Средства защиты от НСД
Средства защиты от НСД - обеспечивают защиту информации, хранимой и обрабатываемой на персональных компьютерах, рабочих станциях и серверах локальных и территориально распределенных сетей. Средства защиты от НСД предназначены для использования в системах различного уровня конфиденциальности. Основная задача средств защиты от НСД - идентификация и аутентификация пользователей, позволяющая регламентировать доступ к защищаемым информационным ресурсам.
Основными характеристиками средств защиты от НСД являются:
- степень полноты охвата и качества системы разграничения доступа;
- состав и качество обеспечивающих средств системы разграничения доступа;
- гарантии и правильность функционирования системы разграничения доступа и обеспечивающих ее средств.
- оперативную замену вышедших из строя технических средств.
Для надежной защиты информации в локальных сетях организации необходима единая система управления безопасностью, объединяющая различные средства защиты от несанкционированного доступа и обеспечивающая оперативный контроль защищенности ресурсов.
Secret Net 5.1
Что нового в версии 5.1?
- Поддержка ОС Windows Vista
- Поддержка систем терминального доступа
Сертификаты
Наличие необходимых сертификатов ФСТЭК обеспечивает возможность использования Secret Net 5.1 для защиты автоматизированных систем до уровня 1Б включительно и информационных систем обработки персональных данных до 1 класса включительно.
Назначение СЗИ Secret Net
Secret Net предназначен для защиты информации, составляющей коммерческую или государственную тайну, или относящейся к персональным данным.
- Приведение автоматизированных систем в соответствие законодательным требованиям и существенное упрощение процесса аттестации;
- Снижение рисков за счет системы защиты от внутренних угроз;
- Контроль и мониторинг при обработке персональных данных позволяет повысить уровень автоматизации и сократить затраты, связанные с административными мероприятиями по безопасности.
Возможности СЗИ Secret Net
- Обеспечение разграничения доступа к защищаемой информации и устройствам
- Идентификация и аутентификация пользователей
- Доверенная информационная среда
- Централизованное управление политиками безопасности, позволяет оперативно реагировать на события НСД
- Ведение журналов событий, аудит
- Гарантированное уничтожение данных при их удалении пользователем
- Поддерживает терминальные сессии пользователей для платформ Citrix и Microsoft
- Масштабируемая система
Варианты СЗИ Secret Net
Разные варианты Secret Net, предназначенные для решения различных задач, позволяют построить эффективную систему защиты информации от НСД в соответствии с потребностями бизнеса:
Secret Net 5.1 – это комплексное решение, сочетающее в себе необходимые возможности по защите информации, средства централизованного управления, средства оперативного реагирования и возможность мониторинга безопасности информационной системы в реальном времени. Тесная интеграция защитных механизмов Secret Net с механизмами управления сетевой инфраструктурой, повышает защищенность информационной системы компании в целом. Открыть все Скрыть все
Разграничение доступа
- Усиленная идентификация и аутентификация пользователей
Система Secret Net 5.1 совместно с ОС Windows обеспечивает идентификацию и аутентификацию пользователя с помощью программно-аппаратных средств при его входе в систему. В качестве устройств для ввода в нее идентификационных признаков могут быть использованы: - iButton;
- eToken Pro.
- Управление доступом пользователей к конфиденциальным данным
Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: "Не конфиденциально”, "Конфиденциально”, "Строго конфиденциально”, а каждому пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации. - Разграничение доступа к устройствам
Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить, либо разрешить пользователям работу с любыми портами \ устройствами. Разграничивается доступ к следующим портам/устройствам:- последовательные и параллельные порты;
- сменные, логические и оптические диски;
- USB-порты.
Доверенная информационная среда
- Защита от загрузки с внешних носителей
С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съёмных носителей. В качестве аппаратной поддержки система Secret Net 5.1 использует программно-аппаратный комплекс «Соболь“ и Secret Net Touch Memory Card. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы. - Замкнутая программная среда
Для каждого пользователя компьютера формируется определённый перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, «червей“ и шпионского ПО, а также использования ПК в качестве игровой приставки. - Контроль целостности
Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием. Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности: - регистрация события в журнале Secret Net;
- блокировка компьютера;
- восстановление повреждённой/модифицированной информации;
- отклонение или принятие изменений.
- Контроль аппаратной конфигурации компьютера
Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирования на эти изменения. Предусмотрено два вида реакций:- регистрация события в журнале Secret Net;
- блокировка компьютера.
- Функциональный самоконтроль подсистем
Самоконтроль производится перед входом пользователя в систему и предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 5.1 загружены и функционируют.
Защита информации в процессе хранения
- Шифрование файлов
Предназначено для усиления защищенности информационных ресурсов компьютера. В системе Secret Net 5.1 управление шифрованием файлов и доступ к зашифрованным файлам осуществляется на уровне каталога. Пользователь, создавший зашифрованный ресурс, является его владельцем, он может пользоваться им не только индивидуально, но и предоставлять доступ к этому ресурсу другим пользователям. Шифрование файлов производится по алгоритму ГОСТ 28147–89. - Контроль печати конфиденциальной информации.
Печать осуществляется под контролем системы защиты. При разрешённом выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Факт печати отображается в журнале защиты Secret Net 5.1. - Гарантированное уничтожение данных
Уничтожение достигается путем записи случайной последовательности на место удаленной информации в освобождаемую область диска. Для большей надежности может быть выполнено до 10 циклов (проходов) затирания. - Регистрация событий
Система Secret Net 5.1 регистрирует все события, происходящие на компьютере: включение \ выключение компьютера, вход \ выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.
Удобство управления и настроек
- Импорт и экспорт параметров
В Secret Net 5.1 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.
Возможность применения персональных идентификаторов с Secret Net 5.1
Персональный идентификатор | Конфиденциальная информация | Гостайна |
iButton | да | да |
eToken PRO | да | нет |
Сетевая версия системы Secret Net 5.1 обладает всеми возможностями автономной версии, кроме того в нее включены средства централизованного управления, что существенно облегчает работу администратора безопасности.
Автономный вариант системы Secret Net может использоваться для защиты рабочих станций локальной сети. Однако, если количество защищаемых рабочих станций в локальной сети больше 20–25, то целесообразнее использовать сетевой вариант Secret Net.
Система централизованного управления
В качестве хранилища информации в системе централизованного управления используется Active Directory (AD). Для нужд централизованного управления Secret Net 5.1 схема Active Directory расширяется — создаются новые объекты и изменяются параметры существующих. Для выполнения этих действий используется специальный модуль изменения схемы AD, который устанавливается и запускается на контроллере домена при установке системы централизованного управления. Для приведения параметров работы защитных средств компьютера в соответствие настройкам безопасности Secret Net 5.1, задаваемым с помощью групповых политик, используется агент Secret Net 5.1, установленный на каждом сервере или рабочей станции защищаемой сети. Столь тесная интеграция Системы Управления с Active Directory позволяет легко использовать Secret Net 5.0 для организации защиты сети, использующей многодоменную структуру. Построение защитной системы сети, использующей многодоменную структуру, на основе выделенного сервера безопасности, как это было в системах защиты предыдущего поколения, имело ряд существенных недостатков. Постоянно возникающие проблемы синхронизации данных между контроллером домена и сервером безопасности, завышенные требования к аппаратной части сервера безопасности – всё это значительно затрудняло централизованное управление безопасностью информационной системы. В Secret Net 5.1 эти проблемы принципиально отсутствуют.
Оперативный мониторинг и аудит
В Secret Net 5.1 предусмотрена функция оперативного мониторинга и аудита безопасности информационной системы предприятия, которая позволяет решать такие задачи, как:
- Оперативный контроль состояния автоматизированной системы предприятия (получение информация о состоянии рабочих станций и о работающих на них пользователях).
- Централизованный сбор журналов с возможностью оперативного просмотра в любой момент времени, а также хранение и архивирование журналов.
- Оповещение администратора о событиях НСД в режиме реального времени.
- Оперативное реагирование на события НСД — выключение, перезагрузка или блокировка контролируемых компьютеров.
- Ведение журнала НСД.
Система Оперативного управления имеет свою базу данных, в которой хранится вся информация, связанная с работой сервера по обеспечению взаимодействия компонентов, а также журналы, поступающие от агентов.
В качестве базы данных используется СУБД Oracle 9i.
Мониторинг
Программа мониторинга устанавливается на рабочем месте администратора оперативного управления — сотрудника, уполномоченного контролировать и оперативно корректировать состояние защищаемых компьютеров в режиме реального времени. С помощью программы мониторинга администратор может управлять сбором журналов с рабочих станций. Предусмотрено два варианта. Первый — сервер оперативного управления собирает журналы по команде администратора. Второй — администратор составляет расписание и передает его серверу, далее сервер собирает журналы в соответствии с этим расписанием. Также предусмотрена возможность создать удобный для администратора вид представления сети – т.н. «срез» (например, по отделам, по территориальному размещению и т.п.), в случае крупной распределённой сети, делегировать другим администраторам выделенные им для управления сегменты сети.
Аудит
В системе Secret Net 5.1 для проведения аудита используются 4 журнала, три из которых – штатные журналы ОС и одни хранит сведения событий, происходящих в Secret Net 5.1. Журналы ведутся на каждом защищаемом компьютере сети и хранятся в его локальной базе данных. Сбор журналов осуществляется по команде аудитора или по расписанию. Программа работы с журналами позволяет аудитору просматривать записи журналов и тем самым отслеживать действия пользователей, связанные с безопасностью автоматизированной информационной системы предприятия.
В журналах предусмотрена удобная система фильтрации по различным критериям, которая значительно упрощает работу, связанную с поиском и анализом событий. С помощью программы работы с журналами аудитор может выдавать команды серверу на архивацию журналов, а также на восстановление журналов из архива. Предусмотрена возможность просмотра архивов, а также сохранения журнала в файл для последующей передачи и анализа записей вне системы Secret Net 5.1.
Электронный замок «Соболь» - 3.0
Это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
Защита в соответствии с законодательством
Сертификаты ФСБ и ФСТЭК России позволяют использовать «Соболь» для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Б включительно.
Что нового в версии ПАК «Соболь» 3.0
- Разработана новая плата для шины PCI-Express
ПАК «Соболь» 3.0 может быть установлен на компьютеры, оборудованные как шиной PCI (версии 2.0/2..2/2.3 с напряжением питания 5 В или 3,3 В), так и шиной PCI-Express (версии 1.0а и выше). Также плата может быть установлена на серверы, оборудованные шиной PCI-X (3-вольтовый слот). - Реализована поддержка USB-идентификаторов iKey 2032 и eToken Pro
Использование USB-идентификаторов, позволяет осуществлять не только двухфакторную, но и трёхфакторную аутентификацию пользователей. - Программное обеспечение комплекса функционирует в среде 32- и 64-разрядных операционных систем
ПАК «Соболь» 3.0 может функционировать в системах Windows Vista и Windows Server 2008. - Функционирует в среде МСВС 3.0 и Linux XP
ПАК «Соболь» 3.0 способен защищать информацию от несанкционированного доступа в среде ОС МСВС 3.0 и Linux XP Secure Edition. - Совместим с СКЗИ «КриптоПро CSP»
ПАК «Соболь» 3.0 совместим с версиями 2.х (32-разрядный вариант) и 3.х (32- и 64-разрядный варианты). - Программа управления шаблонами контроля целостности
Разработан новый модуль «управления шаблонами контроля целостности», в котором были решены все проблемы, встречающиеся в прошлой версии, в том числе проблема с отображением цвета фона и текста для несуществующих ресурсов и проблема с некорректным завершением в случае выхода из программы
Возможности электронного замка "Соболь"
«Соболь» обладает следующими возможностями:
- Аутентификация пользователей
- Блокировка загрузки ОС со съемных носителей
- Контроль целостности
- Сторожевой таймер
- Регистрация попыток доступа к ПЭВМ
Назначение
Электронный замок «Соболь» может быть использован для того, чтобы:
- Доступ к информации на компьютере получили только те сотрудники, которые имеют на это право.
- В случае повреждения ОС или важных информационных массивов, хранящихся на компьютере, администратор мог вовремя принять меры по восстановлению информации.
Возможности
- Поддержка платы PCI-Express
- Аутентификация пользователей
- iButton
- eToken PRO
- iKey 2032
- Rutoken S
- Rutoken RF S
- Блокировка загрузки ОС со съемных носителей
- После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается.
- Запрет распространяется на всех пользователей компьютера, за исключением администратора.
- Контроль целостности
Используемый в комплексе "Соболь" механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы. Контроль целостности функционирует под управлением операционных систем, использующих следующие файловые системы: NTFS5, NTFS, FAT32, FAT16 и FAT12.Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов.Электронный замок «Соболь» обеспечивает запрет загрузки операционной системы со съемных носителей на аппаратном уровне для всех пользователей компьютера, кроме администратора. - Для этого вычисляются некоторые контрольные значения проверяемых объектов и сравниваются с ранее рассчитанными для каждого из этих объектов эталонными значениями.
- Формирование списка подлежащих контролю объектов с указанием пути к каждому контролируемому файлу и координат каждого контролируемого сектора производится с помощью программы управления шаблонами контроля целостности.
- Сторожевой таймер
Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса "Соболь". - Регистрация попыток доступа к ПЭВМ
Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Таким образом, электронный замок «Соболь» предоставляет администратору информацию обо всех попытках доступа к ПЭВМ. В системном журнале фиксируются следующие события:
- Факт входа пользователя и имя пользователя;
- Предъявление незарегистрированного идентификатора пользователя;
- Введение неправильного пароля;
- Превышение числа попыток входа в систему;
- Число и дата НСД.
Поддержка операционных систем | Поддержка файловых систем |
|
|
Достоинства электронного замка "Соболь"
- Наличие сертификатов ФСБ и ФСТЭК России
- Защита информации, составляющей государственную тайну
- Помощь в построении прикладных криптографических приложений
- Простота в установке, настройке и эксплуатации
- Поддержка 64х битных операционных систем Windows
- Поддержка идентификаторов iKey 2032, eToken PRO и Rutoken v.2.0
СЗИ Security Studio
Средство защиты информации от несанкционированного доступа
Система Security Studio предназначена для защиты информации, составляющей коммерческую тайну, и персональных данных.
Назначение системы Security Studio
Внедрение Security Studio позволяет решить основные задачи, возникающие, когда необходимо защитить конфиденциальную информацию и подтвердить легитимность этой защиты (пройти аттестацию):
- Эффективно бороться с внутренними нарушителями;
- Разграничить доступ к конфиденциальной информации;
- Контролировать каналы распространения конфиденциальной информации;
- Упростить процесс аттестации автоматизированной системы организации.
Ключевые возможности СЗИ Security Studio
- Контроль входа пользователей в систему с использованием электронных идентификаторов на базе USB-ключей eToken PRO.
- Усиленная аутентификация пользователей.
- Разграничение и управление доступом к устройствам компьютера:
- Локальные устройства (диски, порты т.д.)
- USB
- PCMCIA
- IEEE1394
- Secure Digital
- Контроль (неизменности) аппаратной конфигурации компьютера.
- Разграничение доступа пользователей к конфиденциальным данным.
- Полномочное разграничение доступа.
- Контроль вывода данных на печать.
- Контроль целостности защищаемых ресурсов компьютера.
- Контроль целостности (при запуске, работе) конфигурации настроек сетевого оборудования Cisco, сравнение с эталонной конфигурацией (регистрация изменений в журнале).
- Контроль создания файлов по расширениям.
- Функциональный контроль ключевых компонентов системы защиты.
- Автоматическое уничтожение содержимого файлов при их удалении пользователем.
- Регистрация событий, связанных с информационной безопасностью.
- Возможность оповещения по электронной почте о событиях НСД.
- Мониторинг защищаемых компьютеров.
- Централизованное оперативное управление (выдача команд оперативного управления) защищаемых компьютеров, возможность использования нескольких средств оперативного управления.
- Централизованное управление параметрами защищаемых компьютеров с применением групповых политик безопасности.
- Централизованный сбор и хранение журналов безопасности, архивирование журналов.
- Аудит безопасности, формирование отчетов.
- Возможность развертывания серверов мониторинга с иерархией подчиненности (возможность применения в многоуровневом domain tree).
- Автоматическая синхронизация учетных записей пользователей с серверами Active Directory.
- Делегирование административных полномочий.
- Импорт и экспорт параметров настройки для быстрой конфигурации СЗИ.
Защита в соответствии с законодательством
Наличие сертификатов ФСТЭК обеспечивает возможность использования СЗИ Security Studio для защиты конфиденциальной информации в полном соответствии с законодательством РФ.
Достоинства системы Security Studio
- Соответствие требованиям регулирующих документов
СЗИ Security Studio помогает соответствовать требованиям российских и международных законодательных актов и регулирующих документов по защите конфиденциальной информации, коммерческой тайны и персональных данных. - Наличие инструментов централизованного управления, мониторинга и аудита
Централизованной управление и мониторинг в режиме реального времени позволяют оперативно выявлять любые инциденты безопасности, возникающие при работе пользователей информационной системы. - Комплексность решения
Имеющийся набор функций позволяет использовать только Security Studio, вместо нескольких решений от разных производителей. - Модульная система
Организации различного размера могут построить систему необходимого им уровня защищенности и управляемости, за счет возможности лицензирования подходящих модулей.
Страж NT 3.0
СЗИ от НСД Страж NТ (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн).
СЗИ от НСД Страж NT (версия 3.0) имеет сертификат ФСТЭК России №2145, который удостоверяет, что система защиты информации от НСД Страж NT (версия 3.0) является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.
Среда функционирования | 32-разрядные операционные системы MS Windows 2000 (Server и Professional), MS Windows XP (Professional и Home Edition), MS Windows Server 2003, Windows Vista, Windows Server 2008,Windows 7. |
Реализация | Программная. Отсутствие аппаратной составляющей исключает необходимость проведения специальных исследований и проверок после установки средств защиты на ПЭВМ, а также дает возможность применения на носимых компьютерах (ноутбуках). |
Варианты применения | -автономная рабочая станция -рабочая станция в составе ЛВС -сервер |
Сертификат | Проводятся сертификационные испытания. После окончания сертификационных испытаний СЗИ от НСД Страж NТ (версия 3.0) можно будет использовать для организации защиты информации в АС класса защищенности до 1Б включительно и при создании ИСПДн до 1 класса включительно |
Основные отличия:
- Поддержка современных операционных систем компании Microsoft.
Добавлена поддержка 32-хразрядных операционных систем Windows Vista, Windows Server 2008, Windows 7. - Подсистема контроля устройств.
Возможность контроля устройств, подключенных к компьютеру, путём задания дескрипторов безопасности для групп однотипных устройств. - Подсистема преобразования информации на отчуждаемых носителях.
Дополнительный механизм защиты съемных носителей (дискет и флэш-накопителей) путем прозрачного преобразования всей информации, записываемой на носитель. Преобразование информации осуществляется с применением функции гаммирования с обратной связью алгоритма криптографического преобразования ГОСТ 28147-89. - Подсистема создания и применения шаблонов настроек.
Новый механизм, предназначенный для облегчения настройки СЗИ. Механизм позволяет создавать списки настроек и свободно тиражировать их на другие компьютеры. - Поддержка в качестве персональных идентификаторов USB-ключей Rutoken и флэш-накопителей.
Помимо уже используемых ранее гибких магнитных дисков, идентификаторов iButton, USB-ключей eToken и Guardant ID, в новой версии реализована поддержка ключей Rutoken. Дополнительно реализована возможность использования в качестве идентификаторов пользователей флэш-накопителей. - Подсистема учёта носителей информации.
Полностью переработана подсистема работы с носителями информации. В новой версии существует возможность регистрировать как отчуждаемые носители, так и отдельные тома жестких дисков. - Подсистема регистрации.
Все события СЗИ доступны для просмотра из одной программы. Усовершенствованы функции сортировки и поиска отдельных событий СЗИ. - Подсистема маркировки и учёта документов, выдаваемых на печать.
Новая программа настройки маркировки документов позволяет более гибко задавать состав и порядок служебной информации, выводимой на печать. - Подсистема управления пользователями.
Добавлены новые функции работы с идентификаторами и возможность редактировать пользователей на удалённых рабочих станциях. - Подсистема настройки системы защиты.
Настройка системы защиты реализована в виде единого центра настройки.
Страж NT 2.5
СЗИ от НСД Страж NТ (версия 2.5) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн).
СЗИ от НСД Страж NT (версия 2.5) имеет сертификат ФСТЭК России №1260, который удостоверяет, что система защиты информации от НСД Страж NT (версия 2.5) является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.
Среда функционирования | 32-разрядные операционные системы MS Windows NT 4.0 (Server и Workstation), MS Windows 2000 (Server и Professional), MS Windows XP (Professional и Home Edition), MS Windows Server 2003. |
Реализация | Программная. Отсутствие аппаратной составляющей исключает необходимость проведения специальных исследований и проверок после установки средств защиты на ПЭВМ, а также дает возможность применения на носимых компьютерах (ноутбуках). |
Варианты применения | -автономная рабочая станция -рабочая станция в составе ЛВС -сервер |
Сертификат | Сертификат ФСТЭК России №1260. Позволяет использовать СЗИ от НСД Страж NТ (версия 2.5) для организации защиты информации в АС класса защищенности до 1Б включительно и при создании ИСПДн до 1 класса включительно. |
Возможности:
- вход в систему пользователей только при предъявлении ими специального идентификатора (дискеты, iButton или USB-ключа типа eToken и GuardantID) и ввода пароля.
- возможность идентификации пользователей без перезагрузки ОС при использовании однотипных идентификаторов.
- избирательное разграничение доступа пользователей к защищаемым ресурсам (дискам, каталогам, файлам и др.).
- разграничение доступа пользователей к информации различных уровней конфиденциальности в соответствии с имеющимися у них допусками.
- возможность изменения наименований меток конфиденциальности.
- управление запуском и поддержка мандатного принципа контроля доступа для DOS-приложений и консольных приложений Win32.
- управление и настройка механизмов защиты как локально, так и удаленно.
- упрощенная схема настройки программных средств для работы с защищаемыми ресурсами, в том числе упрощенная настройка принтеров для печати защищаемых документов.
- регистрация широкого перечня событий безопасности, ведение дополнительных журналов аудита.
- создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешенных приложений.
- контроль целостности защищаемых ресурсов, обеспечивающий защиту от несанкционированного внесения изменений в программную среду автоматизированной системы.
- возможность гарантированной очистки содержимого всех файлов на локальных жестких дисках при их удалении.
- регистрация выдаваемых на печать документов с их автоматической маркировкой в соответствии с заданными требованиями.
- возможность запуска хранителя экрана, блокировка рабочей станции при удалении USB-ключа или при предъявлении iButton.
- создание и удаление пользователей, удаление (добавление) их из (в) групп(ы).
- наличие средств тестирования работоспособности СЗИ, в том числе возможность одновременного тестирования СЗИ на нескольких компьютерах в сети.
- возможность применения шаблонов настроек программных средств.
- наличие встроенных в программу управления СЗИ сервисных функций по настройке СЗИ.
Преимущества:
- отечественное средство защиты информации от НСД, разработанное в соответствии с требованиями нормативных документов.
- простота и понятность процессов установки и настройки системы.
- независимость от типа файловой системы.
- полная прозрачность для пользователя, недоступные пользователю ресурсы становятся невидимыми.
- возможность одновременной работы с документами разных уровней конфиденциальности.
- регистрация печати и маркировка документов независимо от пользователя и приложения, осуществляющего печать.
- гибкая настройка сложных программных комплексов.
- многоуровневый контроль целостности и автоматическое восстановление системы защиты при сбоях.
- включаемый механизм очистки файла подкачки страниц при завершении работы (перезагрузке) компьютера.
- поддержка более широкого перечня прикладного программного обеспечения.
- отсутствие аппаратной составляющей, что исключает необходимость проведения специальных исследова ний и проверок после установки средств защиты на ПЭВМ, а также дает возможность применения на носимых компьютерах (ноутбуках).
Панцирь-К
КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 собственными средствами реализует все технические требования, регламентируемые для АС класса защищенности 1Г.
Для шифрования данных в КСЗИ реализована возможность подключения криптопровайдеров «Signal-COM CSP» (ЗАО «Сигнал КОМ») и «КриптоПро CSP 3.0» (ООО «Крипто-Про»), сертифицированных ФСБ России по требованиям безопасности информации к классам «КС1» и «КC2».
Назначение и состав КСЗИ
Система предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе корпоративной сети. КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС.
КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействия атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве).
КСЗИ также может использоваться для эффективного противодействия вирусным атакам и шпионским программам.
В части дополнительной защиты конфиденциальности информации в КСЗИ реализованы возможности гарантированного удаления остаточной информации и шифрования данных "на лету" (шифрование файлов и дисков, локальных, съемных, сетевых).
Система реализована программно (опционально может использоваться аппаратная компонента защиты), содержит в своем составе клиентскую и серверную части(для реализации АРМа администратора безопасности в составе сети).
Основные механизмы защиты КСЗИ реализованы в виде системных драйверов. Все возможности защиты, предоставляемые КСЗИ, реализованы собственными средствами (не использованы встроенные механизмы ОС).
Основные механизмы защиты, реализованные в КСЗИ «Панцирь-К»
- Механизмы разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др.;
- Механизм включения в разграничительную политику субъекта "процесс", как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты и противодействующий атакам на расширение привилегий;
- Механизм управления подключением устройств;
- Механизм обеспечения замкнутости программной среды, позволяющий локализовать среду исполнения для пользователей, в частности противодействующий запуску троянских и шпионских программ;
- Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ;
- Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);
- Механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль олицетворения);
- Механизм противодействия ошибкам и закладкам в системном и в прикладном ПО;
- Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию (в том числе и собственно пользователем, ее обрабатывающим - инсайдером), даже при наличии у похитителя ключа шифрования.
Принципиальные отличительные свойства КСЗИ
- КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 – это оптимальное решение для корпоративного использования! Это единственная на сегодняшний день комплексная система защиты информации, самостоятельно решающая весь спектр задач защиты конфиденциальной информации, что обеспечивает достаточность ее использования в АС класса защищенности 1Г. Данное средство защиты конфиденциальной информации выгодно отличают низкая цена (за счет реализации всех механизмов защиты программным способом) и реализация сетевого решения (с выделенным сервером безопасности для построения АРМа администратора безопасности).
- При реализации КСЗИ внедрены новые технологии защиты информации. На способы и технические решения, реализованные в КСЗИ, получено 11 патентов. Реализация практически каждого механизма защиты КСЗИ оригинальна (запатентована), обладает новыми свойствами, что принципиально отличает КСЗИ от иных СЗИ НСД, представленных на рынке средств защиты информации.
Панцирь-С
КСЗИ «Панцирь-С» ДЛЯ ОС WINDOWS 2000/XP/2003 сертифицированная по 4 классу СВТ и 3 уровню контроля НДВ, собственными средствами реализует все технические требования, регламентируемые для АС класса защищенности 1В.
Для шифрования данных в КСЗИ реализована возможность подключения криптопровайдеров «Signal-COM CSP» (ЗАО «Сигнал КОМ») и «КриптоПро CSP 3.0» (ООО «Крипто-Про»), сертифицированных ФСБ России по требованиям безопасности информации к классам «КС1» и «КC2».
Назначение и состав КСЗИ
Система предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе сети, а так же для защиты системных ресурсов.
КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС и расширением их функциональных возможностей. КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве). КСЗИ также может использоваться для эффективного противодействия вирусным атакам и вредоносным программам. Система реализована программно, содержит в своем составе клиентскую и серверную части (для реализации АРМа администратора безопасности в составе сети).
Основные механизмы защиты КСЗИ реализованы в виде системных драйверов. Все возможности защиты, предоставляемые КСЗИ, реализованы собственными средствами (не использованы встроенные механизмы ОС).
Основные механизмы защиты, реализованные в КСЗИ «Панцирь-С»
- Механизм мандатного разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам на жестком диске и на внешних накопителях, позволяющий реализовать управление информационными потоками на основе меток конфиденциальности;
- Механизмы дискреционного разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др., позволяющие реализовать ролевую модель доступа к ресурсам;
- Механизм разделения между пользователями файловых объектов, не разделяемых ОС и п риложениями, позволяющий корректно реализовать управление информационными потоками на основе меток конфиденциальности и ролевую модель доступа к ресурсам; i>Механизм включения в разграничительную политику субъекта "процесс", как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты, противодействующий атакам на расширение привилегий, атакам на использование вредоносного кода и ошибок в приложениях;
- Механизм управления подключением (монтированием) устройств с учетом их серийных номеров, позволяющий сформировать объект защиты;
- Механизм обеспечения замкнутости программной среды, позволяющий локализовать среду исполнения для пользователей, в частности противодействующий запуску любых вредоносных программ, в том числе, запускаемых инсайдером (санкционированным пользователем);
- Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ;
- Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);
- Механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль сервисов олицетворения);
- Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию (в том числе и собственно пользователем, ее обрабатывающим - инсайдером), даже при наличии у похитителя ключа шифрования;
Принципиальные отличительные свойства
- КСЗИ «Панцирь-С» для ОС Windows 2000/XP/2003 – это система защиты информации, позволяющая в комплексе решать наиболее актуальные задачи защиты информации и системных ресурсов от внутренних и от внешних ИТ-угроз, обеспечивающая достаточность ее набора механизмов защиты для АС класса защищенности 1В;
- При реализации КСЗИ внедрены новые технологии защиты информации. На способы и технические решения, реализованные в КСЗИ, получено 11 патентов. Реализация практически каждого механизма защиты КСЗИ оригинальна (запатентована), обладает новыми свойствами, что принципиально отличает КСЗИ от иных СЗИ НСД, представленных на рынке средств защиты информации.
Блокпост-2000/XP
Система защиты информации "Блокпост - 2000/XP" v.1.0 предназначена для защиты от несанкционированного доступа ресурсов рабочей станции в локальной сети или автономного ПК, функционирующих под управлением операционных систем MS Windows 2000/XP. СЗИ "Блокпост - 2000/XP" v.1.0 дополняет стандартные защитные механизмы операционных систем (ОС) MS Windows 2000 и Microsoft Windows XP функциями, обеспечивающими:
- идентификацию пользователей при помощи специальных аппаратных средств (iButton);
- дискреционное и мандатное управление доступом пользователей к информационным ресурсам ПК;
- оперативный контроль за работой пользователей ПК путем регистрации событий, связанных с безопасностью информационной системы (ИС), с помощью средств просмотра и представления зарегистрированной информации;
- контроль целостности программ, используемых пользователями и ОС;
- возможность создания для любого пользователя замкнутой программной среды (списка разрешенных для запуска программ);
- контроль запуска процессов (создание списка запрещенных для запуска программ);
- простоту управления объектами с помощью механизма шаблонов настроек;
- контроль сетевых подключений с помощью встроенного персонального экрана.
Система защиты информации "Блокпост - 2000/XP" v.1.0 имеет сертификаты Гостехкомиссии России по 4 классу для СВТ, 3 уровню исследования на НДВ и может использоваться для защиты информации от несанкционированного доступа в АС по классу 1В включительно.
Блокхост-сеть
Сетевая система защиты информации от несанкционированного доступа.
Решения линейки продуктов "Блокпост" предназначены в основном для защиты отдельно взятого локального компьютера, управление политикой безопасности которого не централизовано.
Компания ООО "Газинформсервис" предлагает свою новую разработку для защиты от НСД рабочих станций и серверов в локальной вычислительной сети предприятия - СЗИ НСД "Блокхост-сеть"
СЗИ НСД "Блокхост-сеть" обеспечивает защиту от несанкционированного доступа к информации, содержащейся на:
- Локальном компьютере (без подключения к сети).
- Сетевом компьютере (как в одноранговой, так и в доменной сети).
- Рабочих станциях, объединенных в сеть, с установленной на каждой из них клиентской частью СЗИ "Блокхост-сеть".
СЗИ НСД "Блокхост-сеть" дополняет и усиливает функциональные возможности операционной системы по защите информации.
Серверная часть СЗИ "Блокхост-сеть" обеспечивает централизованную защиту информации:
- Разграничение удаленного доступа пользователей к защищаемой информации, содержащейся на рабочих станциях (объединенных в одноранговую или доменную сеть) на основе мандатного (полномочного) механизма.
- Удаленное администрирование клиентской части СЗИ "Блокхост-сеть" на рабочих станциях (объединенных в одноранговую или доменную сеть).
- Удаленное ведение оперативного контроля.
Клиентская часть СЗИ "Блокхост-сеть" обеспечивает локальную защиту информации, содержащейся на рабочей станции.
Аппаратные средства, функционирующие в составе СЗИ "Блокхост-сеть", (eToken,RuToken, другие USB устройства) позволяют:
- Хранить персональные данные для идентификации и аутентификации.
- Хранить криптографическую информацию.
Программные средства защиты информации, функционирующие в составе СЗИ "Блокхост-сеть", позволяют:
- Обеспечить более надежную защиту входа в систему с помощью аппаратных средств идентификации пользователя.
- Разграничить вход пользователей в систему по времени и дням недели.
- Санкционировать доступ пользователей к ресурсам с помощью дискреционного и мандатного механизмов разграничения доступа.
- Обеспечить контроль информационного обмена с отчуждаемыми физическими носителями информации.
- Обеспечить гарантированное удаление информации.
- Санкционировать работу программ с помощью механизмов разграничения доступа к запуску процессов.
- Осуществлять контроль целостности информации.
- Обеспечить очистку памяти после завершения работы приложений.
- Контролировать вывод информации на печать, осуществлять маркировку документов.
- Осуществлять мониторинг активности пользователей в системе - работу СЗИ в мягком режиме.
- Осуществлять групповое администрирование.
- Разграничить доступ пользователей к сетевым ресурсам.
- Санкционировать доступ пользователей к администрированию СЗИ "Блокхост-сеть".
- Выполнять оперативный контроль за событиями, связанными с безопасностью защищаемой информации.