Secret Net — сертифицированные средства защиты информации от несанкционированного доступа

Secret Net — сертифицированные средства защиты информации от несанкционированного доступа ЭЦП
На чтение 16 мин. Просмотров 2 Опубликовано
Содержание
  1. Возможности secret net studio
  2. Дискреционное управление доступом к ресурсам файловой системы
  3. Замкнутая программная среда
  4. Затирание удаляемой информации
  5. Защита данных и кии в соответствии с требованиями фстэк
  6. Контроль печати
  7. Контроль подключения и изменения устройств компьютера
  8. Общие сведения о ключевой схеме
  9. Полномочное управление доступом
  10. Режим контроля потоков
  11. Сервер безопасности

Возможности secret net studio

Secret Net Studio является первым отечественным комплексным решением для обеспечения информационной безопасности. Система включает целый перечень защитных механизмов с единой политикой обеспечения ИБ и единым центром управления. Информационная безопасность локальной сети, корпоративных систем и сервисов от несанкционированного доступа в программе Secret Net Studio обеспечивается следующими мерами:

  1. Организация безопасного входа в систему. Идентификация и аутентификация пользователей в корпоративной системе осуществляется по паролям и персональным идентификаторам (iButton, eToken, Rutoken, iKey, JaCarta, ESMART).  При попытке подбора пароля, нарушении функциональной целостности системы и срабатывании прочих защитных подсистем Secret Net Studio автоматически блокируются клавиатура, мышь и монитор рабочего ПК. Разблокировать его в этом случае может только администратор оперативного управления системой защиты от НСИ. Также Secret Net Studio интегрируется с аппаратными средствами защиты для организации доверенной загрузки операционной системы со съёмных носителей (к примеру, с электронным замком «Соболь»). Для усиления защиты доменных пользователей есть возможность использования входа по сертификатам.
  2. Создание доверенной среды. Функция контроля разрешённых к запуску программ в Secret Net Studio 8.5 защищает рабочие ПК от несанкционированной загрузки, а драйвера и процессы — от попыток эксплуатации уязвимостей (в том числе нулевого дня). Таким образом минимизируется риск деактивации системы IT-безопасности предприятия злоумышленниками.  
  3. Разграничение прав доступа. Для защиты конфиденциальных данных от внутреннего несанкционированного проникновения используются механизмы разграничения прав доступа пользователей в соответствии с их статусами. Организуется эффективный контроль над всеми каналами распространения защищаемой информации, включая принтеры, сетевые устройства и внешние носители. Производится теневое копирование выводимых на печать документов.
  4. Контроль подключаемых устройств. Secret Net Studio обеспечивает администратору полный контроль над подключением и отключением периферийного оборудования. В перечень подконтрольных внешних устройств входят веб-камеры, 3G-модемы, USB-накопители, сетевые карты, принтеры, смартфоны и т. д. Система предусматривает различные сценарии реагирования в зависимости от несанкционированного подключения того или иного оборудования.
  5. Антивирусная защита. Хищение, уничтожение, шифрование и компрометация данных сегодня всё чаще осуществляются с применением вредоносных программ. Secret Net Studio обеспечивает надёжную защиту серверов и рабочих станций посредством интегрированных технологий ESET. Система защиты локальной корпоративной сети от несанкционированного доступа поддерживает возможность сканирования и запуска заданий по расписанию, а также по требованию администратора или рядового сотрудника.
  6. Межсетевое экранирование. Решение обеспечивает контроль сетевой активности ПК и фильтрацию большого количества протоколов согласно установленным политикам. Фильтрация, в частности, осуществляется на уровне отдельно взятых приложений, отдельно взятых сотрудников, а также групп пользователей. Защита от подделки и перехвата данных внутри корпоративной сети обеспечивается подписью сетевого трафика. Поддержка технологии машинного обучения позволяет межсетевому экрану автоматически генерировать правила и интеллектуально их суммировать в процессе эксплуатации.
  7. Контроль действий приложений. Система выявляет подозрительную активность приложений эвристическими методами. Для каждого приложения настраиваются индивидуальные и групповые правила безопасности. Предусмотрен режим самообучения ИБ-системы в процессе эксплуатации приложений.
  8. Защита от сетевых атак. Система поддерживает сигнатурные и эвристические методы обнаружения случаев сканирования портов и DDoS-атак.
  9. Поддержка защищённого соединения по криптоалгоритму ГОСТ 28147-89. Для обеспечения безопасной работы территориально распределённых филиалов компании и удалённых сотрудников в системе используется программный VPN-клиент «Континент-АП». С его помощью создаётся защищённое соединение географически удалённых ПК с сервером доступа «Континент».
  10. Шифрование контейнеров по алгоритму ГОСТ 28147-89. Данная мера защищает от несанкционированного доступа данные на съёмных носителях и жёстких дисках. В случае утери или кражи флешки информацию на ней никто не сможет прочесть. Для хранения критически важной информации применяются аппаратные идентификаторы.

Дискреционное управление доступом к ресурсам файловой системы

В состав системы Secret Net Studio входит механизм дискреционного управления доступом к ресурсам файловой системы. Этот механизм обеспечивает:

    • разграничение доступа пользователей к каталогам и файлам на локальных дисках на основе матрицы доступа субъектов (пользователей, групп) к объектам доступа;
    • контроль доступа к объектам при локальных или сетевых обращениях, включая обращения от имени системной учетной записи;
    • невозможность доступа к объектам в обход установленных прав доступа (если используются стандартные средства ОС или прикладные программы без собственных драйверов для работы с файловой системой);
    • независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows. То есть установленные права доступа к файловым объектам в системе Secret Net Studio не влияют на аналогичные права доступа в ОС Windows и наоборот.

Аналогично реализации в ОС Windows матрица доступа в системе Secret Net Studio представляет собой списки файловых объектов, в которых определены учетные записи с правами доступа. Права устанавливают разрешения или запреты на выполнение операций. Перечень предусмотренных прав доступа представлен в следующей таблице.

Право доступаДействие для каталогаДействие для файла
Чтение (R)Разрешает или запрещает просмотр имен файлов и подкаталоговРазрешает или запрещает чтение данных
Разрешает или запрещает просмотр атрибутов файлового объекта
Запись (W)Разрешает или запрещает создание подкаталогов и файловРазрешает или запрещает внесение изменений
Разрешает или запрещает смену атрибутов файлового объекта
Выполнение (X)Разрешает или запрещает перемещение по структуре подкаталоговРазрешает или запрещает выполнение
Удаление (D)Разрешает или запрещает удаление файлового объекта
Изменение прав доступа (P)Разрешает или запрещает изменение прав доступа к файловому объекту. Пользователь, имеющий разрешение на изменение прав доступа к ресурсу, условно считается администратором ресурса

Права доступа для файлового объекта могут быть заданы явно или наследоваться от вышестоящего элемента иерархии. Явно заданные права имеют более высокий приоритет по сравнению с наследуемыми правами. Права доступа считаются заданными явно, если для объекта отключен режим наследования прав.

Для управления списками доступа к любым файловым объектам предусмотрена специальная привилегия «Дискреционное управление доступом: Управление правами доступа». Пользователи, обладающие этой привилегией, могут изменять права доступа для всех каталогов и файлов на локальных дисках (независимо от установленных прав доступа к объектам).

По умолчанию привилегией на управление правами доступа обладают пользователи, входящие в локальную группу администраторов. При этом для всех пользователей действуют разрешающие права доступа к любым ресурсам на чтение, запись, выполнение и удаление (RWXD).

Эти права наследуются от корневых каталогов логических разделов. Во избежание непреднамеренной блокировки работы ОС, которая может произойти из- за некорректно установленных прав доступа к ресурсам, — отсутствует возможность изменения прав доступа для корневого каталога системного диска (%SystemDrive%) и всего системного каталога (%SystemRoot%).

Замкнутая программная среда

Механизм замкнутой программной среды позволяет определить для любого пользователя компьютера индивидуальный перечень программного обеспечения, разрешенного для использования. Система защиты контролирует и обеспечивает запрет использования следующих ресурсов:

    • файлы запуска программ и библиотек, не входящие в перечень разрешенных для запуска и не удовлетворяющие определенным условиям;
    • сценарии, не входящие в перечень разрешенных для запуска и не зарегистрированные в базе данных.

Попытки запуска неразрешенных ресурсов регистрируются в журнале как события тревоги.

На этапе настройки механизма составляется список ресурсов, разрешенных для запуска и выполнения. Список может быть сформирован автоматически на основании сведений об установленных на компьютере программах или по записям журналов (журнал безопасности или журнал Secret Net Studio), содержащих сведения о запусках программ, библиотек и сценариев.

Для файлов, входящих в список, можно включить проверку целостности с использованием механизма контроля целостности. По этой причине механизм замкнутой программной среды и механизм контроля целостности используют единую модель данных.

Механизм замкнутой программной среды не осуществляет блокировку запускаемых программ, библиотек и сценариев в следующих случаях:

    • при наличии у пользователя привилегии «Замкнутая программная среда: Не действует» (по умолчанию привилегия предоставлена администраторам компьютера) — контроль запускаемых пользователем ресурсов не осуществляется;
    • при включенном мягком режиме работы подсистемы замкнутой программной среды — в этом режиме контролируются попытки запуска программ, библиотек и сценариев, но разрешается использование любого ПО. Этот режим обычно используется на этапе настройки механизма.

Изоляция процессов

В системе Secret Net Studio может применяться режим изоляции процессов для предотвращения стороннего доступа к данным определенных исполняемых модулей. При действующем режиме контролируются следующие операции с данными, которыми обмениваются различные процессы:

    • чтение данных из буфера обмена;
    • чтение данных в окне другого процесса;
    • запись данных в окно другого процесса;
    • перетаскивание данных между процессами методом drag-and-drop.

Процесс считается изолированным, если в модели данных включена изоляция для ресурса, соответствующего исполняемому файлу этого процесса. Для изолированного процесса обмен данными с другими процессами невозможен. Разрешается использование буфера обмена только при записи и чтении данных одного и того же процесса. Неизолированные процессы обмениваются данными без ограничений.

Изоляция процессов реализуется при включенном механизме замкнутой программной среды (должен функционировать драйвер механизма). Режим работы механизма ЗПС может быть любым. При этом для исключения возможностей

запуска копий исполняемых файлов в неизолированной среде рекомендуется настроить механизм ЗПС и включить жесткий режим работы механизма.

Затирание удаляемой информации

Затирание удаляемой информации обеспечивает невозможность восстановления и повторного использования данных после удаления. Гарантированное уничтожение достигается путем записи случайных последовательностей чисел на место удаленной информации в освобождаемой области памяти. Для большей надежности может быть выполнено несколько циклов (проходов) затирания.

При настройке механизма можно установить различное количество циклов затирания для локальных и сменных дисков, оперативной памяти, а также для файловых объектов, удаляемых с помощью специальной команды.

Secret Net — сертифицированные средства защиты информации от несанкционированного доступа
Затирание файла подкачки виртуальной памяти выполняется стандартными средствами ОС Windows при выключении компьютера. Если в Secret Net Studio включен режим затирания оперативной памяти, рекомендуется дополнительно в политиках Windows включить действие стандартного параметра «Завершение работы: очистка файла подкачки виртуальной памяти» (размещается в разделе Конфигурация компьютераПараметры WindowsПараметры безопасностиЛокальные политикиПараметры безопасности).

Не осуществляется затирание файлов при их перемещении в папку «Корзина», так как во время нахождения в этой папке файлы не удаляются с диска. Затирание таких файлов происходит после очистки содержимого «Корзины».

Защита данных и кии в соответствии с требованиями фстэк

Обеспечить комплексную ИТ-безопасность серверов и рабочих ПК на уровне данных, операционных систем, приложений, корпоративных сетей и подключаемого оборудования даёт возможность решение Secret Net Studio. На сегодняшний день это флагманский продукт в линейке автоматизированных систем защиты конфиденциальной информации и локальных сетей от несанкционированного доступа Secret Net. Система включена в Единый реестр российского ПО и соответствует требованиям госпрограммы импортозамещения.

Решение Secret Net Studio сертифицировано ФСТЭК России:

  •  4-й уровень контроля отсутствия недекларированных возможностей (НДВ)
  • 5-й класс защищённости средств вычислительной техники (СВТ)
  • 4-й класс защиты средств контроля подключения съёмных носителей информации (СКН)
  • 4-й класс средств антивирусной защиты (САВЗ)
  • 4-й класс защиты средств обнаружения вторжений (СОВ) уровня хоста
  • 4-й класс защиты МЭ типа «В» (межсетевые экраны, применяемые на узле (хосте) информационной системы)

Назначение и сценарии применения средства защиты от НСД

Систему Secret Net Studio рекомендуется использовать для защиты следующих компонентов ИТ-инфраструктуры предприятия:

  • автоматизированных систем управления технологическим процессом (АСУ ТП) до 1 класса включительно;
  • автоматизированных информационных систем до класса 1Г включительно (защита конфиденциальных данных);
  • критической инфраструктуры предприятия (КИИ) в соответствии с Федеральным законом N 187-ФЗ от 26.07.2022;
  • персональных данных согласно приказу ФСТЭК России № 21;
  • государственных информационных систем до 1 класса включительно;
  • государственной тайны;
  • удалённых рабочих мест;
  • рабочих мест в территориально распределённых организациях.

Контроль печати

Механизм контроля печати обеспечивает:

    • разграничение доступа пользователей к принтерам;
    • регистрацию событий вывода документов на печать в журнале Secret Net Studio;
    • вывод на печать документов с определенной категорией конфиденциальности;
    • автоматическое добавление грифа в распечатываемые документы (маркировка документов);
    • теневое копирование распечатываемых документов.

Для реализации функций маркировки и/или теневого копирования распечатываемых документов в систему добавляются драйверы «виртуальных принтеров». Виртуальные принтеры соответствуют реальным принтерам, установленным на компьютере. Список виртуальных принтеров автоматически формируется при включении контроля печати и режима теневого копирования. Печать в этом случае разрешается только на виртуальные принтеры.

При печати на виртуальный принтер выполняются дополнительные преобразования для получения образа распечатываемого документа в формате XML Paper Specification (XPS). Далее XPS- документ копируется в хранилище теневого копирования (если для принтера включена функция теневого копирования), модифицируется нужным образом и после этого передается для печати в соответствующее печатающее устройство.

Контроль подключения и изменения устройств компьютера

Механизм контроля подключения и изменения устройств компьютера обеспечивает:

    • своевременное обнаружение изменений аппаратной конфигурации компьютера и реагирование на эти изменения;
    • поддержание в актуальном состоянии списка устройств компьютера, который используется механизмом разграничения доступа к устройствам.

Изменения аппаратной конфигурации отслеживаются системой защиты для устройств с включенным режимом контроля «Устройство постоянно подключено к компьютеру».

Начальная аппаратная конфигурация компьютера определяется на этапе установки системы. При этом значения параметров контроля задаются по умолчанию. Настройку политики контроля можно выполнить индивидуально для каждого устройства или применять к устройствам наследуемые параметры от моделей, классов и групп, к которым относятся устройства.

Используются следующие методы контроля конфигурации:

    • Статический контроль конфигурации. Каждый раз при загрузке компьютера подсистема получает информацию об актуальной аппаратной конфигурации и сравнивает ее с эталонной.
    • Динамический контроль конфигурации. Во время работы компьютера (а также при выходе из спящего режима) драйвер- фильтр устройств отслеживает факты подключения, отключения или изменения параметров устройств. Если произошло изменение конфигурации, драйвер- фильтр выдает оповещение об этом и система выполняет определенные действия.

При обнаружении изменений аппаратной конфигурации система ожидает утверждения этих изменений администратором безопасности. Процедура утверждения аппаратной конфигурации необходима для санкционирования обнаруженных изменений и принятия текущей аппаратной конфигурации в качестве эталонной.

Общие сведения о ключевой схеме

Реализация ключевой схемы шифрования криптоконтейнеров базируется на алгоритмах ГОСТ Р34.10-2022, ГОСТ Р34.11-2022 и ГОСТ 28147–89. Во время криптографических операций генерируются и вычисляются определенные наборы ключей и дополнительных значений, используемых для доступа к криптоконтейнеру.

Криптоконтейнер содержит следующие группы данных:

    • управляющая информация криптоконтейнера — представляет собой структуру зашифрованных ключей и значений для доступа к криптоконтейнеру;
    • зашифрованные данные пользователей — криптографически преобразованные файлы, помещенные в криптоконтейнер пользователями.

Управляющая информация криптоконтейнера формируется при его создании. Изначально в этой структуре совместно с другими сведениями сохраняется открытый ключ пользователя, создавшего криптоконтейнер. Далее в процессе формирования списка пользователей, имеющих доступ к контейнеру, открытые ключи этих пользователей также помещаются в структуру. С использованием открытых ключей шифруются соответствующие части структуры.

Файлы, помещаемые пользователями в криптоконтейнер, шифруются с использованием ключей шифрования, рассчитанных на основе базового ключа шифрования — общего для всех пользователей криптоконтейнера. Базовый ключ шифрования генерируется при создании криптоконтейнера. Вычисление ключа осуществляется при доступе к криптоконтейнеру с помощью закрытого ключа пользователя.

Для дополнительной защиты базового ключа шифрования может использоваться специальный «корпоративный ключ». Данный ключ генерируется при создании криптоконтейнера, если включен параметр «использовать корпоративный ключ». Ключ сохраняется в системном реестре компьютера и применяется для зашифрования и расшифрования базового ключа.

При использовании корпоративного ключа доступ к криптоконтейнеру возможен при условии, если ключ хранится в системном реестре (в зашифрованном виде). Поэтому для доступа к криптоконтейнеру на другом компьютере корпоративный ключ необходимо импортировать в реестр этого компьютера.

Полномочное управление доступом

Механизм полномочного управления доступом обеспечивает:

    • разграничение доступа пользователей к информации, которой назначена категория конфиденциальности (конфиденциальная информация);
    • контроль подключения и использования устройств с назначенными категориями конфиденциальности;
    • контроль потоков конфиденциальной информации в системе;
    • контроль использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
    • контроль печати конфиденциальных документов.

По умолчанию в системе предусмотрены следующие категории конфиденциальности:

  1. «неконфиденциально» (для общедоступной информации),
  2. «конфиденциально»,
  3. «строго конфиденциально».

При необходимости можно увеличить количество используемых категорий и задать для них названия в соответствии со стандартами, принятыми в вашей организации. Максимально возможное количество категорий — 16.

Категорию конфиденциальности можно назначить для следующих ресурсов:

    • локальные физические диски (кроме диска с системным логическим разделом) и любые устройства, включаемые в группы устройств USB, PCMCIA, IEEE1394 или Secure Digital;
    • каталоги и файлы на дисках.

Доступ пользователя к конфиденциальной информации осуществляется в соответствии с его уровнем допуска. Если уровень допуска пользователя ниже, чем категория конфиденциальности ресурса, — система блокирует доступ к этому ресурсу. После получения доступа к конфиденциальной информации уровень конфиденциальности программы (процесса) повышается до категории конфиденциальности ресурса.

Полномочное разграничение доступа на уровне устройств осуществляется следующим образом. Если устройство подключается во время сеанса работы пользователя c уровнем допуска ниже, чем категория устройства, система блокирует подключение устройства. При подключении такого устройства до начала сеанса работы пользователя — запрещается вход пользователя в систему.

Функционирование устройства разрешено независимо от уровня допуска пользователя, если для этого устройства включен режим «Устройство доступно без учета категории конфиденциальности». Данный режим включен по умолчанию.

Доступ к содержимому конфиденциального файла предоставляется пользователю, если категория файла не превышает уровень допуска пользователя. При этом категория конфиденциальности устройства, на котором располагается файл, также анализируется и имеет более высокий приоритет по сравнению с категорией конфиденциальности файла.

Если категория файла ниже категории конфиденциальности устройства — система считает категорию файла равной категории устройства. При обратной ситуации, когда категория файла превы- шает категорию конфиденциальности устройства, такое состояние расценивается как некорректное и доступ к файлу запрещается.

Режим контроля потоков

При использовании механизма в режиме контроля потоков конфиденциальной информации всем процессам обработки данных в системе присваивается единый уровень конфиденциальности. Нужный уровень конфиденциальности из числа

доступных пользователю выбирается перед началом сессии работы на компьютере. Этот уровень нельзя изменить до окончания сессии.

В режиме контроля потоков сохранение информации разрешено только с категорией, равной уровню конфиденциальности сессии. Полностью запрещается доступ к данным, категория которых превышает уровень конфиденциальности сессии (даже если уровень допуска пользователя позволяет доступ к таким данным).

В режиме контроля потоков запрещается использование устройств, которым назначена категория конфиденциальности, отличающаяся от выбранного уровня сессии. Если на момент входа пользователя к компьютеру подключены устройства с различными категориями конфиденциальности, вход запрещается по причине конфликта подключенных устройств.

Режим контроля потоков позволяет установить ограничения на использование сетевых интерфейсов. Для каждого сетевого интерфейса можно выбрать уровни конфиденциальности сессий, в которых этот интерфейс будет доступен пользователю. Если открыта сессия с другим уровнем конфиденциальности, функционирование этого интерфейса блокируется системой защиты.

Для сетевых интерфейсов предусмотрен режим доступности «Адаптер доступен всегда» (включен по умолчанию). В этом режиме функционирование сетевого интерфейса разрешено независимо от уровня конфиденциальности сессии.

Сервер безопасности

Основные функции сервера безопасности:

    • получение информации от агентов на защищаемых компьютерах о текущем состоянии рабочих станций и сессиях работы пользователей;
    • оперативное получение и передача сведений о событиях тревоги, зарегистрированных на защищаемых компьютерах;
    • отправка команд управления на защищаемые компьютеры;
    • получение информации о состоянии защитных подсистем на компьютерах и отправка команд на изменение состояния защитных подсистем;
    • получение и передача на защищаемые компьютеры параметров групповых политик, заданных в программе управления системы Secret Net Studio;
    • контроль действительности лицензий на использование компонентов системы Secret Net Studio;
    • получение локальных журналов с защищаемых компьютеров и передача содержимого журналов в базу данных сервера безопасности;
    • обработка запросов к базе данных;
    • архивирование и восстановление содержимого журналов в базе данных;
    • протоколирование обращений к серверу.

Сервер безопасности реализует функции контроля и управления защищаемыми компьютерами при условии их подчинения. Серверу могут быть подчинены ком- пьютеры с установленным клиентом Secret Net Studio.

Для функционирования сервера безопасности требуется наличие системы управ- ления базами данных (СУБД), реализуемой сервером СУБД MS SQL. Сервер безо- пасности и сервер СУБД могут быть установлены на разных компьютерах (рекомендуется) или на одном компьютере.

автоматизированная система защиты конфиденциальной информации от несанкционированного доступа защита данных от несанкционированного доступа защита локальной корпоративной сети от несанкционированного доступа защита программного обеспечения от несанкционированного доступа защита программных средств от несанкционированного доступа организация защиты информации от несанкционированного доступа программа для защиты информационных систем и данных от несанкционированного доступа.
Оцените статью
ЭЦП64
Добавить комментарий

© 2022 ЭЦП64