возможность защиты от НСД систем терминального доступа, функционирующих на базе терминальных служб сетевых операционных систем Windows и программного обеспечения компании Citrix Systems для терминальных серверов;
10. следующая возможность — контроль целостности критичных с точки зрения информационной безопасности программ и данных (дисциплины защиты от несанкционированных модификаций). Кроме процедур, выполняемых контроллером комплекса, в программной части комплекса возможна проверка целостности программ и данных по индивидуальному списку для отдельного пользователя, или группы пользователей — статический и динамический контроль целостности.
11. имеется возможность функционального замыкания информационных систем, т.е. создания изолированной программной среды за счет использования защитных механизмов комплекса;
12. так же есть возможность встраивания или совместного использования других средств защиты информации, в том числе криптографических;
13. и последнее — защитные функции комплекса реализуются при помощи других механизмов защиты в соответствии с требованиями нормативных документов по безопасности информации;

В комплексе «Аккорд» используются и некоторые дополнительные механизмы защиты от НСД к СВТ. Так, в частности, для пользователя администратор БИ может установить, время жизни пароля и его минимальную длину, временные ограничения использования СВТ; параметры управления экраном – гашение экрана через заранее определенный интервал времени, подачу соответствующих звуковых и визуальных сигналов при попытках несанкционированного доступа к СВТ и к их ресурсам.

Итак, в данной лекции мы поговорили о назначении, составе комплекса разграничения доступа «Аккорд-Win64», рассмотрели технические требования и организационные меры, необходимые для применения этого комплекса и особенности его защитных функций. На следующей лекции мы поговорим о том, как строится система защиты информации на основе рассмотренного комплекса.

Спасибо за внимание, до встречи на следующей лекции!