Средства защиты информации и где дёготь / Хабр

Средства защиты информации и где дёготь

Предисловие

Основные инструменты

В нашей компании клиентам предлагается три варианта программно-аппаратных средств защиты информации:

  • Secret Net от компании «Код безопасности»
  • Страж NT от НПЦ «Модуль»
  • Ранее упомянутый Dallas Lock

Все продукты примерно равны по характеристикам (особенно с появлением в версии 7.7 Dallas Lock’а контроля USB-устройств), вопрос о применении конкретного средства решается либо на основе возможности установки в целевую систему, либо на основе уровня взаимоотношений с поставщиками.

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение

Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net’а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы

Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство спасет отца русской демократии поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.

Secret Net

Фаворит — он везде фаворит

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:

Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.

Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:

В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:

Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:

И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLMSystemCurrentControlSetServicesSNMC5xxParams (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT

Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock

Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock’а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

Secret Net Studio

СЗИ «Secret Net Studio» — комплексная система обеспечения информационной безопасности

Система Secret Net Studio предназначена для обеспечения безопасности информационных систем на автономных и сетевых компьютерах, функционирующих под управлением операционных систем Microsoft Windows 8/7/Vista и Microsoft Windows Server 2012/2008. При использовании соответствующих подсистем изделие обеспечивает:
• защиту от несанкционированного доступа (НСД) к информационным ресурсам компьютеров;
• контроль устройств, подключаемых к компьютерам;
• обнаружение вторжений в информационную систему;
• антивирусную защиту;
• межсетевое экранирование сетевого трафика;
• авторизацию сетевых соединений;
• централизованное управление функционированием средства.

СЗИ Secret Net Studio успешно прошло сертификационные испытания и получило сертификат соответствия ФСТЭК России №3675 от 12 декабря 2016 г. на соответствие требованиям ФСТЭК России по 3-му классу защищенности по СВТ, 2-му уровню контроля на отсутствие недекларированных возможностей (НДВ) и требованиям к межсетевым экранам по 2-му классу защищенности.

Сертифицированное средство защиты от внешних и внутренних угроз Secret Net Studio может применяться:
• для защиты автоматизированных систем (АС) до класса 1Б (в том числе для защиты государственной тайны с грифом «совершенно секретно»);
• ИСПДн до 1 уровня защищенности;
• государственных информационных систем и АСУ ТП до 1-го класса включительно.

Основные функции системы Secret Net Studio

Система Secret Net Studio реализует следующие основные функции:
• Контроль входа пользователей в систему (идентификация и аутентификация пользователей). • Дискреционное разграничение доступа к файловым ресурсам, устройствам, принтерам. • Мандатное разграничение доступа к файловым ресурсам, устройствам, принтерам, сетевым интерфейсам, включая:
— контроль потоков конфиденциальной информации в системе;
— контроль ввода и вывода информации на отчуждаемые носители.
• Контроль состояния устройств компьютера с возможностями:
— блокирования компьютера при изменении состояния заданных устройств;
— блокирования подключения запрещенного устройства (устройства из запрещенной группы).
• Теневое копирование информации, выводимой на внешние носители и на печать.
• Автоматическая маркировка документов, выводимых на печать.
• Контроль целостности файловых объектов и реестра.
• Создание замкнутой программной среды для пользователей (контроль запуска исполняемых модулей, загрузки динамических библиотек, исполнения скриптов по технологии Active Scripts).
• Очистка оперативной и внешней памяти при ее перераспределении.
• Изоляция процессов (выполнение программ) в оперативной памяти.
• Регистрация событий безопасности.
• Защита содержимого локальных жестких дисков при несанкционированной загрузке операционной системы.
• Управление ПАК «Соболь» (управление пользователями, контролем целостности, получение событий безопасности).
• Функциональный контроль ключевых защитных подсистем.
• Управление параметрами работы механизмов защиты.
• Управление параметрами работы пользователей.

Компоненты системы Secret Net Studio и их состав

В общих чертах Система Secret Net Studio строится из следующих основных компонент:

Базовые функциональные модули Secret Net Studio (предоставляемые бесплатно при покупке любого компонента защиты):

• Защита входа в систему
• Контроль целостности

Защита от НСД:

• Контроль устройств
• Контроль печати
• Замкнутая программная среда
• Затирание данных
• Полномочное (мандатное) управление доступом
• Дискреционное разграничение доступа к файлам и директориям

Контроль устройств:

• Контроль устройств
• Контроль печати

Функциональные модули Контроля устройств также входят в компонент «Защита от НСД», поэтому одновременная покупка этих двух лицензий не требуется.

Защита диска и шифрование контейнеров

Персональный межсетевой экран:

• Персональный межсетевой экран
• Авторизация сетевых соединений и сегментация сети

Антивирус по технологии ESET

Обнаружение и предотвращение вторжений

Принципы лицензирования

В Secret Net Studio лицензируются отдельные компоненты защиты, что обеспечивает возможность покупки и установки только необходимых защитных механизмов.

• Лицензируется защита компьютеров. Для установки СЗИ на компьютер необходимо предоставить лицензию или выбрать лицензию, загруженную на сервере безопасности.

• Существуют лицензии двух типов по времени действия – срочные и бессрочные. Срочные лицензии действуют 1 год, бессрочные – на весь срок поддержки продукта. Часть компонентов можно приобрести только со срочными лицензиями.

• Доступны комплексные лицензии в дополнении к обычным лицензиям на компоненты. Комплексные лицензии включают в себя фиксированный набор компонентов. Стоимость комплексной лицензии ниже, чем приобретение аналогичного набора компонентов по-отдельности:

Максимальная защита (срочная лицензия):

Оптимальная защита (срочная лицензия):

Постоянная защита (бессрочная лицензия):

Дополнительная защита (срочная лицензия):

• Лицензирование компонент СЗИ не зависит от варианта развертывания – автономного или централизованного режима работы. Централизованное управление СЗИ – не лицензируется и всегда предоставляется бесплатно.

• Предусмотрены объемные скидки в зависимости от количества одновременно приобретаемых лицензий.

Акции и спецпредложения

Разработчик Secret Net Studio — компания «Код Безопасности» объявляет о запуске программы Trade-in с целью стимулирования перехода клиентов на современный, гибкий и комплексный продукт Secret Net Studio, состоящего из следующих модулей: защита от НСД, межсетевой экран, защита от вторжений, антивирус, шифрование диска и трафика.

Программа TRADE-IN распространяется на следующие продукты и модули:

Название продуктаНазвание модуля
SECRET NET STUDIO
Обновление
при действующей
непрерывной
технической
поддержке
Скидка
на обновление
без действующей
технической
поддержки
Secret NetЗащита от НСД +
Контроль устройств
Бесплатно30%
Trusted Boot LoaderЗащита диска и шифрование контейнеровБесплатно
Модуль блокировки НСД к жесткому диску (для Secret Net)Бесплатно
TrustAccessПерсональный межсетевой экранБесплатно
  • При приобретении обновления предоставляется бессрочная лицензия на соответствующий модуль Secret Net Studio.
  • Пользователям с действующей непрерывной технической поддержкой обновление предоставляется бесплатно. Уточнить условия обновления для вашей компании можно по e-mail zakaz@iteranet.ru.
  • В стоимость обновления входит 1 год технической поддержки уровня «Базовый». При бесплатном обновлении техническая поддержка не продлевается. Техническая поддержка остается действительной в течение срока, указанного при предыдущем продлении.
  • При обновлении продукта необходимо приобрести установочный комплект (диск + формуляр).
  • В рамках программы Trade-in другие виды скидок на Secret Net Studio не применяются.

Стоимость СЗИ

Стоимость лицензий СЗИ «Secret Net Studio» для защиты одной рабочей станции: от 600* р. за 1 лицензию.
Secret Net Studio лицензируется по количеству выбранных компонентов защиты, числу защищаемых компьютеров и сроку действия лицензий.

КОМПЛЕКС Максимальная защита: от 4900* р . за 1 лицензию сроком на 1 год.

КОМПЛЕКС Оптимальная защита: от 4000* р. за 1 лицензию сроком на 1 год.

КОМПЛЕКС Постоянная защита: от 9100* р. за 1 бессрочную лицензию.

КОМПЛЕКС Дополнительная защита: от 1700* р. за 1 лицензию сроком на 1 год.

Техническая поддержка вычисляется как процент от стоимости лицензий.

Установочный комплект единый для всего продукта и не различается по вариантам развертывания. Требуется покупка как минимум одного установочного комплекта на точку развертывания. Стоимость установочного комплекта — 275 р. за комплект.

За подробным расчетом обращайтесь к нашим менеджерам.

http://habr.com/ru/post/134861/
http://iteranet.ru/bez/zais/szi/sn-studio/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *