Автономный режим работы Secret Net

Защита входа в систему

·      Усиленная идентификация и аутентификация пользователей

·               В Secret Net 7 реализован механизм парольной аутентификации пользователей средствами СЗИ. Таким образом, использование электронных идентификаторов для усиленной аутентификации не является обязательным.

·               Идентификация и аутентификация пользователя совместно с ОС Windows с помощью программно-аппаратных средств. В качестве устройств для ввода в нее идентификационных признаков могут быть использованы следующие устройства:

·                   iButton;

·                   eToken Pro, eToken PRO Java (USB, смарт-карты);

·                   Rutoken.

·               Усиленная аутентификация пользователей с использованием аппаратной поддержки ПАК «Соболь» и Secret Net Card.

·      Защита от загрузки с внешних носителей

Встроенный в СЗИ программный механизм защиты информации на локальных дисках компьютера предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера (например, загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере). Компонент лицензируется отдельно и подключается при необходимости.

Совместно с Secret Net могут быть использованы средства аппаратной поддержки, обеспечивающие защиту компьютера от несанкционированной загрузки с внешних носителей:

·              программно-аппаратный комплекс «Соболь» (версии 2.1 и 3.0);

·              Secret Net Card.

С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съмных носителей. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определенного времени после включения питания на плату не было передано управление, она блокирует работу всей системы.

Защита терминальных сессий

Появилась возможность использования либо усиленной аутентификации пользователя с удаленного терминала («тонкого клиента»*), либо с использованием собственной аутентификации СЗИ (по логину/паролю, без использования персональных идентификаторов).

*Под «тонкими» клиентами понимаются любые клиенты, размещенные на аппаратных или программных платформах, исключающих установку на них клиентского ПО Secret Net.

Разграничение доступа

·      Управление доступом пользователей к конфиденциальным данным

Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один из трех уровней конфиденциальности: «Не конфиденциально», «Конфиденциально», «Строго конфиденциально», а каждому пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.

·      Разграничение доступа к устройствам

Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить либо разрешить пользователям работу с любыми портами/устройствами.
Разграничивается доступ к следующим портам/устройствам:

·              последовательные и параллельные порты;

·              сменные, логические и оптические диски;

·              USB-порты.

Поддерживается контроль подключения устройств на шинах USB, PCMCIA, IEEE1394 по типу и серийному номеру, права доступа на эти устройства задаются не только для отдельных пользователей, но и для групп пользователей.
Также существует возможность запретить использование сетевых интерфейсов — Ethernet, 1394 FireWire, Bluetooth, IrDA, Wi-Fi.

·      Разграничение доступа пользователей к принтерам

Контроль печати с возможностью теневого копирования, универсальной настраиваемой маркировки документов и назначения прав доступа и параметров принтеров. Т.е. при печати проверяются права на принтер, соответствие категории принтера категории печатаемого документа и делается теневая копия документа (опционально).

Доверенная информационная среда

·      Замкнутая программная среда

Для каждого пользователя компьютера формируется определенный перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, «червей» и шпионского ПО, а также использование ПК в качестве игровой приставки.

·      Контроль целостности

Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнaружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:

·              регистрация события в журнале Secret Net;

·              блокировка компьютера;

·              восстановление поврежденной/модифицированной информации;

·              отклонение или принятие изменений.

·      Контроль аппаратной конфигурации компьютера

Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирование на эти изменения. Предусмотрено два вида реакций:

·              регистрация события в журнале Secret Net;

·              блокировка компьютера.

Настройка производится:

·              для модели, класса или группы устройств;

·              индивидуально для каждого устройства.

·      Гарантированное затирание данных

Позволяет избежать утечек конфиденциальной информации при краже или утилизации оборудования. Осуществляется посредством многократной записи случайной информации на место удаляемого файла.

·      Функциональный контроль

Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС (т.е. к моменту начала работы пользователя) все ключевые компоненты Secret Net загружены и функционируют.

Защита информации в процессе хранения

·      Контроль печати конфиденциальной информации

Печать осуществляется под контролем системы защиты. При разрешенном выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Регистрация событий вывода документов на печать фиксируется в журнале Secret Net.

·      Теневое копирование информации

Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации.
Теневое копирование поддерживается для устройств следующих видов:

·              подключаемые сменные диски;

·              дисководы гибких дисков;

·              дисководы оптических дисков с функцией записи;

·              принтеры.

·      Регистрация событий

Система Secret Net 7 регистрирует все события, происходящие на компьютере: включение/выключение компьютера, вход/выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.

Удобство управления и настроек

·      Импорт и экспорт параметров

В Secret Net 7 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.

·      Формирование отчетов

В Secret Net предусмотрено получение различных отчетов о состоянии системы.
Отчеты могут содержать сведения: об установленном на компьютерах программном обеспечении;
настройках защитных механизмов и перечне защищаемых ресурсов; пользователях системы и настройках их параметров; установленных в системе комплексах «Соболь» и пользователях, имеющих к ним доступ; идентификаторах пользователей и режимах их использования; событиях, зафиксированных в журналах.