От несанкционированного доступа
С момента создания и начала функционировании системы сертификации средств защиты информации по требованиям безопасности информации ФСТЭК России было сертифицировано несколько десятков СЗИ НСД. Ниже будут рассмотрены некоторые из существующих на рынке СЗИ НСД, но представленные сведения не следует рассматривать как полный и исчерпывающий обзор таких средств. Наиболее полный перечень сертифицированных СЗИ НСД опубликован на сайте ФСТЭК России, а подробную информацию о возможностях соответствующих СЗИ НСД необходимо запрашивать у разработчиков этих средств.
Краткий обзор существующих на рынке средств защиты информации от несанкционированного доступа
Среди основных предприятий - разработчиков СЗИ НСД, включенных в Государственный реестр сертифицированных средств защиты информации можно выделить следующие:
Ассоциация защиты информации «Конфидент»(Санкт-Петербург, http://www.confident.ru) разрабатывает семейство программных комплексов DALLAS LOCK
Комплекс - предназначен ддя защиты от несанкционированного доступа к ресурсам персонального компьютера и локальной вычислительной сети, разграничения прав зарегистрированных пользователей по доступу к ресурсам персонального компьютера, автоматизированного контроля и протоколирования событий по доступу к компьютеру.
На сегодняшний день существует три сертифицированных версий комплекса DALLAS LOCK:
· Комплекс DALLAS LOCK 6.0 для Windows 950SR2/98/ME (сертификат ФСТЭК России № 762 от 21.06.2003 по 4-му классу для СВТ и 3-му уровню контроля отсутствия НДВ);
· Комплекс DALLAS LOCK 7.0 для Windows 2000/XP (сертификат ФСТЭК России № 896 от 06.05.2004 по 4-му классу для СВТ и 3-му уровню контроля отсутствия НДВ);
· Комплекс DALLAS LOCK 7.5 для Windows 2000(SP4)/XP(SP2)/2003(SP1) (сертификат ФСТЭК России № 1685 от 18.09.2008 по 3-му классу для СВТ и 2-му уровню контроля отсутствия НДВ).
При загрузке компьютера осуществляется идентификация и аутентификация пользователя, выполняется проверка целостности контролируемых объектов средствами механизма контроля целостности. В том случае, если имя пользователя и его пароль указаны верно, разрешенное время работы совпадает с фактическим и целостность контролируемых объектов не нарушена, загрузка компьютера продолжается. В противном случае загрузка компьютера прерывается.
В процессе работы пользователя с ресурсами компьютера драйвер защиты контролирует доступ пользователя к ресурсам. Если пользователь превышает свои права доступа к ресурсу, его действия ограничиваются способом, заданным параметрами работы системы защиты. Также, средствами механизма регистрации событий осуществляется регистрация в соответствующих журналах всех событий, связанных с безопасностью системы и работой пользователя на компьютере.
В качестве средства идентификации пользователей используются персональные электронные идентификаторы Touch Memory или Proximity.
Специализированный центр программных систем «Спектр»(Санкт-Петербург, http://www.cobra.ru) разрабатывает семейство программных комплексных систем защиты f информации от несанкционированного доступа СПЕКТР.
На сегодняшний день существует две сертифицированные версии системы СПЕКТР:
· Система СПЕКТР-М для Windows 95/98 (сертификат ФСТЭК России № 1113 от 12.12.2005 по 3-му классу для СВТ и 2-му уровню контроля отсутствия НДВ);
· Система ЩИТ-РЖД для Windows 2000/XP (сертификат ФСТЭК России № 1090/1 от 14.02.2007 по 3-му классу для СВТ и 2-му уровню контроля отсутствия НДВ).
Основные функциональные возможности:
· идентификация и аутентификация пользователей в доверенной среде и с применением электронных устройств RuToken;
· проверка целостности ОС Windows из доверенной среды и последующая ее загрузка под контролем ядра СПЕКТР;
· дискреционный и мандатный принцип контроля доступа к устройствам (жестким дискам, дискетам, компакт-дискам), а так же к файлам и папкам;
· управление печатью и блокировка консоли компьютера;
· автоматическая маркировка и учёт отпечатанных материалов;
· защита от загрузки в обход системы;
· прозрачное кодирование диапазонов секторов жестких дисков, дискет и компакт-дисков целиком, виртуальных дисков целиком;
· интерактивная очистка освобождаемых областей дисковой памяти при удалении файлов;
· регистрация событий, связанных с управлением доступом и средствами защиты в системных журналах ОС;
· контроль целостности, как системы защиты, так и основных компонент ОС;
· централизованное единообразное управление модулями системы защиты.
Компания «ГАЗИНФОРМСЕРВИС»(Санкт-Петербург http://www.gaz-is.spb.ru) разрабатывает семейство программных средств защиты информации от несанкционированного доступа «Блокпост»и программно-техническое средство защиты информации от несанкционированного доступа «Блокхост-сеть».
На сегодняшний день существует две сертифицированные версий средств защиты информации от несанкционированного доступа:
· СЗИ «Блокпост-2000/ХР» v. 1.0 (локальный вариант) для Windows 2000/XP (сертификат ФСТЭК России № 964/1 от 28.02.2005 по 4-му классу для СВТ и 3-му уровню контроля отсутствия НДВ);
· СЗИ «Блокхост-сеть» для Windows 2000/XP/2003 (сертификат ФСТЭК России № 1351 от 02.03.2007 по 3-му классу для СВТ и сертификат ФСТЭК России № 1517 от 30.11.2007 по 3-му уровню контроля отсутствия НДВ).
СЗИ «Блокпост» дополняют стандартные защитные механизмы операционных систем Windows функциями, обеспечивающими:
· идентификацию пользователей при помощи специальных аппаратных средств (iButton);
· дискреционное и мандатное управление доступом пользователей к информационным ресурсам ПК;
· оперативный контроль за работой пользователей ПК путем регистрации событий, связанных с безопасностью информационной системы, с помощью средств просмотра и представления зарегистрированной информации;
· контроль целостности программ, используемых пользователями и ОС;
· возможность создания для любого пользователя замкнутой программной среды (списка разрешенных для запуска программ);
· контроль запуска процессов (создание списка запрещенных для запуска программ);
· простоту управления объектами с помощью механизма шаблонов настроек;
· контроль сетевых подключений с помощью встроенного персонального экрана.
СЗИ НСД «Блокхост-сеть» дополняет и усиливает функциональные возможности операционной системы по защите информации, обеспечивая защиту от несанкционированного доступа к информации, содержащейся на:
· локальном компьютере (без подключения к сети);
· сетевом компьютере (как в одноранговой, так и в доменной сети);
· рабочих станциях, объединенных в сеть, с установленной на каждой из них клиентской частью СЗИ «Блокхост-сеть».
Серверная часть СЗИ «Блокхост-сеть» обеспечивает централизованную защиту информации, включая:
· разграничение удаленного доступа пользователей к защищаемой информации, содержащейся на рабочих станциях (объединенных в одноранговую или доменную сеть) на основе мандатного (полномочного) механизма;
· удаленное администрирование клиентской части СЗИ «Блокхост-сеть» на рабочих станциях (объединенных в одноранговую или доменную сеть);
· удаленное ведение оперативного контроля.
Клиентская часть СЗИ «Блокхост-сеть» обеспечивает локальную защиту информации, содержащейся на рабочей станции.
Аппаратные средства, функционирующие в составе СЗИ «Блокхост-сеть» (еТокеп, RuToken, другие USB устройства) позволяют:
· хранить персональные данные для идентификации и аутентификации;
· хранить криптографическую информацию.
Программные средства защиты информации, функционирующие в составе СЗИ «Блокхост-сеть» позволяют:
· обеспечить более надежную защиту входа в систему с помощью аппаратных средств идентификации пользователя;
· разграничить вход пользователей в систему по времени и дням недели;
· санкционировать доступ пользователей к ресурсам с помощью дискреционного и мандатного механизмов разграничения доступа;
· обеспечить контроль информационного обмена с отчуждаемыми физическими носителями информации;
· обеспечить гарантированное удаление информации;
· санкционировать работу программ с помощью механизмов разграничения доступа к запуску процессов;
· осуществлять контроль целостности информации;
· обеспечить очистку памяти после завершения работы приложений;
· контролировать вывод информации на печать, осуществлять маркировку документов;
· осуществлять мониторинг активности пользователей в системе - работу СЗИ в мягком режиме;
· осуществлять групповое администрирование;
· разграничить доступ пользователей к сетевым ресурсам;
· санкционировать доступ пользователей к администрированию СЗИ «Блокхост-сеть»;
· выполнять оперативный контроль за событиями, связанными с безопасностью защищаемой информации.
ЗАО Научно-Производственный Центр «Модуль» (Москва http:\\ww.guardnt.ru) разрабатывает семейство программных систем защиты информации от несанкционированного доступа «Страж NT».
На сегодняшний день существует две сертифицированные версии системы защиты информации «Страж NT»:
· СЗИ «Страж NT» (версия 2.0) для Windows NT 4.0 SP3-SP6, 2000, ХР (сертификат ФСТЭК России № 837 от 29.12.2003 по 3-му классу для СВТ и 2-му уровню контроля отсутствия НДВ);
· СЗИ «Страж NT» (верста 2.5) для Windows NT 4.0, 2000, ХР, 2003 Server (сертификат ФСТЭК России № 1260 от 13.09.2006 по 3-му классу для СВТ и 2-му уровню контроля отсутствия НДВ).
Основные функциональные возможности СЗИ «Страж NT»:
· вход в АС только при предъявлении специального идентификатора (дискеты, iButton или USB-ключа типа eToken и Guardant) и ввода пароля;
· избирательное разграничение доступа пользователей к защищаемым ресурсам (дискам, каталогам, файлам и др.);
· разграничение доступа пользователей к информации различных уровней конфиденциальности в соответствии с имеющимися у них полномочиями;
· возможность изменения наименований меток конфиденциальности;
· управление запуском и поддержка мандатного принципа контроля доступа для DOS-приложений и консольных приложений Win32;
· управление и настройка механизмов защиты как локально, так и удаленно;
· упрощенная схема настройки программных средств для работы с защищаемыми ресурсами;
· регистрация событий безопасности, ведение дополнительных журналов аудита;
· создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешенных приложений;
· контроль целостности защищаемых ресурсов, обеспечивающий защиту от несанкционированного внесения изменений в программную среду АС;
· гарантированная очистка содержимого защищаемых файлов на локальных жестких дисках после их удаления;
· возможность запуска хранителя экрана, блокировка рабочей станции при удалении USB-ключа или при предъявлении iButton;
· создание и удаление пользователей, удаление (добавление) их из (в) групп(ы);
· наличие средств тестирования работоспособности СЗИ;
· применение шаблонов настроек программных средств.
ЗАО «ОКБ САПР»(Москва http://www.okbsapr.ru) разрабатывает семейство программно-технических средств защиты информации от несанкционированного доступа «Аккорд».
На сегодняшний день существует несколько сертифицированные версии средств защиты информации «Аккорд»:
· Комплекс СЗИ НСД «Аккорд-ОТ/2000» v.2.0 доя ОС Windows NT, 2000, ХР (сертификат ФСТЭК России № 600 от 01.04.2002 по 4-му классу для СВТ и 3-му уровню контроля отсутствия НДВ);
· Комплекс СЗИ НСД «Аккорд-Ж/2000» v.3.0 для ОС Windows в системах терминального доступа, построенных на базе терминальных служб сетевых операционных систем семейства Microsoft Windows, и программного обеспечения Citrix (сертификат ФСТЭК России № 1161 от 31.03.2006 по 3-му классу для СВТ и 2-му уровню контроля отсутствия НДВ);
· Комплекс СЗИ НСД «Аккорд-Ж/2000» v.3.0, rev.3.02 ддя ОС Windows в системах терминального доступа, построенных на базе терминальных служб сетевых операционных систем семейства Microsoft Windows, и программного обеспечения Citrix (сертификат ФСТЭК России № 1161/1от 31.03.2006 по 3-му классу для СВТ и 2-му уровню контроля отсутствия НДВ);
· Комплекс СЗИ НСД «Аккорд-ОТ/2000» v.3.0, rev.3.04;
· Устройство распределённого аудита и управления «Аккорд-РАУ», функционирующая на ПЭВМ, совмещённых с IBM PC AT, под управлением ОС Windows NT/2000/XP/2003/Vista (сертификат ФСТЭК России № 1576 от 24.03.2008 по 3-му уровню контроля отсутствия НДВ).
Основные функциональные возможности Комплекса СЗИ НСД «Аккорд»:
· защита от несанкционированного доступа к ПЭВМ;
· идентификация/аутентификация пользователей до загрузки операционной системы с последующей передачей результатов успешной идентифжацш^аутентификации в операционную систему;
· аппаратный контроль целостности системных файлов и критичных разделов реестра;
· доверенная загрузка ОС;
· контроль целостности программ и данных, их защита от несанкционированных модификаций:
· создание индивидуальной для каждого пользователя изолированной рабочей программной среды;
· запрет запуска неразрешенных программ;
· разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
· разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;
· автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса.
Кроме того, следует отметить СЗИ НСД «Аккорд-Рубеж» v. 1.5 (сертификат ФСТЭК России № 1322 от 22.01.2007 по 4-му классу для СВТ), которая является совместной разработкой ЗАО ОКБ САПР и ООО Фирма «ИнфоКрипт».
ООО Фирма «АНКАД»(Зеленоград http://wwvv.ancud.ru) разрабатывает семейство аппаратно-программных средств защиты информации от несанкционированного доступа «ЩИТ»
На сегодняшний день существует две сертиф1щированные версии средств защиты информации «ЩИТ»:
· СЗИ «ЩИТ-2000» ддя Windows 2000 Professional (сертификат ФСТЭК России № 1243 от 04.09.2006 по 3-му классу для СВТ и 2-му уровню контроля отсутствия НДВ); ^
· СЗИ «ЩИТ-NT» для Windows NT 4.0 SP6 (сертификат ФСТЭК России № 1244 от 04.09.2006 по 3-му классу для СВТ и 2-му уровню контроля отсутствия НДВ).
Основные функциональные возможности СЗИ «ЩИТ»:
· единая и одноразовая идентификация и аутентификация для пользователя АС, с формированием профиля прав доступа;
· контроль доступа к ресурсам компьютера (контроль целостности ОС методом контрольного суммирования; мандатный и дискреционный принцип разграничения доступа к ресурсам ОС; интегрированная настройка и описание пользователей, прав доступа пользователей к ресурсам; автоматическая блокировка доступа к ресурсам АС во время отсутствия пользователя; возможность трассировки обращений к ресурсам ПО в специальном отладочном режиме);
· разграничение доступа к процедурам (программам);
· интеграция с аппаратными средствами защиты АПМДЗ (аппаратно-программный модуль доверенной загрузки) изделиями V-526 (АПМДЗ «КРИПТОН-Замок») и КСИА (криптографический сетевой интерфейсный адаптер);
· разграничение и контроль доступа к периферийным устройствам (дополнительное разграничение доступа к USB-устройствам (для Windows 2000); регистрация данных при печати файлов на принтере);
· аудит событий в системе защиты информации;
· поддержка двух журналов аудита пользователя - учета событий и обращений к ресурсам (кроме того, ведется журнал печати).
Дата добавления: 2018-03-01; просмотров: 1137;