Система SECRET NET - ровно столько защиты, сколько необходимо

С. Долженков, менеджер отдела систем защиты ЗАО НИП "Информзащита"
20.05.2005 | 14:06
В статье "Гибкое управление средствами защиты…", опубликованной в предыдущем номере журнала, были рассмотрены вопросы целесообразности применения дополнительных средств защиты информации (СЗИ) и обоснованы требования к их свойствам, которые обеспечивали бы гибкость управления и эффективность применения этих средств для защиты информации в современных автоматизированных системах (АС).

В настоящее время существует большое количество СЗИ. В этой статье Вы познакомитесь с системой Secret Net, разработанной специалистами НИП "Информзащита". Аппаратно-программная система защиты Secret Net предназначена для обеспечения защиты информации, хранимой и обрабатываемой в локальных вычислительных сетях и на автономных компьютерах, и противодействия попыткам нарушения процесса нормального функционирования АС.

Первая версия системы Secret Net 1.10 была создана в 1993 г. В 1994 году она была сертифицирована по 6-му классу защищенности в соответствии с руководящими документами Гостехкомиссии России (Сертификат N12).

Дальнейшее совершенствование системы в 1994-96 гг. позволило значительно расширить возможности защитных механизмов, сделать ее более гибкой и удобной в эксплуатации. В результате проведения этих работ в мае 1996 г. вышла в свет новая версия Secret Net 2.1, которая обеспечивала защиту в локальных вычислительных сетях под управлением Novell Netware и на рабочих станциях, работающих под управлением MS DOS, PC DOS, Windows 3.хх, а также в одноранговых сетях под управлением Windows for Workgroups. Версия системы Secret Net 2.1 была сертифицирована по 3-му классу защищенности (Сертификат N38).

Развитие рынка программного обеспечения, появление и широкое распространение ОС Windows'95 выдвинуло новые требования к системам защиты. В течение 1996 г. была разработана и в феврале 1997 года сертифицирована по 3-му классу защищенности новая версия Secret Net 3.0 (Сертификат N80). Эта система обеспечивает защиту хранимой и обрабатываемой информации в сетях Novell Netware с рабочими станциями под управлением не только MS DOS и Windows 3.11, но и Windows'95. Так появилась первая система защиты информации под Windows 95 в нашей стране.

Растущие масштабы применения ОС Windows NT положили начало работам по созданию СЗИ для этой операционной системы. В 1996-97 годах была создана и сертифицирована также по 3-му классу система Secret Net NT (Сертификат N97). На сегодняшний день это единственная система для ОС Windows NT.

Так семейство систем Secret Net стало наиболее популярным среди имеющихся на рынке СЗИ. В настоящее время с ее помощью защищены уже более 30000 компьютеров в различных российских организациях. Чем же привлекает пользователей эта система? Какие возможности администратору безопасности она предоставляет?

Прежде всего это надежность, простота установки, удобство настройки и эксплуатации.

Установка

Те, кто эксплуатирует реально работающие компьютерные системы и сталкивался с установкой СЗИ на них, знает насколько это болезненный вопрос. Ведь установка СЗИ не должна нарушить работоспособности этой системы. Поэтому при создании Secret Net разработчиками уделялось пристальное внимание процессу установки и внедрения системы, который не должен привести к изменению уже существующей технологии обработки информации и при этом сохранить привычную работу пользователей. Установка системы Secret Net проста и требует минимальных затрат времени. В процессе установки системы на файловый сервер сети или на автономный компьютер от администратора требуется только определить место размещения системы и задать пароль администратора безопасности. При установке системы на рабочие станции (РС) сети обеспечивается автоматический сбор сведений об этих РС и конфигурирование защитных механизмов на основе шаблонов, определяемых администратором безопасности. Аппаратная поддержка системы Secret Net разработана в виде платы, унифицированной для любого IBM-совместимого компьютера, которая не требует сложного конфигурирования и легко устанавливается на РС в стандартный разъем шины ISA. Аппаратная поддержка предназначена для предотвращения несанкционированной загрузки ОС с гибких дисков и для идентификации и аутентификации пользователя до загрузки ОС. Система Secret Net поддерживает различные аппаратные средства идентификации пользователей: Touch Memory, Smart Card; ведутся работы по подключению устройства дактилоскопической аутентификации.
При загрузке компьютера система Secret Net автоматически проверяет целостность и при необходимости восстанавливает состояние наиболее критичных ресурсов системы.


Настройка

Процесс настройки СЗИ - ответственный и трудоемкий этап. Встроенные средства Secret Net позволяют значительно упростить его. Система Secret Net может быть настроена на любой требуемый уровень защиты. Настройка системы производится централизованно с рабочего места администратора безопасности без вмешательства в работу пользователей. На этом этапе администратор может задать все параметры, необходимые для регламентации доступа пользователей к ресурсам системы:
  • присвоить пользователям дополнительные идентификаторы (Touch Memory, Smart Card);
  • объединить пользователей в группы для упрощения процесса управления их полномочиями;
  • разграничить доступ пользователей к рабочим станциям и их локальным ресурсам (дискам, принтерам, COM-портам);
  • определить степень подробности регистрации действий пользователей в системном журнале;
  • установить для пользователей права доступа к каталогам и файлам рабочих станций путем установки на них атрибутов управления доступом (чтение, запись, исполнение);
  • для повышения степени защиты для каждого пользователя или групп пользователей создать замкнутую программную среду, определяющую список программ, разрешенных пользователю для запуска.

Полномочия каждого пользователя хранятся в специальной базе данных системы защиты. Эта база расположена в недоступном для пользователей (в том числе и для сетевых администраторов) месте и может корректироваться только администратором безопасности. Кроме избирательного разграничения доступа (на основе атрибутов) в системе реализован метод полномочного разграничения доступа (на основе меток конфиденциальности и уровней допуска) как к локальным, так и к сетевым каталогам и файлам. Присвоение пользователям уровней допуска к конфиденциальным данным, а информационным ресурсам меток конфиденциальности (не конфиденциально, конфиденциально и строго конфиденциально) позволяет расширить возможности разграничения доступа к важным сведениям, расположенным как на локальных, так и на сетевых дисках.

Для облегчения процесса настройки предусмотрены специальные "мягкие" (технологические) режимы работы, облегчающие процессы создания замкнутой программной среды и назначения прав доступа пользователей к ресурсам системы. Эти режимы особенно полезны в тех случаях, когда администратор не имеет всех необходимых документов, определяющих политику безопасности организации (см. статью "Организационные меры…" в N 2). После включении этих режимов, события, трактуемые как несанкционированные действия (НСД), будут только регистрироваться в системных журналах, но сами действия пользователя запрещаться не будут. Анализ журналов позволит администратору системы уточнить имена объектов, к которым пользователь должен иметь доступ. После окончательного формирования прав доступа пользователей к ресурсам "мягкий" режим обычно отключается.

Специальная утилита позволяет копировать права доступа пользователей к каталогам и файлам однотипных рабочих станций освобождая администратора от рутинной работы. Дополнительные возможности системы Secret Net позволяют администратору разрешить или запретить пользователям:
  • изменять содержимое собственного файла AUTOEXEC.BAT;
  • изменять собственный пароль;
  • автоматически использовать единый пароль как для доступа на компьютер, так и для доступа в сеть;
  • автоматически затирать информацию при ее удалении (путем записи случайной числовой последовательности).

Эксплуатация

Процесс эксплуатации системы включает в себя два основных направления деятельности администратора - корректировку настроек системы защиты при изменении конфигурации АС и контроль за работой пользователей. Система Secret Net обеспечивает регистрацию всех действий пользователя на рабочей станции в журнале безопасности. На сегодняшний день может регистрироваться более 120 событий.

Для упрощения работы администратора по анализу действий пользователей на рабочих станциях система обеспечивает автоматическую передачу журналов с рабочих станций на сервер безопасности. Это позволяет администратору контролировать работу всех пользователей со своего рабочего места даже в том случае, если рабочие станции сети выключены. Средства работы с журналами регистрации событий системы Secret Net позволяют задавать различные варианты поиска: по дате и времени события, идентификатору пользователя или компьютера, результатам доступа, названию ресурса и т.п.

В процессе эксплуатации администратору предоставляется возможность контроля за всем происходящим в АС в реальном масштабе времени. Система Secret Net обеспечивает оповещение администратора безопасности о событиях НСД, происходящих на рабочих станциях сети. В ответ на некорректные действия пользователя администратор имеет возможность предпринять следующие меры:
  • отправить сообщение;
  • заблокировать любую рабочую станцию сети;
  • изменить подробность регистрации событий в системном журнале;
  • просмотреть системный журнал как за текущий сеанс работы пользователя, так и за предыдущие дни;
  • воспроизвести на своем рабочем месте экран любой РС сети и при этом получить возможность:
  • работать параллельно с пользователем;
  • работать с удаленной РС при блокированной клавиатурой пользователя;
  • работать с удаленной РС в режиме полной блокировки действий локального пользователя и отображения сообщений на экране.

Для осуществления удаленного управления системой Secret Net в больших локальных и распределенных сетях разработано специальное программное средство Secret Net Remote Tools. Оно позволяет удаленно получать доступ к рабочим станциям других ЛВС и оперативно изменять полномочия пользователей по доступу к локальным ресурсам. Применение Secret Net Remote Tools целесообразно в тех ситуациях, когда в территориально удаленных филиалах отсутствует возможность организации квалифицированного управления возможностями СЗИ.

В рамках одной статьи трудно описать все возможностях системы Secret Net. Достаточно сказать, что система защиты Secret Net является сложным программно-аппаратным комплексом, над созданием которого трудились десятки человек. СЗИ Secret Net отличает:
  • наличие специальных механизмов, облегчающих ее внедрение;
  • простота в установке и эксплуатации;
  • наличие открытого программного интерфейса для взаимодействия с прикладным программным обеспечением и нестандартными средствами идентификации;
  • возможность подключения различных средств криптографической защиты данных;
  • высокое быстродействие;
  • приемлемая цена.
Разработчик Secret Net - Научно-инженерное предприятие "Информзащита" долгое время работает на рынке СЗИ и является признанным лидером среди отечественных производителей. НИП "Информзащита" обеспечивает гарантийное и послегарантийное обслуживание поставляемых им СЗИ, консультирует по вопросам использования системы Secret Net, устраняет несовместимости c программным и аппаратным обеспечением, выявленные в процессе эксплуатации.