Секрет нет программа что это

Содержание

Секрет нет программа что это

СЗИ «Secret Net» представляет собой программный комплекс позволяющий осуществлять контроль и управление доступом к информации, циркулирующей в АС. В системе «Secret Net» предусмотрена аппаратная поддержка внешней защиты. Она может обеспечиваться Secret Net TM Card, электронным замком «Соболь» и т.д..

Рассмотрим реализацию защитных механизмов используемых в СЗИ «Secret Net» по аналогии с рассмотренным выше ПАК «Аккорд», т.е. привязываясь к пунктам РД. «АС. Защита от НСД к информации. Классификация АС и требования по защите информации.».

СЗИ «Secret Net» имеет архитектуру клиент-сервер, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть содержит защитные механизмы и обеспечивает хранение части данных в собственной базе данных.

Требование идентификации и аутентификации (подсистема управления доступом).

Идентификация (распознавание) и аутентификация (проверка подлинности) пользователей осуществляется при каждом входе пользователя в систему. При загрузке компьютера система «Secret Net» запрашивает у пользователя его идентификатор и пароль. Затем проверяется, был ли зарегистрирован в системе пользователь с указанным именем и правильно ли указан его пароль.

Secret Net Studio автономный

Если идентификатор и пароль указаны верно, то пользователю разрешен вход в систему. В качестве идентификаторов могут использоваться: уникальные имена и уникальные номера аппаратных устройств идентификации (персональных идентификаторов).

Имя присваивается пользователю при создании в системе «Secret Net» объекта «пользователь», который будет соответствовать данному реальному пользователю компьютера. Если компьютер оснащен устройством чтения персональных идентификаторов, пользователю может быть присвоен такой персональный идентификатор, уникальный номер которого будет однозначно его идентифицировать.

Аутентификация пользователя осуществляется после его идентификации для подтверждения того, что пользователь действительно является тем, кем представился. При аутентификации пользователя осуществляется проверка правильности указанного им пароля. В «Secret Net» поддерживается работа с паролями длиной до 16 символов.

Если пароль указан неверно, подается звуковой сигнал и в системном журнале регистрируется попытка несанкционированного доступа к компьютеру. При неоднократном вводе неверного пароля блокируется клавиатура рабочей станции, подается звуковой сигнал, на экран выдается соответствующее сообщение. А после нажатия любой клавиши осуществляется перезагрузка рабочей станции.

Идентификаторы пользователей (имена и номера аппаратных идентификаторов) хранятся в базе данных системы защиты в открытом виде. А пароли пользователей хранятся в базе данных системы защиты в виде значения хеш-функции от пароля пользователя. Пароль может быть изменен только самим пользователем или администратором безопасности (пользователем, имеющим соответствующие привилегии) при помощи специальных программных средств. Администратор может назначать пользователям новые пароли, но не имеет возможности узнать значения старых паролей. Факт смены пароля пользователя регистрируется в системном журнале.

Если на компьютере не установлена плата аппаратной поддержки внешней защиты, то средства идентификации и аутентификации системы «Secret Net» можно обойти, загрузив операционную систему с гибкого диска. Функция программной защиты от загрузки с гибкого диска позволяет предотвратить такую возможность, сделав «невидимым» жесткий диск компьютера. При использовании этой функции изменяются системные области локальных жестких дисков компьютера. В результате, при загрузке с гибкого диска без системы защиты, пользователь не сможет работать с жесткими дисками компьютера. Для работы с защищенными дисками будут необходимы специальные программные средства чтения системных областей жестких дисков, которые доступны только при загрузке системы защиты.

Требование реализации дискреционного и мандатного механизмов разграничения доступа (подсистема управления доступом).

Все объекты системы «Secret Net» подразделяются на два основных типа: ?объекты управления, с помощью которых осуществляется управление средствами защиты компьютера (пользователи, группы пользователей, ресурсы компьютера);объекты, защищаемые средствами системы защиты, или защищаемые объекты (ресурсы компьютера).

Ресурсы компьютера являются как защищаемыми объектами, так и объектами, с помощью которых осуществляется управление средствами защиты компьютера. Все ресурсы компьютера в системе «Secret Net»делятся на три типа:

· ?ресурсы файловой системы;

· ?ресурсы операционной системы.

Ниже приводится перечень ресурсов компьютера, защищаемых средствами системы «Secret Net» в соответствии с типом, к которому они принадлежат.

Локальные логические диски и размещающиеся на них каталоги и файлы

Локальные и сетевые принтеры, коммуникационные порты, физические диски, дисководы, приводы CD ROM

Системные файлы, ключи системного реестра, системное время, диалоги настройки параметров системы

Система защиты «Secret Net» использует стандартные механизмы Windows NT для Избирательного (дискреционного) управления доступом. Непосредственное управление осуществляется с помощью диалогов «Secret Net». Избирательный доступ на основе предоставления прав и привилегий.

Права — это правила доступа, ассоциированные с ресурсом, привилегия — предоставляемая пользователю возможности выполнения тех или иных действий с ресурсом. Привилегии имеют приоритет над правами. Привилегии пользователю могут быть назначены индивидуально или быть получены от группы поле его включения в нее. Групповые привилегии действуют, даже если индивидуальные привилегии отсутствуют.

Система «Secret Net» включает в свой состав средства, позволяющие организовать полномочное (мандатное) управление доступом (МПУД) пользователей к конфиденциальной информации. Полномочное управление доступом осуществляется только по отношению к каталогам и распространяется на все файлы и подкаталоги, находящиеся в них.

При организации полномочного управления доступом для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Всем каталогам, находящимся на локальных дисках и подключенных сетевых дисках компьютера, назначается категория конфиденциальности, которая определяется специальной меткой, устанавливаемой на каталог.

Категории конфиденциальности соответствует уровень доступа к конфиденциальной информации, устанавливаемый для пользователей компьютера. Используются три категории конфиденциальности информации: «Нет», «Конфиденциально», «Строго конфиденциально». Доступ к конфиденциальным каталогам и находящимся в них файлам осуществляется следующим образом.

Когда пользователь (программа, запущенная пользователем) осуществляет попытку доступа к конфиденциальному каталогу или находящемуся в нем файлу, диспетчер доступа «Secret Net» определяет категорию конфиденциальности данного ресурса, считывая установленную на каталог метку конфиденциальности. Затем категория конфиденциальности ресурса сопоставляется с уровнем допуска пользователя к конфиденциальной информации.

Если текущий пользователь не превышает свой уровень допуска, осуществляя доступ к конфиденциальному ресурсу, система защиты санкционирует доступ к ресурсу. В противном случае система защиты блокирует доступ к ресурсу. При работе системы «Secret Net» в режиме полномочного управления доступом контролируются потоки конфиденциальной информации.

Это позволяет, например, предотвратить копировать конфиденциальные документы в не конфиденциальные области дисков и запретить свободный доступ к принтерам и коммуникационному оборудованию. Печать конфиденциальных документов в этом случае осуществляется только встроенными средствами системы «Secret Net».

Компонента управления доступом к ресурсам включается в Explorer, входящий в состав ОС Windows, и позволяет управлять степенью конфиденциальности сведений, хранимых в файлах на локальных и сетевых дисках. Степень конфиденциальности сведений определяется категорией конфиденциальности, которая присваивается каталогам, содержащим конфиденциальную информацию.

Система «Secret Net» поддерживает три категории конфиденциальности информации: «отсутствует» (информация доступна всем пользователям), «конфиденциально», «строго конфиденциально». Драйвер полномочного управления доступом контролирует доступ пользователей к файлам, содержащимся в конфиденциальных каталогах. Драйвер сравнивает уровень допуска пользователя к конфиденциальной информации и категорию конфиденциальности, присвоенную каталогу, к файлам которого осуществляет доступ пользователь. В том случае, если уровень допуска пользователя не позволяет ему осуществить доступ к файлу — доступ блокируется. При этом драйвер полномочного управления доступом оповещает агент сервера безопасности о том, что произошла попытка НСД.

В системе защиты так же существуют средства, позволяющие без использования системы атрибутов ограничить доступ пользователей к исполняемым файлам и ограничить их круг только теми программами, которые действительно необходимы ему для выполнения своих служебных обязанностей. Для этой цели применяется механизм замкнутой программной среды, когда пользователю определяется перечень программ, разрешенных для запуска.

Требование регистрации событий (подсистема регистрации и учёта).

Настройка параметров механизмов защиты и средств управления Secret Net 7

В системе Secret Net информационная безопасность компьютеров обеспечивается механизмами защиты. Механизм защиты — совокупность настраиваемых программных средств, разграничивающих доступ к информационным ресурсам, а также осуществляющих контроль действий пользователей и регистрацию событий, связанных с информационной безопасностью.

Функции администратора безопасности

Функциональные возможности Secret Net позволяют администратору безопасности решать следующие задачи:

усилить защиту от несанкционированного входа в систему;
разграничить доступ пользователей к информационным ресурсам на основе принципов избирательного и полномочного управления доступом и замкнутой программной среды;
контролировать и предотвращать несанкционированное изменение целостности ресурсов;
контролировать вывод документов на печать;
контролировать аппаратную конфигурацию защищаемых компьютеров и предотвращать попытки ее несанкционированного изменения;
загружать системные журналы для просмотра сведений о событиях, произошедших на защищаемых компьютерах;
не допускать восстановление информации, содержавшейся в удаленных файлах;
управлять доступом пользователей к сетевым интерфейсам компьютеров.

Для решения перечисленных и других задач администратор безопасности использует средства системы Secret Net и операционной системы (ОС) Windows.

Основными функциями администратора безопасности являются:

настройка механизмов защиты, гарантирующая требуемый уровень безопасности ресурсов компьютеров;
контроль выполняемых пользователями действий с целью предотвращения нарушений информационной безопасности.

Параметры механизмов защиты и средства управления

Параметры механизмов защиты Secret Net в зависимости от места их хранения в системе и способа доступа к ним можно разделить на следующие группы:

параметры объектов групповой политики;
параметры пользователей;
атрибуты ресурсов;
параметры механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).

Описание параметров объектов групповой политики

К общим параметрам безопасности ОС Windows добавляются параметры Secret Net. Эти параметры применяются на компьютере средствами групповых политик и действуют в рамках локальной политики безопасности. В системе Secret Net предусмотрены возможности настройки параметров групповых политик в стандартных оснастках ОС Windows и в программе оперативного управления.

В стандартных оснастках ОС Windows параметры Secret Net представлены в узле «Параметры безопасности» иерархии узлов групповой политики.

Для просмотра и изменения параметров в стандартных оснастках ОС Windows:

Вызовите оснастку «Локальная политика безопасности», нажать кнопку «Пуск» и в меню вызова программ выбрать команду «Код Безопасности | Secret Net | Локальная политика безопасности»
Перейдите к разделу » Параметры безопасности | Параметры Secret Net».

По умолчанию раздел «Параметры Secret Net» содержит следующие группы параметров:

Управление режимами работы механизмов полномочного управления доступом и контроля печати.

Настройка параметров хранения локального журнала Secret Net.

Управление механизмом затирания удаляемой информации.

Управление механизмом теневого копирования.

Управление перенаправлением локальных устройств и ресурсов

для терминальных подключений.

Управление привилегиями пользователей в системе Secret Net:

• для работы с локальным журналом Secret Net;

• для работы в условиях замкнутой программной среды;

Параметры настройки системы могут быть сгруппированы по принадлежности к защитным механизмам. Переключение режима группировки параметров осуществляется с помощью специальных кнопок панели инструментов или команд в меню «Вид» («По группам» и «По подсистемам»).

Для настройки параметров объектов политик безопасности:

Вызовите оснастку для управления параметрами объектов групповой политики и перейдите к разделу «Параметры безопасности | Параметры Secret Net».
Выберите папку «Настройки подсистем».
Вызовите контекстное меню для нужного параметра (см. таблицу ниже) и выберите в нем команду «Свойства».

На экране появится диалог настройки параметра.

Настройте параметры безопасности согласно приведенной таблице:

Для настройки событий, регистрируемых в журнале:

Вызвать оснастку для управления параметрами объектов групповой политики и перейдите к разделу «Параметры безопасности | Параметры Secret Net».
Выбрать раздел «Регистрация событий».

В правой части окна появится список регистрируемых событий.

В списке событий выбрать элемент с именем события, для которого необходимо изменить режим регистрации, и вызвать диалог настройки параметра.
Установить отметку в поле «отключена» (чтобы событие не регистрировалось в журнале) или «включена» (чтобы включить регистрацию) и нажмите кнопку «ОК».
Настроить события согласно таблице:

Вход в систему в административном режиме

При штатном функционировании системы Secret Net вход любого пользователя компьютера, включая администратора, должен выполняться по одинаковым правилам, установленным соответствующими механизмами защиты. Во время загрузки компьютера перед входом пользователя система защиты проводит инициализацию компонентов и их функциональный контроль. После успешного проведения всех проверок вход в систему разрешается.

В тех случаях, когда необходимо получить доступ к компьютеру в обход действующих механизмов или прервать выполнение инициализации компонентов, администратор может активировать специальный административный режим входа. Применение административного режима входа может потребоваться, при повторяющихся ошибках функционального контроля, приводящих к длительному ожиданию инициализации компонентов.

Примечание.

Административный режим входа следует использовать только в крайних случаях для восстановления нормального функционирования системы. Выполнив вход в административном режиме, устраните возникшую проблему и перезагрузите компьютер.

Для входа в систему в административном режиме:

Перезагрузите компьютер.
Во время загрузки компьютера при появлении сообщений об инициализации системных сервисов Secret Net нажмите клавишу . Удерживайте клавишу или периодически нажимайте ее до появления экрана приветствия (приглашение на вход в систему).
Выполните стандартные действия процедуры входа в систему.

Комплект «Постоянная защита» СЗИ Secret Net Studio 8

Secret Net Studio – комплексное решение для защиты данных, инфраструктуры серверов и рабочих станций.

Оцените товар первым

Программное решение СЗИ Secret Net Studio является комплексным решением задач для защиты рабочих станций, серверов (на уровне данных, приложений, операционной системы и различных периферийных устройств). В процессе инсталляции приложения программа создает межсетевой экран, благодаря которым предотвращается утечка, подмена и порча конфиденциальной информации. Во всем комплекте предусмотрен русскоязычный интерфейс.

Задачи, которые решает Secret Net Studio:

Защита рабочих станций и серверов от вирусов и вредоносных программ.
Защита данных от несанкционированного доступа.
Защита от различных сетевых атак.
Защита от подделки или перехвата сетевого трафика внутри локальной сети.
Контроль утечек и каналов распространения защищаемой информации.
Защита от действий инсайдеров.
Разграничение доступа к конфиденциальной информации и ресурсам.
Защита от краж информации при утере носителей.
Полное соответствие требованиям регуляторов к защите персональных данных, государственных информационных систем, автоматизированных систем управления и государственной тайны.
Защита объектов критической информационной инфраструктуры (КИИ).

Эффективность управления

Решение поддерживает единую систему управления продуктами для защиты Windows, Linux, а также платы доверенной загрузки. Систему можно масштабировать для защиты десятков тысяч рабочих станций и серверов.

Многоуровневая защита

Единый агент рационально использует ресурсы компьютера для защиты от вирусов, сетевых атак, и несанкционированного доступа к защищаемым данным.

Проверенное решение

Secret Net Studio – стандартное решение для ряда особенно важных отраслей российской экономики в области защиты конфиденциальной информации, включая защиту данных, связанных с государственной тайной.

Соответствие требованиям

Secret Net Studio содержит готовые шаблоны настроек безопасности, которые обеспечивают и отслеживают уровень защиты ИТ–инфраструктуры, запрашиваемый регулятором. При этом со стороны обслуживающих специалистов требуются минимальные усилия.

Наличие программной сегментации

Возможность проверки имени пользователя, компьютера и исполняемого процесса перед установкой соединения.
Отсутствие влияния на сетевую топологию.

Масштабируемость системы управления

До десяти тысяч управляемых ПК на один сервер управления.
До 1000 зарегистрированных USB–устройств на автономном рабочем месте.
Возможность объединения серверов управления в иерархическую структуру.

Защита от несанкционированного доступа к конфиденциальным данным

Разграничение доступа к файлам и к NTFS–потокам.
До 16 уровней конфиденциальности для мандатной системы разграничения доступа.
Низкая задержка при распечатке «грифованных» файлов большого размера.

Готовые шаблоны настроек

Наличие шаблона под требования 17, 21, 239 приказов ФСТЭК.
Наличие шаблона под требования ГОСТ 57580.1–2017 для финансовых организаций.
Адаптация встроенных шаблонов под собственные требования.

Защита от несанкционированного доступа

Дискреционное и мандатное управление доступом к файлам
Работа в любой файловой системе, поддерживаемой Windows, включая FAT.
Назначение меток конфиденциальности через свойства папок и директорий.
Контроль потоков, возможность строгого контроля терминальных подключений.
Выбор уровня конфиденциальности сессии при входе в систему или автоматическое назначение максимального уровня конфиденциальности.
Усиленный вход в систему
Поддержка двухфакторной аутентификации и электронных идентификаторов eToken,
Rutoken, ESMART, JaCarta, iButton и других.
Собственная усиленная парольная аутентификация и парольные политики.
Политики блокировки сеанса при неактивности или изъятии идентификатора.
Работа с локальными и доменными пользователями.
Поддержка терминальных серверов и VDI.
Гибкие настройки ограничения доступа.
Сквозная аутентификация пользователя при использовании ПАК «Соболь».
Работа с идентификаторами iButton, подключенными к ПАК «Соболь».
Теневое копирование
Создание теневых копий при копировании документов на съемные носители и выводе на печать.
Защищенное хранилище для теневых копий.
Локальное управление теневыми копиями.
Контроль заполнения хранилища.
Контроль печати
Настройка отдельных принтеров и правил для всех подключенных устройств.
Дискреционное и полномочное управление доступом.
Поддержка виртуальных принтеров.
Ограничение печати документов в зависимости от уровня конфиденциальности.
Маркировка документов.
Затирание данных
Настройка количества циклов затирания.
Поддержка FAT, NTFS и REFS.
Затирание данных на локальных и сменных носителях.
Замкнутая программная среда и контроль целостности данных
Создание списка разрешенных к запуску приложений.
Автопостроение зависимостей приложений.
Контроль файлов, директорий и реестра.
Настройка времени контроля.
Выбор варианта реакции на события ИБ.
Управление контролем целостности файлов с помощью ПАК «Соболь».
Контроль устройств
Дискреционное и полномочное управление доступом к устройствам.
Контроль по группам, классам, моделям и отдельным устройствам.
Иерархическое наследование настроек.
Контроль подключения и отключения устройств.
Управление перенаправлением устройств в терминальных подключениях.
Антивирусная защита и обнаружение вторжений
Сигнатурные и эвристические методы поиска вредоносного ПО.
Постоянная защита, сканирование из контекстного меню и по расписанию.
«Белые» списки директорий и файлов.
Выбор профилей сканирования.
Локальные серверы обновлений.
Эвристический и сигнатурный анализ входящего сетевого трафика.
Автоматическая временная блокировка атакующих хостов.
Команда оперативного снятия блокировки.
Защита сетевого взаимодействия
Межсетевой экран
Фильтрация трафика на L3, L4 и L7.
Настройка реакции на срабатывание правил.
Возможность задать действие правил по дням недели и времени суток.
Шаблоны для различных сетевых служб.
Авторизация сетевых соединений
Разграничение доступа для терминальных серверов.
Защита от атак Man–in–the–middle.
Программная сегментация сети без изменения сетевой топологии.
Сокрытие сетевого трафика.
Шифрование данных
Шифрование контейнеров произвольного размера.
Хранение ключевой информации на электронных ключах или съемных дисках.
Резервное копирование ключей.
Настраиваемые права доступа к данным в контейнере.
Устойчивость к атакам
Независимый от ОС модуль «Доверенная Среда»
Внешний контроль целостности защитных процессов СЗИ.
Внешний контроль целостности драйверов в системе.
Защита системы управления от действий локального администратора.
Централизованное управление и мониторинг
Централизованное управление клиентами Secret Net LSP.
Шаблоны настроек для приведения системы в соответствие требованиям законодательства РФ.
Централизованное развертывание, установка исправлений и обновлений.
Иерархические политики для управления настройками защитных компонентов.
Настраиваемые сигналы тревоги, разделение событий по степени значимости.
Группировка защищаемых компьютеров для наблюдения и раздельного отображения
состояния.
Получение журналов из ПАК «Соболь».
Оповещение о событиях ИБ в панели управления и по e–mail.
Централизованное управление безопасностью в несвязанных доменах Active Directory.

Сертифицирован по требованиям ФСТЭК

4–й уровень доверия

5–й класс защищенности СВТ

4–й класс защиты СКН

4–й класс защиты САВЗ

4–й класс защиты СОВ уровня хоста

4–й класс защиты МЭ типа «В»

Сертифицирован по требованиям ФСБ

Класс защиты от НСД АК3

Сертифицирован по требованиям ФСТЭК для Secret Net Studio –C

2–й уровень контроля отсутствия НДВ

3–й класс защищенности СВТ

2–й класс защиты МЭ типа «В»

Secret Net Studio 8.6

Компонент «Клиент»

Windows 8.1 Rollup Update KB2919355

Windows Server 2019

Windows Server 2016

Windows Server 2012/Server 2012 R2 Rollup Update KB2919355

Windows Server 2008 R2 SP1

Поддерживаются 32 – и 64 – разрядные версии ОС с установленными пакетами обновлений не ниже указанных

Минимально – 2 ГБ

Рекомендуется – 4 ГБ

ПАК Соболь (версии 3.0.9, 3.1, 4.2, 4.3)

Kaspersky Endpoint Security (версии 10.03, 11)

Microsoft Office (версии 2010 – 2019)

Компонент «Сервер безопасности»

Windows Server 2019

Windows Server 2016

Windows Server 2012/Server 2012 R2 Rollup Update KB2919355

Windows Server 2008 R2 SP1

Минимально – 8 ГБ

Рекомендуется – 16 ГБ

IIS (из состава соответствующей ОС)

СУБД MS SQL 2008 R2 SP1/2012 SP1/2014 (включая Express–редакции)

Компонент «Клиент» – для сервера безопасности

Компонент «Центр управления»

Windows 8.1 Rollup Update KB2919355

Windows Server 2019

Windows Server 2016

Windows Server 2012/Server 2012 R2 Rollup Update KB2919355

Windows Server 2008 R2 SP1

Поддерживаются 32 – и 64 – разрядные версии ОС с установленными пакетами обновлений не ниже указанных

Минимально – 2 ГБ

Рекомендуется – 4 ГБ

Минимально – 4 ГБ

Рекомендуется – 10 ГБ

Internet Explorer версии 8 или выше

.NET Framework 4.5 (устанавливается автоматически)

Источник: gendalf.ru