Secret net studio инструкция пользователя - Инструкции, руководства, мануалы

Средство защиты информации

Secret Net Studio – C

Руководство администратораПринципыпостроения

RU.88338853.501400.002 91 1

Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки изделия. На него распространяются все условиялицензионного соглашения. Без специального письменного разрешения компании «КодБезопасности» этот документ или его часть в печатном или электронном виде не могут бытьподвергнуты копированию и передаче третьим лицам с коммерческой целью.

Информация, содержащаяся в этом документе, может быть изменена разработчиком без спе-циального уведомления, что не является нарушением обязательств по отношению к пользо-вателю со стороны компании «Код Безопасности».

Почтовый адрес: 115127, Россия, Москва, а/я 66ООО «Код Безопасности»

Телефон: 8 495 982-30-20

E-mail: [email protected]

Web: https://www.securitycode.ru

2Secret Net Studio – C. Руководство администратораПринципы построения

ОглавлениеСписок сокращений 5

Введение 6

Общие сведения 7Назначение системы 7Основные функции 7Состав устанавливаемых компонентов 8

Назначение компонентов 8Лицензии на использование подсистем 9

Составные части клиента Secret Net Studio 10Группы функциональных компонентов клиента 10Базовая защита 10

Ядро 11Агент 11Средства локального управления 11Подсистема локальной аутентификации 11Подсистема контроля целостности 12Подсистема работы с аппаратной поддержкой 12Подсистема самозащиты 12

Подключаемые функциональные компоненты клиента 12Локальная защита 12Доверенная среда 12Сетевая защита 12

Механизмы защиты, реализуемые клиентом 13Защита входа в систему 13

Идентификация и аутентификация пользователей 13Блокировка компьютера 13Аппаратные средства защиты 14Общие сведения об интеграции Secret Net Studio и комплексов «Соболь» 16

Функциональный контроль подсистем 17Самозащита 18Регистрация событий 18Контроль целостности 18Дискреционное управление доступом к ресурсамфайловой системы 19Затирание удаляемой информации 21Контроль подключения и изменения устройств компьютера 22Разграничение доступа к устройствам 22Замкнутая программная среда 23Полномочное управление доступом 24Контроль печати 26Теневое копирование выводимых данных 26Защита информации на локальных дисках 27Шифрование данных в криптоконтейнерах 28Паспорт ПО 30Доверенная среда 30Межсетевой экран 31Авторизация сетевых соединений 31

Организация централизованного управления системой 32Взаимодействующие компоненты 32

Сервер безопасности 32Программа управления 32Клиент в сетевом режиме функционирования 32

Домены безопасности 33Сетевая структура Secret Net Studio 33

3Secret Net Studio – C. Руководство администратораПринципы построения

Управление доменными пользователями 34Централизованное хранение данных 34

Приложение 35Необходимые права для установки и управления 35

Установка и удаление компонентов 35Настройка механизмов и управление параметрами объектов 36Работа с программой управления в централизованном режиме 37

Оценка размера БД для сервера безопасности 38Рекомендации по настройке для соответствия требованиям о защите инфор-мации 40

Автоматизированные системы 40Государственные информационные системы 46Информационные системы персональных данных 51

Применение параметров после настройки 57

Документация 60

4Secret Net Studio – C. Руководство администратораПринципы построения

Список сокращенийAD Active Directory

API Application Programming Interface

BIOS Basic Input/Output System

FAT File Allocation Table

GPT GUID Partition Table

HTTPS Hypertext Transfer Protocol Secure

IEEE Institute of Electrical and Electronics Engineers

IMAPI Image Mastering Application Programming Interface

MBR Master Boot Record

MS Microsoft

MSDN Microsoft Developers Network

NTFS New Technology File System

PCMCIA Personal Computer Memory Card International Association

PKI Public Key Infrastructure

ReFS Resilient File System

SSL Secure Socket Layer

TLS Transport Layer Security

UDF Universal Disk Format

UEFI Unified Extensible Firmware Interface

USB Universal Serial Bus

VPN Virtual Private Network

XML Extensible Markup Language

XPS XML Paper Specification

АС Автоматизированная система

БД База данных

ДС Доверенная среда

ЗПС Замкнутая программная среда

ИС Информационная система

КЦ Контроль целостности

ОС Операционная система

ОУ Оперативное управление

ПАК Программно-аппаратный комплекс

ПО Программное обеспечение

РДУ Разграничение доступа к устройствам

СБ Сервер безопасности

СЗИ Средство или система защиты информации

СУБД Система управления базами данных

ФСТЭК Федеральная служба по техническому и экспортному контролю

5Secret Net Studio – C. Руководство администратораПринципы построения

ВведениеДанное руководство предназначено для администраторов изделия «Средство за-щиты информации Secret Net Studio – C» RU.88338853.501400.002 (далее —Secret Net Studio, система защиты, изделие). В нем содержатся сведения, необ-ходимые администраторам для ознакомления с принципами работы и воз-можностями применения Secret Net Studio.

Условныеобозначения

В руководстве для выделения некоторых элементов текста используется рядусловных обозначений.Внутренние ссылки обычно содержат указание на номер страницы с нужнымисведениями.Важная и дополнительная информация оформлена в виде примечаний. Степеньважности содержащихся в них сведений отображают пиктограммы на полях.• Так обозначается дополнительная информация, которая может содержать

примеры, ссылки на другие документы или другие части этого руководства.• Такой пиктограммой выделяется важная информация, которую необходимо

принять во внимание.• Эта пиктограмма сопровождает информацию предостерегающего характера.

Исключения. Примечания могут не сопровождаться пиктограммами. А на полях, помимо пикто-грамм примечаний, могут быть приведены и другие графические элементы, например, изображениякнопок, действия с которыми упомянуты в тексте расположенного рядом абзаца.

Другиеисточникиинформации

Сайт в интернете. Вы можете посетить сайт компании «Код Безопасности»(https://www.securitycode.ru/) или связаться с представителями компании поэлектронной почте ([email protected]).Учебные курсы. Освоить аппаратные и программные продукты компании «КодБезопасности» можно в авторизованных учебных центрах. Перечень учебныхцентров и условия обучения представлены на сайте компанииhttps://www.securitycode.ru/company/education/training- courses/ . Связаться cпредставителем компании по вопросам организации обучения можно по элек-тронной почте ([email protected]).

6Secret Net Studio – C. Руководство администратораПринципы построения

Глава 1Общие сведенияНазначение системы

Система Secret Net Studio предназначена для обеспечения безопасности инфор-мационных систем на компьютерах, функционирующих под управлением опера-ционных системMS Windows 10/8/7 и Windows Server 2019/2016/2012/2008.При использовании соответствующих подсистем изделие обеспечивает:• защиту от несанкционированного доступа к информационным ресурсам

компьютеров;• контроль устройств, подключаемых к компьютерам;• межсетевое экранирование сетевого трафика;• авторизацию сетевых соединений.Управление функционированием системы Secret Net Studio может осуществ-ляться централизованно или локально.

Основные функцииСистема Secret Net Studio реализует следующие основные функции:• Контроль входа пользователей в систему (идентификация и аутентификация

пользователей).• Дискреционное разграничение доступа к файловым ресурсам, устройствам,

принтерам.• Мандатное (полномочное) разграничение доступа к файловым ресурсам,

устройствам, принтерам, сетевым интерфейсам, включая:• контроль потоков конфиденциальной информации в системе;• контроль вывода информации на съемные носители.

• Контроль состояния устройств компьютера с возможностями:• блокирования компьютера при изменении состояния заданных

устройств;• блокирования подключения запрещенного устройства (устройства из

запрещенной группы).• Теневое копирование информации, выводимой на внешние носители и на пе-

чать.• Автоматическая маркировка документов, выводимых на печать.• Контроль целостности файловых объектов и реестра.• Создание замкнутой программной среды для пользователей (контроль запус-

ка исполняемых модулей, загрузки динамических библиотек, исполненияскриптов по технологии Active Scripts).

• Очистка оперативной и внешней памяти при ее перераспределении.• Изоляция процессов (выполняемых программ) в оперативной памяти.• Защита содержимого локальных жестких дисков при несанкционированной

загрузке операционной системы.• Создание доверенной среды (внешний по отношению к ОС контроль работы

ОС и системы защиты, установленных на компьютере).• Межсетевое экранирование сетевого трафика.• Авторизация сетевых соединений.• Управление ПАК «Соболь» (управление пользователями, контролем целост-

ности, получение событий безопасности).• Функциональный контроль ключевых защитных подсистем.

7Secret Net Studio – C. Руководство администратораПринципы построения

• Самозащита от несанкционированных воздействий на ключевые защитныеподсистемы.

• Регистрация событий безопасности.• Централизованное и локальное управление параметрами работы механизмов

защиты.• Централизованное и локальное управление параметрами работы пользо-

вателей.• Мониторинг и оперативное управление защищаемыми компьютерами.• Централизованный сбор, хранение и архивирование журналов.

Состав устанавливаемых компонентовСистема Secret Net Studio состоит из следующих программных пакетов, устанав-ливаемых на компьютерах:1. «Secret Net Studio» (далее — клиент).2. «Secret Net Studio — Сервер безопасности» (далее — сервер безопасности или

СБ).3. «Secret Net Studio — Центр управления» (далее — программа управления).

Назначение компонентовКлиентКлиент системы Secret Net Studio предназначен для реализации защиты ком-пьютера, на котором установлен данный компонент. Защита реализуется путемприменения защитных механизмов, расширяющих и дополняющих средствабезопасности ОС Windows. Защитные механизмы — это совокупность настра-иваемых программных средств, входящих в состав клиента и обеспечивающихбезопасное использование ресурсов.Клиент может функционировать в следующих режимах:• автономный режим— предусматривает только локальное управление защит-

ными механизмами;• сетевой режим — предусматривает локальное и централизованное управ-

ление защитными механизмами, а также централизованное получениеинформации и изменение состояния защищаемых компьютеров.

Режим функционирования определяется при установке клиентского ПО и можетбыть изменен в процессе эксплуатации клиента (см. документ [3]).

Сервер безопасностиСервер безопасности реализует возможности централизованного управленияклиентами в сетевом режиме функционирования. Данный компонент обес-печивает:• хранение данных централизованного управления;• координацию работы других компонентов в процессе централизованного

управления системой;• получение от клиентов и обработку информации о состоянии защищаемых

компьютеров;• управление пользователями и авторизацией сетевых соединений;• централизованный сбор, хранение и архивирование журналов.

Программа управленияПрограмма управления используется для централизованного управления серве-рами безопасности и клиентами в сетевом режиме функционирования. Данныйкомпонент обеспечивает:• управление параметрами объектов;

8Secret Net Studio – C. Руководство администратораПринципы построения

• отображение информации о состоянии защищаемых компьютеров и произо-шедших событиях тревоги;

• загрузку журналов событий;• оперативное управление компьютерами.

Лицензии на использование подсистемМеханизмы защиты системы Secret Net Studio доступны для использования приналичии соответствующих зарегистрированных лицензий. Лицензируютсяследующие механизмы:• механизмы, входящие в базовую защиту (обязательная лицензия);• дискреционное управление доступом;• контроль устройств;• затирание данных;• замкнутая программная среда;• полномочное управление доступом;• контроль печати;• защита дисков и шифрование данных;• межсетевой экран;• авторизация сетевых соединений;• паспорт ПО;• доверенная среда.

9Secret Net Studio – C. Руководство администратораПринципы построения

Глава 2Составные части клиента Secret Net StudioГруппы функциональных компонентов клиента

В состав клиента системы Secret Net Studio входят следующие функциональныекомпоненты:• основные программные службы, модули и защитные подсистемы (базовая за-

щита);• дополнительно подключаемые функциональные компоненты, условно разде-

ленные на следующие группы:• локальная защита;• доверенная среда;• сетевая защита.

Обобщенная структурная схема клиента представлена на следующем рисунке.

Базовая защитаВ базовую защиту входят следующие программные службы, модули и защитныеподсистемы:• ядро;• агент;• средства локального управления;• подсистема локальной аутентификации;• подсистема контроля целостности;• подсистема работы с аппаратной поддержкой;• подсистема самозащиты.

10Secret Net Studio – C. Руководство администратораПринципы построения

ЯдроСлужба ядра автоматически запускается на защищаемом компьютере при еговключении и функционирует на протяжении всего времени работы компьютера.Она осуществляет управление подсистемами и обеспечивает их взаимодействие.Ядро выполняет следующие функции:• обеспечивает обмен данными между подсистемами клиента и обработку пос-

тупающих команд;• обеспечивает доступ других компонентов к информации, хранящейся в

локальной базе данных Secret Net Studio;• обрабатывает поступающую информацию о событиях, связанных с безопас-

ностью системы, и регистрирует их в журнале Secret Net Studio.Подсистема регистрации является одним из элементов ядра клиента. Она пред-назначена для управления регистрацией событий, связанных с работой системызащиты. Такие события регистрируются в журнале Secret Net Studio. Эта инфор-мация поступает от подсистем Secret Net Studio, которые следят за происхо-дящими событиями. Перечень событий Secret Net Studio, подлежащихрегистрации, устанавливается администратором безопасности.В локальной БД Secret Net Studio хранится информация о настройках системы за-щиты, необходимых для работы защищаемого компьютера. Локальная БД раз-мещается в реестре ОСWindows и специальных файлах.

АгентАгентом является программный модуль в составе клиента, обеспечивающий вза-имодействие с сервером безопасности. Агент принимает команды от сервера безо-пасности и отправляет ему данные о состоянии компьютера.Агент используется только в сетевом режиме функционирования клиента.

Средства локального управленияСредства локального управления обеспечивают:• управление объектами защиты (устройствами, файлами, каталогами);• управление параметрами пользователей и защитных механизмов;• формирование заданий на контроль целостности;• просмотр локальных журналов.

Подсистема локальной аутентификацииПодсистема используется в механизме защиты входа в систему. Cовместно с ОСWindows подсистема обеспечивает:• проверку возможности входа пользователя в систему;• оповещение пользователя о реализованных в системе мерах защиты инфор-

мации и о последнем входе в систему;• оповещение остальных модулей о начале или завершении работы пользо-

вателя;• блокировку работы пользователя;• загрузку данных с персональных идентификаторов пользователя;• усиленную аутентификацию пользователя при входе в систему.При обработке входа пользователя в систему осуществляется формированиеконтекста пользователя: определение его привилегий, уровня допуска и др.Дополнительно выполняется функциональный контроль работоспособности сис-темы Secret Net Studio.

11Secret Net Studio – C. Руководство администратораПринципы построения

Подсистема контроля целостностиПодсистема контроля целостности обеспечивает проверку неизменности ресур-сов компьютера: каталогов, файлов, ключей и значений реестра. В составе меха-низма контроля целостности подсистема реализует защиту от подменыресурсов, сравнивая их с определенными эталонными значениями. Данная под-система выполняет контролирующие функции не при обращении пользователяк ресурсам, а при наступлении определенных событий в системе (загрузка, входпользователя, контроль по расписанию).

Подсистема работы с аппаратной поддержкойПодсистема используется в механизме защиты входа в систему для работы сустройствами аппаратной поддержки. Она обеспечивает взаимодействие сис-темы Secret Net Studio с определенным набором устройств и состоит из следу-ющих модулей:• модуль, обеспечивающий единый интерфейс обращения ко всем поддержи-

ваемым устройствам аппаратной поддержки;• модули работы с устройствами (каждый модуль обеспечивает работу с кон-

кретным устройством);• драйверы устройств аппаратной поддержки (если они необходимы).

Подсистема самозащитыДанная подсистема обеспечивает функционирование механизма самозащиты(см. стр.18).

Подключаемые функциональные компоненты клиента

Локальная защитаК группе локальной защиты относятся подсистемы, реализующие применениеследующих механизмов защиты:• контроль устройств;• контроль печати;• замкнутая программная среда;• полномочное управление доступом;• дискреционное управление доступом к ресурсамфайловой системы;• затирание данных;• защита информации на локальных дисках;• шифрование данных в криптоконтейнерах;• паспорт ПО.

Доверенная средаПодсистема «Доверенная среда» реализует применение одноименного меха-низма защиты.

Сетевая защитаК группе сетевой защиты относятся подсистемы, реализующие применениеследующих механизмов защиты:• межсетевой экран;• авторизация сетевых соединений.

12Secret Net Studio – C. Руководство администратораПринципы построения

Глава 3Механизмы защиты, реализуемые клиентомЗащита входа в систему

Защита входа в систему обеспечивает предотвращение доступа посторонних лицк компьютеру. К механизму защиты входа относятся следующие средства:• средства для идентификации и аутентификации пользователей;• средства блокировки компьютера;• аппаратные средства защиты от загрузки ОС со съемных носителей.

Идентификация и аутентификация пользователейИдентификация и аутентификация пользователя выполняются при каждом вхо-де в систему. Штатная для ОС Windows процедура входа предусматривает вводимени и пароля пользователя или использование аппаратных средств, под-держиваемых операционной системой.В системе Secret Net Studio идентификация пользователей может выполняться вследующих режимах:• «По имени» — для входа в систему пользователь может ввести свои учетные

данные (имя и пароль) или использовать аппаратные средства, поддержи-ваемые ОС;

• «Смешанный» — для входа в систему пользователь может ввести свои учет-ные данные (имя и пароль) или использовать персональный идентификатор,поддерживаемый системой Secret Net Studio;

• «Только по идентификатору» — каждый пользователь для входа в системудолжен обязательно использовать персональный идентификатор, поддержи-ваемый системой Secret Net Studio.

В качестве персональных идентификаторов в Secret Net Studio применяютсясредства идентификации и аутентификации на базе идентификаторов eToken,RuToken, JaCarta, ESMART или iButton. Чтобы использовать эти устройства, необ-ходимо зарегистрировать их в системе защиты (присвоить пользователям).Аутентификация пользователей может выполняться в усиленном режиме с до-полнительной проверкой пароля пользователя системой Secret Net Studio. В ре-жиме усиленной аутентификации пароли пользователей проверяются насоответствие требованиям политики паролей как в операционной системе, так ив Secret Net Studio.Дополнительно для защиты компьютеров в Secret Net Studio предусмотреныследующие режимы:• разрешение интерактивного входа только для доменных пользователей — в

этом режиме блокируется вход в систему локальных пользователей (под ло-кальными учетными записями);

• запрет вторичного входа в систему — в этом режиме блокируется запуск ко-манд и сетевых подключений с вводом учетных данных другого пользователя(не выполнившего интерактивный вход в систему).

Блокировка компьютераСредства блокировки компьютера предназначены для предотвращения несанк-ционированного использования компьютера. В этом режиме блокируются устрой-ства ввода (клавиатура и мышь) и экран монитора.

13Secret Net Studio – C. Руководство администратораПринципы построения

Блокировка при неудачных попытках входа в системуДля пользователей могут быть установлены ограничения на количество неу-дачных попыток входа в систему. В дополнение к стандартным возможностям ОСWindows (блокировка учетной записи пользователя после определенного числапопыток ввода неправильного пароля) система Secret Net Studio может контро-лировать неудачные попытки входа в систему при включенном режиме уси-ленной аутентификации по паролю. Если пользователь определенноеколичество раз вводит пароль, который не был сохранен в БД Secret Net Studio,— система блокирует компьютер. Разблокирование компьютера осуществляетсяадминистратором. Счетчик неудачных попыток обнуляется при удачном входепользователя или после разблокирования компьютера.

Временная блокировка компьютераРежим временной блокировки включается в следующих случаях:• если пользователь выполнил действие для включения блокировки;• если истек заданный интервал неактивности (простоя) компьютера.Для включения блокировки пользователь может применить стандартный способблокировки рабочей станции или изъять свой идентификатор из считывателя.Чтобы выполнялась блокировка при изъятии идентификатора, администраторунеобходимо настроить реакцию на это действие в политиках с помощью прог-раммы управления. Блокировка при изъятии идентификатора выполняется приусловии, что пользователь выполнил вход в систему с использованием этогоидентификатора.Блокировка по истечении заданного интервала неактивности осуществляетсяавтоматически и распространяется на всех пользователей компьютера.Для снятия временной блокировки необходимо указать пароль текущего пользо-вателя или предъявить его идентификатор.

Блокировка компьютера при работе защитных подсистемБлокировка компьютера предусмотрена и в алгоритмах работы защитных под-систем. Такой тип блокировки используется в следующих ситуациях:• при нарушении функциональной целостности системы Secret Net Studio;• при изменениях аппаратной конфигурации компьютера;• при нарушении целостности контролируемых объектов.Разблокирование компьютера в этих случаях осуществляется администратором.

Блокировка компьютера администратором оперативногоуправленияВ сетевом режиме функционирования блокировка и разблокирование защи-щаемого компьютера могут осуществляться удаленно по команде пользователяпрограммы управления.

Аппаратные средства защитыВ Secret Net Studio поддерживается работа с аппаратными средствами, пере-численными в следующей таблице.

Аппаратные средства Основные решаемые задачи

Средства идентификациии аутентификации на базеидентификаторов eToken,RuToken, JaCarta и ESMART

• Идентификация и аутентификация во время входапользователя после загрузки ОС.

• Идентификация и аутентификация во время входапользователя с удаленного компьютера.

• Снятие временной блокировки компьютера.• Хранение в идентификаторе пароля икриптографического ключа

14Secret Net Studio – C. Руководство администратораПринципы построения

Аппаратные средства Основные решаемые задачи

Устройство Secret Net Card • Идентификация и аутентификация во время входапользователя после загрузки ОС.

• Идентификация и аутентификация во время входапользователя с удаленного компьютера.

• Запрет загрузки ОС со съемных носителей.• Снятие временной блокировки компьютера.• Хранение в идентификаторе пароля икриптографического ключа

Программно-аппаратный комплекс(ПАК) «Соболь»

• Идентификация и аутентификация пользователей дозагрузки ОС.

• Идентификация и аутентификация во время входапользователя после загрузки ОС.

• Идентификация и аутентификация во время входапользователя с удаленного компьютера.

• Запрет загрузки ОС со съемных носителей.• Контроль целостности программной среды компьютерадо загрузки ОС.

• Снятие временной блокировки компьютера.• Хранение в идентификаторе пароля икриптографического ключа

Для идентификации и аутентификации пользователей могут применятьсяследующие средства:• идентификаторы iButton (поддерживаемые типы DS1992 — DS1996). Счи-

тывающее устройство iButton подключается к разъему платы ПАК «Соболь»или Secret Net Card;

• USB-ключи и смарт-карты (с любыми совместимыми USB-считывателями):

Продукт USB-ключи Смарт-карты

eToken PRO eToken PRO eToken Pro SC

eToken PRO (Java) eToken PRO (Java) eToken Pro (Java) SC

JaCarta PKI JaCarta PKIJaCarta PKI Flash

JaCarta PKI SC

JaCarta ГОСТ JaCarta ГОСТJaCarta PKI/ГОСТJaCarta ГОСТ Flash

JaCarta ГОСТ SC

JaCarta-2 ГОСТ JaCarta-2 ГОСТJaCarta-2 PKI/ГОСТ

JaCarta-2 PKI/ГОСТ SC

JaCarta SF/ГОСТ JaCarta SF/ГОСТ —

JaCarta PRO JaCarta PROJaCarta-2 PRO/ГОСТ

JaCarta PRO SCJaCarta-2 PRO/ГОСТ SC

JaCarta WebPass JaCarta WebPass —

JaCarta-2 SE JaCarta-2 SE —

JaCarta U2F JaCarta U2F —

JaCarta LT JaCarta LT —

RuToken S RuToken S (версия 2.0)RuToken S (версия 3.0)

—

RuToken ЭЦП RuToken ЭЦПRuToken ЭЦП 2.0RuToken ЭЦП TouchRuToken ЭЦП PKIRuToken ЭЦП Flash 2.0RuToken ЭЦП Bluetooth

RuToken ЭЦП SCRuToken ЭЦП 2.0 SC

RuToken Lite RuToken Lite RuToken Lite SC

15Secret Net Studio – C. Руководство администратораПринципы построения

Продукт USB-ключи Смарт-карты

ESMART Token ESMART Token ESMART Token SC

ESMART Token ГОСТ ESMART Token ГОСТESMART Token D

ESMART Token ГОСТ SCESMART Token D SC

Общие сведения об интеграции Secret Net Studio и комплексов»Соболь»Secret Net Studio может функционировать совместно с ПАК «Соболь». При этомПАК «Соболь» обеспечивает дополнительную защиту от несанкционированногодоступа к информационным ресурсам компьютера, на котором установлена сис-тема Secret Net Studio.

Примечание.В Secret Net Studio версии 8.4 и ниже реализована интеграция сПАК «Соболь» версий 3.х.В Secret Net Studio версии 8.5 и выше реализована интеграция с ПАК «Соболь» версии 4. ПАК «Со-боль» версии 4 является новым поколением продуктовой линейки ПАК «Соболь», архитектура и ин-терфейс которого значительно отличаются от ПАК «Соболь» версий 3.х. Особенности совместнойработы Secret Net Studio с ПАК «Соболь» версии 4 будут указаны отдельно либо в примечании к име-ющимся в руководствах сведениям.

В ПАК «Соболь» для интеграции с Secret Net Studio реализован режим совмест-ного использования. Также ПАК «Соболь» может функционировать самостоя-тельно в автономном режиме.В автономном режиме работы ПАК «Соболь» реализует свои основные функциидо старта операционной системы независимо от Secret Net Studio. Управлениепользователями, журналом регистрации событий, настройка общих параметровосуществляются средствами администрирования комплекса без ограничений.В режиме совместного использования (интеграции) значительная часть функ-ций управления комплексом осуществляется средствами администрированияSecret Net Studio. Перечень функций представлен в следующей таблице.

Функция Описание

Управление входом пользователяSecret Net Studio в комплекс «Соболь» спомощью идентификатора,инициализированного и присвоенногопользователю в системе Secret Net Studio

Пользователю предоставляются права наавтоматический вход в комплекс и далее всистему при однократном предъявленииидентификатора. Также для входа можетиспользоваться пароль, записанный впамять персонального идентификатора

Управление работой подсистемыконтроля целостности ПАК «Соболь»

Для ПАК «Соболь» задания на контрольцелостности файлов жесткого диска иобъектов реестра формируются средствамиадминистрирования Secret Net Studio

Автоматическая передача записейжурнала регистрации событий ПАК»Соболь» в журнал Secret Net Studio

Передача записей и их преобразованиеосуществляются автоматически при загрузкеподсистемы аппаратной поддержки SecretNet Studio

Подробные сведения о реализации этих функций содержатся в документе [3].

Внимание!• В режиме интеграции системы Secret Net Studio и комплекса «Соболь» идентификатор iButton

DS1992 не используется. Рекомендуется использовать идентификаторы DS1995, DS1996 илиUSB-ключи и смарт-карты, поддерживаемые ПАК «Соболь».

• Для использования Secret Net Studio совместно с комплексом «Соболь» необходимо установитьвспомогательное ПО комплекса (см. документацию на изделие).

Для обеспечения защиты данных в процессе централизованного управленияПАК «Соболь» в Secret Net Studio реализован ряд криптографических преобразо-

16Secret Net Studio – C. Руководство администратораПринципы построения

ваний на основе ГОСТ 28147–89, ГОСТ Р 34.10–2001. Перечень используемыхключей шифрования представлен в следующей таблице.

Наименованиеключа Назначение Место хранения

Симметричныйключ ЦУ

Шифрование аутентификаторов1в хранилище объектовцентрализованного управления SecretNet Studio.Расчет имитовставки для спискадоступных пользователю компьютеров

Персональныйидентификаторадминистратора

Закрытый ключЦУ

Расчет сессионного ключа компьютерапри выполнении операцийадминистрирования

Персональныйидентификаторадминистратора

Открытый ключЦУ

Расчет сессионного ключа компьютерапри выполнении операцийсинхронизации

Локальная база данныхуправляемогокомпьютера

Закрытый ключкомпьютера

Расчет сессионного ключа компьютерапри выполнении операцийсинхронизации

Локальная база данныхуправляемогокомпьютера

Открытый ключкомпьютера

Расчет сессионного ключа компьютерапри выполнении операцийадминистрирования

Служба каталогов

Сессионныйключкомпьютера

Шифрование информации,предназначенной для защищаемогокомпьютера

Не хранится(вычисляется впроцессе работы)

Ключпреобразованияпаролейкомплексов»Соболь»

В ПАК «Соболь» версий 3.х —шифрование информации в закрытойпамяти платы комплекса «Соболь».В ПАК «Соболь» версий 3.х и 4 —шифрование информации, хранящейся влокальной базе данных защищаемогокомпьютера

В ПАК «Соболь» версий3.х — закрытая памятьплаты комплекса»Соболь».В ПАК «Соболь» версии4 — локальная базаданных управляемогокомпьютера

Уникальныйномер платы2

Расшифрование информации из открытойпамяти платы комплекса «Соболь».Подпись внешних запросов

Локальная база данныхуправляемогокомпьютера

Функциональный контроль подсистемФункциональный контроль предназначен для обеспечения гарантии того, что кмоменту входа пользователя в ОС (т. е. к моменту начала работы пользователя)все ключевые защитные подсистемы загружены и функционируют.В случае успешного завершения функционального контроля этот факт регистри-руется в журнале Secret Net Studio.При неуспешном завершении функционального контроля в журнале Secret NetStudio регистрируется событие с указанием причин (это возможно при условииработоспособности ядра Secret Net Studio). Вход в систему разрешается толькопользователям, входящим в локальную группу администраторов компьютера.Одной из важных задач функционального контроля является обеспечение за-щиты ресурсов компьютера при запуске ОС в безопасном режиме (Safe mode). Бе-зопасный режим запуска не является штатным режимом функционирования длясистемы Secret Net Studio, однако при необходимости администратор может егоиспользовать для устранения неполадок. Поскольку в безопасном режиме не

1Аутентификатор — структураданных, хранящаяся в службе каталогов, которая совместнос паролем пользо-вателя используется в процедуреегоаутентификации.

2 Толькодля интеграции с ПАК «Соболь» версии 4.

17Secret Net Studio – C. Руководство администратораПринципы построения

действуют некоторые функции системы защиты, функциональный контроль вэтих условиях завершается с ошибкой. В результате блокируется вход любыхпользователей, кроме администраторов. Поэтому при надлежащем соблюденииправил политики безопасности, когда никто из обычных пользователей не об-ладает полномочиями администратора, доступ к ресурсам компьютера в обходмеханизмов защиты невозможен.

СамозащитаМеханизм самозащиты предотвращает несанкционированные остановку крити-ческих служб и процессов и выгрузку драйверов Secret Net Studio, обеспечиваетзащиту программных модулей и ключей системного реестра, необходимых дляработы Secret Net Studio, от несанкционированной модификации или удаления.Также дополнительно может осуществляться контроль доступа пользователей справами локального администратора компьютера к программе «Локальныйцентр управления».События, связанные с функционированием механизма самозащиты, регистри-руются в журнале Secret Net Studio.Управление механизмом самозащиты может выполняться централизованно впрограмме управления или непосредственно на защищаемом компьютере в прог-рамме управления, работающей в локальном режиме. Управлять механизмом мо-гут только пользователи, обладающие необходимыми привилегиями.Для экстренных случаев предусмотрена возможность переключения механизмасамозащиты в сервисный режим, которое выполняется с помощью утилиты ко-мандной строки в защищенном или обычном режиме работы ОСWindows.

Регистрация событийВ процессе работы системы Secret Net Studio события, происходящие на ком-пьютере и связанные с безопасностью системы, регистрируются в журналеSecret Net Studio. Все записи журнала хранятся в файле на системном диске. Фор-мат данных идентичен формату журнала безопасности ОС Windows.Предоставляются возможности для настройки перечня регистрируемых событийи параметров хранения журнала. Это позволяет обеспечить оптимальный объемсохраняемых сведений с учетом размера журнала и нагрузки на систему.

Контроль целостностиМеханизм контроля целостности осуществляет слежение за неизменностьюконтролируемых объектов. Контроль проводится в автоматическом режиме в соот-ветствии с заданным расписанием.Объектами контроля могут быть файлы, каталоги, элементы системного реестраи секторы дисков (последние только при использовании ПАК «Соболь»). Каждыйтип объектов имеет свой набор контролируемых параметров. Например, файлымогут контролироваться на их существование, целостность содержимого, неиз-менность прав доступа, атрибутов.В системе предусмотрена возможность настройки периодичности контроля поопределенным дням и времени в течение дня. Запуск процесса контроля можетвыполняться при загрузке ОС, при входе пользователя в систему или после вхо-да.При проверке целостности могут применяться различные варианты реакции сис-темы на выполнение заданий контроля. Можно настраивать регистрацию опреде-ленных типов событий (успех или ошибка проверки отдельного объекта либовсего задания контроля) и действия в случае нарушения целостности (игнори-ровать ошибку, заблокировать компьютер, принять новое значение как эталон).Вся информация об объектах, методах, расписаниях контроля сосредоточена вспециальной структуре, которая называется модель данных. Модель данныххранится в локальной базе данных системы Secret Net Studio и представляет со-бой иерархический список объектов с описанием связей между ними.

18Secret Net Studio – C. Руководство администратораПринципы построения

Используются следующие категории объектов в порядке от низшего уровняиерархии к высшему:• ресурсы;• группы ресурсов;• задачи;• задания;• субъекты управления (компьютеры, пользователи, группы компьютеров и

пользователей).Модель данных является общей для механизмов контроля целостности и за-мкнутой программной среды.Управление локальными моделями данных на защищаемых компьютерах можноосуществлять централизованно (для клиентов в сетевом режиме функ-ционирования). Для централизованного управления в глобальном каталоге со-здаются две модели данных — для компьютеров под управлением 32-разрядныхверсий ОС Windows и для компьютеров с 64- разрядными версиями опера-ционных систем. Такое разделение позволяет учитывать специфику ис-пользуемого ПО на защищаемых компьютерах с различными платформами.Каждая из централизованных моделей данных является общей для всех защи-щаемых компьютеров под управлением версий ОС Windows соответствующей раз-рядности (32- или 64- разрядные версии). При изменении параметровцентрализованной модели выполняется локальная синхронизация этих изме-нений на защищаемом компьютере. Новые параметры из централизованногохранилища передаются на компьютер, помещаются в локальную модель данныхи затем используются защитными механизмами.Синхронизация может выполняться в следующие моменты:• при загрузке компьютера;• при входе пользователя в систему;• после входа (в фоновом режиме во время работы пользователя);• периодически через определенные интервалы времени;• принудительно по команде администратора;• непосредственно после внесения изменений в ЦБД КЦ-ЗПС.Редактирование централизованных моделей данных осуществляется со сле-дующими особенностями: для изменения доступна та модель данных, котораясоответствует разрядности ОС Windows на рабочем месте администратора. Мо-дель данных другой разрядности доступна только для чтения (при этом можноэкспортировать данные из этой модели в другую). Таким образом, если в системеимеются защищаемые компьютеры с версиями ОС различной разрядности, дляцентрализованного управления моделями данных администратору следуеторганизовать два рабочих места — на компьютере с 32-разрядной версиейОС Windows и на компьютере с 64-разрядной версией ОС.

Дискреционное управление доступом к ресурсам файловойсистемы

В состав системы Secret Net Studio входит механизм дискреционного управлениядоступом к ресурсамфайловой системы. Этот механизм обеспечивает:• разграничение доступа пользователей к каталогам и файлам на локальных

дисках на основе матрицы доступа субъектов (пользователей, групп) к объек-там доступа;

• контроль доступа к объектам при локальных или сетевых обращениях, вклю-чая обращения от имени системной учетной записи;

• невозможность доступа к объектам в обход установленных прав доступа(если используются стандартные средства ОС или прикладные программыбез собственных драйверов для работы сфайловой системой);

19Secret Net Studio – C. Руководство администратораПринципы построения

• независимость действия от встроенного механизма избирательного разгра-ничения доступа ОСWindows. То есть установленные права доступа к файло-вым объектам в системе Secret Net Studio не влияют на аналогичные правадоступа в ОСWindows и наоборот.

Аналогично реализации в ОС Windows матрица доступа в системе Secret NetStudio представляет собой списки файловых объектов, в которых определеныучетные записи с правами доступа. Права устанавливают разрешения или запре-ты на выполнение операций. Перечень предусмотренных прав доступа пред-ставлен в следующей таблице.

Право доступа Действие для каталога Действие для файла

Чтение (R) Разрешает или запрещаетпросмотр имен файлов иподкаталогов

Разрешает или запрещает чтениеданных

Разрешает или запрещает просмотр атрибутов файлового объекта

Запись (W) Разрешает или запрещаетсоздание подкаталогов ифайлов

Разрешает или запрещаетвнесение изменений

Разрешает или запрещает смену атрибутов файлового объекта

Выполнение (X) Разрешает или запрещаетперемещение по структуреподкаталогов

Разрешает или запрещаетвыполнение

Удаление (D) Разрешает или запрещает удаление файлового объекта

Изменение правдоступа (P)

Разрешает или запрещает изменение прав доступа к файловомуобъекту. Пользователь, имеющий разрешение на изменение правдоступа к ресурсу, условно считается администратором ресурса

Права доступа для файлового объекта могут быть заданы явно или наследо-ваться от вышестоящего элемента иерархии. Явно заданные права имеют болеевысокий приоритет по сравнению с наследуемыми правами. Права доступа счи-таются заданными явно, если для объекта отключен режим наследования прав.Для управления списками доступа к любым файловым объектам предусмотренаспециальная привилегия «Дискреционное управление доступом: Управлениеправами доступа». Пользователи, обладающие этой привилегией, могут изме-нять права доступа для всех каталогов и файлов на локальных дисках (неза-висимо от установленных прав доступа к объектам).По умолчанию привилегией на управление правами доступа обладают поль-зователи, входящие в локальную группу администраторов. При этом для всехпользователей действуют разрешающие права доступа к любым ресурсам на чте-ние, запись, выполнение и удаление (RWXD). Эти права наследуются от кор-невых каталогов логических разделов. Во избежание непреднамереннойблокировки работы ОС, которая может произойти из-за некорректно установ-ленных прав доступа к ресурсам,— отсутствует возможность изменения прав дос-тупа для корневого каталога системного диска (%SystemDrive%) и всегосистемного каталога (%SystemRoot%).

Копирование и перемещение файловых объектовПри копировании файлового объекта для его копии принудительно включаетсярежим наследования прав доступа, даже если оригинальный объект обладает яв-но заданными правами.Перемещение файлового объекта в пределах своего логического раздела осущес-твляется с сохранением явно заданных прав доступа для этого объекта. Если дляобъекта включен режим наследования — после перемещения вступают в дей-ствие права того каталога, в который перемещен объект. При перемещенииобъекта в другой логический раздел принудительно включается режим насле-дования прав.

20Secret Net Studio – C. Руководство администратораПринципы построения

Аудит операций с файловыми объектамиПри работе механизма дискреционного управления доступом в журнале SecretNet Studio могут регистрироваться события успешного доступа к объектам, запре-та доступа или изменения прав. По умолчанию регистрация событий успешногодоступа не осуществляется, а события запрета доступа и изменения праврегистрируются для всех файловых объектов. Включение и отключениерегистрации указанных событий осуществляется администратором безопасностипри настройке параметров групповых политик.Для файловых объектов можно детализировать аудит по выполняемым опера-циям, которые требуют определенных прав доступа. Например, включить аудитуспешного доступа при выполнении операций записи в файл или его удаления.Включение и отключение аудита операций может выполнять администратор ре-сурса при настройке дополнительных параметров прав доступа к файловомуобъекту.

Затирание удаляемой информацииЗатирание удаляемой информации делает невозможным восстановление и пов-торное использование данных после их удаления. Гарантированное уничто-жение достигается путем записи случайных последовательностей чисел на местоудаленной информации в освобождаемой области памяти.В Secret Net Studio – C реализованы следующие варианты затирания инфор-мации:• автоматическое затирание при удалении данных с устройств определенных

типов (локальные и сменные диски, оперативная память) при включениифункции затирания в программе управления;

Примечание. В Secret Net Studio – C реализована возможность исключения выбранных объек-тов (файлов и папок) из обработки при автоматическом затирании данных на локальных дискахи сменных носителях посредством создания списка исключений.

• затирание при удалении файловых объектов, выбранных пользователем, покоманде из контекстного меню;

• затирание по команде из контекстного меню пиктограммы Secret Net Studio впанели задач Windows всех данных (включая таблицу разделов, логическиетома, файловые объекты и остаточную информацию) на локальных дисках(кроме системного диска) и сменных носителях, подключенных к защища-емому компьютеру.

Для большей надежности может быть выполнено несколько циклов (проходов)затирания.При настройке механизма можно установить различное количество циклов зати-рания для локальных и сменных дисков, оперативной памяти; для файловыхобъектов, удаляемых с помощью специальной команды; для носителей инфор-мации при уничтожении всех данных на них.

Внимание!Затирание файла подкачки виртуальной памяти выполняется стандартными средствами ОСWindows при выключении компьютера. Если в Secret Net Studio включен режим затирания опе-ративной памяти, рекомендуется дополнительно в политиках Windows включить действие стан-дартного параметра «Завершение работы: очистка файла подкачки виртуальной памяти»(размещается в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности).Не осуществляется затирание файлов при их перемещении в папку «Корзина», так как во время на-хождения в этой папке файлы не удаляются с диска. Затирание таких файлов происходит послеочистки содержимого «Корзины».

Для снижения нагрузки на компьютер при удалении большого объема данных слокальных дисков и сменных носителей в Secret Net Studio реализован механизмотложенного затирания. Остаточные данные, подлежащие затиранию, добавля-

21Secret Net Studio – C. Руководство администратораПринципы построения

ются в очередь на обработку. Затирание выполняется в порядке очереди, с вре-менной задержкой, и завершается до выключения компьютера.

Контроль подключения и изменения устройств компьютераМеханизм контроля подключения и изменения устройств компьютера обес-печивает:• своевременное обнаружение изменений аппаратной конфигурации ком-

пьютера и реагирование на эти изменения;• поддержание в актуальном состоянии списка устройств компьютера, который

используется механизмом разграничения доступа к устройствам.Изменения аппаратной конфигурации отслеживаются системой защиты дляустройств с включенным режимом контроля «Устройство постоянно подключено ккомпьютеру».Начальная аппаратная конфигурация компьютера определяется на этапе уста-новки системы. При этом значения параметров контроля задаются по умол-чанию. Настройку политики контроля можно выполнить индивидуально длякаждого устройства или применять к устройствам наследуемые параметры от мо-делей, классов и групп, к которым относятся устройства.Используются следующие методы контроля конфигурации:• Статический контроль конфигурации. Каждый раз при загрузке компьютера

подсистема получает информацию об актуальной аппаратной конфигурациии сравнивает ее с эталонной.

• Динамический контроль конфигурации. Во время работы компьютера (а так-же при выходе из спящего режима) драйвер-фильтр устройств отслеживаетфакты подключения, отключения или изменения параметров устройств. Еслипроизошло изменение конфигурации, драйвер-фильтр выдает оповещениеоб этом и система выполняет определенные действия.

При обнаружении изменений аппаратной конфигурации система ожидает утвер-ждения этих изменений администратором безопасности. Процедура утвер-ждения аппаратной конфигурации необходима для санкционированияобнаруженных изменений и принятия текущей аппаратной конфигурации в ка-честве эталонной.

Разграничение доступа к устройствамРазграничение доступа пользователей к устройствам выполняется на основаниисписков устройств, которые формируются механизмом контроля подключения иизменения устройств (см. стр.22).Система Secret Net Studio предоставляет следующие возможности для разгра-ничения доступа пользователей к устройствам:• установка стандартных разрешений и запретов на выполнение операций с

устройствами;• назначение устройствам категорий конфиденциальности или допустимых

уровней конфиденциальности сессий пользователей — чтобы разграничитьдоступ с помощью механизма полномочного управления доступом.

Возможности по разграничению доступа зависят от типов устройств. Разграни-чение не осуществляется полностью или частично для устройств, имеющих осо-бую специфику использования или необходимых для работы компьютера.Например, не ограничивается доступ к процессору и оперативной памяти, огра-ничены возможности разграничения доступа для портов ввода/вывода.Для устройств с отключенным режимом контроля или запрещенных для подклю-чения не действует разграничение доступа по установленным разрешениям изапретам на выполнение операций. Права доступа пользователей к таким устрой-ствам не контролируются.При установке клиентского ПО системы Secret Net Studio выставляются правадоступа для всех обнаруженных устройств, поддерживающих такое

22Secret Net Studio – C. Руководство администратораПринципы построения

разграничение доступа. По умолчанию предоставляется полный доступ тремстандартным группам пользователей: «Система», «Администраторы» и «Все». Тоесть всем пользователям разрешен доступ без ограничений ко всем устройствам,обнаруженным на компьютере. Далее администратор безопасности раз-граничивает доступ пользователей к устройствам в соответствии с требованиямиполитики безопасности. Для этого можно выполнить настройку прав доступанепосредственно для устройств или для классов и групп, к которым они отно-сятся.Настройка прав доступа для классов и групп позволяет подготовить систему за-щиты к возможным подключениям новых устройств. При подключении новоеустройство включается в соответствующую группу, класс и модель (если есть).Доступ пользователей к этому устройству будет разграничен автоматически — всоответствии с правилами, которые установлены для группы, класса или модели.Разграничение доступа пользователей к устройствам с назначенными катего-риями конфиденциальности или уровнями конфиденциальности сессий осущес-твляется механизмом полномочного управления доступом.

Замкнутая программная средаМеханизм замкнутой программной среды позволяет определить для любогопользователя компьютера индивидуальный перечень программного обес-печения, разрешенного для использования. Система защиты контролирует иобеспечивает запрет использования следующих ресурсов:• файлы запуска программ и библиотек, не входящие в перечень разрешенных

для запуска и не удовлетворяющие определенным условиям;• сценарии, не входящие в перечень разрешенных для запуска и не заре-

гистрированные в базе данных.

Примечание.Сценарий (называемый также скрипт) представляет собой последовательность исполняемыхкоманд и/или действий в текстовом виде. Система Secret Net Studio контролирует выполнениесценариев, созданных по технологии Active Scripts.

Попытки запуска неразрешенных ресурсов регистрируются в журнале как собы-тия тревоги.На этапе настройки механизма составляется список ресурсов, разрешенных длязапуска и выполнения. Список может быть сформирован автоматически на осно-вании сведений об установленных на компьютере программах или по записямжурналов (журнал безопасности или журнал Secret Net Studio), содержащихсведения о запусках программ, библиотек и сценариев.Для файлов, входящих в список, можно включить проверку целостности с исполь-зованием механизма контроля целостности (см. стр.18). По этой причине меха-низм замкнутой программной среды и механизм контроля целостностииспользуют единую модель данных.Механизм замкнутой программной среды не осуществляет блокировку запус-каемых программ, библиотек и сценариев в следующих случаях:• при наличии у пользователя привилегии «Замкнутая программная среда: Не

действует» (по умолчанию привилегия предоставлена администраторамкомпьютера) — контроль запускаемых пользователем ресурсов не осущес-твляется;

• при включенном мягком режиме работы подсистемы замкнутой программнойсреды — в этом режиме контролируются попытки запуска программ, биб-лиотек и сценариев, но разрешается использование любого ПО. Этот режимобычно используется на этапе настройки механизма.

Изоляция процессовВ системе Secret Net Studio может применяться режим изоляции процессов дляпредотвращения стороннего доступа к данным определенных исполняемых моду-

23Secret Net Studio – C. Руководство администратораПринципы построения

лей. При действующем режиме контролируются следующие операции с дан-ными, которыми обмениваются различные процессы:• чтение данных из буфера обмена;• чтение данных в окне другого процесса;• запись данных в окно другого процесса;• перетаскивание данных между процессами методом drag-and-drop.Процесс считается изолированным, если в модели данных включена изоляциядля ресурса, являющегося исполняемым файлом этого процесса. Для изолиро-ванного процесса обмен данными с другими процессами невозможен. Разреша-ется использование буфера обмена только при записи и чтении данных одного итого же процесса. Неизолированные процессы обмениваются данными без огра-ничений.Изоляция процессов реализуется при включенном механизме замкнутой про-граммной среды (должен функционировать драйвер механизма). Режим работымеханизма ЗПС может быть любым. При этом для исключения возможностейзапуска копий исполняемых файлов в неизолированной среде рекомендуетсянастроить механизм ЗПС и включить жесткий режим работы механизма.

Полномочное управление доступомМеханизм полномочного управления доступом обеспечивает:• разграничение доступа пользователей к информации, которой назначена

категория конфиденциальности (конфиденциальная информация);• контроль подключения и использования устройств с назначенными катего-

риями конфиденциальности;• контроль потоков конфиденциальной информации в системе;• контроль использования сетевых интерфейсов, для которых указаны допус-

тимые уровни конфиденциальности сессий пользователей;• контроль печати конфиденциальных документов.По умолчанию в системе предусмотрены категории конфиденциальности:»Неконфиденциально» (для общедоступной информации), «Конфиденциально»и «Строго конфиденциально». При необходимости можно увеличить количествоиспользуемых категорий и задать для них названия в соответствии со стан-дартами, принятыми в вашей организации. Максимально возможное количествокатегорий — 16.Категорию конфиденциальности можно назначить для следующих ресурсов:• локальные физические диски (кроме диска с системным логическим раз-

делом) и любые устройства, включаемые в группы устройств USB, PCMCIA,IEEE1394 или Secure Digital;

• каталоги и файлы на локальных физических дисках.

Пояснение.Каталогам и файлам, находящимся на устройствах из групп USB, PCMCIA, IEEE1394, SecureDigital (сменные носители), категория конфиденциальности непосредственно не назначается.Для них действует категория конфиденциальности, назначенная устройству.

Доступ пользователя к конфиденциальной информации осуществляется в соот-ветствии с его уровнем допуска. Если уровень допуска пользователя ниже, чемкатегория конфиденциальности ресурса,— система блокирует доступ к этому ре-сурсу. После получения доступа к конфиденциальной информации уровеньконфиденциальности программы (процесса) повышается до категорииконфиденциальности ресурса. Это необходимо для того, чтобы исключитьвозможность сохранения конфиденциальных данных в файлах с меньшей кате-горией конфиденциальности.Полномочное разграничение доступа на уровне устройств осуществляется следу-ющим образом. Если устройство подключается во время сеанса работы пользо-вателя с уровнем допуска ниже, чем категория устройства, система блокирует

24Secret Net Studio – C. Руководство администратораПринципы построения

подключение устройства. При подключении такого устройства до начала сеансаработы пользователя — запрещается вход пользователя в систему. В режимеконтроля потоков уровень конфиденциальности сессии пользователя долженсоответствовать категориям всех подключенных устройств.Функционирование устройства разрешено независимо от уровня допуска пользо-вателя, если для этого устройства включен режим «без учета категорииконфиденциальности». Данный режим включен по умолчанию.Доступ к содержимому конфиденциального файла предоставляется пользо-вателю, если категория файла не превышает уровень допуска пользователя. Приэтом также учитывается категория конфиденциальности устройства.Категория конфиденциальности локального физического диска имеет более вы-сокий приоритет, чем категории файлов (каталогов), расположенных на этомустройстве. Если категория файла (каталога) ниже категории конфиден-циальности устройства, система считает категорию файла (каталога) равнойкатегории устройства. Если же категория файла (каталога) превышает кате-горию конфиденциальности устройства, такое состояние считается не-корректным, и доступ к файлу (каталогу) запрещается.На всех подключенных к компьютеру устройствах из групп устройств USB,PCMCIA, IEEE1394, Secure Digital (сменные носители) самим файлам и каталогамкатегория конфиденциальности не назначается. Для всех этих файлов и ка-талогов всегда действует категория, назначенная устройству.

Режим контроля потоковПри использовании механизма в режиме контроля потоков конфиденциальнойинформации всем процессам обработки данных в системе присваивается единыйуровень конфиденциальности. Нужный уровень конфиденциальности из числадоступных пользователю выбирается перед началом сессии работы на ком-пьютере. Этот уровень нельзя изменить до окончания сессии.В режиме контроля потоков сохранение информации разрешено только с кате-горией, равной уровню конфиденциальности сессии. Полностью запрещаетсядоступ к данным, категория которых превышает уровень конфиденциальностисессии (даже если уровень допуска пользователя позволяет доступ к таким дан-ным). Таким образом, режим контроля потоков обеспечивает строгое соблюдениепринципов полномочного разграничения доступа и предотвращает несанкци-онированное копирование или перемещение конфиденциальной информации.В режиме контроля потоков запрещается использование устройств, которымназначена категория конфиденциальности, отличающаяся от выбранного уров-ня сессии. Если на момент входа пользователя к компьютеру подключены устрой-ства с различными категориями конфиденциальности, вход запрещается попричине конфликта подключенных устройств. Использование устройств, кото-рым назначена категория конфиденциальности выше, чем уровень допускапользователя, ограничивается так же, как и при отключенном режиме контроляпотоков.Режим контроля потоков позволяет установить ограничения на использованиесетевых интерфейсов. Для каждого сетевого интерфейса можно выбрать уровниконфиденциальности сессий, в которых этот интерфейс будет доступен пользо-вателю. Если открыта сессия с другим уровнем конфиденциальности, функ-ционирование этого интерфейса блокируется системой защиты. Это позволяеторганизовать работу пользователя в различных сетях в зависимости от выбран-ного уровня конфиденциальности сессии.Для сетевых интерфейсов предусмотрен режим доступности «Адаптер доступенвсегда» (включен по умолчанию). В этом режиме функционирование сетевого ин-терфейса разрешено независимо от уровня конфиденциальности сессии.

Вывод конфиденциальной информацииМеханизм полномочного управления доступом осуществляет контроль выводаконфиденциальной информации на внешние носители. Внешними носителями всистеме Secret Net Studio считаются сменные диски, для которых включен режим

25Secret Net Studio – C. Руководство администратораПринципы построения

доступа «без учета категории конфиденциальности». При копировании или пере-мещении конфиденциального ресурса на такой носитель не сохраняется егокатегория конфиденциальности. Поэтому чтобы осуществлять вывод конфиден-циальной информации на внешние носители в режиме контроля потоков, поль-зователь должен обладать соответствующей привилегией.Для предотвращения несанкционированного вывода конфиденциальных доку-ментов на локальные и сетевые принтеры используется механизм контроля пе-чати. Механизм обеспечивает вывод конфиденциальных документов на печатьтолько при наличии соответствующей привилегии. Также в распечатываемыедокументы может автоматически добавляться специальный маркер (гриф), вкотором указывается категория конфиденциальности документа. События пе-чати регистрируются в журнале Secret Net Studio.

Контроль печатиМеханизм контроля печати обеспечивает:• разграничение доступа пользователей к принтерам; • регистрацию событий вывода документов на печать в журнале Secret Net

Studio;• вывод на печать документов с определенной категорией конфиден-

циальности;• автоматическое добавление грифа в распечатываемые документы (марки-

ровка документов);• теневое копирование распечатываемых документов.Для реализации функций маркировки и/или теневого копирования распечаты-ваемых документов в систему добавляются драйверы «виртуальных принтеров».Виртуальные принтеры соответствуют реальным принтерам, установленным накомпьютере. Список виртуальных принтеров автоматически формируется привключении контроля печати и режима теневого копирования. Печать в этом слу-чае разрешается только на виртуальные принтеры.При печати на виртуальный принтер выполняются дополнительные преоб-разования для получения образа распечатываемого документа в форматеXML Paper Specification (XPS). Далее XPS-документ копируется в хранилище те-невого копирования (если для принтера включена функция теневого копиро-вания), модифицируется нужным образом и после этого передается для печати всоответствующее печатающее устройство.

Теневое копирование выводимых данныхМеханизм теневого копирования обеспечивает создание в системе дубликатовданных, выводимых на съемные носители информации. Дубликаты (копии)сохраняются в специальном хранилище, доступ к которому имеют только уполно-моченные пользователи. Действие механизма распространяется на те устрой-ства, для которых включен режим сохранения копий при записи информации.При включенном режиме сохранения копий вывод данных на внешнее устрой-ство возможен только при условии создания копии этих данных в хранилище те-невого копирования. Если по каким- либо причинам создать дубликатневозможно, операция вывода данных блокируется.Теневое копирование поддерживается для устройств следующих видов:• подключаемые сменные диски;• дисководы гибких дисков;• дисководы оптических дисков с функцией записи;• принтеры.При выводе данных на подключаемый сменный диск (например, USB-флеш-на-копитель) в хранилище теневого копирования создаются копии файлов, запи-санных на носитель в ходе операции вывода. Если файл открыт для

26Secret Net Studio – C. Руководство администратораПринципы построения

редактирования непосредственно со сменного носителя, при сохранении новойверсии файла в хранилище будет создан его отдельный дубликат.Для устройства записи оптических дисков механизм теневого копирования со-здает в хранилище образ диска, если для записи используется интерфейс ImageMastering API (IMAPI), или копии файлов, если запись осуществляется в форматефайловой системы Universal Disk Format (UDF).

Внимание!Некоторые программные пакеты, имеющие функцию записи оптических дисков, используют собст-венные драйверы управления устройствами. Такие драйверы могут осуществлять доступ к устрой-ству в обходмеханизма теневого копирования. Для обеспечения гарантированного контроля записьдисков необходимо осуществлять только с использованиемштатных средств ОС Windows.

Теневое копирование распечатываемых документов осуществляется с исполь-зованием механизма контроля печати (см. стр.26). В качестве копии выводимойна печать информации сохраняется образ печатаемого документа в формате XPS(сокр. от XML Paper Specification) — открытый графический формат фиксиро-ванной разметки на базе языка XML, разработанный компанией Microsoft.Контроль вывода данных с помощью механизма теневого копирования являетсяодной из задач аудита. События вывода данных регистрируются в журналеSecret Net Studio. Доступ к дубликатам в хранилище теневого копированияосуществляется с помощью программы управления Secret Net Studio в локальномрежиме работы. Программа предоставляет средства для поиска по содержимомухранилища.Администратор настраивает функционирование механизма теневого копиро-вания в программе управления. При настройке определяются параметры храни-лища теневого копирования, а также включается или отключается действиемеханизма для устройств или принтеров.

Защита информации на локальных дискахМеханизм защиты информации на локальных дисках компьютера (механизм за-щиты дисков) предназначен для блокирования доступа к жестким дискам принесанкционированной загрузке компьютера. Загрузка считается санкциони-рованной, если она выполнена средствами операционной системы с установ-ленным клиентским ПО Secret Net Studio. Все другие способы загрузки ОСсчитаются несанкционированными (например, загрузка с внешнего носителяили загрузка другой ОС, установленной на компьютере).Механизм обеспечивает защиту информации при попытках доступа, осуществ-ляемых с помощью штатных средств операционной системы.Действие механизма защиты дисков основано на модификации загрузочных сек-торов (boot-секторов) логических разделов на жестких дисках компьютера. Со-держимое загрузочных секторов модифицируется путем кодирования сиспользованием специального ключа, который автоматически генерируется привключении механизма. При этом часть служебных данных для механизма за-щиты дисков сохраняется в системном реестре.Модификация позволяет скрыть информацию о логических разделах принесанкционированной загрузке компьютера — разделы с модифицированнымизагрузочными секторами будут восприниматься системой как неформати-рованные или поврежденные. При санкционированной загрузке компьютераосуществляется автоматическое раскодирование содержимого boot-секторов за-щищенных логических разделов при обращении к ним.Выбор логических разделов, для которых устанавливается режим защиты (тоесть модифицируются boot-секторы), осуществляет администратор.Механизм защиты дисков может использоваться при условии, если физическийдиск, с которого выполняется загрузка ОС, относится к одному из следующих ти-пов:• диск с таблицей разделов на идентификаторах GUID (GUID Partition Table —

GPT) на компьютере с интерфейсом UEFI (Unified Extensible Firmware

27Secret Net Studio – C. Руководство администратораПринципы построения

Interface). При включении механизма на диск записывается специальный за-грузчик Secret Net Studio в скрытом системном UEFI-разделе, после чего за-грузчик регистрируется в UEFI;

• диск с основной загрузочной записью (Master Boot Record — MBR). При вклю-чении механизма на этом диске модифицируется MBR и часть остального про-странства нулевой дорожки диска.

Внимание!При использовании диска с основной загрузочной записью в настройках BIOS компьютера долж-на быть отключена функция проверки загрузочных вирусов. Для отключения функции уста-новите значение «Disabled» для параметра «Boot Virus Detection» (наличие данной функции иназвание параметра зависит от используемой версии BIOS).

При работе механизма обеспечивается защита до 128 логических разделов приобщем количестве физических дисков до 32. Логические разделы, для которыхустанавливается режим защиты, должны иметь файловую систему FAT, NTFS илиReFS. Разделы могут быть на физических дисках с основной загрузочной за-писью (MBR) или с таблицей разделов на идентификаторах GUID (GPT). Диски сдругими типами разбиения на логические разделы не поддерживаются (напри-мер, динамические диски).При использовании механизма защиты дисков на компьютере должна быть уста-новлена только одна операционная система. Если установлено несколько ОС, по-сле включения механизма в одной из них не гарантируется устойчивая работаостальных ОС.

Шифрование данных в криптоконтейнерахСистема Secret Net Studio предоставляет возможность шифрования содержимогообъектов файловой системы (файлов и папок). Для операций зашифрования ирасшифрования используются специальные хранилища — криптографическиеконтейнеры или криптоконтейнеры.Физически криптоконтейнер представляет собой файл, который можно подклю-чить к системе в качестве дополнительного диска. Криптоконтейнер являетсяобразом диска, но все действия с ним выполняются через драйвер механизмашифрования. Драйвер обеспечивает работу с пользовательскими данными вконтейнере в режиме «прозрачного шифрования». То есть пользователь, послеподключения криптоконтейнера в качестве диска, выполняет операции с фай-лами на этом диске так же, как и на любом другом носителе. Дополнительныхдействий для зашифрования или расшифрования файлов не требуется. Все крип-тографические операции с файлами выполняются автоматически.Криптоконтейнеры можно подключать к системе с локальных дисков, сменныхносителей или с сетевых ресурсов. Доступный объем для записи данных ука-зывается при создании криптоконтейнера. Предельное ограничение объемаопределяется исходя из свободного пространства на ресурсе и типа файловойсистемы. Минимальный размер контейнера— 1 МБ.Для разграничения доступа пользователей к криптоконтейнерам в системеSecret Net Studio предусмотрены следующие права:• чтение данных — предоставляет только возможности чтения файлов в крип-

токонтейнере;• полный доступ к данным— предоставляет возможности чтения и записи фай-

лов в криптоконтейнере;• управление криптоконтейнером — предоставляет возможности управления

списком пользователей, имеющих доступ к криптоконтейнеру, а также чте-ния и записи файлов.

Создание криптоконтейнеров доступно пользователям с соответствующей при-вилегией. По умолчанию эта привилегия предоставлена всем учетным записям,которые входят в локальные группы администраторов или пользователей.Пользователь, создавший криптоконтейнер, получает право на управление им ив дальнейшем может делегировать (предоставить) это право доступа другому

28Secret Net Studio – C. Руководство администратораПринципы построения

пользователю. При необходимости создатель криптоконтейнера может быть уда-лен из списка пользователей с правами доступа с тем условием, что в списке бу-дет присутствовать хотя бы один пользователь с правами на управлениекриптоконтейнером.Для работы с шифрованными ресурсами пользователи должны иметь ключишифрования. Процедуры генерации и выдачи ключей выполняются администра-тором безопасности. Для пользователей создаются ключевые пары, каждая из ко-торых состоит из открытого и закрытого ключей. Открытые ключи хранятся вобщем хранилище (для ключей локальных пользователей используется ло-кальная БД Secret Net Studio, для доменных — хранилище глобального ка-талога). Закрытые ключи хранятся в ключевых носителях, присвоенныхпользователям. Носителями для хранения закрытых ключей (ключевой инфор-мации) могут являться идентификаторы или сменные носители, такие как флеш-карты, флеш-накопители и т. п.

Общие сведения о ключевой схемеРеализация ключевой схемы шифрования криптоконтейнеров базируется на ал-горитмах ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и ГОСТ 28147–89. Во времякриптографических операций генерируются и вычисляются определенные на-боры ключей и дополнительных значений, используемых для доступа к крип-токонтейнеру.Криптоконтейнер содержит следующие группы данных:• управляющая информация криптоконтейнера — представляет собой струк-

туру зашифрованных ключей и значений для доступа к криптоконтейнеру;• зашифрованные данные пользователей — криптографически преобразо-

ванные файлы, помещенные в криптоконтейнер пользователями.Управляющая информация криптоконтейнера формируется при его создании.Изначально в этой структуре совместно с другими сведениями сохраняется откры-тый ключ пользователя, создавшего криптоконтейнер. Далее в процессе форми-рования списка пользователей, имеющих доступ к контейнеру, открытые ключиэтих пользователей также помещаются в структуру. С использованием открытыхключей шифруются соответствующие части структуры.Файлы, помещаемые пользователями в криптоконтейнер, шифруются с исполь-зованием ключей шифрования, рассчитанных на основе базового ключа шифро-вания — общего для всех пользователей криптоконтейнера. Базовый ключшифрования генерируется при создании криптоконтейнера. Вычисление ключаосуществляется при доступе к криптоконтейнеру с помощью закрытого ключапользователя.Для дополнительной защиты базового ключа шифрования может исполь-зоваться специальный «корпоративный ключ». Данный ключ генерируется присоздании криптоконтейнера, если включен параметр «использовать корпора-тивный ключ». Ключ сохраняется в системном реестре компьютера и приме-няется для зашифрования и расшифрования базового ключа.При использовании корпоративного ключа доступ к криптоконтейнеру возможенпри условии, если ключ хранится в системном реестре (в зашифрованном виде).Поэтому для доступа к криптоконтейнеру на другом компьютере корпоративныйключ необходимо импортировать в реестр этого компьютера.

Смена ключейВ процессе эксплуатации системы следует регулярно выполнять смену ключейпользователей и базовых ключей шифрования криптоконтейнеров.Смена ключей пользователя выполняется самим пользователем или администра-тором безопасности. Периодичность смены ключей пользователей контро-лируется системой и может настраиваться путем ограничения максимального иминимального сроков действия ключей. При смене ключей пользователя в си-стеме сохраняются две ключевые пары — текущая и предыдущая. Предыдущаяключевая пара необходима для перешифрования на новом ключе

29Secret Net Studio – C. Руководство администратораПринципы построения

соответствующей части управляющей информации в криптоконтейнерах пользо-вателя. Процесс перешифрования управляющей информации запускается авто-матически после смены ключей.

Внимание!Автоматическое перешифрование управляющей информации возможно при условии доступностикриптоконтейнера. Например, если криптоконтейнер недоступен по сети или находится на сменномносителе, который не подключен в данный момент, — перешифрование не происходит. В этом слу-чае после смены ключей для перешифрования управляющей информации пользователю необ-ходимо выполнить какую- либо операцию с таким криптоконтейнером (например, подключитькриптоконтейнер) до следующей смены ключей. Иначе во время следующей смены будет замененапредыдущая ключевая пара, и пользовательне сможет получитьдоступ к криптоконтейнеру из-за не-совпадения ключей. Для возобновления доступа потребуется удалить пользователя из списка име-ющих доступ к криптоконтейнеру и затем снова добавитьв этот список.

Смена базового ключа шифрования криптоконтейнера выполняется поль-зователем с правами на управление криптоконтейнером. Для смены базовогоключа пользователь инициирует процедуру перешифрования криптоконтей-нера, в результате чего все зашифрованные данные криптоконтейнера будутперешифрованы на новом базовом ключе. При использовании корпоративногоключа его смена происходит автоматически при смене базового ключа.

Паспорт ПОМеханизм «Паспорт ПО» предназначен для контроля состава и целостности ПО,установленного на защищаемых компьютерах. Контроль ПО осуществляетсяпосредством сканирования исполняемых файлов и расчета их контрольныхсумм. Совокупность контролируемых файлов на дисках компьютера пред-ставляет программную среду для сбора данных и анализа изменений.Распознавание исполняемых файлов осуществляется по расширениям имен. Пе-речень расширений и каталоги поиска файлов можно настраивать. Ска-нирование выполняется периодически по расписанию или в произвольныемоменты времени по команде пользователя.После сканирования полученные данные о состоянии программной среды (СПС)защищаемого компьютера загружаются на сервер безопасности и получают ста-тус проекта паспорта для компьютера. Эти данные сравниваются с результатамипредыдущего сканирования, которые хранятся в виде утвержденного паспорта.Изменения анализируются, и при необходимости проект паспорта утверждаетсяв качестве текущего паспорта защищаемого компьютера.

Доверенная средаДоверенная среда Secret Net Studio является механизмом защиты, обеспечи-вающим внешний по отношению к ОС контроль работы ОС и системы защиты,установленных на компьютере. Контроль достигается выполнением следующихфункций безопасности:• контроль целостности модулей Secret Net Studio (драйверов, служб, прило-

жений);• контроль запуска и функционирования модулей Secret Net Studio (драйве-

ров, служб, приложений);• блокировка от записи страниц памяти, в которых размещаются модули Secret

Net Studio;• обнаружение компьютерных атак, их предотвращение или аварийное завер-

шение работы ОС компьютера при невозможности предотвращения атаки;• регистрация событий в журнале ДС.При функционирующей ДС загрузка ОС компьютера осуществляется с исполь-зованием загрузочного носителя, подготовленного заранее средствами SecretNet Studio.

Примечание.ДСдоступна в Secret Net Studio версии 8.5 и выше.

30Secret Net Studio – C. Руководство администратораПринципы построения

Межсетевой экранSecret Net Studio обеспечивает контроль сетевого трафика на сетевом, транс-портном и прикладном уровнях на основе формируемых правилфильтрации.Подсистема межсетевого экранирования Secret Net Studio реализует следующиеосновные функции:• фильтрация на сетевом уровне с независимым принятием решений по каж-

дому пакету;• фильтрация пакетов служебных протоколов (ICMP, IGMP и т.д.), необхо-

димых для диагностики и управления работой сетевых устройств;• фильтрация с учетом входного и выходного сетевого интерфейса для про-

верки подлинности сетевых адресов;• фильтрация на транспортном уровне запросов на установление виртуальных

соединений (TCP-сессий);• фильтрация на прикладном уровне запросов к прикладным сервисам

(фильтрация по символьной последовательности в пакетах);• фильтрация с учетом полей сетевых пакетов;• фильтрация с учетом даты/времени суток.Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE802.3) и Wi-Fi (IEEE 802.11b/g/n). События, связанные с работой межсетевогоэкрана, регистрируются в журнале Secret Net Studio.

Авторизация сетевых соединенийПри действующем механизме авторизации сетевых соединений осуществляетсядобавление специальной служебной информации к сетевым пакетам, с помощьюкоторой обеспечивается аутентичность и целостность передаваемых данных изащита от атак типа Man in the Middle.Подсистема авторизации сетевых соединений обеспечивает:• получение с сервера авторизации, входящего в состав компонента «Secret

Net Studio — Сервер безопасности», правил авторизации соединений (списокпараметров соединений, в которые добавляется служебная информация);

• получение с сервера авторизации сессионных данных для добавления слу-жебной информации;

• добавление в сетевой трафик специальной служебной информации для паке-тов, удовлетворяющих правилам авторизации;

• разбор специальной служебной информации во входящих пакетах и пере-дачу информации о контексте удаленного пользователя в подсистему меж-сетевого экранирования для фильтрации по правилам.

Авторизация сетевых соединений осуществляется на интерфейсах Ethernet(IEEE 802.3) и Wi-Fi (IEEE 802.11b/g/n).

31Secret Net Studio – C. Руководство администратораПринципы построения

Глава 4Организация централизованногоуправления системойВзаимодействующие компоненты

Сервер безопасностиОсновные функции сервера безопасности:• получение информации от агентов на защищаемых компьютерах о текущем

состоянии рабочих станций и сессиях работы пользователей;• оперативное получение и передача сведений о событиях тревоги, зарегистри-

рованных на защищаемых компьютерах;• отправка команд управления на защищаемые компьютеры;• получение информации о состоянии защитных подсистем на компьютерах и

отправка команд на изменение состояния защитных подсистем;• получение и передача на защищаемые компьютеры параметров групповых

политик, заданных в программе управления системы Secret Net Studio;• контроль действительности лицензий на использование компонентов сис-

темы Secret Net Studio;• получение локальных журналов с защищаемых компьютеров и передача

содержимого журналов в базу данных сервера безопасности;• обработка запросов к базе данных;• архивирование и восстановление содержимого журналов в базе данных;• протоколирование обращений к серверу.Сервер безопасности реализует функции контроля и управления защищаемымикомпьютерами при условии их подчинения. Серверу могут быть подчинены ком-пьютеры с установленным клиентом Secret Net Studio, а также компьютеры подуправлением ОС семейства Linux с установленным ПО Secret Net LSP (для такихкомпьютеров некоторые функции сервера недоступны).Для функционирования сервера безопасности требуется наличие системы управ-ления базами данных (СУБД), реализуемой сервером СУБД MS SQL. Сервер безо-пасности и сервер СУБД могут быть установлены на разных компьютерах(рекомендуется) или на одном компьютере.

Сервер авторизацииВ состав ПО сервера безопасности входит отдельное приложение — сервер авто-ризации. Данное приложение обеспечивает работу механизмов межсетевогоэкрана и авторизации сетевых соединений. Сервер авторизации уста-навливается и удаляется вместе с ПО сервера безопасности.

Программа управленияПрограмма управления устанавливается на рабочих местах администраторов ииспользуется для централизованного управления защищаемыми компьютерами.Программа осуществляет взаимодействие с сервером безопасности, через кото-рый выполняются необходимые действия.

Клиент в сетевом режиме функционированияДля реализации централизованного управления на всех защищаемых компью-терах должен быть установлен клиент Secret Net Studio в сетевом режиме функ-ционирования. Эти компьютеры необходимо подчинить серверам безопасности.

32Secret Net Studio – C. Руководство администратораПринципы построения

Домены безопасностиВ системе Secret Net Studio реализация централизованного управления компью-терами и синхронизации параметров защиты базируется на концепции доменовбезопасности. Домены безопасности формируются из объектов, включенных вопределенные контейнеры Active Directory — организационные подразделения(Organizational Unit) или весь домен AD. По аналогии с доменами Active Directoryнесколько доменов безопасности (со своими серверами безопасности) могут об-разовывать лес доменов.Формирование первого домена безопасности в домене AD происходит при уста-новке первого сервера безопасности.Сервер безопасности использует базу данных служб облегченного доступа к ка-талогам Active Directory (Active Directory Lightweight Directory Services, AD LDS).Контроль получения и применения параметров на защищаемых компьютерахосуществляется самим сервером безопасности.Домен безопасности создается как часть структуры леса доменов безопасности.Для леса назначается группа пользователей, которым будут предоставлены пра-ва на создание новых доменов безопасности. Эта группа будет являться группойадминистраторов леса доменов безопасности. При создании домена безо-пасности назначается группа пользователей, которым будут предоставлены пра-ва администрирования домена безопасности, — группа администраторов доменабезопасности.

Внимание!Чтобы обеспечить бесперебойное функционирование защищаемых компьютеров, следует преду-смотреть наличие в домене безопасности постоянно работающего резервного сервера безо-пасности.

Сетевая структура Secret Net StudioСетевая структура системы Secret Net Studio строится по принципу подчинениязащищаемых компьютеров сети серверу безопасности. Для подчинения серверубезопасности компьютер должен быть в составе домена безопасности.В рамках леса доменов можно организовать функционирование несколькихсерверов безопасности с подчинением по иерархическому принципу. При этомиерархия подчинения серверов не обязательно должна соответствовать струк-туре доменов в лесу. На рисунке представлен пример использования несколькихсерверов СБ1 — СБ4.

Каждый сервер контролирует работу своей группы защищаемых компьютеров иимеет свою базу данных. При этом некоторые операции доступны и в отношенииобъектов, относящихся к подчиненным серверам. Как видно из рисунка, серверыбезопасности СБ2 и СБ3 являются подчиненными по отношению к СБ1, а СБ4 —подчиненным по отношению к СБ2.Сетевую структуру системы Secret Net Studio можно формировать с учетомразличных особенностей построения сети и распределения полномочий между

33Secret Net Studio – C. Руководство администратораПринципы построения

администраторами. Одним из основных факторов, влияющих на формированиесетевой структуры системы Secret Net Studio, является вопрос наделения пол-номочиями администраторов безопасности. При необходимости разделить пол-номочия администраторов следует сформировать домены безопасности на базеорганизационных подразделений. Такой вариант позволяет в нужном объемеразделить полномочия администраторов безопасности и администраторов до-мена Active Directory, поскольку в рамках организационного подразделения адми-нистратору безопасности могут быть предоставлены все необходимые права наадминистрирование.Обмен данными между клиентами и сервером осуществляется в режиме сессий.При передаче данных используется протокол HTTPS. На сервере должен бытьустановлен сертификат для обеспечения защиты соединений с сервером.

Управление компьютерами с СЗИ Secret Net LSPВ Secret Net Studio имеется возможность централизованного управления, монито-ринга и получения локальных журналов для компьютеров, функционирующихпод управлением ОС семейства Linux. Для этого на компьютерах должно бытьустановлено средство защиты информации Secret Net LSP (версии 1.7 и выше) ивыполнена настройка удаленного управления. Описание последовательностидействий для настройки удаленного управления см. в документации на этот про-дукт. Сведения о возможностях управления компьютерами с установленнымSecret Net LSP приведены в документе [4].

Управление доменными пользователямиНастройка параметров доменных пользователей для работы в системе Secret NetStudio осуществляется в программе управления пользователями. Программа вхо-дит в состав средств управления Secret Net Studio и дополнительно предос-тавляет возможности создания и удаления учетных записей, а также позволяетнастраивать основные параметры пользователей и групп.Штатные средства ОС (оснастки для управления пользователями) рекомендуетсяиспользовать только для настройки параметров, отсутствующих в программеуправления пользователями. При создании или удалении учетных записей сиспользованием штатных средств некоторые функции управления и контролямогут быть недоступны до синхронизации изменений в системе Secret NetStudio.

Централизованное хранение данныхКомпоненты системы Secret Net Studio используют следующие структурыцентрализованного хранения данных:• база данных сервера безопасности на сервере СУБД — содержит центра-

лизованные журналы и оперативную информацию для мониторинга сис-темы;

• база данных служб AD LDS — содержит параметры системы Secret Net Studio,относящиеся к учетным записям, списки серверов безопасности, списки элек-тронных идентификаторов и других объектов для централизованного управ-ления системой защиты.

Разделение хранилищ обусловлено спецификой обращения к данным. Обра-щения осуществляют только те компоненты, которым это разрешено. Контроль иразграничение доступа к хранилищам осуществляются самой системой, поэтомуот администратора не требуется дополнительных действий для обеспечения за-щиты обращений.

34Secret Net Studio – C. Руководство администратораПринципы построения

ПриложениеНеобходимые права для установки и управления

Система Secret Net Studio обеспечивает возможности входа и выполнения опе-раций для любых зарегистрированных пользователей в рамках полномочий, ко-торыми они обладают в ОС и механизмах защиты. Для установки компонентовSecret Net Studio и управления работой системы пользователи дополнительнодолжны обладать определенными административными полномочиями. Составнеобходимых прав и привилегий для администрирования зависит от выпол-няемых операций.Для автономного режима функционирования установка ПО клиента Secret NetStudio и все функции управления доступны пользователям, входящим в локаль-ную группу администраторов компьютера. Некоторые функции (например,управление журналом Secret Net Studio) могут быть переданы другим пользо-вателям путем предоставления соответствующих привилегий.Ниже в данном разделе приводится список основных операций при исполь-зовании системы Secret Net Studio в сетевом режиме функционирования. Длякаждой операции указаны учетные записи, для которых доступно выполнениедействий. Используются следующие условные обозначения учетных записей:• Администраторы леса доменов безопасности — пользователи, вклю-

ченные в группу администраторов леса доменов безопасности Secret NetStudio (группа указывается при установке сервера безопасности, если выб-ран вариант создания домена в новом лесу доменов безопасности — то естьустанавливается первый СБ в лесу доменов безопасности);

• Администраторы домена безопасности — пользователи, включенные вгруппу администраторов домена безопасности Secret Net Studio (группа ука-зывается при установке сервера безопасности, если выбран вариант созда-ния нового домена безопасности — то есть устанавливается первый СБ вдомене безопасности);

• Administrators — пользователи, включенные в стандартную локальнуюгруппу администраторов компьютера (Administrators);

• Привилегия <название_привилегии>— пользователи, которым назна-чена указанная привилегия.

Установка и удаление компонентовОсновные операции при установке или удалении компонентов системы SecretNet Studio представлены в следующих таблицах.

Табл.1 Установка и удаление сервера безопасности

Операция Учетные записи с правами навыполнение

Создание групп пользователей для администраторовлеса домена безопасности и администраторов доменабезопасности

Пользователи с правами для созданиягрупп в домене AD и для включенияпользователей в группы

Установка с созданием домена в новом лесу доменовбезопасности

Administrators (доменный поль-зователь) + Администраторы доменабезопасности

Установка с созданием нового домена безопасности всуществующем лесу

Administrators + Администраторы лесадоменов безопасности +Администраторы домена безопасности

Установка с добавлением сервера в существующийдомен безопасности

Administrators + Администраторы лесадоменов безопасности +Администраторы домена безопасности

35Secret Net Studio – C. Руководство администратораПринципы построения

Операция Учетные записи с правами навыполнение

Удаление в штатном режиме: с одновременнымудалением сервера из структуры ОУ

Administrators + Администраторыдомена безопасности

Удаление в нештатном режиме: без корректировкиструктуры ОУ1

Administrators

1Операция, в результате которой на компьютере будет удалено ПО сервера безопасности,но информация о сервере останется в структуре ОУ. Для удаления сервера из структурыможно использовать программу управления (см. стр.37). Данный вариант возможен, еслив системе присутствует хотя бы один сервер безопасности, доступный для подключенияпрограммы. При нештатном удалении последнего сервера леса доменов данные леса доме-нов безопасности уничтожаются при удалении ПО сервера.

Табл.2 Установка и удаление клиента

Операция Учетные записи с правами навыполнение

Установка с подключением к серверу безопасности Administrators + Администраторыдомена безопасности

Установка без подключения к серверу безопасности1 Administrators

Удаление с одновременным удалением клиента изструктуры ОУ

Administrators + Администраторыдомена безопасности

Удаление без корректировки структуры ОУ2 Administrators

1Операция, в результате которой на компьютере будет установлено ПО клиента, но клиентне будет связан с сервером безопасности в структуре ОУ. Для добавления сопо-ставленного клиенту агента в структуру и подчинения его серверу безопасности можноиспользовать программу управления (см. стр.37).

2Операция, в результате которой на компьютере будет удалено ПО клиента, но инфор-мация о клиенте останется в структуре ОУ. Для удаления сопоставленного клиенту агентаиз структуры ОУ можно использовать программу управления (см. стр.37).

Табл.3 Установка и удаление программы управления

Операция Учетные записи с правами навыполнение

Установка Administrators

Удаление Administrators

Настройка механизмов и управление параметрами объектовОсновные операции при настройке механизмов защиты системы Secret NetStudio и изменении параметров объектов (пользователей, компьютеров)представлены в следующей таблице.

Табл.4 Настройка механизмов и управление параметрами объектов

Операция Учетные записи с правами навыполнение

Создание и удаление групп пользователей Пользователи с правами для созданияи удаления учетных записей в доменеAD + Administrators

Создание и удаление пользователей Пользователи с правами для созданияи удаления учетных записей в доменеAD + Администраторы доменабезопасности + Administrators

36Secret Net Studio – C. Руководство администратораПринципы построения

Операция Учетные записи с правами навыполнение

Управление параметрами пользователей, присвоение инастройка идентификаторов

Администраторы домена безопасности+ Administrators

Формирование списка компьютеров для входа вПАК «Соболь»

Администраторы домена безопасности

Управление ключами ЦУ ПАК «Соболь» Администраторы домена безопасности+ Administrators

Локальное управление параметрами компьютера:редактирование учетной информации, подключениеПАК «Соболь»

Администраторы домена безопасности+ Administrators

Управление параметрами КЦ-ЗПС Администраторы домена безопасности+ Administrators

Работа с программой управления в централизованном режимеОсновные операции в программе управления системы Secret Net Studio представ-лены в следующей таблице.

Табл.5 Использование программы управления

Операция Учетные записи с правами навыполнение

Подключение к серверу безопасности и просмотринформации

Привилегия «Просмотр информации» длясервера подключения

Конфигурирование агентов (добавление в структуруОУ, удаление, подчинение и настройка параметров врежиме конфигурирования)

Администраторы домена безопасности

Конфигурирование серверов безопасности(добавление в структуру ОУ, удаление, подчинение инастройка параметров в режиме конфигурирования)

Администраторы домена безопасности

Корректировка структуры ОУ после нештатногоудаления сервера безопасности: удаление серверапри подключении к СБ в другом домене в том желесу1

Администраторы домена безопасности (вдомене сервера подключения) +Администраторы домена безопасности (вдомене удаленного сервера)

Настройка параметров групповых политик доменов иорганизационных подразделений

Администраторы домена безопасности +Привилегия «Редактирование политик»для сервера подключения.Для управления группой параметров»Администрирование системы защиты»дополнительно требуется привилегия»Администрирование системы защиты» насервере подключения

Удаленная настройка локальных параметров SecretNet Studio: параметры локальной политикибезопасности, аппаратная конфигурация, состояниезащитных механизмов

Привилегии «Редактирование политик» +»Выполнение оперативных команд» длясервера подключения.Для управления группой параметров»Администрирование системы защиты»дополнительно требуется привилегия»Администрирование системы защиты» насервере подключения

Выполнение команд оперативного управлениякомпьютерами: блокировка, перезагрузка,обновление политик

Привилегия «Выполнение оперативныхкоманд» для сервера подключения

Запуск процесса внеочередного сбора журналов сзащищаемых компьютеров

Привилегия «Сбор журналов по команде»для сервера подключения

37Secret Net Studio – C. Руководство администратораПринципы построения

Операция Учетные записи с правами навыполнение

Запуск процесса внеочередного архивированияжурналов в БД сервера безопасности

Привилегия»Архивирование/восстановлениежурналов» для сервера подключения

Квитирование событий тревоги (подтверждениеприема информации)

Привилегия «Квитирование сообщений отревогах» для сервера подключения

1Операция выполняется, если ПО сервера безопасности было удалено в нештатномрежиме без корректировки структуры ОУ (см. стр.35) и при этом для подключения прог-раммы доступен СБ в другом домене того же леса. Если можно выполнить подключение ксерверу в том же домене, для удаления объекта из структуры достаточно полномочий, тре-буемых при конфигурировании серверов безопасности (см. выше).

Оценка размера БД для сервера безопасностиДля установки и функционирования сервера безопасности в системе долженбыть установлен сервер СУБД. Чтобы обеспечить производительность и необ-ходимое время хранения накопленных данных, предварительно следует оце-нить размер будущей базы данных и нужный объем дискового пространства накомпьютере сервера СУБД. Исходя из результатов оценки принимается решениео выборе редакции СУБД (свободно распространяемые редакции имеют огра-ничение на размер базы данных) и аппаратной конфигурации компьютера.Основные критерии для оценки:• Поток событий — количество регистрируемых событий в течение опреде-

ленного периода времени. Базовое значение — поток событий в секунду(Events Per Second, EPS). Суммируются события, регистрируемые в штатныхжурналах ОС и в журнале Secret Net Studio. Нужно учитывать, что на потоксобытий существенно влияют роль компьютера в системе (сервер, рабочаястанция), а также заданные параметры функционирования и регистрации вподсистемах.

• Размер записей о событиях — объем сохраняемой информации о событиях взаписях журналов. Зависит от заполнения полей в записях различными дан-ными: описания событий, сведения об источниках и объектах, другие дан-ные. Размер записи о событии может варьироваться в широких пределах,поэтому целесообразно оценивать среднее значение.

• Срок хранения журналов — определяет время хранения журналов в базе дан-ных и в архивах. Журналы должны быть доступны для оперативного по-лучения сведений об инцидентах и нарушениях политики безопасности, дляпроведения аудита и определения потенциальных угроз. Срок хранения жур-налов должен быть достаточным, чтобы осуществлять ретроспективный ана-лиз состояния системы.

Примечание.Для обеспечения работоспособности сервера СУБД и минимизации издержек на поддержкуинфраструктуры необходимо регулярно выполнять архивацию журналов. По умолчанию ар-хивы сохраняются в подкаталоге \Archive каталога установки сервера безопасности. При необхо-димости архив можно загрузить в базу данных для анализа содержимого хранящихся в немжурналов.

Ниже рассматривается пример расчета для типовой АС класса защищенности 1Г,состоящей из одного сервера безопасности и 100 клиентских компьютеров. Длясервера безопасности используется компьютер под управлением ОС WindowsServer 2012, для клиентов — ОСWindows 8.

38Secret Net Studio – C. Руководство администратораПринципы построения

Табл.6 Поток событий и средний размер записей на серверебезопасности

Журналы Среднее количествособытий в секунду (EPS)

Средний размер записи(байт)

Штатные журналы ОС 3 1000

Журнал Secret Net Studio 0,05 800

Табл.7 Поток событий и средний размер записей на клиенте

Журналы Среднее количествособытий в секунду (EPS)

Средний размер записи(байт)

Штатные журналы ОС 1 1000

Журнал Secret Net Studio 0,05 800

Табл.8 Объем журналов

Журналы Количествособытий в день

Заполнение БДза день(МБ)1

Объемжурналов в БДза 7 дней(МБ)2

Объемжурналов вархиве за 1 год(МБ)3

Сервер безопасности, 1 компьютер

Штатные журналыОС

259 200 259,2 1 814,4 2 365

Журнал Secret NetStudio

4 320 3,5 24,2 31,5

Клиент Secret Net Studio, 100 компьютеров

Штатные журналыОС

8 640 000 8 640 60 480 78 840

Журнал Secret NetStudio

432 000 345,6 2 419,2 3 153

Всего для сервера безопасности и клиентов

9 248,3 64 737,8 84 390

1Указан размер таблиц, содержащих журналы событий. Общий размер базы данных зави-сит также от размеров журнала транзакций и проводимых операций по оптимизации, сжа-тию базы.

2При использовании СУБД MS SQL Express 2012 (в данной редакции действует огра-ничение на размер базы в 10 ГБ) следует уменьшить число источников данных. Для этогоможно сократить количество подчиненных компьютеров до 10 либо в параметрах пере-дачи локальных журналов отключить сбор штатных журналов ОС.

3С учетом сжатия архива с коэффициентом 40:1.

Внимание!Чтобы не увеличивался общий объем базы и сохранялась производительность, регулярно вы-полняйте операции по архивированию логов СУБД и оптимизации структуры базы для удаления пу-стых страниц и дефрагментации записей в базе. В случае переполнения базы (при использованиисвободно распространяемыхСУБД, имеющих ограничения по размеру базы)необходимо выполнитьдействия по очистке базы данных, описанные в документе с комментариями к выпущенной версии(Release Notes).

39Secret Net Studio – C. Руководство администратораПринципы построения

Рекомендации по настройке для соответствия требованиямо защите информации

В разделе приведены значения параметров безопасности Secret Net Studio – C,которые рекомендуется установить в целях соответствия информационной сис-темы требованиям о защите информации, предъявляемым к информационнымсистемам различных типов и классов/уровней защищенности.Настроить параметры безопасности должным образом можно вручную или сиспользованием стандартных шаблонов параметров безопасности для инфор-мационных систем различных типов и классов/уровней защищенности (см. доку-мент [4], раздел «Настройка параметров безопасности»).

Примечание.Стандартные шаблоны параметров безопасности не поддерживаются клиентами Secret Net LSP.

Автоматизированные системыПри определенных вариантах настройки система Secret Net Studio обеспечиваетсоответствие требованиям для следующих классов защищенности автоматизи-рованных систем (АС) согласно классификации документа «Руководящий доку-мент. Автоматизированные системы. Защита от несанкционированного доступак информации. Классификация автоматизированных систем и требования по за-щите информации»:• АС первой группы:

• 1Б;• 1В;• 1Г;• 1Д.

• АС второй группы:• 2А;• 2Б.

• АС третьей группы:• 3А;• 3Б.

Использование средств защиты загрузкиВ АС должны применяться средства, исключающие доступ пользователя к ресур-сам компьютера в обход механизмов системы защиты. Для систем любого классадо 1Б включительно в качестве таких средств могут использоваться:• изделие «Программно-аппаратный комплекс «Соболь»;• изделие Secret Net Card.При использовании Secret Net Studio на виртуальных машинах в виртуальной ин-фраструктуре на базе продуктов VMware Infrastructure или VMware vSphere в ка-честве средства доверенной загрузки виртуальных машин может применятьсяизделие «Средство защиты информации vGate R2» или «Средство защиты инфор-мации vGate-S R2», совместимое с версией используемого продукта.Вместо вышеперечисленных средств или совместно с любым из них может бытьразработан и внедрен комплекс организационно- технических мероприятий,обеспечивающих невозможность доступа пользователей к информации на дис-ках компьютера в обход механизмов системы Secret Net Studio.

Параметры политик Secret Net StudioДля соответствия классам защищенности АС должны быть настроены параметрыполитик, перечисленные в следующей таблице. Настройка выполняется в прог-рамме управления на вкладке «Настройки», раздел «Политики».

40Secret Net Studio – C. Руководство администратораПринципы построения

Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.9 Параметры политик

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Группа «Вход в систему»

Максимальный периоднеактивности доблокировки экрана

все: Не более 10(реком.)

Запрет вторичного входав систему

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Режим идентификациипользователя

все: Смешанный(реком.)

Режим аутентификациипользователя

все: Усиленнаяпо паролю(обяз.)

Режим аутентификациипользователя:Регистрировать неверныеаутентификационныеданные

1Б,1В,1Г: Да (обяз.)1Д: –

все: Да (обяз.) 3А: Да (обяз.)3Б: –

Парольная политика все: Заданы значения(обяз.)

все: Заданы значения(обяз.)

Минимальная длина пароля 1Б: Не менее 8символов (обяз.)1В,1Г,1Д: Не менее 6символов (обяз.)

все: Не менее 6символов (обяз.)

Срок действия пароля 1Б: Не более 90 дней(обяз.)1В,1Г,1Д: Не более180 дней (обяз.)

все: Не более 180дней (обяз.)

Группа «Журнал»

Максимальный размержурнала защиты

1Б,1В: Не менее 4096(реком.)1Г,1Д: Не менее 2048(реком.)

2А: Не менее 4096(реком.)2Б: Не менее 2048(реком.)

все: Не менее 2048(реком.)

Политика перезаписисобытий

все: Затирать помере необходимости(реком.)

Учетные записи спривилегией просмотражурнала

все: Локальная группаадминистраторов(реком.)

Учетные записи спривилегией управленияжурналом

все: Локальная группаадминистраторов(реком.)

Группа «Ключи пользователя»

Максимальный срокдействия ключа

все: Не более 360(реком.)

41Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Предупреждение обистечении срока действияключа

все: Не менее 14(реком.)

Группа «Оповещение о тревогах»

Локальное оповещение отревогах

1Б: Включено (обяз.)1В,1Г,1Д: Включено(реком.)

все: Включено(реком.)

Группа «Дискреционное управление доступом»

Учетные записи спривилегией управленияправами доступа

1Б,1В,1Г: Локальнаягруппаадминистраторов(обяз.)1Д: Локальная группаадминистраторов(реком.)

все: – все: –

Группа «Затирание данных»

Количество цикловзатирания на локальныхдисках

1Б,1В: Не менее 2(обяз.)1Г: Не менее 1 (обяз.)1Д: –

2А: Не менее 2 (обяз.)2Б: –

3А: Не менее 2 (обяз.)3Б: –

Количество цикловзатирания на сменныхносителях

1Б,1В: Не менее 2(обяз.)1Г: Не менее 1 (обяз.)1Д: –

2А: Не менее 2 (обяз.)2Б: –

3А: Не менее 2 (обяз.)3Б: –

Количество цикловзатирания оперативнойпамяти

1Б,1В: Не менее 2(обяз.)1Г: Не менее 1 (обяз.)1Д: –

2А: Не менее 2 (обяз.)2Б: –

3А: Не менее 2 (обяз.)3Б: –

Группа «Полномочное управление доступом»

Названия уровнейконфиденциальности

1Б,1В: Настроено(обяз.)1Г,1Д: –

2А: Настроено (обяз.)2Б: –

все: –

Режим работы 1Б,1В: Контрольпотоков включен(обяз.)1Г,1Д: –

2А: Контроль потоковвключен (обяз.)2Б: –

все: –

Режим работы: Cтрогийконтроль терминальныхподключений

1Б,1В: Да (реком.)1Г,1Д: –

2А: Да (реком.)2Б: –

все: –

Группа «Замкнутая программная среда»

Учетные записи, на которыене действуют правилазамкнутой программнойсреды

1Б,1В: Локальнаягруппаадминистраторов(реком.)1Г,1Д: –

2А: Локальная группаадминистраторов(реком.)2Б: –

все: –

Группа «Контроль приложений»

Перенаправление буфераобмена в RDP-подключениях

1Б,1В: Запрет длявсех типовподключений (реком.)1Г,1Д: –

2А: Запрет для всехтипов подключений(реком.)2Б: –

3А: Запрет для всехтипов подключений(реком.)3Б: –

Группа «Межсетевой экран»

42Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Протоколы все: Включен доступтолько для протоколаIPv4 (обяз.)

все: Включен доступтолько для протоколаIPv4 (обяз.)

Включить ICMP-защиту 1Б,1В: Да (реком.)1Г,1Д: –

2А: Да (реком.)2Б: –

3А: Да (реком.)3Б: –

ICMP-сообщения: Эхо-ответ 1Б,1В: Получение(реком.)1Г,1Д: –

2А: Получение(реком.)2Б: –

3А: Получение(реком.)3Б: –

ICMP-сообщения: Адресатнедоступен

1Б,1В: Получение,Отправка (реком.)1Г,1Д: –

2А: Получение,Отправка (реком.)2Б: –

3А: Получение,Отправка (реком.)3Б: –

ICMP-сообщения: Эхо-запрос

1Б,1В: Отправка(реком.)1Г,1Д: –

2А: Отправка (реком.)2Б: –

3А: Отправка (реком.)3Б: –

ICMP-сообщения:Ходатайствомаршрутизатора

1Б,1В: Получение,Отправка (реком.)1Г,1Д: –

2А: Получение,Отправка (реком.)2Б: –

3А: Получение,Отправка (реком.)3Б: –

ICMP-сообщения:Превышение временногоинтервала

1Б,1В: Получение(реком.)1Г,1Д: –

2А: Получение(реком.)2Б: –

3А: Получение(реком.)3Б: –

ICMP-сообщения:Заблокировать остальныетипы

1Б,1В: Да (реком.)1Г,1Д: –

2А: Да (реком.)2Б: –

3А: Да (реком.)3Б: –

Режим обучения все: Выключен(реком.)

все: Выключен(реком.)

Группа «Авторизация сетевых соединений»

Защита соединений длягруппы everyone

1Б,1В,1Г: Да (реком.)1Д: –

2А: Да (реком.)2Б: –

все: –

Обработка сетевых пакетов:Параметры обработкисетевых пакетов

1Б,1В,1Г: Подпись,Пакет целиком (обяз.)1Д: –

2А: Подпись, Пакетцеликом (обяз.)2Б: –

все: –

Обработка сетевых пакетов:Защита от replay-атак

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Группа «Контроль устройств»

Перенаправление устройствв RDP-подключениях

1Б,1В: Запрет длявсех типов устройств иподключений (реком.)1Г: Запрет для всехтипов устройств дляподключенияудаленных устройств ккомпьютеру (реком.)1Д: –

2А: Запрет для всехтипов устройств иподключений (реком.)2Б: –

3А: Запрет для всехтипов устройств иподключений (реком.)3Б: –

Список устройств:Параметры контроля

1Б,1В,1Г: Параметрызаданы, при этом длягрупп «УстройстваUSB», «УстройстваPCMCIA» и «УстройстваIEEE1394» включенрежим «Подключениеустройствазапрещено» (обяз.)1Д: –

2А: Параметрызаданы, при этом длягрупп «УстройстваUSB», «УстройстваPCMCIA» и «УстройстваIEEE1394» включенрежим «Подключениеустройствазапрещено» (обяз.)2Б: –

все: –

43Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Список устройств:Разрешения

1Б,1В,1Г: Заданы(обяз.)1Д: –

2А: Заданы (обяз.)2Б: –

все: –

Группа «Контроль печати»

Маркировка документов 1Б,1В: Да (обяз.)1Г,1Д: –

2А: Да (обяз.)2Б: –

3А: Да (обяз.)3Б: –

Перенаправлениепринтеров в RDP-подключениях

1Б,1В: Запрет длявсех типовподключений (реком.)1Г: Запрет дляподключенияудаленных принтеровк компьютеру (реком.)1Д: –

2А: Запрет для всехтипов подключений(реком.)2Б: –

3А: Запрет для всехтипов подключений(реком.)3Б: –

Список принтеров:Разрешения

1Б,1В,1Г: Заданы(обяз.)1Д: –

2А: Заданы (обяз.)2Б: –

все: –

Параметры пользователейДля соответствия классам защищенности АС должны быть настроены параметрыпользователей, перечисленные в следующей таблице. Настройка параметровосуществляется в программе управления пользователями в диалоговом окне нас-тройки свойств пользователя.Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.10 Параметры пользователей

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Группа параметров «Доступ» в диалоге «Параметры безопасности»

Уровень допуска 1Б,1В: Назначенуполномоченнымпользователям (обяз.)1Г,1Д: –

2А: Назначенуполномоченнымпользователям (обяз.)2Б: –

все: –

Привилегия: Печатьконфиденциальныхдокументов

1Б,1В: Назначенауполномоченнымпользователям (обяз.)1Г,1Д: –

2А: Назначенауполномоченнымпользователям (обяз.)2Б: –

все: –

Привилегия: Управлениекатегориямиконфиденциальности

1Б,1В: Назначенауполномоченнымпользователям (обяз.)1Г,1Д: –

2А: Назначенауполномоченнымпользователям (обяз.)2Б: –

все: –

Привилегия: Выводконфиденциальнойинформации

1Б,1В: Назначенауполномоченнымпользователям (обяз.)1Г,1Д: –

2А: Назначенауполномоченнымпользователям (обяз.)2Б: –

все: –

44Secret Net Studio – C. Руководство администратораПринципы построения

Параметры механизмов КЦ и ЗПСДля соответствия классам защищенности АС должны быть настроены параметрымеханизмов КЦ и ЗПС, перечисленные в следующей таблице. Настройка пара-метров осуществляется в программе «Контроль программ и данных».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.11 Параметры механизмов КЦ и ЗПС

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Диалог «Режимы» в диалоговом окне настройки свойств компьютера

Режим ЗПС включен все: Да (реком.) все: Да (реком.) все: Да (реком.)

Мягкий режим 1Б,1В: Нет (реком.)1Г,1Д: –

2А: Нет (реком.)2Б: –

все: –

Проверять целостностьмодулей перед запуском

1Б,1В: Да (обяз.)1Г,1Д: –

2А: Да (обяз.)2Б: –

все: –

Проверять заголовкимодулей перед запуском

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Контролироватьисполняемые скрипты

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Диалоговое окно настройки параметров задания контроля СЗИ

Метод контроля ресурсов все: Содержимое(обяз.)

все: – все: –

Алгоритм 1Б: Имитовставка(реком.)1В,1Г,1Д: CRC32(реком.)

все: – все: –

Регистрация событий: Успехзавершения

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Регистрация событий:Ошибка завершения

все: Да (обяз.) все: Да (обяз.) все: Да (обяз.)

Регистрация событий: Успехпроверки

все: Нет (реком.) все: Нет (реком.) все: Нет (реком.)

Регистрация событий:Ошибка проверки

все: Да (обяз.) все: Да (обяз.) все: Да (обяз.)

Реакция на отказ: Действия все: Заблокироватькомпьютер (реком.)

все: Заблокироватькомпьютер (реком.)

Расписание 1Б: При загрузке ОС ипо расписанию(обяз.)1В,1Г,1Д: Призагрузке ОС или чаще(обяз.)

все: При загрузке ОСили чаще (обяз.)

Диалоговое окно настройки параметров заданий контроля ОС (файлы и реестр)

Метод контроля ресурсов все: Содержимое(реком.)

все: – все: –

45Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности АС

1Б, 1В, 1Г, 1Д 2А, 2Б 3А, 3Б

Алгоритм 1Б: Имитовставка(реком.)1В,1Г,1Д: CRC32 дляреестра и встроеннаяЭЦП для файлов(реком.)

все: – все: –

Регистрация событий: Успехзавершения

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Регистрация событий:Ошибка завершения

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Регистрация событий: Успехпроверки

все: Нет (реком.) все: Нет (реком.) все: Нет (реком.)

Регистрация событий:Ошибка проверки

все: Да (реком.) все: Да (реком.) все: Да (реком.)

Реакция на отказ: Действия все: Заблокироватькомпьютер (реком.)

все: Заблокироватькомпьютер (реком.)

Расписание 1Б: При загрузке ОС ипо расписанию(реком.)1В,1Г,1Д: Призагрузке ОС или чаще(реком.)

все: При загрузке ОСили чаще (реком.)

Государственные информационные системыПри определенных вариантах настройки система Secret Net Studio обеспечиваетсоответствие требованиям для государственных информационных систем (ГИС),изложенным в следующих нормативно-методических документах:• Меры защиты информации в государственных информационных системах

(документ утвержден ФСТЭК России 11 февраля 2014 г.).• Требования о защите информации, не составляющей государственную

тайну, содержащейся в государственных информационных системах (утвер-ждены приказом ФСТЭК России от 11 февраля 2013 г.№ 17).

Для классов защищенности ГИС К1, К2, К3 и К4 определены базовые наборы мерзащиты информации. Организационные и технические меры защиты инфор-мации должны обеспечивать реализацию следующих основных требований:• идентификация и аутентификация субъектов доступа и объектов доступа;• управление доступом субъектов доступа к объектам доступа;• ограничение программной среды;• защита машинных носителей информации;• регистрация событий безопасности;• целостность информационной системы и информации;• доступность информации;• защита технических средств;• защита информационной системы,ее средств, систем связи и передачи данных.

Использование средств доверенной загрузкиВ ГИС классов К1 и К2 должны применяться средства доверенной загрузки опера-ционной системы. В качестве средства доверенной загрузки может исполь-зоваться изделие «Программно-аппаратный комплекс «Соболь».

46Secret Net Studio – C. Руководство администратораПринципы построения

Обеспечение непрерывности функционированияДля обеспечения непрерывности функционирования Secret Net Studio в ГИСвсех классов защищенности рекомендуется в каждом домене безопасностииспользовать не менее двух серверов безопасности.

Параметры политик Secret Net StudioДля соответствия классам защищенности ГИС должны быть настроены пара-метры политик, перечисленные в следующей таблице. Настройка выполняется впрограмме управления на вкладке «Настройки», раздел «Политики».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.12 Параметры политик

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

Группа «Вход в систему»

Максимальный периоднеактивности доблокировки экрана

Не более 5(обяз.)

Не более 15(реком.)

–

Запрет вторичного входав систему

Да (реком.) Да (реком.) Да (реком.) Да (реком.)

Количество неудачныхпопыток аутентификации

От 3 до 4(обяз.)

От 3 до 8(обяз.)

От 3 до 10(обяз.)

Режим идентификациипользователя

Только поидентификатору(обяз.)

Только поидентификатору(реком.)

Смешанный(реком.)

Режим аутентификациипользователя

Усиленнаяпо паролю(обяз.)

Парольная политика Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)

Минимальная длинапароля

Не менее 8символов (обяз.)

Не менее 6символов (обяз.)

Срок действия пароля Не более 60дней (обяз.)

Не более 90дней (обяз.)

Не более 120дней (обяз.)

Не более 180дней (обяз.)

Сложность пароля Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)

Группа «Журнал»

Максимальный размержурнала защиты

Не менее 4096(реком.)

Политика перезаписисобытий

Затирать померенеобходимости(реком.)

Учетные записи спривилегией просмотражурнала

Локальнаягруппаадминистраторов(реком.)

47Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

Учетные записи спривилегией управленияжурналом

Локальнаягруппаадминистраторов(реком.)

Группа «Ключи пользователя»

Максимальный срокдействия ключа

Не более 360(реком.)

Предупреждение обистечении срока действияключа

Не менее 14(реком.)

Группа «Оповещение о тревогах»

Локальное оповещение отревогах

Включено(реком.)

Группа «Дискреционное управление доступом»

Учетные записи спривилегией управленияправами доступа

Локальнаягруппаадминистраторов(реком.)

Группа «Затирание данных»

Количество цикловзатирания на локальныхдисках

Не менее 2(обяз.)

Не менее 1(обяз.)

–

Количество цикловзатирания на сменныхносителях

Не менее 2(обяз.)

Не менее 1(обяз.)

–

Количество цикловзатирания оперативнойпамяти

Не менее 2(обяз.)

– – –

Группа «Полномочное управление доступом»

Названия уровнейконфиденциальности

Настроено(обяз.)*

– – –

Режим работы Контрольпотоков включен(обяз.)*

– – –

Режим работы: Cтрогийконтроль терминальныхподключений

Да (обяз.)* – – –

Группа «Замкнутая программная среда»

Учетные записи, накоторые не действуютправила замкнутойпрограммной среды

Локальнаягруппаадминистраторов(реком.)

– – –

Группа «Межсетевой экран»

Протоколы Включен доступтолько дляпротокола IPv4(обяз.)

Включен доступтолько дляпротокола IPv4(обяз.)

Включить ICMP-защиту Да (реком.) Да (реком.) – –

ICMP-сообщения: Эхо-ответ Получение(реком.)

Получение(реком.)

– –

48Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

ICMP-сообщения: Адресатнедоступен

Получение,Отправка(реком.)

– –

ICMP-сообщения: Эхо-запрос

Отправка(реком.)

– –

ICMP-сообщения:Ходатайствомаршрутизатора

Получение,Отправка(реком.)

– –

ICMP-сообщения:Превышение временногоинтервала

Получение(реком.)

– –

ICMP-сообщения:Заблокировать остальныетипы

Да (реком.) Да (реком.) – –

Режим обучения Выключен(реком.)

Выключен(реком.)

Группа «Авторизация сетевых соединений»

Защита соединений длягруппы everyone

Да (реком.) Да (реком.) – –

Обработка сетевыхпакетов: Параметрыобработки сетевых пакетов

Подпись, Пакетцеликом (обяз.)

– –

Обработка сетевыхпакетов: Защита от replay-атак

Да (реком.) Да (реком.) Да (реком.) Да (реком.)

Группа «Контроль устройств»

Перенаправлениеустройств в RDP-подключениях

Запрет для всехтипов устройстви подключений(реком.)

Список устройств:Параметры контроля

Параметрызаданы, при этомдля групп»УстройстваUSB»,»УстройстваPCMCIA» и»УстройстваIEEE1394″включен режим»Подключениеустройствазапрещено»(обяз.)

Параметрызаданы, при этомдля групп»УстройстваUSB», «Устрой-ства PCMCIA» и»УстройстваIEEE1394″ вклю-чен режим «Под-ключениеустройства запре-щено» (обяз.)

Список устройств:Разрешения

Заданы (обяз.) Заданы (обяз.) Заданы (обяз.) Заданы (обяз.)

Группа «Контроль печати»

Список принтеров:Разрешения

Заданы (обяз.) Заданы (обяз.) Заданы (обяз.) Заданы (обяз.)

*Действие является обязательным, если для реализации меры ОЦЛ.6 (ограничение правпользователей по вводу информации в систему) будет применяться механизм полно-мочного управления доступом системы Secret Net Studio. Если для реализации указанноймеры защиты применяются другие решения, действие не обязательно для выполнения.

49Secret Net Studio – C. Руководство администратораПринципы построения

Параметры пользователейДля соответствия классам защищенности ГИС должны быть настроены пара-метры пользователей, перечисленные в следующей таблице. Настройка пара-метров осуществляется в программе управления пользователями в диалоговомокне настройки свойств пользователя.Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.13 Параметры пользователей

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

Группа параметров «Идентификатор» в диалоге «Параметры безопасности»

Электронныйидентификаторпользователя

Присвоен(обяз.)

Присвоен(реком.)

– –

Интеграция с ПАК «Соболь» Да (реком.) Да (реком.) – –

Группа параметров «Доступ» в диалоге «Параметры безопасности»

Уровень допуска Назначенуполномоченнымпользователям(обяз.)*

– – –

Привилегия: Управлениекатегориямиконфиденциальности

Назначенауполномоченнымпользователям(обяз.)*

– – –

Параметры механизмов КЦ и ЗПСДля соответствия классам защищенности ГИС должны быть настроены пара-метры механизмов КЦ и ЗПС, перечисленные в следующей таблице. Настройкапараметров осуществляется в программе «Контроль программ и данных».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.14 Параметры механизмов КЦ и ЗПС

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

Диалог «Режимы» в диалоговом окне настройки свойств компьютера

Режим ЗПС включен Да (обяз.) – – –

50Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрКлассы защищенности ГИС

К1 К2 К3 К4

Мягкий режим Нет (обяз.) – – –

Проверять целостностьмодулей перед запуском

Да (обяз.) – – –

Проверять заголовкимодулей перед запуском

Да (реком.) – – –

Контролироватьисполняемые скрипты

Да (реком.) – – –

Диалоговое окно настройки параметров задания контроля СЗИ

Метод контроля ресурсов Содержимое(обяз.)

Содержимое(обяз.)

– –

Алгоритм CRC32 (реком.) CRC32 (реком.) – –

Регистрация событий: Успехзавершения

Да (реком.) Да (реком.) – –

Регистрация событий:Ошибка завершения

Да (обяз.) Да (обяз.) – –

Регистрация событий:Ошибка проверки

Да (обяз.) Да (обяз.) – –

Реакция на отказ: Действия Заблокироватькомпьютер(реком.)

Заблокироватькомпьютер(реком.)

– –

Расписание При загрузке ОСи порасписанию(обяз.)

При загрузке ОСи порасписанию(обяз.)

– –

Диалоговое окно настройки параметров задания контроля ОС (файлы и реестр)

Метод контроля ресурсов Содержимое(реком.)

Содержимое(реком.)

– –

Алгоритм CRC32 (реком.) CRC32 (реком.) – –

Регистрация событий: Успехзавершения

Да (реком.) Да (реком.) – –

Регистрация событий:Ошибка завершения

Да (реком.) Да (реком.) – –

Регистрация событий: Успехпроверки

Нет (реком.) Нет (реком.) – –

Регистрация событий:Ошибка проверки

Да (реком.) Да (реком.) – –

Реакция на отказ: Действия Заблокироватькомпьютер(реком.)

Заблокироватькомпьютер(реком.)

– –

Расписание При загрузке ОСи порасписанию(реком.)

При загрузке ОСи порасписанию(реком.)

– –

Информационные системы персональных данныхПри определенных вариантах настройки система Secret Net Studio обеспечиваетсоответствие требованиям для информационных систем персональных данных(ИСПДн), изложенным в документе «Состав и содержание организационных итехнических мер по обеспечению безопасности персональных данных при их об-

51Secret Net Studio – C. Руководство администратораПринципы построения

работке в информационных системах персональных данных» (утвержден прика-зом ФСТЭК России от 18 февраля 2013 г.№ 21).Для уровней защищенности ИСПДн 1, 2, 3 и 4 определены базовые наборы мерзащиты информации. Организационные и технические меры защиты инфор-мации должны обеспечивать реализацию следующих основных требований:• идентификация и аутентификация субъектов доступа и объектов доступа;• управление доступом субъектов доступа к объектам доступа;• ограничение программной среды;• защита машинных носителей информации;• регистрация событий безопасности;• целостность информационной системы и информации;• доступность информации;• защита технических средств;• защита информационной системы,ее средств, систем связи и передачи данных.

Использование средств доверенной загрузкиВ ИСПДн уровней 1 и 2 должны применяться средства доверенной загрузкиоперационной системы. В качестве средства доверенной загрузки может исполь-зоваться изделие «Программно-аппаратный комплекс «Соболь».

Обеспечение непрерывности функционированияДля обеспечения непрерывности функционирования Secret Net Studio в ИСПДнвсех уровней защищенности рекомендуется в каждом домене безопасностииспользовать не менее двух серверов безопасности.

Параметры политик Secret Net StudioДля соответствия уровням защищенности ИСПДн должны быть настроены пара-метры политик, перечисленные в следующей таблице. Настройка параметровосуществляется в программе управления на вкладке «Настройки», раздел «По-литики».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.15 Параметры политик

ПараметрУровни защищенности ИСПДн

1 2 3 4

Группа «Вход в систему»

Максимальный периоднеактивности доблокировки экрана

Не более 5(обяз.)

Не более 15(реком.)

–

Запрет вторичного входав систему

Да (реком.) Да (реком.) Да (реком.) Да (реком.)

Количество неудачныхпопыток аутентификации

От 3 до 4(обяз.)

От 3 до 8(обяз.)

От 3 до 10(обяз.)

Режим идентификациипользователя

Только поидентификатору(обяз.)

Только поидентификатору(реком.)

Смешанный(реком.)

52Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрУровни защищенности ИСПДн

1 2 3 4

Режим аутентификациипользователя

Усиленнаяпо паролю(обяз.)

Парольная политика Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)

Минимальная длинапароля

Не менее 8символов (обяз.)

Не менее 6символов (обяз.)

Срок действия пароля Не более 60дней (обяз.)

Не более 90дней (обяз.)

Не более 120дней (обяз.)

Не более 180дней (обяз.)

Сложность пароля Да (обяз.) Да (обяз.) Да (обяз.) Да (обяз.)

Группа «Журнал»

Максимальный размержурнала защиты

Не менее 4096(реком.)

Политика перезаписисобытий

Затирать померенеобходимости(реком.)

Учетные записи спривилегией просмотражурнала

Локальнаягруппаадминистраторов(реком.)

Учетные записи спривилегией управленияжурналом

Локальнаягруппаадминистраторов(реком.)

Группа «Ключи пользователя»

Максимальный срокдействия ключа

Не более 360(реком.)

Предупреждение обистечении срока действияключа

Не менее 14(реком.)

Группа «Оповещение о тревогах»

Локальное оповещение отревогах

Включено(реком.)

Группа «Дискреционное управление доступом»

Учетные записи спривилегией управленияправами доступа

Локальнаягруппаадминистраторов(реком.)

Группа «Затирание данных»

Количество цикловзатирания на локальныхдисках

Не менее 2(обяз.)

Не менее 1(обяз.)

–

Количество цикловзатирания на сменныхносителях

Не менее 2(обяз.)

Не менее 1(обяз.)

–

Группа «Полномочное управление доступом»

Названия уровнейконфиденциальности

Настроено(обяз.)*

– – –

Режим работы Контрольпотоков включен(обяз.)*

– – –

53Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрУровни защищенности ИСПДн

1 2 3 4

Режим работы: Cтрогийконтроль терминальныхподключений

Да (обяз.)* – – –

Группа «Межсетевой экран»

Протоколы Включен доступтолько дляпротокола IPv4(обяз.)

Включен доступтолько дляпротокола IPv4(обяз.)

Включить ICMP-защиту Да (реком.) Да (реком.) – –

ICMP-сообщения: Эхо-ответ Получение(реком.)

Получение(реком.)

– –

ICMP-сообщения: Адресатнедоступен

Получение,Отправка(реком.)

– –

ICMP-сообщения: Эхо-запрос

Отправка(реком.)

– –

ICMP-сообщения:Ходатайствомаршрутизатора

Получение,Отправка(реком.)

– –

ICMP-сообщения:Превышение временногоинтервала

Получение(реком.)

– –

ICMP-сообщения:Заблокировать остальныетипы

Да (реком.) Да (реком.) – –

Режим обучения Выключен(реком.)

Выключен(реком.)

Группа «Авторизация сетевых соединений»

Защита соединений длягруппы everyone

Да (реком.) Да (реком.) – –

Обработка сетевыхпакетов: Параметрыобработки сетевых пакетов

Подпись, Пакетцеликом (обяз.)

– –

Обработка сетевыхпакетов: Защита от replay-атак

Да (реком.) Да (реком.) Да (реком.) Да (реком.)

Группа «Контроль устройств»

Перенаправлениеустройств в RDP-подключениях

Запрет для всехтипов устройстви подключений(реком.)

54Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрУровни защищенности ИСПДн

1 2 3 4

Список устройств:Параметры контроля

– –

Список устройств:Разрешения

Заданы (обяз.) Заданы (обяз.) – –

Группа «Контроль печати»

Список принтеров:Разрешения

Заданы (обяз.) Заданы (обяз.) – –

Параметры пользователейДля соответствия уровням защищенности ИСПДн должны быть настроены пара-метры пользователей, перечисленные в следующей таблице. Настройка пара-метров осуществляется в программе управления пользователями в диалоговомокне настройки свойств пользователя.Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.16 Параметры пользователей

ПараметрУровни защищенности ИСПДн

1 2 3 4

Группа параметров «Идентификатор» в диалоге «Параметры безопасности»

Электронныйидентификаторпользователя

Присвоен(обяз.)

Присвоен(реком.)

– –

Интеграция с ПАК «Соболь» Да (реком.) Да (реком.) – –

Группа параметров «Доступ» в диалоге «Параметры безопасности»

Уровень допуска Назначенуполномоченнымпользователям(обяз.)*

– – –

Привилегия: Управлениекатегориямиконфиденциальности

Назначенауполномоченнымпользователям(обяз.)*

– – –

55Secret Net Studio – C. Руководство администратораПринципы построения

Параметры механизмов КЦ и ЗПСДля соответствия уровням защищенности ИСПДн должны быть настроены пара-метры механизмов КЦ и ЗПС, перечисленные в следующей таблице. Настройкапараметров осуществляется в программе «Контроль программ и данных».Условные обозначения:• «Да» — включить параметр;• «Нет» — отключить параметр;• (обяз.)— действие обязательно для выполнения;• (реком.)— действие рекомендуется для выполнения;• «–» — значение параметра на усмотрение администратора безопасности.

Табл.17 Параметры механизмов КЦ и ЗПС

ПараметрУровни защищенности ИСПДн

1 2 3 4

Диалоговое окно настройки параметров задания контроля СЗИ

Метод контроля ресурсов Содержимое(обяз.)

Содержимое(обяз.)

– –

Алгоритм CRC32 (реком.) CRC32 (реком.) – –

Регистрация событий: Успехзавершения

Да (реком.) Да (реком.) – –

Регистрация событий:Ошибка завершения

Да (обяз.) Да (обяз.) – –

Регистрация событий:Ошибка проверки

Да (обяз.) Да (обяз.) – –

Реакция на отказ: Действия Заблокироватькомпьютер(реком.)

Заблокироватькомпьютер(реком.)

– –

Расписание При загрузке ОСи порасписанию(обяз.)

При загрузке ОСи порасписанию(обяз.)

– –

Диалоговое окно настройки параметров задания контроля ОС (файлы и реестр)

Метод контроля ресурсов Содержимое(реком.)

Содержимое(реком.)

– –

Алгоритм CRC32 (реком.) CRC32 (реком.) – –

Регистрация событий: Успехзавершения

Да (реком.) Да (реком.) – –

Регистрация событий:Ошибка завершения

Да (реком.) Да (реком.) – –

Регистрация событий: Успехпроверки

Нет (реком.) Нет (реком.) – –

Регистрация событий:Ошибка проверки

Да (реком.) Да (реком.) – –

Реакция на отказ: Действия Заблокироватькомпьютер(реком.)

Заблокироватькомпьютер(реком.)

– –

56Secret Net Studio – C. Руководство администратораПринципы построения

ПараметрУровни защищенности ИСПДн

1 2 3 4

Расписание При загрузке ОСи порасписанию(реком.)

При загрузке ОСи порасписанию(реком.)

– –

Применение параметров после настройкиПри изменении параметров объектов и защитных механизмов Secret Net Studioне все значения могут вступать в силу сразу после сохранения изменений. Неко-торые параметры применяются на защищаемых компьютерах в определенныемоменты времени.Ниже перечислены параметры, вступающие в силу после перезагрузки ком-пьютера или при следующем входе пользователя в систему. Остальные пара-метры применяются сразу после сохранения измененных значений.

Табл.18 Параметры в программе управления

Параметр Момент применения

Вкладка «Состояние» для компьютера — средства включения и отключения механизмов

Дискреционное управление После перезагрузки

Затирание данных После перезагрузки

Контроль устройств После перезагрузки

Замкнутая программная среда После перезагрузки

Полномочное управление После перезагрузки

Контроль печати После перезагрузки

Защита дисков и шифрование После перезагрузки

Вкладка «Настройки», раздел «Политики» — параметры группы «Вход в систему»

Максимальный период неактивности до блокировкиэкрана

При следующем входе в систему

Запрет вторичного входа в систему После перезагрузки

Реакция на изъятие идентификатора При следующем входе в систему

Количество неудачных попыток аутентификации При следующем входе в систему

Разрешить интерактивный вход только доменнымпользователям

При следующем входе в систему

Режим идентификации пользователя При следующем входе в систему

Режим аутентификации пользователя При следующем входе в систему

Парольная политика При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Журнал»

Максимальный размер журнала системы защиты При увеличении — сразу. Приуменьшении — после очистки журнала

Учетные записи с привилегией просмотра журналасистемы защиты

При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Ключи пользователя»

Все настраиваемые параметры группы При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Контроль RDPподключений»

Перенаправление устройств в RDP-подключениях При следующем терминальном входе

Перенаправление буфера обмена в RDP-подключениях При следующем терминальном входе

57Secret Net Studio – C. Руководство администратораПринципы построения

Параметр Момент применения

Перенаправление принтеров в RDP-подключениях При следующем терминальном входе

Вкладка «Настройки», раздел «Политики» — параметры группы «Администрированиесистемы защиты»

Самозащита продукта После перезагрузки

Вкладка «Настройки», раздел «Политики» — параметры группы «Дискреционное управлениедоступом»

Учетные записи с привилегией управления правамидоступа

При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Полномочное управлениедоступом»

Режим работы: Контроль потоков отключен После перезагрузки

Режим работы: Контроль потоков включен После перезагрузки

Режим работы: Строгий контроль терминальныхподключений

При следующем входе в систему

Режим работы: Автоматический выбор максимальногоуровня сессии

При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Замкнутая программнаясреда»

Учетные записи, на которые не действуют правилазамкнутой программной среды

При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Защита диска ишифрование данных»

Учетные записи с привилегией на созданиекриптоконтейнера

При следующем входе в систему

Вкладка «Настройки», раздел «Политики» — параметры группы «Контроль печати»

Маркировка документов При следующем входе в систему

Теневое копирование При следующем входе в систему

Вкладка «Настройки», раздел «Параметры» — параметры группы «Управление трассировкой»

Все настраиваемые параметры группы После перезагрузки

Табл.19 Параметры в программе «Контроль программ и данных»

Параметр Момент применения

Список ресурсов в задании ЗПС При следующем входе в систему*

Диалоговое окно настройки параметров субъекта управления, диалог «Режимы»

Режим ЗПС включен При следующем входе в систему*

Изоляция процесса включена При следующем входе в систему*

*При централизованной настройке возможно принудительное применение изменений покоманде «Перезагрузка параметров работы пользователей» в контекстном меню субъектовуправления.

Табл.20 Параметры в программе управления пользователями

Параметр Момент применения

Операции с учетными записями: удаление, блокировка,смена пароля

При следующем входе в систему

Окно настройки свойств пользователя, диалог «Параметры безопасности» — параметрыгруппы «Идентификатор»

58Secret Net Studio – C. Руководство администратораПринципы построения

Параметр Момент применения

Список электронных идентификаторов пользователя При следующем входе в систему

Окно настройки свойств пользователя, диалог «Параметры безопасности» — параметрыгруппы «Доступ»

Все параметры полномочного управления доступом При следующем входе в систему

59Secret Net Studio – C. Руководство администратораПринципы построения

Документация1. Средство защиты информации Secret Net Studio – C.

Руководство администратора.Принципы построения

RU.88338853.501400.002 91 1

2. Средство защиты информации Secret Net Studio – C.Руководство администратора.Установка, обновление, удаление

RU.88338853.501400.002 91 2

3. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация

RU.88338853.501400.002 91 3

4. Средство защиты информации Secret Net Studio – C.Руководство администратора.Централизованное управление, мониторинг и аудит

RU.88338853.501400.002 91 4

5. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация.Локальная защита

RU.88338853.501400.002 91 5

6. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация.Сетевая защита

RU.88338853.501400.002 91 6

7. Средство защиты информации Secret Net Studio – C.Руководство администратора.Настройка и эксплуатация.Доверенная среда

RU.88338853.501400.002 91 8

8. Средство защиты информации Secret Net Studio – C.Руководство пользователя

RU.88338853.501400.002 92

60Secret Net Studio – C. Руководство администратораПринципы построения

Источник

Добавил:

Вуз:

Предмет:

Файл:

Лаба 4.docx

Скачиваний:

Добавлен:

10.04.2023

Размер:

1.21 Mб

Скачать

В состав компонентов SNS, используемых
для локального управления, входят
следующие программные средства:

значок
Secret Net Studio в области
трея Windows;
дополнительная
вкладка «Secret Net Studio» в диалоговом
окне настройки свойств ресурса (файла,
папки или устройства);
программа
настройки подсистемы полномочного
управления доступом;
диалоговое
окно «Управление Secret Net Studio» в
Панели управления Windows;
программа
«Локальный центр управления»
(устанавливается в составе клиента
Secret Net Studio);
программа
управления пользователями (для настройки
параметров локальных пользователей);
программа
«Контроль программ и данных» в
локальном режиме работы;
дополнительные
программные средства, описание работы
с которыми приводится в руководстве
администратора.

К локальным журналам относятся журнал
Secret Net Studio и штатные журналы ОС Windows
(журнал приложений, системный журнал и
журнал безопасности). Программа «Локальный
центр управления» позволяет
просматривать хранящиеся на компьютере
штатные журналы Windows и журнал SNS. Последний
может просматриваться только средствами
Secret Net Studio.

Откройте консоль ВМ StartSNS и авторизуйтесь
в гостевой ОС под учетной записью
администратора «adminsns».
Откройте программу управления в
локальном режиме: «Пуск / Все программы
/ Код Безопасности / Secret Net Studio / Локальный
центр управления». Откроется окно
центра управления в автономном режиме.

Рис 5. Окно центра управления

На панели управления «Компьютер»
выберите вкладку «Настройки». В
левой части окна вы увидите список
настроек по разделам. В разделе «Политики
/ Базовая защита» выберите группу
параметров «Вход в систему». В
центральной части окна вы увидите
текущие параметры выбранной группы.

Рис 6. Текущие параметры настроек

Для политик группы «Вход в систему»
установите следующие значения:

«Максимальный
период неактивности до блокировки
экрана» – 15 минут (настройка применяется
после следующего входа в систему);
«Запрет
вторичного входа в систему» –
«Включить» (для применения данной
настройки необходима перезагрузка
компьютера);
«Реакция
на изъятие идентификатора» – оставьте
значение по умолчанию «Не блокировать»;
«Количество
неудачных попыток аутентификации»
– 5 (настройка применяется после
следующего входа в систему);
«Режим
идентификации пользователя» – «По
имени» (настройка применяется после
следующего входа в систему);
Режим
аутентификации пользователя» –
«Стандартная аутентификация»
(изменение настройки применяется после
следующего входа в систему).

Настройте
регистрацию событий, относящихся к
работе политик группы «Вход в систему».
Для этого:

в
правой части заголовка группы нажмите
ссылку «Аудит». Обратите внимание,
что в левой части окна теперь выбрана
группа «Вход в систему» раздела
«Регистрация событий», а в центральной
части отображаются настройки этой
группы;

Рис 7. Настройка регистрации событий

по
умолчанию включена регистрация всех
событий. С помощью значка

ознакомьтесь с описаниями событий. В
рамках данной лабораторной работы не
выключайте регистрацию событий.

В левой части окна в категории «Политики
/ Базовая защита» выберите группу
«Журнал». Установите следующие
параметры:

«Максимальный
размер журнала системы защиты» –
4096 Кб;
«Политика
перезаписи событий» – «Затирать
события по мере необходимости».

Рис 8. Установка параметров журнала

В категории «Политики / Базовая
защита» выберите группу «Теневое
копирование». Установите следующие
параметры:

«Размер
хранилища» – 15 %;
«Автоматически
перезаписывать старые данные…» –
убедитесь, что в данном поле установлен
флажок.

Рис 9. Установка параметров теневого
копирования.

Используя описание п. 7 данной лабораторной
работы, просмотрите перечень типов
регистрируемых событий группы «Теневое
копирование».

Рис 10. Регистрируемые события группы
«Теневое копирование»

Чтобы активировать новые установленные
значения параметров политик безопасности
на вкладке «Настройки», нажмите
кнопку «Применить»

.
Дождитесь завершения операции сохранения
изменений и обратите внимание на
появившуюся запись об изменении политик
в панели событий. Перезагрузите ВМ
StartSNS и вновь запустите программу
управления.
Просмотрите содержимое локальных
журналов в программе управления Secret
Net Studio. Для этого:

в
окне программы управления Secret Net Studio в
панели навигации выберите «Журналы»

.
Вы увидите перечень доступных для
просмотра локальных журналов;

Рис 11. Перечень доступных для просмотра
локальных журналов

для
того чтобы просмотреть полное содержимое
любого из журналов, достаточно выбрать
его двойным щелчком мыши. Выберите
журнал приложений. Обратите внимание,
что открылась вкладка просмотра записей
и в правой части окна появились кнопки,
позволяющие распечатать или сохранить
журнал в файл на диске;

Рис 12. Содержимое локального журнала

в
случае необходимости получить более
конкретную выборку записей журнала
можно составить запрос на формирование
выборки по определенным условиям.
Нажмите в правой части окна кнопку
«Запрос»

и в раскрывшейся панели с помощью кнопки
«Добавить правило» добавьте
следующие правила: «Дата» –
«Интервал» – «За последние 24
часа» и «Агент» – «Содержит»
– «Secret Net Studio»;

Рис 13. Настройки выборки журнала событий

нажмите
кнопку «Применить запрос локально»,
закройте панель настройки запроса,
нажав в правой части окна кнопку «Запрос»

,
и просмотрите полученный результат;
подсистема
запросов позволяет формировать выборки
по более развернутым условиям, включая
записи из любых локальных журналов. На
панели инструментов нажмите кнопку
«Новый»

,
установите произвольные правила
фильтра, нажмите кнопку «Получить
журнал» и просмотрите результат;
последовательно
просмотрите журналы безопасности и
Secret Net Studio.

Изменены некоторые локальные политики,
установлен максимальный размер журнала
системы защиты Secret Net Studio, показана
возможность выбора регистрируемых в
нем событий и в программе управления
SNS проведен просмотр локальных журналов.

Вывод: приобретены практические навыки
инсталляции и настройки программно-аппаратных
средств защиты от НСД к информации,
хранимой в ПЭВМ, инсталляции и настройки
электронных замков.

Источник

Система Secret Net Studio используется для защиты данных и инфраструктуры на серверах и рабочих станциях. Единый агент защищает от вирусов, сетевых атак, несанкционированного доступа и оптимально использует ресурсы. Система масштабируется и может управлять десятками тысяч рабочих станций и серверов.

Secret Net Studio – это стандарт для критически важных отраслей, в том числе для защиты государственной тайны. Продукт сертифицирован для защиты значимых объектов критической информационной инфраструктуры до 1 категории включительно. Система особенно удобна для крупных организаций.

Secret Net Studio обеспечивает:

защиту от несанкционированного доступа к конфиденциальным данным,
программную сегментацию,
масштабируемую систему управления,
шаблоны настроек безопасности,
прозрачную политику прав доступа с метками конфиденциальности,
многофакторную аутентификацию,
шифрование контейнеров,
удаление конфиденциальной информации без возможности восстановления специальными средствами,
защиту на всех этапах атаки,
генерацию отчетов,
защиту от угроз данным, системе, локальной сети, средствам защиты.

Может использоваться для:

защиты государственных информационных систем,
защиты информационных систем финансовых организаций,
защиты объектов критической информационной инфраструктуры,
защиты информации в здравоохранительных организациях,
защиты канала между ЦОД,
защиты инфраструктуры и данных крупных компаний.

Сертификаты

Системные требования

Дополнительные материалы

Сертификаты

Системные требования

Дополнительные материалы

Другие товары

Подключение к АИС «НАЛОГ 3»

С января 2024 года автоматизированная информационная система ФНС России “Налог-3” будет введена в промышленную эксплуатацию. Компании смогут взаимодействовать с налоговой только через эту систему.

Континент АП (Мобильный) и Secret MDM

Клиентское приложение для защиты доступа в корпоративную сеть с мобильных устройств.

Доверенная загрузка Соболь

Программно-аппаратный комплекс для доверенной загрузки операционной системы. Обязательная составная часть криптографических систем защиты информации класса КС2 и выше. На практике проверена его совместимость со многими видами оборудования.

Источник

Программное обеспечение системы защиты информации Secret Net Studio поставляются на установочном компакт диске. В корневом каталоге данного диска размещается исполняемый файл программы для работы с диском. Запустить установку Secret Net Studio можно как с помощью программы автозапуска, так и непосредственно с помощью дистрибутива, расположенного на диске, по пути: SetupClientSetupClientx64SnSetup.ru-RU.exe.

Установку компонентов Secret Net Studio можно выполнять при работе на компьютере как в локальной сессии, так и в терминальной. Установка любого компонента должна выполняться пользователем, входящим в локальную группу администраторов компьютера.

Для установки клиента:

Вставьте в привод установочный диск системы Secret Net Studio. Дождитесь появления окна программы автозапуска (см. стр.10) и запустите установку с помощью команды «Защитные компоненты». На экране появится диалог принятия лицензионного соглашения.
Ознакомьтесь с содержанием лицензионного соглашения и нажмите кнопку «Принимаю». На экране появится диалог для выбора режима работы компонента.

В поле «Режим работы» укажите режим функционирования клиента — автономный («Автономный режим»).
Нажмите кнопку «Далее >». На экране появится диалог для выбора лицензий и формирования списка устанавливаемых защитных подсистем.

В диалоге укажите метод получения лицензий:

чтобы загрузить лицензии из файла (в частности, при установке клиента в автономном режиме функционирования) — установите отметку в поле «ввести новую лицензию».

Если строите систему защиты в ЦОД, рассмотрите вариант размещения сервера в стойке в компании «Микс Телеком». Требуйте скидку при переезде из другого ЦОД!

Нажмите кнопку «Выбрать». Если указан метод получения лицензий из файла, выберите нужный файл в появившемся диалоге. После загрузки данных в диалоге появятся сведения о лицензиях.
Отметьте в списке устанавливаемые подсистемы, для которых имеются свободные лицензии (установку компонента «Базовая защита» отключить нельзя). При наличии нескольких групп лицензий для компонента, можно выбрать нужную группу в раскрывающемся списке.
Нажмите кнопку «Далее >». На экране появится диалог для выбора папки установки клиента и настройки параметров подключений.
В поле «Установить в папку» оставьте заданную по умолчанию папку установки клиента или укажите другую папку назначения.
Используйте ссылки в разделе «Дополнительно» для выполнения следующих действий:

чтобы сохранить заданные параметров установки в файле — выберите ссылку «Сохранить сценарий установки». Файл сценария установки можно использовать для автоматизации процесса установки клиентского ПО на других компьютерах;
чтобы ввести сведения о компьютере для учета — выберите ссылку «Учетная информация компьютера».

По окончании настройки параметров нажмите кнопку «Готово».

Начнется процесс установки защитных подсистем в соответствии с заданными параметрами.

После завершения всех операций установки нажмите кнопку «Далее».

На экране появится завершающий диалог со сведениями о выполненных операциях и предложением перезагрузить компьютер.

Проверьте состав подключенных к компьютеру устройств. Если подключены устройства, которые в дальнейшем должны быть запрещены к использованию, — отключите их.

Внимание!
При первой загрузке компьютера после установки клиентского ПО текущая аппаратная конфигурация автоматически принимается в качестве эталонной. Поэтому до перезагрузки необходимо отключить те устройства, которые должны быть запрещены к использованию на данном компьютере.

Перезагрузите компьютер и дождитесь загрузки системы.

Настройка программного обеспечение системы Secret Net Studio будет организованна согласно требованиям, к настройкам политик безопасности, приведенной в таблице 1.

Таблица 1.

Настройки подсистем
Политика	Параметр безопасности
Вход в систему: Запрет вторичного входа в систему	отключен
Вход в систему: Количество неудачных попыток аутентификации	5 попыток
Вход в систему: Максимальный период неактивности до блокировки экрана	10 минут
Вход в систему: Реакция на изъятие идентификатора	блокировать станцию при изъятии любого идентификатора
Вход в систему: Режим аутентификации пользователя	стандартная аутентификация
Вход в систему: Режим идентификации пользователя	смешанный
Журнал: Максимальный размер журнала системы защиты	4096 кБ
Журнал: Политика перезаписи событий	затирать по необходимости
Затирание данных: Количество циклов затирания конфиденциальной информации	3
Затирание данных: Количество циклов затирания на локальных дисках	3
Затирание данных: Количество циклов затирания на сменных носителях	3
Контроль печати: Маркировка документов	стандартная обработка
Контроль печати: Теневое копирование	определяется настройками устройства
Контроль устройств: Теневое копирование	определяется настройками устройства
Полномочное управление доступом: Названия уровней конфиденциальности	Неконфиденциально, Конфиденциально, Строго конфиденциально
Полномочное управление доступом: Режим работы	контроль потоков отключен
Теневое копирование: Размер хранилища	размер: 20%, автоматическая перезапись отключена
Политика паролей
Политик	Параметр безопасности
Макс. срок действия пароля	90 дней
Мин. длина пароля	8 символов
Мин. срок действия пароля	0 дней
Пароль должен отвечать требованиям сложности	Включен

К группе локальной защиты относятся подсистемы, реализующие применение

следующих механизмов защиты:
контроль устройств;
контроль печати;
замкнутая программная среда;
полномочное управление доступом;
дискреционное управление доступом к ресурсам файловой системы;
затирание данных;
защита информации на локальных дисках;
шифрование данных в криптоконтейнерах.

Все настройки Secret Net Studio производятся в локальном центре управления (Пуск -> Код Безопасности -> Локальный центр управления). Локальный центр управления – это плиточная панель настроек.

Для настроек базовых параметров нажмите на плитку: Вход в систему (помечен оранжевой единицей) -> Перейдите по ссылке: Перейти к настройкам подсистемы. В открывшемся окне, установите значения общих политик и парольной политике согласно таблице 1.

Настройки параметров парольной политики:

Параметры журналирования:

Параметры блокировок и реакции на извлечение идентификатора:

После внесения изменений нажмите кнопку применить:

На данном этапе базовая настройка программного обеспечения системы защиты информации Secret Net Studio закончена. В следующем материале будет рассмотрена сетевая установка Secret Net Studio, средствами сервера безопасности и расширенная настройка политик безопасности.

1. Введение

2. Механизмы централизованного управления системой

2.1. Централизованное развертывание и настройка Secret Net Studio

2.1.1. Управление дистрибутивами в репозитории Secret Net Studio

2.1.2. Централизованная установка Secret Net Studio

2.1.3. Контроль задач и процессов в Secret Net Studio

2.2. Централизованное управление

2.2.1. Структура управления в Secret Net Studio

2.2.2. Типы управления в Secret Net Studio

2.2.3. Управление групповыми политиками в Secret Net Studio

2.3. Централизованный мониторинг в Secret Net Studio

2.3.1. Общее состояние системы

2.3.2. События тревоги

2.3.3. Централизованные журналы событий в Secret Net Studio

2.3.4. Формирование отчетов в Secret Net Studio

3. Выводы

Введение

Чтобы защитить одну или несколько рабочих станций, можно использовать автономные средства защиты информации (далее — СЗИ), которые предусматривают только локальное управление. Когда же необходимо защитить множество серверов и рабочих станций, объединенных в одну локальную вычислительную сеть (или территориально распределенную сеть), использование и администрирование автономных СЗИ становится проблематичным, а в большинстве случаев — невозможным. Поэтому одной из важных функций СЗИ является возможность организации централизованного управления системой.

Помимо основных защитных функций в первой части обзора Secret Net Studio 8.1 были упомянуты также механизмы централизованного управления, которые будут рассмотрены ниже.

Механизмы централизованного управления системой

Единый интерфейс управления и мониторинга Secret Net Studio 8.1 существенно упрощает администрирование системы. При этом работа СЗИ незаметна пользователю, и администраторам не нужно производить локальные настройки.

В системе Secret Net Studio централизованное управление компьютерами и синхронизация параметров защиты базируются на концепции доменов безопасности. Домены безопасности формируются из объектов, включенных в определенные контейнеры Active Directory.

Для реализации централизованного управления при использовании СЗИ Secret Net Studio должен быть установлен сервер безопасности и подчиненные ему сетевые клиенты на всех защищаемых компьютерах (более подробная информация об архитектуре сетевого варианта Secret Net Studio приводилась в первой части обзора).

Сервер безопасности является основным элементом в сетевой структуре системы Secret Net Studio и обладает следующими функциями:

получение информации от агентов на защищаемых компьютерах о текущем состоянии рабочих станций и сессиях работы пользователей;
оперативное получение и передача сведений о событиях тревоги на защищаемых компьютерах;
отправка команд управления на защищаемые компьютеры;
получение информации о состоянии защитных подсистем на компьютерах;
отправка команд на изменение состояния защитных подсистем;
получение и передача на защищаемые компьютеры параметров групповых политик, заданных в программе управления системы Secret Net Studio;
получение локальных журналов с защищаемых компьютеров и передача содержимого журналов в базу данных сервера безопасности;
контроль действия лицензий на использование компонентов системы Secret Net Studio;
обработка запросов к базе данных сервера безопасности;
архивирование содержимого централизованных журналов и восстановление архивов в базе данных сервера безопасности;
протоколирование обращений к серверу.

Таким образом, сервер безопасности контролирует работу подчиненных ему компьютеров. Кроме того, может быть создано несколько серверов безопасности с подчинением по иерархическому принципу.

Компьютеры, на которые может быть установлено СЗИ Secret Net Studio 8.1 и которые могут контролироваться сервером безопасности, должны быть включены в домен Active Directory и иметь следующие операционные системы:

Windows 10;
Windows 8/8.1;
Windows 7 SP1;
Windows Vista SP2;
Windows Server 2012/Server 2012 R2;
Windows Server 2008 SP2/Server 2008 R2 SP1.

Для осуществления централизованного управления необходимо использовать компонент «Центр управления», с помощью которого производится подключение к серверу безопасности. В указанном компоненте администратору безопасности доступны следующие возможности:

централизованное развертывание системы;
настройка параметров защиты и управление компьютерами;
мониторинг состояния системы;
конфигурирование сетевой структуры системы Secret Net Studio;
работа с централизованными журналами;
создание отчетов.

Ниже более подробно рассмотрим механизмы централизованного управления, которые позволяют выполнять централизованное развертывание, управление и мониторинг, а также создание отчетов.

Центраизованное развертывание и настройка Secret Net Studio

При развертывании Secret Net Studio через «Центр управления» автоматически выполняются заданные действия по установке или удалению на рабочих станциях клиентской программы, ее компонентов или обновлений.

Управление дистрибутивами в репозитории Secret Net Studio

Для централизованного развертывания СЗИ Secret Net Studio необходимо добавить в список централизованно устанавливаемого ПО комплект (комплекты) установочных файлов. Комплект может быть создан на основе установочного диска системы Secret Net Studio или специального набора файлов с обновлениями.

Рисунок 1. Управление дистрибутивами в репозитории в СЗИ Secret Net Studio

Централизованная установка Secret Net Studio

Управление централизованным развертыванием СЗИ Secret Net Studio осуществляется в единой консоли, где представлена информация о структуре управления и приведен список компьютеров со сведениями о наличии ПО и его статусе.

Рисунок 2. Централизованное развертывание СЗИ Secret Net Studio

С помощью данного функционала можно формировать задания на установку, обновление или удаление СЗИ на компьютерах. При этом предоставляется возможность детальной настройки параметров задания (версия устанавливаемого ПО, папка для установки ПО, лицензии на использование компонентов, список устанавливаемых компонентов, учетные данные локального администратора).

Рисунок 3. Настройка задания на установку СЗИ Secret Net Studio

Задания определяют списки компьютеров, на которых в автоматическом режиме будут выполняться требуемые действия.

Контроль задач и процессов в Secret Net Studio

Для контроля процесса развертывания СЗИ администратор безопасности может просматривать список заданий, где выводятся сведения о времени и статусе их выполнения, и управлять этими заданиями (отменять или удалять).

Рисунок 4. Управление заданиями по развертыванию СЗИ Secret Net Studio

Централизованное управление

СЗИ Secret Net Studio дает возможность управлять компьютерами из одной консоли. Администратору безопасности предоставляется диаграмма сети в виде структуры подчинения серверов и рабочих станций, которые доступны для управления из единой консоли.

Рисунок 5. Диаграмма управления в СЗИ Secret Net Studio

Структура управления в Secret Net Studio

СЗИ Secret Net Studio поддерживает интеграцию с Active Directory и иерархию серверов безопасности. Средства централизованного управления позволяют применять политики безопасности в масштабах всей организации, в том числе в организациях с большим количеством филиалов. Для удобства управления компьютеры в сети делятся на группы по их принадлежности к организационным подразделениям в Active Directory. Отдельным компьютерам может быть установлен приоритет, который влияет на уровень угрозы событий тревоги, происходящих на этом компьютере.

Кроме того, компьютеры можно объединить в группы наблюдения, после чего они будут отображаться на экране «Начало» (см. рисунок 10), и администратор безопасности сможет контролировать возникновение тревог на выбранных компьютерах.

Структура на диаграмме управления выводится в виде схемы элементов, соответствующих доменам, организационным подразделениям, серверам безопасности и защищаемым компьютерам. Схема базируется на структуре доменов и организационных подразделений в Active Directory.

Для централизованного управления в составе структуры СЗИ Secret Net Studio должны присутствовать серверы безопасности и защищаемые компьютеры. Операции добавления объектов в структуру управления и исключения из нее могут выполняться автоматически при установке или удалении СЗИ Secret Net Studio на компьютерах, а также вручную в программе управления путем добавления и удаления объектов в структуре.

Рисунок 6. Редактирование структуры управления в СЗИ Secret Net Studio

Типы управления в Secret Net Studio

В СЗИ Secret Net Studio предусмотрено два типа управления:

управление настройками параметров безопасности;
оперативное управление.

При выборе конкретного компьютера администратору доступно управление его параметрами безопасности, в рамках которого могут быть настроены различные защитные механизмы. При выборе сервера безопасности (организационного подразделения или всего домена) администратору доступно управление групповыми политиками безопасности системы защиты.

Рисунок 7. Управление настройками параметров безопасности в СЗИ Secret Net Studio

Кроме того, администратору безопасности здесь доступны функции просмотра сведений о состоянии контролируемых компьютеров.

Рисунок 8. Управление механизмами защиты на компьютерах в СЗИ Secret Net Studio

Оперативное управление позволяет:

блокировать и разблокировать компьютеры;
перезагружать и выключать компьютеры;
обновлять групповые политики на компьютерах;
утверждать изменения аппаратной конфигурации;
управлять функционированием механизмов защиты на компьютерах.

Рисунок 9. Оперативное управление в СЗИ Secret Net Studio

Управление групповыми политиками в Secret Net Studio

Для централизованной настройки и применения параметров безопасности на защищаемых компьютерах с установленным клиентом Secret Net Studio используются групповые политики.

По умолчанию параметры заданы только в локальной политике, которая имеет наименьший приоритет. В дополнение к параметрам локальной политики могут быть заданы параметры в политиках доменов, организационных подразделений и серверов безопасности.

Перечисленные политики применяются в следующей последовательности:

локальная политика;
политика домена;
политика организационного подразделения — применяется на всех компьютерах, входящих в него;
политика, заданная для сервера безопасности — применяется на всех компьютерах, подчиненных этому серверу безопасности.

Гранулярная настройка групповых политик позволяет применять на компьютерах различных подразделений как общие параметры, так и специфичные для данной группы.

Централизованный мониторинг в Secret Net Studio

СЗИ Secret Net Studio централизованно собирает сведения об атаках и их источниках, а также позволяет наблюдать за общим состоянием системы и работать с различными журналами, собранными с защищаемых компьютеров в базу данных серверов безопасности (журналы Secret Net Studio, журналы приложений, журналы безопасности и системы).

Кроме того, в системе предусмотрены отдельные привилегии оперативного управления. Например, аудитору можно предоставить привилегию на просмотр журналов и архивов, проведение аудита политик безопасности и прав доступа без возможности их изменения. Таким образом, расследование инцидентов могут осуществлять независимые специалисты.

Общее состояние системы

Представленная в СЗИ Secret Net Studio графическая панель, отображающая состояние системы, позволяет осуществлять общий мониторинг защищенности системы.

Сведения об общем состоянии системы содержат информацию о количестве событий тревоги в системе, а также о состоянии групп наблюдений.

Рисунок 10. Общее состояние СЗИ Secret Net Studio и панель событий системы

События тревоги

Для событий безопасности особой важности в СЗИ Secret Net Studio предусмотрен отдельный тип сообщений — тревоги, они регистрируются в специальном журнале. События тревоги различаются по уровню угрозы, который определяется степенью значимости самого события и уровнем важности того компьютера, на котором они произошли. Сервер безопасности накапливает сведения о событиях тревоги в отдельном журнале, который формируется из уведомлений, направляемых серверу от защищаемых компьютеров. Состав отслеживаемых событий может редактироваться посредством создания правил фильтрации на основе уведомлений о событиях тревоги.

Администратор безопасности оповещается о тревогах с помощью уведомлений в панели мониторинга или по e-mail. Также для оповещения могут использоваться звуковые сигналы.

Для обработки полученных оповещений администратору безопасности доступна функция квитирования событий, которая позволяет подтверждать получение информации с описанием принятых мер.

Рисунок 11. Журнал событий тревоги в СЗИ Secret Net Studio

Для выборочного просмотра журнала тревог возможно создать запрос и в нем при помощи конструктора определить параметры фильтрации.

Рисунок 12. Создание запроса для журнала событий тревоги в СЗИ Secret Net Studio

Централизованные журналы событий в Secret Net Studio

На сервере безопасности осуществляется централизованное хранение журналов событий. В базе данных сервера безопасности накапливаются следующие журналы:

журнал событий тревоги, объединяющий все записи о событиях тревоги со всех управляемых компьютеров;
журнал событий, объединяющий журнал Secret Net Studio и штатные журналы ОС Windows со всех управляемых компьютеров;
журнал сервера безопасности.

Информацию из этих журналов можно загружать частично или полностью через механизм создания запросов.

Рисунок 13. Журнал событий в СЗИ Secret Net Studio

Расширенная система регистрации событий и возможность построения удобных и подробных отчетов позволяют собрать обширные данные для расследования инцидентов безопасности: отследить атаки и каналы распространения вредоносных программ, действия инсайдеров.

Формирование отчетов в Secret Net Studio

В Secret Net Studio 8.1 реализована возможность создания отчетов, содержащих учетную информацию о компьютере и установленном на нем ПО, а также сведения о ресурсах, объектах и параметрах компьютеров. Отчеты сохраняются в отдельные файлы.

Рисунок 14. Отчет «Паспорт ПО» в СЗИ Secret Net Studio

Рисунок 15. Отчет «Ресурсы АРМ» в СЗИ Secret Net Studio

Выводы

Комплексное СЗИ Secret Net Studio 8.1 способно обеспечить безопасность рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. При этом продукт защищает не только от внешних атак, но и от внутренних, в частности от несанкционированного доступа к данным (НСД).

Secret Net Studio 8.1 обладает следующими ключевыми преимуществами:

управление 20 защитными механизмами в едином интерфейсе;
риск-ориентированный подход к безопасности;
встроенная система корреляции и приоритизации событий ИБ;
единый агент безопасности с интуитивно понятным интерфейсом;
снижение нагрузки на защищаемые компьютеры;
сокращение издержек на администрирование СЗИ и обучение персонала;
высокая масштабируемость, поддержка распределенных инфраструктур;
единая точка обращения для расследования инцидентов.

Из явных недостатков в настоящее время можно выделить следующее:

поддерживается работа только с компьютерами под операционной системой Microsoft Windows (не поддерживаются Linux и MacOS).

Secret Net Studio 8.1 можно рассматривать как полноценную защиту класса Endpoint Security — решение способно конкурировать с известными зарубежными и российскими аналогами, в том числе и на уровне централизованного администрирования.

По сравнению с другими решениями класса Endpoint Security СЗИ Secret Net Studio выделяется за счет специфичных для российского рынка функций, необходимых для соблюдения требований регуляторов. По этой причине рассматриваемое решение можно сравнивать с двумя типами СЗИ, обладающими подобным функционалом:

комплексные антивирусные решения (которые помимо антивирусной защиты могут включать в себя функционал межсетевого экранирования, системы обнаружения/предотвращения вторжений, контроль подключаемых устройств и т. д.);
системы защиты информации от несанкционированного доступа (СЗИ от НСД).

В отличие от других комплексных антивирусных решений СЗИ Secret Net Studio обладает обширным функционалом СЗИ от НСД. Если же продукт сравнивать с другими СЗИ от НСД, то главным отличием является модуль антивирусного решения по технологии ESET NOD 32, который также входит в состав Secret Net Studio.

Кроме того, наличие сертификата ФСТЭК дает возможность использовать продукт для защиты государственных информационных систем до К1 включительно, информационных систем персональных данных до УЗ1 включительно и автоматизированных систем до класса 1Б включительно, что означает возможность применения Secret Net Studio для защиты государственной тайны с пометкой «совершенно секретно».

В целом создание такого комплексного решения является логичным развитием рынка СЗИ класса Endpoint Security. Secret Net Studio имеет сбалансированный набор защитных механизмов, которые обеспечивают безопасность информации на рабочих станциях и серверах как от внешних, так и от внутренних угроз. Механизмы централизованного развертывания, управления и мониторинга СЗИ Secret Net Studio упрощают работу с системой и позволяют применять продукт для защиты компьютеров в государственных и коммерческих организациях федерального масштаба.

О защитных механизмах вы можете почитать в первой части обзора.

Содержание

Обзор Secret Net Studio 8.1. Часть 1 — защитные механизмы
Введение
Описание решения
Архитектура решения
Описание защитных механизмов
Защита от несанкционированного доступа
Защита входа в систему
Идентификация и аутентификация пользователей
Блокировка компьютера
Функциональный контроль подсистем
Контроль целостности
Дискреционное управление доступом к ресурсам файловой системы
Полномочное управление доступом
Затирание данных
Замкнутая программная среда
Контроль подключения и изменения устройств компьютера
Контроль печати
Теневое копирование выводимых данных
Защита дисков и шифрование контейнеров
Защита информации на локальных дисках
Шифрование данных в криптоконтейнерах
Персональный межсетевой экран
Обнаружение и предотвращение вторжений
Антивирус
Шифрование сетевого трафика
Выводы

В обзоре рассматривается комплексное решение Secret Net Studio 8.1 от компании «Код Безопасности», которое обеспечивает безопасность рабочих станций и файловых серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. В первой части обзора расcмотрим его защитные механизмы.

Введение

Значительную часть работ по защите информации составляют задачи обеспечения безопасности рабочих станций и серверов. Для их решения применяются продукты класса Endpoint Security, которые компенсируют внутренние и внешние угрозы с помощью различных подсистем безопасности (антивирус, СЗИ от НСД, персональный межсетевой экран и др.).

Отражение классических угроз безопасности компьютеров можно найти и в нормативных документах. ФСТЭК России включает требования к защите рабочих станций в обязательные для исполнения приказы: №21 о защите персональных данных, №17 о защите государственных информационных систем (ГИС), руководящие документы по защите автоматизированных систем. Эти требования также выполняются установкой на рабочие станции и сервера соответствующих средств защиты класса Endpoint Security.

Модель угроз информационной безопасности традиционно включает целый перечень актуальных для рабочих станций и серверов угроз. До сегодняшнего дня их не получалось нейтрализовать одним-двумя средствами защиты информации (далее — СЗИ), поэтому администраторы устанавливали 3-5 различных продуктов, каждый из которых выполнял определенный набор задач: защиту от несанкционированного доступа, вирусов, фильтрацию сетевого трафика, криптографическую защиту информации и т. д.

Такой подход сводит работу администраторов к непрерывной поддержке СЗИ из различных консолей управления и мониторинга. Кроме того, продукты разных вендоров плохо совместимы, что приводит к нарушению функционирования и замедлению защищаемой системы, а в некоторых случаях — и вовсе ко сбою в работе.

Сегодня на рынке появляются комплексные решения, которые объединяют несколько защитных механизмов. Такие СЗИ упрощают администрирование и выбор мер по обеспечению безопасности: у них единая консоль управления, отсутствуют конфликты в работе подсистем безопасности, продукты легко масштабируются и могут применяться в распределенных инфраструктурах.

Одним из комплексных средств защиты является продукт Secret Net Studio 8.1, разработанный компанией «Код Безопасности». В этой статье мы подробно рассмотрим защитные механизмы Secret Net Studio. Механизмы централизованного управления будут рассмотрены в другой статье.

Описание решения

СЗИ Secret Net Studio — это комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. Продукт объединяет в себе функционал нескольких средств защиты «Кода Безопасности» (СЗИ от НСД Secret Net, межсетевой экран TrustAccess, СЗИ Trusted Boot Loader, СКЗИ «Континент-АП»), а также включает ряд новых защитных механизмов.

В рамках данного продукта решаются следующие задачи:

Защита от внешних угроз:

защита рабочих станций и серверов от вирусов и вредоносных программ;
защита от сетевых атак;
защита от подделки и перехвата сетевого трафика внутри локальной сети;
защищенный обмен данными с удаленными рабочими станциями.

Защита от внутренних угроз:

защита информации от несанкционированного доступа*;
контроль утечек и каналов распространения защищаемой информации;
защита от действий инсайдеров;
защита от кражи информации при утере носителей.

Соответствие требованиям регуляторов:

Secret Net Studio находится на сертификации во ФСТЭК России и после получения сертификата позволит выполнять требования регуляторов при аттестации (оценке соответствия) информационных систем, в которых обрабатывается конфиденциальная информация, на соответствие различным требованиям российского законодательства (защита государственных информационных систем до класса К1, защита персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно» и т. д.).

*по результатам исследования «Кода Безопасности», доля их продуктов (SecretNet + ПАК «Соболь») на рынке СЗИ от НСД в 2012-2014 гг. составляла более 60% общего объема рынка.

Архитектура решения

Secret Net Studio 8.1 предоставляется в двух вариантах исполнения:

автономный вариант — предусматривает только локальное управление защитными механизмами;
сетевой вариант — предусматривает централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.

В автономном варианте исполнения защитные механизмы устанавливаются и управляются локально (без привязки к серверу безопасности). При таком исполнении в состав продукта входят следующие компоненты:

Клиент — устанавливается на серверах и рабочих станциях и предназначен для реализации их защиты.
Центр управления (локальный режим) — программа управления в локальном режиме осуществляет прямую работу с защитными компонентами на компьютере.
Сервер обновления антивируса — предназначен для обеспечения централизованной раздачи в локальной сети обновлений баз данных признаков компьютерных вирусов для антивируса по технологии ESET.

В сетевом варианте исполнения защитные механизмы устанавливаются на все сервера и рабочие станции, при этом осуществляется централизованное управление этими защитными механизмами. В дополнение к автономному варианту в сетевой вариант исполнения входят:

Сервер безопасности — является основным элементом, обеспечивает взаимодействие объектов управления, реализует функции контроля и управления, а также осуществляет обработку, хранение и передачу информации.
Программа управления — устанавливается на рабочих местах администраторов и используется для централизованного управления защищаемыми компьютерами.
Сервер аутентификации — обеспечивает работу механизмов персонального межсетевого экрана и авторизации сетевых соединений (входит в состав ПО сервера безопасности).

Описание защитных механизмов

В Secret Net Studio 8.1 обеспечивается защита информации на 5 уровнях, для каждого из которых представлены определенные защитные механизмы (продукт объединяет более 20 взаимно интегрированных защитных механизмов). Информация об уровнях защиты и соответствующих им механизмах представлена на рисунке ниже:

Рисунок 1. Уровни защиты и соответствующие им защитные механизмы

Лицензируются следующие компоненты системы:

Рисунок 2. Централизованное управление защитными компонентами Secret Net Studio

Защита от несанкционированного доступа

Защита от НСД обеспечивается механизмами, применяемыми в СЗИ от НСД Secret Net. Их описание приведено ниже.

Защита входа в систему

Защита входа в систему обеспечивает предотвращение доступа посторонних лиц к компьютеру. К механизму защиты входа относятся следующие средства:

средства для идентификации и аутентификации пользователей;
средства блокировки компьютера;
аппаратные средства защиты от загрузки ОС со съемных носителей (интеграция с ПАК «Соболь»).

Идентификация и аутентификация пользователей

Идентификация и аутентификация выполняются при каждом входе в систему. В системе Secret Net Studio идентификация пользователей осуществляется по одному из 3-х вариантов: по имени (логин и пароль), по имени или токену, только по токену.

Рисунок 3. Политики в Secret Net Studio. Настройка входа в систему

В Secret Net Studio 8.1 поддерживается работа со следующими аппаратными средствами:

средства идентификации и аутентификации на базе идентификаторов eToken, iKey, Rutoken, JaCarta и ESMART;
устройство Secret Net Card;
программно-аппаратный комплекс (ПАК) «Соболь».

Рисунок 4. Настройка электронных идентификаторов для пользователей в Secret Net Studio

Блокировка компьютера

Средства блокировки компьютера предназначены для предотвращения его несанкционированного использования. В этом режиме блокируются устройства ввода (клавиатура и мышь) и экран монитора. Предусмотрены следующие варианты:

блокировка при неудачных попытках входа в систему;
временная блокировка компьютера;
блокировка компьютера при срабатывании защитных подсистем (например, при нарушении функциональной целостности системы Secret Net Studio);
блокировка компьютера администратором оперативного управления.

Рисунок 5. Настройка средств блокировки в Secret Net Studio

Функциональный контроль подсистем

Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС все ключевые защитные подсистемы загружены и функционируют.

В случае успешного завершения функционального контроля этот факт регистрируется в журнале Secret Net Studio. При неуспешном завершении регистрируется событие с указанием причин, вход в систему разрешается только пользователям из локальной группы администраторов компьютера.

Контроль целостности

Механизм контроля целостности следит за неизменностью контролируемых объектов. Контроль проводится в автоматическом режиме в соответствии с заданным расписанием. Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков (последние только при использовании ПАК «Соболь»).

Рисунок 6. Создание нового задания для контроля целостности в Secret Net Studio

При обнаружении несоответствия возможны различные варианты реакции на ситуации нарушения целостности. Например, регистрация события в журнале Secret Net Studio и блокировка компьютера.

Вся информация об объектах, методах, расписаниях контроля сосредоточена в модели данных. Она хранится в локальной базе данных системы Secret Net Studio и представляет собой иерархический список объектов с описанием связей между ними.

Рисунок 7. Создание модели данных для контроля целостности в Secret Net Studio

Дискреционное управление доступом к ресурсам файловой системы

В состав системы Secret Net Studio 8.1 входит механизм дискреционного управления доступом к ресурсам файловой системы. Этот механизм обеспечивает:

разграничение доступа пользователей к каталогам и файлам на локальных дисках на основе матрицы доступа субъектов (пользователей, групп) к объектам доступа;
контроль доступа к объектам при локальных или сетевых обращениях, включая обращения от имени системной учетной записи;
запрет доступа к объектам в обход установленных прав доступа;
независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows. То есть установленные права доступа к файловым объектам в системе Secret Net Studio не влияют на аналогичные права доступа в ОС Windows и наоборот.

Рисунок 8. Настройка дискреционных прав доступа в Secret Net Studio

Кроме того, пользователю предоставляется возможность определения учетных записей, которым даны привилегии по управлению правами доступа.

Полномочное управление доступом

Механизм полномочного управления доступом обеспечивает:

разграничение доступа пользователей к информации, которой назначена категория конфиденциальности (конфиденциальная информация);
контроль подключения и использования устройств с назначенными категориями конфиденциальности;
контроль потоков конфиденциальной информации в системе;
контроль использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
контроль печати конфиденциальных документов.

Рисунок 9. Политики в Secret Net Studio. Настройка полномочного управлении доступом

Чтобы обеспечить функционирование механизма полномочного управления доступом при включенном режиме контроля потоков, требуется выполнить дополнительную настройку локально на компьютере. Для этого используется программа настройки подсистемы полномочного управления доступом для режима контроля. Настройка выполняется перед включением режима контроля потоков, а также при добавлении новых пользователей, программ, принтеров, для оптимизации функционирования механизма.

Рисунок 10. Программа настройки подсистемы полномочного управления доступом в Secret Net Studio

Доступ пользователя к конфиденциальной информации осуществляется в соответствии с его уровнем допуска. Например, если уровень допуска пользователя ниже, чем категория конфиденциальности ресурса — система блокирует доступ к этому ресурсу.

Рисунок 11. Назначение уровней допуска и привилегий пользователям в Secret Net Studio

Затирание данных

Затирание удаляемой информации делает невозможным восстановление и повторное использование данных после удаления. Гарантированное уничтожение достигается путем записи последовательности случайных чисел на место удаленной информации в освобождаемой области памяти. Для большей надежности может быть выполнено несколько циклов (проходов) затирания.

Рисунок 12. Политики в Secret Net Studio. Настройка механизма затирания данных

Замкнутая программная среда

Механизм замкнутой программной среды позволяет определить для любого пользователя индивидуальный перечень разрешенного программного обеспечения. Система защиты контролирует и обеспечивает запрет использования следующих ресурсов:

файлы запуска программ и библиотек, не входящие в перечень разрешенных для запуска и не удовлетворяющие определенным условиям;
сценарии, не входящие в перечень разрешенных для запуска и не зарегистрированные в базе данных.

Попытки запуска неразрешенных ресурсов регистрируются в журнале как события тревоги.

На этапе настройки механизма составляется список ресурсов, разрешенных для запуска и выполнения. Список может быть сформирован автоматически на основании сведений об установленных на компьютере программах или по записям журналов, содержащих сведения о запусках программ, библиотек и сценариев. Также предусмотрена возможность формирования списка вручную.

Рисунок 13. Создание модели данных для замкнутой программной среды в Secret Net Studio

Контроль подключения и изменения устройств компьютера

Механизм контроля подключения и изменения устройств компьютера обеспечивает:

своевременное обнаружение изменений аппаратной конфигурации компьютера и реагирование на эти изменения;
поддержание в актуальном состоянии списка устройств компьютера, который используется механизмом разграничения доступа к устройствам.

Начальная аппаратная конфигурация компьютера определяется на этапе установки системы. Настройку политики контроля можно выполнить индивидуально для каждого устройства или применять к устройствам наследуемые параметры от моделей, классов и групп, к которым относятся устройства.

Рисунок 14. Политики в Secret Net Studio. Настройка политики контроля устройств компьютера

При обнаружении изменений аппаратной конфигурации система требует у администратора безопасности утверждение этих изменений.

На основании формируемых списков устройств осуществляется разграничение доступа пользователей к ним: разрешение/запрет на выполнение операций и настройки уровней конфиденциальности.

Контроль печати

Механизм контроля печати обеспечивает:

разграничение доступа пользователей к принтерам;
регистрацию событий вывода документов на печать в журнале Secret Net Studio;
вывод на печать документов с определенной категорией конфиденциальности;
автоматическое добавление грифа в распечатываемые документы (маркировка документов);
теневое копирование распечатываемых документов.

Рисунок 15. Политики в Secret Net Studio. Настройка контроля печати

Для реализации функций маркировки и/или теневого копирования распечатываемых документов в систему добавляются драйверы «виртуальных принтеров».

Рисунок 16. Редактирование маркировки распечатываемых документов

Теневое копирование выводимых данных

Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации. Дубликаты (копии) сохраняются в специальном хранилище, доступ к которому имеют только уполномоченные пользователи. Действие механизма распространяется на те устройства, для которых включен режим сохранения копий при записи информации.

Рисунок 17. Политики в Secret Net Studio. Настройка теневого копирования

При включенном режиме сохранения копий вывод данных на внешнее устройство возможен только при условии создания копии этих данных в хранилище теневого копирования. Если по каким-либо причинам создать дубликат невозможно, операция вывода данных блокируется.

Теневое копирование поддерживается для устройств следующих видов:

подключаемые по USB жесткие диски, флешки и др. накопители;
дисководы CD- и DVD-дисков с функцией записи;
принтеры;
дисководы гибких дисков.

Защита дисков и шифрование контейнеров

В рамках указанного компонента реализованы два защитных механизма, описание которых представлено ниже.

Защита информации на локальных дисках

Механизм защиты информации на локальных дисках компьютера (механизм защиты дисков) предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера. Несанкционированной считается загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере, без установленного клиентского ПО Secret Net Studio.

Шифрование данных в криптоконтейнерах

Система Secret Net Studio 8.1 предоставляет возможность шифрования содержимого объектов файловой системы (файлов и папок). Для этого используются специальные хранилища — криптографические контейнеры.

Физически криптоконтейнер представляет собой файл, который можно подключить к системе в качестве дополнительного диска.

Для работы с шифрованными ресурсами пользователи должны иметь ключи шифрования. Реализация ключевой схемы шифрования криптоконтейнеров базируется на алгоритмах ГОСТ Р34.10–2012, ГОСТ Р34.11–2012 и ГОСТ 28147-89.

Рисунок 18. Управление криптографическими ключами пользователей

Персональный межсетевой экран

Система Secret Net Studio 8.1 обеспечивает контроль сетевого трафика на сетевом, транспортном и прикладном уровнях на основе формируемых правил фильтрации. Подсистема межсетевого экранирования Secret Net Studio реализует следующие основные функции:

фильтрация на сетевом уровне с независимым принятием решений по каждому пакету;
фильтрация пакетов служебных протоколов (ICMP, IGMP и т. д.), необходимых для диагностики и управления работой сетевых устройств;
фильтрация с учетом входного и выходного сетевого интерфейса для проверки подлинности сетевых адресов;
фильтрация на транспортном уровне запросов на установление виртуальных соединений (TCP-сессий);
фильтрация на прикладном уровне запросов к прикладным сервисам (фильтрация по символьной последовательности в пакетах);
фильтрация с учетом полей сетевых пакетов;
фильтрация по дате / времени суток.

Рисунок 19. Политики в Secret Net Studio. Настройка межсетевого экрана

Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE 802.3) и Wi‑Fi (IEEE 802.11b/g/n).

Авторизация сетевых соединений в Secret Net Studio осуществляется с помощью механизма, основанного на протоколе Kerberos. С его помощью удостоверяются не только субъекты доступа, но и защищаемые объекты, что препятствует реализации угроз несанкционированной подмены (имитации) защищаемой информационной системы с целью осуществления некоторых видов атак. Механизмы аутентификации защищены от прослушивания, попыток подбора и перехвата паролей.

События, связанные с работой межсетевого экрана, регистрируются в журнале Secret Net Studio.

Обнаружение и предотвращение вторжений

В Secret Net Studio 8.1 выполняется обнаружение и блокирование внешних и внутренних атак, направленных на защищаемый компьютер. С помощью групповых и локальных политик администратор Secret Net Studio настраивает параметры работы системы.

Рисунок 20. Политики в Secret Net Studio. Настройка механизма обнаружения вторжений

Вся информация об активности механизма обнаружения и предотвращения вторжений регистрируется в журнале Secret Net Studio.

Антивирус

Защитный модуль «Антивирус» в Secret Net Studio 8.1 осуществляет обнаружение и блокировку вредоносного кода по технологии ESET NOD32.

Таким образом, Secret Net Studio позволяет осуществлять эвристический анализ данных и автоматическую проверку на наличие вредоносных программ, зарегистрированных в базе сигнатур. При проверке компьютера осуществляется сканирование жестких дисков, сетевых папок, внешних запоминающих устройств и др. Это позволяет обнаружить и заблокировать внешние и внутренние сетевые атаки, направленные на защищаемый компьютер.

Благодаря использованию в рамках одного продукта СЗИ от НСД и антивируса время на проверку и открытие файлов составляет на 30% меньше, чем при независимой реализации защитных механизмов.

Обновление антивируса можно осуществлять как в режиме онлайн с серверов «Кода Безопасности» при подключении защищаемого компьютера к интернету, так и с сервера обновлений компании (в случае, когда компьютер не имеет прямого выхода в интернет).

Администратору доступна настройка параметров антивируса с помощью групповых и локальных политик в программе управления Secret Net Studio. Вся информация об активности механизма регистрируется в журнале Secret Net Studio.

Рисунок 21. Политики в Secret Net Studio. Настройка антивируса

Шифрование сетевого трафика

В состав клиентского ПО системы Secret Net Studio 8.1 включен VPN-клиент, предназначенный для организации доступа удаленных пользователей к ресурсам, защищаемым средствами АПКШ «Континент». VPN-клиент «Континент-АП» обеспечивает криптографическую защиту трафика, циркулирующего по каналу связи, по алгоритму ГОСТ 28147-89.

При подключении абонентского пункта к серверу доступа выполняется процедура установки соединения, в ходе которой осуществляется взаимная аутентификация абонентского пункта и сервера доступа. Процедура установки соединения завершается генерацией сеансового ключа, который используется для шифрования трафика между удаленным компьютером и сетью предприятия.

Рисунок 22. Подключение «Континент-АП» через Secret Net Studio

При аутентификации используются сертификаты x.509v3. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–1994 или ГОСТ Р 34.11–2012, формирование и проверка электронной подписи — по алгоритму ГОСТ Р 34.10–2001 или ГОСТ Р 34.10–2012.

Рисунок 23. Настройка «Континент-АП» в Secret Net Studio

Выводы

Secret Net Studio 8.1 представляет собой сбалансированный набор защитных механизмов, которые обеспечивают защиту информации на рабочих станциях и файловых серверах как от внешних, так и от внутренних угроз. Наличие единой консоли управления упрощает администрирование СЗИ, а интегрированность защитных механизмов между собой исключает возможность нарушения функционирования защищаемой системы.

В текущем виде Secret Net Studio можно считать полноценным комплексным решением для защиты конечных точек сети от всех видов угроз, включающим в себя все необходимые для этого модули. Наличие в составе модулей контроля приложений (контроль доступа к сети, контроль запуска приложений, поведения приложения), интеграции со средствами доверенной загрузки и встроенного VPN-клиента делает Secret Net Studio уникальным для российского рынка.

Необходимо отметить, что в продукте реализован целый ряд защитных механизмов, позволяющих выполнить различные требования законодательства России в части обеспечения безопасности информации. В частности, после получения сертификата ФСТЭК Secret Net Studio можно будет применять для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно»).

О механизмах централизованного управления и мониторинга читайте во второй части статьи.

источник

Представлением вашему вниманию подборку видео уроков по настройке СЗИ от НСД SecretNet отечественного разработка SecurityCode (Код Безопасности). СЗИ имеет все необходимые сертификаты ФСТЭК, подтверждающие соответствие РД по 2 уровню контроля на отсутствие НДВ и 3 классу защищенности по СВТ, что позволяет использовать СЗИ в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.

Введение

Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

№152-ФЗ («О персональных данных»);
№98-ФЗ («О коммерческой тайне»);
№5485-1-ФЗ («О государственной тайне»);
СТО БР ИББС (Стандарт Банка России).

Возможности СЗИ

Аутентификация пользователей.
Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
Доверенная информационная среда.
Контроль утечек и каналов распространения конфиденциальной информации.
Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности.
Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.
Защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).

Варианты развертывания Secret Net

Автономный режим – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.

Сетевой режим (с централизованным управлением) – предназначен для развертывания в доменной сети c Active Directory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант Secret Net может быть успешно развернут в сложной доменной сети (domain tree/forest).

Архитектура

Компоненты Secret Net 7 (сетевой режим):

Secret Net 7 – Клиент;
Secret Net 7 – Сервер безопасности;
Secret Net 7 – Программа управления.

Клиент Secret Net 7 устанавливается на всех защищаемых компьютерах. Он следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на сервер безопасности, а также прием от него оперативных команд и их выполнение.

Сервер безопасности является основным элементом в сетевой структуре системы

Secret Net 7. Этот компонент обеспечивает взаимодействие объектов управления,

реализует функции контроля и управления, а также осуществляет обработку,

хранение и передачу информации.

Программа оперативного управления («Монитор»)

В состав СЗИ Secret Net 7 включена программа оперативного управления, заменяющая средства оперативного управления предыдущих версий СЗИ.

Программа оперативного управления предназначена для конфигурирования сетевой структуры, централизованного управления защищаемыми компьютерами и для работы с записями журналов, поступивших на хранение в базу данных сервера безопасности. Программа устанавливается на рабочих местах администраторов. При работе программа взаимодействует с сервером безопасности, который обрабатывает все управляющие команды администратора.

Дополнительно может использоваться и лицензироваться модуль блокировки НСД к жесткому диску, который осуществляет сокрытие данных на диске при загрузке компьютера с внешних носителей.

Ранее приобретенная лицензия на СЗИ Security Studio 6 – Trusted Boot Loader может использоваться для активации этого механизма в Secret Net 7.

Список видео уроков:

1. Установка и настройка клиента. Вариант №1

2. Установка контроллера домена и Oracle для Сервера безопасности Secret Net

3. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ в БД AD

4. Настройка замкнутой программной среды

5. Настройка механизма контроля целостности

6. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ вне БД AD

7. Программа локального конфигурирования

8. Управление персональными идентификаторами. Защита входа в систему

9. Режимы механизма защиты входа в систему

10.Устновка сервера безопасности с SQL Server 2012 R2

11.Вход в систему в административном режиме

12 Удаление домена безопасности и всех компонентов

13.Установка SQL Server 2012 Standart для работы с SN7.4

14.Изменение учетных данных для подключения СБ к серверу СУБД

15.Управление ключами для усиленной аутентификации.

16.Установка и настройка ПО Rutoken

17.Разрешение разового входа при усиленной аутентификации по паролю.

18.Идентификация и аутентификация * Secret Net 7 * приказ № 17

19. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 1-Два сервера безопасности

20. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 2 — Резервная копия

Документация к версии – Secret Net 7

	Руководство администратора. Принципы построения В руководстве содержатся сведения об общих принципах построения и функционирования системы Secret Net 7. Secret_Net_Admin_Guide_Construction_Principles.pdf
	Руководство администратора. Установка, обновление и удаление В руководстве содержатся сведения, необходимые администраторам для развертывания системы, ее обновления, исправления и удаления. Secret_Net_Admin_Guide_Install.pdf
	Руководство администратора.Локальная работа с журналами регистрации Secret_Net_Admin_Guide_Local_Audit.pdf
	Руководство администратора.Работа с программой оперативного управления В руководстве содержатся сведения, необходимые для работы с компонентом «Secret Net 7 — Программа управления». Secret_Net_Admin_Guide_Operative_Management_Program.pdf
	Руководство администратора. Настройка механизмов защиты В руководстве содержатся сведения, необходимые администраторам для настройки и управления основными механизмами защиты. Secret_Net_Admin_Guide_Security_Settings.pdf
	Руководство пользователя В руководстве содержатся сведения, необходимые пользователю для работы с системой Secret Net 7, установленной на компьютере. Secret_Net_User_Guide.pdf
	Сведения о совместимости с другими программными средствами Данный документ содержит сведения о совместимости СЗИ Secret Net 7 версии 7.6.604.0 с некоторыми другими программными средствами при совместном функционировании.

Содержание

6.5 Настройка использования устройств и принтеров
6.6 Настройка прав доступа к устройствам
6.7 Настройка прав пользователей для печати на принтерах
Настройка параметров механизмов защиты и средств управления Secret Net 7
Настройка параметров механизмов защиты и средств управления Secret Net 7

6.5 Настройка использования устройств и принтеров

В журнале Secret Net можно настроить регистрацию названия документа, кто и когда его печатал, название принтера, процесс. Для конфиденциального документа (в режиме контроля печати конфиденциальных документов) – дополнительно регистрируется имя файла, его категория конфиденциальности, число копий и число страниц. Содержимое документа в журнале не сохраняется.

Избирательное разграничение доступа к устройствам и принтерам

При настройке разграничения доступа пользователей к устройствам и принтерам выполняются действия:

1. Настройка прав доступа пользователей к устройствам и принтерам.

2. Настройка регистрации событий и аудита операций с устройствами.

6.6 Настройка прав доступа к устройствам

Права доступа пользователей могут устанавливаться для отдельных устройств или для классов.

Для настройки прав доступа к устройствам:

1. Вызовите оснастку для управления параметрами объектов групповой

политики и перейдите к разделу «Параметры безопасности | Параметры

2. Выберите папку «Устройства».

В правой части окна оснастки появится список устройств.

3. Выберите в списке объект (класс или устройство), вызовите контекстное меню и выберите команду «Свойства».

На экране появится диалог для настройки параметров объекта.

4. Перейдите к группе параметров «Настройки».

5. Удалите отметку из поля «Наследовать настройки контроля от родительского объекта».

После этого станут доступны параметры контроля устройства.

6. Отметьте режим контроля «Устройство постоянно подключено к компьютеру» или «Подключение устройства разрешено» и нажмите кнопку «Разрешения». На экране появится диалог ОС Windows «Разрешения. «.

Следует иметь в виду, что возможность вызова диалога «Разрешения. «

предусмотрена только для тех устройств, для которых допускается настройка

разрешений и запретов: порты, диски, носители данных (для системного

диска управление разрешениями запрещено).

7. При необходимости отредактируйте список учетных записей в верхней части диалога.

8. Для изменения параметров доступа выберите в списке нужную учетную

запись и затем расставьте разрешения и запреты на выполнение операций.

При этом учитывайте принцип наследования параметров от родительских

объектов дочерними: явно заданные параметры перекрывают унаследованные от родительских объектов.

Для настройки особых разрешений нажмите кнопку «Дополнительно» и

настройте параметры в открывшемся диалоговом окне.

6.7 Настройка прав пользователей для печати на принтерах

Права пользователей для печати документов могут устанавливаться для

конкретных принтеров или для элемента «Настройки по умолчанию».

Для настройки прав пользователей для печати:

1. Вызовите оснастку для управления параметрами объектов групповой

политики и перейдите к разделу «Параметры безопасности | Параметры

2. Выберите папку «Принтеры».

В правой части окна оснастки появится список принтеров.

3. Выберите в списке нужный элемент, вызовите контекстное меню и выберите команду «Свойства».

На экране появится диалог для настройки параметров.

4. Нажмите кнопку «Разрешения». На экране появится диалог ОС Windows «Разрешения. «.

5. При необходимости отредактируйте список учетных записей в верхней части диалога.

6. Для изменения параметров доступа выберите в списке нужную учетную

запись и затем отметьте разрешение или запрет на выполнение печати.

Источник

Настройка параметров механизмов защиты и средств управления Secret Net 7

В системе Secret Net информационная безопасность компьютеров обеспечивается механизмами защиты. Механизм защиты — совокупность настраиваемых программных средств, разграничивающих доступ к информационным ресурсам, а также осуществляющих контроль действий пользователей и регистрацию событий, связанных с информационной безопасностью.

Функции администратора безопасности

Функциональные возможности Secret Net позволяют администратору безопасности решать следующие задачи:

усилить защиту от несанкционированного входа в систему;
разграничить доступ пользователей к информационным ресурсам на основе принципов избирательного и полномочного управления доступом и замкнутой программной среды;
контролировать и предотвращать несанкционированное изменение целостности ресурсов;
контролировать вывод документов на печать;
контролировать аппаратную конфигурацию защищаемых компьютеров и предотвращать попытки ее несанкционированного изменения;
загружать системные журналы для просмотра сведений о событиях, произошедших на защищаемых компьютерах;
не допускать восстановление информации, содержавшейся в удаленных файлах;
управлять доступом пользователей к сетевым интерфейсам компьютеров.

Для решения перечисленных и других задач администратор безопасности использует средства системы Secret Net и операционной системы (ОС) Windows.

Основными функциями администратора безопасности являются:

настройка механизмов защиты, гарантирующая требуемый уровень безопасности ресурсов компьютеров;
контроль выполняемых пользователями действий с целью предотвращения нарушений информационной безопасности.

Параметры механизмов защиты и средства управления

Параметры механизмов защиты Secret Net в зависимости от места их хранения в системе и способа доступа к ним можно разделить на следующие группы:

параметры объектов групповой политики;
параметры пользователей;
атрибуты ресурсов;
параметры механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).

Описание параметров объектов групповой политики

К общим параметрам безопасности ОС Windows добавляются параметры Secret Net. Эти параметры применяются на компьютере средствами групповых политик и действуют в рамках локальной политики безопасности. В системе Secret Net предусмотрены возможности настройки параметров групповых политик в стандартных оснастках ОС Windows и в программе оперативного управления.

В стандартных оснастках ОС Windows параметры Secret Net представлены в узле «Параметры безопасности» иерархии узлов групповой политики.

Для просмотра и изменения параметров в стандартных оснастках ОС Windows:

Вызовите оснастку «Локальная политика безопасности», нажать кнопку «Пуск» и в меню вызова программ выбрать команду «Код Безопасности | Secret Net | Локальная политика безопасности»
Перейдите к разделу » Параметры безопасности | Параметры Secret Net».

По умолчанию раздел «Параметры Secret Net» содержит следующие группы параметров:

Группа	Назначение
Настройки подсистем	Управление режимами работы механизма защиты входа в систему. Управление режимами работы механизмов полномочного управления доступом и контроля печати. Настройка параметров хранения локального журнала Secret Net. Управление механизмом затирания удаляемой информации. Управление механизмом теневого копирования. Управление перенаправлением локальных устройств и ресурсов для терминальных подключений. Управление режимом локального оповещения о событиях НСД.
Ключи пользователя	Настройка параметров ключей для усиленной аутентификации пользователей. Управление привилегиями пользователей в системе Secret Net: • для работы с локальным журналом Secret Net; • для работы в условиях замкнутой программной среды; • для изменения прав доступа к каталогам и файлам в механизме дискреционного управления доступом.
Регистрация событий	Настройка перечня событий, регистрируемых системой Secret Net.
Устройства	Управление параметрами контроля подключения и изменения устройств и правами доступа к устройствам.
Принтеры	Управление параметрами использования принтеров

Параметры настройки системы могут быть сгруппированы по принадлежности к защитным механизмам. Переключение режима группировки параметров осуществляется с помощью специальных кнопок панели инструментов или команд в меню «Вид» («По группам» и «По подсистемам»).

Для настройки параметров объектов политик безопасности:

Вызовите оснастку для управления параметрами объектов групповой политики и перейдите к разделу «Параметры безопасности | Параметры Secret Net».
Выберите папку «Настройки подсистем».
Вызовите контекстное меню для нужного параметра (см. таблицу ниже) и выберите в нем команду «Свойства».

На экране появится диалог настройки параметра.

Настройте параметры безопасности согласно приведенной таблице:

Политика	Параметр безопасности
Администрирование: локальное оповещение об НСД	включено
Вход в систему: Запрет вторичного входа в систему	отключен
Вход в систему: количество неудачных попыток аутентификации	5
Вход в систему: Максимальный период неактивности до блокировки экрана	10 минут
Реакция на изъятие идентификатора	нет
Вход в систему: Режим аутентификации пользователя	стандартная аутентификация
Вход в систему: Режим идентификации пользователя	смешанный
Журнал: максимальный размер журнала системы защиты	4096 кБ
Журнал: политика перезаписи событий	затирать при необходимости
Затирание данных: Количество циклов затирания конфиденциальной информации	3
Затирание данных: Количество циклов затирания на локальных дисках	3
Затирание данных: затирания на сменных носителях	3
Контроль печати: Маркировка документов	стандартная обработка
Контроль печати: Перенаправление принтеров в RDP-подключениях	запрещено
Контроль печати: теневое копирование	определяется настройками принтера
Контроль приложений: Режим аудита	аудит пользовательских приложений
Контроль устройств: Перенаправление устройств в rdp-подключениях	запрещено
Контроль устройств: Теневое копирование	определяется настройками устройства
Полномочное управление доступом: названия уровней конфиденциальности	Неконфиденциально, Конфиденциально, Строго конфиденциально
Полномочное управление доступом: режим работы	контроль потоков отключен
Теневое копирование: Размер хранилища	Размер 20%, автоматическая перезапись отключена

Для настройки событий, регистрируемых в журнале:

Вызвать оснастку для управления параметрами объектов групповой политики и перейдите к разделу «Параметры безопасности | Параметры Secret Net».
Выбрать раздел «Регистрация событий».

В правой части окна появится список регистрируемых событий.

В списке событий выбрать элемент с именем события, для которого необходимо изменить режим регистрации, и вызвать диалог настройки параметра.
Установить отметку в поле «отключена» (чтобы событие не регистрировалось в журнале) или «включена» (чтобы включить регистрацию) и нажмите кнопку «ОК».
Настроить события согласно таблице:

Политика	Параметр безопасности
Общие события: Событие	включена
Общие события: Несанкционированное действие	включена
Общие события: Ошибка	включена
Общие события: Предупреждение	включена
Общие события: Информационное событие	включена
Администрирование: Добавлен пользователь	включена
Администрирование: Удален пользователь	включена
Администрирование: Изменены параметры пользователя	включена
Администрирование: Изменен ключ пользователя	включена
Администрирование: Изменены параметры действующей политики безопасности	включена
Вход/выход: Вход пользователя в систему	включена
Вход/выход: Завершение работы пользователя	включена
Вход/выход: Запрет входа пользователя	включена
Вход/выход: Идентификатор не зарегистрирован	отключена
Вход/выход: Пользователь приостановил сеанс работы на компьютере	включена
Вход/выход: Пользователь возобновил сеанс работы на компьютере	включена
Вход/выход: Компьютер заблокирован системой защиты	включена
Вход/выход: Компьютер разблокирован	включена
Служба репликации: Ошибка создания контекста пользователя	включена
Вход/выход: Пароль пользователя не соответствует требованиям безопасности	включена
Администрирование: Изменен пароль пользователя	включена
Контроль целостности: Начало обработки задания на контроль целостности	включена
Контроль целостности: Успешное завершение задания на контроль целостности	включена
Контроль целостности: Обнаружено нарушение целостности при обработке задания	включена
Контроль целостности: Ресурс восстановлен по эталонному значению	включена
Контроль целостности: Успешная проверка целостности ресурса	включена
Контроль целостности: Нарушение целостности ресурса	включена
Контроль целостности: Для ресурса отсутствует эталонное значение	включена
Контроль целостности: Удаление устаревших эталонных значений	включена
Контроль целостности: Текущее значения ресурса принято в качестве эталонного	включена
Контроль целостности: Ошибка при восстановлении ресурса по эталонному значению	включена
Контроль целостности: Ошибка при открытии базы данных контроля целостности	включена
Контроль целостности: Ошибка при принятии текущего значения ресурса в качестве эталонного	включена
Контроль целостности: Установка задания КЦ на контроль	включена
Контроль целостности: Снятие задания КЦ с контроля	включена
Контроль целостности: Создание задания	включена
Контроль целостности: Удаление задания	включена
Контроль целостности: Изменение задания	включена
Вход/выход: Ошибка выполнения функционального контроля	включена
Администрирование: Удален ключ пользователя	включена
Вход/выход: Успешное завершение функционального контроля	включена
Сеть: Запрет сетевого подключения под другим именем	включена
Администрирование: Включена защитная подсистема	включена
Администрирование: Отключена защитная подсистема	включена
Администрирование: Установлена защита для диска	включена
Администрирование: Отключена защита для диска	включена
Контроль приложений: Запуск процесса	включена
Контроль приложений: Завершение процесса	включена
Вход/выход: Система защиты инициировала блокировку сессии пользователя	включена
Trust Access: Ошибка синхронизации учетной информации с Trust Access	отключена
Trust Access: Синхронизация учетной информации с Trust Access	отключена
Дискреционное управление доступом: Запрет доступа к файлу или каталогу	включена
Дискреционное управление доступом: Изменение прав доступа	включена
Замкнутая программная среда: Запрет запуска программы	отключена
Замкнутая программная среда: Запуск программы	отключена
Замкнутая программная среда: Запрет загрузки библиотеки	отключена
Замкнутая программная среда: Загрузка библиотеки	отключена
Контроль целостности: Добавление учетной записи к заданию ЗПС	включена
Контроль целостности: Удаление учетной записи из задания ЗПС	включена
Полномочное управление доступом: Вывод конфиденциальной информации на внешний носитель	отключена
Полномочное управление доступом: Запрет вывода конфиденциальной информации на внешний носитель	отключена
Замкнутая программная среда: Исполнение скрипта	отключена
Замкнутая программная среда: Запрет исполнения неизвестного скрипта	отключена
Контроль печати: Печать документа	отключена
Контроль печати: Запрет прямого обращения к принтеру	отключена
Полномочное управление доступом: Удаление конфиденциального ресурса	отключена
Полномочное управление доступом: Перемещение конфиденциального ресурса	отключена
Полномочное управление доступом: Конфликт категорий конфиденциальности	отключена
Полномочное управление доступом: Запрет перемещения конфиденциального ресурса	отключена
Полномочное управление доступом: Изменение параметров конфиденциальности ресурса	отключена
Полномочное управление доступом: Запрет изменения параметров конфиденциальности ресурса	отключена
Полномочное управление доступом: Доступ к конфиденциальному ресурсу	отключена
Полномочное управление доступом: Запрет доступа к конфиденциальному ресурсу	отключена
Полномочное управление доступом: Использование механизма исключений	отключена
Контроль печати: Начало печати документа	отключена
Контроль печати: Успешное завершение печати документа	отключена
Контроль печати: Ошибка при печати документа	отключена
Контроль печати: Начало печати экземпляра документа	отключена
Контроль печати: Успешное завершение печати экземпляра документа	отключена
Контроль печати: Ошибка при печати экземпляра документа	отключена
Контроль печати: Запрет печати документа	отключена
Контроль печати: Сохранение копии напечатанного документа	отключена
Контроль конфигурации: Успешное завершение контроля аппаратной конфигурации	включена
Контроль конфигурации: Обнаружены изменения в процессе контроля аппаратной конфигурации	включена
Контроль конфигурации: Обнаружено новое устройство	включена
Контроль конфигурации: Устройство удалено из системы	включена
Контроль конфигурации: Изменены параметры устройства	включена
Контроль конфигурации: Утверждение аппаратной конфигурации компьютера	включена
Разграничение доступа к устройствам: Подключение устройства	включена
Разграничение доступа к устройствам: Отключение устройства	включена
Разграничение доступа к устройствам: Запрет подключения устройства	включена
Разграничение доступа к устройствам: Несанкционированное отключение устройства	включена
Разграничение доступа к устройствам: Доступ к устройству	включена
Разграничение доступа к устройствам: Запрет доступа к устройству	включена
Контроль конфигурации: Переход в спящий режим	включена
Контроль конфигурации: Выход из спящего режима	включена
Теневое копирование: Начата запись на сменный диск	включена
Теневое копирование: Завершена запись на сменный диск	включена
Теневое копирование: Ошибка записи на сменный диск	включена
Теневое копирование: Запрет записи на сменный диск	включена
Теневое копирование: Начата запись образа CD/DVD/BD	включена
Теневое копирование: Завершена запись образа CD/DVD/BD	включена
Теневое копирование: Ошибка записи образа CD/DVD/BD	включена
Теневое копирование: Запрет записи образа CD/DVD/BD	включена
Контроль целостности: Исправление ошибок в базе данных	включена
Контроль целостности: Создание задачи	включена
Контроль целостности: Удаление задачи	включена
Контроль целостности: Изменение задачи	включена
Контроль целостности: Ошибка при расчете эталона	включена
Контроль целостности: Создание группы ресурсов	включена
Контроль целостности: Удаление группы ресурсов	включена
Контроль целостности: Изменение группы ресурсов	включена
Дискреционное управление доступом: Доступ к файлу или каталогу	включена

Вход в систему в административном режиме

При штатном функционировании системы Secret Net вход любого пользователя компьютера, включая администратора, должен выполняться по одинаковым правилам, установленным соответствующими механизмами защиты. Во время загрузки компьютера перед входом пользователя система защиты проводит инициализацию компонентов и их функциональный контроль. После успешного проведения всех проверок вход в систему разрешается.

В тех случаях, когда необходимо получить доступ к компьютеру в обход действующих механизмов или прервать выполнение инициализации компонентов, администратор может активировать специальный административный режим входа. Применение административного режима входа может потребоваться, при повторяющихся ошибках функционального контроля, приводящих к длительному ожиданию инициализации компонентов.

Примечание.

Административный режим входа следует использовать только в крайних случаях для восстановления нормального функционирования системы. Выполнив вход в административном режиме, устраните возникшую проблему и перезагрузите компьютер.

Для входа в систему в административном режиме:

Перезагрузите компьютер.
Во время загрузки компьютера при появлении сообщений об инициализации системных сервисов Secret Net нажмите клавишу . Удерживайте клавишу или периодически нажимайте ее до появления экрана приветствия (приглашение на вход в систему).
Выполните стандартные действия процедуры входа в систему.

Настройки параметров Secret Net, разделов: «Ключи пользователя», «Привилегии», «Регистрация событий», «Устройства», «Принтеры» — не требуют дополнительного конфигурирования.

Описание и настройка параметров пользователей

Параметры пользователей используются механизмами защиты входа и полномочного управления доступом. Параметры применяются при входе пользователя в систему после выполнения процедуры идентификации и аутентификации. Параметры доменных и локальных пользователей хранятся в локальной базе данных компьютера.

Примечание.

При копировании объектов «Пользователь» параметры Secret Net не копируются.

Настройка параметров пользователей осуществляется в стандартной оснастке ОС Windows «Управление компьютером».

Для просмотра и изменения параметров в стандартных оснастках ОС Windows:

Вызовите оснастку «Локальная политика безопасности», нажмите кнопку «Пуск» и в меню вызова программ выбрать команду «Код Безопасности | Secret Net | Управление компьютером | Локальные пользователи и группы | Пользователи».
Выберите раздел или организационное подразделение, в котором находится нужный пользователь.

В правой части окна появится список пользователей.

Вызовите окно настройки свойств пользователя и перейдите к диалогу «Secret Net 7».

В левой части диалога расположена панель выбора групп параметров. Средства для настройки представлены в правой части диалога. Для перехода к нужной группе параметров выберите на панели соответствующую пиктограмму:

«Идентификатор» — содержит средства управления персональными идентификаторами пользователя;
«Криптоключ» — содержит средства управления ключами для усиленной аутентификации пользователя;
«Доступ» — содержит средства управления параметрами полномочного доступа и входа в систему;
«ПАК «Соболь»» — содержит средства управления доступом пользователя к компьютерам с установленными комплексами «Соболь». Группа присутствует только для доменных пользователей в сетевом режиме функционирования;
«Сервис» — содержит средства управления ключами централизованного управления ПАК «Соболь» и интеграцией системы Secret Net с программным средством TrustAccess.

В текущей конфигурации ИС — настройки параметров Secret Net, разделов: «Идентификатор», «Криптоключ», «Доступ», «ПАК «Соболь» — не требуют дополнительного конфигурирования.

Атрибуты ресурсов

Параметры, относящиеся к атрибутам ресурсов файловой системы (файлов и каталогов), используются в механизмах управления доступом. Управление параметрами осуществляется с помощью расширения программы «Проводник».

Параметры настроек атрибутов ресурсов достаточны и не требуют дополнительных процедур настройки.

Описание механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).

Механизм контроля целостности (КЦ) предназначен для слежения за неизменностью содержимого ресурсов компьютера. Действие этого механизма основано на сравнении текущих значений контролируемых параметров проверяемых ресурсов и значений, принятых за эталон. Эталонные значения контролируемых параметров определяются или рассчитываются при настройке механизма. В процессе контроля при обнаружении несоответствия текущих и эталонных значений система оповещает администратора о нарушении целостности ресурсов и выполняет заданное при настройке действие, например, блокирует компьютер, на котором нарушение обнаружено.

Механизм замкнутой программной среды (ЗПС) предназначен для ограничения использования ПО на компьютере. Доступ разрешается только к тем программам, которые необходимы пользователям для работы. Для каждого пользователя определяется перечень ресурсов, в который входят разрешенные для запуска программы, библиотеки и сценарии. Попытки запуска других ресурсов блокируются, и в журнале безопасности регистрируются события несанкционированного доступа (НСД).

Настройка механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).

Для работы с программой управления КЦ-ЗПС пользователь должен входить в локальную группу администраторов компьютера.

Параметры механизмов контроля целостности и замкнутой программной среды настраиваются в программе «Контроль программ и данных», входящая в состав клиентского ПО системы Secret Net.

Для запуска программы нажмите кнопку «Пуск» и в меню вызова программ выберите команду «Код Безопасности | Secret Net | Контроль программ и данных».

В общем случае порядок настройки сводиться к выполнению следующих этапов:

Подготовка к построению модели данных: проводится анализ размещения ПО и данных на защищаемых компьютерах. Разрабатываются требования к настройке механизмов КЦ и ЗПС. Осуществляется подготовка рабочего места для проведения настройки;
Построение фрагмента модели данных по умолчанию: этап выполняется при формировании новой модели с нуля. В модель данных автоматически добавляются описания ресурсов для важных ресурсов ОС Windows, а также описания ресурсов некоторых прикладных программ.
Добавление задач в модель данных: в модель данных добавляются описания задач (прикладное и системное ПО, наборы файлов данных и т. д.) для контроля целостности и использования в ЗПС в соответствии с требованиями, разработанными на
Добавление заданий и включение в них задач: в модель данных добавляются все необходимые задания КЦ, ЗПС и ПАК «Соболь» и в них включаются задачи.
Подготовка ЗПС к использованию: субъектам назначаются задания ЗПС. Для того чтобы ресурсы контролировались механизмом ЗПС, они должны быть специально подготовлены — иметь признак «выполняемый».
Расчет эталонов: для всех заданий рассчитываются эталоны ресурсов
Включение ЗПС в жестком режиме: включается жесткий режим ЗПС. В жестком режиме разрешается запуск только разрешенных программ, библиотек и сценариев. Запуск других ресурсов блокируется, а в журнале Secret Net регистрируются события НСД
Включение механизма КЦ: устанавливаются связи заданий контроля целостности с субъектами «Компьютер» или «Группа» (компьютеров). С этого момента механизм КЦ начинает действовать в штатном режиме
Проверка заданий: перед началом эксплуатации механизма КЦ можно выполнить проверку корректности настроек заданий. Проверка заключается в немедленном выполнении задания независимо от расписания.

Программа управления «Контроль программ и данных», располагает как автоматическими, так и ручными средствами формирования элементов модели данных. Ручные методы можно использовать на любом уровне модели для формирования и модификации объектов и связей. Автоматические методы предпочтительнее при работе с большим количеством объектов, однако они требуют более тщательного контроля результатов.

Во время установки клиентского ПО системы Secret Net автоматически формируется локальная модель данных, в которую добавляются следующие задания:

«Задание для контроля ресурсов Secret Net»;
«Задание для контроля реестра Windows»;
«Задание для контроля файлов Windows».

Задания включают готовые задачи с ресурсами, сформированными по предопределенному списку. Для этих заданий устанавливаются связи с субъектом «Компьютер»;

В текущей конфигурации автоматизированной системы — параметры, субъекты и задания механизмов контроля целостности и замкнутой программной среды, выставленные в автоматическом режиме достаточны и не требуют дополнительных процедур настройки.

Более детально порядок и правила администрирования и управления средством защиты информации Secret Net представлены в документации, входящей в состав комплекта поставки

Источник

Для установки клиента:

Вставьте в привод установочный диск системы Secret Net Studio. Дождитесь появления окна программы автозапуска (см. стр.10) и запустите установку с помощью команды «Защитные компоненты». На экране появится диалог принятия лицензионного соглашения.
Ознакомьтесь с содержанием лицензионного соглашения и нажмите кнопку «Принимаю». На экране появится диалог для выбора режима работы компонента.

В поле «Режим работы» укажите режим функционирования клиента — автономный («Автономный режим»).
Нажмите кнопку «Далее >». На экране появится диалог для выбора лицензий и формирования списка устанавливаемых защитных подсистем.

В диалоге укажите метод получения лицензий:

чтобы загрузить лицензии из файла (в частности, при установке клиента в автономном режиме функционирования) — установите отметку в поле «ввести новую лицензию».

Нажмите кнопку «Выбрать». Если указан метод получения лицензий из файла, выберите нужный файл в появившемся диалоге. После загрузки данных в диалоге появятся сведения о лицензиях.
Отметьте в списке устанавливаемые подсистемы, для которых имеются свободные лицензии (установку компонента «Базовая защита» отключить нельзя). При наличии нескольких групп лицензий для компонента, можно выбрать нужную группу в раскрывающемся списке.
Нажмите кнопку «Далее >». На экране появится диалог для выбора папки установки клиента и настройки параметров подключений.
В поле «Установить в папку» оставьте заданную по умолчанию папку установки клиента или укажите другую папку назначения.
Используйте ссылки в разделе «Дополнительно» для выполнения следующих действий:

чтобы сохранить заданные параметров установки в файле — выберите ссылку «Сохранить сценарий установки». Файл сценария установки можно использовать для автоматизации процесса установки клиентского ПО на других компьютерах;
чтобы ввести сведения о компьютере для учета — выберите ссылку «Учетная информация компьютера».

По окончании настройки параметров нажмите кнопку «Готово».

Начнется процесс установки защитных подсистем в соответствии с заданными параметрами.

После завершения всех операций установки нажмите кнопку «Далее».

Проверьте состав подключенных к компьютеру устройств. Если подключены устройства, которые в дальнейшем должны быть запрещены к использованию, — отключите их.

Перезагрузите компьютер и дождитесь загрузки системы.

Таблица 1.

Настройки подсистем
Политика	Параметр безопасности
Вход в систему: Запрет вторичного входа в систему	отключен
Вход в систему: Количество неудачных попыток аутентификации	5 попыток
Вход в систему: Максимальный период неактивности до блокировки экрана	10 минут
Вход в систему: Реакция на изъятие идентификатора	блокировать станцию при изъятии любого идентификатора
Вход в систему: Режим аутентификации пользователя	стандартная аутентификация
Вход в систему: Режим идентификации пользователя	смешанный
Журнал: Максимальный размер журнала системы защиты	4096 кБ
Журнал: Политика перезаписи событий	затирать по необходимости
Затирание данных: Количество циклов затирания конфиденциальной информации	3
Затирание данных: Количество циклов затирания на локальных дисках	3
Затирание данных: Количество циклов затирания на сменных носителях	3
Контроль печати: Маркировка документов	стандартная обработка
Контроль печати: Теневое копирование	определяется настройками устройства
Контроль устройств: Теневое копирование	определяется настройками устройства
Полномочное управление доступом: Названия уровней конфиденциальности	Неконфиденциально, Конфиденциально, Строго конфиденциально
Полномочное управление доступом: Режим работы	контроль потоков отключен
Теневое копирование: Размер хранилища	размер: 20%, автоматическая перезапись отключена
Политика паролей
Политик	Параметр безопасности
Макс. срок действия пароля	90 дней
Мин. длина пароля	8 символов
Мин. срок действия пароля	0 дней
Пароль должен отвечать требованиям сложности	Включен

К группе локальной защиты относятся подсистемы, реализующие применение

следующих механизмов защиты:
контроль устройств;
контроль печати;
замкнутая программная среда;
полномочное управление доступом;
дискреционное управление доступом к ресурсам файловой системы;
затирание данных;
защита информации на локальных дисках;
шифрование данных в криптоконтейнерах.

Настройки параметров парольной политики:

Параметры журналирования:

Параметры блокировок и реакции на извлечение идентификатора:

После внесения изменений нажмите кнопку применить:

Источник

СЗИ Secret Net Studio версии 8.8 (далее SNS) – комплексное решение для защиты рабочих станций и серверов.

Какие задачи решает:

Защита от внешних угроз:

защита рабочих станций и серверов от вирусов и вредоносных программ;
защита от сетевых атак;
защита от подделки и перехвата сетевого трафика внутри локальной сети;
защищенный обмен данными с удаленными рабочими станциями.

Защита от внутренних угроз:

защита информации от несанкционированного доступа;
контроль утечек и каналов распространения защищаемой информации;
защита от действий инсайдеров;
защита от кражи информации при утере носителей.

Как устанавливать?

Тут два варианта:

– автономный – только локальное управление защитными механизмами;

– сетевой – централизованные:
1) управление защитными механизмами;

2) получение информации;

3) изменение состояния компьютеров (рис. 1).

СЗИ от НСД SNS устанавливаем на каждое АРМ и сервер с помощью установщика.

Рисунок 1 – Выбор автономного режима работы

После установки SNS, информация о СЗИ появится в системном трее (рис. 2).

Рисунок 2 – Область уведомлений с информацией о SNS

Также появится предупреждение о перезагрузке (рис. 3).

Рисунок 3 – вход в систему после установки

Как работает?

При базовой защите, настройки входа зависят от информационной системы.

Рисунок 4 – Настройки входа

Рисунок 5 – Настройки защиты

Рисунок 6 – Настройка дискреционного управления доступом

Журналы в базе данных сервера безопасности собирают:

события тревоги;
события Secret Net Studio и штатные события ОС Windows;
события сервера безопасности.

Информацию из журналов можно загружать в программу управления (рис. 7).

Рисунок 7 – Журнал событий

Запросы для формирования отчетов выполняются в панели «Отчеты». Формируются только для ОС Windows (рис. 8).

Рисунок 8 – Формирование отчёта

Название отчёта	Описание
Программы и компоненты	Содержит учетную информацию и перечень установленного ПО.
Ресурсы АРМ	Содержит учетную информацию и подробные сведения о параметрах установленной системы защиты.

Виды отчётов

Что умеет SNS?

– Контролирует нарушения аппаратной конфигурации и подключения внешних устройств для защиты от несанкционированного доступа.

– Защищает вход в систему, за счёт двухфакторной аутентификации по персональным идентификаторам и паролям.

– Может в дискреционное управление, которое позволяет работать с конфиденциальными данными только лицам с определенным уровнем полномочий и закрывать доступ для остальных.

Важно отметить:

1) Это работает в любой файловой системе под Windows.

2) Есть назначение меток конфиденциальности через свойства папок и директорий.

3) Возможен контроль потоков и терминальных подключений.

4) Гибкая настройка конфиденциальности сессии при входе в систему.

– Затирает данные удаленной секретной информации и гарантирует невозможность ее восстановления, благодаря перезаписи случайных последовательностей чисел в несколько циклов.

– Формирует доверенную информационную среду за счет надежной защиты от несанкционированной загрузки, а также благодаря всестороннему контролю ПО.

– Защищает данные от НСД и утечек.

– Контролирует потоки распространения информации за счёт управления доступом и функционального контроля отчуждения, теневого копирования, печати и уничтожения информации.

– Умеет в межсетевое экранирование.

– Обеспечивает антивирусную защиту

– Шифрует контейнеры по алгоритму ГОСТ 2814789 для предотвращения кражи информации.

– Проводит аудит действий приложений посредством эвристических методик. Можно настраивать политики безопасности с поддержкой исключений.

– Защищает соединения с удаленными ПК встроенным VPN-клиентом по криптоалгоритму ГОСТ 2814789 и поддержкой инфраструктуры PKI.

– Защищает от сетевых атак с последующим блокированием соответствующих хостов.

Работает из коробки в геораспределённых компаниях, поддерживает централизованное развертывание и групповой мониторинг.

Облегчает расследование инцидентов

Формирует отчеты по всем событиям, позволяя собирать информацию для выявления и отслеживания атак с привязкой ко времени.

Рисунок 9 – Компоненты СЗИ SNS

Что с законами и регуляторами?

По данным разработчика «Код Безопасности», SNS соответствует нормативным требованиям и позволяет выполнить:

– более 60% всех мер защиты значимых объектов КИИ РФ из приказа ФСТЭК России № 239;

– более 50% всех требований по защите ГИС из приказа ФСТЭК России № 17;

– более 50% всех мер защиты ИСПДн из приказа ФСТЭК России № 21.

SNS позволяет выполнять требования регуляторов при аттестации ИС:
– защита ГИС до класса К1;

– автоматизированных систем управления технологическим процессом до 1 класса включительно;

– защита ПДн до УЗ1.

Что используем мы?

Мы используем Secret Net Studio для защищённого облака Safe Cloud 152-ФЗ

Комплекс совместим с ПАК “Соболь”, и закрывает ряд задач безопасности:

функциональный контроль;
блокировка;
защита входа в систему;
дискреционное управление;
затирание данных;
полномочное управление;
обнаружение вторжений.

Рисунок 10 – Информация о лицензии

СЗИ помогает при защите конфиденциальной информации, защите от проникновения и несанкционированных действий.

Хочется отметить, что процедура развертывания и интерфейс интуитивно понятны и удобны в использовании.

Важно, что SNS включен в единый реестр российского ПО и имеет сертификаты ФСТЭК России № 3745 и ФСБ № СФ/СЗИ-0288

– Василий Смирнов, Teamlead по защите вычислительной инфраструктуры и веб-приложений команды Cortel.

Источник

Другие товары

Введение

Механизмы централизованного управления системой

Центраизованное развертывание и настройка Secret Net Studio

Управление дистрибутивами в репозитории Secret Net Studio

Централизованная установка Secret Net Studio

Контроль задач и процессов в Secret Net Studio

Централизованное управление

Структура управления в Secret Net Studio

Типы управления в Secret Net Studio

Управление групповыми политиками в Secret Net Studio

Централизованный мониторинг в Secret Net Studio

Общее состояние системы

События тревоги

Централизованные журналы событий в Secret Net Studio

Формирование отчетов в Secret Net Studio

Выводы

Введение

Описание решения

Архитектура решения

Описание защитных механизмов

Защита от несанкционированного доступа

Защита входа в систему

Идентификация и аутентификация пользователей

Блокировка компьютера

Функциональный контроль подсистем

Контроль целостности

Дискреционное управление доступом к ресурсам файловой системы

Полномочное управление доступом

Затирание данных

Замкнутая программная среда

Контроль подключения и изменения устройств компьютера

Контроль печати

Теневое копирование выводимых данных

Защита дисков и шифрование контейнеров

Защита информации на локальных дисках

Шифрование данных в криптоконтейнерах

Персональный межсетевой экран

Обнаружение и предотвращение вторжений

Антивирус

Шифрование сетевого трафика

Выводы

Документация к версии – Secret Net 7

6.5 Настройка использования устройств и принтеров

6.6 Настройка прав доступа к устройствам

6.7 Настройка прав пользователей для печати на принтерах

Настройка параметров механизмов защиты и средств управления Secret Net 7

Настройка параметров механизмов защиты и средств управления Secret Net 7

Как устанавливать?

Как работает?

Что умеет SNS?

Что с законами и регуляторами?

Что используем мы?

Это тоже интересно: