|

Средства защиты от НСД - обеспечивают защиту информации, хранимой и обрабатываемой на персональных компьютерах, рабочих станциях и серверах локальных и территориально распределенных сетей. Средства защиты от НСД предназначены для использования в системах различного уровня конфиденциальности. Основная задача средств защиты от НСД - идентификация и аутентификация пользователей, позволяющая регламентировать доступ к защищаемым информационным ресурсам.
Основными характеристиками средств защиты от НСД являются:
- степень полноты охвата и качества системы разграничения доступа;
- состав и качество обеспечивающих средств системы разграничения доступа;
- гарантии и правильность функционирования системы разграничения доступа и обеспечивающих ее средств.
- оперативную замену вышедших из строя технических средств.
Для надежной защиты информации в локальных сетях организации необходима единая система управления безопасностью, объединяющая различные средства защиты от несанкционированного доступа и обеспечивающая оперативный контроль защищенности ресурсов.
Secret Net 6 – это система защиты информации на серверах и рабочих станциях от несанкционированного доступа. Функционирует под управлением ОС семейства MS Windows (Vista, 2000, XP и 2003).
Что нового в версии 6?
- Два варианта исполнения в зависимости от класса автоматизированных систем: Secret Net 6 для АС 1Б, Secret Net 6 (вариант К) для АС 1Г.
- Secret Net 6 (вариант К) может применяться в ИСПДн К1 без использования дополнительных средств защиты от загрузки с внешних носителей (в зависимости от модели угроз).
- Расширен список операционных систем, добавлена поддержка 64-битных платформ.
- Упрощен аудит безопасности за счет реализации возможности групповых операций с журналами. В программе управления отображаются зарегистрированные журналы от нескольких компьютеров по различным критериям событий безопасности.
- Улучшена информативность программы оперативного управления ("Монитор") – реализована возможность отображения состояния защитных подсистем на клиентских рабочих станциях.
- Добавлена поддержка персональных идентификаторов Rutoken, USB-ключи eToken PRO (Java), смарт-карты eToken PRO (Java), смарт-карты eToken PRO.
- Исключено шифрование данных.

Сертификаты
Наличие необходимых сертификатов ФСТЭК обеспечивает возможность использования Secret Net 6 для защиты автоматизированных систем до уровня 1Б включительно и информационных систем обработки персональных данных до 1 класса включительно.
Назначение СЗИ Secret Net
Secret Net предназначен для защиты информации, составляющей коммерческую или государственную тайну, или относящейся к персональным данным.
Приведение автоматизированных систем в соответствие законодательным требованиям и существенное упрощение процесса аттестации;
Снижение рисков за счет системы защиты от внутренних угроз;
Контроль и мониторинг при обработке персональных данных позволяет повысить уровень автоматизации и сократить затраты, связанные с административными мероприятиями по безопасности.
Возможности СЗИ Secret Net
- Аутентификация пользователей.
- Обеспечение разграничения доступа к защищаемой информации и устройствам.
- Доверенная информационная среда.
- Контроль каналов распространения конфиденциальной информации.
- Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
- Централизованное управление политиками безопасности, позволяет оперативно реагировать на события НСД.
- Оперативный мониторинг и аудит безопасности.
- Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.
Варианты СЗИ Secret Net
Разные варианты Secret Net, предназначенные для решения различных задач, позволяют построить эффективную систему защиты информации от НСД в соответствии с потребностями бизнеса:
Secret Net 6 – это комплексное решение, сочетающее в себе необходимые возможности по защите информации, средства централизованного управления, средства оперативного реагирования и возможность мониторинга безопасности информационной системы в реальном времени.
Тесная интеграция защитных механизмов Secret Net с механизмами управления сетевой инфраструктурой, повышает защищенность информационной системы компании в целом.
Разграничение доступа
-
Усиленная идентификация и аутентификация пользователей
Система Secret Net 6 совместно с ОС Windows обеспечивает идентификацию и аутентификацию пользователя с помощью программно-аппаратных средств при его входе в систему. В качестве устройств для ввода в нее идентификационных признаков могут быть использованы:
-
Управление доступом пользователей к конфиденциальным данным
Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: "Не конфиденциально”, "Конфиденциально”, "Строго конфиденциально”, а каждому пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.
-
Разграничение доступа к устройствам
Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить, либо разрешить пользователям работу с любыми портами \ устройствами. Разграничивается доступ к следующим портам/устройствам:
- последовательные и параллельные порты;
- сменные, логические и оптические диски;
- USB-порты.
Поддерживается контроль подключения устройств на шинах USB, PCMCIA, IEEE1394 по типу и серийному номеру, права доступа на эти устройства задаются не только для отдельных пользователей, но и для групп пользователей. Также существует возможность запретить использование сетевых интерфейсов — Ethernet, 1394 FireWire, Bluetooth, IrDA, WiFi.
Доверенная информационная среда
- Защита от загрузки с внешних носителей
С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съёмных носителей. В качестве аппаратной поддержки система Secret Net 6 использует программно-аппаратный комплекс «Соболь“ и Secret Net Touch Memory Card. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы.
- Замкнутая программная среда
Для каждого пользователя компьютера формируется определённый перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, «червей“ и шпионского ПО, а также использования ПК в качестве игровой приставки.
- Контроль целостности
Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием. Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:
- регистрация события в журнале Secret Net;
- блокировка компьютера;
- восстановление повреждённой/модифицированной информации;
- отклонение или принятие изменений.
- Контроль аппаратной конфигурации компьютера
Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирования на эти изменения. Предусмотрено два вида реакций:
- регистрация события в журнале Secret Net;
- блокировка компьютера.
- Функциональный самоконтроль подсистем
Самоконтроль производится перед входом пользователя в систему и предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 6 загружены и функционируют.
Защита информации в процессе хранения
- Шифрование файлов
Предназначено для усиления защищенности информационных ресурсов компьютера. В системе Secret Net 6 управление шифрованием файлов и доступ к зашифрованным файлам осуществляется на уровне каталога. Пользователь, создавший зашифрованный ресурс, является его владельцем, он может пользоваться им не только индивидуально, но и предоставлять доступ к этому ресурсу другим пользователям. Шифрование файлов производится по алгоритму ГОСТ 28147–89.
- Контроль печати конфиденциальной информации.
Печать осуществляется под контролем системы защиты. При разрешённом выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Факт печати отображается в журнале защиты Secret Net 6.
- Гарантированное уничтожение данных
Уничтожение достигается путем записи случайной последовательности на место удаленной информации в освобождаемую область диска. Для большей надежности может быть выполнено до 10 циклов (проходов) затирания.
- Регистрация событий
Система Secret Net 6 регистрирует все события, происходящие на компьютере: включение \ выключение компьютера, вход \ выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.
Удобство управления и настроек
- Импорт и экспорт параметров
В Secret Net 6 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.
Возможность применения персональных идентификаторов с Secret Net 6
Сетевая версия системы Secret Net 6 обладает всеми возможностями автономной версии, кроме того в нее включены средства централизованного управления, что существенно облегчает работу администратора безопасности.
Автономный вариант системы Secret Net может использоваться для защиты рабочих станций локальной сети. Однако, если количество защищаемых рабочих станций в локальной сети больше 20–25, то целесообразнее использовать сетевой вариант Secret Net.
Система централизованного управления
В качестве хранилища информации в системе централизованного управления используется Active Directory (AD). Для нужд централизованного управления Secret Net 6 схема Active Directory расширяется — создаются новые объекты и изменяются параметры существующих. Для выполнения этих действий используется специальный модуль изменения схемы AD, который устанавливается и запускается на контроллере домена при установке системы централизованного управления. Для приведения параметров работы защитных средств компьютера в соответствие настройкам безопасности Secret Net 6, задаваемым с помощью групповых политик, используется агент Secret Net 6, установленный на каждом сервере или рабочей станции защищаемой сети. Столь тесная интеграция Системы Управления с Active Directory позволяет легко использовать Secret Net 6 для организации защиты сети, использующей многодоменную структуру. Построение защитной системы сети, использующей многодоменную структуру, на основе выделенного сервера безопасности, как это было в системах защиты предыдущего поколения, имело ряд существенных недостатков. Постоянно возникающие проблемы синхронизации данных между контроллером домена и сервером безопасности, завышенные требования к аппаратной части сервера безопасности – всё это значительно затрудняло централизованное управление безопасностью информационной системы. В Secret Net 6 эти проблемы принципиально отсутствуют.
Оперативный мониторинг и аудит
В Secret Net 6 предусмотрена функция оперативного мониторинга и аудита безопасности информационной системы предприятия, которая позволяет решать такие задачи, как:
- Оперативный контроль состояния автоматизированной системы предприятия (получение информация о состоянии рабочих станций и о работающих на них пользователях).
- Централизованный сбор журналов с возможностью оперативного просмотра в любой момент времени, а также хранение и архивирование журналов.
- Оповещение администратора о событиях НСД в режиме реального времени.
- Оперативное реагирование на события НСД — выключение, перезагрузка или блокировка контролируемых компьютеров.
- Ведение журнала НСД.
Система Оперативного управления имеет свою базу данных, в которой хранится вся информация, связанная с работой сервера по обеспечению взаимодействия компонентов, а также журналы, поступающие от агентов. В качестве базы данных используется СУБД Oracle 9i.
Мониторинг
Программа мониторинга устанавливается на рабочем месте администратора оперативного управления — сотрудника, уполномоченного контролировать и оперативно корректировать состояние защищаемых компьютеров в режиме реального времени. С помощью программы мониторинга администратор может управлять сбором журналов с рабочих станций. Предусмотрено два варианта. Первый — сервер оперативного управления собирает журналы по команде администратора. Второй — администратор составляет расписание и передает его серверу, далее сервер собирает журналы в соответствии с этим расписанием. Также предусмотрена возможность создать удобный для администратора вид представления сети – т.н. «срез» (например, по отделам, по территориальному размещению и т.п.), в случае крупной распределённой сети, делегировать другим администраторам выделенные им для управления сегменты сети.
Аудит
В системе Secret Net 6 для проведения аудита используются 4 журнала, три из которых – штатные журналы ОС и одни хранит сведения событий, происходящих в Secret Net 6. Журналы ведутся на каждом защищаемом компьютере сети и хранятся в его локальной базе данных. Сбор журналов осуществляется по команде аудитора или по расписанию. Программа работы с журналами позволяет аудитору просматривать записи журналов и тем самым отслеживать действия пользователей, связанные с безопасностью автоматизированной информационной системы предприятия. В журналах предусмотрена удобная система фильтрации по различным критериям, которая значительно упрощает работу, связанную с поиском и анализом событий. С помощью программы работы с журналами аудитор может выдавать команды серверу на архивацию журналов, а также на восстановление журналов из архива. Предусмотрена возможность просмотра архивов, а также сохранения журнала в файл для последующей передачи и анализа записей вне системы Secret Net 6.
Это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
Защита в соответствии с законодательством
Сертификаты ФСБ и ФСТЭК России позволяют использовать «Соболь» для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Б включительно.
Что нового в версии ПАК «Соболь» 3.0
- Разработана новая плата для шины PCI-Express
ПАК «Соболь» 3.0 может быть установлен на компьютеры, оборудованные как шиной PCI (версии 2.0/2..2/2.3 с напряжением питания 5 В или 3,3 В), так и шиной PCI-Express (версии 1.0а и выше). Также плата может быть установлена на серверы, оборудованные шиной PCI-X (3-вольтовый слот).
- Реализована поддержка USB-идентификаторов iKey 2032 и eToken Pro
Использование USB-идентификаторов, позволяет осуществлять не только двухфакторную, но и трёхфакторную аутентификацию пользователей.
- Программное обеспечение комплекса функционирует в среде 32- и 64-разрядных операционных систем
ПАК «Соболь» 3.0 может функционировать в системах Windows Vista и Windows Server 2008.
- Функционирует в среде МСВС 3.0 и Linux XP
ПАК «Соболь» 3.0 способен защищать информацию от несанкционированного доступа в среде ОС МСВС 3.0 и Linux XP Secure Edition.
- Совместим с СКЗИ «КриптоПро CSP»
ПАК «Соболь» 3.0 совместим с версиями 2.х (32-разрядный вариант) и 3.х (32- и 64-разрядный варианты).
- Программа управления шаблонами контроля целостности
Разработан новый модуль «управления шаблонами контроля целостности», в котором были решены все проблемы, встречающиеся в прошлой версии, в том числе проблема с отображением цвета фона и текста для несуществующих ресурсов и проблема с некорректным завершением в случае выхода из программы
Возможности электронного замка "Соболь"
«Соболь» обладает следующими возможностями:
- Аутентификация пользователей
- Блокировка загрузки ОС со съемных носителей
- Контроль целостности
- Сторожевой таймер
- Регистрация попыток доступа к ПЭВМ
Назначение
Электронный замок «Соболь» может быть использован для того, чтобы:
- Доступ к информации на компьютере получили только те сотрудники, которые имеют на это право.
- В случае повреждения ОС или важных информационных массивов, хранящихся на компьютере, администратор мог вовремя принять меры по восстановлению информации.
Возможности
- Поддержка платы PCI-Express
- Аутентификация пользователей
- iButton
- eToken PRO
- iKey 2032
- Rutoken S
- Rutoken RF S
- Блокировка загрузки ОС со съемных носителей
- После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается.
- Запрет распространяется на всех пользователей компьютера, за исключением администратора.
- Контроль целостности
Используемый в комплексе "Соболь" механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы. Контроль целостности функционирует под управлением операционных систем, использующих следующие файловые системы: NTFS5, NTFS, FAT32, FAT16 и FAT12.Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов.Электронный замок «Соболь» обеспечивает запрет загрузки операционной системы со съемных носителей на аппаратном уровне для всех пользователей компьютера, кроме администратора.
- Для этого вычисляются некоторые контрольные значения проверяемых объектов и сравниваются с ранее рассчитанными для каждого из этих объектов эталонными значениями.
- Формирование списка подлежащих контролю объектов с указанием пути к каждому контролируемому файлу и координат каждого контролируемого сектора производится с помощью программы управления шаблонами контроля целостности.
- Сторожевой таймер
Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса "Соболь".
- Регистрация попыток доступа к ПЭВМ
Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Таким образом, электронный замок «Соболь» предоставляет администратору информацию обо всех попытках доступа к ПЭВМ. В системном журнале фиксируются следующие события:
- Факт входа пользователя и имя пользователя;
- Предъявление незарегистрированного идентификатора пользователя;
- Введение неправильного пароля;
- Превышение числа попыток входа в систему;
- Число и дата НСД.
Поддержка операционных систем |
Поддержка файловых систем |
- Windows Seven
- Windows Server 2008 / Server 2008 x64 Edition;
- Windows Vista (Enterprise, Business, Ultimate) / Vista Business x64 Edition;
- Windows Server 2003 / Server 2003 x64 Edition / Server 2003 R2 /
- Server 2003 R2 x64 Edition;
- Windows XP Professional / XP Professional x64 Edition;
- Windows 2000 / 2000 Server;
- FreeBSD версии 5.3, 6.2, 6.3 или 7.2;
- Trustverse Linux XP Desktop 2008 Secure Edition;
- МСВС 3.0
Поддержка операционных систем windows как 32х так и 64х Bit. |
- NTFS,
- FAT 32,
- FAT 16,
- UFS,
- EXT3,
- EXT2
|
Достоинства электронного замка "Соболь"
- Наличие сертификатов ФСБ и ФСТЭК России
- Защита информации, составляющей государственную тайну
- Помощь в построении прикладных криптографических приложений
- Простота в установке, настройке и эксплуатации
- Поддержка 64х битных операционных систем Windows
- Поддержка идентификаторов iKey 2032, eToken PRO и Rutoken v.2.0
Средство защиты информации от несанкционированного доступа
Система Security Studio предназначена для защиты информации, составляющей коммерческую тайну, и персональных данных.
Назначение системы Security Studio
Внедрение Security Studio позволяет решить основные задачи, возникающие, когда необходимо защитить конфиденциальную информацию и подтвердить легитимность этой защиты (пройти аттестацию):
- Эффективно бороться с внутренними нарушителями;
- Разграничить доступ к конфиденциальной информации;
- Контролировать каналы распространения конфиденциальной информации;
- Упростить процесс аттестации автоматизированной системы организации.
Ключевые возможности СЗИ Security Studio
- Контроль входа пользователей в систему с использованием электронных идентификаторов на базе USB-ключей eToken PRO.
- Усиленная аутентификация пользователей.
- Разграничение и управление доступом к устройствам компьютера:
- Локальные устройства (диски, порты т.д.)
- USB
- PCMCIA
- IEEE1394
- Secure Digital
- Контроль (неизменности) аппаратной конфигурации компьютера.
- Разграничение доступа пользователей к конфиденциальным данным.
- Полномочное разграничение доступа.
- Контроль вывода данных на печать.
- Контроль целостности защищаемых ресурсов компьютера.
- Контроль целостности (при запуске, работе) конфигурации настроек сетевого оборудования Cisco, сравнение с эталонной конфигурацией (регистрация изменений в журнале).
- Контроль создания файлов по расширениям.
- Функциональный контроль ключевых компонентов системы защиты.
- Автоматическое уничтожение содержимого файлов при их удалении пользователем.
- Регистрация событий, связанных с информационной безопасностью.
- Возможность оповещения по электронной почте о событиях НСД.
- Мониторинг защищаемых компьютеров.
- Централизованное оперативное управление (выдача команд оперативного управления) защищаемых компьютеров, возможность использования нескольких средств оперативного управления.
- Централизованное управление параметрами защищаемых компьютеров с применением групповых политик безопасности.
- Централизованный сбор и хранение журналов безопасности, архивирование журналов.
- Аудит безопасности, формирование отчетов.
- Возможность развертывания серверов мониторинга с иерархией подчиненности (возможность применения в многоуровневом domain tree).
- Автоматическая синхронизация учетных записей пользователей с серверами Active Directory.
- Делегирование административных полномочий.
- Импорт и экспорт параметров настройки для быстрой конфигурации СЗИ.
Защита в соответствии с законодательством
Наличие сертификатов ФСТЭК обеспечивает возможность использования СЗИ Security Studio для защиты конфиденциальной информации в полном соответствии с законодательством РФ.
Достоинства системы Security Studio
- Соответствие требованиям регулирующих документов
СЗИ Security Studio помогает соответствовать требованиям российских и международных законодательных актов и регулирующих документов по защите конфиденциальной информации, коммерческой тайны и персональных данных.
- Наличие инструментов централизованного управления, мониторинга и аудита
Централизованной управление и мониторинг в режиме реального времени позволяют оперативно выявлять любые инциденты безопасности, возникающие при работе пользователей информационной системы.
- Комплексность решения
Имеющийся набор функций позволяет использовать только Security Studio, вместо нескольких решений от разных производителей.
- Модульная система
Организации различного размера могут построить систему необходимого им уровня защищенности и управляемости, за счет возможности лицензирования подходящих модулей.
СЗИ от НСД Страж NТ (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах
(АС) и информационных системах персональных данных (ИСПДн).
СЗИ от НСД Страж NT (версия 3.0) имеет сертификат ФСТЭК России №2145, который удостоверяет, что система защиты информации от НСД Страж NT (версия 3.0) является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.
Среда функционирования |
32-разрядные операционные системы MS Windows 2000 (Server и Professional), MS Windows XP (Professional и Home Edition), MS Windows Server 2003, Windows Vista, Windows Server 2008,Windows 7. |
Реализация |
Программная. Отсутствие аппаратной составляющей исключает необходимость проведения специальных исследований и проверок после установки средств защиты на ПЭВМ, а также дает возможность применения на носимых компьютерах (ноутбуках). |
Варианты применения |
-автономная рабочая станция -рабочая станция в составе ЛВС -сервер |
Сертификат |
Проводятся сертификационные испытания. После окончания сертификационных испытаний СЗИ от НСД Страж NТ (версия 3.0) можно будет использовать для организации защиты информации в АС класса защищенности до 1Б включительно и при создании ИСПДн до 1 класса включительно |
Основные отличия:
- Поддержка современных операционных систем компании Microsoft.
Добавлена поддержка 32-хразрядных операционных систем Windows Vista, Windows Server 2008, Windows 7.
- Подсистема контроля устройств.
Возможность контроля устройств, подключенных к компьютеру, путём задания дескрипторов безопасности для групп однотипных устройств.
- Подсистема преобразования информации на отчуждаемых носителях.
Дополнительный механизм защиты съемных носителей (дискет и флэш-накопителей) путем прозрачного преобразования всей информации, записываемой на носитель. Преобразование информации осуществляется с применением функции гаммирования с обратной связью алгоритма криптографического преобразования ГОСТ 28147-89.
- Подсистема создания и применения шаблонов настроек.
Новый механизм, предназначенный для облегчения настройки СЗИ. Механизм позволяет создавать списки настроек и свободно тиражировать их на другие компьютеры.
- Поддержка в качестве персональных идентификаторов USB-ключей Rutoken и флэш-накопителей.
Помимо уже используемых ранее гибких магнитных дисков, идентификаторов iButton, USB-ключей eToken и Guardant ID, в новой версии реализована поддержка ключей Rutoken. Дополнительно реализована возможность использования в качестве идентификаторов пользователей флэш-накопителей.
- Подсистема учёта носителей информации.
Полностью переработана подсистема работы с носителями информации. В новой версии существует возможность регистрировать как отчуждаемые носители, так и отдельные тома жестких дисков.
- Подсистема регистрации.
Все события СЗИ доступны для просмотра из одной программы. Усовершенствованы функции сортировки и поиска отдельных событий СЗИ.
- Подсистема маркировки и учёта документов, выдаваемых на печать.
Новая программа настройки маркировки документов позволяет более гибко задавать состав и порядок служебной информации, выводимой на печать.
- Подсистема управления пользователями.
Добавлены новые функции работы с идентификаторами и возможность редактировать пользователей на удалённых рабочих станциях.
- Подсистема настройки системы защиты.
Настройка системы защиты реализована в виде единого центра настройки.
СЗИ от НСД Страж NТ (версия 2.5) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн).
СЗИ от НСД Страж NT (версия 2.5) имеет сертификат ФСТЭК России №1260, который удостоверяет, что система защиты информации от НСД Страж NT (версия 2.5) является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.
Среда функционирования |
32-разрядные операционные системы MS Windows NT 4.0 (Server и Workstation), MS Windows 2000 (Server и Professional), MS Windows XP (Professional и Home Edition), MS Windows Server 2003. |
Реализация |
Программная. Отсутствие аппаратной составляющей исключает необходимость проведения специальных исследований и проверок после установки средств защиты на ПЭВМ, а также дает возможность применения на носимых компьютерах (ноутбуках). |
Варианты применения |
-автономная рабочая станция -рабочая станция в составе ЛВС -сервер |
Сертификат |
Сертификат ФСТЭК России №1260. Позволяет использовать СЗИ от НСД Страж NТ (версия 2.5) для организации защиты информации в АС класса защищенности до 1Б включительно и при создании ИСПДн до 1 класса включительно. |
Возможности:
- вход в систему пользователей только при предъявлении ими специального идентификатора (дискеты, iButton или USB-ключа типа eToken и GuardantID) и ввода пароля.
- возможность идентификации пользователей без перезагрузки ОС при использовании однотипных идентификаторов.
- избирательное разграничение доступа пользователей к защищаемым ресурсам (дискам, каталогам, файлам и др.).
- разграничение доступа пользователей к информации различных уровней конфиденциальности в соответствии с имеющимися у них допусками.
- возможность изменения наименований меток конфиденциальности.
- управление запуском и поддержка мандатного принципа контроля доступа для DOS-приложений и консольных приложений Win32.
- управление и настройка механизмов защиты как локально, так и удаленно.
- упрощенная схема настройки программных средств для работы с защищаемыми ресурсами, в том числе упрощенная настройка принтеров для печати защищаемых документов.
- регистрация широкого перечня событий безопасности, ведение дополнительных журналов аудита.
- создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешенных приложений.
- контроль целостности защищаемых ресурсов, обеспечивающий защиту от несанкционированного внесения изменений в программную среду автоматизированной системы.
- возможность гарантированной очистки содержимого всех файлов на локальных жестких дисках при их удалении.
- регистрация выдаваемых на печать документов с их автоматической маркировкой в соответствии с заданными требованиями.
- возможность запуска хранителя экрана, блокировка рабочей станции при удалении USB-ключа или при предъявлении iButton.
- создание и удаление пользователей, удаление (добавление) их из (в) групп(ы).
- наличие средств тестирования работоспособности СЗИ, в том числе возможность одновременного тестирования СЗИ на нескольких компьютерах в сети.
- возможность применения шаблонов настроек программных средств.
- наличие встроенных в программу управления СЗИ сервисных функций по настройке СЗИ.
Преимущества:
- отечественное средство защиты информации от НСД, разработанное в соответствии с требованиями нормативных документов.
- простота и понятность процессов установки и настройки системы.
- независимость от типа файловой системы.
- полная прозрачность для пользователя, недоступные пользователю ресурсы становятся невидимыми.
- возможность одновременной работы с документами разных уровней конфиденциальности.
- регистрация печати и маркировка документов независимо от пользователя и приложения, осуществляющего печать.
- гибкая настройка сложных программных комплексов.
- многоуровневый контроль целостности и автоматическое восстановление системы защиты при сбоях.
- включаемый механизм очистки файла подкачки страниц при завершении работы (перезагрузке) компьютера.
- поддержка более широкого перечня прикладного программного обеспечения.
- отсутствие аппаратной составляющей, что исключает необходимость проведения специальных исследова
ний и проверок после установки средств защиты на ПЭВМ, а также дает возможность применения на носимых компьютерах (ноутбуках).
КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 собственными средствами реализует все технические требования, регламентируемые для АС класса защищенности 1Г.
Для шифрования данных в КСЗИ реализована возможность подключения криптопровайдеров «Signal-COM CSP» (ЗАО «Сигнал КОМ») и «КриптоПро CSP 3.0» (ООО «Крипто-Про»), сертифицированных ФСБ России по требованиям безопасности информации к классам «КС1» и «КC2».
Назначение и состав КСЗИ
Система предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе корпоративной сети. КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС.
КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействия атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве).
КСЗИ также может использоваться для эффективного противодействия вирусным атакам и шпионским программам.
В части дополнительной защиты конфиденциальности информации в КСЗИ реализованы возможности гарантированного удаления остаточной информации и шифрования данных "на лету" (шифрование файлов и дисков, локальных, съемных, сетевых).
Система реализована программно (опционально может использоваться аппаратная компонента защиты), содержит в своем составе клиентскую и серверную части(для реализации АРМа администратора безопасности в составе сети).
Основные механизмы защиты КСЗИ реализованы в виде системных драйверов. Все возможности защиты, предоставляемые КСЗИ, реализованы собственными средствами (не использованы встроенные механизмы ОС).
Основные механизмы защиты, реализованные в КСЗИ «Панцирь-К»
- Механизмы разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др.;
- Механизм включения в разграничительную политику субъекта "процесс", как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты и противодействующий атакам на расширение привилегий;
- Механизм управления подключением устройств;
- Механизм обеспечения замкнутости программной среды, позволяющий локализовать среду исполнения для пользователей, в частности противодействующий запуску троянских и шпионских программ;
- Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ;
- Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);
- Механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль олицетворения);
- Механизм противодействия ошибкам и закладкам в системном и в прикладном ПО;
- Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию (в том числе и собственно пользователем, ее обрабатывающим - инсайдером), даже при наличии у похитителя ключа шифрования.
Принципиальные отличительные свойства КСЗИ
- КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 – это оптимальное решение для корпоративного использования! Это единственная на сегодняшний день комплексная система защиты информации, самостоятельно решающая весь спектр задач защиты конфиденциальной информации, что обеспечивает достаточность ее использования в АС класса защищенности 1Г. Данное средство защиты конфиденциальной информации выгодно отличают низкая цена (за счет реализации всех механизмов защиты программным способом) и реализация сетевого решения (с выделенным сервером безопасности для построения АРМа администратора безопасности).
- При реализации КСЗИ внедрены новые технологии защиты информации. На способы и технические решения, реализованные в КСЗИ, получено 11 патентов. Реализация практически каждого механизма защиты КСЗИ оригинальна (запатентована), обладает новыми свойствами, что принципиально отличает КСЗИ от иных СЗИ НСД, представленных на рынке средств защиты информации.
КСЗИ «Панцирь-С» ДЛЯ ОС WINDOWS 2000/XP/2003 сертифицированная по 4 классу СВТ и 3 уровню контроля НДВ, собственными средствами реализует все технические требования, регламентируемые для АС класса защищенности 1В.
Для шифрования данных в КСЗИ реализована возможность подключения криптопровайдеров «Signal-COM CSP» (ЗАО «Сигнал КОМ») и «КриптоПро CSP 3.0» (ООО «Крипто-Про»), сертифицированных ФСБ России по требованиям безопасности информации к классам «КС1» и «КC2».
Назначение и состав КСЗИ
Система предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе сети, а так же для защиты системных ресурсов.
КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС и расширением их функциональных возможностей. КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве). КСЗИ также может использоваться для эффективного противодействия вирусным атакам и вредоносным программам. Система реализована программно, содержит в своем составе клиентскую и серверную части (для реализации АРМа администратора безопасности в составе сети).
Основные механизмы защиты КСЗИ реализованы в виде системных драйверов. Все возможности защиты, предоставляемые КСЗИ, реализованы собственными средствами (не использованы встроенные механизмы ОС).
Основные механизмы защиты, реализованные в КСЗИ «Панцирь-С»
- Механизм мандатного разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам на жестком диске и на внешних накопителях, позволяющий реализовать управление информационными потоками на основе меток конфиденциальности;
- Механизмы дискреционного разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др., позволяющие реализовать ролевую модель доступа к ресурсам;
- Механизм разделения между пользователями файловых объектов, не разделяемых ОС и п
риложениями, позволяющий корректно реализовать управление информационными потоками на основе меток конфиденциальности и ролевую модель доступа к ресурсам;
i>Механизм включения в разграничительную политику субъекта "процесс", как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты, противодействующий атакам на расширение привилегий, атакам на использование вредоносного кода и ошибок в приложениях;
- Механизм управления подключением (монтированием) устройств с учетом их серийных номеров, позволяющий сформировать объект защиты;
- Механизм обеспечения замкнутости программной среды, позволяющий локализовать среду исполнения для пользователей, в частности противодействующий запуску любых вредоносных программ, в том числе, запускаемых инсайдером (санкционированным пользователем);
- Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ;
- Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);
- Механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль сервисов олицетворения);
- Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию (в том числе и собственно пользователем, ее обрабатывающим - инсайдером), даже при наличии у похитителя ключа шифрования;
Принципиальные отличительные свойства
- КСЗИ «Панцирь-С» для ОС Windows 2000/XP/2003 – это система защиты информации, позволяющая в комплексе решать наиболее актуальные задачи защиты информации и системных ресурсов от внутренних и от внешних ИТ-угроз, обеспечивающая достаточность ее набора механизмов защиты для АС класса защищенности 1В;
- При реализации КСЗИ внедрены новые технологии защиты информации. На способы и технические решения, реализованные в КСЗИ, получено 11 патентов. Реализация практически каждого механизма защиты КСЗИ оригинальна (запатентована), обладает новыми свойствами, что принципиально отличает КСЗИ от иных СЗИ НСД, представленных на рынке средств защиты информации.

Система защиты информации "Блокпост - 2000/XP" v.1.0 предназначена для защиты от несанкционированного доступа ресурсов рабочей станции в локальной сети или автономного ПК, функционирующих под управлением операционных систем MS Windows 2000/XP. СЗИ "Блокпост - 2000/XP" v.1.0 дополняет стандартные защитные механизмы операционных систем (ОС) MS Windows 2000 и Microsoft Windows XP функциями, обеспечивающими:
- идентификацию пользователей при помощи специальных аппаратных средств (iButton);
- дискреционное и мандатное управление доступом пользователей к информационным ресурсам ПК;
- оперативный контроль за работой пользователей ПК путем регистрации событий, связанных с безопасностью информационной системы (ИС), с помощью средств просмотра и представления зарегистрированной информации;
- контроль целостности программ, используемых пользователями и ОС;
- возможность создания для любого пользователя замкнутой программной среды (списка разрешенных для запуска программ);
- контроль запуска процессов (создание списка запрещенных для запуска программ);
- простоту управления объектами с помощью механизма шаблонов настроек;
- контроль сетевых подключений с помощью встроенного персонального экрана.
Система защиты информации "Блокпост - 2000/XP" v.1.0 имеет сертификаты Гостехкомиссии России по 4 классу для СВТ, 3 уровню исследования на НДВ и может использоваться для защиты информации от несанкционированного доступа в АС по классу 1В включительно.
Сетевая система защиты информации от несанкционированного доступа.
Решения линейки продуктов "Блокпост" предназначены в основном для защиты отдельно взятого локального компьютера, управление политикой безопасности которого не централизовано.
Компания ООО "Газинформсервис" предлагает свою новую разработку для защиты от НСД рабочих станций и серверов в локальной вычислительной сети предприятия - СЗИ НСД "Блокхост-сеть"
СЗИ НСД "Блокхост-сеть" обеспечивает защиту от несанкционированного доступа к информации, содержащейся на:
- Локальном компьютере (без подключения к сети).
- Сетевом компьютере (как в одноранговой, так и в доменной сети).
- Рабочих станциях, объединенных в сеть, с установленной на каждой из них клиентской частью СЗИ "Блокхост-сеть".
СЗИ НСД "Блокхост-сеть" дополняет и усиливает функциональные возможности операционной системы по защите информации.
Серверная часть СЗИ "Блокхост-сеть" обеспечивает централизованную защиту информации:
- Разграничение удаленного доступа пользователей к защищаемой информации, содержащейся на рабочих станциях (объединенных в одноранговую или доменную сеть) на основе мандатного (полномочного) механизма.
- Удаленное администрирование клиентской части СЗИ "Блокхост-сеть" на рабочих станциях (объединенных в одноранговую или доменную сеть).
- Удаленное ведение оперативного контроля.
Клиентская часть СЗИ "Блокхост-сеть" обеспечивает локальную защиту информации, содержащейся на рабочей станции.
Аппаратные средства, функционирующие в составе СЗИ "Блокхост-сеть", (eToken,RuToken, другие USB устройства) позволяют:
- Хранить персональные данные для идентификации и аутентификации.
- Хранить криптографическую информацию.
Программные средства защиты информации, функционирующие в составе СЗИ "Блокхост-сеть", позволяют:
- Обеспечить более надежную защиту входа в систему с помощью аппаратных средств идентификации пользователя.
- Разграничить вход пользователей в систему по времени и дням недели.
- Санкционировать доступ пользователей к ресурсам с помощью дискреционного и мандатного механизмов разграничения доступа.
- Обеспечить контроль информационного обмена с отчуждаемыми физическими носителями информации.
- Обеспечить гарантированное удаление информации.
- Санкционировать работу программ с помощью механизмов разграничения доступа к запуску процессов.
- Осуществлять контроль целостности информации.
- Обеспечить очистку памяти после завершения работы приложений.
- Контролировать вывод информации на печать, осуществлять маркировку документов.
- Осуществлять мониторинг активности пользователей в системе - работу СЗИ в мягком режиме.
- Осуществлять групповое администрирование.
- Разграничить доступ пользователей к сетевым ресурсам.
- Санкционировать доступ пользователей к администрированию СЗИ "Блокхост-сеть".
- Выполнять оперативный контроль за событиями, связанными с безопасностью защищаемой информации.

|
|