Основы информационных и телекоммуникационных технологий. Программно-аппаратное обеспечение

В. Б. Попов

Основы  информационных и телекоммуникационных технологий. Программно-аппаратное обеспечение

Хорев П.Б.

Программно-аппаратная защита информации 
 
 
 

Secret Net 5.0 автономный вариант - система  защиты информации от несанкционированного  доступа нового поколения, которая реализует требования руководящих документов и ГОСТ по защите информации, не ограничивая возможности ОС и прикладного программного обеспечения.  

Достоинства:  

Работает  совместно с ОС Windows, расширяя, дополняя и усиливая стандартные механизмы защиты.

Обеспечивает  разграничение доступа к конфиденциальной информации;

Контролирует  каналы распространения конфиденциальной информации;

Существенно упрощает процесс аттестации автоматизированной системы организации.  

Возможности Secret Net 5.0:

Защитные  механизмы системы можно условно  разделить на следующие группы:  

Авторизация пользователей;

Разграничение доступа;

Защита  информации в процессе хранения;

Контроль  отчуждаемой информации.  

Авторизация пользователей 

Идентификация и аутентификация пользователей. Система Secret Net 5.0 совместно с ОС Windows обеспечивает идентификацию и аутентификацию пользователя с помощью средств аппаратной поддержки при его входе в систему. В качестве аппаратной поддержки система Secret Net 5.0 использует: программно-аппаратный комплекс "Соболь", Secret Net Touch Memory Card. В качестве устройств ввода идентификационных признаков могут быть использованы:  

iButton;

eToken R2;

Proximity Card.  

Защита  от загрузки с внешних носителей. С помощью средств аппаратной поддержки существует возможность запретить обычному пользователю загрузку ОС с внешних съёмных носителей.

Также плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение  определённого времени после  включения питания на плату не было передано управление, она блокирует работу всей системы.

Разграничение доступа 

Полномочное управление доступом. Выполняет функцию  управления доступом пользователей  к конфиденциальной информации. Каждому  пользователю и каждому информационному  ресурсу назначается один их трёх уровней конфиденциальности: “Не конфиденциально”, “Конфиденциально”, “Строго конфиденциально”. Доступ осуществляется по результатам сравнения уровня допуска в соответствии с категорией конфиденциальности, присвоенной информации, и уровнем допуска пользователя к конфиденциальной информации.

Разграничение доступа к устройствам. Обеспечивает разграничение доступа к устройствам  с целью предотвращения несанкционированного копирования информации с защищаемого  компьютера. Разграничивается доступ к следующим портам/устройствам:  

последовательные  и параллельные порты;

сменные, логические и оптические диски.

USB –  порты, IrDA, WiFi – подключения.  

Замкнутая программная среда. Для каждого  пользователя компьютера формируется  определённый перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, "червей" и шпионского ПО.

Защита информации в процессе хранения

Контроль  целостности. Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым  заданным расписанием.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:  

регистрация события в журнале Secret Net;

блокировка  компьютера;

восстановление  повреждённой/модифицированной информации;

отклонение  или принятие изменений.  

Шифрование  файлов. Предназначено для усиления защищённости информационных ресурсов компьютера. В системе Secret Net 5.0 управление шифрованием файлов и доступ к  зашифрованным файлам осуществляется на уровне каталога. Пользователь, создавший зашифрованный ресурс, является его владельцем, он может пользоваться им индивидуально и предоставлять доступ к этому ресурсу другим пользователям. Шифрование файлов производится по алгоритму ГОСТ 28147-89.

Гарантированное уничтожение данных. Уничтожение  достигается путем записи случайной  последовательности на место удаленной  информации в освобождаемую область  диска. Для большей надежности может  быть выполнено несколько циклов (проходов) затирания.

Контроль  аппаратной конфигурации компьютера. Осуществляет своевременное обнаружение  изменений в аппаратной конфигурации компьютера и реагирования на эти  изменения.

Предусмотрено два вида реакций:  

регистрация события в журнале Secret Net;

блокировка компьютера.  

Контроль  над отчуждаемой информацией 

Контроль  печати конфиденциальной информации. Печать осуществляется под контролем  системы защиты. При разрешённом  выводе конфиденциальной информации на печать документы автоматически  маркируются в соответствии с принятыми в организации стандартами. Также факт печати отображается в журнале защиты Secret Net 5.0.

Регистрация событий. Система Secret Net 5.0 регистрирует все события, происходящие на компьютере: включение / выключение компьютера, вход / выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.

Функциональный  самоконтроль подсистем. Самоконтроль производится перед входом пользователя в систему и предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 5.0 загружены и функционируют.

Импорт  и экспорт параметров. В Secret Net 5.0 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.

Secret Net 5.0 мобильный вариант  

Цена: 3 000 руб.

      Secret Net 5.0 мобильный вариант - система  защиты информации от несанкционированного  доступа для мобильных компьютеров.  Она реализует требования руководящих  документов и ГОСТ по защите  информации, не ограничивая возможности ОС и прикладного программного обеспечения.

Secret Net 5.0 мобильный вариант позволяет  защитить конфиденциальную информацию  от несанкционированного доступа  вне зависимости от того, где  и в каком качестве используется  ноутбук – при работе во  внутренней сети организации или в дальней командировке.

Secret Net 5.0 мобильный вариант - это программное  решение, который обеспечивает  защиту мобильных ПК, работающих  под управлением операционных  систем Windows 2000, Windows ХР и Windows 2003.  

Отличительные особенности: 

Работает  совместно с ОС Windows, расширяя, дополняя и усиливая стандартные механизмы  защиты;

Обеспечивает  разграничение доступа к конфиденциальной информации на мобильных ПК;

Контролирует  наиболее критичные каналы распространения  конфиденциальной информации;

Поддерживает  работу с аппаратными идентификаторами eToken;

Обеспечивает  шифрование особо важных сведений;

Сертификат  ФСТЭК No 1119 позволяет применять Secret Net 5.0 (мобильный вариант) для защиты конфиденциальной информации.  
 

Secret Net 5.0 мобильный вариант является, по сути, облегчённой версией Secret Net 5.0 автономный вариант. Основное отличие состоит в отсутствии необходимости применения платы аппаратной поддержки. 
 

Secret Net 5.0 – это система защиты конфиденциальной  информации от несанкционированного доступа, которая функционирует под управлением современных ОС MS Windows 2000, Windows XP и Windows 2003.

Secret Net 5.0 – это комплексное решение,  которое сочетает в себе большой  набор функциональных возможностей  по защите информации, средства централизованного управления настройками защитных механизмов, средства оперативного реагирования на действия инсайдеров и возможность мониторинга безопасности защищаемой информационной системы в режиме реального времени.  

Достоинства решения:

За счёт тесной интеграции собственных защитных механизмов с механизмами управления сетевой инфраструктуры защищаемой сети, Secret Net 5.0 повышает защищенность всей автоматизированной информационной системы  компании в целом:  

Обеспечивает  централизованное управление настройками политики безопасности;

Работает  совместно с ОС Windows, расширяя, дополняя и усиливая стандартные механизмы  защиты;

Осуществляет  мониторинг и аудит политики безопасности в режиме реального времени;

Позволяет оперативно реагировать на события НСД;

Поддерживает  терминальный режим работы пользователей  с рабочей станцией.  

Глубокая  интеграция системы управления Secret Net 5.0 со штатным механизмами управления информационной системой позволяет  избежать постоянно возникающих  проблем синхронизации данных между ИС и выделенным сервером настроек, который имелся в предыдущих версиях системы и часто присутствует в аналогичных системах защиты. 

Основные  возможности:  

Централизованное  управление;

Оперативное реагирование на действия злоумышленников;

Централизованный  просмотр событий безопасности ;

Контроль  вывода конфиденциальной информации на внешние носители;

Аппаратная  идентификация пользователей;

Контроль  целостности файлов;

Разграничение доступа к устройствам (CDDVD, USB, Wi-Fi и т.д.);  

Архитектура построения

Secret Net 5.0 имеет совершенно новую архитектуру  построения, основанную на принципе  глубокой интеграции в стандартные  механизмы управления ОС Windows, что  позволяет полностью избежать  многих проблем, которые присутствовали в предыдущих версиях Secret Net.  

Компоненты Secret Net 5.0 (сетевой вариант)

Secret Net 5.0 (сетевой вариант) состоит из  следующих компонентов: 

1. Клиент Secret Net 5.0;

2.Сервер  Безопасности Secret Net 5.0;

3. Программа  оперативного управления, мониторинга и аудита ("Монитор");