Секрет нет студио руководство администратора

Программное обеспечение системы защиты информации Secret Net Studio поставляются на установочном компакт диске. В корневом каталоге данного диска размещается исполняемый файл программы для работы с диском. Запустить установку Secret Net Studio можно как с помощью программы автозапуска, так и непосредственно с помощью дистрибутива, расположенного на диске, по пути: \Setup\Client\Setup\Client\x64\SnSetup.ru-RU.exe.

Установку компонентов Secret Net Studio можно выполнять при работе на компьютере как в локальной сессии, так и в терминальной. Установка любого компонента должна выполняться пользователем, входящим в локальную группу администраторов компьютера.

Для установки клиента:

1. Вставьте в привод установочный диск системы Secret Net Studio. Дождитесь появления окна программы автозапуска (см. стр.10) и запустите установку с помощью команды «Защитные компоненты». На экране появится диалог принятия лицензионного соглашения.
2. Ознакомьтесь с содержанием лицензионного соглашения и нажмите кнопку «Принимаю». На экране появится диалог для выбора режима работы компонента.

1. В поле «Режим работы» укажите режим функционирования клиента — автономный («Автономный режим»).
2. Нажмите кнопку «Далее >». На экране появится диалог для выбора лицензий и формирования списка устанавливаемых защитных подсистем.

1. В диалоге укажите метод получения лицензий:

• чтобы загрузить лицензии из файла (в частности, при установке клиента в автономном режиме функционирования) — установите отметку в поле «ввести новую лицензию».

Если строите систему защиты в ЦОД, рассмотрите вариант размещения сервера в стойке в компании «Микс Телеком». Требуйте скидку при переезде из другого ЦОД!

1. Нажмите кнопку «Выбрать». Если указан метод получения лицензий из файла, выберите нужный файл в появившемся диалоге. После загрузки данных в диалоге появятся сведения о лицензиях.
2. Отметьте в списке устанавливаемые подсистемы, для которых имеются свободные лицензии (установку компонента «Базовая защита» отключить нельзя). При наличии нескольких групп лицензий для компонента, можно выбрать нужную группу в раскрывающемся списке.
3. Нажмите кнопку «Далее >». На экране появится диалог для выбора папки установки клиента и настройки параметров подключений.
4. В поле «Установить в папку» оставьте заданную по умолчанию папку установки клиента или укажите другую папку назначения.
5. Используйте ссылки в разделе «Дополнительно» для выполнения следующих действий:

• чтобы сохранить заданные параметров установки в файле — выберите ссылку «Сохранить сценарий установки». Файл сценария установки можно использовать для автоматизации процесса установки клиентского ПО на других компьютерах;
• чтобы ввести сведения о компьютере для учета — выберите ссылку «Учетная информация компьютера».

1. По окончании настройки параметров нажмите кнопку «Готово».

Начнется процесс установки защитных подсистем в соответствии с заданными параметрами.

1. После завершения всех операций установки нажмите кнопку «Далее».

На экране появится завершающий диалог со сведениями о выполненных операциях и предложением перезагрузить компьютер.

1. Проверьте состав подключенных к компьютеру устройств. Если подключены устройства, которые в дальнейшем должны быть запрещены к использованию, — отключите их.

Внимание!
При первой загрузке компьютера после установки клиентского ПО текущая аппаратная конфигурация автоматически принимается в качестве эталонной. Поэтому до перезагрузки необходимо отключить те устройства, которые должны быть запрещены к использованию на данном компьютере.

1. Перезагрузите компьютер и дождитесь загрузки системы.

Настройка программного обеспечение системы Secret Net Studio будет организованна согласно требованиям, к настройкам политик безопасности, приведенной в таблице 1.

Таблица 1.

Настройки подсистем
Политика	Параметр безопасности
Вход в систему: Запрет вторичного входа в систему	отключен
Вход в систему: Количество неудачных попыток аутентификации	5 попыток
Вход в систему: Максимальный период неактивности до блокировки экрана	10 минут
Вход в систему: Реакция на изъятие идентификатора	блокировать станцию при изъятии любого идентификатора
Вход в систему: Режим аутентификации пользователя	стандартная аутентификация
Вход в систему: Режим идентификации пользователя	смешанный
Журнал: Максимальный размер журнала системы защиты	4096 кБ
Журнал: Политика перезаписи событий	затирать по необходимости
Затирание данных: Количество циклов затирания конфиденциальной информации	3
Затирание данных: Количество циклов затирания на локальных дисках	3
Затирание данных: Количество циклов затирания на сменных носителях	3
Контроль печати: Маркировка документов	стандартная обработка
Контроль печати: Теневое копирование	определяется настройками устройства
Контроль устройств: Теневое копирование	определяется настройками устройства
Полномочное управление доступом: Названия уровней конфиденциальности	Неконфиденциально, Конфиденциально, Строго конфиденциально
Полномочное управление доступом: Режим работы	контроль потоков отключен
Теневое копирование: Размер хранилища	размер: 20%, автоматическая перезапись отключена
Политика паролей
Политик	Параметр безопасности
Макс. срок действия пароля	90 дней
Мин. длина пароля	8 символов
Мин. срок действия пароля	0 дней
Пароль должен отвечать требованиям сложности	Включен

К группе локальной защиты относятся подсистемы, реализующие применение

• следующих механизмов защиты:
• контроль устройств;
• контроль печати;
• замкнутая программная среда;
• полномочное управление доступом;
• дискреционное управление доступом к ресурсам файловой системы;
• затирание данных;
• защита информации на локальных дисках;
• шифрование данных в криптоконтейнерах.

Все настройки Secret Net Studio производятся в локальном центре управления (Пуск -> Код Безопасности -> Локальный центр управления). Локальный центр управления – это плиточная панель настроек.

Для настроек базовых параметров нажмите на плитку: Вход в систему (помечен оранжевой единицей) -> Перейдите по ссылке: Перейти к настройкам подсистемы. В открывшемся окне, установите значения общих политик и парольной политике согласно таблице 1.

Настройки параметров парольной политики:

Параметры журналирования:

Параметры блокировок и реакции на извлечение идентификатора:

После внесения изменений нажмите кнопку применить:

На данном этапе базовая настройка программного обеспечения системы защиты информации Secret Net Studio закончена. В следующем материале будет рассмотрена сетевая установка Secret Net Studio, средствами сервера безопасности и расширенная настройка политик безопасности.

Администрирование аттестованных объектов информатизации — автоматизированных рабочих мест. Практика

В рамках предыдущей статьи мы в теории разобрали, что необходимо делать администратору. В этой же изучим вопрос на практике.

Администрирование аттестованного АРМ

Администрирование аттестованного АРМ сводится к следующим шагам:

• Знакомство с Актом классификации.

• Знакомство с Разрешительной системой доступа.

• Настройка системы и администрирование СЗИ от НСД.

• Поддержание АРМ в актуальном состоянии, в соответствии с разрешительной системой доступа.

Знакомство с Актом классификации

Шаблонов в интернете много, поэтому не будем его детально расписывать, подчеркнем суть из него. В Акте классификации указано, что объект информатизации – автоматизированная система «АРМ-1» классифицирована по классу 1В в соответствии с РД АС. Ссылка на РД АС.

Знакомство с Разрешительной системой доступа

Я придумал нечто следующее (пример РСД), на основе её будем настраивать систему и СЗИ от НСД. Из документа мы получаем всё необходимое: 

• Наименование всех учётных записей, которые должны быть на ПК, а также их роли.

• Перечень информационных ресурсов, их расположение, их гриф.

• Перечень разрешенного оборудования, участвующего в обработке информации.

• Матрицу доступа, содержащую подробную информацию, какой пользователь, к какому информационному ресурсу/оборудованию, под каким грифом имеет доступ.

Настройка системы и администрирование СЗИ от НСД

Пришло время настроить нашу систему согласно исходным данным. Рекомендованный порядок настройки СЗИ от НСД такой:

1. Настройка самого СЗИ от НСД

2. Настройка пользователей

3. Настройка ресурсов

4. Настройка приложений

Начнём с СЗИ от НСД Secret Net Studio. Вот рекомендации по настройке.

Secret Net Studio — C

Настройка самого СЗИ от НСД

Заходим в «Локальный центр управления»

Кратко по меню:

• Если горит зеленый квадратик, то всё работает хорошо. 

• Если серый, то модуль отключен. 

• Если красный, произошли изменения которые необходимо подтвердить администратору. Или же произошёл сбой.

В меню «Настройки» можно задать нужные параметры с помощью шаблонов или ручками. Если вы не знаете, какие параметры выставлять, рекомендую изучить «Рекомендации по настройке СЗИ от НСД» Dallas Lock. Это руководство от другой СЗИ, но основные параметры одинаковые, так что заострять внимание на этом не будем, упомянем только основное.

В «Базовая защита» это:

В других СЗИ от НСД, требования парольной политики по содержанию символов настраивается более гибко, тут же, только вот этим параметром.

В «Локальная защита» это:

Создадим необходимый перечень мандатных уровней:

В данной СЗИ от НСД менее трёх быть не может. Вы же поняли, почему?

Не включайте сразу параметр «Контроль потоков включен» он включается в самый последний момент, когда уже всё настроено.

В «Контроль устройств» рекомендуется отключить все, что не используется в обработке информации. USB-устройства — разрешаете подключение для конкретных, и потом для родительского объекта запрещаете подключение, чтобы кроме разрешенного пользователи ничего подключить не смогли.

В «Контроль печати» нужно добавить принтер, МФУ, на котором будете печатать, и с помощью шестеренки разрешить доступ «Все», после чего выбрать «Настройка по умолчанию» и для него уже запретить «Все».

Настройка пользователей

В Secret Net Studio есть свой аналог меню по созданию учетных записей – «Управление параметрами безопасности пользователей». Создаём учетные записи в соответствии с разрешительной системой доступа: 

Важно помнить, что колонку «Имя» изменить уже не получится. А всё остальное можно. В меню «Параметры безопасности» выставляем уровень допуска и выбираем то, что он может делать с грифованными данными. «Управление категориями конфиденциальности» должен быть только у администратора.

Настройка ресурсов

Следующий шаг – создать информационные ресурсы. В разрешительной системе доступа указываются и их наименования и их расположение. Делаем как в документе.

Ресурсы мы создали, а теперь нужно настроить дискреционные и мандатные полномочия пользователей на этих каталогах, как в матрице доступа, находящейся в РСД. Заходим в «Свойства» каталога Документы, далее во вкладку «Secret Net Studio» и настраиваем мандатный уровень для папки. Суть этого разделения в том, что мы можем контролировать, под каким уровнем мандатной сессии пользователи смогут открыть её. Так как у нас в папке «Документы» находятся папки разных грифов, то на самой папке мы ставим самый меньший уровень. А вот на папке «Конфиденциально» и «Не_конфиденциально» ставим нужные уровни.

Дискреционное разграничение определяет права доступа пользователей к каталогам, то есть кто и куда может зайти. Если оставить галку «Наследовать настройки доступа от родительского объекта», то папка примет настройки от родительского объекта. 

Важно, в данной СЗИ от НСД при настройке каждого каталога необходимо добавлять администратора, иначе он не сможет настраивать эту папку.

Для папки «Документы» это диск C:\, а для других, что внутри этой папки – сама папка «Документы». Снимаем галку, и ставим всё как матрице доступа разрешительной системы доступа. По правам для пользователей для родительского объекта ставим разрешить «Чтение» «Запись» «Выполнение», запрещаем «Удаление» и «Изменение прав доступа». Правами на изменение прав доступа обладает только администратор. 

По поводу удаления: так как у нас регламентированы папки, которые должны быть в папке «Документы» («Конфиденциально» и «Не_конфиденциально») то удалять их нельзя, но в самих уже этих папках можно свободно действовать.

В каталогах на USB-устройствах настроить в большинстве случаев можно только дискреционное разграничение, так как для мандатного разграничения может не соответствовать файловая система.

Настройка приложений

Самый трудоёмкий пункт. Для настройки работы приложений в ненулевой сессии администратору необходимо настроить «Подсистема полномочного управления доступом». Для этого выполните во вкладке «Автоматически» процесс настройки «По умолчанию» После чего можно настроить все приложения.

Суть в том, что для каждого приложения, чтобы оно работало в ненулевых мандатных сессиях (например, «Конфиденциально») необходимо сделать разделяемой папку, содержащую временные файлы этого приложения. Для большинства популярных приложений есть шаблоны программ, доступные на вкладке «Программы».

Если там нет, добавьте вручную. Для этого в вкладке «Вручную» -> «Общие» -> «Перенаправления» необходимо добавить пути до этих каталогов. Для этого в папке пользователя «AppData» -> Local, Roaming, LocalLow необходимо скопировать адрес до папки приложения. 

И вставить в новое правило. Чтобы правило работало для ещё не существующих пользователей, удалите ту часть, которая указывает на папку конкретного пользователя: 

После того, как настроите все необходимые приложения, вернитесь в «Локальный центр управления» и включите

После чего нужно перезагрузиться.

После перезагрузки при попытке войти под пользователем после ввода логина и пароля система спросит, под какой сессией вы хотите зайти. Зайдите под пользователем, чтобы проверить, что все приложения работают как надо, все папки открываются.

FAQ

Если система зависает на этом моменте и бесконечно грузится, жмите Ctrl+Shift+Esc. Вы пропустите проверку системы, компьютер будет заблокирован для всех, кроме администраторов. После исправления ошибок в локальном центре проведите проверку функционального контроля/

Dallas Lock 8.0-C

Настройка самого СЗИ от НСД

В меню «Параметры безопасности» можно задать нужные настройки с помощью шаблонов или ручками. Если вы не знаете, какие параметры выставлять, рекомендую изучить «Рекомендации по настройке СЗИ от НСД Dallas Lock». Заострять внимание на этом документе не будем, упомянем только основное.

Во вкладке «Мандатный доступ» установим всё как в нашем примере РСД 

Во вкладке «Контроль целостности «Программно-аппаратной среды»» выставляются алгоритмы и рассчитываются контрольные суммы в самом конце.

Контроль устройств находится в «Контроль ресурсов» «Устройства». Оставляем не запрещённым только то, что участвует в обработке данных.

Настройка пользователей

Добавляются пользователи во вкладке «Учетные записи», если учетная запись уже создана в системе, можно нажать на лупу и выбрать её. Поля заполнятся автоматически.

У каждой учетной записи не забывайте выставить «Мандатный доступ» в соответствии с РСД . 

Важно! У обычных пользователей должна стоять галка «Запретить работу при нарушении целостности», у администратора этой галки стоять не должно. О том, что означает этот функционал, поговорим позже. Также не забывайте, что поле “Логин” изменить нельзя, а все остальные поля можно.

Настройка ресурсов

Настраиваются с помощью вкладки «Права доступа». Всё делается так же, как и с предыдущей СЗИ от НСД. Настраивается «Дискреционное разграничение» (какая учетная запись имеет доступ в какую папку) и «Мандатное разграничение» (под какой сессией пользователи смогут зайти в папку). 

У пользователей выставляется стандартное «чтение», «запись», «выполнение», остальное в запрет на родительский объект. На дочерние, которые находятся внутри папки «Документы», выставляется в соответствии с РСД, то есть разрешается ещё удаление.

Важное различие между предыдущей СЗИ от НСД в плане дискреционного доступа заключается в том, что если в Secret Net Studio мы задаём, какие учетные записи будут иметь доступ и обязательно добавляем администратора, то в этой программе добавлять администратора не нужно, а все остальные пользователи по умолчанию контролируются сущностью «Все».

Каталоги на USB носителях настраиваются как обычные папки на компьютере.

Настройка приложений

Вот тут дела обстоят абсолютно по-другому, если сравнивать с предыдущей СЗИ от НСД.

Чтобы настроить приложения, которые будут запускаться под уровнем сессии выше нулевой, администратору необходимо сначала зайти под каждым пользователем по разу (а лучше по два) и запустить каждое используемое в обработке информации программное обеспечение. После чего зайти под администратором, и выполнить настройку шаблоном мандатного доступа (для тех, у которых имеется). 

Находится во вкладке «Конфигурация» 

А для тех, у которых этого нет, необходимо зайти в папку AppData каждого пользователя. После запуска приложения создадут в папке свои каталоги для временных файлов, ищем их. Когда нашли, делаем эти каталоги разделяемыми: 

После настройки, зайдите под пользователем и проверьте, что всё работает.

Если всё хорошо, заходим под администратором и настраиваем контрольные суммы 

После выбора алгоритма для расчета, нажмите кнопку “Пересчитать”. Система рассчитает уникальные значения для всего, для чего установлен алгоритм, и будет проверять их на моменте ввода логина и пароля. Если эти суммы на момент ввода логина и пароля не совпадут с теми, что были на момент пересчёта, то компьютер будет заблокирован, и вход будет разрешен только тем учетным записям, у которых не стоит галка «Запретить работу при нарушении целостности». 

Пример: на момент нажатия кнопки «пересчитать» у вас был подключен принтер. Смотрим по параметрам, «Контроль целостности прогр. апп.среды (Принтеры)», для параметра рассчитаны суммы. После перезагрузки компьютера принтер сгорает и после ввода логина/пароля от учетной записи, когда система начнёт сравнивать текущие значения в эталонными, они не совпадут, так как на момент расчёта принтер был. Компьютер заблокирован.

Возможные неисправности после настройки

Не печатает принтер – удалите из контроля папку «spool\PRINTERS», данная ошибка возникает из за неправильного шаблона Adobe Reader, разработчики никак починить не могут этот баг

Нарушение контроля программно-аппаратной среды (чего-то конкретно) – Зайти под администратором и пересчитать. Описано в настройках приложений.

Спасибо за внимание! Ваш Cloud4Y.

---

Что ещё интересного есть в блоге Cloud4Y

→ Спортивные часы Garmin: изучаем GarminOS и её ВМ MonkeyC

→ NAS за шапку сухарей

→ Взлом Hyundai Tucson, часть 1, часть 2

→ Взламываем «умную» зубную щётку

→ 50 самых интересных клавиатур из частной коллекции

1. Введение

2. Описание решения

3. Архитектура решения

4. Описание защитных механизмов

4.1. Защита от несанкционированного доступа

4.1.1. Защита входа в систему

4.1.2. Идентификация и аутентификация пользователей

4.1.3. Блокировка компьютера

4.1.4. Функциональный контроль подсистем

4.1.5. Контроль целостности

4.1.6. Дискреционное управление доступом к ресурсам файловой системы

4.1.7. Полномочное управление доступом

4.1.8. Затирание данных

4.1.9. Замкнутая программная среда

4.1.10. Контроль подключения и изменения устройств компьютера

4.1.11. Контроль печати

4.1.12. Теневое копирование выводимых данных

4.2. Защита дисков и шифрование контейнеров

4.3. Защита информации на локальных дисках

4.4. Шифрование данных в криптоконтейнерах

4.5. Персональный межсетевой экран

4.6. Обнаружение и предотвращение вторжений

4.7. Антивирус

4.8. Шифрование сетевого трафика

5. Выводы

Введение

Значительную часть работ по защите информации составляют задачи обеспечения безопасности рабочих станций и серверов. Для их решения применяются продукты класса Endpoint Security, которые компенсируют внутренние и внешние угрозы с помощью различных подсистем безопасности (антивирус, СЗИ от НСД, персональный межсетевой экран и др.).

Отражение классических угроз безопасности компьютеров можно найти и в нормативных документах. ФСТЭК России включает требования к защите рабочих станций в обязательные для исполнения приказы: №21 о защите персональных данных, №17 о защите государственных информационных систем (ГИС), руководящие документы по защите автоматизированных систем. Эти требования также выполняются установкой на рабочие станции и сервера соответствующих средств защиты класса Endpoint Security.

Модель угроз информационной безопасности традиционно включает целый перечень актуальных для рабочих станций и серверов угроз. До сегодняшнего дня их не получалось нейтрализовать одним-двумя средствами защиты информации (далее — СЗИ), поэтому администраторы устанавливали 3-5 различных продуктов, каждый из которых выполнял определенный набор задач: защиту от несанкционированного доступа, вирусов, фильтрацию сетевого трафика, криптографическую защиту информации и т. д.

Такой подход сводит работу администраторов к непрерывной поддержке СЗИ из различных консолей управления и мониторинга. Кроме того, продукты разных вендоров плохо совместимы, что приводит к нарушению функционирования и замедлению защищаемой системы, а в некоторых случаях — и вовсе ко сбою в работе.

Сегодня на рынке появляются комплексные решения, которые объединяют несколько защитных механизмов. Такие СЗИ упрощают администрирование и выбор мер по обеспечению безопасности: у них единая консоль управления, отсутствуют конфликты в работе подсистем безопасности, продукты легко масштабируются и могут применяться в распределенных инфраструктурах.

Одним из комплексных средств защиты является продукт Secret Net Studio 8.1, разработанный компанией «Код Безопасности». В этой статье мы подробно рассмотрим защитные механизмы Secret Net Studio. Механизмы централизованного управления будут рассмотрены в другой статье.

Описание решения

СЗИ Secret Net Studio — это комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. Продукт объединяет в себе функционал нескольких средств защиты «Кода Безопасности» (СЗИ от НСД Secret Net, межсетевой экран TrustAccess, СЗИ Trusted Boot Loader, СКЗИ «Континент-АП»), а также включает ряд новых защитных механизмов.

В рамках данного продукта решаются следующие задачи:

1. Защита от внешних угроз:

• защита рабочих станций и серверов от вирусов и вредоносных программ;
• защита от сетевых атак;
• защита от подделки и перехвата сетевого трафика внутри локальной сети;
• защищенный обмен данными с удаленными  рабочими станциями.

1. Защита от внутренних угроз:

• защита информации от несанкционированного доступа*;
• контроль утечек и каналов распространения защищаемой информации;
• защита от действий инсайдеров;
• защита от кражи информации при утере носителей.

1. Соответствие требованиям регуляторов:

• Secret Net Studio находится на сертификации во ФСТЭК России и после получения сертификата позволит выполнять требования регуляторов при аттестации (оценке соответствия) информационных систем, в которых обрабатывается конфиденциальная информация, на соответствие различным требованиям российского законодательства (защита государственных информационных систем до класса К1, защита персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно» и т. д.).

*по результатам исследования «Кода Безопасности», доля их продуктов (SecretNet + ПАК «Соболь») на рынке СЗИ от НСД в 2012-2014 гг. составляла более 60% общего объема рынка.

Архитектура решения

Secret Net Studio 8.1 предоставляется в двух вариантах исполнения:

• автономный вариант — предусматривает только локальное управление защитными механизмами;
• сетевой вариант — предусматривает централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.

В автономном варианте исполнения защитные механизмы устанавливаются и управляются локально (без привязки к серверу безопасности). При таком исполнении в состав продукта входят следующие компоненты:

• Клиент — устанавливается на серверах и рабочих станциях и предназначен для реализации их защиты.
• Центр управления (локальный режим) — программа управления в локальном режиме осуществляет прямую работу с защитными компонентами на компьютере.
• Сервер обновления антивируса — предназначен для обеспечения централизованной раздачи в локальной сети обновлений баз данных признаков компьютерных вирусов для антивируса по технологии ESET.

В сетевом варианте исполнения защитные механизмы устанавливаются на все сервера и рабочие станции, при этом осуществляется централизованное управление этими защитными механизмами. В дополнение к автономному варианту в сетевой вариант исполнения входят:

• Сервер безопасности — является основным элементом, обеспечивает взаимодействие объектов управления, реализует функции контроля и управления, а также осуществляет обработку, хранение и передачу информации.
• Программа управления — устанавливается на рабочих местах администраторов и используется для централизованного управления защищаемыми компьютерами.
• Сервер аутентификации — обеспечивает работу механизмов персонального межсетевого экрана и авторизации сетевых соединений (входит в состав ПО сервера безопасности).

Описание защитных механизмов

В Secret Net Studio 8.1 обеспечивается защита информации на 5 уровнях, для каждого из которых представлены определенные защитные механизмы (продукт объединяет более 20 взаимно интегрированных защитных механизмов). Информация об уровнях защиты и соответствующих им механизмах представлена на рисунке ниже:

Рисунок 1. Уровни защиты и соответствующие им защитные механизмы

Лицензируются следующие компоненты системы:

• защита от несанкционированного доступа (включает в себя механизмы, обеспечивающие защиту входа в систему, доверенную информационную среду, контроль утечек и каналов распространения защищаемой информации);
• контроль устройств (входит в защиту от НСД, но может также приобретаться отдельно);
• защита диска и шифрование контейнеров;
• персональный межсетевой экран;
• средство обнаружения и предотвращения вторжений;
• антивирус;
• шифрование сетевого трафика.

Рисунок 2. Централизованное управление защитными компонентами Secret Net Studio

Защита от несанкционированного доступа

Защита от НСД обеспечивается механизмами, применяемыми в СЗИ от НСД Secret Net. Их описание приведено ниже.

Защита входа в систему

Защита входа в систему обеспечивает предотвращение доступа посторонних лиц к компьютеру. К механизму защиты входа относятся следующие средства:

• средства для идентификации и аутентификации пользователей;
• средства блокировки компьютера;
• аппаратные средства защиты от загрузки ОС со съемных носителей (интеграция с ПАК «Соболь»).

Идентификация и аутентификация пользователей

Идентификация и аутентификация выполняются при каждом входе в систему. В системе Secret Net Studio идентификация пользователей осуществляется по одному из 3-х вариантов: по имени (логин и пароль), по имени или токену, только по токену.

Рисунок 3. Политики в Secret Net Studio. Настройка входа в систему

В Secret Net Studio 8.1 поддерживается работа со следующими аппаратными средствами:

• средства идентификации и аутентификации на базе идентификаторов eToken, iKey, Rutoken, JaCarta и ESMART;
• устройство Secret Net Card;
• программно-аппаратный комплекс (ПАК) «Соболь».

Рисунок 4. Настройка электронных идентификаторов для пользователей в Secret Net Studio

Блокировка компьютера

Средства блокировки компьютера предназначены для предотвращения его несанкционированного использования. В этом режиме блокируются устройства ввода (клавиатура и мышь) и экран монитора. Предусмотрены следующие варианты:

• блокировка при неудачных попытках входа в систему;
• временная блокировка компьютера;
• блокировка компьютера при срабатывании защитных подсистем (например, при нарушении функциональной целостности системы Secret Net Studio);
• блокировка компьютера администратором оперативного управления.

Рисунок 5. Настройка средств блокировки в Secret Net Studio

Функциональный контроль подсистем

Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС все ключевые защитные подсистемы загружены и функционируют.

В случае успешного завершения функционального контроля этот факт регистрируется в журнале Secret Net Studio. При неуспешном завершении регистрируется событие с указанием причин, вход в систему разрешается только пользователям из локальной группы администраторов компьютера.

Контроль целостности

Механизм контроля целостности следит за неизменностью контролируемых объектов. Контроль проводится в автоматическом режиме в соответствии с заданным расписанием. Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков (последние только при использовании ПАК «Соболь»).

Рисунок 6. Создание нового задания для контроля целостности в Secret Net Studio

  

При обнаружении несоответствия возможны различные варианты реакции на ситуации нарушения целостности. Например, регистрация события в журнале Secret Net Studio и блокировка компьютера.

Вся информация об объектах, методах, расписаниях контроля сосредоточена в модели данных. Она хранится в локальной базе данных системы Secret Net Studio и представляет собой иерархический список объектов с описанием связей между ними.

Рисунок 7. Создание модели данных для контроля целостности в Secret Net Studio

Дискреционное управление доступом к ресурсам файловой системы

В состав системы Secret Net Studio 8.1 входит механизм дискреционного управления доступом к ресурсам файловой системы. Этот механизм обеспечивает:

• разграничение доступа пользователей к каталогам и файлам на локальных дисках на основе матрицы доступа субъектов (пользователей, групп) к объектам доступа;
• контроль доступа к объектам при локальных или сетевых обращениях, включая обращения от имени системной учетной записи;
• запрет доступа к объектам в обход установленных прав доступа;
• независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows. То есть установленные права доступа к файловым объектам в системе Secret Net Studio не влияют на аналогичные права доступа в ОС Windows и наоборот.

Рисунок 8. Настройка дискреционных прав доступа в Secret Net Studio

 

Кроме того, пользователю предоставляется возможность определения учетных записей, которым даны привилегии по управлению правами доступа.

Полномочное управление доступом

Механизм полномочного управления доступом обеспечивает:

• разграничение доступа пользователей к информации, которой назначена категория конфиденциальности (конфиденциальная информация);
• контроль подключения и использования устройств с назначенными категориями конфиденциальности;
• контроль потоков конфиденциальной информации в системе;
• контроль использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
• контроль печати конфиденциальных документов.

Рисунок 9. Политики в Secret Net Studio. Настройка полномочного управлении доступом

Чтобы обеспечить функционирование механизма полномочного управления доступом при включенном режиме контроля потоков, требуется выполнить дополнительную настройку локально на компьютере. Для этого используется программа настройки подсистемы полномочного управления доступом для режима контроля. Настройка выполняется перед включением режима контроля потоков, а также при добавлении новых пользователей, программ, принтеров, для оптимизации функционирования механизма.

Рисунок 10. Программа настройки подсистемы полномочного управления доступом в Secret Net Studio

Доступ пользователя к конфиденциальной информации осуществляется в соответствии с его уровнем допуска. Например, если уровень допуска пользователя ниже, чем категория конфиденциальности ресурса — система блокирует доступ к этому ресурсу.

Рисунок 11. Назначение уровней допуска и привилегий пользователям в Secret Net Studio

Затирание данных

Затирание удаляемой информации делает невозможным восстановление и повторное использование данных после удаления. Гарантированное уничтожение достигается путем записи последовательности случайных чисел на место удаленной информации в освобождаемой области памяти. Для большей надежности может быть выполнено несколько циклов (проходов) затирания.

Рисунок 12. Политики в Secret Net Studio. Настройка механизма затирания данных

Замкнутая программная среда

Механизм замкнутой программной среды позволяет определить для любого пользователя индивидуальный перечень разрешенного программного обеспечения. Система защиты контролирует и обеспечивает запрет использования следующих ресурсов:

• файлы запуска программ и библиотек, не входящие в перечень разрешенных для запуска и не удовлетворяющие определенным условиям;
• сценарии, не входящие в перечень разрешенных для запуска и не зарегистрированные в базе данных.

Попытки запуска неразрешенных ресурсов регистрируются в журнале как события тревоги.

На этапе настройки механизма составляется список ресурсов, разрешенных для запуска и выполнения. Список может быть сформирован автоматически на основании сведений об установленных на компьютере программах или по записям журналов, содержащих сведения о запусках программ, библиотек и сценариев. Также предусмотрена возможность формирования списка вручную.

Рисунок 13. Создание модели данных для замкнутой программной среды в Secret Net Studio

Контроль подключения и изменения устройств компьютера

Механизм контроля подключения и изменения устройств компьютера обеспечивает:

• своевременное обнаружение изменений аппаратной конфигурации компьютера и реагирование на эти изменения;
• поддержание в актуальном состоянии списка устройств компьютера, который используется механизмом разграничения доступа к устройствам.

Начальная аппаратная конфигурация компьютера определяется на этапе установки системы. Настройку политики контроля можно выполнить индивидуально для каждого устройства или применять к устройствам наследуемые параметры от моделей, классов и групп, к которым относятся устройства.

Рисунок 14. Политики в Secret Net Studio. Настройка политики контроля устройств компьютера

При обнаружении изменений аппаратной конфигурации система требует у администратора безопасности утверждение этих изменений.

На основании формируемых списков устройств осуществляется разграничение доступа пользователей к ним: разрешение/запрет на выполнение операций и настройки уровней конфиденциальности.

Контроль печати

Механизм контроля печати обеспечивает:

• разграничение доступа пользователей к принтерам;
• регистрацию событий вывода документов на печать в журнале Secret Net Studio;
• вывод на печать документов с определенной категорией конфиденциальности;
• автоматическое добавление грифа в распечатываемые документы (маркировка документов);
• теневое копирование распечатываемых документов.

Рисунок 15. Политики в Secret Net Studio. Настройка контроля печати

 

Для реализации функций маркировки и/или теневого копирования распечатываемых документов в систему добавляются драйверы «виртуальных принтеров».

Рисунок 16. Редактирование маркировки распечатываемых документов

Теневое копирование выводимых данных

Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации. Дубликаты (копии) сохраняются в специальном хранилище, доступ к которому имеют только уполномоченные пользователи. Действие механизма распространяется на те устройства, для которых включен режим сохранения копий при записи информации.

Рисунок 17. Политики в Secret Net Studio. Настройка теневого копирования

При включенном режиме сохранения копий вывод данных на внешнее устройство возможен только при условии создания копии этих данных в хранилище теневого копирования. Если по каким-либо причинам создать дубликат невозможно, операция вывода данных блокируется.

Теневое копирование поддерживается для устройств следующих видов:

• подключаемые по USB жесткие диски, флешки и др. накопители;
• дисководы CD- и DVD-дисков с функцией записи;
• принтеры;
• дисководы гибких дисков.

Защита дисков и шифрование контейнеров

В рамках указанного компонента реализованы два защитных механизма, описание которых представлено ниже.

Защита информации на локальных дисках

Механизм защиты информации на локальных дисках компьютера (механизм защиты дисков) предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера. Несанкционированной считается загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере, без установленного клиентского ПО Secret Net Studio.

Шифрование данных в криптоконтейнерах

Система Secret Net Studio 8.1 предоставляет возможность шифрования содержимого объектов файловой системы (файлов и папок). Для этого используются специальные хранилища — криптографические контейнеры.

Физически криптоконтейнер представляет собой файл, который можно подключить к системе в качестве дополнительного диска.

Для работы с шифрованными ресурсами пользователи должны иметь ключи шифрования. Реализация ключевой схемы шифрования криптоконтейнеров базируется на алгоритмах ГОСТ Р34.10–2012, ГОСТ Р34.11–2012 и ГОСТ 28147-89.

Рисунок 18. Управление криптографическими ключами пользователей

Персональный межсетевой экран

Система Secret Net Studio 8.1 обеспечивает контроль сетевого трафика на сетевом, транспортном и прикладном уровнях на основе формируемых правил фильтрации. Подсистема межсетевого экранирования Secret Net Studio реализует следующие основные функции:

• фильтрация на сетевом уровне с независимым принятием решений по каждому пакету;
• фильтрация пакетов служебных протоколов (ICMP, IGMP и т. д.), необходимых для диагностики и управления работой сетевых устройств;
• фильтрация с учетом входного и выходного сетевого интерфейса для проверки подлинности сетевых адресов;
• фильтрация на транспортном уровне запросов на установление виртуальных соединений (TCP-сессий);
• фильтрация на прикладном уровне запросов к прикладным сервисам (фильтрация по символьной последовательности в пакетах);
• фильтрация с учетом полей сетевых пакетов;
• фильтрация по дате / времени суток.

Рисунок 19. Политики в Secret Net Studio. Настройка межсетевого экрана

Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE 802.3) и Wi‑Fi (IEEE 802.11b/g/n).

Авторизация сетевых соединений в Secret Net Studio осуществляется с помощью механизма, основанного на протоколе Kerberos. С его помощью удостоверяются не только субъекты доступа, но и защищаемые объекты, что препятствует реализации угроз несанкционированной подмены (имитации) защищаемой информационной системы с целью осуществления некоторых видов атак. Механизмы аутентификации защищены от прослушивания, попыток подбора и перехвата паролей.

События, связанные с работой межсетевого экрана, регистрируются в журнале Secret Net Studio.

Обнаружение и предотвращение вторжений

В Secret Net Studio 8.1 выполняется обнаружение и блокирование внешних и внутренних атак, направленных на защищаемый компьютер. С помощью групповых и локальных политик администратор Secret Net Studio настраивает параметры работы системы.

Рисунок 20. Политики в Secret Net Studio. Настройка механизма обнаружения вторжений

Вся информация об активности механизма обнаружения и предотвращения вторжений регистрируется в журнале Secret Net Studio.

Антивирус

Защитный модуль «Антивирус» в Secret Net Studio 8.1 осуществляет обнаружение и блокировку вредоносного кода по технологии ESET NOD32.

Таким образом, Secret Net Studio позволяет осуществлять эвристический анализ данных и автоматическую проверку на наличие вредоносных программ, зарегистрированных в базе сигнатур. При проверке компьютера осуществляется сканирование жестких дисков, сетевых папок, внешних запоминающих устройств и др. Это позволяет обнаружить и заблокировать внешние и внутренние сетевые атаки, направленные на защищаемый компьютер.

Благодаря использованию в рамках одного продукта СЗИ от НСД и антивируса время на проверку и открытие файлов составляет на 30% меньше, чем при независимой реализации защитных механизмов.

Обновление антивируса можно осуществлять как в режиме онлайн с серверов «Кода Безопасности» при подключении защищаемого компьютера к интернету, так и с сервера обновлений компании (в случае, когда компьютер не имеет прямого выхода в интернет).

Администратору доступна настройка параметров антивируса с помощью групповых и локальных политик в программе управления Secret Net Studio. Вся информация об активности механизма регистрируется в журнале Secret Net Studio.

Рисунок 21. Политики в Secret Net Studio. Настройка антивируса

Шифрование сетевого трафика

В состав клиентского ПО системы Secret Net Studio 8.1 включен VPN-клиент, предназначенный для организации доступа удаленных пользователей к ресурсам, защищаемым средствами АПКШ «Континент». VPN-клиент «Континент-АП» обеспечивает криптографическую защиту трафика, циркулирующего по каналу связи, по алгоритму ГОСТ 28147-89.

При подключении абонентского пункта к серверу доступа выполняется процедура установки соединения, в ходе которой осуществляется взаимная аутентификация абонентского пункта и сервера доступа. Процедура установки соединения завершается генерацией сеансового ключа, который используется для шифрования трафика между удаленным компьютером и сетью предприятия.

Рисунок 22. Подключение «Континент-АП» через Secret Net Studio

При аутентификации используются сертификаты x.509v3. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–1994 или ГОСТ Р 34.11–2012, формирование и проверка электронной подписи — по алгоритму ГОСТ Р 34.10–2001 или ГОСТ Р 34.10–2012.

Рисунок 23. Настройка «Континент-АП» в Secret Net Studio

Выводы

Secret Net Studio 8.1 представляет собой сбалансированный набор защитных механизмов, которые обеспечивают защиту информации на рабочих станциях и файловых серверах как от внешних, так и от внутренних угроз. Наличие единой консоли управления упрощает администрирование СЗИ, а интегрированность защитных механизмов между собой исключает возможность нарушения функционирования защищаемой системы.

В текущем виде Secret Net Studio можно считать полноценным комплексным решением для защиты конечных точек сети от всех видов угроз, включающим в себя все необходимые  для этого модули.  Наличие в составе модулей контроля приложений (контроль доступа к сети, контроль запуска приложений, поведения приложения), интеграции со средствами доверенной загрузки и встроенного VPN-клиента делает Secret Net Studio уникальным для российского рынка.

Необходимо отметить, что в продукте реализован целый ряд защитных механизмов, позволяющих выполнить различные требования законодательства России в части обеспечения безопасности информации. В частности, после получения сертификата ФСТЭК Secret Net Studio можно будет применять для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно»).

О механизмах централизованного управления и мониторинга читайте во второй части статьи.

1. Введение

2. Описание решения

3. Архитектура решения

4. Описание защитных механизмов

4.1. Защита от несанкционированного доступа

4.1.1. Защита входа в систему

4.1.2. Идентификация и аутентификация пользователей

4.1.3. Блокировка компьютера

4.1.4. Функциональный контроль подсистем

4.1.5. Контроль целостности

4.1.6. Дискреционное управление доступом к ресурсам файловой системы

4.1.7. Полномочное управление доступом

4.1.8. Затирание данных

4.1.9. Замкнутая программная среда

4.1.10. Контроль подключения и изменения устройств компьютера

4.1.11. Контроль печати

4.1.12. Теневое копирование выводимых данных

4.2. Защита дисков и шифрование контейнеров

4.3. Защита информации на локальных дисках

4.4. Шифрование данных в криптоконтейнерах

4.5. Персональный межсетевой экран

4.6. Обнаружение и предотвращение вторжений

4.7. Антивирус

4.8. Шифрование сетевого трафика

5. Выводы

Введение

Значительную часть работ по защите информации составляют задачи обеспечения безопасности рабочих станций и серверов. Для их решения применяются продукты класса Endpoint Security, которые компенсируют внутренние и внешние угрозы с помощью различных подсистем безопасности (антивирус, СЗИ от НСД, персональный межсетевой экран и др.).

Отражение классических угроз безопасности компьютеров можно найти и в нормативных документах. ФСТЭК России включает требования к защите рабочих станций в обязательные для исполнения приказы: №21 о защите персональных данных, №17 о защите государственных информационных систем (ГИС), руководящие документы по защите автоматизированных систем. Эти требования также выполняются установкой на рабочие станции и сервера соответствующих средств защиты класса Endpoint Security.

Модель угроз информационной безопасности традиционно включает целый перечень актуальных для рабочих станций и серверов угроз. До сегодняшнего дня их не получалось нейтрализовать одним-двумя средствами защиты информации (далее — СЗИ), поэтому администраторы устанавливали 3-5 различных продуктов, каждый из которых выполнял определенный набор задач: защиту от несанкционированного доступа, вирусов, фильтрацию сетевого трафика, криптографическую защиту информации и т. д.

Такой подход сводит работу администраторов к непрерывной поддержке СЗИ из различных консолей управления и мониторинга. Кроме того, продукты разных вендоров плохо совместимы, что приводит к нарушению функционирования и замедлению защищаемой системы, а в некоторых случаях — и вовсе ко сбою в работе.

Сегодня на рынке появляются комплексные решения, которые объединяют несколько защитных механизмов. Такие СЗИ упрощают администрирование и выбор мер по обеспечению безопасности: у них единая консоль управления, отсутствуют конфликты в работе подсистем безопасности, продукты легко масштабируются и могут применяться в распределенных инфраструктурах.

Одним из комплексных средств защиты является продукт Secret Net Studio 8.1, разработанный компанией «Код Безопасности». В этой статье мы подробно рассмотрим защитные механизмы Secret Net Studio. Механизмы централизованного управления будут рассмотрены в другой статье.

Описание решения

СЗИ Secret Net Studio — это комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. Продукт объединяет в себе функционал нескольких средств защиты «Кода Безопасности» (СЗИ от НСД Secret Net, межсетевой экран TrustAccess, СЗИ Trusted Boot Loader, СКЗИ «Континент-АП»), а также включает ряд новых защитных механизмов.

В рамках данного продукта решаются следующие задачи:

1. Защита от внешних угроз:

• защита рабочих станций и серверов от вирусов и вредоносных программ;
• защита от сетевых атак;
• защита от подделки и перехвата сетевого трафика внутри локальной сети;
• защищенный обмен данными с удаленными  рабочими станциями.

1. Защита от внутренних угроз:

• защита информации от несанкционированного доступа*;
• контроль утечек и каналов распространения защищаемой информации;
• защита от действий инсайдеров;
• защита от кражи информации при утере носителей.

1. Соответствие требованиям регуляторов:

• Secret Net Studio находится на сертификации во ФСТЭК России и после получения сертификата позволит выполнять требования регуляторов при аттестации (оценке соответствия) информационных систем, в которых обрабатывается конфиденциальная информация, на соответствие различным требованиям российского законодательства (защита государственных информационных систем до класса К1, защита персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно» и т. д.).

*по результатам исследования «Кода Безопасности», доля их продуктов (SecretNet + ПАК «Соболь») на рынке СЗИ от НСД в 2012-2014 гг. составляла более 60% общего объема рынка.

Архитектура решения

Secret Net Studio 8.1 предоставляется в двух вариантах исполнения:

• автономный вариант — предусматривает только локальное управление защитными механизмами;
• сетевой вариант — предусматривает централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.

В автономном варианте исполнения защитные механизмы устанавливаются и управляются локально (без привязки к серверу безопасности). При таком исполнении в состав продукта входят следующие компоненты:

• Клиент — устанавливается на серверах и рабочих станциях и предназначен для реализации их защиты.
• Центр управления (локальный режим) — программа управления в локальном режиме осуществляет прямую работу с защитными компонентами на компьютере.
• Сервер обновления антивируса — предназначен для обеспечения централизованной раздачи в локальной сети обновлений баз данных признаков компьютерных вирусов для антивируса по технологии ESET.

В сетевом варианте исполнения защитные механизмы устанавливаются на все сервера и рабочие станции, при этом осуществляется централизованное управление этими защитными механизмами. В дополнение к автономному варианту в сетевой вариант исполнения входят:

• Сервер безопасности — является основным элементом, обеспечивает взаимодействие объектов управления, реализует функции контроля и управления, а также осуществляет обработку, хранение и передачу информации.
• Программа управления — устанавливается на рабочих местах администраторов и используется для централизованного управления защищаемыми компьютерами.
• Сервер аутентификации — обеспечивает работу механизмов персонального межсетевого экрана и авторизации сетевых соединений (входит в состав ПО сервера безопасности).

Описание защитных механизмов

В Secret Net Studio 8.1 обеспечивается защита информации на 5 уровнях, для каждого из которых представлены определенные защитные механизмы (продукт объединяет более 20 взаимно интегрированных защитных механизмов). Информация об уровнях защиты и соответствующих им механизмах представлена на рисунке ниже:

Рисунок 1. Уровни защиты и соответствующие им защитные механизмы

Лицензируются следующие компоненты системы:

• защита от несанкционированного доступа (включает в себя механизмы, обеспечивающие защиту входа в систему, доверенную информационную среду, контроль утечек и каналов распространения защищаемой информации);
• контроль устройств (входит в защиту от НСД, но может также приобретаться отдельно);
• защита диска и шифрование контейнеров;
• персональный межсетевой экран;
• средство обнаружения и предотвращения вторжений;
• антивирус;
• шифрование сетевого трафика.

Рисунок 2. Централизованное управление защитными компонентами Secret Net Studio

Защита от несанкционированного доступа

Защита от НСД обеспечивается механизмами, применяемыми в СЗИ от НСД Secret Net. Их описание приведено ниже.

Защита входа в систему

Защита входа в систему обеспечивает предотвращение доступа посторонних лиц к компьютеру. К механизму защиты входа относятся следующие средства:

• средства для идентификации и аутентификации пользователей;
• средства блокировки компьютера;
• аппаратные средства защиты от загрузки ОС со съемных носителей (интеграция с ПАК «Соболь»).

Идентификация и аутентификация пользователей

Идентификация и аутентификация выполняются при каждом входе в систему. В системе Secret Net Studio идентификация пользователей осуществляется по одному из 3-х вариантов: по имени (логин и пароль), по имени или токену, только по токену.

Рисунок 3. Политики в Secret Net Studio. Настройка входа в систему

В Secret Net Studio 8.1 поддерживается работа со следующими аппаратными средствами:

• средства идентификации и аутентификации на базе идентификаторов eToken, iKey, Rutoken, JaCarta и ESMART;
• устройство Secret Net Card;
• программно-аппаратный комплекс (ПАК) «Соболь».

Рисунок 4. Настройка электронных идентификаторов для пользователей в Secret Net Studio

Блокировка компьютера

Средства блокировки компьютера предназначены для предотвращения его несанкционированного использования. В этом режиме блокируются устройства ввода (клавиатура и мышь) и экран монитора. Предусмотрены следующие варианты:

• блокировка при неудачных попытках входа в систему;
• временная блокировка компьютера;
• блокировка компьютера при срабатывании защитных подсистем (например, при нарушении функциональной целостности системы Secret Net Studio);
• блокировка компьютера администратором оперативного управления.

Рисунок 5. Настройка средств блокировки в Secret Net Studio

Функциональный контроль подсистем

Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС все ключевые защитные подсистемы загружены и функционируют.

В случае успешного завершения функционального контроля этот факт регистрируется в журнале Secret Net Studio. При неуспешном завершении регистрируется событие с указанием причин, вход в систему разрешается только пользователям из локальной группы администраторов компьютера.

Контроль целостности

Механизм контроля целостности следит за неизменностью контролируемых объектов. Контроль проводится в автоматическом режиме в соответствии с заданным расписанием. Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков (последние только при использовании ПАК «Соболь»).

Рисунок 6. Создание нового задания для контроля целостности в Secret Net Studio

  

При обнаружении несоответствия возможны различные варианты реакции на ситуации нарушения целостности. Например, регистрация события в журнале Secret Net Studio и блокировка компьютера.

Вся информация об объектах, методах, расписаниях контроля сосредоточена в модели данных. Она хранится в локальной базе данных системы Secret Net Studio и представляет собой иерархический список объектов с описанием связей между ними.

Рисунок 7. Создание модели данных для контроля целостности в Secret Net Studio

Дискреционное управление доступом к ресурсам файловой системы

В состав системы Secret Net Studio 8.1 входит механизм дискреционного управления доступом к ресурсам файловой системы. Этот механизм обеспечивает:

• разграничение доступа пользователей к каталогам и файлам на локальных дисках на основе матрицы доступа субъектов (пользователей, групп) к объектам доступа;
• контроль доступа к объектам при локальных или сетевых обращениях, включая обращения от имени системной учетной записи;
• запрет доступа к объектам в обход установленных прав доступа;
• независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows. То есть установленные права доступа к файловым объектам в системе Secret Net Studio не влияют на аналогичные права доступа в ОС Windows и наоборот.

Рисунок 8. Настройка дискреционных прав доступа в Secret Net Studio

 

Кроме того, пользователю предоставляется возможность определения учетных записей, которым даны привилегии по управлению правами доступа.

Полномочное управление доступом

Механизм полномочного управления доступом обеспечивает:

• разграничение доступа пользователей к информации, которой назначена категория конфиденциальности (конфиденциальная информация);
• контроль подключения и использования устройств с назначенными категориями конфиденциальности;
• контроль потоков конфиденциальной информации в системе;
• контроль использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
• контроль печати конфиденциальных документов.

Рисунок 9. Политики в Secret Net Studio. Настройка полномочного управлении доступом

Чтобы обеспечить функционирование механизма полномочного управления доступом при включенном режиме контроля потоков, требуется выполнить дополнительную настройку локально на компьютере. Для этого используется программа настройки подсистемы полномочного управления доступом для режима контроля. Настройка выполняется перед включением режима контроля потоков, а также при добавлении новых пользователей, программ, принтеров, для оптимизации функционирования механизма.

Рисунок 10. Программа настройки подсистемы полномочного управления доступом в Secret Net Studio

Доступ пользователя к конфиденциальной информации осуществляется в соответствии с его уровнем допуска. Например, если уровень допуска пользователя ниже, чем категория конфиденциальности ресурса — система блокирует доступ к этому ресурсу.

Рисунок 11. Назначение уровней допуска и привилегий пользователям в Secret Net Studio

Затирание данных

Затирание удаляемой информации делает невозможным восстановление и повторное использование данных после удаления. Гарантированное уничтожение достигается путем записи последовательности случайных чисел на место удаленной информации в освобождаемой области памяти. Для большей надежности может быть выполнено несколько циклов (проходов) затирания.

Рисунок 12. Политики в Secret Net Studio. Настройка механизма затирания данных

Замкнутая программная среда

Механизм замкнутой программной среды позволяет определить для любого пользователя индивидуальный перечень разрешенного программного обеспечения. Система защиты контролирует и обеспечивает запрет использования следующих ресурсов:

• файлы запуска программ и библиотек, не входящие в перечень разрешенных для запуска и не удовлетворяющие определенным условиям;
• сценарии, не входящие в перечень разрешенных для запуска и не зарегистрированные в базе данных.

Попытки запуска неразрешенных ресурсов регистрируются в журнале как события тревоги.

На этапе настройки механизма составляется список ресурсов, разрешенных для запуска и выполнения. Список может быть сформирован автоматически на основании сведений об установленных на компьютере программах или по записям журналов, содержащих сведения о запусках программ, библиотек и сценариев. Также предусмотрена возможность формирования списка вручную.

Рисунок 13. Создание модели данных для замкнутой программной среды в Secret Net Studio

Контроль подключения и изменения устройств компьютера

Механизм контроля подключения и изменения устройств компьютера обеспечивает:

• своевременное обнаружение изменений аппаратной конфигурации компьютера и реагирование на эти изменения;
• поддержание в актуальном состоянии списка устройств компьютера, который используется механизмом разграничения доступа к устройствам.

Начальная аппаратная конфигурация компьютера определяется на этапе установки системы. Настройку политики контроля можно выполнить индивидуально для каждого устройства или применять к устройствам наследуемые параметры от моделей, классов и групп, к которым относятся устройства.

Рисунок 14. Политики в Secret Net Studio. Настройка политики контроля устройств компьютера

При обнаружении изменений аппаратной конфигурации система требует у администратора безопасности утверждение этих изменений.

На основании формируемых списков устройств осуществляется разграничение доступа пользователей к ним: разрешение/запрет на выполнение операций и настройки уровней конфиденциальности.

Контроль печати

Механизм контроля печати обеспечивает:

• разграничение доступа пользователей к принтерам;
• регистрацию событий вывода документов на печать в журнале Secret Net Studio;
• вывод на печать документов с определенной категорией конфиденциальности;
• автоматическое добавление грифа в распечатываемые документы (маркировка документов);
• теневое копирование распечатываемых документов.

Рисунок 15. Политики в Secret Net Studio. Настройка контроля печати

 

Для реализации функций маркировки и/или теневого копирования распечатываемых документов в систему добавляются драйверы «виртуальных принтеров».

Рисунок 16. Редактирование маркировки распечатываемых документов

Теневое копирование выводимых данных

Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации. Дубликаты (копии) сохраняются в специальном хранилище, доступ к которому имеют только уполномоченные пользователи. Действие механизма распространяется на те устройства, для которых включен режим сохранения копий при записи информации.

Рисунок 17. Политики в Secret Net Studio. Настройка теневого копирования

При включенном режиме сохранения копий вывод данных на внешнее устройство возможен только при условии создания копии этих данных в хранилище теневого копирования. Если по каким-либо причинам создать дубликат невозможно, операция вывода данных блокируется.

Теневое копирование поддерживается для устройств следующих видов:

• подключаемые по USB жесткие диски, флешки и др. накопители;
• дисководы CD- и DVD-дисков с функцией записи;
• принтеры;
• дисководы гибких дисков.

Защита дисков и шифрование контейнеров

В рамках указанного компонента реализованы два защитных механизма, описание которых представлено ниже.

Защита информации на локальных дисках

Механизм защиты информации на локальных дисках компьютера (механизм защиты дисков) предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера. Несанкционированной считается загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере, без установленного клиентского ПО Secret Net Studio.

Шифрование данных в криптоконтейнерах

Система Secret Net Studio 8.1 предоставляет возможность шифрования содержимого объектов файловой системы (файлов и папок). Для этого используются специальные хранилища — криптографические контейнеры.

Физически криптоконтейнер представляет собой файл, который можно подключить к системе в качестве дополнительного диска.

Для работы с шифрованными ресурсами пользователи должны иметь ключи шифрования. Реализация ключевой схемы шифрования криптоконтейнеров базируется на алгоритмах ГОСТ Р34.10–2012, ГОСТ Р34.11–2012 и ГОСТ 28147-89.

Рисунок 18. Управление криптографическими ключами пользователей

Персональный межсетевой экран

Система Secret Net Studio 8.1 обеспечивает контроль сетевого трафика на сетевом, транспортном и прикладном уровнях на основе формируемых правил фильтрации. Подсистема межсетевого экранирования Secret Net Studio реализует следующие основные функции:

• фильтрация на сетевом уровне с независимым принятием решений по каждому пакету;
• фильтрация пакетов служебных протоколов (ICMP, IGMP и т. д.), необходимых для диагностики и управления работой сетевых устройств;
• фильтрация с учетом входного и выходного сетевого интерфейса для проверки подлинности сетевых адресов;
• фильтрация на транспортном уровне запросов на установление виртуальных соединений (TCP-сессий);
• фильтрация на прикладном уровне запросов к прикладным сервисам (фильтрация по символьной последовательности в пакетах);
• фильтрация с учетом полей сетевых пакетов;
• фильтрация по дате / времени суток.

Рисунок 19. Политики в Secret Net Studio. Настройка межсетевого экрана

Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE 802.3) и Wi‑Fi (IEEE 802.11b/g/n).

Авторизация сетевых соединений в Secret Net Studio осуществляется с помощью механизма, основанного на протоколе Kerberos. С его помощью удостоверяются не только субъекты доступа, но и защищаемые объекты, что препятствует реализации угроз несанкционированной подмены (имитации) защищаемой информационной системы с целью осуществления некоторых видов атак. Механизмы аутентификации защищены от прослушивания, попыток подбора и перехвата паролей.

События, связанные с работой межсетевого экрана, регистрируются в журнале Secret Net Studio.

Обнаружение и предотвращение вторжений

В Secret Net Studio 8.1 выполняется обнаружение и блокирование внешних и внутренних атак, направленных на защищаемый компьютер. С помощью групповых и локальных политик администратор Secret Net Studio настраивает параметры работы системы.

Рисунок 20. Политики в Secret Net Studio. Настройка механизма обнаружения вторжений

Вся информация об активности механизма обнаружения и предотвращения вторжений регистрируется в журнале Secret Net Studio.

Антивирус

Защитный модуль «Антивирус» в Secret Net Studio 8.1 осуществляет обнаружение и блокировку вредоносного кода по технологии ESET NOD32.

Таким образом, Secret Net Studio позволяет осуществлять эвристический анализ данных и автоматическую проверку на наличие вредоносных программ, зарегистрированных в базе сигнатур. При проверке компьютера осуществляется сканирование жестких дисков, сетевых папок, внешних запоминающих устройств и др. Это позволяет обнаружить и заблокировать внешние и внутренние сетевые атаки, направленные на защищаемый компьютер.

Благодаря использованию в рамках одного продукта СЗИ от НСД и антивируса время на проверку и открытие файлов составляет на 30% меньше, чем при независимой реализации защитных механизмов.

Обновление антивируса можно осуществлять как в режиме онлайн с серверов «Кода Безопасности» при подключении защищаемого компьютера к интернету, так и с сервера обновлений компании (в случае, когда компьютер не имеет прямого выхода в интернет).

Администратору доступна настройка параметров антивируса с помощью групповых и локальных политик в программе управления Secret Net Studio. Вся информация об активности механизма регистрируется в журнале Secret Net Studio.

Рисунок 21. Политики в Secret Net Studio. Настройка антивируса

Шифрование сетевого трафика

В состав клиентского ПО системы Secret Net Studio 8.1 включен VPN-клиент, предназначенный для организации доступа удаленных пользователей к ресурсам, защищаемым средствами АПКШ «Континент». VPN-клиент «Континент-АП» обеспечивает криптографическую защиту трафика, циркулирующего по каналу связи, по алгоритму ГОСТ 28147-89.

При подключении абонентского пункта к серверу доступа выполняется процедура установки соединения, в ходе которой осуществляется взаимная аутентификация абонентского пункта и сервера доступа. Процедура установки соединения завершается генерацией сеансового ключа, который используется для шифрования трафика между удаленным компьютером и сетью предприятия.

Рисунок 22. Подключение «Континент-АП» через Secret Net Studio

При аутентификации используются сертификаты x.509v3. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–1994 или ГОСТ Р 34.11–2012, формирование и проверка электронной подписи — по алгоритму ГОСТ Р 34.10–2001 или ГОСТ Р 34.10–2012.

Рисунок 23. Настройка «Континент-АП» в Secret Net Studio

Выводы

Secret Net Studio 8.1 представляет собой сбалансированный набор защитных механизмов, которые обеспечивают защиту информации на рабочих станциях и файловых серверах как от внешних, так и от внутренних угроз. Наличие единой консоли управления упрощает администрирование СЗИ, а интегрированность защитных механизмов между собой исключает возможность нарушения функционирования защищаемой системы.

В текущем виде Secret Net Studio можно считать полноценным комплексным решением для защиты конечных точек сети от всех видов угроз, включающим в себя все необходимые  для этого модули.  Наличие в составе модулей контроля приложений (контроль доступа к сети, контроль запуска приложений, поведения приложения), интеграции со средствами доверенной загрузки и встроенного VPN-клиента делает Secret Net Studio уникальным для российского рынка.

Необходимо отметить, что в продукте реализован целый ряд защитных механизмов, позволяющих выполнить различные требования законодательства России в части обеспечения безопасности информации. В частности, после получения сертификата ФСТЭК Secret Net Studio можно будет применять для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно»).

О механизмах централизованного управления и мониторинга читайте во второй части статьи.

Содержание

1. Функциональные возможности
2. Механизм управления
3. Политики безопасности
4. Защита входа в систему
5. Разграничение доступа
6. Отчеты и журналы
7. Преимущества Secret Net Studio

Secret Net Studio представляет собой набор специализированных программных решений, которые призваны пресекать любые попытки несанкционированного проникновения в локальную сеть компании и доступа к секретной информации. Данное ПО позволяет привести информационные системы организации в соответствие актуальным требованиям нормативной документации и обезопасить бизнес от злоумышленников.

Secret Net Studio используется на более чем 15 000 различных отечественных предприятий и учреждений. Это СЗИ выбирают за надежность и эффективность.

Функциональные возможности

Secret Net Studio — это высокотехнологичный программный продукт, который предлагается в двух версиях:

• базовой – для защиты конфиденциальной информации (Secret Net Studio);
• cпециальной – для защиты государственных тайн и секретов (Secret Net Studio-C).

Модульное решение SNS ориентировано на надежную защиту IT-инфраструктуры на пяти уровнях. Речь идет о защищенности:

• операционной системы;
• сети;
• приложений;
• файлов с данными;
• периферийных устройств и оборудования.

Перечень функций Secret Net Studio весьма обширен. Среди них:

1. Формирование доверенной информационной среды. Достигается за счет надежной защиты компьютеров от несанкционированной загрузки, а также благодаря всестороннему контролю используемого ПО.
2. Защита данных от НСД и утечки. Обеспечивается механизмами, используемыми в СЗИ Secret Net Studio, которые отличаются высокой эффективностью.
3. Контроль потоков и каналов распространения информации. Полномочное и дискреционное управление доступом, а также функциональный контроль отчуждения, теневого копирования, печати и уничтожения информации.
4. Защита входа в систему. Уникальная двухфакторная аутентификация сотрудников по персональным идентификаторам и паролям. Софт Secret Net Studio поддерживает работу самых популярных идентификаторов и механизмов безопасности для доменных пользователей.
5. Межсетевое экранирование. Использование межсетевого экрана – это фильтрование протоколов и мониторинг сетевой активности ПК по определенным политикам безопасности, а также подпись трафика сети и автогенерация правил безопасности.
6. Функциональный контроль нарушения аппаратной конфигурации. Обеспечение низменности конфигурации аппаратной составляющей работающей системы, а также контроль интеграции сторонних (внешних) устройств, например, принтера или накопителя, с реализацией разных сценариев реагирования на их подключение.
7. Антивирусная защита. Формирование качественной защиты серверов и ПК от вредоносных программ с возможностью запуска антивируса ESET по расписанию или запросу, а также в режиме сканирования.
8. Шифрование контейнеров. Защита целостности и сохранности данных путем их шифрования по алгоритму ГОСТ 2814789 для предотвращения кражи секретной информации.
9. Аудит действий приложений (HIPS). Выявление нетипичной активности приложений посредством эвристических методик. Настройка политик безопасности с поддержкой исключений.
10. Защита соединения с удаленными ПК. Обеспечивается программным VPN-клиентом, защищающим соединение сервера с рабочими станциями по криптоалгоритму ГОСТ 2814789, а также поддержкой инфраструктуры PKI.
11. Минимизация рисков ИБ. Система корреляции событий безопасности, интегрированная в систему централизованного мониторинга, позволяет осуществлять приоритизацию инцидентов и категорирование важности ПК.
12. Защита от сетевых атак (NIPS). Выявление атак (DoS-атак, аномальных пакетов и т.д.) с последующим блокированием соответствующих хостов.
13. Централизованное развертывание Secret Net Studio. Установка софта осуществляется на все компьютеры подконтрольного домена с дальнейшей настройкой групповых и сквозных политик безопасности посредством одного агента.
14. Надежная работа в ИТ-инфраструктуре компаний, распределенных территориально. Программное решение отличается высокой масштабируемостью и разграничением полномочий администраторов (если речь о сложных структурах), а также поддержкой резервирования серверов безопасности и их иерархии.
15. Групповой мониторинг работы. Централизованный сбор журналов событий со всех ПК для оперативного анализа критичных ситуаций и адекватного реагирования на угрозы.
16. Расследование инцидентов безопасности. Формирование отчетов и регистрация всех событий позволяют собирать всю необходимую информацию для выявления и отслеживания атак, а также деятельности инсайдеров с привязкой ко времени.
17. Затирание данных. Уничтожение всех следов удаленной секретной информации гарантирует невозможность ее восстановления для дальнейшего применения. Осуществляется это методом перезаписи на месте удаленных данных случайных последовательностей чисел в несколько циклов.

Механизм управления

СЗИ от МСД Secret Net Studio может работать как в автономном, так и в сетевом режиме. В первом случае все настройки ПО задаются администратором системы, а управление механизмами безопасности осуществляется локально. При этом определенные параметры работы интегрируются в операционную систему Windows, а потому настраиваются во вкладке проводника.

Что до сетевого режима, то он предусматривает централизованное взаимодействие с событиями безопасности и управление защитными механизмами СЗИ. Это достигается путем формирования двух моделей данных в глобальном каталоге, а именно для ПК с 32-разрядной и 64-разрядной ОС, что позволяет учитывать специфику программного обеспечения разных платформ, установленных на рабочих станциях.

Сервера безопасности Secret Net Studio поддерживают подчиненные иерархические структуры, а также резервирование и разграничение прав администраторов, дают возможность выстраивать сложные инфраструктуры.

Централизованное управление осуществляется в режимах мониторинга и конфигурирования. В первом случае ведется работа с отчетами и событиями, а также политиками механизмов защиты, тогда как во втором – с иерархией систем, находящихся под защитой.

Политики безопасности

Secret Net Studio позволяет проводить инициализацию гибкой системы управления посредством формирования групп серверов или ПК, создания политик безопасности для конкретных групп, серверов безопасности или подразделений:

1. Групповые политики — стандартные механизмы управления политиками, похожие на Active Directory. Отличаются низким приоритетом и распределяются согласно иерархии компании.
2. Политики сервера безопасности. Отличаются высоким приоритетом. Чем выше сервер в иерархии, тем больший приоритет его политики.
3. Политики организационных подразделений. Имеют более расширенные механизмы в сравнении со стандартными, а также возможность назначения в доменах безопасности без глобальных административных прав. Политики организационных подразделений могут заменить групповые политики. Больший приоритет отдается политикам подразделений, находящихся в иерархии ниже.

Рассматриваемые СЗИ проводят сканирование и проверку параметров ИБ по установленному расписанию. При этом все критерии проверки системы задаются администратором.

Если сканирование пропущено, к примеру, из-за выключенного ПК, проверка запускается принудительно сразу после следующего подключения рабочей станции к сети.

Защита входа в систему

Secret Net обеспечивает усиленную защиту входа пользователей в систему, используя как материнские СЗИ, обеспечивающие парольную аутентификацию, так и стороннее ПО, позволяющее формировать двухфакторную аутентификацию. В последнем случае применяются аппаратные идентификаторы вроде Ibutton, eToken, Jakarta, «Рутокен» и т.д.

Идентификаторы получают все пользователи, после чего они могут входить в систему после введения кода безопасности или подключения идентификатора к ПК.

Для обеспечения максимального уровня защиты СКИ блокируют сеть, если компьютер долго не используется. При этом пользователи могут выбрать период включения блокировки самостоятельно при помощи средств ОС, а также установить запрет несанкционированного вызова или вторичного входа в систему. О том, как это делается, написано в инструкции по настройке ПО и применению системы защиты, которая поставляется в сопроводительной документации или в руководстве администратора.

Разграничение доступа

В Secret Net Studio предусмотрено полномочное и дискреционное управление доступом. Второй вариант подразумевает присвоение конкретному пользователю собственных папок, тогда как первый гарантирует контроль сетевых интерфейсов и печати конфиденциальных документов, использование устройств с заданными категориями секретности. При этом задать можно до 16 уровней конфиденциальности.

Строгое соответствие требованиям полномочного доступа обеспечивается активацией контроля потоков конфиденциальной информации в системе.

Отчеты и журналы

Secret Net Studio фиксирует и сохраняет все события безопасности на локальную рабочую станцию. Центр управления осуществляет централизованный сбор журналов по заданным настройкам, что позволяет проводить анализ состояния системы.

Несанкционированный доступ — это критичное событие безопасности, которое попадает в специальную вкладку. Собираются такие события моментально, а не по расписанию. При этом они поступают как сигнал тревоги, что требует от службы безопасности оперативной реакции для отслеживания и фильтрации угроз на серверах в реальном времени.

Работать с событиями НСД одновременно могут несколько администраторов системы Secret Net. Этому способствует реализованный механизм квитирования.

Параллельно с журналом критических событий ведется журнал действий пользователей. В Secret Net есть и механизм отчетов, которые создаются по электронным идентификаторам или ресурсам рабочего места.

Эксперты по ИБ отмечают такие преимущества Secret Net Studio:

• высокий уровень защиты информации благодаря применению сертифицированных технологий;
• демократичная стоимость ПО при приобретении комплексных лицензий;
• риск-ориентированный подход к ИБ;
• простота формирования согласованной работы защитных подсистем;
• снижение нагрузки на ПК, находящихся под защитой;
• минимальные риски конфликтов защитных механизмов;
• 20 механизмов защиты данных в одном продукте;
• высокая масштабируемость программного решения;
• снижение издержек на администрирование СЗИ;
• поддержка распределенных инфраструктур;
• качественная техподдержка от разработчика.

Лицензирование Secret Net Studio выполняется по количеству компонентов защиты и ПК в сети, а также периоду действия лицензий. Покупатель может выбрать только необходимые механизмы безопасности, которые лицензируются отдельно. Добавить новые можно в любое время.

Сегодня Secret Net Studio активно используется для аттестации информационных систем финансово-кредитных организаций и банков, а также структур, где требуется обработка персональных данных или иной конфиденциальной информации в соответствии с требованиями ФСБ и ФСТЭК.

Secret Net Studio отвечает требованиям программы импортозамещения, является сертифицированным программно-аппаратным решением, включенным в Единый реестр отечественного ПО для баз данных Минсвязи РФ.

Представлением вашему вниманию подборку видео уроков по настройке СЗИ от НСД SecretNet отечественного разработка SecurityCode (Код Безопасности). СЗИ имеет все необходимые сертификаты ФСТЭК, подтверждающие соответствие РД по 2 уровню контроля на отсутствие НДВ и 3 классу защищенности по СВТ, что позволяет использовать СЗИ в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.

Введение

Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

Возможности СЗИ

Варианты развертывания Secret Net

Архитектура

Компоненты Secret Net 7 (сетевой режим):

Клиент Secret Net 7 устанавливается на всех защищаемых компьютерах. Он следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на сервер безопасности, а также прием от него оперативных команд и их выполнение.

Сервер безопасности является основным элементом в сетевой структуре системы 

Secret Net 7. Этот компонент обеспечивает взаимодействие объектов управления, 

реализует функции контроля и управления, а также осуществляет обработку, 

хранение и передачу информации.

Программа оперативного управления («Монитор») 

В состав СЗИ Secret Net 7 включена программа оперативного управления, заменяющая средства оперативного управления предыдущих версий СЗИ.

Программа оперативного управления предназначена для конфигурирования сетевой структуры, централизованного управления защищаемыми компьютерами и для работы с записями журналов, поступивших на хранение в базу данных сервера безопасности. Программа устанавливается на рабочих местах администраторов. При работе программа взаимодействует с сервером безопасности, который обрабатывает все управляющие команды администратора.

Дополнительно может использоваться и лицензироваться модуль блокировки НСД к жесткому диску, который осуществляет сокрытие данных на диске при загрузке компьютера с внешних носителей. 

Ранее приобретенная лицензия на СЗИ Security Studio 6 – Trusted Boot Loader может использоваться для активации этого механизма в Secret Net 7.

Список видео уроков:

1. Установка и настройка клиента. Вариант №1

2. Установка контроллера домена и Oracle для Сервера безопасности Secret Net

3. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ в БД AD

4. Настройка замкнутой программной среды

5. Настройка механизма контроля целостности

6. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ вне БД AD

7. Программа локального конфигурирования

8. Управление персональными идентификаторами. Защита входа в систему

9. Режимы механизма защиты входа в систему

10.Устновка сервера безопасности с SQL Server 2012 R2

11.Вход в систему в административном режиме

12 Удаление домена безопасности и всех компонентов

13.Установка SQL Server 2012 Standart для работы с SN7.4

14.Изменение учетных данных для подключения СБ к серверу СУБД

15.Управление ключами для усиленной аутентификации.

16.Установка и настройка ПО Rutoken

17.Разрешение разового входа при усиленной аутентификации по паролю.

18.Идентификация и аутентификация * Secret Net 7 * приказ № 17

19. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 1-Два сервера безопасности 

20. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 2 — Резервная копия

Документация к версии – Secret Net 7

	Руководство администратора. Принципы построения В руководстве содержатся сведения об общих принципах построения и функционирования системы Secret Net 7. Secret_Net_Admin_Guide_Construction_Principles.pdf
	Руководство администратора. Установка, обновление и удаление В руководстве содержатся сведения, необходимые администраторам для развертывания системы, ее обновления, исправления и удаления. Secret_Net_Admin_Guide_Install.pdf
	Руководство администратора.Локальная работа с журналами регистрации Secret_Net_Admin_Guide_Local_Audit.pdf
	Руководство администратора.Работа с программой оперативного управления В руководстве содержатся сведения, необходимые для работы с компонентом «Secret Net 7 — Программа управления». Secret_Net_Admin_Guide_Operative_Management_Program.pdf
	Руководство администратора. Настройка механизмов защиты В руководстве содержатся сведения, необходимые администраторам для настройки и управления основными механизмами защиты. Secret_Net_Admin_Guide_Security_Settings.pdf
	Руководство пользователя В руководстве содержатся сведения, необходимые пользователю для работы с системой Secret Net 7, установленной на компьютере. Secret_Net_User_Guide.pdf
	Сведения о совместимости с другими программными средствами Данный документ содержит сведения о совместимости СЗИ Secret Net 7 версии 7.6.604.0 с некоторыми другими программными средствами при совместном функционировании.