В системе Secret Net информационная безопасность компьютеров обеспечивается механизмами защиты. Механизм защиты — совокупность настраиваемых программных средств, разграничивающих доступ к информационным ресурсам, а также осуществляющих контроль действий пользователей и регистрацию событий, связанных с информационной безопасностью.
Функции администратора безопасности
Функциональные возможности Secret Net позволяют администратору безопасности решать следующие задачи:
- усилить защиту от несанкционированного входа в систему;
- разграничить доступ пользователей к информационным ресурсам на основе принципов избирательного и полномочного управления доступом и замкнутой программной среды;
- контролировать и предотвращать несанкционированное изменение целостности ресурсов;
- контролировать вывод документов на печать;
- контролировать аппаратную конфигурацию защищаемых компьютеров и предотвращать попытки ее несанкционированного изменения;
- загружать системные журналы для просмотра сведений о событиях, произошедших на защищаемых компьютерах;
- не допускать восстановление информации, содержавшейся в удаленных файлах;
- управлять доступом пользователей к сетевым интерфейсам компьютеров.
Для решения перечисленных и других задач администратор безопасности использует средства системы Secret Net и операционной системы (ОС) Windows.
Основными функциями администратора безопасности являются:
- настройка механизмов защиты, гарантирующая требуемый уровень безопасности ресурсов компьютеров;
- контроль выполняемых пользователями действий с целью предотвращения нарушений информационной безопасности.
Параметры механизмов защиты и средства управления
Параметры механизмов защиты Secret Net в зависимости от места их хранения в системе и способа доступа к ним можно разделить на следующие группы:
- параметры объектов групповой политики;
- параметры пользователей;
- атрибуты ресурсов;
- параметры механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Описание параметров объектов групповой политики
К общим параметрам безопасности ОС Windows добавляются параметры Secret Net. Эти параметры применяются на компьютере средствами групповых политик и действуют в рамках локальной политики безопасности. В системе Secret Net предусмотрены возможности настройки параметров групповых политик в стандартных оснастках ОС Windows и в программе оперативного управления.
В стандартных оснастках ОС Windows параметры Secret Net представлены в узле «Параметры безопасности» иерархии узлов групповой политики.
Для просмотра и изменения параметров в стандартных оснастках ОС Windows:
- Вызовите оснастку «Локальная политика безопасности», нажать кнопку «Пуск» и в меню вызова программ выбрать команду «Код Безопасности | Secret Net | Локальная политика безопасности»
- Перейдите к разделу » Параметры безопасности | Параметры Secret Net».
По умолчанию раздел «Параметры Secret Net» содержит следующие группы параметров:
Группа | Назначение |
Настройки подсистем | Управление режимами работы механизма защиты входа в систему.
Управление режимами работы механизмов полномочного управления доступом и контроля печати. Настройка параметров хранения локального журнала Secret Net. Управление механизмом затирания удаляемой информации. Управление механизмом теневого копирования. Управление перенаправлением локальных устройств и ресурсов для терминальных подключений. Управление режимом локального оповещения о событиях НСД. |
Ключи пользователя | Настройка параметров ключей для усиленной аутентификации пользователей.
Управление привилегиями пользователей в системе Secret Net: • для работы с локальным журналом Secret Net; • для работы в условиях замкнутой программной среды; • для изменения прав доступа к каталогам и файлам в механизме дискреционного управления доступом. |
Регистрация
событий |
Настройка перечня событий, регистрируемых системой Secret Net. |
Устройства | Управление параметрами контроля подключения и изменения
устройств и правами доступа к устройствам. |
Принтеры | Управление параметрами использования принтеров |
Параметры настройки системы могут быть сгруппированы по принадлежности к защитным механизмам. Переключение режима группировки параметров осуществляется с помощью специальных кнопок панели инструментов или команд в меню «Вид» («По группам» и «По подсистемам»).
Для настройки параметров объектов политик безопасности:
- Вызовите оснастку для управления параметрами объектов групповой политики и перейдите к разделу «Параметры безопасности | Параметры Secret Net».
- Выберите папку «Настройки подсистем».
- Вызовите контекстное меню для нужного параметра (см. таблицу ниже) и выберите в нем команду «Свойства».
На экране появится диалог настройки параметра.
Настройте параметры безопасности согласно приведенной таблице:
Политика | Параметр безопасности |
Администрирование: локальное оповещение об НСД | включено |
Вход в систему: Запрет вторичного входа в систему | отключен |
Вход в систему: количество неудачных попыток аутентификации | 5 |
Вход в систему: Максимальный период неактивности до блокировки экрана | 10 минут |
Реакция на изъятие идентификатора | нет |
Вход в систему: Режим аутентификации пользователя | стандартная аутентификация |
Вход в систему: Режим идентификации пользователя | смешанный |
Журнал: максимальный размер журнала системы защиты | 4096 кБ |
Журнал: политика перезаписи событий | затирать при необходимости |
Затирание данных: Количество циклов затирания конфиденциальной информации | 3 |
Затирание данных: Количество циклов затирания на локальных дисках | 3 |
Затирание данных: затирания на сменных носителях | 3 |
Контроль печати: Маркировка документов | стандартная обработка |
Контроль печати: Перенаправление принтеров в RDP-подключениях | запрещено |
Контроль печати: теневое копирование | определяется настройками принтера |
Контроль приложений: Режим аудита | аудит пользовательских приложений |
Контроль устройств: Перенаправление устройств в rdp-подключениях | запрещено |
Контроль устройств: Теневое копирование | определяется настройками устройства |
Полномочное управление доступом: названия уровней конфиденциальности | Неконфиденциально, Конфиденциально, Строго конфиденциально |
Полномочное управление доступом: режим работы | контроль потоков отключен |
Теневое копирование: Размер хранилища | Размер 20%, автоматическая перезапись отключена |
Для настройки событий, регистрируемых в журнале:
- Вызвать оснастку для управления параметрами объектов групповой политики и перейдите к разделу «Параметры безопасности | Параметры Secret Net».
- Выбрать раздел «Регистрация событий».
В правой части окна появится список регистрируемых событий.
- В списке событий выбрать элемент с именем события, для которого необходимо изменить режим регистрации, и вызвать диалог настройки параметра.
- Установить отметку в поле «отключена» (чтобы событие не регистрировалось в журнале) или «включена» (чтобы включить регистрацию) и нажмите кнопку «ОК».
- Настроить события согласно таблице:
Политика | Параметр безопасности |
Общие события: Событие | включена |
Общие события: Несанкционированное действие | включена |
Общие события: Ошибка | включена |
Общие события: Предупреждение | включена |
Общие события: Информационное событие | включена |
Администрирование: Добавлен пользователь | включена |
Администрирование: Удален пользователь | включена |
Администрирование: Изменены параметры пользователя | включена |
Администрирование: Изменен ключ пользователя | включена |
Администрирование: Изменены параметры действующей политики безопасности | включена |
Вход/выход: Вход пользователя в систему | включена |
Вход/выход: Завершение работы пользователя | включена |
Вход/выход: Запрет входа пользователя | включена |
Вход/выход: Идентификатор не зарегистрирован | отключена |
Вход/выход: Пользователь приостановил сеанс работы на компьютере | включена |
Вход/выход: Пользователь возобновил сеанс работы на компьютере | включена |
Вход/выход: Компьютер заблокирован системой защиты | включена |
Вход/выход: Компьютер разблокирован | включена |
Служба репликации: Ошибка создания контекста пользователя | включена |
Вход/выход: Пароль пользователя не соответствует требованиям безопасности | включена |
Администрирование: Изменен пароль пользователя | включена |
Контроль целостности: Начало обработки задания на контроль целостности | включена |
Контроль целостности: Успешное завершение задания на контроль целостности | включена |
Контроль целостности: Обнаружено нарушение целостности при обработке задания | включена |
Контроль целостности: Ресурс восстановлен по эталонному значению | включена |
Контроль целостности: Успешная проверка целостности ресурса | включена |
Контроль целостности: Нарушение целостности ресурса | включена |
Контроль целостности: Для ресурса отсутствует эталонное значение | включена |
Контроль целостности: Удаление устаревших эталонных значений | включена |
Контроль целостности: Текущее значения ресурса принято в качестве эталонного | включена |
Контроль целостности: Ошибка при восстановлении ресурса по эталонному значению | включена |
Контроль целостности: Ошибка при открытии базы данных контроля целостности | включена |
Контроль целостности: Ошибка при принятии текущего значения ресурса в качестве эталонного | включена |
Контроль целостности: Установка задания КЦ на контроль | включена |
Контроль целостности: Снятие задания КЦ с контроля | включена |
Контроль целостности: Создание задания | включена |
Контроль целостности: Удаление задания | включена |
Контроль целостности: Изменение задания | включена |
Вход/выход: Ошибка выполнения функционального контроля | включена |
Администрирование: Удален ключ пользователя | включена |
Вход/выход: Успешное завершение функционального контроля | включена |
Сеть: Запрет сетевого подключения под другим именем | включена |
Администрирование: Включена защитная подсистема | включена |
Администрирование: Отключена защитная подсистема | включена |
Администрирование: Установлена защита для диска | включена |
Администрирование: Отключена защита для диска | включена |
Контроль приложений: Запуск процесса | включена |
Контроль приложений: Завершение процесса | включена |
Вход/выход: Система защиты инициировала блокировку сессии пользователя | включена |
Trust Access: Ошибка синхронизации учетной информации с Trust Access | отключена |
Trust Access: Синхронизация учетной информации с Trust Access | отключена |
Дискреционное управление доступом: Запрет доступа к файлу или каталогу | включена |
Дискреционное управление доступом: Изменение прав доступа | включена |
Замкнутая программная среда: Запрет запуска программы | отключена |
Замкнутая программная среда: Запуск программы | отключена |
Замкнутая программная среда: Запрет загрузки библиотеки | отключена |
Замкнутая программная среда: Загрузка библиотеки | отключена |
Контроль целостности: Добавление учетной записи к заданию ЗПС | включена |
Контроль целостности: Удаление учетной записи из задания ЗПС | включена |
Полномочное управление доступом: Вывод конфиденциальной информации на внешний носитель | отключена |
Полномочное управление доступом: Запрет вывода конфиденциальной информации на внешний носитель | отключена |
Замкнутая программная среда: Исполнение скрипта | отключена |
Замкнутая программная среда: Запрет исполнения неизвестного скрипта | отключена |
Контроль печати: Печать документа | отключена |
Контроль печати: Запрет прямого обращения к принтеру | отключена |
Полномочное управление доступом: Удаление конфиденциального ресурса | отключена |
Полномочное управление доступом: Перемещение конфиденциального ресурса | отключена |
Полномочное управление доступом: Конфликт категорий конфиденциальности | отключена |
Полномочное управление доступом: Запрет перемещения конфиденциального ресурса | отключена |
Полномочное управление доступом: Изменение параметров конфиденциальности ресурса | отключена |
Полномочное управление доступом: Запрет изменения параметров конфиденциальности ресурса | отключена |
Полномочное управление доступом: Доступ к конфиденциальному ресурсу | отключена |
Полномочное управление доступом: Запрет доступа к конфиденциальному ресурсу | отключена |
Полномочное управление доступом: Использование механизма исключений | отключена |
Контроль печати: Начало печати документа | отключена |
Контроль печати: Успешное завершение печати документа | отключена |
Контроль печати: Ошибка при печати документа | отключена |
Контроль печати: Начало печати экземпляра документа | отключена |
Контроль печати: Успешное завершение печати экземпляра документа | отключена |
Контроль печати: Ошибка при печати экземпляра документа | отключена |
Контроль печати: Запрет печати документа | отключена |
Контроль печати: Сохранение копии напечатанного документа | отключена |
Контроль конфигурации: Успешное завершение контроля аппаратной конфигурации | включена |
Контроль конфигурации: Обнаружены изменения в процессе контроля аппаратной конфигурации | включена |
Контроль конфигурации: Обнаружено новое устройство | включена |
Контроль конфигурации: Устройство удалено из системы | включена |
Контроль конфигурации: Изменены параметры устройства | включена |
Контроль конфигурации: Утверждение аппаратной конфигурации компьютера | включена |
Разграничение доступа к устройствам: Подключение устройства | включена |
Разграничение доступа к устройствам: Отключение устройства | включена |
Разграничение доступа к устройствам: Запрет подключения устройства | включена |
Разграничение доступа к устройствам: Несанкционированное отключение устройства | включена |
Разграничение доступа к устройствам: Доступ к устройству | включена |
Разграничение доступа к устройствам: Запрет доступа к устройству | включена |
Контроль конфигурации: Переход в спящий режим | включена |
Контроль конфигурации: Выход из спящего режима | включена |
Теневое копирование: Начата запись на сменный диск | включена |
Теневое копирование: Завершена запись на сменный диск | включена |
Теневое копирование: Ошибка записи на сменный диск | включена |
Теневое копирование: Запрет записи на сменный диск | включена |
Теневое копирование: Начата запись образа CD/DVD/BD | включена |
Теневое копирование: Завершена запись образа CD/DVD/BD | включена |
Теневое копирование: Ошибка записи образа CD/DVD/BD | включена |
Теневое копирование: Запрет записи образа CD/DVD/BD | включена |
Контроль целостности: Исправление ошибок в базе данных | включена |
Контроль целостности: Создание задачи | включена |
Контроль целостности: Удаление задачи | включена |
Контроль целостности: Изменение задачи | включена |
Контроль целостности: Ошибка при расчете эталона | включена |
Контроль целостности: Создание группы ресурсов | включена |
Контроль целостности: Удаление группы ресурсов | включена |
Контроль целостности: Изменение группы ресурсов | включена |
Дискреционное управление доступом: Доступ к файлу или каталогу | включена |
Вход в систему в административном режиме
При штатном функционировании системы Secret Net вход любого пользователя компьютера, включая администратора, должен выполняться по одинаковым правилам, установленным соответствующими механизмами защиты. Во время загрузки компьютера перед входом пользователя система защиты проводит инициализацию компонентов и их функциональный контроль. После успешного проведения всех проверок вход в систему разрешается.
В тех случаях, когда необходимо получить доступ к компьютеру в обход действующих механизмов или прервать выполнение инициализации компонентов, администратор может активировать специальный административный режим входа. Применение административного режима входа может потребоваться, при повторяющихся ошибках функционального контроля, приводящих к длительному ожиданию инициализации компонентов.
Примечание.
Административный режим входа следует использовать только в крайних случаях для восстановления нормального функционирования системы. Выполнив вход в административном режиме, устраните возникшую проблему и перезагрузите компьютер.
Для входа в систему в административном режиме:
- Перезагрузите компьютер.
- Во время загрузки компьютера при появлении сообщений об инициализации системных сервисов Secret Net нажмите клавишу <Esc>. Удерживайте клавишу или периодически нажимайте ее до появления экрана приветствия (приглашение на вход в систему).
- Выполните стандартные действия процедуры входа в систему.
Настройки параметров Secret Net, разделов: «Ключи пользователя», «Привилегии», «Регистрация событий», «Устройства», «Принтеры» — не требуют дополнительного конфигурирования.
Описание и настройка параметров пользователей
Параметры пользователей используются механизмами защиты входа и полномочного управления доступом. Параметры применяются при входе пользователя в систему после выполнения процедуры идентификации и аутентификации. Параметры доменных и локальных пользователей хранятся в локальной базе данных компьютера.
Примечание.
При копировании объектов «Пользователь» параметры Secret Net не копируются.
Настройка параметров пользователей осуществляется в стандартной оснастке ОС Windows «Управление компьютером».
Для просмотра и изменения параметров в стандартных оснастках ОС Windows:
- Вызовите оснастку «Локальная политика безопасности», нажмите кнопку «Пуск» и в меню вызова программ выбрать команду «Код Безопасности | Secret Net | Управление компьютером | Локальные пользователи и группы | Пользователи».
- Выберите раздел или организационное подразделение, в котором находится нужный пользователь.
В правой части окна появится список пользователей.
- Вызовите окно настройки свойств пользователя и перейдите к диалогу «Secret Net 7».
В левой части диалога расположена панель выбора групп параметров. Средства для настройки представлены в правой части диалога. Для перехода к нужной группе параметров выберите на панели соответствующую пиктограмму:
- «Идентификатор» — содержит средства управления персональными идентификаторами пользователя;
- «Криптоключ» — содержит средства управления ключами для усиленной аутентификации пользователя;
- «Доступ» — содержит средства управления параметрами полномочного доступа и входа в систему;
- «ПАК «Соболь»» — содержит средства управления доступом пользователя к компьютерам с установленными комплексами «Соболь». Группа присутствует только для доменных пользователей в сетевом режиме функционирования;
- «Сервис» — содержит средства управления ключами централизованного управления ПАК «Соболь» и интеграцией системы Secret Net с программным средством TrustAccess.
В текущей конфигурации ИС — настройки параметров Secret Net, разделов: «Идентификатор», «Криптоключ», «Доступ», «ПАК «Соболь» — не требуют дополнительного конфигурирования.
Атрибуты ресурсов
Параметры, относящиеся к атрибутам ресурсов файловой системы (файлов и каталогов), используются в механизмах управления доступом. Управление параметрами осуществляется с помощью расширения программы «Проводник».
Параметры настроек атрибутов ресурсов достаточны и не требуют дополнительных процедур настройки.
Описание механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Механизм контроля целостности (КЦ) предназначен для слежения за неизменностью содержимого ресурсов компьютера. Действие этого механизма основано на сравнении текущих значений контролируемых параметров проверяемых ресурсов и значений, принятых за эталон. Эталонные значения контролируемых параметров определяются или рассчитываются при настройке механизма. В процессе контроля при обнаружении несоответствия текущих и эталонных значений система оповещает администратора о нарушении целостности ресурсов и выполняет заданное при настройке действие, например, блокирует компьютер, на котором нарушение обнаружено.
Механизм замкнутой программной среды (ЗПС) предназначен для ограничения использования ПО на компьютере. Доступ разрешается только к тем программам, которые необходимы пользователям для работы. Для каждого пользователя определяется перечень ресурсов, в который входят разрешенные для запуска программы, библиотеки и сценарии. Попытки запуска других ресурсов блокируются, и в журнале безопасности регистрируются события несанкционированного доступа (НСД).
Настройка механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Для работы с программой управления КЦ-ЗПС пользователь должен входить в локальную группу администраторов компьютера.
Параметры механизмов контроля целостности и замкнутой программной среды настраиваются в программе «Контроль программ и данных», входящая в состав клиентского ПО системы Secret Net.
Для запуска программы нажмите кнопку «Пуск» и в меню вызова программ выберите команду «Код Безопасности | Secret Net | Контроль программ и данных».
В общем случае порядок настройки сводиться к выполнению следующих этапов:
- Подготовка к построению модели данных: проводится анализ размещения ПО и данных на защищаемых компьютерах. Разрабатываются требования к настройке механизмов КЦ и ЗПС. Осуществляется подготовка рабочего места для проведения настройки;
- Построение фрагмента модели данных по умолчанию: этап выполняется при формировании новой модели с нуля. В модель данных автоматически добавляются описания ресурсов для важных ресурсов ОС Windows, а также описания ресурсов некоторых прикладных программ.
- Добавление задач в модель данных: в модель данных добавляются описания задач (прикладное и системное ПО, наборы файлов данных и т. д.) для контроля целостности и использования в ЗПС в соответствии с требованиями, разработанными на
- Добавление заданий и включение в них задач: в модель данных добавляются все необходимые задания КЦ, ЗПС и ПАК «Соболь» и в них включаются задачи.
- Подготовка ЗПС к использованию: субъектам назначаются задания ЗПС. Для того чтобы ресурсы контролировались механизмом ЗПС, они должны быть специально подготовлены — иметь признак «выполняемый».
- Расчет эталонов: для всех заданий рассчитываются эталоны ресурсов
- Включение ЗПС в жестком режиме: включается жесткий режим ЗПС. В жестком режиме разрешается запуск только разрешенных программ, библиотек и сценариев. Запуск других ресурсов блокируется, а в журнале Secret Net регистрируются события НСД
- Включение механизма КЦ: устанавливаются связи заданий контроля целостности с субъектами «Компьютер» или «Группа» (компьютеров). С этого момента механизм КЦ начинает действовать в штатном режиме
- Проверка заданий: перед началом эксплуатации механизма КЦ можно выполнить проверку корректности настроек заданий. Проверка заключается в немедленном выполнении задания независимо от расписания.
Программа управления «Контроль программ и данных», располагает как автоматическими, так и ручными средствами формирования элементов модели данных. Ручные методы можно использовать на любом уровне модели для формирования и модификации объектов и связей. Автоматические методы предпочтительнее при работе с большим количеством объектов, однако они требуют более тщательного контроля результатов.
Во время установки клиентского ПО системы Secret Net автоматически формируется локальная модель данных, в которую добавляются следующие задания:
- «Задание для контроля ресурсов Secret Net»;
- «Задание для контроля реестра Windows»;
- «Задание для контроля файлов Windows».
Задания включают готовые задачи с ресурсами, сформированными по предопределенному списку. Для этих заданий устанавливаются связи с субъектом «Компьютер»;
В текущей конфигурации автоматизированной системы — параметры, субъекты и задания механизмов контроля целостности и замкнутой программной среды, выставленные в автоматическом режиме достаточны и не требуют дополнительных процедур настройки.
Более детально порядок и правила администрирования и управления средством защиты информации Secret Net представлены в документации, входящей в состав комплекта поставки
Н И П И Н Ф О Р М З А Щ И Т А Система защиты информации Secret Net Аппаратные средства Руководство по установке и эксплуатации УВАЛ. 00300-07 96
© ЗАО НИП “ИНФОРМЗАЩИТА”, 2003. Все права защищены. Все авторские права на эксплуатационную документацию защищены. Этот документ входит в комплект поставки программного обеспечения, и на него распространяются все условия лицензионного соглашения. Без специального письменного разрешения НИП “ИНФОРМЗАЩИТА” этот документ или его часть в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью. Информация, содержащаяся в этом документе, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны НИП “ИНФОРМЗАЩИТА”. Научно-инженерное предприятие "ИНФОРМЗАЩИТА" Почтовый адрес: 127018, Москва, а/я 55 Телефон: (7-095) 937-33-85 Факс: (7-095) 219-31-88 e-mail: hotline@infosec.ru Web: http: // www.infosec.ru Версия: 4.00.45.0 Последнее обновление: 19.12.03
Система защиты информации Secret Net. Аппаратные средства Оглавление Введение ......................................................................................................................................... 5 Глава 1. Аппаратная поддержка системы Secret Net ............................................................. 9 Устройства ввода идентификационных признаков ..................................................... 11 iButton (Touch Memory) ........................................................................................................ 11 Smart Card ............................................................................................................................ 13 eToken................................................................................................................................... 14 Proximity ................................................................................................................................ 15 Изделия аппаратной поддержки системы защиты Secret Net ................................... 16 Электронные замки "Соболь-PCI" и "Соболь" ................................................................... 16 Изделия Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card................ 17 Сетевой адаптер с микросхемой Secret Net ROM BIOS.................................................... 18 Изделие Secret Net Card...................................................................................................... 18 Варианты применения аппаратных средств Secret Net ............................................. 20 Базовые варианты ............................................................................................................... 20 Дополнительные варианты ................................................................................................. 22 Глава 2. Установка аппаратных средств системы Secret Net............................................. 23 Электронные замки "Соболь-PCI" и "Соболь" ............................................................. 24 Установка электронного замка "Соболь-PCI" для работы в автономном режиме .......... 24 Установка электронного замка "Соболь" для работы в автономном режиме ................. 25 Интеграция электронных замков с системой Secret Net ................................................... 25 Изделия Secret Net Touch Memory Card....................................................................... 28 Установка Secret Net Touch Memory Card PCI ................................................................... 28 Установка Secret Net Touch Memory Card .......................................................................... 29 Сетевой адаптер с микросхемой Secret Net ROM BIOS............................................. 31 Изделие Secret Net Card................................................................................................ 32 Словарь терминов ...................................................................................................................... 34 Литература .................................................................................................................................... 36 3
Введение 1 Введение Из этого раздела Вы узнаете: • О назначении и структуре книги • О других источниках информации • Об используемых терминах и принятых обозначениях 5
Система защиты информации Secret Net. Аппаратные средства Данное руководство предназначено для администратора системы защиты инфор- мации Secret Net (далее по тексту – система Secret Net) и содержит сведения, необ- ходимые для установки, настройки и эксплуатации средств аппаратной поддержки системы Secret Net. Структура Материал руководства организован следующим образом: руководства • В Главе 1 содержатся сведения об используемых в системе Secret Net средст- вах аппаратной поддержки и различных вариантах их применения. • Глава 2 посвящена особенностям установки, настройки и эксплуатации этих ап- паратных средств. Рекомендуемая Для изучения вопроса об использовании аппаратных средств также рекомендуется литература познакомиться с другими книгами, входящими в комплект поставки. • "Secret Net. Принципы построения и применения" позволяет получить общее представление об архитектуре, функциональных возможностях и принципах ра- боты основных защитных механизмов. • "Secret Net. Сервер безопасности. Руководство по установке и эксплуатации" содержит сведения, необходимые администратору для установки и эксплуата- ции сервера безопасности. • "Secret Net. Подсистема управления. Руководство по администрированию. Книга первая. Управление центральной базой данных" содержит сведения, необходимые администратору для эксплуатации подсистемы управления. • "Secret Net 9x. Клиент для Windows 9x. Руководство по администрированию", "Secret Net NT. Клиент для Windows NT. Руководство по администрированию", "Secret Net 2000. Клиент для Windows 2000. Руководство по администриро- ванию" содержат сведения, необходимые для установки, настройки и управле- ния работой клиентов сетевого варианта системы Secret Net. • "Secret Net 9x. Автономный вариант для Windows 9х. Руководство по админи- стрированию", "Secret Net NT. Автономный вариант для Windows NT. Руково- дство по администрированию", "Secret Net 2000. Автономный вариант для Windows 2000. Руководство по администрированию" содержат сведения, необ- ходимые для установки, настройки и управления работой автономного варианта системы Secret Net. • "Программно-аппаратный комплекс "Соболь-PCI". Руководство админист- ратора", "Электронный замок "Соболь". Руководство администратора" со- держат сведения, необходимые для установки и настройки электронных замков. Условные В руководстве для выделения некоторых элементов текста (примечаний и ссылок) обозначения используется ряд условных обозначений. Перекрестные ссылки В тексте руководства могут встречаться ссылки на другие части данного руково- дства или другие источники информации. Внутренние ссылки, как правило, содер- жат указание на номер страницы с нужными сведениями, необходимую таблицу, рисунок или документ. Например, ссылка на первую таблицу данного руководства выглядит следующим образом: (см. Табл. 1). Примечания Особо важная и дополнительная информация оформлена в виде примечаний. Сте- пень важности содержащихся в них сведений отражают пиктограммы на полях: • Так обозначается дополнительная информация, которая может содержать опреде- ления, примеры, ссылки на другие документы или другие части этого руководства. • Такой пиктограммой выделяется важная информация, которую необходимо при- нять во внимание. 6
Введение Соглашения о Некоторые термины, содержащиеся в тексте руководства, уникальны для системы терминах Secret Net, другие используются в специфическом смысле, третьи выбраны из сооб- ражений краткости. Смысл основной части терминов объясняется по ходу изложе- ния материала при первом их употреблении в тексте руководства. Словарь терминов содержится в специальном разделе (см. стр. 34). 7
Система защиты информации Secret Net. Аппаратные средства 8
глава 1 Аппаратная поддержка системы Secret Net Из этой главы Вы узнаете: • Об используемых в Secret Net устройствах ввода идентификационных признаков • Об изделиях аппаратной поддержки системы Secret Net • О вариантах применения аппаратных средств 9
Система защиты информации Secret Net. Аппаратные средства Система Secret Net предназначена для организации защиты информации в локаль- ных вычислительных сетях, рабочие станции и серверы которой работают под управлением различных операционных систем (ОС): MS Windows 2000, MS Windows NT, семейства MS Windows 9х и др. Система защиты информации Secret Net являет- ся программно-аппаратным комплексом, дополняющим стандартные механизмы за- щиты операционных систем функциями защиты от несанкционированного доступа (НСД) к информационным ресурсам компьютеров. Назначение В системе Secret Net поддерживается работа значительного числа аппаратных аппаратных средств (см. Табл. 1), каждое из которых выполняет определённые задачи. В общем средств случае, средства аппаратной поддержки Secret Net обеспечивают: Secret Net • защиту от НСД к информационным ресурсам компьютеров - реализация меха- низма идентификации и аутентификации, блокировка загрузки ОС со съёмных но- сителей и т.д.; • оперативный контроль и регистрацию - контроль целостности программной сре- ды, ведение журнала регистрации событий; • хранение ключевой информации. Применение конкретного типа устройства или их комбинации зависит от различных факторов (желания заказчика, конфигурации и ОС защищаемого компьютера, вари- антов использования Secret Net и др.). В Табл. 1 представлены варианты возможно- го применения аппаратных средств в зависимости от ОС защищаемого компьютера ("+" – поддержка работы изделия, "-" – отсутствие поддержки). Табл. 1 – Аппаратные средства системы защиты информации Secret Net Изделие ОС Windows 9х ОС Windows NT/2000 + + Программно-аппаратный комплекс "Соболь-PCI" + + Электронный замок "Соболь" + + Secret Net Touch Memory Card PCI + + Secret Net Touch Memory Card + + Сетевой адаптер с микросхемой Secret Net ROM BIOS + + Secret Net Card + + Идентификатор iButton (Touch Memory) + + Считыватель Touch Memory + + COM-считыватель Touch Memory - + Идентификатор Smart Card - + Считыватель Smart Card - + Идентификатор Proximity - + Считыватель Proximity + + Идентификатор eToken R2 Работу системы Secret Net с аппаратными средствами обеспечивают специальные программы-драйверы, управляющие обменом информацией между устройством и программными модулями системы защиты. 10
Глава 1. Аппаратная поддержка системы Secret Net Устройства ввода идентификационных признаков Доступ пользователя к информационным ресурсам компьютера осуществляется при успешном выполнении операций идентификации и аутентификации. Идентификация заключается в распознавании субъекта (объекта) по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности) осущест- вляется в процессе аутентификации. В системах контроля и управления доступом широко используются аппаратные средства идентификации и аутентификации, назы- ваемые устройствами ввода идентификационных признаков (УВИП). Российский стандарт ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний" ус- танавливает классификацию УВИП, в состав которых входят идентификаторы и счи- тыватели, по способу считывания идентификационных признаков: • с ручным вводом; • контактные; • дистанционные (бесконтактные); • комбинированные. Ручной ввод идентификационных признаков производится с помощью нажатия кла- виш, поворотом переключателей или других подобных элементов. Контактное считывание идентификационных признаков подразумевает непосредст- венный контакт идентификатора и считывателя. Чтение информации происходит пу- тём проведения идентификатора через считыватель или их простым прикосновением. В системе защиты Secret Net поддерживается применение контакт- ных УВИП на базе iButton (Touch Memory), Smart Card и eToken. Дистанционный (бесконтактный) способ считывания не требует чёткого позициониро- вания идентификатора и считывателя. Чтение информации происходит либо при поднесении идентификатора на определенное расстояние к считывателю (радиочас- тотный метод), либо при попадании идентификатора в поле сканирования считы- вающего устройства (инфракрасный метод). В системе Secret Net нашёл применение радиочастотный УВИП на базе Proximity. Комбинированный способ подразумевает сочетание нескольких различных способов считывания. iButton (Touch Memory) Широкое внедрение систем контроля и управления доступом к информационным ре- сурсам компьютеров в производстве, финансовой области, торговле, социальной сфере потребовало создания надёжных и относительно дешёвых УВИП. К таким средствам можно с полным основанием отнести идентификатор iButton (Touch Mem- ory) американской компании Dallas Semiconductor. В дальнейшем в тексте использу- ется прежнее название – идентификатор Touch Memory. Идентификаторы Touch Memory семейства DS199X представляют собой микросхему, вмонтированную в герметичный корпус, выполненный из нержавеющей стали (см. Рис. 1). Корпус отдаленно напоминает батарейку для наручных часов и имеет диа- метр 17,35 мм при высоте 5,89 мм (корпус F5) или 3,1 мм (корпус F3). Обмен с внеш- ними устройствами происходит по двухпроводному интерфейсу с использованием широтно-импульсной модуляции. Контактами служит сам корпус прибора, гарантиро- ванное количество контактов составляет несколько миллионов. Корпус выполняет также защитные функции от различных внешних воздействий и обеспечивает высо- кую живучесть прибора в условиях агрессивных сред, пыли, влаги, внешних электро- магнитных полей, механических ударов и т.п. 11
Система защиты информации Secret Net. Аппаратные средства Обмен данными с компьютером осуществляется по двухпроводной шине посредст- вом контактного устройства Touch Probe. Для этого необходимо прикоснуться иден- тификатором к контактному устройству. Время контакта - не более 5 мс. Рис. 1. Идентификатор Touch Memory В системах защиты от НСД используются несколько модификаций идентификаторов семейства DS199X (см. Табл. 2), которые отличаются ёмкостью памяти, функцио- нальными возможностями и, соответственно, ценой. Табл. 2 – Идентификаторы Touch Memory Тип Ёмкость Ёмкость Ёмкость Защита Конструкция изделия постоянной блокнотной оперативной доступа к корпуса памяти, байт памяти, бит памяти, Кбит памяти 64 - - - F3/F5 DS 1990А 64 512 0,5 + F5 DS 1991L 64 256 1 - F5 DS 1992L 64 256 4 - F5 DS 1993L 64 256 4 - F5 DS 1994L 64 256 16 - F5 DS 1995L 64 256 64 - F5 DS 1996L В структуре Touch Memory можно выделить следующие основные части: постоянное запоминающее устройство (ПЗУ или ROM), блокнотную память, оперативное запоми- нающее устройство (ОЗУ или RAM), часы реального времени (для DS1994), а также элемент питания - встроенную миниатюрную литиевую батарейку (кроме DS1990A). В ПЗУ хранится 64-разрядный код, состоящий из 8-разрядного кода типа идентифи- катора, 48-разрядного уникального серийного номера и 8-разрядной контрольной суммы. Блокнотная память (вариант буферной памяти) служит для предотвращения записи новых данных на место имеющихся или записи по неверному адресу. В системе Secret Net поддерживается применение всех модификаций идентификато- ров Touch Memory. В автономном варианте для Secret Net 9x используются DS1990 - DS1996, в автономном для Secret Net NT/2000 и сетевом варианте для Secret Net 9x/NT/2000 нашли применение DS1992 - DS1996. В системе Secret Net контактное устройство Touch Probe используется в двух вариан- тах. В первом варианте контактное устройство подсоединяется к последовательному порту компьютера (в дальнейшем – COM-считыватель Touch Memory). Во втором ва- рианте (в дальнейшем – считыватель Touch Memory) контактное устройство подключа- ется к внешнему (или внутреннему) разъёму изделий Secret Net Touch Memory Card, Secret Net Touch Memory Card PCI, Электронный замок "Соболь" и Программно- аппаратный комплекс "Соболь-PCI". 12
Глава 1. Аппаратная поддержка системы Secret Net К достоинствам УВИП на базе идентификаторов Touch Memory относятся: • долговечность (время хранения информации в памяти идентификатора состав- ляет не менее 10 лет); • высокая степень механической и электромагнитной защищённости; • малые размеры, удобство хранения; • относительно невысокая стоимость. Недостатком устройства является зависимость его срабатывания от точности сопри- косновения идентификатора и считывателя, выполняемого пользователем. Smart Card В системах разграничения доступа широкое применение находят УВИП на базе идентификаторов, называемых смарт-картами (от англ. Smart Card – интеллектуаль- ная карта). Основой внутренней организации смарт-карт является так называемая SPOM-архитектура (Self Programming One-chip Memory). Архитектура SPOM преду- сматривает наличие в смарт-карте процессора, ПЗУ, ОЗУ и электрически перепро- граммируемой постоянной памяти (РПЗУ или EEPROM). Процессор отвечает за разграничение доступа к хранящейся в памяти информации и выполнение процедур обработки данных. Как правило, в карте также присутствует спе- циализированный сопроцессор, предназначенный для реализации криптографических алгоритмов. В постоянной памяти хранится исполняемый код внутреннего процессора, оперативная память используется в качестве рабочей, и, наконец, к перепрограмми- руемой памяти возможен доступ извне для чтения/записи произвольной информации. По отношению к компьютеру устройства чтения смарт-карт могут внешними и внутренними (например, встроенными в клавиатуру, гнездо 3,5"-дисковода, корпус компьютера). Считы- ватель работает под управлением специальной программы - драйвера устройства чтения. Начиная с 1987 года, международная организация по стандартизации ISO приняла шесть стандартов на смарт-карты, объединенных в общую группу ISO7816 "Идентифи- кационные карты. Карты с микросхемой и контактами". Ряд известных фирм (IBM, Micro- soft, Gemplus и другие, всего десять компаний) на базе ISO7816 разработали единый, стандартный интерфейс для работы со смарт-картами. Данный интерфейс включает в себя спецификации PC/SC, облегчающие интеграцию смарт-карт-технологий в про- граммно-аппаратные комплексы на базе платформы персонального компьютера и соз- дание средств разработки приложений для смарт-карт. Система Secret Net для ОС Windows NT/2000, используя спецификации PC/SC, под- держивает взаимодействие с УВИП различных фирм-производителей. Так, например, в состав поддерживаемого Secret Net комплекса ASE Developer's Kit компании Aladdin Knowledge Systems входят: ASECards – набор смарт-карт, ASE- Drive – считыватели для смарт-карт, ASESoft – программное обеспечение. На Рис. 2 показан внешний вид считывателя ASEDrive с помещённой в него смарт-картой. Рис. 2. Считыватель смарт-карт ASEDrive К достоинствам УВИП на базе смарт-карт относят: • удобство хранения идентификатора (например, в бумажнике среди других карто- чек) и считывания идентификационных признаков; 13
Система защиты информации Secret Net. Аппаратные средства • возможность обмена данными с компьютером через различные устройства вво- да-вывода (клавиатурный порт PS/2, последовательный порт, свободный слот расширения, параллельный порт, интерфейс SCSI, в ближайшей перспективе порт универсальной, последовательной шины USB). К недостаткам следует отнести ограниченный срок эксплуатации смарт-карт из-за неустой- чивости к механическим повреждениям, высокую стоимость считывателей смарт-карт. eToken В последнее время широкое применение находят УВИП, не требующие наличия аппа- ратных считывателей. К таким устройствам относят так называемые USB-ключи, которые подключаются к USB-порту непосредственно или с помощью соединительного кабеля. На российском рынке наибольшей популярностью пользуются следующие USB- ключи: iKey 1000, iKey 2000 фирмы Rainbow Technologies, eToken R2, eToken Pro компании ALADDIN Software Security R.D, WebIdentity фирмы Eutron. В Табл. 3 пред- ставлены характеристики некоторых модификаций USB-ключей. Табл. 3. - USB-ключи Изделие Ёмкость памяти, Разрядность Алгоритм шифрования Кбайт серийного номера 16, 32, 64 32 DESX (ключ 120 бит), MD5 eToken R2 8, 16, 32, 64, 128 64 Хэш-функция MD5 iKey 1000 8, 16, 32 32 Triple DES, MD5 WebIdentity В системе Secret Net поддерживается работа персональных идентификаторов eTo- ken R2, основным назначением которых является осуществление идентификации пользователей и безопасное хранение ключей шифрования, цифровых сертифика- тов, любой другой важной информации. Идентификатор eToken R2 (см. Рис. 3) производится в виде брелка небольшого раз- мера (47х16х7 мм), который легко размещается на связке с ключами. Брелоки выпус- каются в цветных корпусах и имеют световые индикаторы работы Рис. 3. Идентификатор eToken R2 Закрытая информация хранится в защищенной памяти брелка ёмкостью от 16 до 64 Кбайт. Каждый идентификатор имеет уникальный серийный 32-разрядный номер. При обмене информацией между eToken R2 и компьютером используется шифрование дан- ных. Поддержка спецификаций PC/SC позволяет без труда переходить от смарт-карт к идентификаторам eToken. Достоинствами USB-ключей являются: • малые размеры, удобство хранения; • отсутствие аппаратного считывателя; • простота подсоединения к USB-порту. К недостаткам USB-ключей можно отнести их относительно высокую стоимость и ма- лое время эксплуатации, ограниченное слабой механической защищённостью брелка. 14
Глава 1. Аппаратная поддержка системы Secret Net Proximity Широко распространённые радиочастотные идентификаторы Proximity (от англ. proximity – близость, соседство) конструктивно выпускаются в виде карточек, брело- ков, браслетов, ключей и т.п. Они имеют встроенные антенну, приёмо-передатчик и память. Внутри идентификатора Proximity также может находиться химический источник пи- тания - литиевая батарея. Идентификаторы с батареей называются активными. Они обеспечивают взаимодействие со считывателем на значительном расстоянии (еди- ницы метров). Идентификаторы без батареи называются пассивными. Дистанция считывания составляет десятки сантиметров. Считыватель Proximity постоянно излучает радиосигнал низкой мощности, который питает идентификатор. Когда он оказывается на определенном расстоянии от считы- вателя (см. Рис. 4), сигнал поглощается расположенной внутри нее антенной и дан- ная энергия питает микросхему, также расположенный внутри карточки. После получения энергии карта излучает идентификационные данные, принимаемые счи- тывателем. Дистанция считывания в значительной степени зависит от характеристик антенного и приёмо-передающего трактов считывателя. Весь процесс занимает не- сколько десятков микросекунд. Рис. 4. Идентификатор и считыватель Proximity Устройство чтения может быть помещено внутрь корпуса компьютера. Взаимная ориентация идентификатора и считывателя не имеет значения, а ключи или другие предметы, находящиеся в контакте с картой, не мешают передаче информации. В мире насчитывается большое число производителей идентификаторов и считыва- телей Proximity, основными из которых являются фирмы HID (Hughes Identification Devices), Motorola Indala, Texas Instruments. Среди отечественных предприятий мож- но отметить НПФ "Сигма", ОАО "Ангстрем", PERCo, ARSEC и ряд других. Система Secret Net поддерживает взаимодействие с радиочастотными УВИП раз- личных фирм-производителей. Для работы с идентификатором Proximity используют- ся изделия Secret Net Touch Memory Card и Secret Net Touch Memory Card PCI. Основными достоинствами УВИП Proximity являются: • долговечность пассивных идентификаторов (некоторые производители дают на карты пожизненную гарантию); • отсутствие необходимости чёткого позиционирования идентификатора и считы- вателя, удобство считывания идентификационных признаков. К недостаткам можно отнести слабую электромагнитную защищённость, относитель- но высокую стоимость. 15
Система защиты информации Secret Net. Аппаратные средства Изделия аппаратной поддержки системы защиты Secret Net Рассмотренные выше контактные и бесконтактные УВИП обеспечивают важнейший механизм защиты – идентификацию и аутентификацию пользователей. В зависимо- сти от решаемых Secret Net задач их функционирование осуществляется совместно с линейкой изделий аппаратной поддержки системы (см. Табл. 1), выпускаемых ЗАО НИП "ИНФОРМЗАЩИТА". Свои основные функции многие изделия аппаратной поддержки реализуют до загруз- ки операционной системы компьютера. Для этого в составе каждого средства имеет- ся собственная память EEPROM, содержимое которой дополняет базовую систему ввода-вывода BIOS компьютера. При включении компьютера выполняется копирова- ние содержимого EEPROM BIOS аппаратного средства в так называемую теневую область (Shadow Memory) оперативной памяти, с которой и ведется дальнейшая ра- бота. Поэтому не допускается использование системной BIOS режима Shadow Mem- ory для адресного пространства, в котором размещается расширение BIOS, содержащееся в EEPROM изделий. Электронные замки "Соболь-PCI" и "Соболь" Изделия "Программно-аппаратный комплекс "Соболь-PCI" и "Электронный замок "Соболь" версии 1.0" (в дальнейшем – электронные замки "Соболь-PCI"и "Соболь") предназначены для организации защиты компьютера от НСД посторонних пользова- телей. Они обеспечивает: • идентификацию и аутентификацию пользователей с помощью УВИП на базе Touch Memory; • блокировку загрузки операционной системы с внешних съёмных носителей; • блокировку пользователя при превышении им количества допустимых попыток ввода неправильного пароля; • контроль целостности программной среды компьютера до загрузки ОС; • регистрацию событий, связанных с попытками входа пользователей и результа- тами работы подсистемы контроля целостности. В состав каждого изделия входят плата электронного замка, идентификатор Touch Memory и контактное устройство (считыватель Touch Memory). Плата электронного замка "Соболь-PCI" устанавливается в разъём системной шины PCI, а плата "Со- боль" - в разъём системной шины ISA. Считыватель Touch Memory может подклю- чаться как к внешнему разъёму платы, так и к внутреннему. На плате (см. Рис. 5) размещаются микросхемы энергонезависимой памяти, перепрограммируемая логи- ческая матрица, реле аппаратной блокировки устройств (на плате "Соболь-PCI" – 3 реле, на плате "Соболь" – 2 реле), встроенный датчик случайных чисел. В состав энергонезависимой памяти входят микросхемы оперативной памяти и EEPROM, содержимое которой дополняет системную BIOS компьютера. В электрон- ном замке "Соболь-PCI" поиск свободной области оперативной памяти компьютера для загрузки содержимого EEPROM осуществляется автоматически. В отличие от из- делия "Программно-аппаратный комплекс "Соболь-PCI" в замке "Соболь" выбор на- чального адреса загрузки расширения BIOS, содержащегося в EEPROM платы, а также адреса порта обмена данными с памятью идентификатора выполняется вруч- ную (см. [ 2 ]). Для этого на плате имеются шесть перемычек. 16
Глава 1. Аппаратная поддержка системы Secret Net Рис. 5. Плата электронного замка "Соболь" В электронном замке поддерживается работа до 32 пользователей, не считая адми- нистратора. Идентификация пользователя осуществляется при помощи УВИП Touch Memory. Скорость обмена данными между персональным идентификатором и платой замка составляет 16 Кбит/с. Авторизация пользователя осуществляется по паролю длиною до 16 символов и персональному идентификатору. Запрет загрузки ОС с внешних носителей (магнитных, оптических и магнитно- оптических дисков) может осуществляться программным и аппаратным способами путем блокирования доступа к устройствам чтения этих дисков при запуске компью- тера. После успешной загрузки ОС доступ к этим устройствам восстанавливается с помощью специальной программы, входящей в состав программного обеспечения электронных замков. Контроль целостности программной среды компьютера заключается в проверке из- менения файлов и секторов жёсткого диска. Для этого вычисляются некоторые теку- щие контрольные значения проверяемых объектов и сравниваются с эталонными значениями, заранее рассчитанными для каждого из этих объектов. Сведения, необходимые администратору для установки и эксплуатации электронных замков "Соболь-PCI" и "Соболь", приводятся соответственно в документах [ 1 ] и [ 2 ]. Изделия Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card Изделия Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card предна- значены для: • идентификации и аутентификации пользователей; • блокировки загрузки операционной системы с внешних съёмных носителей. В состав изделия Secret Net Touch Memory Card входят плата (см. Рис. 6) и УВИП Touch Memory или Proximity (по выбору заказчика). Плата устанавливается в разъём системной шины ISA. На плате имеются разъёмы для подключения считывателей Touch Memory (внешний) и Proximity (внутренний). В состав изделия Secret Net Touch Memory Card PCI входят плата и УВИП Touch Memory или Proximity (по выбору заказчика). Плата устанавливается в разъём сис- темной шины PCI. Считыватель Touch Memory подключается к внешнему разъёму платы, считыватель Proximity – к внутреннему разъёму. Основу изделий составляют память EEPROM (изделие Secret Net ROM BIOS), со- держимое которой дополняет системную BIOS, и перепрограммируемая логическая матрица. В Secret Net Touch Memory Card PCI поиск свободной области оперативной памяти компьютера для загрузки содержимого EEPROM осуществляется автомати- чески. В Secret Net Touch Memory Card выбор начального адреса загрузки расшире- ния BIOS, содержащегося в EEPROM платы, а также адреса порта обмена данными с памятью идентификатора выполняется вручную (см. стр. 29). Для этого на плате име- ются четыре перемычки. 17
Система защиты информации Secret Net. Аппаратные средства Рис. 6. Плата Secret Net Touch Memory Card Блокировка загрузки ОС с внешних носителей (магнитных, оптических и магнитно- оптических дисков) осуществляется программным способом путем запрета доступа к устройствам чтения этих дисков при запуске компьютера. После успешной загрузки ОС доступ к этим устройствам восстанавливается. Сетевой адаптер с микросхемой Secret Net ROM BIOS Сетевой адаптер в качестве изделия аппаратной поддержки системы Secret Net предназначен для запрета загрузки ОС со сменных носителей (для Secret Net 9x/NT/2000), а также идентификации и аутентификации пользователей без электрон- ного идентификатора (для Secret Net 9x). Сетевой адаптер представляет собой PCI-плату (см. Рис. 7) стандарта Ethernet, в гнездо начальной загрузки которой помещается микросхема BIOS (изделие Secret Net ROM BIOS). Рис. 7. Сетевая плата с микросхемой Secret Net ROM BIOS Блокировка загрузки ОС с внешних носителей (магнитных, оптических и магнитно- оптических дисков) осуществляется программным способом путем её запрета. Изделие Secret Net Card Изделие Secret Net Card предназначено для запрета загрузки операционной системы с внешних съёмных носителей (для Secret Net 9x/NT/2000), а также идентификации и ау- тентификации пользователей без электронного идентификатора (для Secret Net 9x). Изделие Secret Net Card представляет собой плату (см. Рис. 8) устанавливаемую внутри системного блока компьютера в разъём системной шины ISA. 18
Глава 1. Аппаратная поддержка системы Secret Net Рис. 8. Изделие Secret Net Card На плате размещается микросхема EEPROM (изделие Secret Net ROM BIOS), 4 мик- росхемы комбинационного типа 555-ой серии и 4 перемычки, которые предназначены для установки начального адреса загрузки содержимого Secret Net ROM BIOS в опе- ративную память компьютера (см. стр. 32). Блокировка загрузки ОС с внешних носителей (магнитных, оптических и магнитно- оптических дисков) осуществляется программным способом путём её запрета. 19
Система защиты информации Secret Net. Аппаратные средства Варианты применения аппаратных средств Secret Net Важным достоинством системы Secret Net является возможность организации защиты информационных ресурсов компьютеров, имеющих разные конфигурации и работаю- щих под управлением значительного числа различных операционных систем. Базовые варианты В Табл. 4 представлены одиннадцать базовых сертифицированных вариантов при- менения аппаратных средств в зависимости от решаемых с их помощью в Secret Net задач. Использование того или иного варианта в значительной степени определяется поддерживаемой Secret Net операционной системой. Табл. 4 – Базовые варианты аппаратной поддержки Secret Net Варианты использования аппаратных Задачи, решаемые с помощью средств средств аппаратной поддержки Secret Net 9x Secret Net NT/2000 Идентификация и аутентификация 1 / 2 / 3 / 4 / 5 / 1 / 2 / пользователей до загрузки ОС 6 / 7 / 8 / 10 / 11 / Идентификация и аутентификация во 1 / 2 / 3 / 4 / 5 / 1 / 2 / 3 / 4 / 5 / время входа пользователя 6 / 7 / 8 / 6 / 7 / 8 / 9 / Запрет загрузки ОС с внешних съёмных 1 / 2 / 3 / 4 / 5 / 1 / 2 / 3 / 4 / 5 / носителей 6 / 7 / 8 / 10 / 6 / 7 / 8 / 9 / 11 / 10 / 11 / Контроль целостности программной 1 / 2 / 1 / 2 / среды компьютера до загрузки ОС Снятие временной блокировки 1 / 2 / 3 / 4 / 5 / 1 / 2 / 3 / 4 / 5 / компьютера 6 / 7 / 8 / 6 / 7 / 8 / 9 / Хранение криптографического ключа 1 / 2 / 3 / 4 / 5 / 1 / 2 / 3 / 4 / 5 / 6 / 7 / 8 / 6 / 7 / 8 / Ниже в виде структурных схем раскрываются пронумерованные в Табл. 4 варианты. В каждой схеме представлены соединения изделий аппаратной поддержки с устрой- ствами ввода-вывода компьютера. На одном компьютере устанавливается только один базовый вариант аппаратной поддержки системы Secret Net. Идентифика- Считыватель Электронный Разъём сис- 1 тор Touch Touch Memory замок темной шины Memory "Соболь-PCI" PCI Идентифика- Считыватель Электронный Разъём сис- 2 Touch Memory тор Touch замок темной шины Memory "Соболь" ISA Для использования в Secret Net электронных замков "Соболь-PCI" (вариант 1) и "Со- боль" (вариант 2) необходимо наличие на материнской плате защищаемого компью- тера свободных разъёмов системных шин PCI и ISA. Функционирование вариантов 1, 2 поддерживается в Secret Net 9x/NT/2000. 20
Глава 1. Аппаратная поддержка системы Secret Net Идентифика- Считыватель Secret Net Разъём сис- 3 тор Touch Touch Memory Touch Memory темной шины Memory Card PCI PCI Идентифика- Считыватель Secret Net Разъём сис- 4 Touch Memory тор Touch Touch Memory темной шины Memory Card ISA Для использования в Secret Net изделий Secret Net Touch Memory Card PCI (вари- ант 3) и Secret Net Touch Memory Card (вариант 4) также требуется наличие на мате- ринской плате свободных разъёмов системных шин PCI и ISA соответственно. Функционирование этих вариантов поддерживается в Secret Net 9x/NT/2000. Идентифика- COM - считы- COM-порт Разъём шины Сетевой адап- 5 тор Touch ватель Touch компьютера PCI тер с Secret Net Memory Memory ROM BIOS Идентифика- COM - считы- COM-порт Разъём шины Secret Net 6 тор Touch ватель Touch компьютера ISA Card Memory Memory При реализации вариантов 5 и 6 используются два разъёма материнской платы: по- следовательного порта и системной шины PCI (или ISA). Функционирование этих ва- риантов поддерживается в Secret Net 9x/NT/2000. Идентифика- USB-порт Разъём шины Сетевой адап- 7 тор eToken R2 компьютера PCI тер с Secret Net ROM BIOS Идентифика- USB-порт Разъём шины Secret Net 8 тор eToken R2 компьютера ISA Card При реализации вариантов 7 и 8 также используются два разъёма материнской пла- ты: универсальной шины USB и системной шины PCI (или ISA). Функционирование этих вариантов поддерживается в Secret Net 9x/NT/2000. Идентифика- Считыватель Secret Net Разъём сис- 9 тор Proximity Proximity Touch Memory темной шины Card ISA Для применения УВИП на базе Proximity используется вариант 9. Функционирование этого варианта поддерживается в Secret Net NT/2000. Сетевой адап- Разъём шины 10 тер с Secret Net PCI ROM BIOS Secret Net Разъём шины 11 Card ISA Функционирование вариантов 10 и 11 поддерживается в Secret Net 9x/NT/2000. 21
Система защиты информации Secret Net. Аппаратные средства Дополнительные варианты В Secret Net NT/2000 имеется возможность использования ряда дополнительных не сертифицированных вариантов аппаратной поддержки, позволяющих решать задачи: • идентификации и аутентификации во время входа пользователя (варианты 12 –15); • блокировки загрузки операционной системы с внешних съёмных носителей (вариант 15); • снятия временной блокировки компьютера (варианты 12 – 15); • хранения криптографического ключа (варианты 12 – 14). Идентифика- COM - считы- COM-порт 12 тор Touch ватель Touch компьютера Memory Memory Идентифика- USB-порт 13 тор eToken R2 компьютера Идентифика- Считыватель 14 тор Smart Smart Card Card Идентифика- Считыватель Secret Net Разъём сис- 15 тор Proximity Proximity Touch Memory темной шины Card PCI PCI В вариантах 12,13 для чтения идентификационных признаков используются COM- и USB-порты компьютера. В варианте 14 обмен данными с компьютером возможен по- средством разнообразных интерфейсов ввода-вывода (клавиатурный порт PS/2, по- следовательный порт, свободный слот расширения, параллельный порт, интерфейс SCSI, в ближайшей перспективе порт USB-шины). Вариант 15 используется для применения УВИП на базе Proximity совместно с Secret Net Touch Memory Card PCI. Функционирование этого варианта поддерживается в Secret Net NT/2000. 22
глава 2 Установка аппаратных средств системы Secret Net Из этой главы Вы узнаете: • Об особенностях установки электронных замков "Соболь-PCI" и "Соболь" • Об особенностях установки изделий Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card • Об особенностях установки сетевого адаптера с микросхемой Secret Net ROM BIOS • Об особенностях установки изделия Secret Net Card 23
Система защиты информации Secret Net. Аппаратные средства Электронные замки "Соболь-PCI" и "Соболь" Изделия "Программно-аппаратный комплекс "Соболь-PCI" и "Электронный замок "Соболь" устанавливаются в компьютеры сетевого (см. Рис. 9) и автономного вари- антов системы Secret Net. Автономный вариант системы отличается от сетевого от- сутствием средств централизованного управления защитой, а, именно, сервера безопасности и подсистемы управления. Серверная часть Secret Net Клиентская часть Secret Net Сервер безопасности Подсистема управления устанавливается вместе с устанавливается вместе клиентом Windows NT/2000 с клиентом Windows на выделенный компьютер NT/2000 на рабочие места администраторов Клиентская часть Secret Net NT Клиентская часть для Windows 9x/NT/2000 устанавливается на рабочие станции и серверы сети Рис. 9. – Состав системы Secret Net (сетевой вариант) Электронные замки "Соболь-PCI" и "Соболь" могут функционировать в автономном режиме и режиме совместного использования (интеграции) с Secret Net. В автономном режиме любым внешним программам запрещается доступ к памяти платы электронного замка. При этом управление пользователями, журналом реги- страции, настройка параметров осуществляется средствами администрирования электронного замка без ограничений. В режиме интеграции разрешается внешний доступ к памяти замка. В этом случае часть функций управления электронным замком осуществляется с помощью средств администрирования системы Secret Net. Под установкой электронного замка понимается инсталляция его программного обеспечения, выбор режима функционирования платы изделия и её размещение на материнской плате компьютера. Процедуры установки и снятия электронных замков "Соболь-PCI" и "Соболь" под- робно описываются в документах [ 1 , 2 ]. Настройка механизмов контроля входа в Secret Net с использованием электронных замков рассматриваются в документах [ 3 - 10 ]. Ниже основное внимание уделяется особенностям настройки системы Secret Net 9x/NT/2000 и электронных замков для их совместного использования. Установка электронного замка "Соболь-PCI" для работы в автономном режиме Для установки изделия выполните следующие действия (см. [ 1 ]): 1. Установите программное обеспечение. 2. Установите режим инициализации платы электронного замка. 3. Выберите свободный слот системной шины PCI и аккуратно вставьте в него плату. 4. Подключите считыватель Touch Memory к внешнему (или внутреннему) разъёму платы. 24
Глава 2. Установка аппаратных средств системы Secret Net 5. Выполните процедуру инициализации электронного замка. 6. Установите рабочий режим функционирования изделия. 7. Подключите (при необходимости) интерфейсные кабели, обеспечивающие ра- боту подсистемы запрета загрузки со съёмных носителей. 8. При необходимости осуществите настройку подсистемы контроля целостности. Установка электронного замка "Соболь" для работы в автономном режиме Для установки изделия выполните следующие действия (см. [ 2 ]): 1. Установите программное обеспечение. 2. На плате "Соболь" установите начальный адрес загрузки расширения BIOS и адрес порта ввода-вывода. 3. Установите режим инициализации платы электронного замка. 4. Выберите свободный слот системной шины ISA и аккуратно вставьте в него плату. 5. Подключите считыватель Touch Memory к внешнему (или внутреннему) разъему платы. 6. Выполните процедуру инициализации электронного замка. 7. Установите рабочий режим функционирования изделия. 8. Подключите (при необходимости) интерфейсные кабели, обеспечивающие ра- боту подсистемы запрета загрузки со съёмных носителей. 9. При необходимости осуществите настройку подсистемы контроля целостности. Интеграция электронных замков с системой Secret Net В зависимости от наличия в защищаемых компьютерах установленных электронных замков "Соболь-PCI", "Соболь" и программного обеспечения системы Secret Net возможны различные варианты реализации режима интеграции. В Табл. 5 и Табл. 6 представлены последовательности действий администратора при совместной установке электронных замков и компонентов системы Secret Net соответственно сетевой и автономной версий. Рассматриваются три возможных ва- рианта установки. Первый вариант (наиболее вероятный) характеризуется отсутст- вием в компьютерах электронных замков и системы Secret Net и необходимостью их совместной установки. Второй вариант используется для установки электронных замков в компьютеры с предварительно инсталлированной системой Secret Net. Для третьего варианта (наименее вероятного) характерно наличие в компьютерах элек- тронных замков и отсутствие системы Secret Net, которую необходимо установить. Интеграция Под встречающейся в Табл. 5 фразой "система Secret Net установлена" понимается электронных наличие: замков с сетевым вариантом • на сервере безопасности – инсталлированного программного обеспечения сер- Secret Net вера безопасности и клиента для Windows NT/2000; • на рабочих местах администраторов – инсталлированного программного обес- печения подсистемы управления и клиента для Windows NT/2000; • на рабочих станциях клиентов – инсталлированного программного обеспечения клиентов для Windows 9x/NT/2000. При установке электронных замков в защищаемые компьютеры подсистемы управления и клиентские рабочие станции инициализация этих устройств должна проводиться в режиме “повторная инициализация администратора”. Для повторной инициализации примените свой персональный идентификатор, который использо- вался в режиме "первичная инициализация администратора" при установке элек- тронного замка в сервер безопасности. 25
Система защиты информации Secret Net. Аппаратные средства Табл. 5. – Интеграция электронных замков "Соболь-PCI" и "Соболь" с сетевым вариантом системы Secret Net Варианты установки Электронные замки: отсутствуют Электронные замки: отсутствуют Электронные замки: установлены Система Secret Net: не установлена Система Secret Net: установлена Система Secret Net: отсутствует 1. Установите электронный замок в 1. Установите электронный замок в 1. Установите программное обеспече- сервер безопасности [ 1 , 2 ]. При сервер безопасности [ 1 , 2 ]. При ние сервера безопасности [ 3 ]. инициализации выберите вариант инициализации выберите вариант 2. Установите программное обеспече- "первичная инициализация адми- "первичная инициализация адми- ние клиента для Windows NT/2000 нистратора". нистратора". на сервер безопасности [ 5 , 6 ]. 2. Установите программное обеспече- 2. Переустановите программное обес- 3. Установите программное обеспече- ние сервера безопасности [ 3 ]. печение сервера безопасности с ние клиента для Windows NT/2000 3. Установите программное обеспече- сохранением центральной базы на компьютер подсистемы управ- ние клиента для Windows NT/2000 данных [ 3 ]. ления [ 5 , 6 ]. на сервер безопасности [ 5 , 6 ]. 3. На сервере безопасности в диалоге 4. Установите программное обеспече- 4. Установите электронный замок в "Устройства" окна настройки пара- ние подсистемы управления [ 4 ]. компьютер подсистемы управления метров Secret Net NT/2000 устано- вите драйвер электронного замка 5. В диалоге "Электронные идентифи- [ 1 , 2 ]. каторы" окна настройки параметров [ 5 , 6 ]. 5. Установите программное обеспече- Secret Net установите режим инте- ние клиента для Windows NT/2000 4. Установите электронный замок в грации с электронным замком [ 4 ]. на компьютер подсистемы управ- компьютер подсистемы управления 6. Установите на компьютеры клиен- ления [ 5 , 6 ]. [ 1 , 2 ]. тов программное обеспечение Se- 6. Установите программное обеспече- 5. На компьютере подсистемы управ- cret Net 9x/NT/2000 [ 5 , 6 , 7 ]. ние подсистемы управления [ 4 ]. ления в диалоге "Устройства" окна настройки параметров Secret Net 7. В диалоге "Электронные идентифи- NT/2000 установите драйвер элек- каторы" окна настройки параметров тронного замка [ 5 , 6 ]. Secret Net установите режим инте- грации с электронным замком [ 4 ]. 6. В диалоге "Электронные идентифи- каторы" окна настройки параметров 8. Установите электронные замки в Secret Net подсистемы управления компьютеры клиентов для Windows установите режим интеграции с 9x/NT/2000 [ 1 , 2 ]. электронным замком [ 4 ]. 9. Установите на компьютеры клиен- 7. Установите электронные замки в тов программное обеспечение Se- компьютеры клиентов для Windows cret Net 9x/NT/2000 [ 5 , 6 , 7 ]. 9x/NT/2000 [ 1 , 2 ]. 8. На компьютере клиента в диалоге "Устройства" окна настройки пара- метров Secret Net 9х/NT/2000 уста- новите драйвер электронного замка [ 5 , 6 , 7 ]. 26
Глава 2. Установка аппаратных средств системы Secret Net Интеграция Основное отличие установки электронных замков в компьютеры автономного вари- электронных анта Secret Net (см. Табл. 6) от установки в сетевом варианте (см. Табл. 5) заключа- замков с ется во взаимодействии замка и системы Secret Net для Windows 9x. автономным вариантом Secret Net Табл. 6. - Интеграция электронных замков "Соболь-PCI" и "Соболь" с автономным вариантом системы Secret Net Варианты установки Электронные замки: отсутствуют Электронные замки: отсутствуют Электронные замки: установлены Система Secret Net: не установлена Система Secret Net: установлена Система Secret Net: отсутствует Интеграция с Secret Net NT/2000 1. Установите в компьютеры элек- 1. Установите в компьютеры элек- 1. Установите программное обеспече- тронные замки [ 1 , 2 ]. тронные замки [ 1 , 2 ]. ние Secret Net NT/2000 [ 8 , 9 ]. 2. Установите программное обеспече- 2. В диалоге "Устройства" окна на- ние Secret Net NT/2000 [ 8 , 9 ]. стройки параметров Secret Net ус- тановите драйвер электронного замка [ 8 , 9 ]. Взаимодействие с Secret Net 9х 1. Установите в компьютеры элек- 1. Установите в компьютеры элек- 1. Установите программное обеспече- тронные замки [ 1 , 2 ]. тронные замки [ 1 , 2 ]. ние Secret Net 9х [ 10 ]. 2. Установите программное обеспече- 2. В диалоге "Устройства" окна на- 2. В диалоге "Устройства" окна на- ние Secret Net 9х [ 10 ]. стройки параметров Secret Net стройки параметров Secret Net 3. В диалоге "Устройства" окна на- [ 10 ]: [ 10 ]: стройки параметров Secret Net • установите драйвер электронного • установите драйвер электронного [ 10 ]: замка; замка; • установите драйвер электронного • только для электронного замка • только для электронного замка замка; "Соболь" настройте номер порта. "Соболь" настройте номер порта. • только для электронного замка "Соболь" настройте номер порта. 27
Система защиты информации Secret Net. Аппаратные средства Изделия Secret Net Touch Memory Card Функционирование изделий Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card поддерживается в сетевом и автономном вариантах Secret Net при защите компьютеров, работающих под управлением ОС Windows 9x/NT/2000. Установка Secret Net Touch Memory Card PCI Изделие Secret Net Touch Memory Card PCI используется в двух вариантах (описа- ние вариантов см. на стр.20): • вариант 3 - с УВИП на базе Touch Memory в системе Secret Net 9x/NT/2000; • или вариант 15 - с УВИП на базе Proximity в системе Secret Net NT/2000. Установка Secret Net Touch Memory Card PCI на компьютерах, на которых функцио- нирует сетевой и автономный вариант Secret Net, осуществляется одинаково. Для установки изделия выполните следующие действия: 1. Установите на компьютер программное обеспечение Secret Net 9x/NT/2000 [ 5 - 10 ]. 2. Выключите компьютер и откройте корпус системного блока. 3. Посредством установки/снятия перемычки на контакте J0 (или J1) платы (см. Рис. 10) установите режим работы изделия Secret Net Touch Memory Card PCI: • при установленной перемычке изделие функционирует в системе Secret Net NT/2000; • при отсутствии перемычки изделие функционирует в системе Secret Net 9x. 4. Выберите свободный слот системной шины PCI и аккуратно вставьте в него плату. 5. В зависимости от использования Secret Net Touch Memory Card PCI с УВИП на базе Touch Memory (вариант 3 ) или Proximity (вариант 15 ) подключите (см. Рис. 10): • считыватель Touch Memory к внешнему разъёму платы (вариант 3 ); • или считыватель Proximity к внутреннему разъёму платы (вариант 15 ). Рис. 10. Расположение разъёмов на плате Secret Net Touch Memory Card PCI 6. Закройте корпус системного блока компьютера. 7. Включите компьютер. Войдите в систему с правами администратора безопасности. 28
Глава 2. Установка аппаратных средств системы Secret Net 8. В диалоге "Устройства" окна настройки параметров Secret Net установите драйвер: • для варианта 3 - "Secret Net Touch Memory Card" [ 5 - 10 ]; • для варианта 15 - "Считыватель Secret Net Proximity" [ 5 , 6 , 8 , 9 ]. 9. Перезагрузите компьютер. Установка Secret Net Touch Memory Card Изделие Secret Net Touch Memory Card используется в двух вариантах (описание вариантов см. на стр.20): • вариант 4 - с УВИП на базе Touch Memory в системе Secret Net 9x/NT/2000; • или вариант 9 - с УВИП на базе Proximity в системе Secret Net NT/2000. Установка Secret Net Touch Memory Card на компьютерах, на которых функциониру- ет сетевой и автономный вариант Secret Net, осуществляется одинаково. Перед размещением в компьютере платы Secret Net Touch Memory Card установите необходимое значение начального адреса загрузки Secret Net ROM BIOS (см. Табл. 7) с помощью находящихся на плате (см. Рис. 11) перемычек JP1 – JP2. Перемычки JP1 – JP2 для установки начального адреса загрузки Secret Net ROM BIOS Перемычки JP3 – JP4 для установки адреса порта ввода- вывода платы Разъем для подключения внешнего считывателя Разъем для подключения внутреннего считывателя Рис. 11. Расположение перемычек на плате Secret Net Touch Memory Card При выборе адреса необходимо соблюдать следующие условия: • Для предотвращения конфликта адрес не должен совпадать с адресами уже ус- тановленных в компьютере плат. • Начальный адрес должен быть установлен таким образом, чтобы, начиная с не- го, в памяти компьютера имелось не менее 8 Кбайт свободного пространства для размещения расширения BIOS. Узнать распределение памяти компьютера можно, например, при помощи программы CHECKIT.EXE. Табл. 7 - Адреса размещения Secret Net ROM BIOS в памяти компьютера в зависимости от состояния перемычек Положение перемычек Начальный адрес ROM BIOS JP1 JP2 CA00 П П CE00 П DA00 П DE00 29
Система защиты информации Secret Net. Аппаратные средства Наличие в таблице символа "П" означает, что перемычка установлена (контакты замкнуты). Далее установите адрес порта ввода-вывода платы при помощи перемычек JP3 – JP4. В качестве такого адреса может быть использован один из перечисленных в Табл. 8. Этот адрес не должен совпадать с адресами портов ввода-вывода, которые используют другие платы, установленные в компьютере. Табл. 8. - Адреса порта ввода-вывода в зависимости от состояния перемычек Положение перемычек Адрес порта ввода / вывода JP3 JP4 300 П П 310 П 320 П 330 Наличие в таблице символа "П" означает, что перемычка установлена (контакты замкнуты). После установки на плате Secret Net Touch Memory Card перемычек JP1 – JP4 вы- полните следующие действия: 1. Установите на компьютер программное обеспечение Secret Net для ОС Windows 9x/NT/2000 [ 5 - 10 ]. 2. Выключите компьютер и откройте корпус системного блока. 3. Выберите свободный слот системной шины ISA и аккуратно вставьте в него плату. 4. В зависимости от использования Secret Net Touch Memory Card с УВИП на базе Touch Memory (вариант 4 ) или Proximity (вариант 9 ) подключите: • считыватель Touch Memory к внешнему разъёму платы (вариант 4 ); • или считыватель Proximity к внутреннему разъёму платы (вариант 9 ). 5. Закройте корпус системного блока компьютера. 6. Включите компьютер. Войдите в систему с правами администратора безопасности. 7. В диалоге "Устройства" окна настройки параметров Secret Net установите драйвер: • для варианта 4 - "Secret Net Touch Memory Card" [ 5 - 10 ]; • для варианта 9 - "Считыватель Secret Net Proximity" [ 5 , 6 , 8 , 9 ]. 8. Настройте номер порта: • для варианта 4 : • для Secret Net 9x [ 7 , 10 ] или Secret Net NT [ 6 , 9 ] - в диалоге "Уст- ройства" окна настройки параметров; • для Secret Net 2000 [ 5 , 8 ] - с помощью средств администрирования ОС Windows 2000; • для варианта 9 : • для Secret Net NT [ 6 , 9 ] - в диалоге "Устройства" окна настройки па- раметров; • для Secret Net 2000 [ 5 , 8 ] - с помощью средств администрирования ОС Windows 2000. 9. Перезагрузите компьютер. 30
Глава 2. Установка аппаратных средств системы Secret Net Сетевой адаптер с микросхемой Secret Net ROM BIOS Функционирование сетевого адаптера, оснащённого микросхемой Secret Net ROM BIOS, поддерживается в сетевом и автономном вариантах Secret Net при защите ком- пьютеров, работающих под управлением семейства ОС Windows 9x/NT/2000 [ 5 - 10 ]. В системе Secret Net (см. стр. 20) сетевой адаптер используется самостоятельно (вариант 10 ), совместно с УВИП на базе Touch Memory c COM-считывателем (вари- ант 5 ) или идентификатором eToken R2 (вариант 7 ). Установка сетевого адаптера с микросхемой Secret Net ROM BIOS самостоятельно и совместно с УВИП на базе Touch Memory c COM-считывателем или идентифика- тором eToken R2 на компьютерах, на которых функционирует сетевой и автономный вариант Secret Net, осуществляется одинаково. Для установки сетевого адаптера (вариант 10 ) выполните следующие действия: 1. Установите на компьютер программное обеспечение Secret Net 9x/NT/2000 [ 5 - 10 ]. 2. Выключите компьютер и откройте корпус системного блока. 3. Выберите свободный слот системной шины PCI и аккуратно вставьте в него плату. 4. Закройте корпус системного блока компьютера. 5. Подключите сетевой кабель к внешнему разъёму платы. 6. Включите компьютер. Войдите в систему с правами администратора безопасности. 7. В диалоге "Устройства" окна настройки параметров Secret Net установите драй- вер для устройства "Плата Secret Net ROM BIOS". 8. Перезагрузите компьютер. Для установки сетевого адаптера совместно с УВИП на базе Touch Memory c COM- считывателем (вариант 5 ) выполните следующие действия: 1. Установите сетевой адаптер (см. выше). 2. Подключите COM-считыватель Touch Memory к свободному разъёму последова- тельного порта компьютера. 3. В Secret Net 2000 установите драйвер для COM-считывателя Touch Memory, расположенный на установочном компакт-диске. 4. Перезагрузите компьютер. 5. В диалоге "Устройства" окна настройки параметров Secret Net установите: • для Secret Net 9x/NT - драйвер "COM-считыватель Touch Memory" и номер порта; • для Secret Net 2000 - драйвер "COM-считыватель Touch Memory". 6. Перезагрузите компьютер. Для установки сетевого адаптера совместно с идентификатором eToken R2 (вари- ант 7 ) выполните следующие действия: 1. Установите сетевой адаптер (см. выше). 2. Установите драйвер для eToken R2, расположенный на установочном компакт- диске. 3. Подключите идентификатор eToken R2 к свободному разъёму USB-порта непосредственно или с помощью удлинителя. 4. В диалоге "Устройства" окна настройки параметров Secret Net установите драй- вер "USB-считыватель eToken". 5. Перезагрузите компьютер. 31
Добавил:
Вуз:
Предмет:
Файл:
Лаба 4.docx
Скачиваний:
9
Добавлен:
10.04.2023
Размер:
1.21 Mб
Скачать
В состав компонентов SNS, используемых
для локального управления, входят
следующие программные средства:
-
значок
Secret Net Studio в области
трея Windows; -
дополнительная
вкладка «Secret Net Studio» в диалоговом
окне настройки свойств ресурса (файла,
папки или устройства); -
программа
настройки подсистемы полномочного
управления доступом; -
диалоговое
окно «Управление Secret Net Studio» в
Панели управления Windows; -
программа
«Локальный центр управления»
(устанавливается в составе клиента
Secret Net Studio); -
программа
управления пользователями (для настройки
параметров локальных пользователей); -
программа
«Контроль программ и данных» в
локальном режиме работы; -
дополнительные
программные средства, описание работы
с которыми приводится в руководстве
администратора.
К локальным журналам относятся журнал
Secret Net Studio и штатные журналы ОС Windows
(журнал приложений, системный журнал и
журнал безопасности). Программа «Локальный
центр управления» позволяет
просматривать хранящиеся на компьютере
штатные журналы Windows и журнал SNS. Последний
может просматриваться только средствами
Secret Net Studio.
-
Откройте консоль ВМ StartSNS и авторизуйтесь
в гостевой ОС под учетной записью
администратора «adminsns». -
Откройте программу управления в
локальном режиме: «Пуск / Все программы
/ Код Безопасности / Secret Net Studio / Локальный
центр управления». Откроется окно
центра управления в автономном режиме.
Рис 5. Окно центра управления
-
На панели управления «Компьютер»
выберите вкладку «Настройки». В
левой части окна вы увидите список
настроек по разделам. В разделе «Политики
/ Базовая защита» выберите группу
параметров «Вход в систему». В
центральной части окна вы увидите
текущие параметры выбранной группы.
Рис 6. Текущие параметры настроек
-
Для политик группы «Вход в систему»
установите следующие значения:
-
«Максимальный
период неактивности до блокировки
экрана» – 15 минут (настройка применяется
после следующего входа в систему); -
«Запрет
вторичного входа в систему» –
«Включить» (для применения данной
настройки необходима перезагрузка
компьютера); -
«Реакция
на изъятие идентификатора» – оставьте
значение по умолчанию «Не блокировать»; -
«Количество
неудачных попыток аутентификации»
– 5 (настройка применяется после
следующего входа в систему); -
«Режим
идентификации пользователя» – «По
имени» (настройка применяется после
следующего входа в систему); -
Режим
аутентификации пользователя» –
«Стандартная аутентификация»
(изменение настройки применяется после
следующего входа в систему).
-
Настройте
регистрацию событий, относящихся к
работе политик группы «Вход в систему».
Для этого:
-
в
правой части заголовка группы нажмите
ссылку «Аудит». Обратите внимание,
что в левой части окна теперь выбрана
группа «Вход в систему» раздела
«Регистрация событий», а в центральной
части отображаются настройки этой
группы;
Рис 7. Настройка регистрации событий
-
по
умолчанию включена регистрация всех
событий. С помощью значка
ознакомьтесь с описаниями событий. В
рамках данной лабораторной работы не
выключайте регистрацию событий.
-
В левой части окна в категории «Политики
/ Базовая защита» выберите группу
«Журнал». Установите следующие
параметры:
-
«Максимальный
размер журнала системы защиты» –
4096 Кб; -
«Политика
перезаписи событий» – «Затирать
события по мере необходимости».
Рис 8. Установка параметров журнала
-
В категории «Политики / Базовая
защита» выберите группу «Теневое
копирование». Установите следующие
параметры:
-
«Размер
хранилища» – 15 %; -
«Автоматически
перезаписывать старые данные…» –
убедитесь, что в данном поле установлен
флажок.
Рис 9. Установка параметров теневого
копирования.
-
Используя описание п. 7 данной лабораторной
работы, просмотрите перечень типов
регистрируемых событий группы «Теневое
копирование».
Рис 10. Регистрируемые события группы
«Теневое копирование»
-
Чтобы активировать новые установленные
значения параметров политик безопасности
на вкладке «Настройки», нажмите
кнопку «Применить»
.
Дождитесь завершения операции сохранения
изменений и обратите внимание на
появившуюся запись об изменении политик
в панели событий. Перезагрузите ВМ
StartSNS и вновь запустите программу
управления. -
Просмотрите содержимое локальных
журналов в программе управления Secret
Net Studio. Для этого:
-
в
окне программы управления Secret Net Studio в
панели навигации выберите «Журналы»
.
Вы увидите перечень доступных для
просмотра локальных журналов;
Рис 11. Перечень доступных для просмотра
локальных журналов
-
для
того чтобы просмотреть полное содержимое
любого из журналов, достаточно выбрать
его двойным щелчком мыши. Выберите
журнал приложений. Обратите внимание,
что открылась вкладка просмотра записей
и в правой части окна появились кнопки,
позволяющие распечатать или сохранить
журнал в файл на диске;
Рис 12. Содержимое локального журнала
-
в
случае необходимости получить более
конкретную выборку записей журнала
можно составить запрос на формирование
выборки по определенным условиям.
Нажмите в правой части окна кнопку
«Запрос»
и в раскрывшейся панели с помощью кнопки
«Добавить правило» добавьте
следующие правила: «Дата» –
«Интервал» – «За последние 24
часа» и «Агент» – «Содержит»
– «Secret Net Studio»;
Рис 13. Настройки выборки журнала событий
-
нажмите
кнопку «Применить запрос локально»,
закройте панель настройки запроса,
нажав в правой части окна кнопку «Запрос»
,
и просмотрите полученный результат; -
подсистема
запросов позволяет формировать выборки
по более развернутым условиям, включая
записи из любых локальных журналов. На
панели инструментов нажмите кнопку
«Новый»
,
установите произвольные правила
фильтра, нажмите кнопку «Получить
журнал» и просмотрите результат; -
последовательно
просмотрите журналы безопасности и
Secret Net Studio.
-
Изменены некоторые локальные политики,
установлен максимальный размер журнала
системы защиты Secret Net Studio, показана
возможность выбора регистрируемых в
нем событий и в программе управления
SNS проведен просмотр локальных журналов.
Вывод: приобретены практические навыки
инсталляции и настройки программно-аппаратных
средств защиты от НСД к информации,
хранимой в ПЭВМ, инсталляции и настройки
электронных замков.
Средство защиты информации
Secret Net Studio – C
Руководство администратораПринципыпостроения
RU.88338853.501400.002 91 1
© Компания «Код Безопасности», 2019. Все права защищены.
Все авторские права на эксплуатационную документацию защищены.
Этот документ входит в комплект поставки изделия. На него распространяются все условиялицензионного соглашения. Без специального письменного разрешения компании «КодБезопасности» этот документ или его часть в печатном или электронном виде не могут бытьподвергнуты копированию и передаче третьим лицам с коммерческой целью.
Информация, содержащаяся в этом документе, может быть изменена разработчиком без спе-циального уведомления, что не является нарушением обязательств по отношению к пользо-вателю со стороны компании «Код Безопасности».
Почтовый адрес: 115127, Россия, Москва, а/я 66ООО «Код Безопасности»
Телефон: 8 495 982-30-20
E-mail: [email protected]
Web: https://www.securitycode.ru
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
2Secret Net Studio – C. Руководство администратораПринципы построения
ОглавлениеСписок сокращений 5
Введение 6
Общие сведения 7Назначение системы 7Основные функции 7Состав устанавливаемых компонентов 8
Назначение компонентов 8Лицензии на использование подсистем 9
Составные части клиента Secret Net Studio 10Группы функциональных компонентов клиента 10Базовая защита 10
Ядро 11Агент 11Средства локального управления 11Подсистема локальной аутентификации 11Подсистема контроля целостности 12Подсистема работы с аппаратной поддержкой 12Подсистема самозащиты 12
Подключаемые функциональные компоненты клиента 12Локальная защита 12Доверенная среда 12Сетевая защита 12
Механизмы защиты, реализуемые клиентом 13Защита входа в систему 13
Идентификация и аутентификация пользователей 13Блокировка компьютера 13Аппаратные средства защиты 14Общие сведения об интеграции Secret Net Studio и комплексов «Соболь» 16
Функциональный контроль подсистем 17Самозащита 18Регистрация событий 18Контроль целостности 18Дискреционное управление доступом к ресурсамфайловой системы 19Затирание удаляемой информации 21Контроль подключения и изменения устройств компьютера 22Разграничение доступа к устройствам 22Замкнутая программная среда 23Полномочное управление доступом 24Контроль печати 26Теневое копирование выводимых данных 26Защита информации на локальных дисках 27Шифрование данных в криптоконтейнерах 28Паспорт ПО 30Доверенная среда 30Межсетевой экран 31Авторизация сетевых соединений 31
Организация централизованного управления системой 32Взаимодействующие компоненты 32
Сервер безопасности 32Программа управления 32Клиент в сетевом режиме функционирования 32
Домены безопасности 33Сетевая структура Secret Net Studio 33
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
3Secret Net Studio – C. Руководство администратораПринципы построения
Управление доменными пользователями 34Централизованное хранение данных 34
Приложение 35Необходимые права для установки и управления 35
Установка и удаление компонентов 35Настройка механизмов и управление параметрами объектов 36Работа с программой управления в централизованном режиме 37
Оценка размера БД для сервера безопасности 38Рекомендации по настройке для соответствия требованиям о защите инфор-мации 40
Автоматизированные системы 40Государственные информационные системы 46Информационные системы персональных данных 51
Применение параметров после настройки 57
Документация 60
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
4Secret Net Studio – C. Руководство администратораПринципы построения
Список сокращенийAD Active Directory
API Application Programming Interface
BIOS Basic Input/Output System
FAT File Allocation Table
GPT GUID Partition Table
HTTPS Hypertext Transfer Protocol Secure
IEEE Institute of Electrical and Electronics Engineers
IMAPI Image Mastering Application Programming Interface
MBR Master Boot Record
MS Microsoft
MSDN Microsoft Developers Network
NTFS New Technology File System
PCMCIA Personal Computer Memory Card International Association
PKI Public Key Infrastructure
ReFS Resilient File System
SSL Secure Socket Layer
TLS Transport Layer Security
UDF Universal Disk Format
UEFI Unified Extensible Firmware Interface
USB Universal Serial Bus
VPN Virtual Private Network
XML Extensible Markup Language
XPS XML Paper Specification
АС Автоматизированная система
БД База данных
ДС Доверенная среда
ЗПС Замкнутая программная среда
ИС Информационная система
КЦ Контроль целостности
ОС Операционная система
ОУ Оперативное управление
ПАК Программно-аппаратный комплекс
ПО Программное обеспечение
РДУ Разграничение доступа к устройствам
СБ Сервер безопасности
СЗИ Средство или система защиты информации
СУБД Система управления базами данных
ФСТЭК Федеральная служба по техническому и экспортному контролю
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
5Secret Net Studio – C. Руководство администратораПринципы построения
ВведениеДанное руководство предназначено для администраторов изделия «Средство за-щиты информации Secret Net Studio – C» RU.88338853.501400.002 (далее —Secret Net Studio, система защиты, изделие). В нем содержатся сведения, необ-ходимые администраторам для ознакомления с принципами работы и воз-можностями применения Secret Net Studio.
Условныеобозначения
В руководстве для выделения некоторых элементов текста используется рядусловных обозначений.Внутренние ссылки обычно содержат указание на номер страницы с нужнымисведениями.Важная и дополнительная информация оформлена в виде примечаний. Степеньважности содержащихся в них сведений отображают пиктограммы на полях.• Так обозначается дополнительная информация, которая может содержать
примеры, ссылки на другие документы или другие части этого руководства.• Такой пиктограммой выделяется важная информация, которую необходимо
принять во внимание.• Эта пиктограмма сопровождает информацию предостерегающего характера.
Исключения. Примечания могут не сопровождаться пиктограммами. А на полях, помимо пикто-грамм примечаний, могут быть приведены и другие графические элементы, например, изображениякнопок, действия с которыми упомянуты в тексте расположенного рядом абзаца.
Другиеисточникиинформации
Сайт в интернете. Вы можете посетить сайт компании «Код Безопасности»(https://www.securitycode.ru/) или связаться с представителями компании поэлектронной почте ([email protected]).Учебные курсы. Освоить аппаратные и программные продукты компании «КодБезопасности» можно в авторизованных учебных центрах. Перечень учебныхцентров и условия обучения представлены на сайте компанииhttps://www.securitycode.ru/company/education/training- courses/ . Связаться cпредставителем компании по вопросам организации обучения можно по элек-тронной почте ([email protected]).
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
6Secret Net Studio – C. Руководство администратораПринципы построения
Глава 1Общие сведенияНазначение системы
Система Secret Net Studio предназначена для обеспечения безопасности инфор-мационных систем на компьютерах, функционирующих под управлением опера-ционных системMS Windows 10/8/7 и Windows Server 2019/2016/2012/2008.При использовании соответствующих подсистем изделие обеспечивает:• защиту от несанкционированного доступа к информационным ресурсам
компьютеров;• контроль устройств, подключаемых к компьютерам;• межсетевое экранирование сетевого трафика;• авторизацию сетевых соединений.Управление функционированием системы Secret Net Studio может осуществ-ляться централизованно или локально.
Основные функцииСистема Secret Net Studio реализует следующие основные функции:• Контроль входа пользователей в систему (идентификация и аутентификация
пользователей).• Дискреционное разграничение доступа к файловым ресурсам, устройствам,
принтерам.• Мандатное (полномочное) разграничение доступа к файловым ресурсам,
устройствам, принтерам, сетевым интерфейсам, включая:• контроль потоков конфиденциальной информации в системе;• контроль вывода информации на съемные носители.
• Контроль состояния устройств компьютера с возможностями:• блокирования компьютера при изменении состояния заданных
устройств;• блокирования подключения запрещенного устройства (устройства из
запрещенной группы).• Теневое копирование информации, выводимой на внешние носители и на пе-
чать.• Автоматическая маркировка документов, выводимых на печать.• Контроль целостности файловых объектов и реестра.• Создание замкнутой программной среды для пользователей (контроль запус-
ка исполняемых модулей, загрузки динамических библиотек, исполненияскриптов по технологии Active Scripts).
• Очистка оперативной и внешней памяти при ее перераспределении.• Изоляция процессов (выполняемых программ) в оперативной памяти.• Защита содержимого локальных жестких дисков при несанкционированной
загрузке операционной системы.• Создание доверенной среды (внешний по отношению к ОС контроль работы
ОС и системы защиты, установленных на компьютере).• Межсетевое экранирование сетевого трафика.• Авторизация сетевых соединений.• Управление ПАК «Соболь» (управление пользователями, контролем целост-
ности, получение событий безопасности).• Функциональный контроль ключевых защитных подсистем.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
7Secret Net Studio – C. Руководство администратораПринципы построения
• Самозащита от несанкционированных воздействий на ключевые защитныеподсистемы.
• Регистрация событий безопасности.• Централизованное и локальное управление параметрами работы механизмов
защиты.• Централизованное и локальное управление параметрами работы пользо-
вателей.• Мониторинг и оперативное управление защищаемыми компьютерами.• Централизованный сбор, хранение и архивирование журналов.
Состав устанавливаемых компонентовСистема Secret Net Studio состоит из следующих программных пакетов, устанав-ливаемых на компьютерах:1. «Secret Net Studio» (далее — клиент).2. «Secret Net Studio — Сервер безопасности» (далее — сервер безопасности или
СБ).3. «Secret Net Studio — Центр управления» (далее — программа управления).
Назначение компонентовКлиентКлиент системы Secret Net Studio предназначен для реализации защиты ком-пьютера, на котором установлен данный компонент. Защита реализуется путемприменения защитных механизмов, расширяющих и дополняющих средствабезопасности ОС Windows. Защитные механизмы — это совокупность настра-иваемых программных средств, входящих в состав клиента и обеспечивающихбезопасное использование ресурсов.Клиент может функционировать в следующих режимах:• автономный режим— предусматривает только локальное управление защит-
ными механизмами;• сетевой режим — предусматривает локальное и централизованное управ-
ление защитными механизмами, а также централизованное получениеинформации и изменение состояния защищаемых компьютеров.
Режим функционирования определяется при установке клиентского ПО и можетбыть изменен в процессе эксплуатации клиента (см. документ [3]).
Сервер безопасностиСервер безопасности реализует возможности централизованного управленияклиентами в сетевом режиме функционирования. Данный компонент обес-печивает:• хранение данных централизованного управления;• координацию работы других компонентов в процессе централизованного
управления системой;• получение от клиентов и обработку информации о состоянии защищаемых
компьютеров;• управление пользователями и авторизацией сетевых соединений;• централизованный сбор, хранение и архивирование журналов.
Программа управленияПрограмма управления используется для централизованного управления серве-рами безопасности и клиентами в сетевом режиме функционирования. Данныйкомпонент обеспечивает:• управление параметрами объектов;
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
8Secret Net Studio – C. Руководство администратораПринципы построения
• отображение информации о состоянии защищаемых компьютеров и произо-шедших событиях тревоги;
• загрузку журналов событий;• оперативное управление компьютерами.
Лицензии на использование подсистемМеханизмы защиты системы Secret Net Studio доступны для использования приналичии соответствующих зарегистрированных лицензий. Лицензируютсяследующие механизмы:• механизмы, входящие в базовую защиту (обязательная лицензия);• дискреционное управление доступом;• контроль устройств;• затирание данных;• замкнутая программная среда;• полномочное управление доступом;• контроль печати;• защита дисков и шифрование данных;• межсетевой экран;• авторизация сетевых соединений;• паспорт ПО;• доверенная среда.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
9Secret Net Studio – C. Руководство администратораПринципы построения
Глава 2Составные части клиента Secret Net StudioГруппы функциональных компонентов клиента
В состав клиента системы Secret Net Studio входят следующие функциональныекомпоненты:• основные программные службы, модули и защитные подсистемы (базовая за-
щита);• дополнительно подключаемые функциональные компоненты, условно разде-
ленные на следующие группы:• локальная защита;• доверенная среда;• сетевая защита.
Обобщенная структурная схема клиента представлена на следующем рисунке.
Базовая защитаВ базовую защиту входят следующие программные службы, модули и защитныеподсистемы:• ядро;• агент;• средства локального управления;• подсистема локальной аутентификации;• подсистема контроля целостности;• подсистема работы с аппаратной поддержкой;• подсистема самозащиты.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
10Secret Net Studio – C. Руководство администратораПринципы построения
ЯдроСлужба ядра автоматически запускается на защищаемом компьютере при еговключении и функционирует на протяжении всего времени работы компьютера.Она осуществляет управление подсистемами и обеспечивает их взаимодействие.Ядро выполняет следующие функции:• обеспечивает обмен данными между подсистемами клиента и обработку пос-
тупающих команд;• обеспечивает доступ других компонентов к информации, хранящейся в
локальной базе данных Secret Net Studio;• обрабатывает поступающую информацию о событиях, связанных с безопас-
ностью системы, и регистрирует их в журнале Secret Net Studio.Подсистема регистрации является одним из элементов ядра клиента. Она пред-назначена для управления регистрацией событий, связанных с работой системызащиты. Такие события регистрируются в журнале Secret Net Studio. Эта инфор-мация поступает от подсистем Secret Net Studio, которые следят за происхо-дящими событиями. Перечень событий Secret Net Studio, подлежащихрегистрации, устанавливается администратором безопасности.В локальной БД Secret Net Studio хранится информация о настройках системы за-щиты, необходимых для работы защищаемого компьютера. Локальная БД раз-мещается в реестре ОСWindows и специальных файлах.
АгентАгентом является программный модуль в составе клиента, обеспечивающий вза-имодействие с сервером безопасности. Агент принимает команды от сервера безо-пасности и отправляет ему данные о состоянии компьютера.Агент используется только в сетевом режиме функционирования клиента.
Средства локального управленияСредства локального управления обеспечивают:• управление объектами защиты (устройствами, файлами, каталогами);• управление параметрами пользователей и защитных механизмов;• формирование заданий на контроль целостности;• просмотр локальных журналов.
Подсистема локальной аутентификацииПодсистема используется в механизме защиты входа в систему. Cовместно с ОСWindows подсистема обеспечивает:• проверку возможности входа пользователя в систему;• оповещение пользователя о реализованных в системе мерах защиты инфор-
мации и о последнем входе в систему;• оповещение остальных модулей о начале или завершении работы пользо-
вателя;• блокировку работы пользователя;• загрузку данных с персональных идентификаторов пользователя;• усиленную аутентификацию пользователя при входе в систему.При обработке входа пользователя в систему осуществляется формированиеконтекста пользователя: определение его привилегий, уровня допуска и др.Дополнительно выполняется функциональный контроль работоспособности сис-темы Secret Net Studio.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
11Secret Net Studio – C. Руководство администратораПринципы построения
Подсистема контроля целостностиПодсистема контроля целостности обеспечивает проверку неизменности ресур-сов компьютера: каталогов, файлов, ключей и значений реестра. В составе меха-низма контроля целостности подсистема реализует защиту от подменыресурсов, сравнивая их с определенными эталонными значениями. Данная под-система выполняет контролирующие функции не при обращении пользователяк ресурсам, а при наступлении определенных событий в системе (загрузка, входпользователя, контроль по расписанию).
Подсистема работы с аппаратной поддержкойПодсистема используется в механизме защиты входа в систему для работы сустройствами аппаратной поддержки. Она обеспечивает взаимодействие сис-темы Secret Net Studio с определенным набором устройств и состоит из следу-ющих модулей:• модуль, обеспечивающий единый интерфейс обращения ко всем поддержи-
ваемым устройствам аппаратной поддержки;• модули работы с устройствами (каждый модуль обеспечивает работу с кон-
кретным устройством);• драйверы устройств аппаратной поддержки (если они необходимы).
Подсистема самозащитыДанная подсистема обеспечивает функционирование механизма самозащиты(см. стр.18).
Подключаемые функциональные компоненты клиента
Локальная защитаК группе локальной защиты относятся подсистемы, реализующие применениеследующих механизмов защиты:• контроль устройств;• контроль печати;• замкнутая программная среда;• полномочное управление доступом;• дискреционное управление доступом к ресурсамфайловой системы;• затирание данных;• защита информации на локальных дисках;• шифрование данных в криптоконтейнерах;• паспорт ПО.
Доверенная средаПодсистема «Доверенная среда» реализует применение одноименного меха-низма защиты.
Сетевая защитаК группе сетевой защиты относятся подсистемы, реализующие применениеследующих механизмов защиты:• межсетевой экран;• авторизация сетевых соединений.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
12Secret Net Studio – C. Руководство администратораПринципы построения
Глава 3Механизмы защиты, реализуемые клиентомЗащита входа в систему
Защита входа в систему обеспечивает предотвращение доступа посторонних лицк компьютеру. К механизму защиты входа относятся следующие средства:• средства для идентификации и аутентификации пользователей;• средства блокировки компьютера;• аппаратные средства защиты от загрузки ОС со съемных носителей.
Идентификация и аутентификация пользователейИдентификация и аутентификация пользователя выполняются при каждом вхо-де в систему. Штатная для ОС Windows процедура входа предусматривает вводимени и пароля пользователя или использование аппаратных средств, под-держиваемых операционной системой.В системе Secret Net Studio идентификация пользователей может выполняться вследующих режимах:• «По имени» — для входа в систему пользователь может ввести свои учетные
данные (имя и пароль) или использовать аппаратные средства, поддержи-ваемые ОС;
• «Смешанный» — для входа в систему пользователь может ввести свои учет-ные данные (имя и пароль) или использовать персональный идентификатор,поддерживаемый системой Secret Net Studio;
• «Только по идентификатору» — каждый пользователь для входа в системудолжен обязательно использовать персональный идентификатор, поддержи-ваемый системой Secret Net Studio.
В качестве персональных идентификаторов в Secret Net Studio применяютсясредства идентификации и аутентификации на базе идентификаторов eToken,RuToken, JaCarta, ESMART или iButton. Чтобы использовать эти устройства, необ-ходимо зарегистрировать их в системе защиты (присвоить пользователям).Аутентификация пользователей может выполняться в усиленном режиме с до-полнительной проверкой пароля пользователя системой Secret Net Studio. В ре-жиме усиленной аутентификации пароли пользователей проверяются насоответствие требованиям политики паролей как в операционной системе, так ив Secret Net Studio.Дополнительно для защиты компьютеров в Secret Net Studio предусмотреныследующие режимы:• разрешение интерактивного входа только для доменных пользователей — в
этом режиме блокируется вход в систему локальных пользователей (под ло-кальными учетными записями);
• запрет вторичного входа в систему — в этом режиме блокируется запуск ко-манд и сетевых подключений с вводом учетных данных другого пользователя(не выполнившего интерактивный вход в систему).
Блокировка компьютераСредства блокировки компьютера предназначены для предотвращения несанк-ционированного использования компьютера. В этом режиме блокируются устрой-ства ввода (клавиатура и мышь) и экран монитора.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
13Secret Net Studio – C. Руководство администратораПринципы построения
Блокировка при неудачных попытках входа в системуДля пользователей могут быть установлены ограничения на количество неу-дачных попыток входа в систему. В дополнение к стандартным возможностям ОСWindows (блокировка учетной записи пользователя после определенного числапопыток ввода неправильного пароля) система Secret Net Studio может контро-лировать неудачные попытки входа в систему при включенном режиме уси-ленной аутентификации по паролю. Если пользователь определенноеколичество раз вводит пароль, который не был сохранен в БД Secret Net Studio,— система блокирует компьютер. Разблокирование компьютера осуществляетсяадминистратором. Счетчик неудачных попыток обнуляется при удачном входепользователя или после разблокирования компьютера.
Временная блокировка компьютераРежим временной блокировки включается в следующих случаях:• если пользователь выполнил действие для включения блокировки;• если истек заданный интервал неактивности (простоя) компьютера.Для включения блокировки пользователь может применить стандартный способблокировки рабочей станции или изъять свой идентификатор из считывателя.Чтобы выполнялась блокировка при изъятии идентификатора, администраторунеобходимо настроить реакцию на это действие в политиках с помощью прог-раммы управления. Блокировка при изъятии идентификатора выполняется приусловии, что пользователь выполнил вход в систему с использованием этогоидентификатора.Блокировка по истечении заданного интервала неактивности осуществляетсяавтоматически и распространяется на всех пользователей компьютера.Для снятия временной блокировки необходимо указать пароль текущего пользо-вателя или предъявить его идентификатор.
Блокировка компьютера при работе защитных подсистемБлокировка компьютера предусмотрена и в алгоритмах работы защитных под-систем. Такой тип блокировки используется в следующих ситуациях:• при нарушении функциональной целостности системы Secret Net Studio;• при изменениях аппаратной конфигурации компьютера;• при нарушении целостности контролируемых объектов.Разблокирование компьютера в этих случаях осуществляется администратором.
Блокировка компьютера администратором оперативногоуправленияВ сетевом режиме функционирования блокировка и разблокирование защи-щаемого компьютера могут осуществляться удаленно по команде пользователяпрограммы управления.
Аппаратные средства защитыВ Secret Net Studio поддерживается работа с аппаратными средствами, пере-численными в следующей таблице.
Аппаратные средства Основные решаемые задачи
Средства идентификациии аутентификации на базеидентификаторов eToken,RuToken, JaCarta и ESMART
• Идентификация и аутентификация во время входапользователя после загрузки ОС.
• Идентификация и аутентификация во время входапользователя с удаленного компьютера.
• Снятие временной блокировки компьютера.• Хранение в идентификаторе пароля икриптографического ключа
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
14Secret Net Studio – C. Руководство администратораПринципы построения
Аппаратные средства Основные решаемые задачи
Устройство Secret Net Card • Идентификация и аутентификация во время входапользователя после загрузки ОС.
• Идентификация и аутентификация во время входапользователя с удаленного компьютера.
• Запрет загрузки ОС со съемных носителей.• Снятие временной блокировки компьютера.• Хранение в идентификаторе пароля икриптографического ключа
Программно-аппаратный комплекс(ПАК) «Соболь»
• Идентификация и аутентификация пользователей дозагрузки ОС.
• Идентификация и аутентификация во время входапользователя после загрузки ОС.
• Идентификация и аутентификация во время входапользователя с удаленного компьютера.
• Запрет загрузки ОС со съемных носителей.• Контроль целостности программной среды компьютерадо загрузки ОС.
• Снятие временной блокировки компьютера.• Хранение в идентификаторе пароля икриптографического ключа
Для идентификации и аутентификации пользователей могут применятьсяследующие средства:• идентификаторы iButton (поддерживаемые типы DS1992 — DS1996). Счи-
тывающее устройство iButton подключается к разъему платы ПАК «Соболь»или Secret Net Card;
• USB-ключи и смарт-карты (с любыми совместимыми USB-считывателями):
Продукт USB-ключи Смарт-карты
eToken PRO eToken PRO eToken Pro SC
eToken PRO (Java) eToken PRO (Java) eToken Pro (Java) SC
JaCarta PKI JaCarta PKIJaCarta PKI Flash
JaCarta PKI SC
JaCarta ГОСТ JaCarta ГОСТJaCarta PKI/ГОСТJaCarta ГОСТ Flash
JaCarta ГОСТ SC
JaCarta-2 ГОСТ JaCarta-2 ГОСТJaCarta-2 PKI/ГОСТ
JaCarta-2 PKI/ГОСТ SC
JaCarta SF/ГОСТ JaCarta SF/ГОСТ —
JaCarta PRO JaCarta PROJaCarta-2 PRO/ГОСТ
JaCarta PRO SCJaCarta-2 PRO/ГОСТ SC
JaCarta WebPass JaCarta WebPass —
JaCarta-2 SE JaCarta-2 SE —
JaCarta U2F JaCarta U2F —
JaCarta LT JaCarta LT —
RuToken S RuToken S (версия 2.0)RuToken S (версия 3.0)
—
RuToken ЭЦП RuToken ЭЦПRuToken ЭЦП 2.0RuToken ЭЦП TouchRuToken ЭЦП PKIRuToken ЭЦП Flash 2.0RuToken ЭЦП Bluetooth
RuToken ЭЦП SCRuToken ЭЦП 2.0 SC
RuToken Lite RuToken Lite RuToken Lite SC
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
15Secret Net Studio – C. Руководство администратораПринципы построения
Продукт USB-ключи Смарт-карты
ESMART Token ESMART Token ESMART Token SC
ESMART Token ГОСТ ESMART Token ГОСТESMART Token D
ESMART Token ГОСТ SCESMART Token D SC
Общие сведения об интеграции Secret Net Studio и комплексов»Соболь»Secret Net Studio может функционировать совместно с ПАК «Соболь». При этомПАК «Соболь» обеспечивает дополнительную защиту от несанкционированногодоступа к информационным ресурсам компьютера, на котором установлена сис-тема Secret Net Studio.
Примечание.В Secret Net Studio версии 8.4 и ниже реализована интеграция сПАК «Соболь» версий 3.х.В Secret Net Studio версии 8.5 и выше реализована интеграция с ПАК «Соболь» версии 4. ПАК «Со-боль» версии 4 является новым поколением продуктовой линейки ПАК «Соболь», архитектура и ин-терфейс которого значительно отличаются от ПАК «Соболь» версий 3.х. Особенности совместнойработы Secret Net Studio с ПАК «Соболь» версии 4 будут указаны отдельно либо в примечании к име-ющимся в руководствах сведениям.
В ПАК «Соболь» для интеграции с Secret Net Studio реализован режим совмест-ного использования. Также ПАК «Соболь» может функционировать самостоя-тельно в автономном режиме.В автономном режиме работы ПАК «Соболь» реализует свои основные функциидо старта операционной системы независимо от Secret Net Studio. Управлениепользователями, журналом регистрации событий, настройка общих параметровосуществляются средствами администрирования комплекса без ограничений.В режиме совместного использования (интеграции) значительная часть функ-ций управления комплексом осуществляется средствами администрированияSecret Net Studio. Перечень функций представлен в следующей таблице.
Функция Описание
Управление входом пользователяSecret Net Studio в комплекс «Соболь» спомощью идентификатора,инициализированного и присвоенногопользователю в системе Secret Net Studio
Пользователю предоставляются права наавтоматический вход в комплекс и далее всистему при однократном предъявленииидентификатора. Также для входа можетиспользоваться пароль, записанный впамять персонального идентификатора
Управление работой подсистемыконтроля целостности ПАК «Соболь»
Для ПАК «Соболь» задания на контрольцелостности файлов жесткого диска иобъектов реестра формируются средствамиадминистрирования Secret Net Studio
Автоматическая передача записейжурнала регистрации событий ПАК»Соболь» в журнал Secret Net Studio
Передача записей и их преобразованиеосуществляются автоматически при загрузкеподсистемы аппаратной поддержки SecretNet Studio
Подробные сведения о реализации этих функций содержатся в документе [3].
Внимание!• В режиме интеграции системы Secret Net Studio и комплекса «Соболь» идентификатор iButton
DS1992 не используется. Рекомендуется использовать идентификаторы DS1995, DS1996 илиUSB-ключи и смарт-карты, поддерживаемые ПАК «Соболь».
• Для использования Secret Net Studio совместно с комплексом «Соболь» необходимо установитьвспомогательное ПО комплекса (см. документацию на изделие).
Для обеспечения защиты данных в процессе централизованного управленияПАК «Соболь» в Secret Net Studio реализован ряд криптографических преобразо-
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
16Secret Net Studio – C. Руководство администратораПринципы построения
ваний на основе ГОСТ 28147–89, ГОСТ Р 34.10–2001. Перечень используемыхключей шифрования представлен в следующей таблице.
Наименованиеключа Назначение Место хранения
Симметричныйключ ЦУ
Шифрование аутентификаторов1в хранилище объектовцентрализованного управления SecretNet Studio.Расчет имитовставки для спискадоступных пользователю компьютеров
Персональныйидентификаторадминистратора
Закрытый ключЦУ
Расчет сессионного ключа компьютерапри выполнении операцийадминистрирования
Персональныйидентификаторадминистратора
Открытый ключЦУ
Расчет сессионного ключа компьютерапри выполнении операцийсинхронизации
Локальная база данныхуправляемогокомпьютера
Закрытый ключкомпьютера
Расчет сессионного ключа компьютерапри выполнении операцийсинхронизации
Локальная база данныхуправляемогокомпьютера
Открытый ключкомпьютера
Расчет сессионного ключа компьютерапри выполнении операцийадминистрирования
Служба каталогов
Сессионныйключкомпьютера
Шифрование информации,предназначенной для защищаемогокомпьютера
Не хранится(вычисляется впроцессе работы)
Ключпреобразованияпаролейкомплексов»Соболь»
В ПАК «Соболь» версий 3.х —шифрование информации в закрытойпамяти платы комплекса «Соболь».В ПАК «Соболь» версий 3.х и 4 —шифрование информации, хранящейся влокальной базе данных защищаемогокомпьютера
В ПАК «Соболь» версий3.х — закрытая памятьплаты комплекса»Соболь».В ПАК «Соболь» версии4 — локальная базаданных управляемогокомпьютера
Уникальныйномер платы2
Расшифрование информации из открытойпамяти платы комплекса «Соболь».Подпись внешних запросов
Локальная база данныхуправляемогокомпьютера
Функциональный контроль подсистемФункциональный контроль предназначен для обеспечения гарантии того, что кмоменту входа пользователя в ОС (т. е. к моменту начала работы пользователя)все ключевые защитные подсистемы загружены и функционируют.В случае успешного завершения функционального контроля этот факт регистри-руется в журнале Secret Net Studio.При неуспешном завершении функционального контроля в журнале Secret NetStudio регистрируется событие с указанием причин (это возможно при условииработоспособности ядра Secret Net Studio). Вход в систему разрешается толькопользователям, входящим в локальную группу администраторов компьютера.Одной из важных задач функционального контроля является обеспечение за-щиты ресурсов компьютера при запуске ОС в безопасном режиме (Safe mode). Бе-зопасный режим запуска не является штатным режимом функционирования длясистемы Secret Net Studio, однако при необходимости администратор может егоиспользовать для устранения неполадок. Поскольку в безопасном режиме не
1Аутентификатор — структураданных, хранящаяся в службе каталогов, которая совместнос паролем пользо-вателя используется в процедуреегоаутентификации.
2 Толькодля интеграции с ПАК «Соболь» версии 4.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
17Secret Net Studio – C. Руководство администратораПринципы построения
действуют некоторые функции системы защиты, функциональный контроль вэтих условиях завершается с ошибкой. В результате блокируется вход любыхпользователей, кроме администраторов. Поэтому при надлежащем соблюденииправил политики безопасности, когда никто из обычных пользователей не об-ладает полномочиями администратора, доступ к ресурсам компьютера в обходмеханизмов защиты невозможен.
СамозащитаМеханизм самозащиты предотвращает несанкционированные остановку крити-ческих служб и процессов и выгрузку драйверов Secret Net Studio, обеспечиваетзащиту программных модулей и ключей системного реестра, необходимых дляработы Secret Net Studio, от несанкционированной модификации или удаления.Также дополнительно может осуществляться контроль доступа пользователей справами локального администратора компьютера к программе «Локальныйцентр управления».События, связанные с функционированием механизма самозащиты, регистри-руются в журнале Secret Net Studio.Управление механизмом самозащиты может выполняться централизованно впрограмме управления или непосредственно на защищаемом компьютере в прог-рамме управления, работающей в локальном режиме. Управлять механизмом мо-гут только пользователи, обладающие необходимыми привилегиями.Для экстренных случаев предусмотрена возможность переключения механизмасамозащиты в сервисный режим, которое выполняется с помощью утилиты ко-мандной строки в защищенном или обычном режиме работы ОСWindows.
Регистрация событийВ процессе работы системы Secret Net Studio события, происходящие на ком-пьютере и связанные с безопасностью системы, регистрируются в журналеSecret Net Studio. Все записи журнала хранятся в файле на системном диске. Фор-мат данных идентичен формату журнала безопасности ОС Windows.Предоставляются возможности для настройки перечня регистрируемых событийи параметров хранения журнала. Это позволяет обеспечить оптимальный объемсохраняемых сведений с учетом размера журнала и нагрузки на систему.
Контроль целостностиМеханизм контроля целостности осуществляет слежение за неизменностьюконтролируемых объектов. Контроль проводится в автоматическом режиме в соот-ветствии с заданным расписанием.Объектами контроля могут быть файлы, каталоги, элементы системного реестраи секторы дисков (последние только при использовании ПАК «Соболь»). Каждыйтип объектов имеет свой набор контролируемых параметров. Например, файлымогут контролироваться на их существование, целостность содержимого, неиз-менность прав доступа, атрибутов.В системе предусмотрена возможность настройки периодичности контроля поопределенным дням и времени в течение дня. Запуск процесса контроля можетвыполняться при загрузке ОС, при входе пользователя в систему или после вхо-да.При проверке целостности могут применяться различные варианты реакции сис-темы на выполнение заданий контроля. Можно настраивать регистрацию опреде-ленных типов событий (успех или ошибка проверки отдельного объекта либовсего задания контроля) и действия в случае нарушения целостности (игнори-ровать ошибку, заблокировать компьютер, принять новое значение как эталон).Вся информация об объектах, методах, расписаниях контроля сосредоточена вспециальной структуре, которая называется модель данных. Модель данныххранится в локальной базе данных системы Secret Net Studio и представляет со-бой иерархический список объектов с описанием связей между ними.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
18Secret Net Studio – C. Руководство администратораПринципы построения
Используются следующие категории объектов в порядке от низшего уровняиерархии к высшему:• ресурсы;• группы ресурсов;• задачи;• задания;• субъекты управления (компьютеры, пользователи, группы компьютеров и
пользователей).Модель данных является общей для механизмов контроля целостности и за-мкнутой программной среды.Управление локальными моделями данных на защищаемых компьютерах можноосуществлять централизованно (для клиентов в сетевом режиме функ-ционирования). Для централизованного управления в глобальном каталоге со-здаются две модели данных — для компьютеров под управлением 32-разрядныхверсий ОС Windows и для компьютеров с 64- разрядными версиями опера-ционных систем. Такое разделение позволяет учитывать специфику ис-пользуемого ПО на защищаемых компьютерах с различными платформами.Каждая из централизованных моделей данных является общей для всех защи-щаемых компьютеров под управлением версий ОС Windows соответствующей раз-рядности (32- или 64- разрядные версии). При изменении параметровцентрализованной модели выполняется локальная синхронизация этих изме-нений на защищаемом компьютере. Новые параметры из централизованногохранилища передаются на компьютер, помещаются в локальную модель данныхи затем используются защитными механизмами.Синхронизация может выполняться в следующие моменты:• при загрузке компьютера;• при входе пользователя в систему;• после входа (в фоновом режиме во время работы пользователя);• периодически через определенные интервалы времени;• принудительно по команде администратора;• непосредственно после внесения изменений в ЦБД КЦ-ЗПС.Редактирование централизованных моделей данных осуществляется со сле-дующими особенностями: для изменения доступна та модель данных, котораясоответствует разрядности ОС Windows на рабочем месте администратора. Мо-дель данных другой разрядности доступна только для чтения (при этом можноэкспортировать данные из этой модели в другую). Таким образом, если в системеимеются защищаемые компьютеры с версиями ОС различной разрядности, дляцентрализованного управления моделями данных администратору следуеторганизовать два рабочих места — на компьютере с 32-разрядной версиейОС Windows и на компьютере с 64-разрядной версией ОС.
Дискреционное управление доступом к ресурсам файловойсистемы
В состав системы Secret Net Studio входит механизм дискреционного управлениядоступом к ресурсамфайловой системы. Этот механизм обеспечивает:• разграничение доступа пользователей к каталогам и файлам на локальных
дисках на основе матрицы доступа субъектов (пользователей, групп) к объек-там доступа;
• контроль доступа к объектам при локальных или сетевых обращениях, вклю-чая обращения от имени системной учетной записи;
• невозможность доступа к объектам в обход установленных прав доступа(если используются стандартные средства ОС или прикладные программыбез собственных драйверов для работы сфайловой системой);
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
19Secret Net Studio – C. Руководство администратораПринципы построения
• независимость действия от встроенного механизма избирательного разгра-ничения доступа ОСWindows. То есть установленные права доступа к файло-вым объектам в системе Secret Net Studio не влияют на аналогичные правадоступа в ОСWindows и наоборот.
Аналогично реализации в ОС Windows матрица доступа в системе Secret NetStudio представляет собой списки файловых объектов, в которых определеныучетные записи с правами доступа. Права устанавливают разрешения или запре-ты на выполнение операций. Перечень предусмотренных прав доступа пред-ставлен в следующей таблице.
Право доступа Действие для каталога Действие для файла
Чтение (R) Разрешает или запрещаетпросмотр имен файлов иподкаталогов
Разрешает или запрещает чтениеданных
Разрешает или запрещает просмотр атрибутов файлового объекта
Запись (W) Разрешает или запрещаетсоздание подкаталогов ифайлов
Разрешает или запрещаетвнесение изменений
Разрешает или запрещает смену атрибутов файлового объекта
Выполнение (X) Разрешает или запрещаетперемещение по структуреподкаталогов
Разрешает или запрещаетвыполнение
Удаление (D) Разрешает или запрещает удаление файлового объекта
Изменение правдоступа (P)
Разрешает или запрещает изменение прав доступа к файловомуобъекту. Пользователь, имеющий разрешение на изменение правдоступа к ресурсу, условно считается администратором ресурса
Права доступа для файлового объекта могут быть заданы явно или наследо-ваться от вышестоящего элемента иерархии. Явно заданные права имеют болеевысокий приоритет по сравнению с наследуемыми правами. Права доступа счи-таются заданными явно, если для объекта отключен режим наследования прав.Для управления списками доступа к любым файловым объектам предусмотренаспециальная привилегия «Дискреционное управление доступом: Управлениеправами доступа». Пользователи, обладающие этой привилегией, могут изме-нять права доступа для всех каталогов и файлов на локальных дисках (неза-висимо от установленных прав доступа к объектам).По умолчанию привилегией на управление правами доступа обладают поль-зователи, входящие в локальную группу администраторов. При этом для всехпользователей действуют разрешающие права доступа к любым ресурсам на чте-ние, запись, выполнение и удаление (RWXD). Эти права наследуются от кор-невых каталогов логических разделов. Во избежание непреднамереннойблокировки работы ОС, которая может произойти из-за некорректно установ-ленных прав доступа к ресурсам,— отсутствует возможность изменения прав дос-тупа для корневого каталога системного диска (%SystemDrive%) и всегосистемного каталога (%SystemRoot%).
Копирование и перемещение файловых объектовПри копировании файлового объекта для его копии принудительно включаетсярежим наследования прав доступа, даже если оригинальный объект обладает яв-но заданными правами.Перемещение файлового объекта в пределах своего логического раздела осущес-твляется с сохранением явно заданных прав доступа для этого объекта. Если дляобъекта включен режим наследования — после перемещения вступают в дей-ствие права того каталога, в который перемещен объект. При перемещенииобъекта в другой логический раздел принудительно включается режим насле-дования прав.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
20Secret Net Studio – C. Руководство администратораПринципы построения
Аудит операций с файловыми объектамиПри работе механизма дискреционного управления доступом в журнале SecretNet Studio могут регистрироваться события успешного доступа к объектам, запре-та доступа или изменения прав. По умолчанию регистрация событий успешногодоступа не осуществляется, а события запрета доступа и изменения праврегистрируются для всех файловых объектов. Включение и отключениерегистрации указанных событий осуществляется администратором безопасностипри настройке параметров групповых политик.Для файловых объектов можно детализировать аудит по выполняемым опера-циям, которые требуют определенных прав доступа. Например, включить аудитуспешного доступа при выполнении операций записи в файл или его удаления.Включение и отключение аудита операций может выполнять администратор ре-сурса при настройке дополнительных параметров прав доступа к файловомуобъекту.
Затирание удаляемой информацииЗатирание удаляемой информации делает невозможным восстановление и пов-торное использование данных после их удаления. Гарантированное уничто-жение достигается путем записи случайных последовательностей чисел на местоудаленной информации в освобождаемой области памяти.В Secret Net Studio – C реализованы следующие варианты затирания инфор-мации:• автоматическое затирание при удалении данных с устройств определенных
типов (локальные и сменные диски, оперативная память) при включениифункции затирания в программе управления;
Примечание. В Secret Net Studio – C реализована возможность исключения выбранных объек-тов (файлов и папок) из обработки при автоматическом затирании данных на локальных дискахи сменных носителях посредством создания списка исключений.
• затирание при удалении файловых объектов, выбранных пользователем, покоманде из контекстного меню;
• затирание по команде из контекстного меню пиктограммы Secret Net Studio впанели задач Windows всех данных (включая таблицу разделов, логическиетома, файловые объекты и остаточную информацию) на локальных дисках(кроме системного диска) и сменных носителях, подключенных к защища-емому компьютеру.
Для большей надежности может быть выполнено несколько циклов (проходов)затирания.При настройке механизма можно установить различное количество циклов зати-рания для локальных и сменных дисков, оперативной памяти; для файловыхобъектов, удаляемых с помощью специальной команды; для носителей инфор-мации при уничтожении всех данных на них.
Внимание!Затирание файла подкачки виртуальной памяти выполняется стандартными средствами ОСWindows при выключении компьютера. Если в Secret Net Studio включен режим затирания опе-ративной памяти, рекомендуется дополнительно в политиках Windows включить действие стан-дартного параметра «Завершение работы: очистка файла подкачки виртуальной памяти»(размещается в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности).Не осуществляется затирание файлов при их перемещении в папку «Корзина», так как во время на-хождения в этой папке файлы не удаляются с диска. Затирание таких файлов происходит послеочистки содержимого «Корзины».
Для снижения нагрузки на компьютер при удалении большого объема данных слокальных дисков и сменных носителей в Secret Net Studio реализован механизмотложенного затирания. Остаточные данные, подлежащие затиранию, добавля-
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
21Secret Net Studio – C. Руководство администратораПринципы построения
ются в очередь на обработку. Затирание выполняется в порядке очереди, с вре-менной задержкой, и завершается до выключения компьютера.
Контроль подключения и изменения устройств компьютераМеханизм контроля подключения и изменения устройств компьютера обес-печивает:• своевременное обнаружение изменений аппаратной конфигурации ком-
пьютера и реагирование на эти изменения;• поддержание в актуальном состоянии списка устройств компьютера, который
используется механизмом разграничения доступа к устройствам.Изменения аппаратной конфигурации отслеживаются системой защиты дляустройств с включенным режимом контроля «Устройство постоянно подключено ккомпьютеру».Начальная аппаратная конфигурация компьютера определяется на этапе уста-новки системы. При этом значения параметров контроля задаются по умол-чанию. Настройку политики контроля можно выполнить индивидуально длякаждого устройства или применять к устройствам наследуемые параметры от мо-делей, классов и групп, к которым относятся устройства.Используются следующие методы контроля конфигурации:• Статический контроль конфигурации. Каждый раз при загрузке компьютера
подсистема получает информацию об актуальной аппаратной конфигурациии сравнивает ее с эталонной.
• Динамический контроль конфигурации. Во время работы компьютера (а так-же при выходе из спящего режима) драйвер-фильтр устройств отслеживаетфакты подключения, отключения или изменения параметров устройств. Еслипроизошло изменение конфигурации, драйвер-фильтр выдает оповещениеоб этом и система выполняет определенные действия.
При обнаружении изменений аппаратной конфигурации система ожидает утвер-ждения этих изменений администратором безопасности. Процедура утвер-ждения аппаратной конфигурации необходима для санкционированияобнаруженных изменений и принятия текущей аппаратной конфигурации в ка-честве эталонной.
Разграничение доступа к устройствамРазграничение доступа пользователей к устройствам выполняется на основаниисписков устройств, которые формируются механизмом контроля подключения иизменения устройств (см. стр.22).Система Secret Net Studio предоставляет следующие возможности для разгра-ничения доступа пользователей к устройствам:• установка стандартных разрешений и запретов на выполнение операций с
устройствами;• назначение устройствам категорий конфиденциальности или допустимых
уровней конфиденциальности сессий пользователей — чтобы разграничитьдоступ с помощью механизма полномочного управления доступом.
Возможности по разграничению доступа зависят от типов устройств. Разграни-чение не осуществляется полностью или частично для устройств, имеющих осо-бую специфику использования или необходимых для работы компьютера.Например, не ограничивается доступ к процессору и оперативной памяти, огра-ничены возможности разграничения доступа для портов ввода/вывода.Для устройств с отключенным режимом контроля или запрещенных для подклю-чения не действует разграничение доступа по установленным разрешениям изапретам на выполнение операций. Права доступа пользователей к таким устрой-ствам не контролируются.При установке клиентского ПО системы Secret Net Studio выставляются правадоступа для всех обнаруженных устройств, поддерживающих такое
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
22Secret Net Studio – C. Руководство администратораПринципы построения
разграничение доступа. По умолчанию предоставляется полный доступ тремстандартным группам пользователей: «Система», «Администраторы» и «Все». Тоесть всем пользователям разрешен доступ без ограничений ко всем устройствам,обнаруженным на компьютере. Далее администратор безопасности раз-граничивает доступ пользователей к устройствам в соответствии с требованиямиполитики безопасности. Для этого можно выполнить настройку прав доступанепосредственно для устройств или для классов и групп, к которым они отно-сятся.Настройка прав доступа для классов и групп позволяет подготовить систему за-щиты к возможным подключениям новых устройств. При подключении новоеустройство включается в соответствующую группу, класс и модель (если есть).Доступ пользователей к этому устройству будет разграничен автоматически — всоответствии с правилами, которые установлены для группы, класса или модели.Разграничение доступа пользователей к устройствам с назначенными катего-риями конфиденциальности или уровнями конфиденциальности сессий осущес-твляется механизмом полномочного управления доступом.
Замкнутая программная средаМеханизм замкнутой программной среды позволяет определить для любогопользователя компьютера индивидуальный перечень программного обес-печения, разрешенного для использования. Система защиты контролирует иобеспечивает запрет использования следующих ресурсов:• файлы запуска программ и библиотек, не входящие в перечень разрешенных
для запуска и не удовлетворяющие определенным условиям;• сценарии, не входящие в перечень разрешенных для запуска и не заре-
гистрированные в базе данных.
Примечание.Сценарий (называемый также скрипт) представляет собой последовательность исполняемыхкоманд и/или действий в текстовом виде. Система Secret Net Studio контролирует выполнениесценариев, созданных по технологии Active Scripts.
Попытки запуска неразрешенных ресурсов регистрируются в журнале как собы-тия тревоги.На этапе настройки механизма составляется список ресурсов, разрешенных длязапуска и выполнения. Список может быть сформирован автоматически на осно-вании сведений об установленных на компьютере программах или по записямжурналов (журнал безопасности или журнал Secret Net Studio), содержащихсведения о запусках программ, библиотек и сценариев.Для файлов, входящих в список, можно включить проверку целостности с исполь-зованием механизма контроля целостности (см. стр.18). По этой причине меха-низм замкнутой программной среды и механизм контроля целостностииспользуют единую модель данных.Механизм замкнутой программной среды не осуществляет блокировку запус-каемых программ, библиотек и сценариев в следующих случаях:• при наличии у пользователя привилегии «Замкнутая программная среда: Не
действует» (по умолчанию привилегия предоставлена администраторамкомпьютера) — контроль запускаемых пользователем ресурсов не осущес-твляется;
• при включенном мягком режиме работы подсистемы замкнутой программнойсреды — в этом режиме контролируются попытки запуска программ, биб-лиотек и сценариев, но разрешается использование любого ПО. Этот режимобычно используется на этапе настройки механизма.
Изоляция процессовВ системе Secret Net Studio может применяться режим изоляции процессов дляпредотвращения стороннего доступа к данным определенных исполняемых моду-
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
23Secret Net Studio – C. Руководство администратораПринципы построения
лей. При действующем режиме контролируются следующие операции с дан-ными, которыми обмениваются различные процессы:• чтение данных из буфера обмена;• чтение данных в окне другого процесса;• запись данных в окно другого процесса;• перетаскивание данных между процессами методом drag-and-drop.Процесс считается изолированным, если в модели данных включена изоляциядля ресурса, являющегося исполняемым файлом этого процесса. Для изолиро-ванного процесса обмен данными с другими процессами невозможен. Разреша-ется использование буфера обмена только при записи и чтении данных одного итого же процесса. Неизолированные процессы обмениваются данными без огра-ничений.Изоляция процессов реализуется при включенном механизме замкнутой про-граммной среды (должен функционировать драйвер механизма). Режим работымеханизма ЗПС может быть любым. При этом для исключения возможностейзапуска копий исполняемых файлов в неизолированной среде рекомендуетсянастроить механизм ЗПС и включить жесткий режим работы механизма.
Полномочное управление доступомМеханизм полномочного управления доступом обеспечивает:• разграничение доступа пользователей к информации, которой назначена
категория конфиденциальности (конфиденциальная информация);• контроль подключения и использования устройств с назначенными катего-
риями конфиденциальности;• контроль потоков конфиденциальной информации в системе;• контроль использования сетевых интерфейсов, для которых указаны допус-
тимые уровни конфиденциальности сессий пользователей;• контроль печати конфиденциальных документов.По умолчанию в системе предусмотрены категории конфиденциальности:»Неконфиденциально» (для общедоступной информации), «Конфиденциально»и «Строго конфиденциально». При необходимости можно увеличить количествоиспользуемых категорий и задать для них названия в соответствии со стан-дартами, принятыми в вашей организации. Максимально возможное количествокатегорий — 16.Категорию конфиденциальности можно назначить для следующих ресурсов:• локальные физические диски (кроме диска с системным логическим раз-
делом) и любые устройства, включаемые в группы устройств USB, PCMCIA,IEEE1394 или Secure Digital;
• каталоги и файлы на локальных физических дисках.
Пояснение.Каталогам и файлам, находящимся на устройствах из групп USB, PCMCIA, IEEE1394, SecureDigital (сменные носители), категория конфиденциальности непосредственно не назначается.Для них действует категория конфиденциальности, назначенная устройству.
Доступ пользователя к конфиденциальной информации осуществляется в соот-ветствии с его уровнем допуска. Если уровень допуска пользователя ниже, чемкатегория конфиденциальности ресурса,— система блокирует доступ к этому ре-сурсу. После получения доступа к конфиденциальной информации уровеньконфиденциальности программы (процесса) повышается до категорииконфиденциальности ресурса. Это необходимо для того, чтобы исключитьвозможность сохранения конфиденциальных данных в файлах с меньшей кате-горией конфиденциальности.Полномочное разграничение доступа на уровне устройств осуществляется следу-ющим образом. Если устройство подключается во время сеанса работы пользо-вателя с уровнем допуска ниже, чем категория устройства, система блокирует
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
24Secret Net Studio – C. Руководство администратораПринципы построения
подключение устройства. При подключении такого устройства до начала сеансаработы пользователя — запрещается вход пользователя в систему. В режимеконтроля потоков уровень конфиденциальности сессии пользователя долженсоответствовать категориям всех подключенных устройств.Функционирование устройства разрешено независимо от уровня допуска пользо-вателя, если для этого устройства включен режим «без учета категорииконфиденциальности». Данный режим включен по умолчанию.Доступ к содержимому конфиденциального файла предоставляется пользо-вателю, если категория файла не превышает уровень допуска пользователя. Приэтом также учитывается категория конфиденциальности устройства.Категория конфиденциальности локального физического диска имеет более вы-сокий приоритет, чем категории файлов (каталогов), расположенных на этомустройстве. Если категория файла (каталога) ниже категории конфиден-циальности устройства, система считает категорию файла (каталога) равнойкатегории устройства. Если же категория файла (каталога) превышает кате-горию конфиденциальности устройства, такое состояние считается не-корректным, и доступ к файлу (каталогу) запрещается.На всех подключенных к компьютеру устройствах из групп устройств USB,PCMCIA, IEEE1394, Secure Digital (сменные носители) самим файлам и каталогамкатегория конфиденциальности не назначается. Для всех этих файлов и ка-талогов всегда действует категория, назначенная устройству.
Режим контроля потоковПри использовании механизма в режиме контроля потоков конфиденциальнойинформации всем процессам обработки данных в системе присваивается единыйуровень конфиденциальности. Нужный уровень конфиденциальности из числадоступных пользователю выбирается перед началом сессии работы на ком-пьютере. Этот уровень нельзя изменить до окончания сессии.В режиме контроля потоков сохранение информации разрешено только с кате-горией, равной уровню конфиденциальности сессии. Полностью запрещаетсядоступ к данным, категория которых превышает уровень конфиденциальностисессии (даже если уровень допуска пользователя позволяет доступ к таким дан-ным). Таким образом, режим контроля потоков обеспечивает строгое соблюдениепринципов полномочного разграничения доступа и предотвращает несанкци-онированное копирование или перемещение конфиденциальной информации.В режиме контроля потоков запрещается использование устройств, которымназначена категория конфиденциальности, отличающаяся от выбранного уров-ня сессии. Если на момент входа пользователя к компьютеру подключены устрой-ства с различными категориями конфиденциальности, вход запрещается попричине конфликта подключенных устройств. Использование устройств, кото-рым назначена категория конфиденциальности выше, чем уровень допускапользователя, ограничивается так же, как и при отключенном режиме контроляпотоков.Режим контроля потоков позволяет установить ограничения на использованиесетевых интерфейсов. Для каждого сетевого интерфейса можно выбрать уровниконфиденциальности сессий, в которых этот интерфейс будет доступен пользо-вателю. Если открыта сессия с другим уровнем конфиденциальности, функ-ционирование этого интерфейса блокируется системой защиты. Это позволяеторганизовать работу пользователя в различных сетях в зависимости от выбран-ного уровня конфиденциальности сессии.Для сетевых интерфейсов предусмотрен режим доступности «Адаптер доступенвсегда» (включен по умолчанию). В этом режиме функционирование сетевого ин-терфейса разрешено независимо от уровня конфиденциальности сессии.
Вывод конфиденциальной информацииМеханизм полномочного управления доступом осуществляет контроль выводаконфиденциальной информации на внешние носители. Внешними носителями всистеме Secret Net Studio считаются сменные диски, для которых включен режим
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
25Secret Net Studio – C. Руководство администратораПринципы построения
доступа «без учета категории конфиденциальности». При копировании или пере-мещении конфиденциального ресурса на такой носитель не сохраняется егокатегория конфиденциальности. Поэтому чтобы осуществлять вывод конфиден-циальной информации на внешние носители в режиме контроля потоков, поль-зователь должен обладать соответствующей привилегией.Для предотвращения несанкционированного вывода конфиденциальных доку-ментов на локальные и сетевые принтеры используется механизм контроля пе-чати. Механизм обеспечивает вывод конфиденциальных документов на печатьтолько при наличии соответствующей привилегии. Также в распечатываемыедокументы может автоматически добавляться специальный маркер (гриф), вкотором указывается категория конфиденциальности документа. События пе-чати регистрируются в журнале Secret Net Studio.
Контроль печатиМеханизм контроля печати обеспечивает:• разграничение доступа пользователей к принтерам; • регистрацию событий вывода документов на печать в журнале Secret Net
Studio;• вывод на печать документов с определенной категорией конфиден-
циальности;• автоматическое добавление грифа в распечатываемые документы (марки-
ровка документов);• теневое копирование распечатываемых документов.Для реализации функций маркировки и/или теневого копирования распечаты-ваемых документов в систему добавляются драйверы «виртуальных принтеров».Виртуальные принтеры соответствуют реальным принтерам, установленным накомпьютере. Список виртуальных принтеров автоматически формируется привключении контроля печати и режима теневого копирования. Печать в этом слу-чае разрешается только на виртуальные принтеры.При печати на виртуальный принтер выполняются дополнительные преоб-разования для получения образа распечатываемого документа в форматеXML Paper Specification (XPS). Далее XPS-документ копируется в хранилище те-невого копирования (если для принтера включена функция теневого копиро-вания), модифицируется нужным образом и после этого передается для печати всоответствующее печатающее устройство.
Теневое копирование выводимых данныхМеханизм теневого копирования обеспечивает создание в системе дубликатовданных, выводимых на съемные носители информации. Дубликаты (копии)сохраняются в специальном хранилище, доступ к которому имеют только уполно-моченные пользователи. Действие механизма распространяется на те устрой-ства, для которых включен режим сохранения копий при записи информации.При включенном режиме сохранения копий вывод данных на внешнее устрой-ство возможен только при условии создания копии этих данных в хранилище те-невого копирования. Если по каким- либо причинам создать дубликатневозможно, операция вывода данных блокируется.Теневое копирование поддерживается для устройств следующих видов:• подключаемые сменные диски;• дисководы гибких дисков;• дисководы оптических дисков с функцией записи;• принтеры.При выводе данных на подключаемый сменный диск (например, USB-флеш-на-копитель) в хранилище теневого копирования создаются копии файлов, запи-санных на носитель в ходе операции вывода. Если файл открыт для
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
26Secret Net Studio – C. Руководство администратораПринципы построения
редактирования непосредственно со сменного носителя, при сохранении новойверсии файла в хранилище будет создан его отдельный дубликат.Для устройства записи оптических дисков механизм теневого копирования со-здает в хранилище образ диска, если для записи используется интерфейс ImageMastering API (IMAPI), или копии файлов, если запись осуществляется в форматефайловой системы Universal Disk Format (UDF).
Внимание!Некоторые программные пакеты, имеющие функцию записи оптических дисков, используют собст-венные драйверы управления устройствами. Такие драйверы могут осуществлять доступ к устрой-ству в обходмеханизма теневого копирования. Для обеспечения гарантированного контроля записьдисков необходимо осуществлять только с использованиемштатных средств ОС Windows.
Теневое копирование распечатываемых документов осуществляется с исполь-зованием механизма контроля печати (см. стр.26). В качестве копии выводимойна печать информации сохраняется образ печатаемого документа в формате XPS(сокр. от XML Paper Specification) — открытый графический формат фиксиро-ванной разметки на базе языка XML, разработанный компанией Microsoft.Контроль вывода данных с помощью механизма теневого копирования являетсяодной из задач аудита. События вывода данных регистрируются в журналеSecret Net Studio. Доступ к дубликатам в хранилище теневого копированияосуществляется с помощью программы управления Secret Net Studio в локальномрежиме работы. Программа предоставляет средства для поиска по содержимомухранилища.Администратор настраивает функционирование механизма теневого копиро-вания в программе управления. При настройке определяются параметры храни-лища теневого копирования, а также включается или отключается действиемеханизма для устройств или принтеров.
Защита информации на локальных дискахМеханизм защиты информации на локальных дисках компьютера (механизм за-щиты дисков) предназначен для блокирования доступа к жестким дискам принесанкционированной загрузке компьютера. Загрузка считается санкциони-рованной, если она выполнена средствами операционной системы с установ-ленным клиентским ПО Secret Net Studio. Все другие способы загрузки ОСсчитаются несанкционированными (например, загрузка с внешнего носителяили загрузка другой ОС, установленной на компьютере).Механизм обеспечивает защиту информации при попытках доступа, осуществ-ляемых с помощью штатных средств операционной системы.Действие механизма защиты дисков основано на модификации загрузочных сек-торов (boot-секторов) логических разделов на жестких дисках компьютера. Со-держимое загрузочных секторов модифицируется путем кодирования сиспользованием специального ключа, который автоматически генерируется привключении механизма. При этом часть служебных данных для механизма за-щиты дисков сохраняется в системном реестре.Модификация позволяет скрыть информацию о логических разделах принесанкционированной загрузке компьютера — разделы с модифицированнымизагрузочными секторами будут восприниматься системой как неформати-рованные или поврежденные. При санкционированной загрузке компьютераосуществляется автоматическое раскодирование содержимого boot-секторов за-щищенных логических разделов при обращении к ним.Выбор логических разделов, для которых устанавливается режим защиты (тоесть модифицируются boot-секторы), осуществляет администратор.Механизм защиты дисков может использоваться при условии, если физическийдиск, с которого выполняется загрузка ОС, относится к одному из следующих ти-пов:• диск с таблицей разделов на идентификаторах GUID (GUID Partition Table —
GPT) на компьютере с интерфейсом UEFI (Unified Extensible Firmware
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
27Secret Net Studio – C. Руководство администратораПринципы построения
Interface). При включении механизма на диск записывается специальный за-грузчик Secret Net Studio в скрытом системном UEFI-разделе, после чего за-грузчик регистрируется в UEFI;
• диск с основной загрузочной записью (Master Boot Record — MBR). При вклю-чении механизма на этом диске модифицируется MBR и часть остального про-странства нулевой дорожки диска.
Внимание!При использовании диска с основной загрузочной записью в настройках BIOS компьютера долж-на быть отключена функция проверки загрузочных вирусов. Для отключения функции уста-новите значение «Disabled» для параметра «Boot Virus Detection» (наличие данной функции иназвание параметра зависит от используемой версии BIOS).
При работе механизма обеспечивается защита до 128 логических разделов приобщем количестве физических дисков до 32. Логические разделы, для которыхустанавливается режим защиты, должны иметь файловую систему FAT, NTFS илиReFS. Разделы могут быть на физических дисках с основной загрузочной за-писью (MBR) или с таблицей разделов на идентификаторах GUID (GPT). Диски сдругими типами разбиения на логические разделы не поддерживаются (напри-мер, динамические диски).При использовании механизма защиты дисков на компьютере должна быть уста-новлена только одна операционная система. Если установлено несколько ОС, по-сле включения механизма в одной из них не гарантируется устойчивая работаостальных ОС.
Шифрование данных в криптоконтейнерахСистема Secret Net Studio предоставляет возможность шифрования содержимогообъектов файловой системы (файлов и папок). Для операций зашифрования ирасшифрования используются специальные хранилища — криптографическиеконтейнеры или криптоконтейнеры.Физически криптоконтейнер представляет собой файл, который можно подклю-чить к системе в качестве дополнительного диска. Криптоконтейнер являетсяобразом диска, но все действия с ним выполняются через драйвер механизмашифрования. Драйвер обеспечивает работу с пользовательскими данными вконтейнере в режиме «прозрачного шифрования». То есть пользователь, послеподключения криптоконтейнера в качестве диска, выполняет операции с фай-лами на этом диске так же, как и на любом другом носителе. Дополнительныхдействий для зашифрования или расшифрования файлов не требуется. Все крип-тографические операции с файлами выполняются автоматически.Криптоконтейнеры можно подключать к системе с локальных дисков, сменныхносителей или с сетевых ресурсов. Доступный объем для записи данных ука-зывается при создании криптоконтейнера. Предельное ограничение объемаопределяется исходя из свободного пространства на ресурсе и типа файловойсистемы. Минимальный размер контейнера— 1 МБ.Для разграничения доступа пользователей к криптоконтейнерам в системеSecret Net Studio предусмотрены следующие права:• чтение данных — предоставляет только возможности чтения файлов в крип-
токонтейнере;• полный доступ к данным— предоставляет возможности чтения и записи фай-
лов в криптоконтейнере;• управление криптоконтейнером — предоставляет возможности управления
списком пользователей, имеющих доступ к криптоконтейнеру, а также чте-ния и записи файлов.
Создание криптоконтейнеров доступно пользователям с соответствующей при-вилегией. По умолчанию эта привилегия предоставлена всем учетным записям,которые входят в локальные группы администраторов или пользователей.Пользователь, создавший криптоконтейнер, получает право на управление им ив дальнейшем может делегировать (предоставить) это право доступа другому
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
28Secret Net Studio – C. Руководство администратораПринципы построения
пользователю. При необходимости создатель криптоконтейнера может быть уда-лен из списка пользователей с правами доступа с тем условием, что в списке бу-дет присутствовать хотя бы один пользователь с правами на управлениекриптоконтейнером.Для работы с шифрованными ресурсами пользователи должны иметь ключишифрования. Процедуры генерации и выдачи ключей выполняются администра-тором безопасности. Для пользователей создаются ключевые пары, каждая из ко-торых состоит из открытого и закрытого ключей. Открытые ключи хранятся вобщем хранилище (для ключей локальных пользователей используется ло-кальная БД Secret Net Studio, для доменных — хранилище глобального ка-талога). Закрытые ключи хранятся в ключевых носителях, присвоенныхпользователям. Носителями для хранения закрытых ключей (ключевой инфор-мации) могут являться идентификаторы или сменные носители, такие как флеш-карты, флеш-накопители и т. п.
Общие сведения о ключевой схемеРеализация ключевой схемы шифрования криптоконтейнеров базируется на ал-горитмах ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и ГОСТ 28147–89. Во времякриптографических операций генерируются и вычисляются определенные на-боры ключей и дополнительных значений, используемых для доступа к крип-токонтейнеру.Криптоконтейнер содержит следующие группы данных:• управляющая информация криптоконтейнера — представляет собой струк-
туру зашифрованных ключей и значений для доступа к криптоконтейнеру;• зашифрованные данные пользователей — криптографически преобразо-
ванные файлы, помещенные в криптоконтейнер пользователями.Управляющая информация криптоконтейнера формируется при его создании.Изначально в этой структуре совместно с другими сведениями сохраняется откры-тый ключ пользователя, создавшего криптоконтейнер. Далее в процессе форми-рования списка пользователей, имеющих доступ к контейнеру, открытые ключиэтих пользователей также помещаются в структуру. С использованием открытыхключей шифруются соответствующие части структуры.Файлы, помещаемые пользователями в криптоконтейнер, шифруются с исполь-зованием ключей шифрования, рассчитанных на основе базового ключа шифро-вания — общего для всех пользователей криптоконтейнера. Базовый ключшифрования генерируется при создании криптоконтейнера. Вычисление ключаосуществляется при доступе к криптоконтейнеру с помощью закрытого ключапользователя.Для дополнительной защиты базового ключа шифрования может исполь-зоваться специальный «корпоративный ключ». Данный ключ генерируется присоздании криптоконтейнера, если включен параметр «использовать корпора-тивный ключ». Ключ сохраняется в системном реестре компьютера и приме-няется для зашифрования и расшифрования базового ключа.При использовании корпоративного ключа доступ к криптоконтейнеру возможенпри условии, если ключ хранится в системном реестре (в зашифрованном виде).Поэтому для доступа к криптоконтейнеру на другом компьютере корпоративныйключ необходимо импортировать в реестр этого компьютера.
Смена ключейВ процессе эксплуатации системы следует регулярно выполнять смену ключейпользователей и базовых ключей шифрования криптоконтейнеров.Смена ключей пользователя выполняется самим пользователем или администра-тором безопасности. Периодичность смены ключей пользователей контро-лируется системой и может настраиваться путем ограничения максимального иминимального сроков действия ключей. При смене ключей пользователя в си-стеме сохраняются две ключевые пары — текущая и предыдущая. Предыдущаяключевая пара необходима для перешифрования на новом ключе
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
29Secret Net Studio – C. Руководство администратораПринципы построения
соответствующей части управляющей информации в криптоконтейнерах пользо-вателя. Процесс перешифрования управляющей информации запускается авто-матически после смены ключей.
Внимание!Автоматическое перешифрование управляющей информации возможно при условии доступностикриптоконтейнера. Например, если криптоконтейнер недоступен по сети или находится на сменномносителе, который не подключен в данный момент, — перешифрование не происходит. В этом слу-чае после смены ключей для перешифрования управляющей информации пользователю необ-ходимо выполнить какую- либо операцию с таким криптоконтейнером (например, подключитькриптоконтейнер) до следующей смены ключей. Иначе во время следующей смены будет замененапредыдущая ключевая пара, и пользовательне сможет получитьдоступ к криптоконтейнеру из-за не-совпадения ключей. Для возобновления доступа потребуется удалить пользователя из списка име-ющих доступ к криптоконтейнеру и затем снова добавитьв этот список.
Смена базового ключа шифрования криптоконтейнера выполняется поль-зователем с правами на управление криптоконтейнером. Для смены базовогоключа пользователь инициирует процедуру перешифрования криптоконтей-нера, в результате чего все зашифрованные данные криптоконтейнера будутперешифрованы на новом базовом ключе. При использовании корпоративногоключа его смена происходит автоматически при смене базового ключа.
Паспорт ПОМеханизм «Паспорт ПО» предназначен для контроля состава и целостности ПО,установленного на защищаемых компьютерах. Контроль ПО осуществляетсяпосредством сканирования исполняемых файлов и расчета их контрольныхсумм. Совокупность контролируемых файлов на дисках компьютера пред-ставляет программную среду для сбора данных и анализа изменений.Распознавание исполняемых файлов осуществляется по расширениям имен. Пе-речень расширений и каталоги поиска файлов можно настраивать. Ска-нирование выполняется периодически по расписанию или в произвольныемоменты времени по команде пользователя.После сканирования полученные данные о состоянии программной среды (СПС)защищаемого компьютера загружаются на сервер безопасности и получают ста-тус проекта паспорта для компьютера. Эти данные сравниваются с результатамипредыдущего сканирования, которые хранятся в виде утвержденного паспорта.Изменения анализируются, и при необходимости проект паспорта утверждаетсяв качестве текущего паспорта защищаемого компьютера.
Доверенная средаДоверенная среда Secret Net Studio является механизмом защиты, обеспечи-вающим внешний по отношению к ОС контроль работы ОС и системы защиты,установленных на компьютере. Контроль достигается выполнением следующихфункций безопасности:• контроль целостности модулей Secret Net Studio (драйверов, служб, прило-
жений);• контроль запуска и функционирования модулей Secret Net Studio (драйве-
ров, служб, приложений);• блокировка от записи страниц памяти, в которых размещаются модули Secret
Net Studio;• обнаружение компьютерных атак, их предотвращение или аварийное завер-
шение работы ОС компьютера при невозможности предотвращения атаки;• регистрация событий в журнале ДС.При функционирующей ДС загрузка ОС компьютера осуществляется с исполь-зованием загрузочного носителя, подготовленного заранее средствами SecretNet Studio.
Примечание.ДСдоступна в Secret Net Studio версии 8.5 и выше.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
30Secret Net Studio – C. Руководство администратораПринципы построения
Межсетевой экранSecret Net Studio обеспечивает контроль сетевого трафика на сетевом, транс-портном и прикладном уровнях на основе формируемых правилфильтрации.Подсистема межсетевого экранирования Secret Net Studio реализует следующиеосновные функции:• фильтрация на сетевом уровне с независимым принятием решений по каж-
дому пакету;• фильтрация пакетов служебных протоколов (ICMP, IGMP и т.д.), необхо-
димых для диагностики и управления работой сетевых устройств;• фильтрация с учетом входного и выходного сетевого интерфейса для про-
верки подлинности сетевых адресов;• фильтрация на транспортном уровне запросов на установление виртуальных
соединений (TCP-сессий);• фильтрация на прикладном уровне запросов к прикладным сервисам
(фильтрация по символьной последовательности в пакетах);• фильтрация с учетом полей сетевых пакетов;• фильтрация с учетом даты/времени суток.Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE802.3) и Wi-Fi (IEEE 802.11b/g/n). События, связанные с работой межсетевогоэкрана, регистрируются в журнале Secret Net Studio.
Авторизация сетевых соединенийПри действующем механизме авторизации сетевых соединений осуществляетсядобавление специальной служебной информации к сетевым пакетам, с помощьюкоторой обеспечивается аутентичность и целостность передаваемых данных изащита от атак типа Man in the Middle.Подсистема авторизации сетевых соединений обеспечивает:• получение с сервера авторизации, входящего в состав компонента «Secret
Net Studio — Сервер безопасности», правил авторизации соединений (списокпараметров соединений, в которые добавляется служебная информация);
• получение с сервера авторизации сессионных данных для добавления слу-жебной информации;
• добавление в сетевой трафик специальной служебной информации для паке-тов, удовлетворяющих правилам авторизации;
• разбор специальной служебной информации во входящих пакетах и пере-дачу информации о контексте удаленного пользователя в подсистему меж-сетевого экранирования для фильтрации по правилам.
Авторизация сетевых соединений осуществляется на интерфейсах Ethernet(IEEE 802.3) и Wi-Fi (IEEE 802.11b/g/n).
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
31Secret Net Studio – C. Руководство администратораПринципы построения
Глава 4Организация централизованногоуправления системойВзаимодействующие компоненты
Сервер безопасностиОсновные функции сервера безопасности:• получение информации от агентов на защищаемых компьютерах о текущем
состоянии рабочих станций и сессиях работы пользователей;• оперативное получение и передача сведений о событиях тревоги, зарегистри-
рованных на защищаемых компьютерах;• отправка команд управления на защищаемые компьютеры;• получение информации о состоянии защитных подсистем на компьютерах и
отправка команд на изменение состояния защитных подсистем;• получение и передача на защищаемые компьютеры параметров групповых
политик, заданных в программе управления системы Secret Net Studio;• контроль действительности лицензий на использование компонентов сис-
темы Secret Net Studio;• получение локальных журналов с защищаемых компьютеров и передача
содержимого журналов в базу данных сервера безопасности;• обработка запросов к базе данных;• архивирование и восстановление содержимого журналов в базе данных;• протоколирование обращений к серверу.Сервер безопасности реализует функции контроля и управления защищаемымикомпьютерами при условии их подчинения. Серверу могут быть подчинены ком-пьютеры с установленным клиентом Secret Net Studio, а также компьютеры подуправлением ОС семейства Linux с установленным ПО Secret Net LSP (для такихкомпьютеров некоторые функции сервера недоступны).Для функционирования сервера безопасности требуется наличие системы управ-ления базами данных (СУБД), реализуемой сервером СУБД MS SQL. Сервер безо-пасности и сервер СУБД могут быть установлены на разных компьютерах(рекомендуется) или на одном компьютере.
Сервер авторизацииВ состав ПО сервера безопасности входит отдельное приложение — сервер авто-ризации. Данное приложение обеспечивает работу механизмов межсетевогоэкрана и авторизации сетевых соединений. Сервер авторизации уста-навливается и удаляется вместе с ПО сервера безопасности.
Программа управленияПрограмма управления устанавливается на рабочих местах администраторов ииспользуется для централизованного управления защищаемыми компьютерами.Программа осуществляет взаимодействие с сервером безопасности, через кото-рый выполняются необходимые действия.
Клиент в сетевом режиме функционированияДля реализации централизованного управления на всех защищаемых компью-терах должен быть установлен клиент Secret Net Studio в сетевом режиме функ-ционирования. Эти компьютеры необходимо подчинить серверам безопасности.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
32Secret Net Studio – C. Руководство администратораПринципы построения
Домены безопасностиВ системе Secret Net Studio реализация централизованного управления компью-терами и синхронизации параметров защиты базируется на концепции доменовбезопасности. Домены безопасности формируются из объектов, включенных вопределенные контейнеры Active Directory — организационные подразделения(Organizational Unit) или весь домен AD. По аналогии с доменами Active Directoryнесколько доменов безопасности (со своими серверами безопасности) могут об-разовывать лес доменов.Формирование первого домена безопасности в домене AD происходит при уста-новке первого сервера безопасности.Сервер безопасности использует базу данных служб облегченного доступа к ка-талогам Active Directory (Active Directory Lightweight Directory Services, AD LDS).Контроль получения и применения параметров на защищаемых компьютерахосуществляется самим сервером безопасности.Домен безопасности создается как часть структуры леса доменов безопасности.Для леса назначается группа пользователей, которым будут предоставлены пра-ва на создание новых доменов безопасности. Эта группа будет являться группойадминистраторов леса доменов безопасности. При создании домена безо-пасности назначается группа пользователей, которым будут предоставлены пра-ва администрирования домена безопасности, — группа администраторов доменабезопасности.
Внимание!Чтобы обеспечить бесперебойное функционирование защищаемых компьютеров, следует преду-смотреть наличие в домене безопасности постоянно работающего резервного сервера безо-пасности.
Сетевая структура Secret Net StudioСетевая структура системы Secret Net Studio строится по принципу подчинениязащищаемых компьютеров сети серверу безопасности. Для подчинения серверубезопасности компьютер должен быть в составе домена безопасности.В рамках леса доменов можно организовать функционирование несколькихсерверов безопасности с подчинением по иерархическому принципу. При этомиерархия подчинения серверов не обязательно должна соответствовать струк-туре доменов в лесу. На рисунке представлен пример использования несколькихсерверов СБ1 — СБ4.
Каждый сервер контролирует работу своей группы защищаемых компьютеров иимеет свою базу данных. При этом некоторые операции доступны и в отношенииобъектов, относящихся к подчиненным серверам. Как видно из рисунка, серверыбезопасности СБ2 и СБ3 являются подчиненными по отношению к СБ1, а СБ4 —подчиненным по отношению к СБ2.Сетевую структуру системы Secret Net Studio можно формировать с учетомразличных особенностей построения сети и распределения полномочий между
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
33Secret Net Studio – C. Руководство администратораПринципы построения
администраторами. Одним из основных факторов, влияющих на формированиесетевой структуры системы Secret Net Studio, является вопрос наделения пол-номочиями администраторов безопасности. При необходимости разделить пол-номочия администраторов следует сформировать домены безопасности на базеорганизационных подразделений. Такой вариант позволяет в нужном объемеразделить полномочия администраторов безопасности и администраторов до-мена Active Directory, поскольку в рамках организационного подразделения адми-нистратору безопасности могут быть предоставлены все необходимые права наадминистрирование.Обмен данными между клиентами и сервером осуществляется в режиме сессий.При передаче данных используется протокол HTTPS. На сервере должен бытьустановлен сертификат для обеспечения защиты соединений с сервером.
Управление компьютерами с СЗИ Secret Net LSPВ Secret Net Studio имеется возможность централизованного управления, монито-ринга и получения локальных журналов для компьютеров, функционирующихпод управлением ОС семейства Linux. Для этого на компьютерах должно бытьустановлено средство защиты информации Secret Net LSP (версии 1.7 и выше) ивыполнена настройка удаленного управления. Описание последовательностидействий для настройки удаленного управления см. в документации на этот про-дукт. Сведения о возможностях управления компьютерами с установленнымSecret Net LSP приведены в документе [4].
Управление доменными пользователямиНастройка параметров доменных пользователей для работы в системе Secret NetStudio осуществляется в программе управления пользователями. Программа вхо-дит в состав средств управления Secret Net Studio и дополнительно предос-тавляет возможности создания и удаления учетных записей, а также позволяетнастраивать основные параметры пользователей и групп.Штатные средства ОС (оснастки для управления пользователями) рекомендуетсяиспользовать только для настройки параметров, отсутствующих в программеуправления пользователями. При создании или удалении учетных записей сиспользованием штатных средств некоторые функции управления и контролямогут быть недоступны до синхронизации изменений в системе Secret NetStudio.
Централизованное хранение данныхКомпоненты системы Secret Net Studio используют следующие структурыцентрализованного хранения данных:• база данных сервера безопасности на сервере СУБД — содержит центра-
лизованные журналы и оперативную информацию для мониторинга сис-темы;
• база данных служб AD LDS — содержит параметры системы Secret Net Studio,относящиеся к учетным записям, списки серверов безопасности, списки элек-тронных идентификаторов и других объектов для централизованного управ-ления системой защиты.
Разделение хранилищ обусловлено спецификой обращения к данным. Обра-щения осуществляют только те компоненты, которым это разрешено. Контроль иразграничение доступа к хранилищам осуществляются самой системой, поэтомуот администратора не требуется дополнительных действий для обеспечения за-щиты обращений.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
34Secret Net Studio – C. Руководство администратораПринципы построения
ПриложениеНеобходимые права для установки и управления
Система Secret Net Studio обеспечивает возможности входа и выполнения опе-раций для любых зарегистрированных пользователей в рамках полномочий, ко-торыми они обладают в ОС и механизмах защиты. Для установки компонентовSecret Net Studio и управления работой системы пользователи дополнительнодолжны обладать определенными административными полномочиями. Составнеобходимых прав и привилегий для администрирования зависит от выпол-няемых операций.Для автономного режима функционирования установка ПО клиента Secret NetStudio и все функции управления доступны пользователям, входящим в локаль-ную группу администраторов компьютера. Некоторые функции (например,управление журналом Secret Net Studio) могут быть переданы другим пользо-вателям путем предоставления соответствующих привилегий.Ниже в данном разделе приводится список основных операций при исполь-зовании системы Secret Net Studio в сетевом режиме функционирования. Длякаждой операции указаны учетные записи, для которых доступно выполнениедействий. Используются следующие условные обозначения учетных записей:• Администраторы леса доменов безопасности — пользователи, вклю-
ченные в группу администраторов леса доменов безопасности Secret NetStudio (группа указывается при установке сервера безопасности, если выб-ран вариант создания домена в новом лесу доменов безопасности — то естьустанавливается первый СБ в лесу доменов безопасности);
• Администраторы домена безопасности — пользователи, включенные вгруппу администраторов домена безопасности Secret Net Studio (группа ука-зывается при установке сервера безопасности, если выбран вариант созда-ния нового домена безопасности — то есть устанавливается первый СБ вдомене безопасности);
• Administrators — пользователи, включенные в стандартную локальнуюгруппу администраторов компьютера (Administrators);
• Привилегия <название_привилегии>— пользователи, которым назна-чена указанная привилегия.
Установка и удаление компонентовОсновные операции при установке или удалении компонентов системы SecretNet Studio представлены в следующих таблицах.
Табл.1 Установка и удаление сервера безопасности
Операция Учетные записи с правами навыполнение
Создание групп пользователей для администраторовлеса домена безопасности и администраторов доменабезопасности
Пользователи с правами для созданиягрупп в домене AD и для включенияпользователей в группы
Установка с созданием домена в новом лесу доменовбезопасности
Administrators (доменный поль-зователь) + Администраторы доменабезопасности
Установка с созданием нового домена безопасности всуществующем лесу
Administrators + Администраторы лесадоменов безопасности +Администраторы домена безопасности
Установка с добавлением сервера в существующийдомен безопасности
Administrators + Администраторы лесадоменов безопасности +Администраторы домена безопасности
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
35Secret Net Studio – C. Руководство администратораПринципы построения
Операция Учетные записи с правами навыполнение
Удаление в штатном режиме: с одновременнымудалением сервера из структуры ОУ
Administrators + Администраторыдомена безопасности
Удаление в нештатном режиме: без корректировкиструктуры ОУ1
Administrators
1Операция, в результате которой на компьютере будет удалено ПО сервера безопасности,но информация о сервере останется в структуре ОУ. Для удаления сервера из структурыможно использовать программу управления (см. стр.37). Данный вариант возможен, еслив системе присутствует хотя бы один сервер безопасности, доступный для подключенияпрограммы. При нештатном удалении последнего сервера леса доменов данные леса доме-нов безопасности уничтожаются при удалении ПО сервера.
Табл.2 Установка и удаление клиента
Операция Учетные записи с правами навыполнение
Установка с подключением к серверу безопасности Administrators + Администраторыдомена безопасности
Установка без подключения к серверу безопасности1 Administrators
Удаление с одновременным удалением клиента изструктуры ОУ
Administrators + Администраторыдомена безопасности
Удаление без корректировки структуры ОУ2 Administrators
1Операция, в результате которой на компьютере будет установлено ПО клиента, но клиентне будет связан с сервером безопасности в структуре ОУ. Для добавления сопо-ставленного клиенту агента в структуру и подчинения его серверу безопасности можноиспользовать программу управления (см. стр.37).
2Операция, в результате которой на компьютере будет удалено ПО клиента, но инфор-мация о клиенте останется в структуре ОУ. Для удаления сопоставленного клиенту агентаиз структуры ОУ можно использовать программу управления (см. стр.37).
Табл.3 Установка и удаление программы управления
Операция Учетные записи с правами навыполнение
Установка Administrators
Удаление Administrators
Настройка механизмов и управление параметрами объектовОсновные операции при настройке механизмов защиты системы Secret NetStudio и изменении параметров объектов (пользователей, компьютеров)представлены в следующей таблице.
Табл.4 Настройка механизмов и управление параметрами объектов
Операция Учетные записи с правами навыполнение
Создание и удаление групп пользователей Пользователи с правами для созданияи удаления учетных записей в доменеAD + Administrators
Создание и удаление пользователей Пользователи с правами для созданияи удаления учетных записей в доменеAD + Администраторы доменабезопасности + Administrators
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
36Secret Net Studio – C. Руководство администратораПринципы построения
Операция Учетные записи с правами навыполнение
Управление параметрами пользователей, присвоение инастройка идентификаторов
Администраторы домена безопасности+ Administrators
Формирование списка компьютеров для входа вПАК «Соболь»
Администраторы домена безопасности
Управление ключами ЦУ ПАК «Соболь» Администраторы домена безопасности+ Administrators
Локальное управление параметрами компьютера:редактирование учетной информации, подключениеПАК «Соболь»
Администраторы домена безопасности+ Administrators
Управление параметрами КЦ-ЗПС Администраторы домена безопасности+ Administrators
Работа с программой управления в централизованном режимеОсновные операции в программе управления системы Secret Net Studio представ-лены в следующей таблице.
Табл.5 Использование программы управления
Операция Учетные записи с правами навыполнение
Подключение к серверу безопасности и просмотринформации
Привилегия «Просмотр информации» длясервера подключения
Конфигурирование агентов (добавление в структуруОУ, удаление, подчинение и настройка параметров врежиме конфигурирования)
Администраторы домена безопасности
Конфигурирование серверов безопасности(добавление в структуру ОУ, удаление, подчинение инастройка параметров в режиме конфигурирования)
Администраторы домена безопасности
Корректировка структуры ОУ после нештатногоудаления сервера безопасности: удаление серверапри подключении к СБ в другом домене в том желесу1
Администраторы домена безопасности (вдомене сервера подключения) +Администраторы домена безопасности (вдомене удаленного сервера)
Настройка параметров групповых политик доменов иорганизационных подразделений
Администраторы домена безопасности +Привилегия «Редактирование политик»для сервера подключения.Для управления группой параметров»Администрирование системы защиты»дополнительно требуется привилегия»Администрирование системы защиты» насервере подключения
Удаленная настройка локальных параметров SecretNet Studio: параметры локальной политикибезопасности, аппаратная конфигурация, состояниезащитных механизмов
Привилегии «Редактирование политик» +»Выполнение оперативных команд» длясервера подключения.Для управления группой параметров»Администрирование системы защиты»дополнительно требуется привилегия»Администрирование системы защиты» насервере подключения
Выполнение команд оперативного управлениякомпьютерами: блокировка, перезагрузка,обновление политик
Привилегия «Выполнение оперативныхкоманд» для сервера подключения
Запуск процесса внеочередного сбора журналов сзащищаемых компьютеров
Привилегия «Сбор журналов по команде»для сервера подключения
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
37Secret Net Studio – C. Руководство администратораПринципы построения
Операция Учетные записи с правами навыполнение
Запуск процесса внеочередного архивированияжурналов в БД сервера безопасности
Привилегия»Архивирование/восстановлениежурналов» для сервера подключения
Квитирование событий тревоги (подтверждениеприема информации)
Привилегия «Квитирование сообщений отревогах» для сервера подключения
1Операция выполняется, если ПО сервера безопасности было удалено в нештатномрежиме без корректировки структуры ОУ (см. стр.35) и при этом для подключения прог-раммы доступен СБ в другом домене того же леса. Если можно выполнить подключение ксерверу в том же домене, для удаления объекта из структуры достаточно полномочий, тре-буемых при конфигурировании серверов безопасности (см. выше).
Оценка размера БД для сервера безопасностиДля установки и функционирования сервера безопасности в системе долженбыть установлен сервер СУБД. Чтобы обеспечить производительность и необ-ходимое время хранения накопленных данных, предварительно следует оце-нить размер будущей базы данных и нужный объем дискового пространства накомпьютере сервера СУБД. Исходя из результатов оценки принимается решениео выборе редакции СУБД (свободно распространяемые редакции имеют огра-ничение на размер базы данных) и аппаратной конфигурации компьютера.Основные критерии для оценки:• Поток событий — количество регистрируемых событий в течение опреде-
ленного периода времени. Базовое значение — поток событий в секунду(Events Per Second, EPS). Суммируются события, регистрируемые в штатныхжурналах ОС и в журнале Secret Net Studio. Нужно учитывать, что на потоксобытий существенно влияют роль компьютера в системе (сервер, рабочаястанция), а также заданные параметры функционирования и регистрации вподсистемах.
• Размер записей о событиях — объем сохраняемой информации о событиях взаписях журналов. Зависит от заполнения полей в записях различными дан-ными: описания событий, сведения об источниках и объектах, другие дан-ные. Размер записи о событии может варьироваться в широких пределах,поэтому целесообразно оценивать среднее значение.
• Срок хранения журналов — определяет время хранения журналов в базе дан-ных и в архивах. Журналы должны быть доступны для оперативного по-лучения сведений об инцидентах и нарушениях политики безопасности, дляпроведения аудита и определения потенциальных угроз. Срок хранения жур-налов должен быть достаточным, чтобы осуществлять ретроспективный ана-лиз состояния системы.
Примечание.Для обеспечения работоспособности сервера СУБД и минимизации издержек на поддержкуинфраструктуры необходимо регулярно выполнять архивацию журналов. По умолчанию ар-хивы сохраняются в подкаталоге \Archive каталога установки сервера безопасности. При необхо-димости архив можно загрузить в базу данных для анализа содержимого хранящихся в немжурналов.
Ниже рассматривается пример расчета для типовой АС класса защищенности 1Г,состоящей из одного сервера безопасности и 100 клиентских компьютеров. Длясервера безопасности используется компьютер под управлением ОС WindowsServer 2012, для клиентов — ОСWindows 8.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
38Secret Net Studio – C. Руководство администратораПринципы построения
Табл.6 Поток событий и средний размер записей на серверебезопасности
Журналы Среднее количествособытий в секунду (EPS)
Средний размер записи(байт)
Штатные журналы ОС 3 1000
Журнал Secret Net Studio 0,05 800
Табл.7 Поток событий и средний размер записей на клиенте
Журналы Среднее количествособытий в секунду (EPS)
Средний размер записи(байт)
Штатные журналы ОС 1 1000
Журнал Secret Net Studio 0,05 800
Табл.8 Объем журналов
Журналы Количествособытий в день
Заполнение БДза день(МБ)1
Объемжурналов в БДза 7 дней(МБ)2
Объемжурналов вархиве за 1 год(МБ)3
Сервер безопасности, 1 компьютер
Штатные журналыОС
259 200 259,2 1 814,4 2 365
Журнал Secret NetStudio
4 320 3,5 24,2 31,5
Клиент Secret Net Studio, 100 компьютеров
Штатные журналыОС
8 640 000 8 640 60 480 78 840
Журнал Secret NetStudio
432 000 345,6 2 419,2 3 153
Всего для сервера безопасности и клиентов
9 248,3 64 737,8 84 390
1Указан размер таблиц, содержащих журналы событий. Общий размер базы данных зави-сит также от размеров журнала транзакций и проводимых операций по оптимизации, сжа-тию базы.
2При использовании СУБД MS SQL Express 2012 (в данной редакции действует огра-ничение на размер базы в 10 ГБ) следует уменьшить число источников данных. Для этогоможно сократить количество подчиненных компьютеров до 10 либо в параметрах пере-дачи локальных журналов отключить сбор штатных журналов ОС.
3С учетом сжатия архива с коэффициентом 40:1.
Внимание!Чтобы не увеличивался общий объем базы и сохранялась производительность, регулярно вы-полняйте операции по архивированию логов СУБД и оптимизации структуры базы для удаления пу-стых страниц и дефрагментации записей в базе. В случае переполнения базы (при использованиисвободно распространяемыхСУБД, имеющих ограничения по размеру базы)необходимо выполнитьдействия по очистке базы данных, описанные в документе с комментариями к выпущенной версии(Release Notes).
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
39Secret Net Studio – C. Руководство администратораПринципы построения
Рекомендации по настройке для соответствия требованиямо защите информации
В разделе приведены значения параметров безопасности Secret Net Studio – C,которые рекомендуется установить в целях соответствия информационной сис-темы требованиям о защите информации, предъявляемым к информационнымсистемам различных типов и классов/уровней защищенности.Настроить параметры безопасности должным образом можно вручную или сиспользованием стандартных шаблонов параметров безопасности для инфор-мационных систем различных типов и классов/уровней защищенности (см. доку-мент [4], раздел «Настройка параметров безопасности»).
Примечание.Стандартные шаблоны параметров безопасности не поддерживаются клиентами Secret Net LSP.
Автоматизированные системыПри определенных вариантах настройки система Secret Net Studio обеспечиваетсоответствие требованиям для следующих классов защищенности автоматизи-рованных систем (АС) согласно классификации документа «Руководящий доку-мент. Автоматизированные системы. Защита от несанкционированного доступак информации. Классификация автоматизированных систем и требования по за-щите информации»:• АС первой группы:
• 1Б;• 1В;• 1Г;• 1Д.
• АС второй группы:• 2А;• 2Б.
• АС третьей группы:• 3А;• 3Б.
Использование средств защиты загрузкиВ АС должны применяться средства, исключающие доступ пользователя к ресур-сам компьютера в обход механизмов системы защиты. Для систем любого классадо 1Б включительно в качестве таких средств могут использоваться:• изделие «Программно-аппаратный комплекс «Соболь»;• изделие Secret Net Card.При использовании Secret Net Studio на виртуальных машинах в виртуальной ин-фраструктуре на базе продуктов VMware Infrastructure или VMware vSphere в ка-честве средства доверенной загрузки виртуальных машин может применятьсяизделие «Средство защиты информации vGate R2» или «Средство защиты инфор-мации vGate-S R2», совместимое с версией используемого продукта.Вместо вышеперечисленных средств или совместно с любым из них может бытьразработан и внедрен комплекс организационно- технических мероприятий,обеспечивающих невозможность доступа пользователей к информации на дис-ках компьютера в обход механизмов системы Secret Net Studio.
Параметры политик Secret Net StudioДля соответствия классам защищенности АС должны быть настроены параметрыполитик, перечисленные в следующей таблице. Настройка выполняется в прог-рамме управления на вкладке «Настройки», раздел «Политики».
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
40Secret Net Studio – C. Руководство администратораПринципы построения
Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.
Табл.9 Параметры политик
ПараметрКлассы защищенности АС
1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б
Группа «Вход в систему»
Максимальный периоднеактивности доблокировки экрана
все: Не более 10(реком.)
все: Не более 10(реком.)
все: Не более 10(реком.)
Запрет вторичного входав систему
все: Да (реком.) все: Да (реком.) все: Да (реком.)
Режим идентификациипользователя
все: Смешанный(реком.)
все: Смешанный(реком.)
все: Смешанный(реком.)
Режим аутентификациипользователя
все: Усиленнаяпо паролю(обяз.)
все: Усиленнаяпо паролю(обяз.)
все: Усиленнаяпо паролю(обяз.)
Режим аутентификациипользователя:Регистрировать неверныеаутентификационныеданные
1Б,1В,1Г: Да (обяз.)1Д: –
все: Да (обяз.) 3А: Да (обяз.)3Б: –
Парольная политика все: Заданы значения(обяз.)
все: Заданы значения(обяз.)
все: Заданы значения(обяз.)
Минимальная длина пароля 1Б: Не менее 8символов (обяз.)1В,1Г,1Д: Не менее 6символов (обяз.)
все: Не менее 6символов (обяз.)
все: Не менее 6символов (обяз.)
Срок действия пароля 1Б: Не более 90 дней(обяз.)1В,1Г,1Д: Не более180 дней (обяз.)
все: Не более 180дней (обяз.)
все: Не более 180дней (обяз.)
Группа «Журнал»
Максимальный размержурнала защиты
1Б,1В: Не менее 4096(реком.)1Г,1Д: Не менее 2048(реком.)
2А: Не менее 4096(реком.)2Б: Не менее 2048(реком.)
все: Не менее 2048(реком.)
Политика перезаписисобытий
все: Затирать помере необходимости(реком.)
все: Затирать помере необходимости(реком.)
все: Затирать помере необходимости(реком.)
Учетные записи спривилегией просмотражурнала
все: Локальная группаадминистраторов(реком.)
все: Локальная группаадминистраторов(реком.)
все: Локальная группаадминистраторов(реком.)
Учетные записи спривилегией управленияжурналом
все: Локальная группаадминистраторов(реком.)
все: Локальная группаадминистраторов(реком.)
все: Локальная группаадминистраторов(реком.)
Группа «Ключи пользователя»
Максимальный срокдействия ключа
все: Не более 360(реком.)
все: Не более 360(реком.)
все: Не более 360(реком.)
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
41Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрКлассы защищенности АС
1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б
Предупреждение обистечении срока действияключа
все: Не менее 14(реком.)
все: Не менее 14(реком.)
все: Не менее 14(реком.)
Группа «Оповещение о тревогах»
Локальное оповещение отревогах
1Б: Включено (обяз.)1В,1Г,1Д: Включено(реком.)
все: Включено(реком.)
все: Включено(реком.)
Группа «Дискреционное управление доступом»
Учетные записи спривилегией управленияправами доступа
1Б,1В,1Г: Локальнаягруппаадминистраторов(обяз.)1Д: Локальная группаадминистраторов(реком.)
все: – все: –
Группа «Затирание данных»
Количество цикловзатирания на локальныхдисках
1Б,1В: Не менее 2(обяз.)1Г: Не менее 1 (обяз.)1Д: –
2А: Не менее 2 (обяз.)2Б: –
3А: Не менее 2 (обяз.)3Б: –
Количество цикловзатирания на сменныхносителях
1Б,1В: Не менее 2(обяз.)1Г: Не менее 1 (обяз.)1Д: –
2А: Не менее 2 (обяз.)2Б: –
3А: Не менее 2 (обяз.)3Б: –
Количество цикловзатирания оперативнойпамяти
1Б,1В: Не менее 2(обяз.)1Г: Не менее 1 (обяз.)1Д: –
2А: Не менее 2 (обяз.)2Б: –
3А: Не менее 2 (обяз.)3Б: –
Группа «Полномочное управление доступом»
Названия уровнейконфиденциальности
1Б,1В: Настроено(обяз.)1Г,1Д: –
2А: Настроено (обяз.)2Б: –
все: –
Режим работы 1Б,1В: Контрольпотоков включен(обяз.)1Г,1Д: –
2А: Контроль потоковвключен (обяз.)2Б: –
все: –
Режим работы: Cтрогийконтроль терминальныхподключений
1Б,1В: Да (реком.)1Г,1Д: –
2А: Да (реком.)2Б: –
все: –
Группа «Замкнутая программная среда»
Учетные записи, на которыене действуют правилазамкнутой программнойсреды
1Б,1В: Локальнаягруппаадминистраторов(реком.)1Г,1Д: –
2А: Локальная группаадминистраторов(реком.)2Б: –
все: –
Группа «Контроль приложений»
Перенаправление буфераобмена в RDP-подключениях
1Б,1В: Запрет длявсех типовподключений (реком.)1Г,1Д: –
2А: Запрет для всехтипов подключений(реком.)2Б: –
3А: Запрет для всехтипов подключений(реком.)3Б: –
Группа «Межсетевой экран»
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
42Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрКлассы защищенности АС
1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б
Протоколы все: Включен доступтолько для протоколаIPv4 (обяз.)
все: Включен доступтолько для протоколаIPv4 (обяз.)
все: Включен доступтолько для протоколаIPv4 (обяз.)
Включить ICMP-защиту 1Б,1В: Да (реком.)1Г,1Д: –
2А: Да (реком.)2Б: –
3А: Да (реком.)3Б: –
ICMP-сообщения: Эхо-ответ 1Б,1В: Получение(реком.)1Г,1Д: –
2А: Получение(реком.)2Б: –
3А: Получение(реком.)3Б: –
ICMP-сообщения: Адресатнедоступен
1Б,1В: Получение,Отправка (реком.)1Г,1Д: –
2А: Получение,Отправка (реком.)2Б: –
3А: Получение,Отправка (реком.)3Б: –
ICMP-сообщения: Эхо-запрос
1Б,1В: Отправка(реком.)1Г,1Д: –
2А: Отправка (реком.)2Б: –
3А: Отправка (реком.)3Б: –
ICMP-сообщения:Ходатайствомаршрутизатора
1Б,1В: Получение,Отправка (реком.)1Г,1Д: –
2А: Получение,Отправка (реком.)2Б: –
3А: Получение,Отправка (реком.)3Б: –
ICMP-сообщения:Превышение временногоинтервала
1Б,1В: Получение(реком.)1Г,1Д: –
2А: Получение(реком.)2Б: –
3А: Получение(реком.)3Б: –
ICMP-сообщения:Заблокировать остальныетипы
1Б,1В: Да (реком.)1Г,1Д: –
2А: Да (реком.)2Б: –
3А: Да (реком.)3Б: –
Режим обучения все: Выключен(реком.)
все: Выключен(реком.)
все: Выключен(реком.)
Группа «Авторизация сетевых соединений»
Защита соединений длягруппы everyone
1Б,1В,1Г: Да (реком.)1Д: –
2А: Да (реком.)2Б: –
все: –
Обработка сетевых пакетов:Параметры обработкисетевых пакетов
1Б,1В,1Г: Подпись,Пакет целиком (обяз.)1Д: –
2А: Подпись, Пакетцеликом (обяз.)2Б: –
все: –
Обработка сетевых пакетов:Защита от replay-атак
все: Да (реком.) все: Да (реком.) все: Да (реком.)
Группа «Контроль устройств»
Перенаправление устройствв RDP-подключениях
1Б,1В: Запрет длявсех типов устройств иподключений (реком.)1Г: Запрет для всехтипов устройств дляподключенияудаленных устройств ккомпьютеру (реком.)1Д: –
2А: Запрет для всехтипов устройств иподключений (реком.)2Б: –
3А: Запрет для всехтипов устройств иподключений (реком.)3Б: –
Список устройств:Параметры контроля
1Б,1В,1Г: Параметрызаданы, при этом длягрупп «УстройстваUSB», «УстройстваPCMCIA» и «УстройстваIEEE1394» включенрежим «Подключениеустройствазапрещено» (обяз.)1Д: –
2А: Параметрызаданы, при этом длягрупп «УстройстваUSB», «УстройстваPCMCIA» и «УстройстваIEEE1394» включенрежим «Подключениеустройствазапрещено» (обяз.)2Б: –
все: –
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
43Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрКлассы защищенности АС
1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б
Список устройств:Разрешения
1Б,1В,1Г: Заданы(обяз.)1Д: –
2А: Заданы (обяз.)2Б: –
все: –
Группа «Контроль печати»
Маркировка документов 1Б,1В: Да (обяз.)1Г,1Д: –
2А: Да (обяз.)2Б: –
3А: Да (обяз.)3Б: –
Перенаправлениепринтеров в RDP-подключениях
1Б,1В: Запрет длявсех типовподключений (реком.)1Г: Запрет дляподключенияудаленных принтеровк компьютеру (реком.)1Д: –
2А: Запрет для всехтипов подключений(реком.)2Б: –
3А: Запрет для всехтипов подключений(реком.)3Б: –
Список принтеров:Разрешения
1Б,1В,1Г: Заданы(обяз.)1Д: –
2А: Заданы (обяз.)2Б: –
все: –
Параметры пользователейДля соответствия классам защищенности АС должны быть настроены параметрыпользователей, перечисленные в следующей таблице. Настройка параметровосуществляется в программе управления пользователями в диалоговом окне нас-тройки свойств пользователя.Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.
Табл.10 Параметры пользователей
ПараметрКлассы защищенности АС
1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б
Группа параметров «Доступ» в диалоге «Параметры безопасности»
Уровень допуска 1Б,1В: Назначенуполномоченнымпользователям (обяз.)1Г,1Д: –
2А: Назначенуполномоченнымпользователям (обяз.)2Б: –
все: –
Привилегия: Печатьконфиденциальныхдокументов
1Б,1В: Назначенауполномоченнымпользователям (обяз.)1Г,1Д: –
2А: Назначенауполномоченнымпользователям (обяз.)2Б: –
все: –
Привилегия: Управлениекатегориямиконфиденциальности
1Б,1В: Назначенауполномоченнымпользователям (обяз.)1Г,1Д: –
2А: Назначенауполномоченнымпользователям (обяз.)2Б: –
все: –
Привилегия: Выводконфиденциальнойинформации
1Б,1В: Назначенауполномоченнымпользователям (обяз.)1Г,1Д: –
2А: Назначенауполномоченнымпользователям (обяз.)2Б: –
все: –
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
44Secret Net Studio – C. Руководство администратораПринципы построения
Параметры механизмов КЦ и ЗПСДля соответствия классам защищенности АС должны быть настроены параметрымеханизмов КЦ и ЗПС, перечисленные в следующей таблице. Настройка пара-метров осуществляется в программе «Контроль программ и данных».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.
Табл.11 Параметры механизмов КЦ и ЗПС
ПараметрКлассы защищенности АС
1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б
Диалог «Режимы» в диалоговом окне настройки свойств компьютера
Режим ЗПС включен все: Да (реком.) все: Да (реком.) все: Да (реком.)
Мягкий режим 1Б,1В: Нет (реком.)1Г,1Д: –
2А: Нет (реком.)2Б: –
все: –
Проверять целостностьмодулей перед запуском
1Б,1В: Да (обяз.)1Г,1Д: –
2А: Да (обяз.)2Б: –
все: –
Проверять заголовкимодулей перед запуском
все: Да (реком.) все: Да (реком.) все: Да (реком.)
Контролироватьисполняемые скрипты
все: Да (реком.) все: Да (реком.) все: Да (реком.)
Диалоговое окно настройки параметров задания контроля СЗИ
Метод контроля ресурсов все: Содержимое(обяз.)
все: – все: –
Алгоритм 1Б: Имитовставка(реком.)1В,1Г,1Д: CRC32(реком.)
все: – все: –
Регистрация событий: Успехзавершения
все: Да (реком.) все: Да (реком.) все: Да (реком.)
Регистрация событий:Ошибка завершения
все: Да (обяз.) все: Да (обяз.) все: Да (обяз.)
Регистрация событий: Успехпроверки
все: Нет (реком.) все: Нет (реком.) все: Нет (реком.)
Регистрация событий:Ошибка проверки
все: Да (обяз.) все: Да (обяз.) все: Да (обяз.)
Реакция на отказ: Действия все: Заблокироватькомпьютер (реком.)
все: Заблокироватькомпьютер (реком.)
все: Заблокироватькомпьютер (реком.)
Расписание 1Б: При загрузке ОС ипо расписанию(обяз.)1В,1Г,1Д: Призагрузке ОС или чаще(обяз.)
все: При загрузке ОСили чаще (обяз.)
все: При загрузке ОСили чаще (обяз.)
Диалоговое окно настройки параметров заданий контроля ОС (файлы и реестр)
Метод контроля ресурсов все: Содержимое(реком.)
все: – все: –
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
45Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрКлассы защищенности АС
1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б
Алгоритм 1Б: Имитовставка(реком.)1В,1Г,1Д: CRC32 дляреестра и встроеннаяЭЦП для файлов(реком.)
все: – все: –
Регистрация событий: Успехзавершения
все: Да (реком.) все: Да (реком.) все: Да (реком.)
Регистрация событий:Ошибка завершения
все: Да (реком.) все: Да (реком.) все: Да (реком.)
Регистрация событий: Успехпроверки
все: Нет (реком.) все: Нет (реком.) все: Нет (реком.)
Регистрация событий:Ошибка проверки
все: Да (реком.) все: Да (реком.) все: Да (реком.)
Реакция на отказ: Действия все: Заблокироватькомпьютер (реком.)
все: Заблокироватькомпьютер (реком.)
все: Заблокироватькомпьютер (реком.)
Расписание 1Б: При загрузке ОС ипо расписанию(реком.)1В,1Г,1Д: Призагрузке ОС или чаще(реком.)
все: При загрузке ОСили чаще (реком.)
все: При загрузке ОСили чаще (реком.)
Государственные информационные системыПри определенных вариантах настройки система Secret Net Studio обеспечиваетсоответствие требованиям для государственных информационных систем (ГИС),изложенным в следующих нормативно-методических документах:• Меры защиты информации в государственных информационных системах
(документ утвержден ФСТЭК России 11 февраля 2014 г.).• Требования о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах (утвер-ждены приказом ФСТЭК России от 11 февраля 2013 г.№ 17).
Для классов защищенности ГИС К1, К2, К3 и К4 определены базовые наборы мерзащиты информации. Организационные и технические меры защиты инфор-мации должны обеспечивать реализацию следующих основных требований:• идентификация и аутентификация субъектов доступа и объектов доступа;• управление доступом субъектов доступа к объектам доступа;• ограничение программной среды;• защита машинных носителей информации;• регистрация событий безопасности;• целостность информационной системы и информации;• доступность информации;• защита технических средств;• защита информационной системы,ее средств, систем связи и передачи данных.
Использование средств доверенной загрузкиВ ГИС классов К1 и К2 должны применяться средства доверенной загрузки опера-ционной системы. В качестве средства доверенной загрузки может исполь-зоваться изделие «Программно-аппаратный комплекс «Соболь».
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
46Secret Net Studio – C. Руководство администратораПринципы построения
Обеспечение непрерывности функционированияДля обеспечения непрерывности функционирования Secret Net Studio в ГИСвсех классов защищенности рекомендуется в каждом домене безопасностииспользовать не менее двух серверов безопасности.
Параметры политик Secret Net StudioДля соответствия классам защищенности ГИС должны быть настроены пара-метры политик, перечисленные в следующей таблице. Настройка выполняется впрограмме управления на вкладке «Настройки», раздел «Политики».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.
Табл.12 Параметры политик
ПараметрКлассы защищенности ГИС
К1 К2 К3 К4
Группа «Вход в систему»
Максимальный периоднеактивности доблокировки экрана
Не более 5(обяз.)
Не более 15(реком.)
Не более 15(реком.)
–
Запрет вторичного входав систему
Да (реком.) Да (реком.) Да (реком.) Да (реком.)
Количество неудачныхпопыток аутентификации
От 3 до 4(обяз.)
От 3 до 8(обяз.)
От 3 до 10(обяз.)
От 3 до 10(обяз.)
Режим идентификациипользователя
Только поидентификатору(обяз.)
Только поидентификатору(реком.)
Смешанный(реком.)
Смешанный(реком.)
Режим аутентификациипользователя
Усиленнаяпо паролю(обяз.)
Усиленнаяпо паролю(обяз.)
Усиленнаяпо паролю(обяз.)
Усиленнаяпо паролю(обяз.)
Парольная политика Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)
Минимальная длинапароля
Не менее 8символов (обяз.)
Не менее 6символов (обяз.)
Не менее 6символов (обяз.)
Не менее 6символов (обяз.)
Срок действия пароля Не более 60дней (обяз.)
Не более 90дней (обяз.)
Не более 120дней (обяз.)
Не более 180дней (обяз.)
Сложность пароля Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)
Группа «Журнал»
Максимальный размержурнала защиты
Не менее 4096(реком.)
Не менее 4096(реком.)
Не менее 4096(реком.)
Не менее 4096(реком.)
Политика перезаписисобытий
Затирать померенеобходимости(реком.)
Затирать померенеобходимости(реком.)
Затирать померенеобходимости(реком.)
Затирать померенеобходимости(реком.)
Учетные записи спривилегией просмотражурнала
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
47Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрКлассы защищенности ГИС
К1 К2 К3 К4
Учетные записи спривилегией управленияжурналом
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Группа «Ключи пользователя»
Максимальный срокдействия ключа
Не более 360(реком.)
Не более 360(реком.)
Не более 360(реком.)
Не более 360(реком.)
Предупреждение обистечении срока действияключа
Не менее 14(реком.)
Не менее 14(реком.)
Не менее 14(реком.)
Не менее 14(реком.)
Группа «Оповещение о тревогах»
Локальное оповещение отревогах
Включено(реком.)
Включено(реком.)
Включено(реком.)
Включено(реком.)
Группа «Дискреционное управление доступом»
Учетные записи спривилегией управленияправами доступа
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Группа «Затирание данных»
Количество цикловзатирания на локальныхдисках
Не менее 2(обяз.)
Не менее 1(обяз.)
Не менее 1(обяз.)
–
Количество цикловзатирания на сменныхносителях
Не менее 2(обяз.)
Не менее 1(обяз.)
Не менее 1(обяз.)
–
Количество цикловзатирания оперативнойпамяти
Не менее 2(обяз.)
– – –
Группа «Полномочное управление доступом»
Названия уровнейконфиденциальности
Настроено(обяз.)*
– – –
Режим работы Контрольпотоков включен(обяз.)*
– – –
Режим работы: Cтрогийконтроль терминальныхподключений
Да (обяз.)* – – –
Группа «Замкнутая программная среда»
Учетные записи, накоторые не действуютправила замкнутойпрограммной среды
Локальнаягруппаадминистраторов(реком.)
– – –
Группа «Межсетевой экран»
Протоколы Включен доступтолько дляпротокола IPv4(обяз.)
Включен доступтолько дляпротокола IPv4(обяз.)
Включен доступтолько дляпротокола IPv4(обяз.)
Включен доступтолько дляпротокола IPv4(обяз.)
Включить ICMP-защиту Да (реком.) Да (реком.) – –
ICMP-сообщения: Эхо-ответ Получение(реком.)
Получение(реком.)
– –
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
48Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрКлассы защищенности ГИС
К1 К2 К3 К4
ICMP-сообщения: Адресатнедоступен
Получение,Отправка(реком.)
Получение,Отправка(реком.)
– –
ICMP-сообщения: Эхо-запрос
Отправка(реком.)
Отправка(реком.)
– –
ICMP-сообщения:Ходатайствомаршрутизатора
Получение,Отправка(реком.)
Получение,Отправка(реком.)
– –
ICMP-сообщения:Превышение временногоинтервала
Получение(реком.)
Получение(реком.)
– –
ICMP-сообщения:Заблокировать остальныетипы
Да (реком.) Да (реком.) – –
Режим обучения Выключен(реком.)
Выключен(реком.)
Выключен(реком.)
Выключен(реком.)
Группа «Авторизация сетевых соединений»
Защита соединений длягруппы everyone
Да (реком.) Да (реком.) – –
Обработка сетевыхпакетов: Параметрыобработки сетевых пакетов
Подпись, Пакетцеликом (обяз.)
Подпись, Пакетцеликом (обяз.)
– –
Обработка сетевыхпакетов: Защита от replay-атак
Да (реком.) Да (реком.) Да (реком.) Да (реком.)
Группа «Контроль устройств»
Перенаправлениеустройств в RDP-подключениях
Запрет для всехтипов устройстви подключений(реком.)
Запрет для всехтипов устройстви подключений(реком.)
Запрет для всехтипов устройстви подключений(реком.)
Запрет для всехтипов устройстви подключений(реком.)
Список устройств:Параметры контроля
Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)
Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)
Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)
Параметрызаданы, при этомдля групп»УстройстваUSB», «Устрой-ства PCMCIA» и»УстройстваIEEE1394″ вклю-чен режим «Под-ключениеустройства запре-щено» (обяз.)
Список устройств:Разрешения
Заданы (обяз.) Заданы (обяз.) Заданы (обяз.) Заданы (обяз.)
Группа «Контроль печати»
Список принтеров:Разрешения
Заданы (обяз.) Заданы (обяз.) Заданы (обяз.) Заданы (обяз.)
*Действие является обязательным, если для реализации меры ОЦЛ.6 (ограничение правпользователей по вводу информации в систему) будет применяться механизм полно-мочного управления доступом системы Secret Net Studio. Если для реализации указанноймеры защиты применяются другие решения, действие не обязательно для выполнения.
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
49Secret Net Studio – C. Руководство администратораПринципы построения
Параметры пользователейДля соответствия классам защищенности ГИС должны быть настроены пара-метры пользователей, перечисленные в следующей таблице. Настройка пара-метров осуществляется в программе управления пользователями в диалоговомокне настройки свойств пользователя.Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.
Табл.13 Параметры пользователей
ПараметрКлассы защищенности ГИС
К1 К2 К3 К4
Группа параметров «Идентификатор» в диалоге «Параметры безопасности»
Электронныйидентификаторпользователя
Присвоен(обяз.)
Присвоен(реком.)
– –
Интеграция с ПАК «Соболь» Да (реком.) Да (реком.) – –
Группа параметров «Доступ» в диалоге «Параметры безопасности»
Уровень допуска Назначенуполномоченнымпользователям(обяз.)*
– – –
Привилегия: Управлениекатегориямиконфиденциальности
Назначенауполномоченнымпользователям(обяз.)*
– – –
*Действие является обязательным, если для реализации меры ОЦЛ.6 (ограничение правпользователей по вводу информации в систему) будет применяться механизм полно-мочного управления доступом системы Secret Net Studio. Если для реализации указанноймеры защиты применяются другие решения, действие не обязательно для выполнения.
Параметры механизмов КЦ и ЗПСДля соответствия классам защищенности ГИС должны быть настроены пара-метры механизмов КЦ и ЗПС, перечисленные в следующей таблице. Настройкапараметров осуществляется в программе «Контроль программ и данных».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.
Табл.14 Параметры механизмов КЦ и ЗПС
ПараметрКлассы защищенности ГИС
К1 К2 К3 К4
Диалог «Режимы» в диалоговом окне настройки свойств компьютера
Режим ЗПС включен Да (обяз.) – – –
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
50Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрКлассы защищенности ГИС
К1 К2 К3 К4
Мягкий режим Нет (обяз.) – – –
Проверять целостностьмодулей перед запуском
Да (обяз.) – – –
Проверять заголовкимодулей перед запуском
Да (реком.) – – –
Контролироватьисполняемые скрипты
Да (реком.) – – –
Диалоговое окно настройки параметров задания контроля СЗИ
Метод контроля ресурсов Содержимое(обяз.)
Содержимое(обяз.)
– –
Алгоритм CRC32 (реком.) CRC32 (реком.) – –
Регистрация событий: Успехзавершения
Да (реком.) Да (реком.) – –
Регистрация событий:Ошибка завершения
Да (обяз.) Да (обяз.) – –
Регистрация событий:Ошибка проверки
Да (обяз.) Да (обяз.) – –
Реакция на отказ: Действия Заблокироватькомпьютер(реком.)
Заблокироватькомпьютер(реком.)
– –
Расписание При загрузке ОСи порасписанию(обяз.)
При загрузке ОСи порасписанию(обяз.)
– –
Диалоговое окно настройки параметров задания контроля ОС (файлы и реестр)
Метод контроля ресурсов Содержимое(реком.)
Содержимое(реком.)
– –
Алгоритм CRC32 (реком.) CRC32 (реком.) – –
Регистрация событий: Успехзавершения
Да (реком.) Да (реком.) – –
Регистрация событий:Ошибка завершения
Да (реком.) Да (реком.) – –
Регистрация событий: Успехпроверки
Нет (реком.) Нет (реком.) – –
Регистрация событий:Ошибка проверки
Да (реком.) Да (реком.) – –
Реакция на отказ: Действия Заблокироватькомпьютер(реком.)
Заблокироватькомпьютер(реком.)
– –
Расписание При загрузке ОСи порасписанию(реком.)
При загрузке ОСи порасписанию(реком.)
– –
Информационные системы персональных данныхПри определенных вариантах настройки система Secret Net Studio обеспечиваетсоответствие требованиям для информационных систем персональных данных(ИСПДн), изложенным в документе «Состав и содержание организационных итехнических мер по обеспечению безопасности персональных данных при их об-
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
51Secret Net Studio – C. Руководство администратораПринципы построения
работке в информационных системах персональных данных» (утвержден прика-зом ФСТЭК России от 18 февраля 2013 г.№ 21).Для уровней защищенности ИСПДн 1, 2, 3 и 4 определены базовые наборы мерзащиты информации. Организационные и технические меры защиты инфор-мации должны обеспечивать реализацию следующих основных требований:• идентификация и аутентификация субъектов доступа и объектов доступа;• управление доступом субъектов доступа к объектам доступа;• ограничение программной среды;• защита машинных носителей информации;• регистрация событий безопасности;• целостность информационной системы и информации;• доступность информации;• защита технических средств;• защита информационной системы,ее средств, систем связи и передачи данных.
Использование средств доверенной загрузкиВ ИСПДн уровней 1 и 2 должны применяться средства доверенной загрузкиоперационной системы. В качестве средства доверенной загрузки может исполь-зоваться изделие «Программно-аппаратный комплекс «Соболь».
Обеспечение непрерывности функционированияДля обеспечения непрерывности функционирования Secret Net Studio в ИСПДнвсех уровней защищенности рекомендуется в каждом домене безопасностииспользовать не менее двух серверов безопасности.
Параметры политик Secret Net StudioДля соответствия уровням защищенности ИСПДн должны быть настроены пара-метры политик, перечисленные в следующей таблице. Настройка параметровосуществляется в программе управления на вкладке «Настройки», раздел «По-литики».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.
Табл.15 Параметры политик
ПараметрУровни защищенности ИСПДн
1 2 3 4
Группа «Вход в систему»
Максимальный периоднеактивности доблокировки экрана
Не более 5(обяз.)
Не более 15(реком.)
Не более 15(реком.)
–
Запрет вторичного входав систему
Да (реком.) Да (реком.) Да (реком.) Да (реком.)
Количество неудачныхпопыток аутентификации
От 3 до 4(обяз.)
От 3 до 8(обяз.)
От 3 до 10(обяз.)
От 3 до 10(обяз.)
Режим идентификациипользователя
Только поидентификатору(обяз.)
Только поидентификатору(реком.)
Смешанный(реком.)
Смешанный(реком.)
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
52Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрУровни защищенности ИСПДн
1 2 3 4
Режим аутентификациипользователя
Усиленнаяпо паролю(обяз.)
Усиленнаяпо паролю(обяз.)
Усиленнаяпо паролю(обяз.)
Усиленнаяпо паролю(обяз.)
Парольная политика Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)
Минимальная длинапароля
Не менее 8символов (обяз.)
Не менее 6символов (обяз.)
Не менее 6символов (обяз.)
Не менее 6символов (обяз.)
Срок действия пароля Не более 60дней (обяз.)
Не более 90дней (обяз.)
Не более 120дней (обяз.)
Не более 180дней (обяз.)
Сложность пароля Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)
Группа «Журнал»
Максимальный размержурнала защиты
Не менее 4096(реком.)
Не менее 4096(реком.)
Не менее 4096(реком.)
Не менее 4096(реком.)
Политика перезаписисобытий
Затирать померенеобходимости(реком.)
Затирать померенеобходимости(реком.)
Затирать померенеобходимости(реком.)
Затирать померенеобходимости(реком.)
Учетные записи спривилегией просмотражурнала
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Учетные записи спривилегией управленияжурналом
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Группа «Ключи пользователя»
Максимальный срокдействия ключа
Не более 360(реком.)
Не более 360(реком.)
Не более 360(реком.)
Не более 360(реком.)
Предупреждение обистечении срока действияключа
Не менее 14(реком.)
Не менее 14(реком.)
Не менее 14(реком.)
Не менее 14(реком.)
Группа «Оповещение о тревогах»
Локальное оповещение отревогах
Включено(реком.)
Включено(реком.)
Включено(реком.)
Включено(реком.)
Группа «Дискреционное управление доступом»
Учетные записи спривилегией управленияправами доступа
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Локальнаягруппаадминистраторов(реком.)
Группа «Затирание данных»
Количество цикловзатирания на локальныхдисках
Не менее 2(обяз.)
Не менее 1(обяз.)
Не менее 1(обяз.)
–
Количество цикловзатирания на сменныхносителях
Не менее 2(обяз.)
Не менее 1(обяз.)
Не менее 1(обяз.)
–
Группа «Полномочное управление доступом»
Названия уровнейконфиденциальности
Настроено(обяз.)*
– – –
Режим работы Контрольпотоков включен(обяз.)*
– – –
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
53Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрУровни защищенности ИСПДн
1 2 3 4
Режим работы: Cтрогийконтроль терминальныхподключений
Да (обяз.)* – – –
Группа «Межсетевой экран»
Протоколы Включен доступтолько дляпротокола IPv4(обяз.)
Включен доступтолько дляпротокола IPv4(обяз.)
Включен доступтолько дляпротокола IPv4(обяз.)
Включен доступтолько дляпротокола IPv4(обяз.)
Включить ICMP-защиту Да (реком.) Да (реком.) – –
ICMP-сообщения: Эхо-ответ Получение(реком.)
Получение(реком.)
– –
ICMP-сообщения: Адресатнедоступен
Получение,Отправка(реком.)
Получение,Отправка(реком.)
– –
ICMP-сообщения: Эхо-запрос
Отправка(реком.)
Отправка(реком.)
– –
ICMP-сообщения:Ходатайствомаршрутизатора
Получение,Отправка(реком.)
Получение,Отправка(реком.)
– –
ICMP-сообщения:Превышение временногоинтервала
Получение(реком.)
Получение(реком.)
– –
ICMP-сообщения:Заблокировать остальныетипы
Да (реком.) Да (реком.) – –
Режим обучения Выключен(реком.)
Выключен(реком.)
Выключен(реком.)
Выключен(реком.)
Группа «Авторизация сетевых соединений»
Защита соединений длягруппы everyone
Да (реком.) Да (реком.) – –
Обработка сетевыхпакетов: Параметрыобработки сетевых пакетов
Подпись, Пакетцеликом (обяз.)
Подпись, Пакетцеликом (обяз.)
– –
Обработка сетевыхпакетов: Защита от replay-атак
Да (реком.) Да (реком.) Да (реком.) Да (реком.)
Группа «Контроль устройств»
Перенаправлениеустройств в RDP-подключениях
Запрет для всехтипов устройстви подключений(реком.)
Запрет для всехтипов устройстви подключений(реком.)
Запрет для всехтипов устройстви подключений(реком.)
Запрет для всехтипов устройстви подключений(реком.)
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
54Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрУровни защищенности ИСПДн
1 2 3 4
Список устройств:Параметры контроля
Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)
Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)
– –
Список устройств:Разрешения
Заданы (обяз.) Заданы (обяз.) – –
Группа «Контроль печати»
Список принтеров:Разрешения
Заданы (обяз.) Заданы (обяз.) – –
*Действие является обязательным, если для реализации меры ОЦЛ.6 (ограничение правпользователей по вводу информации в систему) будет применяться механизм полно-мочного управления доступом системы Secret Net Studio. Если для реализации указанноймеры защиты применяются другие решения, действие не обязательно для выполнения.
Параметры пользователейДля соответствия уровням защищенности ИСПДн должны быть настроены пара-метры пользователей, перечисленные в следующей таблице. Настройка пара-метров осуществляется в программе управления пользователями в диалоговомокне настройки свойств пользователя.Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.
Табл.16 Параметры пользователей
ПараметрУровни защищенности ИСПДн
1 2 3 4
Группа параметров «Идентификатор» в диалоге «Параметры безопасности»
Электронныйидентификаторпользователя
Присвоен(обяз.)
Присвоен(реком.)
– –
Интеграция с ПАК «Соболь» Да (реком.) Да (реком.) – –
Группа параметров «Доступ» в диалоге «Параметры безопасности»
Уровень допуска Назначенуполномоченнымпользователям(обяз.)*
– – –
Привилегия: Управлениекатегориямиконфиденциальности
Назначенауполномоченнымпользователям(обяз.)*
– – –
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
55Secret Net Studio – C. Руководство администратораПринципы построения
*Действие является обязательным, если для реализации меры ОЦЛ.6 (ограничение правпользователей по вводу информации в систему) будет применяться механизм полно-мочного управления доступом системы Secret Net Studio. Если для реализации указанноймеры защиты применяются другие решения, действие не обязательно для выполнения.
Параметры механизмов КЦ и ЗПСДля соответствия уровням защищенности ИСПДн должны быть настроены пара-метры механизмов КЦ и ЗПС, перечисленные в следующей таблице. Настройкапараметров осуществляется в программе «Контроль программ и данных».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.
Табл.17 Параметры механизмов КЦ и ЗПС
ПараметрУровни защищенности ИСПДн
1 2 3 4
Диалоговое окно настройки параметров задания контроля СЗИ
Метод контроля ресурсов Содержимое(обяз.)
Содержимое(обяз.)
– –
Алгоритм CRC32 (реком.) CRC32 (реком.) – –
Регистрация событий: Успехзавершения
Да (реком.) Да (реком.) – –
Регистрация событий:Ошибка завершения
Да (обяз.) Да (обяз.) – –
Регистрация событий:Ошибка проверки
Да (обяз.) Да (обяз.) – –
Реакция на отказ: Действия Заблокироватькомпьютер(реком.)
Заблокироватькомпьютер(реком.)
– –
Расписание При загрузке ОСи порасписанию(обяз.)
При загрузке ОСи порасписанию(обяз.)
– –
Диалоговое окно настройки параметров задания контроля ОС (файлы и реестр)
Метод контроля ресурсов Содержимое(реком.)
Содержимое(реком.)
– –
Алгоритм CRC32 (реком.) CRC32 (реком.) – –
Регистрация событий: Успехзавершения
Да (реком.) Да (реком.) – –
Регистрация событий:Ошибка завершения
Да (реком.) Да (реком.) – –
Регистрация событий: Успехпроверки
Нет (реком.) Нет (реком.) – –
Регистрация событий:Ошибка проверки
Да (реком.) Да (реком.) – –
Реакция на отказ: Действия Заблокироватькомпьютер(реком.)
Заблокироватькомпьютер(реком.)
– –
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
56Secret Net Studio – C. Руководство администратораПринципы построения
ПараметрУровни защищенности ИСПДн
1 2 3 4
Расписание При загрузке ОСи порасписанию(реком.)
При загрузке ОСи порасписанию(реком.)
– –
Применение параметров после настройкиПри изменении параметров объектов и защитных механизмов Secret Net Studioне все значения могут вступать в силу сразу после сохранения изменений. Неко-торые параметры применяются на защищаемых компьютерах в определенныемоменты времени.Ниже перечислены параметры, вступающие в силу после перезагрузки ком-пьютера или при следующем входе пользователя в систему. Остальные пара-метры применяются сразу после сохранения измененных значений.
Табл.18 Параметры в программе управления
Параметр Момент применения
Вкладка «Состояние» для компьютера — средства включения и отключения механизмов
Дискреционное управление После перезагрузки
Затирание данных После перезагрузки
Контроль устройств После перезагрузки
Замкнутая программная среда После перезагрузки
Полномочное управление После перезагрузки
Контроль печати После перезагрузки
Защита дисков и шифрование После перезагрузки
Вкладка «Настройки», раздел «Политики» — параметры группы «Вход в систему»
Максимальный период неактивности до блокировкиэкрана
При следующем входе в систему
Запрет вторичного входа в систему После перезагрузки
Реакция на изъятие идентификатора При следующем входе в систему
Количество неудачных попыток аутентификации При следующем входе в систему
Разрешить интерактивный вход только доменнымпользователям
При следующем входе в систему
Режим идентификации пользователя При следующем входе в систему
Режим аутентификации пользователя При следующем входе в систему
Парольная политика При следующем входе в систему
Вкладка «Настройки», раздел «Политики» — параметры группы «Журнал»
Максимальный размер журнала системы защиты При увеличении — сразу. Приуменьшении — после очистки журнала
Учетные записи с привилегией просмотра журналасистемы защиты
При следующем входе в систему
Вкладка «Настройки», раздел «Политики» — параметры группы «Ключи пользователя»
Все настраиваемые параметры группы При следующем входе в систему
Вкладка «Настройки», раздел «Политики» — параметры группы «Контроль RDPподключений»
Перенаправление устройств в RDP-подключениях При следующем терминальном входе
Перенаправление буфера обмена в RDP-подключениях При следующем терминальном входе
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
57Secret Net Studio – C. Руководство администратораПринципы построения
Параметр Момент применения
Перенаправление принтеров в RDP-подключениях При следующем терминальном входе
Вкладка «Настройки», раздел «Политики» — параметры группы «Администрированиесистемы защиты»
Самозащита продукта После перезагрузки
Вкладка «Настройки», раздел «Политики» — параметры группы «Дискреционное управлениедоступом»
Учетные записи с привилегией управления правамидоступа
При следующем входе в систему
Вкладка «Настройки», раздел «Политики» — параметры группы «Полномочное управлениедоступом»
Режим работы: Контроль потоков отключен После перезагрузки
Режим работы: Контроль потоков включен После перезагрузки
Режим работы: Строгий контроль терминальныхподключений
При следующем входе в систему
Режим работы: Автоматический выбор максимальногоуровня сессии
При следующем входе в систему
Вкладка «Настройки», раздел «Политики» — параметры группы «Замкнутая программнаясреда»
Учетные записи, на которые не действуют правилазамкнутой программной среды
При следующем входе в систему
Вкладка «Настройки», раздел «Политики» — параметры группы «Защита диска ишифрование данных»
Учетные записи с привилегией на созданиекриптоконтейнера
При следующем входе в систему
Вкладка «Настройки», раздел «Политики» — параметры группы «Контроль печати»
Маркировка документов При следующем входе в систему
Теневое копирование При следующем входе в систему
Вкладка «Настройки», раздел «Параметры» — параметры группы «Управление трассировкой»
Все настраиваемые параметры группы После перезагрузки
Табл.19 Параметры в программе «Контроль программ и данных»
Параметр Момент применения
Список ресурсов в задании ЗПС При следующем входе в систему*
Диалоговое окно настройки параметров субъекта управления, диалог «Режимы»
Режим ЗПС включен При следующем входе в систему*
Изоляция процесса включена При следующем входе в систему*
*При централизованной настройке возможно принудительное применение изменений покоманде «Перезагрузка параметров работы пользователей» в контекстном меню субъектовуправления.
Табл.20 Параметры в программе управления пользователями
Параметр Момент применения
Операции с учетными записями: удаление, блокировка,смена пароля
При следующем входе в систему
Окно настройки свойств пользователя, диалог «Параметры безопасности» — параметрыгруппы «Идентификатор»
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
58Secret Net Studio – C. Руководство администратораПринципы построения
Параметр Момент применения
Список электронных идентификаторов пользователя При следующем входе в систему
Окно настройки свойств пользователя, диалог «Параметры безопасности» — параметрыгруппы «Доступ»
Все параметры полномочного управления доступом При следующем входе в систему
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
59Secret Net Studio – C. Руководство администратораПринципы построения
Документация1. Средство защиты информации Secret Net Studio – C.
Руководство администратора.Принципы построения
RU.88338853.501400.002 91 1
2. Средство защиты информации Secret Net Studio – C.Руководство администратора.Установка, обновление, удаление
RU.88338853.501400.002 91 2
3. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация
RU.88338853.501400.002 91 3
4. Средство защиты информации Secret Net Studio – C.Руководство администратора.Централизованное управление, мониторинг и аудит
RU.88338853.501400.002 91 4
5. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация.Локальная защита
RU.88338853.501400.002 91 5
6. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация.Сетевая защита
RU.88338853.501400.002 91 6
7. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация.Доверенная среда
RU.88338853.501400.002 91 8
8. Средство защиты информации Secret Net Studio – C.Руководство пользователя
RU.88338853.501400.002 92
© КОМПАНИЯ «КОД БЕЗОПАСНОСТИ»
60Secret Net Studio – C. Руководство администратораПринципы построения
1. Введение
2. Описание решения
3. Архитектура решения
4. Описание защитных механизмов
4.1. Защита от несанкционированного доступа
4.1.1. Защита входа в систему
4.1.2. Идентификация и аутентификация пользователей
4.1.3. Блокировка компьютера
4.1.4. Функциональный контроль подсистем
4.1.5. Контроль целостности
4.1.6. Дискреционное управление доступом к ресурсам файловой системы
4.1.7. Полномочное управление доступом
4.1.8. Затирание данных
4.1.9. Замкнутая программная среда
4.1.10. Контроль подключения и изменения устройств компьютера
4.1.11. Контроль печати
4.1.12. Теневое копирование выводимых данных
4.2. Защита дисков и шифрование контейнеров
4.3. Защита информации на локальных дисках
4.4. Шифрование данных в криптоконтейнерах
4.5. Персональный межсетевой экран
4.6. Обнаружение и предотвращение вторжений
4.7. Антивирус
4.8. Шифрование сетевого трафика
5. Выводы
Введение
Значительную часть работ по защите информации составляют задачи обеспечения безопасности рабочих станций и серверов. Для их решения применяются продукты класса Endpoint Security, которые компенсируют внутренние и внешние угрозы с помощью различных подсистем безопасности (антивирус, СЗИ от НСД, персональный межсетевой экран и др.).
Отражение классических угроз безопасности компьютеров можно найти и в нормативных документах. ФСТЭК России включает требования к защите рабочих станций в обязательные для исполнения приказы: №21 о защите персональных данных, №17 о защите государственных информационных систем (ГИС), руководящие документы по защите автоматизированных систем. Эти требования также выполняются установкой на рабочие станции и сервера соответствующих средств защиты класса Endpoint Security.
Модель угроз информационной безопасности традиционно включает целый перечень актуальных для рабочих станций и серверов угроз. До сегодняшнего дня их не получалось нейтрализовать одним-двумя средствами защиты информации (далее — СЗИ), поэтому администраторы устанавливали 3-5 различных продуктов, каждый из которых выполнял определенный набор задач: защиту от несанкционированного доступа, вирусов, фильтрацию сетевого трафика, криптографическую защиту информации и т. д.
Такой подход сводит работу администраторов к непрерывной поддержке СЗИ из различных консолей управления и мониторинга. Кроме того, продукты разных вендоров плохо совместимы, что приводит к нарушению функционирования и замедлению защищаемой системы, а в некоторых случаях — и вовсе ко сбою в работе.
Сегодня на рынке появляются комплексные решения, которые объединяют несколько защитных механизмов. Такие СЗИ упрощают администрирование и выбор мер по обеспечению безопасности: у них единая консоль управления, отсутствуют конфликты в работе подсистем безопасности, продукты легко масштабируются и могут применяться в распределенных инфраструктурах.
Одним из комплексных средств защиты является продукт Secret Net Studio 8.1, разработанный компанией «Код Безопасности». В этой статье мы подробно рассмотрим защитные механизмы Secret Net Studio. Механизмы централизованного управления будут рассмотрены в другой статье.
Описание решения
СЗИ Secret Net Studio — это комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. Продукт объединяет в себе функционал нескольких средств защиты «Кода Безопасности» (СЗИ от НСД Secret Net, межсетевой экран TrustAccess, СЗИ Trusted Boot Loader, СКЗИ «Континент-АП»), а также включает ряд новых защитных механизмов.
В рамках данного продукта решаются следующие задачи:
- Защита от внешних угроз:
- защита рабочих станций и серверов от вирусов и вредоносных программ;
- защита от сетевых атак;
- защита от подделки и перехвата сетевого трафика внутри локальной сети;
- защищенный обмен данными с удаленными рабочими станциями.
- Защита от внутренних угроз:
- защита информации от несанкционированного доступа*;
- контроль утечек и каналов распространения защищаемой информации;
- защита от действий инсайдеров;
- защита от кражи информации при утере носителей.
- Соответствие требованиям регуляторов:
- Secret Net Studio находится на сертификации во ФСТЭК России и после получения сертификата позволит выполнять требования регуляторов при аттестации (оценке соответствия) информационных систем, в которых обрабатывается конфиденциальная информация, на соответствие различным требованиям российского законодательства (защита государственных информационных систем до класса К1, защита персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно» и т. д.).
*по результатам исследования «Кода Безопасности», доля их продуктов (SecretNet + ПАК «Соболь») на рынке СЗИ от НСД в 2012-2014 гг. составляла более 60% общего объема рынка.
Архитектура решения
Secret Net Studio 8.1 предоставляется в двух вариантах исполнения:
- автономный вариант — предусматривает только локальное управление защитными механизмами;
- сетевой вариант — предусматривает централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.
В автономном варианте исполнения защитные механизмы устанавливаются и управляются локально (без привязки к серверу безопасности). При таком исполнении в состав продукта входят следующие компоненты:
- Клиент — устанавливается на серверах и рабочих станциях и предназначен для реализации их защиты.
- Центр управления (локальный режим) — программа управления в локальном режиме осуществляет прямую работу с защитными компонентами на компьютере.
- Сервер обновления антивируса — предназначен для обеспечения централизованной раздачи в локальной сети обновлений баз данных признаков компьютерных вирусов для антивируса по технологии ESET.
В сетевом варианте исполнения защитные механизмы устанавливаются на все сервера и рабочие станции, при этом осуществляется централизованное управление этими защитными механизмами. В дополнение к автономному варианту в сетевой вариант исполнения входят:
- Сервер безопасности — является основным элементом, обеспечивает взаимодействие объектов управления, реализует функции контроля и управления, а также осуществляет обработку, хранение и передачу информации.
- Программа управления — устанавливается на рабочих местах администраторов и используется для централизованного управления защищаемыми компьютерами.
- Сервер аутентификации — обеспечивает работу механизмов персонального межсетевого экрана и авторизации сетевых соединений (входит в состав ПО сервера безопасности).
Описание защитных механизмов
В Secret Net Studio 8.1 обеспечивается защита информации на 5 уровнях, для каждого из которых представлены определенные защитные механизмы (продукт объединяет более 20 взаимно интегрированных защитных механизмов). Информация об уровнях защиты и соответствующих им механизмах представлена на рисунке ниже:
Рисунок 1. Уровни защиты и соответствующие им защитные механизмы
Лицензируются следующие компоненты системы:
- защита от несанкционированного доступа (включает в себя механизмы, обеспечивающие защиту входа в систему, доверенную информационную среду, контроль утечек и каналов распространения защищаемой информации);
- контроль устройств (входит в защиту от НСД, но может также приобретаться отдельно);
- защита диска и шифрование контейнеров;
- персональный межсетевой экран;
- средство обнаружения и предотвращения вторжений;
- антивирус;
- шифрование сетевого трафика.
Рисунок 2. Централизованное управление защитными компонентами Secret Net Studio
Защита от несанкционированного доступа
Защита от НСД обеспечивается механизмами, применяемыми в СЗИ от НСД Secret Net. Их описание приведено ниже.
Защита входа в систему
Защита входа в систему обеспечивает предотвращение доступа посторонних лиц к компьютеру. К механизму защиты входа относятся следующие средства:
- средства для идентификации и аутентификации пользователей;
- средства блокировки компьютера;
- аппаратные средства защиты от загрузки ОС со съемных носителей (интеграция с ПАК «Соболь»).
Идентификация и аутентификация пользователей
Идентификация и аутентификация выполняются при каждом входе в систему. В системе Secret Net Studio идентификация пользователей осуществляется по одному из 3-х вариантов: по имени (логин и пароль), по имени или токену, только по токену.
Рисунок 3. Политики в Secret Net Studio. Настройка входа в систему
В Secret Net Studio 8.1 поддерживается работа со следующими аппаратными средствами:
- средства идентификации и аутентификации на базе идентификаторов eToken, iKey, Rutoken, JaCarta и ESMART;
- устройство Secret Net Card;
- программно-аппаратный комплекс (ПАК) «Соболь».
Рисунок 4. Настройка электронных идентификаторов для пользователей в Secret Net Studio
Блокировка компьютера
Средства блокировки компьютера предназначены для предотвращения его несанкционированного использования. В этом режиме блокируются устройства ввода (клавиатура и мышь) и экран монитора. Предусмотрены следующие варианты:
- блокировка при неудачных попытках входа в систему;
- временная блокировка компьютера;
- блокировка компьютера при срабатывании защитных подсистем (например, при нарушении функциональной целостности системы Secret Net Studio);
- блокировка компьютера администратором оперативного управления.
Рисунок 5. Настройка средств блокировки в Secret Net Studio
Функциональный контроль подсистем
Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС все ключевые защитные подсистемы загружены и функционируют.
В случае успешного завершения функционального контроля этот факт регистрируется в журнале Secret Net Studio. При неуспешном завершении регистрируется событие с указанием причин, вход в систему разрешается только пользователям из локальной группы администраторов компьютера.
Контроль целостности
Механизм контроля целостности следит за неизменностью контролируемых объектов. Контроль проводится в автоматическом режиме в соответствии с заданным расписанием. Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков (последние только при использовании ПАК «Соболь»).
Рисунок 6. Создание нового задания для контроля целостности в Secret Net Studio
При обнаружении несоответствия возможны различные варианты реакции на ситуации нарушения целостности. Например, регистрация события в журнале Secret Net Studio и блокировка компьютера.
Вся информация об объектах, методах, расписаниях контроля сосредоточена в модели данных. Она хранится в локальной базе данных системы Secret Net Studio и представляет собой иерархический список объектов с описанием связей между ними.
Рисунок 7. Создание модели данных для контроля целостности в Secret Net Studio
Дискреционное управление доступом к ресурсам файловой системы
В состав системы Secret Net Studio 8.1 входит механизм дискреционного управления доступом к ресурсам файловой системы. Этот механизм обеспечивает:
- разграничение доступа пользователей к каталогам и файлам на локальных дисках на основе матрицы доступа субъектов (пользователей, групп) к объектам доступа;
- контроль доступа к объектам при локальных или сетевых обращениях, включая обращения от имени системной учетной записи;
- запрет доступа к объектам в обход установленных прав доступа;
- независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows. То есть установленные права доступа к файловым объектам в системе Secret Net Studio не влияют на аналогичные права доступа в ОС Windows и наоборот.
Рисунок 8. Настройка дискреционных прав доступа в Secret Net Studio
Кроме того, пользователю предоставляется возможность определения учетных записей, которым даны привилегии по управлению правами доступа.
Полномочное управление доступом
Механизм полномочного управления доступом обеспечивает:
- разграничение доступа пользователей к информации, которой назначена категория конфиденциальности (конфиденциальная информация);
- контроль подключения и использования устройств с назначенными категориями конфиденциальности;
- контроль потоков конфиденциальной информации в системе;
- контроль использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
- контроль печати конфиденциальных документов.
Рисунок 9. Политики в Secret Net Studio. Настройка полномочного управлении доступом
Чтобы обеспечить функционирование механизма полномочного управления доступом при включенном режиме контроля потоков, требуется выполнить дополнительную настройку локально на компьютере. Для этого используется программа настройки подсистемы полномочного управления доступом для режима контроля. Настройка выполняется перед включением режима контроля потоков, а также при добавлении новых пользователей, программ, принтеров, для оптимизации функционирования механизма.
Рисунок 10. Программа настройки подсистемы полномочного управления доступом в Secret Net Studio
Доступ пользователя к конфиденциальной информации осуществляется в соответствии с его уровнем допуска. Например, если уровень допуска пользователя ниже, чем категория конфиденциальности ресурса — система блокирует доступ к этому ресурсу.
Рисунок 11. Назначение уровней допуска и привилегий пользователям в Secret Net Studio
Затирание данных
Затирание удаляемой информации делает невозможным восстановление и повторное использование данных после удаления. Гарантированное уничтожение достигается путем записи последовательности случайных чисел на место удаленной информации в освобождаемой области памяти. Для большей надежности может быть выполнено несколько циклов (проходов) затирания.
Рисунок 12. Политики в Secret Net Studio. Настройка механизма затирания данных
Замкнутая программная среда
Механизм замкнутой программной среды позволяет определить для любого пользователя индивидуальный перечень разрешенного программного обеспечения. Система защиты контролирует и обеспечивает запрет использования следующих ресурсов:
- файлы запуска программ и библиотек, не входящие в перечень разрешенных для запуска и не удовлетворяющие определенным условиям;
- сценарии, не входящие в перечень разрешенных для запуска и не зарегистрированные в базе данных.
Попытки запуска неразрешенных ресурсов регистрируются в журнале как события тревоги.
На этапе настройки механизма составляется список ресурсов, разрешенных для запуска и выполнения. Список может быть сформирован автоматически на основании сведений об установленных на компьютере программах или по записям журналов, содержащих сведения о запусках программ, библиотек и сценариев. Также предусмотрена возможность формирования списка вручную.
Рисунок 13. Создание модели данных для замкнутой программной среды в Secret Net Studio
Контроль подключения и изменения устройств компьютера
Механизм контроля подключения и изменения устройств компьютера обеспечивает:
- своевременное обнаружение изменений аппаратной конфигурации компьютера и реагирование на эти изменения;
- поддержание в актуальном состоянии списка устройств компьютера, который используется механизмом разграничения доступа к устройствам.
Начальная аппаратная конфигурация компьютера определяется на этапе установки системы. Настройку политики контроля можно выполнить индивидуально для каждого устройства или применять к устройствам наследуемые параметры от моделей, классов и групп, к которым относятся устройства.
Рисунок 14. Политики в Secret Net Studio. Настройка политики контроля устройств компьютера
При обнаружении изменений аппаратной конфигурации система требует у администратора безопасности утверждение этих изменений.
На основании формируемых списков устройств осуществляется разграничение доступа пользователей к ним: разрешение/запрет на выполнение операций и настройки уровней конфиденциальности.
Контроль печати
Механизм контроля печати обеспечивает:
- разграничение доступа пользователей к принтерам;
- регистрацию событий вывода документов на печать в журнале Secret Net Studio;
- вывод на печать документов с определенной категорией конфиденциальности;
- автоматическое добавление грифа в распечатываемые документы (маркировка документов);
- теневое копирование распечатываемых документов.
Рисунок 15. Политики в Secret Net Studio. Настройка контроля печати
Для реализации функций маркировки и/или теневого копирования распечатываемых документов в систему добавляются драйверы «виртуальных принтеров».
Рисунок 16. Редактирование маркировки распечатываемых документов
Теневое копирование выводимых данных
Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации. Дубликаты (копии) сохраняются в специальном хранилище, доступ к которому имеют только уполномоченные пользователи. Действие механизма распространяется на те устройства, для которых включен режим сохранения копий при записи информации.
Рисунок 17. Политики в Secret Net Studio. Настройка теневого копирования
При включенном режиме сохранения копий вывод данных на внешнее устройство возможен только при условии создания копии этих данных в хранилище теневого копирования. Если по каким-либо причинам создать дубликат невозможно, операция вывода данных блокируется.
Теневое копирование поддерживается для устройств следующих видов:
- подключаемые по USB жесткие диски, флешки и др. накопители;
- дисководы CD- и DVD-дисков с функцией записи;
- принтеры;
- дисководы гибких дисков.
Защита дисков и шифрование контейнеров
В рамках указанного компонента реализованы два защитных механизма, описание которых представлено ниже.
Защита информации на локальных дисках
Механизм защиты информации на локальных дисках компьютера (механизм защиты дисков) предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера. Несанкционированной считается загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере, без установленного клиентского ПО Secret Net Studio.
Шифрование данных в криптоконтейнерах
Система Secret Net Studio 8.1 предоставляет возможность шифрования содержимого объектов файловой системы (файлов и папок). Для этого используются специальные хранилища — криптографические контейнеры.
Физически криптоконтейнер представляет собой файл, который можно подключить к системе в качестве дополнительного диска.
Для работы с шифрованными ресурсами пользователи должны иметь ключи шифрования. Реализация ключевой схемы шифрования криптоконтейнеров базируется на алгоритмах ГОСТ Р34.10–2012, ГОСТ Р34.11–2012 и ГОСТ 28147-89.
Рисунок 18. Управление криптографическими ключами пользователей
Персональный межсетевой экран
Система Secret Net Studio 8.1 обеспечивает контроль сетевого трафика на сетевом, транспортном и прикладном уровнях на основе формируемых правил фильтрации. Подсистема межсетевого экранирования Secret Net Studio реализует следующие основные функции:
- фильтрация на сетевом уровне с независимым принятием решений по каждому пакету;
- фильтрация пакетов служебных протоколов (ICMP, IGMP и т. д.), необходимых для диагностики и управления работой сетевых устройств;
- фильтрация с учетом входного и выходного сетевого интерфейса для проверки подлинности сетевых адресов;
- фильтрация на транспортном уровне запросов на установление виртуальных соединений (TCP-сессий);
- фильтрация на прикладном уровне запросов к прикладным сервисам (фильтрация по символьной последовательности в пакетах);
- фильтрация с учетом полей сетевых пакетов;
- фильтрация по дате / времени суток.
Рисунок 19. Политики в Secret Net Studio. Настройка межсетевого экрана
Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE 802.3) и Wi‑Fi (IEEE 802.11b/g/n).
Авторизация сетевых соединений в Secret Net Studio осуществляется с помощью механизма, основанного на протоколе Kerberos. С его помощью удостоверяются не только субъекты доступа, но и защищаемые объекты, что препятствует реализации угроз несанкционированной подмены (имитации) защищаемой информационной системы с целью осуществления некоторых видов атак. Механизмы аутентификации защищены от прослушивания, попыток подбора и перехвата паролей.
События, связанные с работой межсетевого экрана, регистрируются в журнале Secret Net Studio.
Обнаружение и предотвращение вторжений
В Secret Net Studio 8.1 выполняется обнаружение и блокирование внешних и внутренних атак, направленных на защищаемый компьютер. С помощью групповых и локальных политик администратор Secret Net Studio настраивает параметры работы системы.
Рисунок 20. Политики в Secret Net Studio. Настройка механизма обнаружения вторжений
Вся информация об активности механизма обнаружения и предотвращения вторжений регистрируется в журнале Secret Net Studio.
Антивирус
Защитный модуль «Антивирус» в Secret Net Studio 8.1 осуществляет обнаружение и блокировку вредоносного кода по технологии ESET NOD32.
Таким образом, Secret Net Studio позволяет осуществлять эвристический анализ данных и автоматическую проверку на наличие вредоносных программ, зарегистрированных в базе сигнатур. При проверке компьютера осуществляется сканирование жестких дисков, сетевых папок, внешних запоминающих устройств и др. Это позволяет обнаружить и заблокировать внешние и внутренние сетевые атаки, направленные на защищаемый компьютер.
Благодаря использованию в рамках одного продукта СЗИ от НСД и антивируса время на проверку и открытие файлов составляет на 30% меньше, чем при независимой реализации защитных механизмов.
Обновление антивируса можно осуществлять как в режиме онлайн с серверов «Кода Безопасности» при подключении защищаемого компьютера к интернету, так и с сервера обновлений компании (в случае, когда компьютер не имеет прямого выхода в интернет).
Администратору доступна настройка параметров антивируса с помощью групповых и локальных политик в программе управления Secret Net Studio. Вся информация об активности механизма регистрируется в журнале Secret Net Studio.
Рисунок 21. Политики в Secret Net Studio. Настройка антивируса
Шифрование сетевого трафика
В состав клиентского ПО системы Secret Net Studio 8.1 включен VPN-клиент, предназначенный для организации доступа удаленных пользователей к ресурсам, защищаемым средствами АПКШ «Континент». VPN-клиент «Континент-АП» обеспечивает криптографическую защиту трафика, циркулирующего по каналу связи, по алгоритму ГОСТ 28147-89.
При подключении абонентского пункта к серверу доступа выполняется процедура установки соединения, в ходе которой осуществляется взаимная аутентификация абонентского пункта и сервера доступа. Процедура установки соединения завершается генерацией сеансового ключа, который используется для шифрования трафика между удаленным компьютером и сетью предприятия.
Рисунок 22. Подключение «Континент-АП» через Secret Net Studio
При аутентификации используются сертификаты x.509v3. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–1994 или ГОСТ Р 34.11–2012, формирование и проверка электронной подписи — по алгоритму ГОСТ Р 34.10–2001 или ГОСТ Р 34.10–2012.
Рисунок 23. Настройка «Континент-АП» в Secret Net Studio
Выводы
Secret Net Studio 8.1 представляет собой сбалансированный набор защитных механизмов, которые обеспечивают защиту информации на рабочих станциях и файловых серверах как от внешних, так и от внутренних угроз. Наличие единой консоли управления упрощает администрирование СЗИ, а интегрированность защитных механизмов между собой исключает возможность нарушения функционирования защищаемой системы.
В текущем виде Secret Net Studio можно считать полноценным комплексным решением для защиты конечных точек сети от всех видов угроз, включающим в себя все необходимые для этого модули. Наличие в составе модулей контроля приложений (контроль доступа к сети, контроль запуска приложений, поведения приложения), интеграции со средствами доверенной загрузки и встроенного VPN-клиента делает Secret Net Studio уникальным для российского рынка.
Необходимо отметить, что в продукте реализован целый ряд защитных механизмов, позволяющих выполнить различные требования законодательства России в части обеспечения безопасности информации. В частности, после получения сертификата ФСТЭК Secret Net Studio можно будет применять для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно»).
О механизмах централизованного управления и мониторинга читайте во второй части статьи.
Содержание
- Функциональные возможности
- Механизм управления
- Политики безопасности
- Защита входа в систему
- Разграничение доступа
- Отчеты и журналы
- Преимущества Secret Net Studio
Secret Net Studio представляет собой набор специализированных программных решений, которые призваны пресекать любые попытки несанкционированного проникновения в локальную сеть компании и доступа к секретной информации. Данное ПО позволяет привести информационные системы организации в соответствие актуальным требованиям нормативной документации и обезопасить бизнес от злоумышленников.
Secret Net Studio используется на более чем 15 000 различных отечественных предприятий и учреждений. Это СЗИ выбирают за надежность и эффективность.
Функциональные возможности
Secret Net Studio — это высокотехнологичный программный продукт, который предлагается в двух версиях:
- базовой – для защиты конфиденциальной информации (Secret Net Studio);
- cпециальной – для защиты государственных тайн и секретов (Secret Net Studio-C).
Модульное решение SNS ориентировано на надежную защиту IT-инфраструктуры на пяти уровнях. Речь идет о защищенности:
- операционной системы;
- сети;
- приложений;
- файлов с данными;
- периферийных устройств и оборудования.
Перечень функций Secret Net Studio весьма обширен. Среди них:
- Формирование доверенной информационной среды. Достигается за счет надежной защиты компьютеров от несанкционированной загрузки, а также благодаря всестороннему контролю используемого ПО.
- Защита данных от НСД и утечки. Обеспечивается механизмами, используемыми в СЗИ Secret Net Studio, которые отличаются высокой эффективностью.
- Контроль потоков и каналов распространения информации. Полномочное и дискреционное управление доступом, а также функциональный контроль отчуждения, теневого копирования, печати и уничтожения информации.
- Защита входа в систему. Уникальная двухфакторная аутентификация сотрудников по персональным идентификаторам и паролям. Софт Secret Net Studio поддерживает работу самых популярных идентификаторов и механизмов безопасности для доменных пользователей.
- Межсетевое экранирование. Использование межсетевого экрана – это фильтрование протоколов и мониторинг сетевой активности ПК по определенным политикам безопасности, а также подпись трафика сети и автогенерация правил безопасности.
- Функциональный контроль нарушения аппаратной конфигурации. Обеспечение низменности конфигурации аппаратной составляющей работающей системы, а также контроль интеграции сторонних (внешних) устройств, например, принтера или накопителя, с реализацией разных сценариев реагирования на их подключение.
- Антивирусная защита. Формирование качественной защиты серверов и ПК от вредоносных программ с возможностью запуска антивируса ESET по расписанию или запросу, а также в режиме сканирования.
- Шифрование контейнеров. Защита целостности и сохранности данных путем их шифрования по алгоритму ГОСТ 2814789 для предотвращения кражи секретной информации.
- Аудит действий приложений (HIPS). Выявление нетипичной активности приложений посредством эвристических методик. Настройка политик безопасности с поддержкой исключений.
- Защита соединения с удаленными ПК. Обеспечивается программным VPN-клиентом, защищающим соединение сервера с рабочими станциями по криптоалгоритму ГОСТ 2814789, а также поддержкой инфраструктуры PKI.
- Минимизация рисков ИБ. Система корреляции событий безопасности, интегрированная в систему централизованного мониторинга, позволяет осуществлять приоритизацию инцидентов и категорирование важности ПК.
- Защита от сетевых атак (NIPS). Выявление атак (DoS-атак, аномальных пакетов и т.д.) с последующим блокированием соответствующих хостов.
- Централизованное развертывание Secret Net Studio. Установка софта осуществляется на все компьютеры подконтрольного домена с дальнейшей настройкой групповых и сквозных политик безопасности посредством одного агента.
- Надежная работа в ИТ-инфраструктуре компаний, распределенных территориально. Программное решение отличается высокой масштабируемостью и разграничением полномочий администраторов (если речь о сложных структурах), а также поддержкой резервирования серверов безопасности и их иерархии.
- Групповой мониторинг работы. Централизованный сбор журналов событий со всех ПК для оперативного анализа критичных ситуаций и адекватного реагирования на угрозы.
- Расследование инцидентов безопасности. Формирование отчетов и регистрация всех событий позволяют собирать всю необходимую информацию для выявления и отслеживания атак, а также деятельности инсайдеров с привязкой ко времени.
- Затирание данных. Уничтожение всех следов удаленной секретной информации гарантирует невозможность ее восстановления для дальнейшего применения. Осуществляется это методом перезаписи на месте удаленных данных случайных последовательностей чисел в несколько циклов.
Механизм управления
СЗИ от МСД Secret Net Studio может работать как в автономном, так и в сетевом режиме. В первом случае все настройки ПО задаются администратором системы, а управление механизмами безопасности осуществляется локально. При этом определенные параметры работы интегрируются в операционную систему Windows, а потому настраиваются во вкладке проводника.
Что до сетевого режима, то он предусматривает централизованное взаимодействие с событиями безопасности и управление защитными механизмами СЗИ. Это достигается путем формирования двух моделей данных в глобальном каталоге, а именно для ПК с 32-разрядной и 64-разрядной ОС, что позволяет учитывать специфику программного обеспечения разных платформ, установленных на рабочих станциях.
Сервера безопасности Secret Net Studio поддерживают подчиненные иерархические структуры, а также резервирование и разграничение прав администраторов, дают возможность выстраивать сложные инфраструктуры.
Централизованное управление осуществляется в режимах мониторинга и конфигурирования. В первом случае ведется работа с отчетами и событиями, а также политиками механизмов защиты, тогда как во втором – с иерархией систем, находящихся под защитой.
Политики безопасности
Secret Net Studio позволяет проводить инициализацию гибкой системы управления посредством формирования групп серверов или ПК, создания политик безопасности для конкретных групп, серверов безопасности или подразделений:
- Групповые политики — стандартные механизмы управления политиками, похожие на Active Directory. Отличаются низким приоритетом и распределяются согласно иерархии компании.
- Политики сервера безопасности. Отличаются высоким приоритетом. Чем выше сервер в иерархии, тем больший приоритет его политики.
- Политики организационных подразделений. Имеют более расширенные механизмы в сравнении со стандартными, а также возможность назначения в доменах безопасности без глобальных административных прав. Политики организационных подразделений могут заменить групповые политики. Больший приоритет отдается политикам подразделений, находящихся в иерархии ниже.
Рассматриваемые СЗИ проводят сканирование и проверку параметров ИБ по установленному расписанию. При этом все критерии проверки системы задаются администратором.
Если сканирование пропущено, к примеру, из-за выключенного ПК, проверка запускается принудительно сразу после следующего подключения рабочей станции к сети.
Защита входа в систему
Secret Net обеспечивает усиленную защиту входа пользователей в систему, используя как материнские СЗИ, обеспечивающие парольную аутентификацию, так и стороннее ПО, позволяющее формировать двухфакторную аутентификацию. В последнем случае применяются аппаратные идентификаторы вроде Ibutton, eToken, Jakarta, «Рутокен» и т.д.
Идентификаторы получают все пользователи, после чего они могут входить в систему после введения кода безопасности или подключения идентификатора к ПК.
Для обеспечения максимального уровня защиты СКИ блокируют сеть, если компьютер долго не используется. При этом пользователи могут выбрать период включения блокировки самостоятельно при помощи средств ОС, а также установить запрет несанкционированного вызова или вторичного входа в систему. О том, как это делается, написано в инструкции по настройке ПО и применению системы защиты, которая поставляется в сопроводительной документации или в руководстве администратора.
Разграничение доступа
В Secret Net Studio предусмотрено полномочное и дискреционное управление доступом. Второй вариант подразумевает присвоение конкретному пользователю собственных папок, тогда как первый гарантирует контроль сетевых интерфейсов и печати конфиденциальных документов, использование устройств с заданными категориями секретности. При этом задать можно до 16 уровней конфиденциальности.
Строгое соответствие требованиям полномочного доступа обеспечивается активацией контроля потоков конфиденциальной информации в системе.
Отчеты и журналы
Secret Net Studio фиксирует и сохраняет все события безопасности на локальную рабочую станцию. Центр управления осуществляет централизованный сбор журналов по заданным настройкам, что позволяет проводить анализ состояния системы.
Несанкционированный доступ — это критичное событие безопасности, которое попадает в специальную вкладку. Собираются такие события моментально, а не по расписанию. При этом они поступают как сигнал тревоги, что требует от службы безопасности оперативной реакции для отслеживания и фильтрации угроз на серверах в реальном времени.
Работать с событиями НСД одновременно могут несколько администраторов системы Secret Net. Этому способствует реализованный механизм квитирования.
Параллельно с журналом критических событий ведется журнал действий пользователей. В Secret Net есть и механизм отчетов, которые создаются по электронным идентификаторам или ресурсам рабочего места.
Эксперты по ИБ отмечают такие преимущества Secret Net Studio:
- высокий уровень защиты информации благодаря применению сертифицированных технологий;
- демократичная стоимость ПО при приобретении комплексных лицензий;
- риск-ориентированный подход к ИБ;
- простота формирования согласованной работы защитных подсистем;
- снижение нагрузки на ПК, находящихся под защитой;
- минимальные риски конфликтов защитных механизмов;
- 20 механизмов защиты данных в одном продукте;
- высокая масштабируемость программного решения;
- снижение издержек на администрирование СЗИ;
- поддержка распределенных инфраструктур;
- качественная техподдержка от разработчика.
Лицензирование Secret Net Studio выполняется по количеству компонентов защиты и ПК в сети, а также периоду действия лицензий. Покупатель может выбрать только необходимые механизмы безопасности, которые лицензируются отдельно. Добавить новые можно в любое время.
Сегодня Secret Net Studio активно используется для аттестации информационных систем финансово-кредитных организаций и банков, а также структур, где требуется обработка персональных данных или иной конфиденциальной информации в соответствии с требованиями ФСБ и ФСТЭК.
Secret Net Studio отвечает требованиям программы импортозамещения, является сертифицированным программно-аппаратным решением, включенным в Единый реестр отечественного ПО для баз данных Минсвязи РФ.
Представлением вашему вниманию подборку видео уроков по настройке СЗИ от НСД SecretNet отечественного разработка SecurityCode (Код Безопасности). СЗИ имеет все необходимые сертификаты ФСТЭК, подтверждающие соответствие РД по 2 уровню контроля на отсутствие НДВ и 3 классу защищенности по СВТ, что позволяет использовать СЗИ в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.
Введение
Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:
- №152-ФЗ («О персональных данных»);
- №98-ФЗ («О коммерческой тайне»);
- №5485-1-ФЗ («О государственной тайне»);
- СТО БР ИББС (Стандарт Банка России).
Возможности СЗИ
- Аутентификация пользователей.
- Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
- Доверенная информационная среда.
- Контроль утечек и каналов распространения конфиденциальной информации.
- Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
- Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности.
- Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.
- Защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).
Варианты развертывания Secret Net
- Автономный режим – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.
- Сетевой режим (с централизованным управлением) – предназначен для развертывания в доменной сети c Active Directory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант Secret Net может быть успешно развернут в сложной доменной сети (domain tree/forest).
Архитектура
Компоненты Secret Net 7 (сетевой режим):
- Secret Net 7 – Клиент;
- Secret Net 7 – Сервер безопасности;
- Secret Net 7 – Программа управления.
Клиент Secret Net 7 устанавливается на всех защищаемых компьютерах. Он следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на сервер безопасности, а также прием от него оперативных команд и их выполнение.
Сервер безопасности является основным элементом в сетевой структуре системы
Secret Net 7. Этот компонент обеспечивает взаимодействие объектов управления,
реализует функции контроля и управления, а также осуществляет обработку,
хранение и передачу информации.
Программа оперативного управления («Монитор»)
В состав СЗИ Secret Net 7 включена программа оперативного управления, заменяющая средства оперативного управления предыдущих версий СЗИ.
Программа оперативного управления предназначена для конфигурирования сетевой структуры, централизованного управления защищаемыми компьютерами и для работы с записями журналов, поступивших на хранение в базу данных сервера безопасности. Программа устанавливается на рабочих местах администраторов. При работе программа взаимодействует с сервером безопасности, который обрабатывает все управляющие команды администратора.
Дополнительно может использоваться и лицензироваться модуль блокировки НСД к жесткому диску, который осуществляет сокрытие данных на диске при загрузке компьютера с внешних носителей.
Ранее приобретенная лицензия на СЗИ Security Studio 6 – Trusted Boot Loader может использоваться для активации этого механизма в Secret Net 7.
Список видео уроков:
1. Установка и настройка клиента. Вариант №1
2. Установка контроллера домена и Oracle для Сервера безопасности Secret Net
3. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ в БД AD
4. Настройка замкнутой программной среды
5. Настройка механизма контроля целостности
6. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ вне БД AD
7. Программа локального конфигурирования
8. Управление персональными идентификаторами. Защита входа в систему
9. Режимы механизма защиты входа в систему
10.Устновка сервера безопасности с SQL Server 2012 R2
11.Вход в систему в административном режиме
12 Удаление домена безопасности и всех компонентов
13.Установка SQL Server 2012 Standart для работы с SN7.4
14.Изменение учетных данных для подключения СБ к серверу СУБД
15.Управление ключами для усиленной аутентификации.
16.Установка и настройка ПО Rutoken
17.Разрешение разового входа при усиленной аутентификации по паролю.
18.Идентификация и аутентификация * Secret Net 7 * приказ № 17
19. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 1-Два сервера безопасности
20. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 2 — Резервная копия
Документация к версии – Secret Net 7
Руководство администратора. Принципы построения
В руководстве содержатся сведения об общих принципах построения и функционирования системы Secret Net 7. Secret_Net_Admin_Guide_Construction_Principles.pdf |
|
Руководство администратора. Установка, обновление и удаление
В руководстве содержатся сведения, необходимые администраторам для развертывания системы, ее обновления, исправления и удаления. Secret_Net_Admin_Guide_Install.pdf |
|
Руководство администратора.Локальная работа с журналами регистрации
Secret_Net_Admin_Guide_Local_Audit.pdf |
|
Руководство администратора.Работа с программой оперативного управления
В руководстве содержатся сведения, необходимые для работы с компонентом «Secret Net 7 — Программа управления». Secret_Net_Admin_Guide_Operative_Management_Program.pdf |
|
Руководство администратора. Настройка механизмов защиты
В руководстве содержатся сведения, необходимые администраторам для настройки и управления основными механизмами защиты. Secret_Net_Admin_Guide_Security_Settings.pdf |
|
Руководство пользователя
В руководстве содержатся сведения, необходимые пользователю для работы с системой Secret Net 7, установленной на компьютере. Secret_Net_User_Guide.pdf |
|
Сведения о совместимости с другими программными средствами
Данный документ содержит сведения о совместимости СЗИ Secret Net 7 версии 7.6.604.0 с некоторыми другими программными средствами при совместном функционировании. |