Средства защиты информации и где дёготь

Приветствую уважаемых хабравчан.
На Хабрахабре достаточно редки упоминания средств защиты информации (СЗИ) от несанкционированного доступа (НСД), если верить поиску. Например, по запросу Dallas я получил 26 топиков и 2 вопроса, из всего этого только один топик упоминал именно СЗИ от НСД Dallas Lock питерской фирмы ООО «КОНФИДЕНТ». По другим средствам картина похожая. В данном посте я бы хотел поделиться опытом применения таких средств и наиболее частым ошибкам/непониманиям при работе с ними.

Основные инструменты

• Secret Net от компании «Код безопасности»
• Страж NT от НПЦ «Модуль»
• Ранее упомянутый Dallas Lock

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение

Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net’а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы

Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство спасет отца русской демократии поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.

Secret Net

Фаворит — он везде фаворит

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:

Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.

Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:

В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:

Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:

И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT

Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock

Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock’а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

Secret Net 7

С 9 апреля 2018 года продажа и поставка Secret Net 7 прекращаются.

Вместо Secret Net 7 для защиты рабочих станций и серверов можно применять продукт Secret Net Studio. Средство защиты информации выпускается в двух редакциях: Secret Net Studio — для защиты конфиденциальной информации и Secret Net Studio-C — для защиты гостайны.

По вопросам перехода на Secret Net Studio или его приобретения — свяжитесь с нами по телефону или через форму на сайте.

Secret Net 7 — программное обеспечение, представляющее собой средство защиты информации на рабочих станциях и серверах от несанкционированного доступа к ним. Система функционирует на платформах Microsoft Windows. Решение СЗИ Secret Net 7 включает в себя функционал, обеспечивающий защиту данных, системы центрального управления, механизмы принятия решений в оптимальные сроки и функции мониторинга безопасности информационного ресурса в режиме реального времени. Повышается защищенность корпоративной ИТ-инфраструктуры за счет тесной интеграции защитных средств Secret Net с системами управления сетевой инфраструктуры.

Приложение Secret Net предназначено для обеспечения защиты конфиденциальных данных и осуществления мониторинга и контроля во время обработки персональной информации. Secret Net повышает уровень автоматизации и существенно снижает административные затраты.

Существуют разные редакции Secret Net, которые обеспечивают построение эффективной системы защиты данных от несанкционированного доступа, согласно индивидуальных бизнес-потребностей:

• Автономный вариант — решение, ориентированное на защиту небольшого количества серверов и рабочих станций (до 25 компьютеров и/или ноутбуков);
• Сетевой вариант — решение, осуществляющее защиту большого количества рабочих станций за счет дополнительных средств централизованного управления безопасностью для взаимодействия в больших сетях.

Ключевые возможности Secret Net:

• аутентификация и идентификация пользователей;
• аудит и ведение журналов событий;
• возможность масштабирования;
• гарантированная девастация информации при удалении ее пользователем;
• защита данных при их хранении: регистрация событий, контроль над распечаткой конфиденциальных данных и шифрование файлов;
• защита от загрузки данных с переносных носителей информации;
• контроль над аппаратными настройками компьютера;
• разграничение доступа к устройствам и защищаемой информации;
• регулирование доступа пользователей к конфиденциальной информации;
• поддержка для платформ Microsoft и Citrix при пользовательских терминальных сессиях;
• удобное управление и оптимизация: импорт и экспорт настроек.

Архитектура Secret Net 7

Архитектура Secret Net 7 состоит из таких компонентов:

• клиент;
• сервер безопасности;
• программа управления.

Клиент

Secret Net 7 — Клиент инсталлируется на всех защищаемых устройствах. Данная компонента предназначена для мониторинга за соответствием оптимизированной политики безопасности на компьютерах и серверах, регистрирует события безопасности, осуществляет передачу на сервер безопасности журналов, обеспечивает прием и выполнение оперативных команд от него.

Сервер безопасности

Ключевым элементом в сетевой архитектуре системы Secret Net 7 является Сервер безопасности. Он за обработку, хранение и передачу данных, осуществляет контроль и управление информацией, а также следит за взаимодействием элементов управления.

Программа управления

Система защиты информации Secret Net 7 включает в себя программу оперативного управления «Монитор», которая заменяет средства управления предыдущих редакций системы.

Данная программа осуществляет конфигурирование сетевой структуры СЗИ, обрабатывает записи журналов, которые поступили на сервер безопасности и управляет защищаемыми компьютерами. Данная программа развертывается на рабочих местах администраторов. Во время работы программа оперативного управления тесно взаимодействует с сервером безопасности для обработки управляющих команд администратора.

Заказать Secret Net 7

В связи с политикой лицензирования стоимость Secret Net 7 предоставляется по запросу. Заполните форму ниже, и мы свяжемся с вами в ближайшее время.

Программа секрет нет что это

Средство защиты информации от несанкционированного доступа Secret Net может функционировать в одном из режимов – автономном и сетевом.

Автономный вариант предназначен полностью настраивается администратором на той рабочей станции, где установлен Secret Net. Управление защитными механизмами осуществляется локально. Часть параметров интегрированы непосредственно в Windows, другие можно настроить в панели управления. Например, мандатные метки и дискреционные параметры доступа настраиваются в интегрированной в проводник Windows вкладке.

Сетевой режим работы подразумевает централизованное управление механизмами защиты, а также централизованную работу с событиями безопасности.

Сервера безопасности Secret Net поддерживают подчиненные иерархические структуры, резервирование и гибкое разграничение прав администраторов, с возможностью построения сложных инфраструктур.

Централизованное управление осуществляется в двух режимах: конфигурирование и мониторинг.

• Конфигурирование: выполняется работа с иерархией защищаемых систем и серверов и их настройками.
• Мониторинг: управление политиками защитных механизмов и работа с событиями и отчетами.

Политики безопасности

Secret Net позволяет настроить гибкую систему управления с помощью группировки рабочих станций и серверов, и назначения политик безопасности для каждого отдельного подразделения или группы, согласно принятой в компании иерархии.

• Групповые политики –стандартные механизмы управления политиками аналогичные Active Directory. Имеют низкий приоритет и распределяются согласно выстроенной иерархии в организации.
• Политики сервера безопасности – политики на сервера безопасности имеют высокий приоритет. Больший приоритет у политик, назначенных на сервера, стоящие выше в иерархии.
• Политики организационных подразделений – расширение стандартных механизмов, возможность назначения в доменах безопасности без глобальных административных прав, заменяют групповые политики. Больший приоритет у политик, назначенных на подразделения, стоящие ниже в иерархии. (аналогично Active Directory ).

В версии Secret Net 7.3 добавлена возможность назначения политик на сервера безопасности. При этом наследование политик между серверами обратное, т.е. чем ниже уровень сервера безопасности, тем ниже приоритет его политик. Это значит, что на верхнем сервере можно настроить политики, которые нельзя изменить с подчиненных серверов безопасности.

Защита входа в систему.

Secret Net обеспечивает усиленную защиту входа в систему. Помимо собственных механизмов парольной аутентификации Secret Net позволяет использовать режимы идентификации и аутентификации пользователей с использованием аппаратных идентификаторов, таких как:

Идентификаторы присваиваются к каждому пользователю в панели управления паролями безопасности. После этого пользователь может авторизоваться по паролю или просто подключить идентификатор к рабочей станции.

Разграничение доступа.

В Secret Net реализовано дискреционное и полномочное управление доступом.

Дискреционный принцип доступа подразумевает задание каждому пользователю «своих» папок

Механизм полномочного разграничения доступа обеспечивает контроль подключения и использования устройств с назначенными категориями конфиденциальности, контроль сетевых интерфейсов и печати конфиденциальных документов. Всего Secret Net позволяет задать до 16 уровней конфиденциальности с именами, соответствующими стандартам Вашей организации. Обеспечение строгого соответствия принципам полномочного доступа осуществляется включением контроля потоков конфиденциальной информации в системе. При входе в систему пользователь может самостоятельно выбрать категорию конфиденциальной информации, с которой он будет работать. Кроме того, при установке соответствующих прав доступа пользователь может сам задавать уровень конфиденциальности файлов и папок.

Контроль устройств.

Secret Net позволяет ограничить доступ практически к любым устройствам, как централизованно, так и локально. Настройка осуществляется для отдельных устройств, классов или групп. Это означает, что можно задать политику для всех сетевых плат, всех флешек, а также устройств по их серийному номеру или модели.

В соответствии с политиками безопасности, подключение может разрешаться или запрещаться, варианты контроля могут варьироваться. Например, компьютер при подключении может блокироваться или отключаться. Политики работы с устройствами складываются. На устройства в Secret Net можно добавить возможность запрета или разрешения устройства в зависимости от уровня конфиденциальности пользователя. Новое устройство в системе включается в соответствующую ему группу, класс или модель. Доступ к нему устанавливается автоматически, в соответствии с верхними правилами.

Принтеры в Secret Net контролируются по аналогии с другими устройствами. Для них также можно настроить дискреционные и мандатные разрешения. Для расследования инцидентов можно включить теневое копирование распечатанных документов. В Secret Net поддерживается маркировка выводимых на печать документов в соответствии с требованиями законодательства для работы с государственной тайной.

Контроль целостности и замкнутая программная среда.

В Secret Net реализован механизм контроля целостности, который позволяет поставить на контроль изменения ресурсов компьютера, файлов, директорий, элементов реестра windows. Для элементов Secret Net и Windows в модуле контроль программ и данных есть шаблоны, которые включаются по умолчанию. При этом администратор может создавать свои задания и шаблоны реакции на изменения, менять методы контроля.

Контроль целостности может осуществляться как по содержимому файлов, так и по атрибутам, правам доступа, дате и времени последнего изменения. При обнаружении несоответствия можно игнорировать инцидент, блокировать компьютер или автоматически восстанавливать измененные файлы.

Контроль целостности может производиться по расписанию:

• В указанные даты
• При загрузке
• При авторизации
• При завершении работы пользователя

Замкнутая программная среда позволяет ограничить список запускаемых пользователем приложений. При запуске приложений может автоматически проверяться его целостность. Благодаря этому механизму пользователь не сможет подменить приложения простым переименованием программ.

Оперативное управление

Программа оперативного управления позволяет одновременно видеть все компьютеры и пользователей системы, а также их статусы и события НСД. Оперативное управление в Secret Net предусматривает отправку оперативных команд на все компьютеры и сервера, стоящие ниже по иерархии. Это могут быть команды оперативного управления, такие как блокировка, перезагрузка, включение/выключение компьютера, обновление политик, управление механизмами защиты, утверждение изменений аппаратной конфигурации. Доступна также отправка команд к компьютерам, подключенным к подчиненным серверам, с передачей команды по иерархии серверов.

Работа с журналами и отчетами.

Secret Net записывает все события безопасности на локальную рабочую станцию. Централизованно доступен сбор журналов. В программе управления настраиваются журналы и периодичность сбора, определяется какие журналы нужно собирать и что делать при заполнении.

События НСД это критичные события безопасности – помимо журналов они попадают в отдельную вкладку, и собираются не по расписанию, а моментально приходят как сигнал тревоги офицерам безопасности, отслеживаются и фильтруются на всех вышестоящих серверах безопасности в реальном времени. Работать с событиями НСД могут сразу несколько администраторов системы Secret Net. Для информирования об обработке события реализован механизм квитирования НСД – Можно отмечать их как рассмотренные или требующие дополнительного разбирательства, добавлять комментарии и т.д.

Наряду с критичными событиями, в Secret Net ведется журналирование всех событий и действий пользователей. Кроме того, в Secret Net реализован механизм отчетов. Отчет можно создать по ресурсам автоматизированного рабочего места, электронным идентификаторам или построить связанные отчеты с ПАК «Соболь». Отчет может быть персонализирован с помощью добавления информации об организации. Это позволяет администраторам максимально быстро создать отчет для руководства.

При подготовке материала использовались источники:
https://habr.com/ru/articles/134861/
https://www.azone-it.ru/secret-net-7
https://cryptostore.ru/article/obzory/secret_net_vozmozhnosti_po_zashchite_informatsii_ot_nsd/