Секрет нет антивирус или нет
В связи с цифровизацией бизнес-процессов, учащением кибератак и ужесточением требований законодательства к IT-безопасности всё большую актуальность для государственных, промышленных и коммерческих компаний приобретает организация защиты информации от несанкционированного доступа. Пресечь попытки незаконного стороннего проникновения в локальную корпоративную сеть, устранить несанкционированный доступ к информации на автоматизированных рабочих местах пользователей, обезопасить бизнес от происков конкурентов и привести информационные системы организации в соответствие требованиям регулирующих документов позволят специализированные решения линейки Secret Net Studio. Установленные на сотнях тысяч ПК в более чем 15 000 компаниях России, программные продукты Secret Net Studio доказали свою эффективность и надёжность.
Методология сравнения СЗИ от НСД
Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. Их количество зависит от ряда факторов: от глубины исследования, а также степени различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развернутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне.
Следуя этому принципу, мы отобрали более 200 критериев, сравнение по которым упростит выбор СЗИ от НСД. К некоторым из критериев были добавлены пояснения.
Отметим, что при разработке критериев учитывались требования документов ФСТЭК России:
- Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД СВТ).
- Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Гостехкомиссия России, 1992 г. (РД НДВ).
- Требования к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. № 87.
- Требования к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. № 9).
- Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. № 638.
- Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. № 28.
Для удобства все сравнительные критерии были разделены на следующие категории:
- Общие сведения
- Архитектура решения
- Системные требования (минимальные)
- Поддерживаемые операционные системы защищаемых АРМ и серверов (согласно ТУ)
- Варианты исполнения системы
- Уровень сертификации по требованиям безопасности ФСТЭК России
- Поддерживаемые аппаратные идентификаторы (токены и смарт-карты) (согласно ТУ)
- Развертывание системы защиты
- Обновление компонентов
- Функциональные роли
- Контроль входа в систему, блокировка сеанса работы
- Контролируемые объекты
- Контроль целостности
- Замкнутая (изолированная) программная среда
- Контроль портов ввода/вывода и подключаемых устройств
- Контроль подключения внешних устройств
- Контроль печати
- Дискреционное управление доступом
- Мандатное разграничение доступа
- Очистка информации
- Дополнительные модули защиты:
- 21.1. Персональный межсетевой экран
- 21.2. Обнаружение вторжений
- 21.3. Антивирус
Для участия в сравнении было отобрано семь наиболее известных и популярных в России СЗИ от НСД:
- СЗИ от НСД «Аккорд-Win64 K» (компания ОКБ САПР);
- СЗИ от НСД «Блокхост-Сеть 2.0» и «Блокхост-АМДЗ 2.0» (компания «Газинформсервис»);
- СЗИ от НСД Dallas Lock 8.0-К (компания «Конфидент»);
- СЗИ от НСД Diamond ACS (компания ТСС);
- КСЗИ «Панцирь+» (компания «НПП «Информационные технологии в безопасности»);
- СЗИ от НСД Secret Net Studio (компания «Код Безопасности»);
- СЗИ от НСД «Страж NT 4.0» (компания «Рубинтех»).
Отметим, что в данном сравнении мы рассматриваем решения для защиты информации ограниченного доступа, не содержащей сведения, составляющих государственную тайну (для защиты конфиденциальной информации). Как правило, эти решения применяются для защиты информационных систем персональных данных (ИСПДн), государственных информационных систем (ГИС) или для автоматизированных систем до класса защищенности АС 1Г включительно. Такие решения обычно имеют сертификат на соответствие требованиям руководящих документов по 4 уровню контроля отсутствия НДВ, 5 классу защищенности СВТ.
При этом мы учитывали, что у производителей может быть и отдельное решение с высоким уровнем сертификации для защиты автоматизированных систем с более высоким классом защиты, в которых обрабатываются сведения, составляющие государственную тайну. Или же у вендора может единственное решение, которое может применяться как для защиты конфиденциальной информации, так и для защиты гостайны.
Защита данных и КИИ в соответствии с требованиями ФСТЭК
Обеспечить комплексную ИТ-безопасность серверов и рабочих ПК на уровне данных, операционных систем, приложений, корпоративных сетей и подключаемого оборудования даёт возможность решение Secret Net Studio. На сегодняшний день это флагманский продукт в линейке автоматизированных систем защиты конфиденциальной информации и локальных сетей от несанкционированного доступа Secret Net. Система включена в Единый реестр российского ПО и соответствует требованиям госпрограммы импортозамещения.
Решение Secret Net Studio сертифицировано ФСТЭК России:
- 4-й уровень контроля отсутствия недекларированных возможностей (НДВ)
- 5-й класс защищённости средств вычислительной техники (СВТ)
- 4-й класс защиты средств контроля подключения съёмных носителей информации (СКН)
- 4-й класс средств антивирусной защиты (САВЗ)
- 4-й класс защиты средств обнаружения вторжений (СОВ) уровня хоста
- 4-й класс защиты МЭ типа «В» (межсетевые экраны, применяемые на узле (хосте) информационной системы)
Назначение и сценарии применения средства защиты от НСД
Систему Secret Net Studio рекомендуется использовать для защиты следующих компонентов ИТ-инфраструктуры предприятия:
- автоматизированных систем управления технологическим процессом (АСУ ТП) до 1 класса включительно;
- автоматизированных информационных систем до класса 1Г включительно (защита конфиденциальных данных);
- критической инфраструктуры предприятия (КИИ) в соответствии с Федеральным законом N 187-ФЗ от 26.07.2017;
- персональных данных согласно приказу ФСТЭК России № 21;
- государственных информационных систем до 1 класса включительно;
- государственной тайны;
- удалённых рабочих мест;
- рабочих мест в территориально распределённых организациях.
Схема централизованного управления
- В домен безопасности входят все рабочие станции и сервера, относящиеся к конкретному контейнеру Active Directory – домену или организационному подключению, включая объекты дочерних контейнеров.
- Поддерживается иерархия между серверами безопасности (подчинение, лес)
- Настройка прав доступа - возможно построить видимость только своих доменов безопасности для администраторов.
- Возможность централизованного управления всеми доменами безопасности для главного администратора.
Лицензирование
2 975 275 руб. (Модули Защита от НСД + Контроль устройств, Базовая техподдержка, Установочный комплект СЗИ)
Выводы
Все производители перечисленных выше СЗИ от НСД активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведенном сравнении СЗИ от НСД мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какое из СЗИ от НСД наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.
Светлана Конявская, заместитель генерального директора, ОКБ САПР
Сергей Левчик, генеральный директор, «Рубинтех»
Сергей Овчинников, директор по маркетингу, «Конфидент»
Татьяна Петрук, руководитель группы бизнес-анализа, «Конфидент»
Андрей Щеглов, генеральный директор, НПП «ИТБ»
Коростелев Павел, руководитель отдела продвижения продуктов, «Код Безопасности»
Приветствую уважаемых хабравчан.
На Хабрахабре достаточно редки упоминания средств защиты информации (СЗИ) от несанкционированного доступа (НСД), если верить поиску. Например, по запросу Dallas я получил 26 топиков и 2 вопроса, из всего этого только один топик упоминал именно СЗИ от НСД Dallas Lock питерской фирмы ООО «КОНФИДЕНТ». По другим средствам картина похожая. В данном посте я бы хотел поделиться опытом применения таких средств и наиболее частым ошибкам/непониманиям при работе с ними.
Основные инструменты
Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но
не работалобыло проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».
Применение
Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко
получается пощупатьиспользуются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net'а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.
Проблемы
Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство
спасет отца русской демократиипоможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.Secret Net
Фаворит — он везде фаворит
Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:
Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:
В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:
Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:
И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.
Страж NT
Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.
Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.
Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.
Dallas Lock
Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.
Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock'а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».
Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.
Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.
Сетевой режим работы подразумевает централизованное управление механизмами защиты, а также централизованную работу с событиями безопасности, с помощью программы управления на Сервере безопасности. На рабочие станции и сервера устанавливается клиентские лицензии.
Сетевая версия Secret Net работает всегда совместно с Active Directory. При этом существует две схема хранения данных (информация о пользователях, компьютерах, политиках безопасности):
- С модификацией схемы Active Directory – В AD размещаются и хранятся сведения об объектах централизованного управления. Процедура модификации не затрагивает имеющиеся в AD объекты и связи, поэтому не может оказать влияние на работоспособность существующей доменной структуры. Требуются права системного администратора AD.
- Без модификации схемы Active Directory - для этого создается отдельная база вне AD (ADAM/LDS). Рекомендуется минимум два сервера безопасности для репликации данных.
Сервера безопасности для хранения журналов поддерживают бесплатные редакции СУБД (Microsoft SQL Server 2008 (и выше), Oracle Database), которые входят в комплект установки. Необходимо только учитывать ограничения по размеру базы данных, которые накладывают бесплатные версии СУБД.
Возможности Secret Net Studio
Secret Net Studio является первым отечественным комплексным решением для обеспечения информационной безопасности. Система включает целый перечень защитных механизмов с единой политикой обеспечения ИБ и единым центром управления. Информационная безопасность локальной сети, корпоративных систем и сервисов от несанкционированного доступа в программе Secret Net Studio обеспечивается следующими мерами:
- Организация безопасного входа в систему. Идентификация и аутентификация пользователей в корпоративной системе осуществляется по паролям и персональным идентификаторам (iButton, eToken, Rutoken, iKey, JaCarta, ESMART). При попытке подбора пароля, нарушении функциональной целостности системы и срабатывании прочих защитных подсистем Secret Net Studio автоматически блокируются клавиатура, мышь и монитор рабочего ПК. Разблокировать его в этом случае может только администратор оперативного управления системой защиты от НСИ. Также Secret Net Studio интегрируется с аппаратными средствами защиты для организации доверенной загрузки операционной системы со съёмных носителей (к примеру, с электронным замком «Соболь»). Для усиления защиты доменных пользователей есть возможность использования входа по сертификатам.
- Создание доверенной среды. Функция контроля разрешённых к запуску программ в Secret Net Studio 8.5 защищает рабочие ПК от несанкционированной загрузки, а драйвера и процессы — от попыток эксплуатации уязвимостей (в том числе нулевого дня). Таким образом минимизируется риск деактивации системы IT-безопасности предприятия злоумышленниками.
- Разграничение прав доступа. Для защиты конфиденциальных данных от внутреннего несанкционированного проникновения используются механизмы разграничения прав доступа пользователей в соответствии с их статусами. Организуется эффективный контроль над всеми каналами распространения защищаемой информации, включая принтеры, сетевые устройства и внешние носители. Производится теневое копирование выводимых на печать документов.
- Контроль подключаемых устройств. Secret Net Studio обеспечивает администратору полный контроль над подключением и отключением периферийного оборудования. В перечень подконтрольных внешних устройств входят веб-камеры, 3G-модемы, USB-накопители, сетевые карты, принтеры, смартфоны и т. д. Система предусматривает различные сценарии реагирования в зависимости от несанкционированного подключения того или иного оборудования.
- Антивирусная защита. Хищение, уничтожение, шифрование и компрометация данных сегодня всё чаще осуществляются с применением вредоносных программ. Secret Net Studio обеспечивает надёжную защиту серверов и рабочих станций посредством интегрированных технологий ESET. Система защиты локальной корпоративной сети от несанкционированного доступа поддерживает возможность сканирования и запуска заданий по расписанию, а также по требованию администратора или рядового сотрудника.
- Межсетевое экранирование. Решение обеспечивает контроль сетевой активности ПК и фильтрацию большого количества протоколов согласно установленным политикам. Фильтрация, в частности, осуществляется на уровне отдельно взятых приложений, отдельно взятых сотрудников, а также групп пользователей. Защита от подделки и перехвата данных внутри корпоративной сети обеспечивается подписью сетевого трафика. Поддержка технологии машинного обучения позволяет межсетевому экрану автоматически генерировать правила и интеллектуально их суммировать в процессе эксплуатации.
- Контроль действий приложений. Система выявляет подозрительную активность приложений эвристическими методами. Для каждого приложения настраиваются индивидуальные и групповые правила безопасности. Предусмотрен режим самообучения ИБ-системы в процессе эксплуатации приложений.
- Защита от сетевых атак. Система поддерживает сигнатурные и эвристические методы обнаружения случаев сканирования портов и DDoS-атак.
- Поддержка защищённого соединения по криптоалгоритму ГОСТ 28147-89. Для обеспечения безопасной работы территориально распределённых филиалов компании и удалённых сотрудников в системе используется программный VPN-клиент «Континент-АП». С его помощью создаётся защищённое соединение географически удалённых ПК с сервером доступа «Континент».
- Шифрование контейнеров по алгоритму ГОСТ 28147-89. Данная мера защищает от несанкционированного доступа данные на съёмных носителях и жёстких дисках. В случае утери или кражи флешки информацию на ней никто не сможет прочесть. Для хранения критически важной информации применяются аппаратные идентификаторы.
Централизованное управление и отчетность
Производительность
Secret Net не создает помех для работы по локальной сети. Разработчиками тестировалась возможно подключение до 3 000 агентов сервера безопасности, однако рекомендуется использовать не более 1 000. Одновременно в реальном времени обрабатывается более 10 000 объектов управления и объектов иерархии Active Directory.
Решения для защиты от НСД Secret Net — выбор федеральных ведомств и силовых структур, банков и финансовых организаций, госучреждений, предприятий E-commerce и телекоммуникационных холдингов. Программные продукты линейки «Секрет Нет» разработаны отечественной компанией «Код безопасности», включены в Единый реестр российского программного обеспечения, соответствуют требованиям законодательства к средствам защиты объектов критической информационной инфраструктуры (КИИ) и данных государственных организаций.
Флагманским решением линейки является программный комплекс Secret Net Studio. Он пришёл на смену специализированному продукту для защиты информации от несанкционированного доступа для операционных систем семейства Microsoft Windows — Secret Net. В 2018 году компания «Код безопасности» сняла с продажи «Секрет Нет 7», призвав пользователей переходить на более продвинутый и функциональный программный комплекс «Секрет Нет Студио».
SN Studio — сертифицированное ФСТЭК России решение для защиты рабочих ПК и серверов, обеспечивающее защиту информации на уровне данных, корпоративных систем и сервисов, локальной сети, операционной системы и подключаемого оборудования. Помимо защиты от несанкционированного доступа (НСД), программный комплекс выполняет также функции антивирусного ПО, системы обнаружения вторжений, персонального межсетевого экрана и модуля авторизации сетевых соединений, инструмента централизованного управления и мониторинга.
Дополнительные модули защиты
Основные направления применения Secret Net
Из вышеприведённого обзора Secret Net уже ясно, что программный комплекс обеспечивает многоплановую защиту корпоративной информации на всех уровнях (локальная сеть, приложения, данные и т. д.). Защита информации от несанкционированного доступа остаётся основным сценарием применения «Секрет Нет Студио». Однако вместе с этим программный комплекс обеспечивает безопасность информации по следующим направлениям:
- Защита от утечки, подмены и потери доступа к конфиденциальным данным. Специальные инструменты защиты от внешних и внутренних угроз препятствуют хищению и изменению конфиденциальной информации посредством вредоносного ПО и кибератак.
- Защита объектов КИИ. Законодательство РФ обязывает защищать от несанкционированного доступа объекты критической информационной инфраструктуры. К объектам КИИ относятся системы и сервисы, от стабильности работы которых зависят жизнь и здоровье людей, экономическая, социальная и политическая устойчивость отдельно взятого региона или всего государства в целом. За необеспечение должной защиты объектов критической информационной инфраструктуры для управленцев и должностных лиц предусмотрены меры административной и уголовной ответственности. (Для защиты информации от несанкционированного доступа для операционных систем семейства MS Windows рекомендуется использовать SN Studio, для ОС Linux — сертифицированное средство защиты от НСД Secret Net LSP).
- Защита данных госорганизаций. Законодательство требует защищать от несанкционированного доступа и прочих киберугроз информационные системы государственных органов, поскольку в них обрабатываются огромные массивы персональных данных. В случае хищения этих данных ответственные за обеспечение информационной безопасности лица могут понести административную и уголовную ответственность. Для обеспечения безопасности госинформсистем используются следующие программные продукты линейки «Секрет Нет»: SN Studio, SN LSP и Secret MDM (средство защиты данных на мобильных устройствах).
- Защита удалённых рабочих мест. Для обеспечения безопасного подключения удалённых сотрудников к корпоративным системам и сервисам достаточно одного программного продукта — «Секрет Нет Студио». СЗИ защищает подключения как с мобильных устройств, так и со стационарных ПК. Во избежание несанкционированного доступа к конфиденциальным данным в случае взлома канала связи, потери/кражи удалённого компьютера все документы шифруются по алгоритму ГОСТ 28147-89. Защита удалённых ПК на уровне сети обеспечивается за счёт фильтрации входящего трафика. Подключение удалённых ПК к локальной корпоративной сети осуществляется через VPN-клиент. Предусмотрена функция обнаружения и предотвращения вторжений от недоверенных ПК и внешних источников.
- Защита государственной тайны. «Секрет Нет Студио» выпускается в 2-х редакциях: обычной (для защиты конфиденциальных данных) и специализированной Secret Net Studio-C (для защиты гостайны). Для защиты государственной тайны в среде Linux рекомендуется использовать SN LSP.
Проконсультироваться по вопросам поставки и внедрения программного комплекса для защиты от НСД Secret Net Studio, а также заказать бесплатную пробную версию продукта можно по телефону, указанному вверху страницы.
Нам можно доверять! Компания «Интелком» более 10 лет работает на рынке обеспечения информационной безопасности. Мы являемся официальным партнёром всех ведущих российских разработчиков СЗИ, включая компанию «Код безопасности». Наша деятельность сертифицирована ФСТЭК и ФСБ России. На все работы предоставляются долгосрочные гарантии.
Сравнение сертифицированных средств защиты информации от несанкционированного доступа (СЗИ от НСД)
Введение
Российский рынок средств защиты информации от несанкционированного доступа (сокращенно СЗИ от НСД) для серверов и рабочих станций уходит корнями в далекие 90-е. Первые разработки появились именно тогда. Российские производители включились в процесс разработки решений для выполнения требований руководящих документов Гостехкомиссии (теперь это ФСТЭК России) по защите информации.
Изначально СЗИ от НСД создавались применительно к решению задач усиления встроенных в операционные системы механизмов защиты. Некоторые продукты этого класса эволюционируют в сторону комплексной защиты конечных точек сети от внешних и внутренних угроз, где функциональность СЗИ от НСД является лишь одной из составляющих. И сейчас основным драйвером продаж сертифицированных СЗИ от НСД является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации (защита персональных данных, защита государственных информационных систем, защита государственной тайны).
Сегодня российский рынок СЗИ от НСД в силу своего исторического развития уникален и не имеет аналогов за рубежом. На нем представлено большое количество сертифицированных продуктов для серверов и рабочих станций, и все они российской разработки. Не так давно мы делали «Обзор сертифицированных средств защиты информации от несанкционированного доступа (СЗИ от НСД)». В процессе выбора между тем или иным решением неизбежно возникают вопросы. Чем принципиально отличаются между собой различные решения? На что ориентироваться при выборе СЗИ от НСД? Как выбрать наиболее подходящее решение для вашей компании?
К сожалению, универсального решения, подходящего любой компании, сегодня нет. Именно поэтому важно понимать, чем один продукт отличается от другого и каким требованиям регулятора они удовлетворяют. Данное сравнение следует рассматривать как базисное. Во всех тонкостях работы СЗИ от НСД зачастую трудно разобраться даже профессионалам, не говоря уже о потенциальных клиентах. Еще сложнее сравнить возможности решений между собой. Стоит понимать, что в рамках данного материала мы не сравниваем эффективность или удобство того или иного решения. Для этого необходимо проводить масштабные тесты в условиях, приближенных к «боевым», что требует несоизмеримо больших затрат — как на разработку методик сравнения, так и на их воплощение.
Тем не менее в дальнейшем мы планируем проводить более глубокие сравнения СЗИ от НСД по их реальной технологической эффективности.
Общие сведения
- Лицензии ФСТЭК России №1100 на защиту гостайны, №1101 на создание СЗИ, №0024 на защиту конфиденциальной информации, №0016 на производство СЗКИ.
- Лицензии ФСБ России №8087, №14562Н, № 13458К, №14901М, №14900С, №160.
- Лицензия Минобороны РФ №1211.- Лицензии ФСТЭК №2965, №3132 на создание СЗИ, №2964 и №3131 на защиту гостайны (тех. защита информации), №1247 на производство СКЗИ; №2291 на защиту конфиденциальной информации.
-Лицензии ФСБ №24125, №26773, №14811Н, №13051Н, №16625Н и №15739.- Лицензии ФСТЭК России №0111 на производство СЗКИ; №0177 на защиту конфиденциальной информации, №1862 на защиту гостайны (тех. защита информации); №1893 на созданиее СЗИ.
- Лицензии ФСБ России №938Н и №9124.- Лицензии ФСТЭК России №0055 на производство СЗКИ; №0081 на защиту конфиденциальной информации.
- Лицензия ФСБ России №914Н.Основные функции СЗИ от НСД
Особенности реализации
- Возможность частичного делегирования административных полномочий по организационным подразделениям.
- Резервирование данных средствами Active Directory (при наличии нескольких контроллеров домена)
- В каждом домене должен быть свой сервер безопасности
- Гибкое ограничение и делегирование полномочий администраторов.
- Домен безопасности – организационное подразделение (OU), логически выделенный сегмент безопасности (компьютеры. Пользователи, сервера безопасности). Поддерживается лес доменов безопасности (как в AD);
- Полное делегирование административных полномочий на уровне домена AD, без делегирования в домене безопасности (без делегирования серверов безопасности);
- В каждом домене безопасности целесообразно предусматривать как минимум два сервера безопасности для репликации баз. Также подходят стандартные схемы резервного копирования
- Управление политиками через программу управления, использование AD только для чтения информации (полномочия в AD не нужны)
- Модификация схемы Active Directory;
- Установка сервера безопасности под учетной записью администратора домена.
- Установка клиента Secret Net и системы управления.
- Добавление рабочих станций под управление сервера безопасности.
- Настройка необходимых параметров в групповой политике и ее применение.
- Настройка запуска установки Secret Net через групповые политики.
- Отслеживание процесса установки через программу управления.
- Создание группы администраторов домена безопасности, включение в нее необходимых учетных записей.
- Делегирование прав на управление групповыми политиками подразделения для данной группы (или учетных записей), если политики будут управляться не через программу управления;
- Установка сервера безопасности (локальный администратор, при установке указать группу администраторов домена безопасности). Установка клиента Secret Net и системы управления;
- Добавление рабочих станций под управление сервера безопасности.
- Настройка необходимых параметров в групповой политике и ее применение.
- Настройка запуска установки Secret Net через групповые политики (если делегированы права)
- Отслеживание процесса установки через программу управления.
Почему за Secret Net Studio следует обратиться именно к нам
Компания «Интелком» более 10 лет занимается поставками и внедрением систем информационной безопасности от лучших отечественных производителей. Мы являемся лицензиатами ФСТЭК и ФСБ РФ. Нам доверяют правительства Московской и Тульской областей, МФЦ 20 городов России, ведущие оборонные предприятия и крупнейшие вузы страны. Наши проекты отмечены благодарственными отзывами Госдумы, УФМС, МВД, ФСБ и МЧС РФ, госкорпораций «РОСТЕХ» и «Высокоточные комплексы». Обращаясь в ООО «Интелком», вы можете быть уверены в надёжной защите ваших информационных систем. На все работы предоставляются долгосрочные гарантии.
В сравнении средств защиты информации от несанкционированного доступа (СЗИ от НСД) для серверов и рабочих станций мы проанализировали и сопоставили лидирующие на отечественном рынке продукты российских компаний Secret Net Studio («Код Безопасности»), Dallas Lock К («Конфидент»), «Аккорд-Win64 K» (ОКБ САПР), «Блокхост-Сеть 2.0» и «Блокхост-АМДЗ» («Газинформсервис»), КСЗИ «Панцирь+» («НПП «Безопасные информационные технологии»), СЗИ от НСД Diamond ACS (ТСС), «Страж NT» («Рубинтех»). Результаты сравнения помогут понять, чем принципиально различаются существующие на рынке СЗИ от НСД и на что стоит ориентироваться при их выборе.
- 3.1. Общие сведения
- 3.2. Системные требования, варианты развертывания и роли
- 3.3. Основные функции СЗИ от НСД
- 3.4. Дополнительные модули защиты
- 3.5. Централизованное управление и отчетность
- 3.6. Возможности интеграции
- 3.7. Лицензирование
Возможности интеграции
Системные требования, варианты развертывания и роли
Читайте также: