Автономный режим
Защита входа в систему
- В Secret Net 7 реализован механизм парольной аутентификации пользователей средствами СЗИ. Таким образом, использование электронных идентификаторов для усиленной аутентификации не является обязательным. Кроме того, поддерживается вход в систему по стандартным сертификатам.
- Идентификация и аутентификация пользователя совместно с ОС Windows с помощью программно-аппаратных средств. В качестве устройств для ввода в нее идентификационных признаков могут быть использованы следующие устройства:
- iButton;
- eToken Pro, eToken PRO Java (USB, смарт-карты);
- Rutoken, Rutoken ЭЦП и Rutoken Lite .
- Усиленная аутентификация пользователей с использованием аппаратной поддержки ПАК «Соболь» и Secret Net Card.
Встроенный в СЗИ программный механизм защиты информации на локальных дисках компьютера предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера (например, загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере). Компонент лицензируется отдельно и подключается при необходимости.
Совместно с Secret Net могут быть использованы средства аппаратной поддержки, обеспечивающие защиту компьютера от несанкционированной загрузки с внешних носителей:
- программно-аппаратный комплекс «Соболь» (версии 2.1 и 3.0);
- Secret Net Card.
С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съёмных носителей. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определенного времени после включения питания на плату не было передано управление, она блокирует работу всей системы.
Защита терминальных сессий и VDI-инфраструктуры
Для терминальных клиентов (в т. ч. «тонких клиентов») возможен вход с однократным вводом учетных данных (логин/пароль), а также с использованием электронного идентификатора. Кроме того, обеспечен вход по идентификатору в VDI-инфраструктуре (VMware Horizon View).
- Контроль устройств, подключаемых к терминальному серверу с RDP-клиентов, в т. ч. с «тонких клиентов»*. При подключении реализованы дополнительные настройки, с помощью которых можно заблокировать подключение определенных типов устройств.
- Контроль за подключением устройств к виртуальной машине средствами VDI. Поддержка VMware Horizon View 5.2 и Microsoft RemoteFX.
*Под «тонкими» клиентами понимаются любые клиенты, размещенные на аппаратных или программных платформах, исключающих установку на них клиентского ПО Secret Net
Разграничение доступа
Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один из трех уровней конфиденциальности: «неконфиденциально», «конфиденциально», «строго конфиденциально», а каждому пользователю – уровень допуска.
Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации. При необходимости можно увеличить количество используемых категорий и задать для них названия в соответствии со стандартами, принятыми в организации. Максимально возможное количество категорий — 16. Категорию можно назначить для локальных физических дисков и любых устройств , включаемые в группы устройств USB, PCMCIA, IEEE1394 или Secure Digital, а также для каталогов и файлов.
В СЗИ Secret Net реализован контроль подключения и изменения устройств, а также разграничения доступа к устройствам. Таким образом, отслеживается неизменность (целостность) аппаратной конфигурации компьютера и контролируется использование отчуждаемых носителей, что позволяет обеспечить защиту от утечек конфиденциальной информации (например, при отчуждении информации на внешний накопитель).
Поддерживается контроль следующих устройств:
- Основные параметры рабочей станции (процессор, память).
- Порты (последовательные и параллельные).
- Диски (физические, оптические, сменные и виртуальные).
- Сетевые интерфейсы (Ethernet, 1394 FireWire, Bluetooth, IrDA, Wi-Fi).
- USB-устройства.
- PCMCIA-устройства.
- Устройства SecureDigital.
Управление настройками возможно на уровне группы устройств (шины), класса, модели и экземпляра. Также для каждого устройства можно задать описание.
Контроль печати с возможностью теневого копирования, универсальной настраиваемой маркировки документов и назначения прав доступа и параметров принтеров. То есть при печати проверяются права на принтер, соответствие категории принтера категории печатаемого документа и делается теневая копия документа (опционально).
Доверенная информационная среда
Для каждого пользователя компьютера формируется определенный перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, «червей» и шпионского ПО, а также использование ПК в качестве игровой приставки.
Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль может проводится в автоматическом режиме в соответствии с некоторым заданным расписанием, а также возможна проверка контроля целостности отдельного объекта по запросу администратора. Кроме того, при установке системы автоматически формируются настройки, которые обеспечивают минимально необходимый набор для безопасной эксплуатации системы.
Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнaружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:
— регистрация события в журнале Secret Net;
— блокировка компьютера;
— восстановление поврежденной/модифицированной информации;
— отклонение или принятие изменений.
Доступен режим – «Встроенная ЭЦП», позволяющий обновлять ПО с электронной подписью без необходимости корректировки настроек.
Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирование на эти изменения. Предусмотрено два вида реакций:
- регистрация события в журнале Secret Net;
- блокировка компьютера.
Настройка производится:
- для модели, класса или группы устройств;
- индивидуально для каждого устройства.
Позволяет избежать утечек конфиденциальной информации при краже или утилизации оборудования. Осуществляется посредством многократной записи случайной информации на место удаляемого файла.
Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС (т.е. к моменту начала работы пользователя) все ключевые компоненты Secret Net загружены и функционируют.
Защита информации в процессе хранения
Печать осуществляется под контролем системы защиты. При разрешенном выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Для режима маркировки документов есть возможность выбора стандартной и расширенной обработки документов при печати. В стандартном режиме при печати фрагмента документа маркер будет содержать сведения только о распечатанных страницах без учета общего количества страниц документа. Все события вывода документов на печать фиксируются в журнале Secret Net.
Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации.
Теневое копирование поддерживается для устройств следующих видов:
— подключаемые сменные диски;
— дисководы гибких дисков;
— дисководы оптических дисков с функцией записи;
— принтеры.
Система Secret Net 7 регистрирует все события, происходящие на компьютере: включение/выключение компьютера, вход/выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.
Удобство управления и настроек
В Secret Net 7 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.
В Secret Net предусмотрено получение различных отчетов о состоянии системы.
Отчеты могут содержать сведения: об установленном на компьютерах программном обеспечении;
настройках защитных механизмов и перечне защищаемых ресурсов; пользователях системы и настройках их параметров; установленных в системе комплексах «Соболь» и пользователях, имеющих к ним доступ; идентификаторах пользователей и режимах их использования; событиях, зафиксированных в журналах.