Семейство СЗИ от НСД Secret Net: новые возможности для защиты информационных ресурсов компьютеров под управлением ОС Windows и Linux

СЗИ Secret Net

Secret Net предназначен для защиты конфиденциальной информации, составляющей коммерческую, государственную тайну или относящейся к персональным данным. Обладает сертификатами ФСТЭК России и может использоваться в автоматизированных системах до класса 1Б включительно и для защиты персональных данных в ИСПДн до класса К1 включительно.

Декабрь 2012г. – Secret Net 7

Январь 2013г. – Secret Net LSP

Преимущества для государственных организаций и бизнеса

• Соответствие законодательным требованиям к системам защиты автоматизированных систем позволяет защититься от недобросовестной конкуренции и внимания проверяющих организаций. – №152-ФЗ «О персональных данных» – №5485-1-ФЗ «О государственной тайне» – №98-ФЗ «О коммерческой тайне» – СТО БР (Стандарт Банка России)

• Эффективная система защиты от внутренних угроз и утечек информации.

3

Сертификат соответствия ФСТЭК №2707

Secret Net 7 Соответствует руководящим документам по

2-му уровню контроля на отсутствие НДВ и 3-му классу защищенности по СВТ. Может использоваться в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.

4

Достоинства

• Эффективная защита от НСД - контроль обращения с защищаемой информацией, контроль использования отчуждаемых носителей на основе политик безопасности в совокупности с возможностью детального разбора инцидентов позволяют создать эффективную систему противодействия внутренним нарушителям.

• Централизованное управление - наличие единого централизованного управления и мониторинга безопасности для территориально-распределённых сетей позволяет оперативно выявлять любые инциденты безопасности.

• Защита терминальных сессий на основе “тонких клиентов”. • Масштабируемая система – вне зависимости от сложности

корпоративной сети Secret Net обеспечивает защиту и управление как отдельных АРМов, так и сети крупной организации, с развитой филиальной инфраструктурой.

• Гибкая ценовая политика – цена и комплектность поставки зависит от количества защищаемых рабочих станций и требований по безопасности.

5

Что нового в Secret Net 7 • В варианте с ЦУ реализована поддержка ADAM/LDS. При этом решается

проблема делегирования полномочий администраторам на установку и эксплуатацию СЗИ в рамках организационного подразделения (филиала).

• Защита терминальных сессий при использовании “тонких клиентов”. • Расширены возможности по контролю утечек конфиденциальной информации –

теперь СЗИ обеспечивает возможность теневого копирования при отчуждении конфиденциальной информации.

• Универсальный контроль печати – вывод грифа конфиденциальности на документы, распечатываемые из любого приложения.

• Разграничение доступа к принтерам - возможность печати конфиденциальных документов только на специально выделенных для этого принтерах.

• Автоматическая конфигурация системы полномочного доступа. Упрощает использование СЗИ при добавлении новых приложений в АС.

• Удаленное управление локальными политиками безопасности и состоянием защитных систем СЗИ с рабочего места администратора. Таким образом, реализовано централизованное управление контролем устройств на уровне компьютера.

6

Возможности СЗИ Secret Net

7

• Защита входа в систему • Контроль утечек

информации, разграничение доступа

• Доверенная информационная среда

• Централизованное управление

• Ведение журналов безопасности, аудит

Защита входа в систему Усиленная аутентификация пользователей (в том числе и с использованием аппаратной поддержки ПАК «Соболь» и Secret Net Card). В качестве индивидуальных идентификаторов могут быть использованы:

– iButton (серия DS199x)* – eToken PRO, eToken PRO Java (USB, смарт-карта) – Rutoken

* При условии совместного применения с аппаратными замками.

8

Защита входа в систему

Встроенный в СЗИ программный механизм блокировки НСД к жесткому диску.

9

Защита входа в систему

Совместно с Secret Net могут быть использованы средства аппаратной поддержки, обеспечивающие защиту компьютера от несанкционированной загрузки с внешних носителей: • Программно-аппаратный комплекс

«Соболь» (версии 2.1 и 3.0) • Secret Net Card

10

11

Контроль утечек информации, разграничение доступа Разграничение прав доступа пользователей

Контроль утечек информации, разграничение доступа

Разграничение прав доступа пользователей к устройствам: • Локальные устройства (включая

порты ввода/вывода) – USB – PCMCIA – IEEE 1394 (FireWire) – Secure Digital

• Методы контроля: – Статический – Динамический

• Режимы контроля: – Прозрачный – Мягкий – Жесткий

12

Контроль утечек информации, разграничение доступа

Возможность создания политики, определяющей безопасное использование отчуждаемых носителей в организации (в сетевом режиме работы СЗИ).

13

Контроль утечек информации, разграничение доступа

Контроль печати • Разграничение доступа пользователей к принтерам • Регистрация событий печати • Вывод на печать документов с определенной категорией

конфиденциальности • Автоматическое добавление грифа на распечатываемые документы • Теневое копирование распечатываемых документов

14

Контроль утечек информации, разграничение доступа

Теневое копирование отчуждаемой информации. • Принтеры • Отчуждаемые носители

Преимущество перед

аналогичными средствами защиты:

Теневое копирование происходит ДО операции записи информации на устройство!

15

Контроль утечек информации, разграничение доступа

Программа настройки системы полномочного доступа

• События полномочного доступа • Перенаправление вывода

служебных файлов • Печать в режиме контроля потоков • Профили пользователей • Приложения

16

Доверенная информационная среда

Замкнутая программная среда контролирует индивидуальный перечень программ, разрешенных для запуска. Определяется на уровне: • Пользователей • Групп пользователей

Формируется: • Вручную • Автоматически:

– Из уже установленных программ – На основании сведений о запуске из

журналов

17

Доверенная информационная среда

Контроль целостности обеспечивает защиту критичных ресурсов от несанкционированной модификации. • Объекты контроля:

– Файлы – Каталоги – Элементы системного реестра

• Реакция на изменения: – Игнорировать – Заблокировать компьютер – Восстановить из эталона – Восстановить и заблокировать – Принять как эталон

18

Доверенная информационная среда

Контроль неизменности аппаратной конфигурации АС. Реакция СЗИ на изменения: • Блокировка АС в случае выявления изменений. • Регистрация события.

Настройка производится:

• Для модели, класса или группы устройств. • Индивидуально для каждого устройства.

19

Доверенная информационная среда

Гарантированное затирание данных позволяет избежать утечек конфиденциальной информации при краже или утилизации оборудования. Осуществляется посредством многократной записи случайной информации на место удаляемого файла.

20

Режимы использования СЗИ Secret Net

• Автономный предназначен для защиты серверов и рабочих станций. Рекомендуется применять при небольшом количестве защищаемых рабочих станций (до 20-25)

• Сетевой дополнен средствами централизованного управления безопасностью для работы в больших сетях. Рекомендовано к применению в доменных сетях с большим количеством рабочих станций

21

Централизованное управление

Варианты развёртывания Secret Net в сетевом режиме (со средствами ЦУ):

• В доменной сети с модификацией схемы AD. • В доменной сети без модификации схемы AD, используется

отдельная база вне AD (ADAM/LDS).

22

Централизованное управление

Состав ПО Secret Net для сетевого режима работы: • Клиент Secret Net • Сервер Безопасности Secret Net • Средства управления («Монитор») • СУБД Oracle

23

Централизованное управление

Средства централизованного управления: • Программа оперативного управления. • Программа "Контроль программ и данных" в централизованном

режиме работы. • Расширения стандартных механизмов Windows:

– Раздел "Параметры Secret Net" в оснастке редактирования объектов групповой политики.

– Диалог "Secret Net" в диалоговом окне настройки свойств доменного пользователя.

24

Централизованное управление

• Конфигурирование • Мониторинг и оперативное управление

25

Централизованное управление

Возможности централизованного конфигурирования: • Настройка централизованного сбора журналов безопасности. • Настройка автоматического архивирования. • Настройка уведомлений об НСД, фильтрация событий. • Настройка защитных подсистем, удаленная настройка

локальной политики безопасности. • Настройка лицензирования.

26

Централизованное управление

Возможности оперативного управления и мониторинга: • Визуализация защищаемой сети компьютеров. • Мониторинг текущего состояния защищаемых компьютеров. • Мониторинг событий НСД в защищаемой сети. • Удаленная блокировка/разблокировка, перезагрузка,

выключение АС. • Удаленное утверждение изменений в аппаратной

конфигурации АС. • Формирование отчетов.

27

Централизованное управление

28

Централизованное управление

Аудит безопасности: • Ведение журналов событий. • Регистрация событий безопасности: включение и выключение

компьютера, вход и выход пользователей, события НСД, обращения к конфиденциальной информации, вывод конфиденциальной информации на печать и отчуждаемые носители.

29

Централизованное управление

30

Аудит безопасности

Централизованное управление

Secret Net может быть успешно развернут в сложной доменной сети с большим количеством филиалов и удаленных офисов.

31

Централизованное управление

При этом можно выстроить сервера безопасности с иерархией подчиненности.

32

Защита терминальных сессий

• В сценарии терминального доступа Secret Net обеспечивает те же самые защитные функции, как и в случае автономного применения.

• Поддержка терминального режима доступа для платформ Citrix и Microsoft.

33

АРМ администратора ИБ

34

Лицензирование СЗИ Secret Net – сетевой вариант

Secret Net - Клиент

Secret Net – Сервер безопасности

Подключение программы управления - обязательно, если >1 подключения Модуль блокировки НСД к жесткому диску - опционально

Защищаемые станции

Сервер безопасности Secret Net

35

Лицензирование СЗИ Secret Net в терминальном режиме

Secret Net - Клиент

Модуль блокировки НСД к жесткому диску - опционально

Терминальное подключение - обязательно для всех терминалов, где нет клиента Secret Net минус один

Защищаемые терминалы

Терминальный сервер

СЗИ Secret Net сетевой вариант – классы серверов безопасности

36

Что такое СЗИ Secret Net LSP?

Secret Net LSP предназначен для защиты конфиденциальной информации, обрабатываемой на Linux-машинах. Обладает сертификатам ФСТЭК России и может использоваться в автоматизированных системах до класса 1Г включительно и для защиты персональных данных в ИСПДн до класса К1 включительно.

Сертификат соответствия ФСТЭК России 2790

Secret Net LSP Соответствует требованиям руководящих

документов по 5 классу защищенности по СВТ и по 4 уровню контроля отсутствия НДВ, а также может использоваться при создании автоматизированных системах до класса защищенности 1Г включительно и для защиты информации в ИСПДн до 1 класса включительно.

39

Защита информации

Защита входа в систему

Разграничение доступа к ресурсам

и устройствам

Контроль целостности

Регистрация событий ИБ

Аудит действий пользователей

Затирание остаточной

информации

Secret Net LSP. Ключевые возможности

Защита входа в систему 9 Механизм парольной аутентификации; 9 Усиленная аутентификация пользователей (в том числе и

с использованием аппаратной поддержки ПАК «Соболь» и Secret Net Card). В качестве индивидуальных идентификаторов могут быть использованы: • iButton; • Rutoken/Rutoken RF.

* При условии совместного применения с аппаратными замками.

40

41

Разграничение доступа к ресурсам

Механизм дискреционного разграничения доступа к файлам и каталогам

Разграничение доступа к устройствам

Разграничение прав доступа пользователей к устройствам:

– USB – SATA – IEEE 1394

• Режимы контроля: – Отключено – Мягкий – Жесткий

42

43

Контроль целостности

Объекты контроля: • компоненты установленного ПО СЗИ (файлы и каталоги);

• ресурсы файловой системы компьютера, поставленные на

контроль администратором (файлы и каталоги).

44

Позволяет избежать утечек конфиденциальной информации при краже или утилизации оборудования. Действие механизма заключается в очистке освобождаемых областей памяти путем выполнения в них однократной произвольной записи.

Затирание остаточной информации

• затирание освобождаемых блоков на файловой системе;

• удаление информации на жестких дисках и внешних носителях.

45

Регистрация событий ИБ

Фильтрация: • по описанию события;

• по интервалу времени;

• по настраиваемому фильтру.

Контроль печати: • начало печати документа;

• печать страницы документа;

• ошибка печати документа.

46

Аудит действий пользователей

• действия пользователей с защищаемыми объектами;

• сетевая активность пользователей;

• отчуждение информации.

47

Администрирование

Панель безопасности Secret Net LSP - графический интерфейс

Интерфейс командной строки - классический вариант работы в ОС Linux

ИЛИ

Защита терминальных сессий

Возможна установка на “тонкие клиенты”, работающие под ОС Linux, и совместная работа с СЗИ Secret Net (для ОС Windows), установленным на терминальном сервере.

Secret Net LSP Secret Net LSP Secret Net LSP

Secret Net

Поддерживаемые ОС Для защиты автоматизированных систем до класса 1Г и ИСПДн К1

• Альт Линукс СПТ 6.0.0 х86/х64; • Alt Linux 6.0.0 Centaurus x86/x64; • Red Hat Enterprise Linux 6.2 x86/x64; • Debian 6.0 3 x86/x64; • CentOS 6.2 x86/x64.

Тел: +7 (495) 980-2345 (многоканальный) Сайт компании: www.securitycode.ru Запрос дополнительной информации о продуктах: info@securitycode.ru По вопросам стоимости и покупки продуктов: sales@securitycode.ru Служба технической поддержки: support@securitycode.ru

Контакты