Главная

Сзи от нсд аккорд компания окб сапр

Обновлено
Содержание
  1. СПО Аккорд-X К
  2. Возможности
  3. Основные характеристики
  4. Дискреционные ПРД для объектов
  5. Дискреционные ПРД для контейнеров
  6. Сравнение с ПАК СЗИ Аккорд-Х
  7. СЗИ НСД «ИНАФ»
  8. Возможности
  9. Основные характеристики
  10. Принцип и работы и особенности использования
  11. Идентификаторы
  12. Документация:
  13. Информацию о стоимости СЗИ НСД «ИНАФ» можно запросить по адресу zakaz@okbsapr.ru

СПО Аккорд-X К

Регистрационный номер в реестре отечественного ПО: 2131

Среди большого разнообразия средств защиты информации не так уж и много средств, предназначенных для операционной системы (ОС) Linux. Одно из немногих — нашедший широкое применение ПАК СЗИ Аккорд-Х, разработанный компанией ОКБ САПР. Он позволяет реализовать следующие основные функции безопасности:

  • доверенная загрузка компьютера;
  • идентификация/аутентификация пользователя;
  • контроль целостности системной области диска, системных файлов, программ и данных;
  • разграничение доступа пользователей к ресурсам компьютера;
  • ведение протокола регистрируемых событий.

Однако для некоторых систем обеспечение доверенной загрузки компьютера не требуется. К таким относятся:

  • системы, для которых необходима защита информационных ресурсов от несанкционированного доступа, но целостность критичных файлов ОС уже достоверно подтверждена до загрузки ОС;
  • системы, в которых для удовлетворения требований по безопасности не требуется обеспечение доверенной загрузки средств вычислительной техники. Это государственные информационные системы, в которых обрабатывается информация минимального уровня значимости[1], или государственные информационные системы регионального или объектового масштаба, в которых обрабатывается информация низкого уровня значимости[2] (в соответствии с приказом ФСТЭК № 17), а также информационные системы персональных данных 3 и 4 уровня защищенности (в соответствии с приказом ФСТЭК № 21).

В таких случаях при применении Аккорд-Х набор функций защиты будет избыточным. Поэтому компанией ОКБ САПР был разработано СПО СЗИ, реализующее все функции Аккорд-Х, кроме функции доверенной загрузки, не требуемой для указанных систем — Аккорд-Х К.

СПО СЗИ Аккорд-Х К предназначено для разграничения доступа к рабочим станциям, функционирующим под управлением ОС семейства Linux.

Возможности

  1. Защита от несанкционированного доступа;
  2. Идентификация/аутентификация пользователей для входа в ОС;
  3. Статический и динамический контроль целостности данных, их защита от несанкционированных модификаций;
  4. Создание индивидуальной для каждого пользователя изолированной программной среды;
  5. Разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
  6. Разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;
  7. Автоматическое ведение протокола регистрируемых событий;
  8. Контроль печати на локальных и сетевых принтерах

Основные характеристики

СПО СЗИ Аккорд-Х К:

  • позволяет установить предельно допустимый порог неудачных попыток аутентификации;
  • позволяет контролировать целостность системных файлов, программ и данных;
  • имеет собственную систему разграничения доступа;
  • предотвращает доступ к остаточной информации при освобождении (распределении) памяти;
  • поддерживает управление потоками информации, при этом обработка информации определённого уровня конфиденциальности выполняется только с помощью выделенных программ (процессов);
  • позволяет блокировать множество параллельных сессий пользователя;
  • поддерживает механизм блокировки экрана после некоторого установленного времени неактивности, который дополнен функцией идентификации пользователя при разблокировании СВТ;
  • позволяет контролировать печать из любого прикладного программного обеспечения и маркировать выводимые на печать документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

Программное обеспечение комплекса позволяет администратору безопасности информации реализовать правила разграничения доступа на основе набора атрибутов:

Дискреционные ПРД для объектов

разрешение на открытие файлов только для чтения

разрешение на открытие файлов для записи

открытие объекта на выполнение

подмена атрибута R атрибутами RW на этапе открытия объекта

разрешение на создание файлов на диске

разрешение на удаление файлов

разрешение на переименование файлов

разрешение на создание жесткой ссылки для объекта

Дискреционные ПРД для контейнеров

разрешение перехода в этот каталог

наследование прав на все вложенные подкаталоги

наследование прав на 1 уровень вложенности

запрет наследования прав на все вложенные подкаталоги

меток доступа, которые могут быть поименованы как уровни секретности либо другим, более удобным образом (количество меток допуска может достигать шестнадцати);

  • перечень объектов и прав доступа к ним для группы субъектов;
  • перечень объектов, целостность которых должна контролироваться системой (статический и/или динамический контроль целостности), для конкретного субъекта;
  • перечень объектов, целостность которых должна контролироваться системой (статический и/или динамический контроль целостности), для группы субъектов;
  • перечень системных возможностей субъекта;
  • перечень системных настроек;
  • уровень детальности журнала регистрации событий;
  • назначение/изменение пароля для аутентификации;
  • назначение/изменение идентификатора;
  • временные ограничения — время по дням недели (с дискретностью 30 мин), в которое разрешено начало работ для данного субъекта.

Аккорд-X K может поставляться в двух вариантах:

1) записанное на дистрибутивном носителе (CD или USB-накопителе) СПО Аккорд-X К, которое устанавливается на СВТ под управлением ОС Linux, и средства идентификации пользователя.

2) Аккорд-X К в составе средства обеспечения доверенного сеанса связи (СОДС) МАРШ! — программно-аппаратный комплекс, состоящий из СОДС «МАРШ!» с предустановленным на этапе производства специальным ПО разграничения доступа и средств идентификации пользователя.

Вариант 1 предназначен для использования на СВТ, на которые производится загрузка ОС, установленной на жестком диске этого же СВТ.

Вариант 2 предназначен для случаев, когда на недоверенные компьютеры должна загружаться ОС из доверенного источника. Аккорд-Х К в этом случае загружается вместе с подконтрольной ОС из защищенной от записи памяти устройства «МАРШ!».

Вариант 2 стоит рассмотреть подробнее. Это связано с тем, что наложение дополнительного СЗИ на ПАК СОДС «МАРШ!», единственной функцией которого является обеспечение защищенного соединения с сервером, при поверхностном рассмотрении может показаться неоправданным, поскольку ОС запускается с защищенного от записи раздела памяти (с атрибутом доступа к памяти ReadOnly), а значит, критичные для функционирования ОС файлы не могут быть модифицированы.

Для применения встроенного средства защиты в таком случае есть две группы оснований.

1. Существует всего два основных подхода к обеспечению безопасности данных на АРМ:

  • использование сертифицированных ОС;
  • использование встроенных средств защиты.

С учетом того, что целостность ОС, предустановленной на МАРШ!, защищена технологически, применение сертифицированной ОС без «навесных» средств защиты вполне приемлемо. Однако сертифицированная ОС значительно уступает в гибкости встроенным средствам защиты — она не может быть изменена по желанию заказчика или своевременно обновлена.

Обновляемость ОС и возможность ее комплектации компонентами по выбору Заказчика — это один из основных блоков функциональности СОДС МАРШ! и отказываться от него было бы неверно. Применение Аккорд-Х К позволяет сохранить гибкость работы с ОС, а также обеспечить безопасность и соответствие требованиям нормативной базы.

2. Помимо раздела ReadOnly ПАК СОДС «МАРШ!» может содержать разделы с другими атрибутами доступа:

  • ReadWriteHidden (для хранения обновлений, дополнений функционального ПО, ключевой информации VPN и пр.);
  • AddOnly (для хранения аппаратных журналов событий безопасности);
  • ReadWrite (для хранения пользовательских данных).

Данные разделов, доступных для записи, не защищены от несанкционированной модификации. Контроль их целостности может выполняться с помощью механизмов Аккорд-Х К.

Для того чтобы обеспечить доступ пользователей к ресурсам СОДС «МАРШ!» в соответствии с их функциональными обязанностями, Аккорд-Х К реализует функцию разграничения доступа пользователей. Необходимость выполнения соответствующих настроек Аккорд-Х К обусловливает введение в ролевую структуру СОДС «МАРШ!» привилегированного пользователя — администратора информационной безопасности.

Комплекс в рассматриваемом варианте исполнения обеспечивает выполнение СОДС «МАРШ!» также следующих функций:

  • контроль печати;
  • очистка внешней памяти путем записи маскирующей информации в память при её освобождении (распределении);
  • защита от воздействия вредоносного кода (за счет функции контроля запуска задач).

На последнем стоит остановиться подробнее.

Технологически СОДС «МАРШ!» защищен от атаки с целью внедрения вредоносного кода, так как после окончания доверенного сеанса связи содержимое RO раздела приходит в исходное состояние, и вирус, возможно, полученный в ходе сеанса, не записывается на «МАРШ!». Однако добавление в структуру СОДС «МАРШ!» разделов с другими атрибутами доступа делает вероятным запись вирусов в эти разделы. Особенно высока эта вероятность в случае наличия «пользовательского» раздела диска RW, предназначенного для записи пользователем нужных ему для работы в сеансе файлов.

Возможность создания белого списка задач, разрешенных к запуску, исключит вероятность запуска вируса, даже если он запишется на СОДС «МАРШ!».

Кроме того, регулируя атрибутами доступа работу с разными разделами, можно запретить запуск любых задач из любых разделов, кроме раздела RO, оставив возможность только читать данные из остальных разделов и/или писать в них при необходимости.

Сравнение с ПАК СЗИ Аккорд-Х

Для реализации функций защиты (в первую очередь доверенной загрузки) Аккорд-Х использует контроллер. Отсутствие контроллера в составе Аккорд-Х К обуславливает некоторые различия в реализации функций. Различия рассмотрены в таблице ниже.

Источник

СЗИ НСД «ИНАФ»

Регистрационный номер в реестре отечественного ПО: 6728

Средство защиты информации от несанкционированного доступа (СЗИ НСД) «Инаф» представляет собой аппаратный модуль на шине USB, предназначенный для применения на автономных ПК, серверах и рабочих станциях локальной сети.

Возможности

СЗИ НСД «Инаф» обеспечивает выполнение следующих основных функций:

  • аппаратный контроль целостности технических, программных средств, условно-постоянной информации СВТ до загрузки ОС, с реализацией пошагового алгоритма контроля;
  • возможность доверенной загрузки операционной системы, а также системного и прикладного ПО при одновременной установке на дисках или в логических разделах диска СВТ нескольких ОС;
  • автоматическое ведение протокола регистрируемых событий на этапе доверенной загрузки операционной системы (в системном журнале, размещенном в энергонезависимой памяти аппаратной части комплекса);
  • администрирование встроенного ПО комплекса (генерацию пароля администратора и определение его параметров; назначение файлов для контроля целостности и режимов контроля, работу с журналом регистрации системных событий, контроль аппаратной части СВТ) и разделение прав администратора безопасности информации комплекса и пользователя СВТ;
  • регистрация, сбор, хранение и выдача данных о событиях, происходящих в СВТ (РС) в части системы защиты от несанкционированного доступа.

Основные характеристики

Программно-информационная часть комплекса, включающая прошивку контроллера, базу контроля, журнал регистрации событий и средства администрирования, размещена в энергонезависимой памяти контроллера. Этим обеспечивается возможность проведения процедур контроля целостности технических и программных средств СВТ, администрирования и аудита средствами СЗИ НСД «Инаф» на аппаратном уровне до загрузки ОС.

Комплекс обеспечивает выполнение основных функций защиты от НСД как в составе локальной СВТ, так и на рабочих станциях ЛВС в составе комплексной системы защиты от НСД ЛВС, в том числе настройку, контроль функционирования и управление комплексом.

Комплекс СЗИ НСД «ИНАФ»:

  • может использоваться в составе СВТ с центральным процессором архитектуры x86 (IA-32) или x86-64 (AMD64), с объемом динамической оперативной памяти (RAM) не менее 128 Мб;
  • требует для установки соответствующий свободный USB-разъем СВТ;
  • предполагает наличие на СВТ любой из ОС, использующей поддерживаемую комплексом файловую систему (FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX);
  • поддерживает многопользовательский режим эксплуатации СВТ;
  • обеспечивает контроль целостности аппаратных средств СВТ (РС) до загрузки ОС;
  • обеспечивает контроль целостности программ и данных до загрузки ОС, защиту от внедрения разрушающих программных воздействий (РПВ);
  • обеспечивает контроль целостности отдельных ветвей реестра (для ОС семейства Windows);
  • обеспечивает администрирование системы (назначение файлов для контроля целостности, контроль аппаратной части СВТ, просмотр системного журнала);
  • имеет аппаратный датчик случайных чисел (ДСЧ).

В зависимости от конструктивных возможностей СВТ возможна как установка контроллера «Инаф» внутри корпуса СВТ в качестве штатного устройства с USB-разъемом типа А, так и подключение к штырьковому разъему непосредственно на материнской плате СВТ.

Поскольку контроллер «Инаф» реализован в форм-факторе USB-устройства, он не требует для своей установки наличия на СВТ свободного PCI-слота и может применяться в случаях, когда используются blade-серверы, в которых отсутствуют PCI-слоты, но имеются свободные внутренние или внешние USB-разъемы.

Принцип и работы и особенности использования

Перед началом работы с СЗИ НСД «Инаф» пользователь «Инаф» настраивает в BIOS компьютера загрузку с контроллера «Инаф» как с жесткого диска.

Во время старта компьютера «Инаф» получает управление, проводит процедуры контроля целостности аппаратуры и файлов, и в случае успешного завершения данной процедуры передает управление ОС на диске.

«Инаф» может использоваться в рамках реализации двух типов сценариев:

Стационарная установка в СВТ.

Данный тип сценария используется в том случае, когда необходима непрерывная реализация функционала «Инаф». В этом случае контроллер соответствующим образом настроен и подключен к USB-порту СВТ постоянно. Каждый раз перед загрузкой ОС пользователем СВТ контроллер «Инаф» выполняет процедуру контроля целостности определенных заранее объектов. В случае нарушения целостности загрузка ОС блокируется и требуется вмешательство администратора безопасности информации (пользователя «Инаф»).

Для корректного осуществления работы по данному типу сценария необходимо:

  • установить в BIOS вариант загрузки с «Инаф» как с жесткого диска;
  • установить пароль на вход в BIOS;
  • принять административные меры, исключающие несанкционированное отключение устройства от USB-порта:
  • ограничить физический доступ к СВТ и/или
  • зафиксировать устройства с помощью специальных креплений и/или голографической наклейки или установить контроллер внутрь корпуса СВТ.

Использование в качестве мобильного устройства.

Данный тип сценария используется в том случае, когда нет необходимости выполнять процедуры контроля целостности объектов постоянно и запрещать для пользователей СВТ загрузку ОС в случае нарушения целостности, а нужно только выявить сам факт нарушения целостности установленных на контроль объектов.

В этом случае сначала выполняются все необходимые настройки подключенного к СВТ контроллера «Инаф», затем контроллер извлекается из СВТ и хранится в надежном месте (например, в сейфе). Пользователи СВТ работают в обычном режиме, а пользователь «Инаф» периодически подключает к СВТ свой контроллер «Инаф» с целью убедиться в неизменности состава СВТ и установленных ранее на контроль объектов.

Возможен также вариант работы с СЗИ НСД «Инаф», когда контроллер подключается к СВТ каждый раз перед началом сеанса работы и извлекается из СВТ после ее выключения.

Для корректного осуществления работы по данному типу сценария обязательно должны быть предусмотрены специальные регламенты действий пользователей, в чьи обязанности входит запуск СВТ, так как наличие «Инаф» в USB-порту должны контролировать именно они.

Следует помнить о том, что поскольку для работы с «Инаф» требуется настраивать порядок загрузки ОС в BIOS компьютера, необходимо накладывать определенные ограничения (особенно в случае стационарной установки СЗИ НСД «Инаф» в СВТ) на доступ пользователей СВТ к BIOS (путем установки пароля на BIOS), а также контролировать целостность BIOS средствами «Инаф».

Идентификаторы

Персональные идентификаторы и съемники информации заказываются отдельно.

Документация:

Название документа и аннотация Скачать
СЗИ НСД «ИНАФ» Руководство пользователя PDF
СЗИ НСД «ИНАФ» Руководство администратора PDF

Информацию о стоимости СЗИ НСД «ИНАФ» можно запросить по адресу zakaz@okbsapr.ru

О том, какие меры защиты информации из Приказов ФСТЭК России № 17, 21 и 31 можно выполнить, применяя СЗИ НСД «ИНАФ», смотрите здесь.

Источник

Оцените статью
© 2024 Все о музыке. Песни с аккордами и нотами.