1. Введение
2. Описание решения
3. Архитектура решения
4. Описание защитных механизмов
4.1. Защита от несанкционированного доступа
4.1.1. Защита входа в систему
4.1.2. Идентификация и аутентификация пользователей
4.1.3. Блокировка компьютера
4.1.4. Функциональный контроль подсистем
4.1.5. Контроль целостности
4.1.6. Дискреционное управление доступом к ресурсам файловой системы
4.1.7. Полномочное управление доступом
4.1.8. Затирание данных
4.1.9. Замкнутая программная среда
4.1.10. Контроль подключения и изменения устройств компьютера
4.1.11. Контроль печати
4.1.12. Теневое копирование выводимых данных
4.2. Защита дисков и шифрование контейнеров
4.3. Защита информации на локальных дисках
4.4. Шифрование данных в криптоконтейнерах
4.5. Персональный межсетевой экран
4.6. Обнаружение и предотвращение вторжений
4.7. Антивирус
4.8. Шифрование сетевого трафика
5. Выводы
Введение
Значительную часть работ по защите информации составляют задачи обеспечения безопасности рабочих станций и серверов. Для их решения применяются продукты класса Endpoint Security, которые компенсируют внутренние и внешние угрозы с помощью различных подсистем безопасности (антивирус, СЗИ от НСД, персональный межсетевой экран и др.).
Отражение классических угроз безопасности компьютеров можно найти и в нормативных документах. ФСТЭК России включает требования к защите рабочих станций в обязательные для исполнения приказы: №21 о защите персональных данных, №17 о защите государственных информационных систем (ГИС), руководящие документы по защите автоматизированных систем. Эти требования также выполняются установкой на рабочие станции и сервера соответствующих средств защиты класса Endpoint Security.
Модель угроз информационной безопасности традиционно включает целый перечень актуальных для рабочих станций и серверов угроз. До сегодняшнего дня их не получалось нейтрализовать одним-двумя средствами защиты информации (далее — СЗИ), поэтому администраторы устанавливали 3-5 различных продуктов, каждый из которых выполнял определенный набор задач: защиту от несанкционированного доступа, вирусов, фильтрацию сетевого трафика, криптографическую защиту информации и т. д.
Такой подход сводит работу администраторов к непрерывной поддержке СЗИ из различных консолей управления и мониторинга. Кроме того, продукты разных вендоров плохо совместимы, что приводит к нарушению функционирования и замедлению защищаемой системы, а в некоторых случаях — и вовсе ко сбою в работе.
Сегодня на рынке появляются комплексные решения, которые объединяют несколько защитных механизмов. Такие СЗИ упрощают администрирование и выбор мер по обеспечению безопасности: у них единая консоль управления, отсутствуют конфликты в работе подсистем безопасности, продукты легко масштабируются и могут применяться в распределенных инфраструктурах.
Одним из комплексных средств защиты является продукт Secret Net Studio 8.1, разработанный компанией «Код Безопасности». В этой статье мы подробно рассмотрим защитные механизмы Secret Net Studio. Механизмы централизованного управления будут рассмотрены в другой статье.
Описание решения
СЗИ Secret Net Studio — это комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования. Продукт объединяет в себе функционал нескольких средств защиты «Кода Безопасности» (СЗИ от НСД Secret Net, межсетевой экран TrustAccess, СЗИ Trusted Boot Loader, СКЗИ «Континент-АП»), а также включает ряд новых защитных механизмов.
В рамках данного продукта решаются следующие задачи:
- Защита от внешних угроз:
- защита рабочих станций и серверов от вирусов и вредоносных программ;
- защита от сетевых атак;
- защита от подделки и перехвата сетевого трафика внутри локальной сети;
- защищенный обмен данными с удаленными рабочими станциями.
- Защита от внутренних угроз:
- защита информации от несанкционированного доступа*;
- контроль утечек и каналов распространения защищаемой информации;
- защита от действий инсайдеров;
- защита от кражи информации при утере носителей.
- Соответствие требованиям регуляторов:
- Secret Net Studio находится на сертификации во ФСТЭК России и после получения сертификата позволит выполнять требования регуляторов при аттестации (оценке соответствия) информационных систем, в которых обрабатывается конфиденциальная информация, на соответствие различным требованиям российского законодательства (защита государственных информационных систем до класса К1, защита персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно» и т. д.).
*по результатам исследования «Кода Безопасности», доля их продуктов (SecretNet + ПАК «Соболь») на рынке СЗИ от НСД в 2012-2014 гг. составляла более 60% общего объема рынка.
Архитектура решения
Secret Net Studio 8.1 предоставляется в двух вариантах исполнения:
- автономный вариант — предусматривает только локальное управление защитными механизмами;
- сетевой вариант — предусматривает централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.
В автономном варианте исполнения защитные механизмы устанавливаются и управляются локально (без привязки к серверу безопасности). При таком исполнении в состав продукта входят следующие компоненты:
- Клиент — устанавливается на серверах и рабочих станциях и предназначен для реализации их защиты.
- Центр управления (локальный режим) — программа управления в локальном режиме осуществляет прямую работу с защитными компонентами на компьютере.
- Сервер обновления антивируса — предназначен для обеспечения централизованной раздачи в локальной сети обновлений баз данных признаков компьютерных вирусов для антивируса по технологии ESET.
В сетевом варианте исполнения защитные механизмы устанавливаются на все сервера и рабочие станции, при этом осуществляется централизованное управление этими защитными механизмами. В дополнение к автономному варианту в сетевой вариант исполнения входят:
- Сервер безопасности — является основным элементом, обеспечивает взаимодействие объектов управления, реализует функции контроля и управления, а также осуществляет обработку, хранение и передачу информации.
- Программа управления — устанавливается на рабочих местах администраторов и используется для централизованного управления защищаемыми компьютерами.
- Сервер аутентификации — обеспечивает работу механизмов персонального межсетевого экрана и авторизации сетевых соединений (входит в состав ПО сервера безопасности).
Описание защитных механизмов
В Secret Net Studio 8.1 обеспечивается защита информации на 5 уровнях, для каждого из которых представлены определенные защитные механизмы (продукт объединяет более 20 взаимно интегрированных защитных механизмов). Информация об уровнях защиты и соответствующих им механизмах представлена на рисунке ниже:
Рисунок 1. Уровни защиты и соответствующие им защитные механизмы
Лицензируются следующие компоненты системы:
- защита от несанкционированного доступа (включает в себя механизмы, обеспечивающие защиту входа в систему, доверенную информационную среду, контроль утечек и каналов распространения защищаемой информации);
- контроль устройств (входит в защиту от НСД, но может также приобретаться отдельно);
- защита диска и шифрование контейнеров;
- персональный межсетевой экран;
- средство обнаружения и предотвращения вторжений;
- антивирус;
- шифрование сетевого трафика.
Рисунок 2. Централизованное управление защитными компонентами Secret Net Studio
Защита от несанкционированного доступа
Защита от НСД обеспечивается механизмами, применяемыми в СЗИ от НСД Secret Net. Их описание приведено ниже.
Защита входа в систему
Защита входа в систему обеспечивает предотвращение доступа посторонних лиц к компьютеру. К механизму защиты входа относятся следующие средства:
- средства для идентификации и аутентификации пользователей;
- средства блокировки компьютера;
- аппаратные средства защиты от загрузки ОС со съемных носителей (интеграция с ПАК «Соболь»).
Идентификация и аутентификация пользователей
Идентификация и аутентификация выполняются при каждом входе в систему. В системе Secret Net Studio идентификация пользователей осуществляется по одному из 3-х вариантов: по имени (логин и пароль), по имени или токену, только по токену.
Рисунок 3. Политики в Secret Net Studio. Настройка входа в систему
В Secret Net Studio 8.1 поддерживается работа со следующими аппаратными средствами:
- средства идентификации и аутентификации на базе идентификаторов eToken, iKey, Rutoken, JaCarta и ESMART;
- устройство Secret Net Card;
- программно-аппаратный комплекс (ПАК) «Соболь».
Рисунок 4. Настройка электронных идентификаторов для пользователей в Secret Net Studio
Блокировка компьютера
Средства блокировки компьютера предназначены для предотвращения его несанкционированного использования. В этом режиме блокируются устройства ввода (клавиатура и мышь) и экран монитора. Предусмотрены следующие варианты:
- блокировка при неудачных попытках входа в систему;
- временная блокировка компьютера;
- блокировка компьютера при срабатывании защитных подсистем (например, при нарушении функциональной целостности системы Secret Net Studio);
- блокировка компьютера администратором оперативного управления.
Рисунок 5. Настройка средств блокировки в Secret Net Studio
Функциональный контроль подсистем
Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС все ключевые защитные подсистемы загружены и функционируют.
В случае успешного завершения функционального контроля этот факт регистрируется в журнале Secret Net Studio. При неуспешном завершении регистрируется событие с указанием причин, вход в систему разрешается только пользователям из локальной группы администраторов компьютера.
Контроль целостности
Механизм контроля целостности следит за неизменностью контролируемых объектов. Контроль проводится в автоматическом режиме в соответствии с заданным расписанием. Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков (последние только при использовании ПАК «Соболь»).
Рисунок 6. Создание нового задания для контроля целостности в Secret Net Studio
При обнаружении несоответствия возможны различные варианты реакции на ситуации нарушения целостности. Например, регистрация события в журнале Secret Net Studio и блокировка компьютера.
Вся информация об объектах, методах, расписаниях контроля сосредоточена в модели данных. Она хранится в локальной базе данных системы Secret Net Studio и представляет собой иерархический список объектов с описанием связей между ними.
Рисунок 7. Создание модели данных для контроля целостности в Secret Net Studio
Дискреционное управление доступом к ресурсам файловой системы
В состав системы Secret Net Studio 8.1 входит механизм дискреционного управления доступом к ресурсам файловой системы. Этот механизм обеспечивает:
- разграничение доступа пользователей к каталогам и файлам на локальных дисках на основе матрицы доступа субъектов (пользователей, групп) к объектам доступа;
- контроль доступа к объектам при локальных или сетевых обращениях, включая обращения от имени системной учетной записи;
- запрет доступа к объектам в обход установленных прав доступа;
- независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows. То есть установленные права доступа к файловым объектам в системе Secret Net Studio не влияют на аналогичные права доступа в ОС Windows и наоборот.
Рисунок 8. Настройка дискреционных прав доступа в Secret Net Studio
Кроме того, пользователю предоставляется возможность определения учетных записей, которым даны привилегии по управлению правами доступа.
Полномочное управление доступом
Механизм полномочного управления доступом обеспечивает:
- разграничение доступа пользователей к информации, которой назначена категория конфиденциальности (конфиденциальная информация);
- контроль подключения и использования устройств с назначенными категориями конфиденциальности;
- контроль потоков конфиденциальной информации в системе;
- контроль использования сетевых интерфейсов, для которых указаны допустимые уровни конфиденциальности сессий пользователей;
- контроль печати конфиденциальных документов.
Рисунок 9. Политики в Secret Net Studio. Настройка полномочного управлении доступом
Чтобы обеспечить функционирование механизма полномочного управления доступом при включенном режиме контроля потоков, требуется выполнить дополнительную настройку локально на компьютере. Для этого используется программа настройки подсистемы полномочного управления доступом для режима контроля. Настройка выполняется перед включением режима контроля потоков, а также при добавлении новых пользователей, программ, принтеров, для оптимизации функционирования механизма.
Рисунок 10. Программа настройки подсистемы полномочного управления доступом в Secret Net Studio
Доступ пользователя к конфиденциальной информации осуществляется в соответствии с его уровнем допуска. Например, если уровень допуска пользователя ниже, чем категория конфиденциальности ресурса — система блокирует доступ к этому ресурсу.
Рисунок 11. Назначение уровней допуска и привилегий пользователям в Secret Net Studio
Затирание данных
Затирание удаляемой информации делает невозможным восстановление и повторное использование данных после удаления. Гарантированное уничтожение достигается путем записи последовательности случайных чисел на место удаленной информации в освобождаемой области памяти. Для большей надежности может быть выполнено несколько циклов (проходов) затирания.
Рисунок 12. Политики в Secret Net Studio. Настройка механизма затирания данных
Замкнутая программная среда
Механизм замкнутой программной среды позволяет определить для любого пользователя индивидуальный перечень разрешенного программного обеспечения. Система защиты контролирует и обеспечивает запрет использования следующих ресурсов:
- файлы запуска программ и библиотек, не входящие в перечень разрешенных для запуска и не удовлетворяющие определенным условиям;
- сценарии, не входящие в перечень разрешенных для запуска и не зарегистрированные в базе данных.
Попытки запуска неразрешенных ресурсов регистрируются в журнале как события тревоги.
На этапе настройки механизма составляется список ресурсов, разрешенных для запуска и выполнения. Список может быть сформирован автоматически на основании сведений об установленных на компьютере программах или по записям журналов, содержащих сведения о запусках программ, библиотек и сценариев. Также предусмотрена возможность формирования списка вручную.
Рисунок 13. Создание модели данных для замкнутой программной среды в Secret Net Studio
Контроль подключения и изменения устройств компьютера
Механизм контроля подключения и изменения устройств компьютера обеспечивает:
- своевременное обнаружение изменений аппаратной конфигурации компьютера и реагирование на эти изменения;
- поддержание в актуальном состоянии списка устройств компьютера, который используется механизмом разграничения доступа к устройствам.
Начальная аппаратная конфигурация компьютера определяется на этапе установки системы. Настройку политики контроля можно выполнить индивидуально для каждого устройства или применять к устройствам наследуемые параметры от моделей, классов и групп, к которым относятся устройства.
Рисунок 14. Политики в Secret Net Studio. Настройка политики контроля устройств компьютера
При обнаружении изменений аппаратной конфигурации система требует у администратора безопасности утверждение этих изменений.
На основании формируемых списков устройств осуществляется разграничение доступа пользователей к ним: разрешение/запрет на выполнение операций и настройки уровней конфиденциальности.
Контроль печати
Механизм контроля печати обеспечивает:
- разграничение доступа пользователей к принтерам;
- регистрацию событий вывода документов на печать в журнале Secret Net Studio;
- вывод на печать документов с определенной категорией конфиденциальности;
- автоматическое добавление грифа в распечатываемые документы (маркировка документов);
- теневое копирование распечатываемых документов.
Рисунок 15. Политики в Secret Net Studio. Настройка контроля печати
Для реализации функций маркировки и/или теневого копирования распечатываемых документов в систему добавляются драйверы «виртуальных принтеров».
Рисунок 16. Редактирование маркировки распечатываемых документов
Теневое копирование выводимых данных
Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации. Дубликаты (копии) сохраняются в специальном хранилище, доступ к которому имеют только уполномоченные пользователи. Действие механизма распространяется на те устройства, для которых включен режим сохранения копий при записи информации.
Рисунок 17. Политики в Secret Net Studio. Настройка теневого копирования
При включенном режиме сохранения копий вывод данных на внешнее устройство возможен только при условии создания копии этих данных в хранилище теневого копирования. Если по каким-либо причинам создать дубликат невозможно, операция вывода данных блокируется.
Теневое копирование поддерживается для устройств следующих видов:
- подключаемые по USB жесткие диски, флешки и др. накопители;
- дисководы CD- и DVD-дисков с функцией записи;
- принтеры;
- дисководы гибких дисков.
Защита дисков и шифрование контейнеров
В рамках указанного компонента реализованы два защитных механизма, описание которых представлено ниже.
Защита информации на локальных дисках
Механизм защиты информации на локальных дисках компьютера (механизм защиты дисков) предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера. Несанкционированной считается загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере, без установленного клиентского ПО Secret Net Studio.
Шифрование данных в криптоконтейнерах
Система Secret Net Studio 8.1 предоставляет возможность шифрования содержимого объектов файловой системы (файлов и папок). Для этого используются специальные хранилища — криптографические контейнеры.
Физически криптоконтейнер представляет собой файл, который можно подключить к системе в качестве дополнительного диска.
Для работы с шифрованными ресурсами пользователи должны иметь ключи шифрования. Реализация ключевой схемы шифрования криптоконтейнеров базируется на алгоритмах ГОСТ Р34.10–2012, ГОСТ Р34.11–2012 и ГОСТ 28147-89.
Рисунок 18. Управление криптографическими ключами пользователей
Персональный межсетевой экран
Система Secret Net Studio 8.1 обеспечивает контроль сетевого трафика на сетевом, транспортном и прикладном уровнях на основе формируемых правил фильтрации. Подсистема межсетевого экранирования Secret Net Studio реализует следующие основные функции:
- фильтрация на сетевом уровне с независимым принятием решений по каждому пакету;
- фильтрация пакетов служебных протоколов (ICMP, IGMP и т. д.), необходимых для диагностики и управления работой сетевых устройств;
- фильтрация с учетом входного и выходного сетевого интерфейса для проверки подлинности сетевых адресов;
- фильтрация на транспортном уровне запросов на установление виртуальных соединений (TCP-сессий);
- фильтрация на прикладном уровне запросов к прикладным сервисам (фильтрация по символьной последовательности в пакетах);
- фильтрация с учетом полей сетевых пакетов;
- фильтрация по дате / времени суток.
Рисунок 19. Политики в Secret Net Studio. Настройка межсетевого экрана
Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE 802.3) и Wi‑Fi (IEEE 802.11b/g/n).
Авторизация сетевых соединений в Secret Net Studio осуществляется с помощью механизма, основанного на протоколе Kerberos. С его помощью удостоверяются не только субъекты доступа, но и защищаемые объекты, что препятствует реализации угроз несанкционированной подмены (имитации) защищаемой информационной системы с целью осуществления некоторых видов атак. Механизмы аутентификации защищены от прослушивания, попыток подбора и перехвата паролей.
События, связанные с работой межсетевого экрана, регистрируются в журнале Secret Net Studio.
Обнаружение и предотвращение вторжений
В Secret Net Studio 8.1 выполняется обнаружение и блокирование внешних и внутренних атак, направленных на защищаемый компьютер. С помощью групповых и локальных политик администратор Secret Net Studio настраивает параметры работы системы.
Рисунок 20. Политики в Secret Net Studio. Настройка механизма обнаружения вторжений
Вся информация об активности механизма обнаружения и предотвращения вторжений регистрируется в журнале Secret Net Studio.
Антивирус
Защитный модуль «Антивирус» в Secret Net Studio 8.1 осуществляет обнаружение и блокировку вредоносного кода по технологии ESET NOD32.
Таким образом, Secret Net Studio позволяет осуществлять эвристический анализ данных и автоматическую проверку на наличие вредоносных программ, зарегистрированных в базе сигнатур. При проверке компьютера осуществляется сканирование жестких дисков, сетевых папок, внешних запоминающих устройств и др. Это позволяет обнаружить и заблокировать внешние и внутренние сетевые атаки, направленные на защищаемый компьютер.
Благодаря использованию в рамках одного продукта СЗИ от НСД и антивируса время на проверку и открытие файлов составляет на 30% меньше, чем при независимой реализации защитных механизмов.
Обновление антивируса можно осуществлять как в режиме онлайн с серверов «Кода Безопасности» при подключении защищаемого компьютера к интернету, так и с сервера обновлений компании (в случае, когда компьютер не имеет прямого выхода в интернет).
Администратору доступна настройка параметров антивируса с помощью групповых и локальных политик в программе управления Secret Net Studio. Вся информация об активности механизма регистрируется в журнале Secret Net Studio.
Рисунок 21. Политики в Secret Net Studio. Настройка антивируса
Шифрование сетевого трафика
В состав клиентского ПО системы Secret Net Studio 8.1 включен VPN-клиент, предназначенный для организации доступа удаленных пользователей к ресурсам, защищаемым средствами АПКШ «Континент». VPN-клиент «Континент-АП» обеспечивает криптографическую защиту трафика, циркулирующего по каналу связи, по алгоритму ГОСТ 28147-89.
При подключении абонентского пункта к серверу доступа выполняется процедура установки соединения, в ходе которой осуществляется взаимная аутентификация абонентского пункта и сервера доступа. Процедура установки соединения завершается генерацией сеансового ключа, который используется для шифрования трафика между удаленным компьютером и сетью предприятия.
Рисунок 22. Подключение «Континент-АП» через Secret Net Studio
При аутентификации используются сертификаты x.509v3. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–1994 или ГОСТ Р 34.11–2012, формирование и проверка электронной подписи — по алгоритму ГОСТ Р 34.10–2001 или ГОСТ Р 34.10–2012.
Рисунок 23. Настройка «Континент-АП» в Secret Net Studio
Выводы
Secret Net Studio 8.1 представляет собой сбалансированный набор защитных механизмов, которые обеспечивают защиту информации на рабочих станциях и файловых серверах как от внешних, так и от внутренних угроз. Наличие единой консоли управления упрощает администрирование СЗИ, а интегрированность защитных механизмов между собой исключает возможность нарушения функционирования защищаемой системы.
В текущем виде Secret Net Studio можно считать полноценным комплексным решением для защиты конечных точек сети от всех видов угроз, включающим в себя все необходимые для этого модули. Наличие в составе модулей контроля приложений (контроль доступа к сети, контроль запуска приложений, поведения приложения), интеграции со средствами доверенной загрузки и встроенного VPN-клиента делает Secret Net Studio уникальным для российского рынка.
Необходимо отметить, что в продукте реализован целый ряд защитных механизмов, позволяющих выполнить различные требования законодательства России в части обеспечения безопасности информации. В частности, после получения сертификата ФСТЭК Secret Net Studio можно будет применять для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (гостайна с грифом «совершенно секретно»).
О механизмах централизованного управления и мониторинга читайте во второй части статьи.
Содержание
- Функциональные возможности
- Механизм управления
- Политики безопасности
- Защита входа в систему
- Разграничение доступа
- Отчеты и журналы
- Преимущества Secret Net Studio
Secret Net Studio представляет собой набор специализированных программных решений, которые призваны пресекать любые попытки несанкционированного проникновения в локальную сеть компании и доступа к секретной информации. Данное ПО позволяет привести информационные системы организации в соответствие актуальным требованиям нормативной документации и обезопасить бизнес от злоумышленников.
Secret Net Studio используется на более чем 15 000 различных отечественных предприятий и учреждений. Это СЗИ выбирают за надежность и эффективность.
Функциональные возможности
Secret Net Studio — это высокотехнологичный программный продукт, который предлагается в двух версиях:
- базовой – для защиты конфиденциальной информации (Secret Net Studio);
- cпециальной – для защиты государственных тайн и секретов (Secret Net Studio-C).
Модульное решение SNS ориентировано на надежную защиту IT-инфраструктуры на пяти уровнях. Речь идет о защищенности:
- операционной системы;
- сети;
- приложений;
- файлов с данными;
- периферийных устройств и оборудования.
Перечень функций Secret Net Studio весьма обширен. Среди них:
- Формирование доверенной информационной среды. Достигается за счет надежной защиты компьютеров от несанкционированной загрузки, а также благодаря всестороннему контролю используемого ПО.
- Защита данных от НСД и утечки. Обеспечивается механизмами, используемыми в СЗИ Secret Net Studio, которые отличаются высокой эффективностью.
- Контроль потоков и каналов распространения информации. Полномочное и дискреционное управление доступом, а также функциональный контроль отчуждения, теневого копирования, печати и уничтожения информации.
- Защита входа в систему. Уникальная двухфакторная аутентификация сотрудников по персональным идентификаторам и паролям. Софт Secret Net Studio поддерживает работу самых популярных идентификаторов и механизмов безопасности для доменных пользователей.
- Межсетевое экранирование. Использование межсетевого экрана – это фильтрование протоколов и мониторинг сетевой активности ПК по определенным политикам безопасности, а также подпись трафика сети и автогенерация правил безопасности.
- Функциональный контроль нарушения аппаратной конфигурации. Обеспечение низменности конфигурации аппаратной составляющей работающей системы, а также контроль интеграции сторонних (внешних) устройств, например, принтера или накопителя, с реализацией разных сценариев реагирования на их подключение.
- Антивирусная защита. Формирование качественной защиты серверов и ПК от вредоносных программ с возможностью запуска антивируса ESET по расписанию или запросу, а также в режиме сканирования.
- Шифрование контейнеров. Защита целостности и сохранности данных путем их шифрования по алгоритму ГОСТ 2814789 для предотвращения кражи секретной информации.
- Аудит действий приложений (HIPS). Выявление нетипичной активности приложений посредством эвристических методик. Настройка политик безопасности с поддержкой исключений.
- Защита соединения с удаленными ПК. Обеспечивается программным VPN-клиентом, защищающим соединение сервера с рабочими станциями по криптоалгоритму ГОСТ 2814789, а также поддержкой инфраструктуры PKI.
- Минимизация рисков ИБ. Система корреляции событий безопасности, интегрированная в систему централизованного мониторинга, позволяет осуществлять приоритизацию инцидентов и категорирование важности ПК.
- Защита от сетевых атак (NIPS). Выявление атак (DoS-атак, аномальных пакетов и т.д.) с последующим блокированием соответствующих хостов.
- Централизованное развертывание Secret Net Studio. Установка софта осуществляется на все компьютеры подконтрольного домена с дальнейшей настройкой групповых и сквозных политик безопасности посредством одного агента.
- Надежная работа в ИТ-инфраструктуре компаний, распределенных территориально. Программное решение отличается высокой масштабируемостью и разграничением полномочий администраторов (если речь о сложных структурах), а также поддержкой резервирования серверов безопасности и их иерархии.
- Групповой мониторинг работы. Централизованный сбор журналов событий со всех ПК для оперативного анализа критичных ситуаций и адекватного реагирования на угрозы.
- Расследование инцидентов безопасности. Формирование отчетов и регистрация всех событий позволяют собирать всю необходимую информацию для выявления и отслеживания атак, а также деятельности инсайдеров с привязкой ко времени.
- Затирание данных. Уничтожение всех следов удаленной секретной информации гарантирует невозможность ее восстановления для дальнейшего применения. Осуществляется это методом перезаписи на месте удаленных данных случайных последовательностей чисел в несколько циклов.
Механизм управления
СЗИ от МСД Secret Net Studio может работать как в автономном, так и в сетевом режиме. В первом случае все настройки ПО задаются администратором системы, а управление механизмами безопасности осуществляется локально. При этом определенные параметры работы интегрируются в операционную систему Windows, а потому настраиваются во вкладке проводника.
Что до сетевого режима, то он предусматривает централизованное взаимодействие с событиями безопасности и управление защитными механизмами СЗИ. Это достигается путем формирования двух моделей данных в глобальном каталоге, а именно для ПК с 32-разрядной и 64-разрядной ОС, что позволяет учитывать специфику программного обеспечения разных платформ, установленных на рабочих станциях.
Сервера безопасности Secret Net Studio поддерживают подчиненные иерархические структуры, а также резервирование и разграничение прав администраторов, дают возможность выстраивать сложные инфраструктуры.
Централизованное управление осуществляется в режимах мониторинга и конфигурирования. В первом случае ведется работа с отчетами и событиями, а также политиками механизмов защиты, тогда как во втором – с иерархией систем, находящихся под защитой.
Политики безопасности
Secret Net Studio позволяет проводить инициализацию гибкой системы управления посредством формирования групп серверов или ПК, создания политик безопасности для конкретных групп, серверов безопасности или подразделений:
- Групповые политики — стандартные механизмы управления политиками, похожие на Active Directory. Отличаются низким приоритетом и распределяются согласно иерархии компании.
- Политики сервера безопасности. Отличаются высоким приоритетом. Чем выше сервер в иерархии, тем больший приоритет его политики.
- Политики организационных подразделений. Имеют более расширенные механизмы в сравнении со стандартными, а также возможность назначения в доменах безопасности без глобальных административных прав. Политики организационных подразделений могут заменить групповые политики. Больший приоритет отдается политикам подразделений, находящихся в иерархии ниже.
Рассматриваемые СЗИ проводят сканирование и проверку параметров ИБ по установленному расписанию. При этом все критерии проверки системы задаются администратором.
Если сканирование пропущено, к примеру, из-за выключенного ПК, проверка запускается принудительно сразу после следующего подключения рабочей станции к сети.
Защита входа в систему
Secret Net обеспечивает усиленную защиту входа пользователей в систему, используя как материнские СЗИ, обеспечивающие парольную аутентификацию, так и стороннее ПО, позволяющее формировать двухфакторную аутентификацию. В последнем случае применяются аппаратные идентификаторы вроде Ibutton, eToken, Jakarta, «Рутокен» и т.д.
Идентификаторы получают все пользователи, после чего они могут входить в систему после введения кода безопасности или подключения идентификатора к ПК.
Для обеспечения максимального уровня защиты СКИ блокируют сеть, если компьютер долго не используется. При этом пользователи могут выбрать период включения блокировки самостоятельно при помощи средств ОС, а также установить запрет несанкционированного вызова или вторичного входа в систему. О том, как это делается, написано в инструкции по настройке ПО и применению системы защиты, которая поставляется в сопроводительной документации или в руководстве администратора.
Разграничение доступа
В Secret Net Studio предусмотрено полномочное и дискреционное управление доступом. Второй вариант подразумевает присвоение конкретному пользователю собственных папок, тогда как первый гарантирует контроль сетевых интерфейсов и печати конфиденциальных документов, использование устройств с заданными категориями секретности. При этом задать можно до 16 уровней конфиденциальности.
Строгое соответствие требованиям полномочного доступа обеспечивается активацией контроля потоков конфиденциальной информации в системе.
Отчеты и журналы
Secret Net Studio фиксирует и сохраняет все события безопасности на локальную рабочую станцию. Центр управления осуществляет централизованный сбор журналов по заданным настройкам, что позволяет проводить анализ состояния системы.
Несанкционированный доступ — это критичное событие безопасности, которое попадает в специальную вкладку. Собираются такие события моментально, а не по расписанию. При этом они поступают как сигнал тревоги, что требует от службы безопасности оперативной реакции для отслеживания и фильтрации угроз на серверах в реальном времени.
Работать с событиями НСД одновременно могут несколько администраторов системы Secret Net. Этому способствует реализованный механизм квитирования.
Параллельно с журналом критических событий ведется журнал действий пользователей. В Secret Net есть и механизм отчетов, которые создаются по электронным идентификаторам или ресурсам рабочего места.
Эксперты по ИБ отмечают такие преимущества Secret Net Studio:
- высокий уровень защиты информации благодаря применению сертифицированных технологий;
- демократичная стоимость ПО при приобретении комплексных лицензий;
- риск-ориентированный подход к ИБ;
- простота формирования согласованной работы защитных подсистем;
- снижение нагрузки на ПК, находящихся под защитой;
- минимальные риски конфликтов защитных механизмов;
- 20 механизмов защиты данных в одном продукте;
- высокая масштабируемость программного решения;
- снижение издержек на администрирование СЗИ;
- поддержка распределенных инфраструктур;
- качественная техподдержка от разработчика.
Лицензирование Secret Net Studio выполняется по количеству компонентов защиты и ПК в сети, а также периоду действия лицензий. Покупатель может выбрать только необходимые механизмы безопасности, которые лицензируются отдельно. Добавить новые можно в любое время.
Сегодня Secret Net Studio активно используется для аттестации информационных систем финансово-кредитных организаций и банков, а также структур, где требуется обработка персональных данных или иной конфиденциальной информации в соответствии с требованиями ФСБ и ФСТЭК.
Secret Net Studio отвечает требованиям программы импортозамещения, является сертифицированным программно-аппаратным решением, включенным в Единый реестр отечественного ПО для баз данных Минсвязи РФ.
Представлением вашему вниманию подборку видео уроков по настройке СЗИ от НСД SecretNet отечественного разработка SecurityCode (Код Безопасности). СЗИ имеет все необходимые сертификаты ФСТЭК, подтверждающие соответствие РД по 2 уровню контроля на отсутствие НДВ и 3 классу защищенности по СВТ, что позволяет использовать СЗИ в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.
Введение
Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:
- №152-ФЗ («О персональных данных»);
- №98-ФЗ («О коммерческой тайне»);
- №5485-1-ФЗ («О государственной тайне»);
- СТО БР ИББС (Стандарт Банка России).
Возможности СЗИ
- Аутентификация пользователей.
- Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
- Доверенная информационная среда.
- Контроль утечек и каналов распространения конфиденциальной информации.
- Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
- Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности.
- Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.
- Защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).
Варианты развертывания Secret Net
- Автономный режим – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.
- Сетевой режим (с централизованным управлением) – предназначен для развертывания в доменной сети c Active Directory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант Secret Net может быть успешно развернут в сложной доменной сети (domain tree/forest).
Архитектура
Компоненты Secret Net 7 (сетевой режим):
- Secret Net 7 – Клиент;
- Secret Net 7 – Сервер безопасности;
- Secret Net 7 – Программа управления.
Клиент Secret Net 7 устанавливается на всех защищаемых компьютерах. Он следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на сервер безопасности, а также прием от него оперативных команд и их выполнение.
Сервер безопасности является основным элементом в сетевой структуре системы
Secret Net 7. Этот компонент обеспечивает взаимодействие объектов управления,
реализует функции контроля и управления, а также осуществляет обработку,
хранение и передачу информации.
Программа оперативного управления («Монитор»)
В состав СЗИ Secret Net 7 включена программа оперативного управления, заменяющая средства оперативного управления предыдущих версий СЗИ.
Программа оперативного управления предназначена для конфигурирования сетевой структуры, централизованного управления защищаемыми компьютерами и для работы с записями журналов, поступивших на хранение в базу данных сервера безопасности. Программа устанавливается на рабочих местах администраторов. При работе программа взаимодействует с сервером безопасности, который обрабатывает все управляющие команды администратора.
Дополнительно может использоваться и лицензироваться модуль блокировки НСД к жесткому диску, который осуществляет сокрытие данных на диске при загрузке компьютера с внешних носителей.
Ранее приобретенная лицензия на СЗИ Security Studio 6 – Trusted Boot Loader может использоваться для активации этого механизма в Secret Net 7.
Список видео уроков:
1. Установка и настройка клиента. Вариант №1
2. Установка контроллера домена и Oracle для Сервера безопасности Secret Net
3. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ в БД AD
4. Настройка замкнутой программной среды
5. Настройка механизма контроля целостности
6. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ вне БД AD
7. Программа локального конфигурирования
8. Управление персональными идентификаторами. Защита входа в систему
9. Режимы механизма защиты входа в систему
10.Устновка сервера безопасности с SQL Server 2012 R2
11.Вход в систему в административном режиме
12 Удаление домена безопасности и всех компонентов
13.Установка SQL Server 2012 Standart для работы с SN7.4
14.Изменение учетных данных для подключения СБ к серверу СУБД
15.Управление ключами для усиленной аутентификации.
16.Установка и настройка ПО Rutoken
17.Разрешение разового входа при усиленной аутентификации по паролю.
18.Идентификация и аутентификация * Secret Net 7 * приказ № 17
19. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 1-Два сервера безопасности
20. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 2 — Резервная копия
Документация к версии – Secret Net 7
 |
Руководство администратора. Принципы построения
В руководстве содержатся сведения об общих принципах построения и функционирования системы Secret Net 7. Secret_Net_Admin_Guide_Construction_Principles.pdf |
|
Руководство администратора. Установка, обновление и удаление
В руководстве содержатся сведения, необходимые администраторам для развертывания системы, ее обновления, исправления и удаления. Secret_Net_Admin_Guide_Install.pdf |
|
Руководство администратора.Локальная работа с журналами регистрации
Secret_Net_Admin_Guide_Local_Audit.pdf |
|
Руководство администратора.Работа с программой оперативного управления
В руководстве содержатся сведения, необходимые для работы с компонентом «Secret Net 7 — Программа управления». Secret_Net_Admin_Guide_Operative_Management_Program.pdf |
|
Руководство администратора. Настройка механизмов защиты
В руководстве содержатся сведения, необходимые администраторам для настройки и управления основными механизмами защиты. Secret_Net_Admin_Guide_Security_Settings.pdf |
|
Руководство пользователя
В руководстве содержатся сведения, необходимые пользователю для работы с системой Secret Net 7, установленной на компьютере. Secret_Net_User_Guide.pdf |
|
Сведения о совместимости с другими программными средствами
Данный документ содержит сведения о совместимости СЗИ Secret Net 7 версии 7.6.604.0 с некоторыми другими программными средствами при совместном функционировании. |
Представлением вашему вниманию подборку видео уроков по настройке СЗИ от НСД SecretNet отечественного разработка SecurityCode (Код Безопасности). СЗИ имеет все необходимые сертификаты ФСТЭК, подтверждающие соответствие РД по 2 уровню контроля на отсутствие НДВ и 3 классу защищенности по СВТ, что позволяет использовать СЗИ в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.
Введение
Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:
- №152-ФЗ («О персональных данных»);
- №98-ФЗ («О коммерческой тайне»);
- №5485-1-ФЗ («О государственной тайне»);
- СТО БР ИББС (Стандарт Банка России).
Возможности СЗИ
- Аутентификация пользователей.
- Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
- Доверенная информационная среда.
- Контроль утечек и каналов распространения конфиденциальной информации.
- Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
- Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности.
- Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.
- Защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).
Варианты развертывания Secret Net
- Автономный режим – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.
- Сетевой режим (с централизованным управлением) – предназначен для развертывания в доменной сети c Active Directory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант Secret Net может быть успешно развернут в сложной доменной сети (domain tree/forest).
Архитектура
Компоненты Secret Net 7 (сетевой режим):
- Secret Net 7 – Клиент;
- Secret Net 7 – Сервер безопасности;
- Secret Net 7 – Программа управления.
Клиент Secret Net 7 устанавливается на всех защищаемых компьютерах. Он следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на сервер безопасности, а также прием от него оперативных команд и их выполнение.
Сервер безопасности является основным элементом в сетевой структуре системы
Secret Net 7. Этот компонент обеспечивает взаимодействие объектов управления,
реализует функции контроля и управления, а также осуществляет обработку,
хранение и передачу информации.
Программа оперативного управления («Монитор»)
В состав СЗИ Secret Net 7 включена программа оперативного управления, заменяющая средства оперативного управления предыдущих версий СЗИ.
Программа оперативного управления предназначена для конфигурирования сетевой структуры, централизованного управления защищаемыми компьютерами и для работы с записями журналов, поступивших на хранение в базу данных сервера безопасности. Программа устанавливается на рабочих местах администраторов. При работе программа взаимодействует с сервером безопасности, который обрабатывает все управляющие команды администратора.
Дополнительно может использоваться и лицензироваться модуль блокировки НСД к жесткому диску, который осуществляет сокрытие данных на диске при загрузке компьютера с внешних носителей.
Ранее приобретенная лицензия на СЗИ Security Studio 6 – Trusted Boot Loader может использоваться для активации этого механизма в Secret Net 7.
Список видео уроков:
1. Установка и настройка клиента. Вариант №1
2. Установка контроллера домена и Oracle для Сервера безопасности Secret Net
3. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ в БД AD
4. Настройка замкнутой программной среды
5. Настройка механизма контроля целостности
6. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ вне БД AD
7. Программа локального конфигурирования
8. Управление персональными идентификаторами. Защита входа в систему
9. Режимы механизма защиты входа в систему
10.Устновка сервера безопасности с SQL Server 2012 R2
11.Вход в систему в административном режиме
12 Удаление домена безопасности и всех компонентов
13.Установка SQL Server 2012 Standart для работы с SN7.4
14.Изменение учетных данных для подключения СБ к серверу СУБД
15.Управление ключами для усиленной аутентификации.
16.Установка и настройка ПО Rutoken
17.Разрешение разового входа при усиленной аутентификации по паролю.
18.Идентификация и аутентификация * Secret Net 7 * приказ № 17
19. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 1-Два сервера безопасности
20. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 2 — Резервная копия
Документация к версии – Secret Net 7
|
Руководство администратора. Принципы построения
В руководстве содержатся сведения об общих принципах построения и функционирования системы Secret Net 7. Secret_Net_Admin_Guide_Construction_Principles.pdf |
|
Руководство администратора. Установка, обновление и удаление
В руководстве содержатся сведения, необходимые администраторам для развертывания системы, ее обновления, исправления и удаления. Secret_Net_Admin_Guide_Install.pdf |
|
Руководство администратора.Локальная работа с журналами регистрации
Secret_Net_Admin_Guide_Local_Audit.pdf |
|
Руководство администратора.Работа с программой оперативного управления
В руководстве содержатся сведения, необходимые для работы с компонентом «Secret Net 7 — Программа управления». Secret_Net_Admin_Guide_Operative_Management_Program.pdf |
|
Руководство администратора. Настройка механизмов защиты
В руководстве содержатся сведения, необходимые администраторам для настройки и управления основными механизмами защиты. Secret_Net_Admin_Guide_Security_Settings.pdf |
|
Руководство пользователя
В руководстве содержатся сведения, необходимые пользователю для работы с системой Secret Net 7, установленной на компьютере. Secret_Net_User_Guide.pdf |
|
Сведения о совместимости с другими программными средствами
Данный документ содержит сведения о совместимости СЗИ Secret Net 7 версии 7.6.604.0 с некоторыми другими программными средствами при совместном функционировании. |
Н И П И Н Ф О Р М З А Щ И Т А
Система
защиты
информации
Secret Net
Аппаратные средства
Руководство
по установке и эксплуатации
УВАЛ. 00300-07 96
© ЗАО НИП “ИНФОРМЗАЩИТА”, 2003. Все права защищены.
Все авторские права на эксплуатационную документацию защищены.
Этот документ входит в комплект поставки программного обеспечения, и на него
распространяются все условия лицензионного соглашения. Без специального
письменного разрешения НИП “ИНФОРМЗАЩИТА” этот документ или его часть в
печатном или электронном виде не могут быть подвергнуты копированию и передаче
третьим лицам с коммерческой целью.
Информация, содержащаяся в этом документе, может быть изменена разработчиком
без специального уведомления, что не является нарушением обязательств по
отношению к пользователю со стороны НИП “ИНФОРМЗАЩИТА”.
Научно-инженерное предприятие
"ИНФОРМЗАЩИТА"
Почтовый адрес: 127018, Москва, а/я 55
Телефон: (7-095) 937-33-85
Факс: (7-095) 219-31-88
e-mail: hotline@infosec.ru
Web: http: // www.infosec.ru
Версия: 4.00.45.0 Последнее обновление: 19.12.03
Система защиты информации Secret Net. Аппаратные средства
Оглавление
Введение ......................................................................................................................................... 5
Глава 1. Аппаратная поддержка системы Secret Net ............................................................. 9
Устройства ввода идентификационных признаков ..................................................... 11
iButton (Touch Memory) ........................................................................................................ 11
Smart Card ............................................................................................................................ 13
eToken................................................................................................................................... 14
Proximity ................................................................................................................................ 15
Изделия аппаратной поддержки системы защиты Secret Net ................................... 16
Электронные замки "Соболь-PCI" и "Соболь" ................................................................... 16
Изделия Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card................ 17
Сетевой адаптер с микросхемой Secret Net ROM BIOS.................................................... 18
Изделие Secret Net Card...................................................................................................... 18
Варианты применения аппаратных средств Secret Net ............................................. 20
Базовые варианты ............................................................................................................... 20
Дополнительные варианты ................................................................................................. 22
Глава 2. Установка аппаратных средств системы Secret Net............................................. 23
Электронные замки "Соболь-PCI" и "Соболь" ............................................................. 24
Установка электронного замка "Соболь-PCI" для работы в автономном режиме .......... 24
Установка электронного замка "Соболь" для работы в автономном режиме ................. 25
Интеграция электронных замков с системой Secret Net ................................................... 25
Изделия Secret Net Touch Memory Card....................................................................... 28
Установка Secret Net Touch Memory Card PCI ................................................................... 28
Установка Secret Net Touch Memory Card .......................................................................... 29
Сетевой адаптер с микросхемой Secret Net ROM BIOS............................................. 31
Изделие Secret Net Card................................................................................................ 32
Словарь терминов ...................................................................................................................... 34
Литература .................................................................................................................................... 36
3
Введение 1
Введение
Из этого раздела Вы узнаете:
• О назначении и структуре книги
• О других источниках информации
• Об используемых терминах и принятых обозначениях
5
Система защиты информации Secret Net. Аппаратные средства
Данное руководство предназначено для администратора системы защиты инфор-
мации Secret Net (далее по тексту – система Secret Net) и содержит сведения, необ-
ходимые для установки, настройки и эксплуатации средств аппаратной поддержки
системы Secret Net.
Структура Материал руководства организован следующим образом:
руководства
• В Главе 1 содержатся сведения об используемых в системе Secret Net средст-
вах аппаратной поддержки и различных вариантах их применения.
• Глава 2 посвящена особенностям установки, настройки и эксплуатации этих ап-
паратных средств.
Рекомендуемая Для изучения вопроса об использовании аппаратных средств также рекомендуется
литература познакомиться с другими книгами, входящими в комплект поставки.
• "Secret Net. Принципы построения и применения" позволяет получить общее
представление об архитектуре, функциональных возможностях и принципах ра-
боты основных защитных механизмов.
• "Secret Net. Сервер безопасности. Руководство по установке и эксплуатации"
содержит сведения, необходимые администратору для установки и эксплуата-
ции сервера безопасности.
• "Secret Net. Подсистема управления. Руководство по администрированию.
Книга первая. Управление центральной базой данных" содержит сведения,
необходимые администратору для эксплуатации подсистемы управления.
• "Secret Net 9x. Клиент для Windows 9x. Руководство по администрированию",
"Secret Net NT. Клиент для Windows NT. Руководство по администрированию",
"Secret Net 2000. Клиент для Windows 2000. Руководство по администриро-
ванию" содержат сведения, необходимые для установки, настройки и управле-
ния работой клиентов сетевого варианта системы Secret Net.
• "Secret Net 9x. Автономный вариант для Windows 9х. Руководство по админи-
стрированию", "Secret Net NT. Автономный вариант для Windows NT. Руково-
дство по администрированию", "Secret Net 2000. Автономный вариант для
Windows 2000. Руководство по администрированию" содержат сведения, необ-
ходимые для установки, настройки и управления работой автономного варианта
системы Secret Net.
• "Программно-аппаратный комплекс "Соболь-PCI". Руководство админист-
ратора", "Электронный замок "Соболь". Руководство администратора" со-
держат сведения, необходимые для установки и настройки электронных замков.
Условные В руководстве для выделения некоторых элементов текста (примечаний и ссылок)
обозначения используется ряд условных обозначений.
Перекрестные ссылки
В тексте руководства могут встречаться ссылки на другие части данного руково-
дства или другие источники информации. Внутренние ссылки, как правило, содер-
жат указание на номер страницы с нужными сведениями, необходимую таблицу,
рисунок или документ. Например, ссылка на первую таблицу данного руководства
выглядит следующим образом: (см. Табл. 1).
Примечания
Особо важная и дополнительная информация оформлена в виде примечаний. Сте-
пень важности содержащихся в них сведений отражают пиктограммы на полях:
• Так обозначается дополнительная информация, которая может содержать опреде-
ления, примеры, ссылки на другие документы или другие части этого руководства.
• Такой пиктограммой выделяется важная информация, которую необходимо при-
нять во внимание.
6
Введение
Соглашения о Некоторые термины, содержащиеся в тексте руководства, уникальны для системы
терминах Secret Net, другие используются в специфическом смысле, третьи выбраны из сооб-
ражений краткости. Смысл основной части терминов объясняется по ходу изложе-
ния материала при первом их употреблении в тексте руководства. Словарь
терминов содержится в специальном разделе (см. стр. 34).
7
Система защиты информации Secret Net. Аппаратные средства 8
глава 1
Аппаратная поддержка системы Secret Net
Из этой главы Вы узнаете:
• Об используемых в Secret Net устройствах ввода идентификационных признаков
• Об изделиях аппаратной поддержки системы Secret Net
• О вариантах применения аппаратных средств
9
Система защиты информации Secret Net. Аппаратные средства
Система Secret Net предназначена для организации защиты информации в локаль-
ных вычислительных сетях, рабочие станции и серверы которой работают под
управлением различных операционных систем (ОС): MS Windows 2000, MS Windows
NT, семейства MS Windows 9х и др. Система защиты информации Secret Net являет-
ся программно-аппаратным комплексом, дополняющим стандартные механизмы за-
щиты операционных систем функциями защиты от несанкционированного доступа
(НСД) к информационным ресурсам компьютеров.
Назначение В системе Secret Net поддерживается работа значительного числа аппаратных
аппаратных средств (см. Табл. 1), каждое из которых выполняет определённые задачи. В общем
средств случае, средства аппаратной поддержки Secret Net обеспечивают:
Secret Net
• защиту от НСД к информационным ресурсам компьютеров - реализация меха-
низма идентификации и аутентификации, блокировка загрузки ОС со съёмных но-
сителей и т.д.;
• оперативный контроль и регистрацию - контроль целостности программной сре-
ды, ведение журнала регистрации событий;
• хранение ключевой информации.
Применение конкретного типа устройства или их комбинации зависит от различных
факторов (желания заказчика, конфигурации и ОС защищаемого компьютера, вари-
антов использования Secret Net и др.). В Табл. 1 представлены варианты возможно-
го применения аппаратных средств в зависимости от ОС защищаемого компьютера
("+" – поддержка работы изделия, "-" – отсутствие поддержки).
Табл. 1 – Аппаратные средства системы защиты информации Secret Net
Изделие ОС Windows 9х ОС Windows
NT/2000
+ +
Программно-аппаратный комплекс "Соболь-PCI"
+ +
Электронный замок "Соболь"
+ +
Secret Net Touch Memory Card PCI
+ +
Secret Net Touch Memory Card
+ +
Сетевой адаптер с микросхемой Secret Net ROM
BIOS
+ +
Secret Net Card
+ +
Идентификатор iButton (Touch Memory)
+ +
Считыватель Touch Memory
+ +
COM-считыватель Touch Memory
- +
Идентификатор Smart Card
- +
Считыватель Smart Card
- +
Идентификатор Proximity
- +
Считыватель Proximity
+ +
Идентификатор eToken R2
Работу системы Secret Net с аппаратными средствами обеспечивают специальные
программы-драйверы, управляющие обменом информацией между устройством и
программными модулями системы защиты.
10
Глава 1. Аппаратная поддержка системы Secret Net
Устройства ввода идентификационных признаков
Доступ пользователя к информационным ресурсам компьютера осуществляется при
успешном выполнении операций идентификации и аутентификации. Идентификация
заключается в распознавании субъекта (объекта) по присущему или присвоенному
ему идентификационному признаку. Проверка принадлежности субъекту (объекту)
доступа предъявленного им идентификатора (подтверждение подлинности) осущест-
вляется в процессе аутентификации. В системах контроля и управления доступом
широко используются аппаратные средства идентификации и аутентификации, назы-
ваемые устройствами ввода идентификационных признаков (УВИП).
Российский стандарт ГОСТ Р 51241-98 "Средства и системы контроля и управления
доступом. Классификация. Общие технические требования. Методы испытаний" ус-
танавливает классификацию УВИП, в состав которых входят идентификаторы и счи-
тыватели, по способу считывания идентификационных признаков:
• с ручным вводом;
• контактные;
• дистанционные (бесконтактные);
• комбинированные.
Ручной ввод идентификационных признаков производится с помощью нажатия кла-
виш, поворотом переключателей или других подобных элементов.
Контактное считывание идентификационных признаков подразумевает непосредст-
венный контакт идентификатора и считывателя. Чтение информации происходит пу-
тём проведения идентификатора через считыватель или их простым
прикосновением. В системе защиты Secret Net поддерживается применение контакт-
ных УВИП на базе iButton (Touch Memory), Smart Card и eToken.
Дистанционный (бесконтактный) способ считывания не требует чёткого позициониро-
вания идентификатора и считывателя. Чтение информации происходит либо при
поднесении идентификатора на определенное расстояние к считывателю (радиочас-
тотный метод), либо при попадании идентификатора в поле сканирования считы-
вающего устройства (инфракрасный метод). В системе Secret Net нашёл применение
радиочастотный УВИП на базе Proximity.
Комбинированный способ подразумевает сочетание нескольких различных способов
считывания.
iButton (Touch Memory)
Широкое внедрение систем контроля и управления доступом к информационным ре-
сурсам компьютеров в производстве, финансовой области, торговле, социальной
сфере потребовало создания надёжных и относительно дешёвых УВИП. К таким
средствам можно с полным основанием отнести идентификатор iButton (Touch Mem-
ory) американской компании Dallas Semiconductor. В дальнейшем в тексте использу-
ется прежнее название – идентификатор Touch Memory.
Идентификаторы Touch Memory семейства DS199X представляют собой микросхему,
вмонтированную в герметичный корпус, выполненный из нержавеющей стали (см.
Рис. 1). Корпус отдаленно напоминает батарейку для наручных часов и имеет диа-
метр 17,35 мм при высоте 5,89 мм (корпус F5) или 3,1 мм (корпус F3). Обмен с внеш-
ними устройствами происходит по двухпроводному интерфейсу с использованием
широтно-импульсной модуляции. Контактами служит сам корпус прибора, гарантиро-
ванное количество контактов составляет несколько миллионов. Корпус выполняет
также защитные функции от различных внешних воздействий и обеспечивает высо-
кую живучесть прибора в условиях агрессивных сред, пыли, влаги, внешних электро-
магнитных полей, механических ударов и т.п.
11
Система защиты информации Secret Net. Аппаратные средства
Обмен данными с компьютером осуществляется по двухпроводной шине посредст-
вом контактного устройства Touch Probe. Для этого необходимо прикоснуться иден-
тификатором к контактному устройству. Время контакта - не более 5 мс.
Рис. 1. Идентификатор Touch Memory
В системах защиты от НСД используются несколько модификаций идентификаторов
семейства DS199X (см. Табл. 2), которые отличаются ёмкостью памяти, функцио-
нальными возможностями и, соответственно, ценой.
Табл. 2 – Идентификаторы Touch Memory
Тип Ёмкость Ёмкость Ёмкость Защита Конструкция
изделия постоянной блокнотной оперативной доступа к корпуса
памяти, байт памяти, бит памяти, Кбит памяти
64 - - - F3/F5
DS 1990А
64 512 0,5 + F5
DS 1991L
64 256 1 - F5
DS 1992L
64 256 4 - F5
DS 1993L
64 256 4 - F5
DS 1994L
64 256 16 - F5
DS 1995L
64 256 64 - F5
DS 1996L
В структуре Touch Memory можно выделить следующие основные части: постоянное
запоминающее устройство (ПЗУ или ROM), блокнотную память, оперативное запоми-
нающее устройство (ОЗУ или RAM), часы реального времени (для DS1994), а также
элемент питания - встроенную миниатюрную литиевую батарейку (кроме DS1990A).
В ПЗУ хранится 64-разрядный код, состоящий из 8-разрядного кода типа идентифи-
катора, 48-разрядного уникального серийного номера и 8-разрядной контрольной
суммы. Блокнотная память (вариант буферной памяти) служит для предотвращения
записи новых данных на место имеющихся или записи по неверному адресу.
В системе Secret Net поддерживается применение всех модификаций идентификато-
ров Touch Memory. В автономном варианте для Secret Net 9x используются DS1990 -
DS1996, в автономном для Secret Net NT/2000 и сетевом варианте для Secret Net
9x/NT/2000 нашли применение DS1992 - DS1996.
В системе Secret Net контактное устройство Touch Probe используется в двух вариан-
тах. В первом варианте контактное устройство подсоединяется к последовательному
порту компьютера (в дальнейшем – COM-считыватель Touch Memory). Во втором ва-
рианте (в дальнейшем – считыватель Touch Memory) контактное устройство подключа-
ется к внешнему (или внутреннему) разъёму изделий Secret Net Touch Memory Card,
Secret Net Touch Memory Card PCI, Электронный замок "Соболь" и Программно-
аппаратный комплекс "Соболь-PCI".
12
Глава 1. Аппаратная поддержка системы Secret Net
К достоинствам УВИП на базе идентификаторов Touch Memory относятся:
• долговечность (время хранения информации в памяти идентификатора состав-
ляет не менее 10 лет);
• высокая степень механической и электромагнитной защищённости;
• малые размеры, удобство хранения;
• относительно невысокая стоимость.
Недостатком устройства является зависимость его срабатывания от точности сопри-
косновения идентификатора и считывателя, выполняемого пользователем.
Smart Card
В системах разграничения доступа широкое применение находят УВИП на базе
идентификаторов, называемых смарт-картами (от англ. Smart Card – интеллектуаль-
ная карта). Основой внутренней организации смарт-карт является так называемая
SPOM-архитектура (Self Programming One-chip Memory). Архитектура SPOM преду-
сматривает наличие в смарт-карте процессора, ПЗУ, ОЗУ и электрически перепро-
граммируемой постоянной памяти (РПЗУ или EEPROM).
Процессор отвечает за разграничение доступа к хранящейся в памяти информации и
выполнение процедур обработки данных. Как правило, в карте также присутствует спе-
циализированный сопроцессор, предназначенный для реализации криптографических
алгоритмов. В постоянной памяти хранится исполняемый код внутреннего процессора,
оперативная память используется в качестве рабочей, и, наконец, к перепрограмми-
руемой памяти возможен доступ извне для чтения/записи произвольной информации.
По отношению к компьютеру устройства чтения смарт-карт могут внешними и внутренними
(например, встроенными в клавиатуру, гнездо 3,5"-дисковода, корпус компьютера). Считы-
ватель работает под управлением специальной программы - драйвера устройства чтения.
Начиная с 1987 года, международная организация по стандартизации ISO приняла
шесть стандартов на смарт-карты, объединенных в общую группу ISO7816 "Идентифи-
кационные карты. Карты с микросхемой и контактами". Ряд известных фирм (IBM, Micro-
soft, Gemplus и другие, всего десять компаний) на базе ISO7816 разработали единый,
стандартный интерфейс для работы со смарт-картами. Данный интерфейс включает в
себя спецификации PC/SC, облегчающие интеграцию смарт-карт-технологий в про-
граммно-аппаратные комплексы на базе платформы персонального компьютера и соз-
дание средств разработки приложений для смарт-карт.
Система Secret Net для ОС Windows NT/2000, используя спецификации PC/SC, под-
держивает взаимодействие с УВИП различных фирм-производителей.
Так, например, в состав поддерживаемого Secret Net комплекса ASE Developer's Kit
компании Aladdin Knowledge Systems входят: ASECards – набор смарт-карт, ASE-
Drive – считыватели для смарт-карт, ASESoft – программное обеспечение. На Рис. 2
показан внешний вид считывателя ASEDrive с помещённой в него смарт-картой.
Рис. 2. Считыватель смарт-карт ASEDrive
К достоинствам УВИП на базе смарт-карт относят:
• удобство хранения идентификатора (например, в бумажнике среди других карто-
чек) и считывания идентификационных признаков;
13
Система защиты информации Secret Net. Аппаратные средства
• возможность обмена данными с компьютером через различные устройства вво-
да-вывода (клавиатурный порт PS/2, последовательный порт, свободный слот
расширения, параллельный порт, интерфейс SCSI, в ближайшей перспективе
порт универсальной, последовательной шины USB).
К недостаткам следует отнести ограниченный срок эксплуатации смарт-карт из-за неустой-
чивости к механическим повреждениям, высокую стоимость считывателей смарт-карт.
eToken
В последнее время широкое применение находят УВИП, не требующие наличия аппа-
ратных считывателей. К таким устройствам относят так называемые USB-ключи, которые
подключаются к USB-порту непосредственно или с помощью соединительного кабеля.
На российском рынке наибольшей популярностью пользуются следующие USB-
ключи: iKey 1000, iKey 2000 фирмы Rainbow Technologies, eToken R2, eToken Pro
компании ALADDIN Software Security R.D, WebIdentity фирмы Eutron. В Табл. 3 пред-
ставлены характеристики некоторых модификаций USB-ключей.
Табл. 3. - USB-ключи
Изделие Ёмкость памяти, Разрядность Алгоритм шифрования
Кбайт серийного номера
16, 32, 64 32 DESX (ключ 120 бит), MD5
eToken R2
8, 16, 32, 64, 128 64 Хэш-функция MD5
iKey 1000
8, 16, 32 32 Triple DES, MD5
WebIdentity
В системе Secret Net поддерживается работа персональных идентификаторов eTo-
ken R2, основным назначением которых является осуществление идентификации
пользователей и безопасное хранение ключей шифрования, цифровых сертифика-
тов, любой другой важной информации.
Идентификатор eToken R2 (см. Рис. 3) производится в виде брелка небольшого раз-
мера (47х16х7 мм), который легко размещается на связке с ключами. Брелоки выпус-
каются в цветных корпусах и имеют световые индикаторы работы
Рис. 3. Идентификатор eToken R2
Закрытая информация хранится в защищенной памяти брелка ёмкостью от 16 до 64
Кбайт. Каждый идентификатор имеет уникальный серийный 32-разрядный номер. При
обмене информацией между eToken R2 и компьютером используется шифрование дан-
ных. Поддержка спецификаций PC/SC позволяет без труда переходить от смарт-карт к
идентификаторам eToken.
Достоинствами USB-ключей являются:
• малые размеры, удобство хранения;
• отсутствие аппаратного считывателя;
• простота подсоединения к USB-порту.
К недостаткам USB-ключей можно отнести их относительно высокую стоимость и ма-
лое время эксплуатации, ограниченное слабой механической защищённостью брелка.
14
Глава 1. Аппаратная поддержка системы Secret Net
Proximity
Широко распространённые радиочастотные идентификаторы Proximity (от англ.
proximity – близость, соседство) конструктивно выпускаются в виде карточек, брело-
ков, браслетов, ключей и т.п. Они имеют встроенные антенну, приёмо-передатчик и
память.
Внутри идентификатора Proximity также может находиться химический источник пи-
тания - литиевая батарея. Идентификаторы с батареей называются активными. Они
обеспечивают взаимодействие со считывателем на значительном расстоянии (еди-
ницы метров). Идентификаторы без батареи называются пассивными. Дистанция
считывания составляет десятки сантиметров.
Считыватель Proximity постоянно излучает радиосигнал низкой мощности, который
питает идентификатор. Когда он оказывается на определенном расстоянии от считы-
вателя (см. Рис. 4), сигнал поглощается расположенной внутри нее антенной и дан-
ная энергия питает микросхему, также расположенный внутри карточки. После
получения энергии карта излучает идентификационные данные, принимаемые счи-
тывателем. Дистанция считывания в значительной степени зависит от характеристик
антенного и приёмо-передающего трактов считывателя. Весь процесс занимает не-
сколько десятков микросекунд.
Рис. 4. Идентификатор и считыватель Proximity
Устройство чтения может быть помещено внутрь корпуса компьютера. Взаимная
ориентация идентификатора и считывателя не имеет значения, а ключи или другие
предметы, находящиеся в контакте с картой, не мешают передаче информации.
В мире насчитывается большое число производителей идентификаторов и считыва-
телей Proximity, основными из которых являются фирмы HID (Hughes Identification
Devices), Motorola Indala, Texas Instruments. Среди отечественных предприятий мож-
но отметить НПФ "Сигма", ОАО "Ангстрем", PERCo, ARSEC и ряд других.
Система Secret Net поддерживает взаимодействие с радиочастотными УВИП раз-
личных фирм-производителей. Для работы с идентификатором Proximity используют-
ся изделия Secret Net Touch Memory Card и Secret Net Touch Memory Card PCI.
Основными достоинствами УВИП Proximity являются:
• долговечность пассивных идентификаторов (некоторые производители дают на
карты пожизненную гарантию);
• отсутствие необходимости чёткого позиционирования идентификатора и считы-
вателя, удобство считывания идентификационных признаков.
К недостаткам можно отнести слабую электромагнитную защищённость, относитель-
но высокую стоимость.
15
Система защиты информации Secret Net. Аппаратные средства
Изделия аппаратной поддержки системы защиты Secret Net
Рассмотренные выше контактные и бесконтактные УВИП обеспечивают важнейший
механизм защиты – идентификацию и аутентификацию пользователей. В зависимо-
сти от решаемых Secret Net задач их функционирование осуществляется совместно с
линейкой изделий аппаратной поддержки системы (см. Табл. 1), выпускаемых ЗАО
НИП "ИНФОРМЗАЩИТА".
Свои основные функции многие изделия аппаратной поддержки реализуют до загруз-
ки операционной системы компьютера. Для этого в составе каждого средства имеет-
ся собственная память EEPROM, содержимое которой дополняет базовую систему
ввода-вывода BIOS компьютера. При включении компьютера выполняется копирова-
ние содержимого EEPROM BIOS аппаратного средства в так называемую теневую
область (Shadow Memory) оперативной памяти, с которой и ведется дальнейшая ра-
бота. Поэтому не допускается использование системной BIOS режима Shadow Mem-
ory для адресного пространства, в котором размещается расширение BIOS,
содержащееся в EEPROM изделий.
Электронные замки "Соболь-PCI" и "Соболь"
Изделия "Программно-аппаратный комплекс "Соболь-PCI" и "Электронный замок
"Соболь" версии 1.0" (в дальнейшем – электронные замки "Соболь-PCI"и "Соболь")
предназначены для организации защиты компьютера от НСД посторонних пользова-
телей. Они обеспечивает:
• идентификацию и аутентификацию пользователей с помощью УВИП на базе
Touch Memory;
• блокировку загрузки операционной системы с внешних съёмных носителей;
• блокировку пользователя при превышении им количества допустимых попыток
ввода неправильного пароля;
• контроль целостности программной среды компьютера до загрузки ОС;
• регистрацию событий, связанных с попытками входа пользователей и результа-
тами работы подсистемы контроля целостности.
В состав каждого изделия входят плата электронного замка, идентификатор Touch
Memory и контактное устройство (считыватель Touch Memory). Плата электронного
замка "Соболь-PCI" устанавливается в разъём системной шины PCI, а плата "Со-
боль" - в разъём системной шины ISA. Считыватель Touch Memory может подклю-
чаться как к внешнему разъёму платы, так и к внутреннему. На плате (см. Рис. 5)
размещаются микросхемы энергонезависимой памяти, перепрограммируемая логи-
ческая матрица, реле аппаратной блокировки устройств (на плате "Соболь-PCI" – 3
реле, на плате "Соболь" – 2 реле), встроенный датчик случайных чисел.
В состав энергонезависимой памяти входят микросхемы оперативной памяти и
EEPROM, содержимое которой дополняет системную BIOS компьютера. В электрон-
ном замке "Соболь-PCI" поиск свободной области оперативной памяти компьютера
для загрузки содержимого EEPROM осуществляется автоматически. В отличие от из-
делия "Программно-аппаратный комплекс "Соболь-PCI" в замке "Соболь" выбор на-
чального адреса загрузки расширения BIOS, содержащегося в EEPROM платы, а
также адреса порта обмена данными с памятью идентификатора выполняется вруч-
ную (см. [ 2 ]). Для этого на плате имеются шесть перемычек.
16
Глава 1. Аппаратная поддержка системы Secret Net
Рис. 5. Плата электронного замка "Соболь"
В электронном замке поддерживается работа до 32 пользователей, не считая адми-
нистратора. Идентификация пользователя осуществляется при помощи УВИП Touch
Memory. Скорость обмена данными между персональным идентификатором и платой
замка составляет 16 Кбит/с. Авторизация пользователя осуществляется по паролю
длиною до 16 символов и персональному идентификатору.
Запрет загрузки ОС с внешних носителей (магнитных, оптических и магнитно-
оптических дисков) может осуществляться программным и аппаратным способами
путем блокирования доступа к устройствам чтения этих дисков при запуске компью-
тера. После успешной загрузки ОС доступ к этим устройствам восстанавливается с
помощью специальной программы, входящей в состав программного обеспечения
электронных замков.
Контроль целостности программной среды компьютера заключается в проверке из-
менения файлов и секторов жёсткого диска. Для этого вычисляются некоторые теку-
щие контрольные значения проверяемых объектов и сравниваются с эталонными
значениями, заранее рассчитанными для каждого из этих объектов.
Сведения, необходимые администратору для установки и эксплуатации электронных
замков "Соболь-PCI" и "Соболь", приводятся соответственно в документах [ 1 ] и [ 2 ].
Изделия Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card
Изделия Secret Net Touch Memory Card PCI и Secret Net Touch Memory Card предна-
значены для:
• идентификации и аутентификации пользователей;
• блокировки загрузки операционной системы с внешних съёмных носителей.
В состав изделия Secret Net Touch Memory Card входят плата (см. Рис. 6) и УВИП
Touch Memory или Proximity (по выбору заказчика). Плата устанавливается в разъём
системной шины ISA. На плате имеются разъёмы для подключения считывателей
Touch Memory (внешний) и Proximity (внутренний).
В состав изделия Secret Net Touch Memory Card PCI входят плата и УВИП Touch
Memory или Proximity (по выбору заказчика). Плата устанавливается в разъём сис-
темной шины PCI. Считыватель Touch Memory подключается к внешнему разъёму
платы, считыватель Proximity – к внутреннему разъёму.
Основу изделий составляют память EEPROM (изделие Secret Net ROM BIOS), со-
держимое которой дополняет системную BIOS, и перепрограммируемая логическая
матрица. В Secret Net Touch Memory Card PCI поиск свободной области оперативной
памяти компьютера для загрузки содержимого EEPROM осуществляется автомати-
чески. В Secret Net Touch Memory Card выбор начального адреса загрузки расшире-
ния BIOS, содержащегося в EEPROM платы, а также адреса порта обмена данными с
памятью идентификатора выполняется вручную (см. стр. 29). Для этого на плате име-
ются четыре перемычки.
17
Система защиты информации Secret Net. Аппаратные средства
Рис. 6. Плата Secret Net Touch Memory Card
Блокировка загрузки ОС с внешних носителей (магнитных, оптических и магнитно-
оптических дисков) осуществляется программным способом путем запрета доступа к
устройствам чтения этих дисков при запуске компьютера. После успешной загрузки
ОС доступ к этим устройствам восстанавливается.
Сетевой адаптер с микросхемой Secret Net ROM BIOS
Сетевой адаптер в качестве изделия аппаратной поддержки системы Secret Net
предназначен для запрета загрузки ОС со сменных носителей (для Secret Net
9x/NT/2000), а также идентификации и аутентификации пользователей без электрон-
ного идентификатора (для Secret Net 9x).
Сетевой адаптер представляет собой PCI-плату (см. Рис. 7) стандарта Ethernet, в
гнездо начальной загрузки которой помещается микросхема BIOS (изделие Secret
Net ROM BIOS).
Рис. 7. Сетевая плата с микросхемой Secret Net ROM BIOS
Блокировка загрузки ОС с внешних носителей (магнитных, оптических и магнитно-
оптических дисков) осуществляется программным способом путем её запрета.
Изделие Secret Net Card
Изделие Secret Net Card предназначено для запрета загрузки операционной системы с
внешних съёмных носителей (для Secret Net 9x/NT/2000), а также идентификации и ау-
тентификации пользователей без электронного идентификатора (для Secret Net 9x).
Изделие Secret Net Card представляет собой плату (см. Рис. 8) устанавливаемую
внутри системного блока компьютера в разъём системной шины ISA.
18
Глава 1. Аппаратная поддержка системы Secret Net
Рис. 8. Изделие Secret Net Card
На плате размещается микросхема EEPROM (изделие Secret Net ROM BIOS), 4 мик-
росхемы комбинационного типа 555-ой серии и 4 перемычки, которые предназначены
для установки начального адреса загрузки содержимого Secret Net ROM BIOS в опе-
ративную память компьютера (см. стр. 32).
Блокировка загрузки ОС с внешних носителей (магнитных, оптических и магнитно-
оптических дисков) осуществляется программным способом путём её запрета.
19
Система защиты информации Secret Net. Аппаратные средства
Варианты применения аппаратных средств Secret Net
Важным достоинством системы Secret Net является возможность организации защиты
информационных ресурсов компьютеров, имеющих разные конфигурации и работаю-
щих под управлением значительного числа различных операционных систем.
Базовые варианты
В Табл. 4 представлены одиннадцать базовых сертифицированных вариантов при-
менения аппаратных средств в зависимости от решаемых с их помощью в Secret Net
задач. Использование того или иного варианта в значительной степени определяется
поддерживаемой Secret Net операционной системой.
Табл. 4 – Базовые варианты аппаратной поддержки Secret Net
Варианты использования аппаратных
Задачи, решаемые с помощью средств средств
аппаратной поддержки
Secret Net 9x Secret Net NT/2000
Идентификация и аутентификация 1 / 2 / 3 / 4 / 5 / 1 / 2 /
пользователей до загрузки ОС 6 / 7 / 8 / 10 / 11 /
Идентификация и аутентификация во 1 / 2 / 3 / 4 / 5 / 1 / 2 / 3 / 4 / 5 /
время входа пользователя 6 / 7 / 8 / 6 / 7 / 8 / 9 /
Запрет загрузки ОС с внешних съёмных 1 / 2 / 3 / 4 / 5 / 1 / 2 / 3 / 4 / 5 /
носителей 6 / 7 / 8 / 10 / 6 / 7 / 8 / 9 /
11 / 10 / 11 /
Контроль целостности программной 1 / 2 / 1 / 2 /
среды компьютера до загрузки ОС
Снятие временной блокировки 1 / 2 / 3 / 4 / 5 / 1 / 2 / 3 / 4 / 5 /
компьютера 6 / 7 / 8 / 6 / 7 / 8 / 9 /
Хранение криптографического ключа 1 / 2 / 3 / 4 / 5 / 1 / 2 / 3 / 4 / 5 /
6 / 7 / 8 / 6 / 7 / 8 /
Ниже в виде структурных схем раскрываются пронумерованные в Табл. 4 варианты.
В каждой схеме представлены соединения изделий аппаратной поддержки с устрой-
ствами ввода-вывода компьютера.
На одном компьютере устанавливается только один базовый вариант аппаратной
поддержки системы Secret Net.
Идентифика- Считыватель Электронный Разъём сис-
1 тор Touch Touch Memory замок темной шины
Memory "Соболь-PCI" PCI
Идентифика- Считыватель Электронный Разъём сис-
2 Touch Memory
тор Touch замок темной шины
Memory "Соболь" ISA
Для использования в Secret Net электронных замков "Соболь-PCI" (вариант 1) и "Со-
боль" (вариант 2) необходимо наличие на материнской плате защищаемого компью-
тера свободных разъёмов системных шин PCI и ISA. Функционирование вариантов 1,
2 поддерживается в Secret Net 9x/NT/2000.
20
Глава 1. Аппаратная поддержка системы Secret Net
Идентифика- Считыватель Secret Net Разъём сис-
3 тор Touch Touch Memory Touch Memory темной шины
Memory Card PCI PCI
Идентифика- Считыватель Secret Net Разъём сис-
4 Touch Memory
тор Touch Touch Memory темной шины
Memory Card ISA
Для использования в Secret Net изделий Secret Net Touch Memory Card PCI (вари-
ант 3) и Secret Net Touch Memory Card (вариант 4) также требуется наличие на мате-
ринской плате свободных разъёмов системных шин PCI и ISA соответственно.
Функционирование этих вариантов поддерживается в Secret Net 9x/NT/2000.
Идентифика- COM - считы- COM-порт Разъём шины Сетевой адап-
5 тор Touch ватель Touch компьютера PCI тер с Secret Net
Memory Memory ROM BIOS
Идентифика- COM - считы- COM-порт Разъём шины Secret Net
6 тор Touch ватель Touch компьютера ISA Card
Memory Memory
При реализации вариантов 5 и 6 используются два разъёма материнской платы: по-
следовательного порта и системной шины PCI (или ISA). Функционирование этих ва-
риантов поддерживается в Secret Net 9x/NT/2000.
Идентифика- USB-порт Разъём шины Сетевой адап-
7 тор eToken R2 компьютера PCI тер с Secret Net
ROM BIOS
Идентифика- USB-порт Разъём шины Secret Net
8 тор eToken R2 компьютера ISA Card
При реализации вариантов 7 и 8 также используются два разъёма материнской пла-
ты: универсальной шины USB и системной шины PCI (или ISA). Функционирование
этих вариантов поддерживается в Secret Net 9x/NT/2000.
Идентифика- Считыватель Secret Net Разъём сис-
9 тор Proximity Proximity Touch Memory темной шины
Card ISA
Для применения УВИП на базе Proximity используется вариант 9. Функционирование
этого варианта поддерживается в Secret Net NT/2000.
Сетевой адап- Разъём шины
10 тер с Secret Net PCI
ROM BIOS
Secret Net Разъём шины
11 Card ISA
Функционирование вариантов 10 и 11 поддерживается в Secret Net 9x/NT/2000.
21
Система защиты информации Secret Net. Аппаратные средства
Дополнительные варианты
В Secret Net NT/2000 имеется возможность использования ряда дополнительных не
сертифицированных вариантов аппаратной поддержки, позволяющих решать задачи:
• идентификации и аутентификации во время входа пользователя (варианты 12 –15);
• блокировки загрузки операционной системы с внешних съёмных носителей (вариант 15);
• снятия временной блокировки компьютера (варианты 12 – 15);
• хранения криптографического ключа (варианты 12 – 14).
Идентифика- COM - считы- COM-порт
12 тор Touch ватель Touch компьютера
Memory Memory
Идентифика- USB-порт
13 тор eToken R2 компьютера
Идентифика- Считыватель
14 тор Smart Smart Card
Card
Идентифика- Считыватель Secret Net Разъём сис-
15 тор Proximity Proximity Touch Memory темной шины
Card PCI PCI
В вариантах 12,13 для чтения идентификационных признаков используются COM- и
USB-порты компьютера. В варианте 14 обмен данными с компьютером возможен по-
средством разнообразных интерфейсов ввода-вывода (клавиатурный порт PS/2, по-
следовательный порт, свободный слот расширения, параллельный порт, интерфейс
SCSI, в ближайшей перспективе порт USB-шины).
Вариант 15 используется для применения УВИП на базе Proximity совместно с Secret
Net Touch Memory Card PCI. Функционирование этого варианта поддерживается в
Secret Net NT/2000.
22
глава 2
Установка аппаратных средств системы Secret Net
Из этой главы Вы узнаете:
• Об особенностях установки электронных замков "Соболь-PCI" и "Соболь"
• Об особенностях установки изделий Secret Net Touch Memory Card PCI и Secret
Net Touch Memory Card
• Об особенностях установки сетевого адаптера с микросхемой Secret Net ROM BIOS
• Об особенностях установки изделия Secret Net Card
23
Система защиты информации Secret Net. Аппаратные средства
Электронные замки "Соболь-PCI" и "Соболь"
Изделия "Программно-аппаратный комплекс "Соболь-PCI" и "Электронный замок
"Соболь" устанавливаются в компьютеры сетевого (см. Рис. 9) и автономного вари-
антов системы Secret Net. Автономный вариант системы отличается от сетевого от-
сутствием средств централизованного управления защитой, а, именно, сервера
безопасности и подсистемы управления.
Серверная часть Secret Net Клиентская часть Secret Net
Сервер безопасности Подсистема управления
устанавливается вместе с устанавливается вместе
клиентом Windows NT/2000 с клиентом Windows
на выделенный компьютер NT/2000 на рабочие
места администраторов
Клиентская часть Secret Net NT
Клиентская часть для
Windows 9x/NT/2000
устанавливается на
рабочие станции и
серверы сети
Рис. 9. – Состав системы Secret Net (сетевой вариант)
Электронные замки "Соболь-PCI" и "Соболь" могут функционировать в автономном
режиме и режиме совместного использования (интеграции) с Secret Net.
В автономном режиме любым внешним программам запрещается доступ к памяти
платы электронного замка. При этом управление пользователями, журналом реги-
страции, настройка параметров осуществляется средствами администрирования
электронного замка без ограничений.
В режиме интеграции разрешается внешний доступ к памяти замка. В этом случае
часть функций управления электронным замком осуществляется с помощью
средств администрирования системы Secret Net.
Под установкой электронного замка понимается инсталляция его программного
обеспечения, выбор режима функционирования платы изделия и её размещение
на материнской плате компьютера.
Процедуры установки и снятия электронных замков "Соболь-PCI" и "Соболь" под-
робно описываются в документах [ 1 , 2 ]. Настройка механизмов контроля входа в
Secret Net с использованием электронных замков рассматриваются в документах
[ 3 - 10 ]. Ниже основное внимание уделяется особенностям настройки системы
Secret Net 9x/NT/2000 и электронных замков для их совместного использования.
Установка электронного замка "Соболь-PCI" для работы в автономном режиме
Для установки изделия выполните следующие действия (см. [ 1 ]):
1. Установите программное обеспечение.
2. Установите режим инициализации платы электронного замка.
3. Выберите свободный слот системной шины PCI и аккуратно вставьте в него плату.
4. Подключите считыватель Touch Memory к внешнему (или внутреннему) разъёму
платы.
24
Глава 2. Установка аппаратных средств системы Secret Net
5. Выполните процедуру инициализации электронного замка.
6. Установите рабочий режим функционирования изделия.
7. Подключите (при необходимости) интерфейсные кабели, обеспечивающие ра-
боту подсистемы запрета загрузки со съёмных носителей.
8. При необходимости осуществите настройку подсистемы контроля целостности.
Установка электронного замка "Соболь" для работы в автономном режиме
Для установки изделия выполните следующие действия (см. [ 2 ]):
1. Установите программное обеспечение.
2. На плате "Соболь" установите начальный адрес загрузки расширения BIOS и
адрес порта ввода-вывода.
3. Установите режим инициализации платы электронного замка.
4. Выберите свободный слот системной шины ISA и аккуратно вставьте в него плату.
5. Подключите считыватель Touch Memory к внешнему (или внутреннему) разъему
платы.
6. Выполните процедуру инициализации электронного замка.
7. Установите рабочий режим функционирования изделия.
8. Подключите (при необходимости) интерфейсные кабели, обеспечивающие ра-
боту подсистемы запрета загрузки со съёмных носителей.
9. При необходимости осуществите настройку подсистемы контроля целостности.
Интеграция электронных замков с системой Secret Net
В зависимости от наличия в защищаемых компьютерах установленных электронных
замков "Соболь-PCI", "Соболь" и программного обеспечения системы Secret Net
возможны различные варианты реализации режима интеграции.
В Табл. 5 и Табл. 6 представлены последовательности действий администратора
при совместной установке электронных замков и компонентов системы Secret Net
соответственно сетевой и автономной версий. Рассматриваются три возможных ва-
рианта установки. Первый вариант (наиболее вероятный) характеризуется отсутст-
вием в компьютерах электронных замков и системы Secret Net и необходимостью их
совместной установки. Второй вариант используется для установки электронных
замков в компьютеры с предварительно инсталлированной системой Secret Net. Для
третьего варианта (наименее вероятного) характерно наличие в компьютерах элек-
тронных замков и отсутствие системы Secret Net, которую необходимо установить.
Интеграция Под встречающейся в Табл. 5 фразой "система Secret Net установлена" понимается
электронных наличие:
замков с сетевым
вариантом • на сервере безопасности – инсталлированного программного обеспечения сер-
Secret Net вера безопасности и клиента для Windows NT/2000;
• на рабочих местах администраторов – инсталлированного программного обес-
печения подсистемы управления и клиента для Windows NT/2000;
• на рабочих станциях клиентов – инсталлированного программного обеспечения
клиентов для Windows 9x/NT/2000.
При установке электронных замков в защищаемые компьютеры подсистемы
управления и клиентские рабочие станции инициализация этих устройств должна
проводиться в режиме “повторная инициализация администратора”. Для повторной
инициализации примените свой персональный идентификатор, который использо-
вался в режиме "первичная инициализация администратора" при установке элек-
тронного замка в сервер безопасности.
25
Система защиты информации Secret Net. Аппаратные средства
Табл. 5. – Интеграция электронных замков "Соболь-PCI" и "Соболь" с сетевым вариантом
системы Secret Net
Варианты установки
Электронные замки: отсутствуют Электронные замки: отсутствуют Электронные замки: установлены
Система Secret Net: не установлена Система Secret Net: установлена Система Secret Net: отсутствует
1. Установите электронный замок в 1. Установите электронный замок в 1. Установите программное обеспече-
сервер безопасности [ 1 , 2 ]. При сервер безопасности [ 1 , 2 ]. При ние сервера безопасности [ 3 ].
инициализации выберите вариант инициализации выберите вариант 2. Установите программное обеспече-
"первичная инициализация адми- "первичная инициализация адми- ние клиента для Windows NT/2000
нистратора". нистратора". на сервер безопасности [ 5 , 6 ].
2. Установите программное обеспече- 2. Переустановите программное обес- 3. Установите программное обеспече-
ние сервера безопасности [ 3 ]. печение сервера безопасности с ние клиента для Windows NT/2000
3. Установите программное обеспече- сохранением центральной базы на компьютер подсистемы управ-
ние клиента для Windows NT/2000 данных [ 3 ]. ления [ 5 , 6 ].
на сервер безопасности [ 5 , 6 ]. 3. На сервере безопасности в диалоге 4. Установите программное обеспече-
4. Установите электронный замок в "Устройства" окна настройки пара- ние подсистемы управления [ 4 ].
компьютер подсистемы управления метров Secret Net NT/2000 устано-
вите драйвер электронного замка 5. В диалоге "Электронные идентифи-
[ 1 , 2 ]. каторы" окна настройки параметров
[ 5 , 6 ].
5. Установите программное обеспече- Secret Net установите режим инте-
ние клиента для Windows NT/2000 4. Установите электронный замок в грации с электронным замком [ 4 ].
на компьютер подсистемы управ- компьютер подсистемы управления
6. Установите на компьютеры клиен-
ления [ 5 , 6 ]. [ 1 , 2 ].
тов программное обеспечение Se-
6. Установите программное обеспече- 5. На компьютере подсистемы управ- cret Net 9x/NT/2000 [ 5 , 6 , 7 ].
ние подсистемы управления [ 4 ]. ления в диалоге "Устройства" окна
настройки параметров Secret Net
7. В диалоге "Электронные идентифи- NT/2000 установите драйвер элек-
каторы" окна настройки параметров
тронного замка [ 5 , 6 ].
Secret Net установите режим инте-
грации с электронным замком [ 4 ]. 6. В диалоге "Электронные идентифи-
каторы" окна настройки параметров
8. Установите электронные замки в
Secret Net подсистемы управления
компьютеры клиентов для Windows
установите режим интеграции с
9x/NT/2000 [ 1 , 2 ].
электронным замком [ 4 ].
9. Установите на компьютеры клиен-
7. Установите электронные замки в
тов программное обеспечение Se-
компьютеры клиентов для Windows
cret Net 9x/NT/2000 [ 5 , 6 , 7 ].
9x/NT/2000 [ 1 , 2 ].
8. На компьютере клиента в диалоге
"Устройства" окна настройки пара-
метров Secret Net 9х/NT/2000 уста-
новите драйвер электронного замка
[ 5 , 6 , 7 ].
26
Глава 2. Установка аппаратных средств системы Secret Net
Интеграция Основное отличие установки электронных замков в компьютеры автономного вари-
электронных анта Secret Net (см. Табл. 6) от установки в сетевом варианте (см. Табл. 5) заключа-
замков с ется во взаимодействии замка и системы Secret Net для Windows 9x.
автономным
вариантом
Secret Net
Табл. 6. - Интеграция электронных замков "Соболь-PCI" и "Соболь" с автономным вариантом
системы Secret Net
Варианты установки
Электронные замки: отсутствуют Электронные замки: отсутствуют Электронные замки: установлены
Система Secret Net: не установлена Система Secret Net: установлена Система Secret Net: отсутствует
Интеграция с Secret Net NT/2000
1. Установите в компьютеры элек- 1. Установите в компьютеры элек- 1. Установите программное обеспече-
тронные замки [ 1 , 2 ]. тронные замки [ 1 , 2 ]. ние Secret Net NT/2000 [ 8 , 9 ].
2. Установите программное обеспече- 2. В диалоге "Устройства" окна на-
ние Secret Net NT/2000 [ 8 , 9 ]. стройки параметров Secret Net ус-
тановите драйвер электронного
замка [ 8 , 9 ].
Взаимодействие с Secret Net 9х
1. Установите в компьютеры элек- 1. Установите в компьютеры элек- 1. Установите программное обеспече-
тронные замки [ 1 , 2 ]. тронные замки [ 1 , 2 ]. ние Secret Net 9х [ 10 ].
2. Установите программное обеспече- 2. В диалоге "Устройства" окна на- 2. В диалоге "Устройства" окна на-
ние Secret Net 9х [ 10 ]. стройки параметров Secret Net стройки параметров Secret Net
3. В диалоге "Устройства" окна на- [ 10 ]: [ 10 ]:
стройки параметров Secret Net • установите драйвер электронного • установите драйвер электронного
[ 10 ]: замка; замка;
• установите драйвер электронного • только для электронного замка • только для электронного замка
замка; "Соболь" настройте номер порта. "Соболь" настройте номер порта.
• только для электронного замка
"Соболь" настройте номер порта.
27
Система защиты информации Secret Net. Аппаратные средства
Изделия Secret Net Touch Memory Card
Функционирование изделий Secret Net Touch Memory Card PCI и Secret Net Touch
Memory Card поддерживается в сетевом и автономном вариантах Secret Net при
защите компьютеров, работающих под управлением ОС Windows 9x/NT/2000.
Установка Secret Net Touch Memory Card PCI
Изделие Secret Net Touch Memory Card PCI используется в двух вариантах (описа-
ние вариантов см. на стр.20):
• вариант 3 - с УВИП на базе Touch Memory в системе Secret Net 9x/NT/2000;
• или вариант 15 - с УВИП на базе Proximity в системе Secret Net NT/2000.
Установка Secret Net Touch Memory Card PCI на компьютерах, на которых функцио-
нирует сетевой и автономный вариант Secret Net, осуществляется одинаково.
Для установки изделия выполните следующие действия:
1. Установите на компьютер программное обеспечение Secret Net 9x/NT/2000 [ 5 - 10 ].
2. Выключите компьютер и откройте корпус системного блока.
3. Посредством установки/снятия перемычки на контакте J0 (или J1) платы (см.
Рис. 10) установите режим работы изделия Secret Net Touch Memory Card PCI:
• при установленной перемычке изделие функционирует в системе Secret
Net NT/2000;
• при отсутствии перемычки изделие функционирует в системе Secret Net 9x.
4. Выберите свободный слот системной шины PCI и аккуратно вставьте в него плату.
5. В зависимости от использования Secret Net Touch Memory Card PCI с УВИП на базе
Touch Memory (вариант 3 ) или Proximity (вариант 15 ) подключите (см. Рис. 10):
• считыватель Touch Memory к внешнему разъёму платы (вариант 3 );
• или считыватель Proximity к внутреннему разъёму платы (вариант 15 ).
Рис. 10. Расположение разъёмов на плате Secret Net Touch Memory Card PCI
6. Закройте корпус системного блока компьютера.
7. Включите компьютер. Войдите в систему с правами администратора безопасности.
28
Глава 2. Установка аппаратных средств системы Secret Net
8. В диалоге "Устройства" окна настройки параметров Secret Net установите драйвер:
• для варианта 3 - "Secret Net Touch Memory Card" [ 5 - 10 ];
• для варианта 15 - "Считыватель Secret Net Proximity" [ 5 , 6 , 8 , 9 ].
9. Перезагрузите компьютер.
Установка Secret Net Touch Memory Card
Изделие Secret Net Touch Memory Card используется в двух вариантах (описание
вариантов см. на стр.20):
• вариант 4 - с УВИП на базе Touch Memory в системе Secret Net 9x/NT/2000;
• или вариант 9 - с УВИП на базе Proximity в системе Secret Net NT/2000.
Установка Secret Net Touch Memory Card на компьютерах, на которых функциониру-
ет сетевой и автономный вариант Secret Net, осуществляется одинаково.
Перед размещением в компьютере платы Secret Net Touch Memory Card установите
необходимое значение начального адреса загрузки Secret Net ROM BIOS (см.
Табл. 7) с помощью находящихся на плате (см. Рис. 11) перемычек JP1 – JP2.
Перемычки JP1 – JP2 для
установки начального
адреса загрузки Secret Net
ROM BIOS Перемычки JP3 – JP4 для
установки адреса порта ввода-
вывода платы
Разъем для подключения
внешнего считывателя
Разъем для подключения
внутреннего считывателя
Рис. 11. Расположение перемычек на плате Secret Net Touch Memory Card
При выборе адреса необходимо соблюдать следующие условия:
• Для предотвращения конфликта адрес не должен совпадать с адресами уже ус-
тановленных в компьютере плат.
• Начальный адрес должен быть установлен таким образом, чтобы, начиная с не-
го, в памяти компьютера имелось не менее 8 Кбайт свободного пространства
для размещения расширения BIOS. Узнать распределение памяти компьютера
можно, например, при помощи программы CHECKIT.EXE.
Табл. 7 - Адреса размещения Secret Net ROM BIOS в памяти компьютера в
зависимости от состояния перемычек
Положение перемычек
Начальный адрес ROM BIOS
JP1 JP2
CA00 П П
CE00 П
DA00 П
DE00
29
Система защиты информации Secret Net. Аппаратные средства
Наличие в таблице символа "П" означает, что перемычка установлена (контакты замкнуты).
Далее установите адрес порта ввода-вывода платы при помощи перемычек JP3 –
JP4. В качестве такого адреса может быть использован один из перечисленных в
Табл. 8. Этот адрес не должен совпадать с адресами портов ввода-вывода, которые
используют другие платы, установленные в компьютере.
Табл. 8. - Адреса порта ввода-вывода в зависимости от состояния перемычек
Положение перемычек
Адрес порта ввода / вывода
JP3 JP4
300 П П
310 П
320 П
330
Наличие в таблице символа "П" означает, что перемычка установлена (контакты замкнуты).
После установки на плате Secret Net Touch Memory Card перемычек JP1 – JP4 вы-
полните следующие действия:
1. Установите на компьютер программное обеспечение Secret Net для ОС Windows
9x/NT/2000 [ 5 - 10 ].
2. Выключите компьютер и откройте корпус системного блока.
3. Выберите свободный слот системной шины ISA и аккуратно вставьте в него плату.
4. В зависимости от использования Secret Net Touch Memory Card с УВИП на базе
Touch Memory (вариант 4 ) или Proximity (вариант 9 ) подключите:
• считыватель Touch Memory к внешнему разъёму платы (вариант 4 );
• или считыватель Proximity к внутреннему разъёму платы (вариант 9 ).
5. Закройте корпус системного блока компьютера.
6. Включите компьютер. Войдите в систему с правами администратора безопасности.
7. В диалоге "Устройства" окна настройки параметров Secret Net установите драйвер:
• для варианта 4 - "Secret Net Touch Memory Card" [ 5 - 10 ];
• для варианта 9 - "Считыватель Secret Net Proximity" [ 5 , 6 , 8 , 9 ].
8. Настройте номер порта:
• для варианта 4 :
• для Secret Net 9x [ 7 , 10 ] или Secret Net NT [ 6 , 9 ] - в диалоге "Уст-
ройства" окна настройки параметров;
• для Secret Net 2000 [ 5 , 8 ] - с помощью средств администрирования
ОС Windows 2000;
• для варианта 9 :
• для Secret Net NT [ 6 , 9 ] - в диалоге "Устройства" окна настройки па-
раметров;
• для Secret Net 2000 [ 5 , 8 ] - с помощью средств администрирования
ОС Windows 2000.
9. Перезагрузите компьютер.
30
Глава 2. Установка аппаратных средств системы Secret Net
Сетевой адаптер с микросхемой Secret Net ROM BIOS
Функционирование сетевого адаптера, оснащённого микросхемой Secret Net ROM
BIOS, поддерживается в сетевом и автономном вариантах Secret Net при защите ком-
пьютеров, работающих под управлением семейства ОС Windows 9x/NT/2000 [ 5 - 10 ].
В системе Secret Net (см. стр. 20) сетевой адаптер используется самостоятельно
(вариант 10 ), совместно с УВИП на базе Touch Memory c COM-считывателем (вари-
ант 5 ) или идентификатором eToken R2 (вариант 7 ).
Установка сетевого адаптера с микросхемой Secret Net ROM BIOS самостоятельно
и совместно с УВИП на базе Touch Memory c COM-считывателем или идентифика-
тором eToken R2 на компьютерах, на которых функционирует сетевой и автономный
вариант Secret Net, осуществляется одинаково.
Для установки сетевого адаптера (вариант 10 ) выполните следующие действия:
1. Установите на компьютер программное обеспечение Secret Net 9x/NT/2000 [ 5 - 10 ].
2. Выключите компьютер и откройте корпус системного блока.
3. Выберите свободный слот системной шины PCI и аккуратно вставьте в него плату.
4. Закройте корпус системного блока компьютера.
5. Подключите сетевой кабель к внешнему разъёму платы.
6. Включите компьютер. Войдите в систему с правами администратора безопасности.
7. В диалоге "Устройства" окна настройки параметров Secret Net установите драй-
вер для устройства "Плата Secret Net ROM BIOS".
8. Перезагрузите компьютер.
Для установки сетевого адаптера совместно с УВИП на базе Touch Memory c COM-
считывателем (вариант 5 ) выполните следующие действия:
1. Установите сетевой адаптер (см. выше).
2. Подключите COM-считыватель Touch Memory к свободному разъёму последова-
тельного порта компьютера.
3. В Secret Net 2000 установите драйвер для COM-считывателя Touch Memory,
расположенный на установочном компакт-диске.
4. Перезагрузите компьютер.
5. В диалоге "Устройства" окна настройки параметров Secret Net установите:
• для Secret Net 9x/NT - драйвер "COM-считыватель Touch Memory" и номер порта;
• для Secret Net 2000 - драйвер "COM-считыватель Touch Memory".
6. Перезагрузите компьютер.
Для установки сетевого адаптера совместно с идентификатором eToken R2 (вари-
ант 7 ) выполните следующие действия:
1. Установите сетевой адаптер (см. выше).
2. Установите драйвер для eToken R2, расположенный на установочном компакт-
диске.
3. Подключите идентификатор eToken R2 к свободному разъёму USB-порта
непосредственно или с помощью удлинителя.
4. В диалоге "Устройства" окна настройки параметров Secret Net установите драй-
вер "USB-считыватель eToken".
5. Перезагрузите компьютер.
31
В системе Secret Net информационная безопасность компьютеров обеспечивается механизмами защиты. Механизм защиты — совокупность настраиваемых программных средств, разграничивающих доступ к информационным ресурсам, а также осуществляющих контроль действий пользователей и регистрацию событий, связанных с информационной безопасностью.
Функции администратора безопасности
Функциональные возможности Secret Net позволяют администратору безопасности решать следующие задачи:
- усилить защиту от несанкционированного входа в систему;
- разграничить доступ пользователей к информационным ресурсам на основе принципов избирательного и полномочного управления доступом и замкнутой программной среды;
- контролировать и предотвращать несанкционированное изменение целостности ресурсов;
- контролировать вывод документов на печать;
- контролировать аппаратную конфигурацию защищаемых компьютеров и предотвращать попытки ее несанкционированного изменения;
- загружать системные журналы для просмотра сведений о событиях, произошедших на защищаемых компьютерах;
- не допускать восстановление информации, содержавшейся в удаленных файлах;
- управлять доступом пользователей к сетевым интерфейсам компьютеров.
Для решения перечисленных и других задач администратор безопасности использует средства системы Secret Net и операционной системы (ОС) Windows.
Основными функциями администратора безопасности являются:
- настройка механизмов защиты, гарантирующая требуемый уровень безопасности ресурсов компьютеров;
- контроль выполняемых пользователями действий с целью предотвращения нарушений информационной безопасности.
Параметры механизмов защиты и средства управления
Параметры механизмов защиты Secret Net в зависимости от места их хранения в системе и способа доступа к ним можно разделить на следующие группы:
- параметры объектов групповой политики;
- параметры пользователей;
- атрибуты ресурсов;
- параметры механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Описание параметров объектов групповой политики
К общим параметрам безопасности ОС Windows добавляются параметры Secret Net. Эти параметры применяются на компьютере средствами групповых политик и действуют в рамках локальной политики безопасности. В системе Secret Net предусмотрены возможности настройки параметров групповых политик в стандартных оснастках ОС Windows и в программе оперативного управления.
В стандартных оснастках ОС Windows параметры Secret Net представлены в узле «Параметры безопасности» иерархии узлов групповой политики.
Для просмотра и изменения параметров в стандартных оснастках ОС Windows:
- Вызовите оснастку «Локальная политика безопасности», нажать кнопку «Пуск» и в меню вызова программ выбрать команду «Код Безопасности | Secret Net | Локальная политика безопасности»
- Перейдите к разделу » Параметры безопасности | Параметры Secret Net».
По умолчанию раздел «Параметры Secret Net» содержит следующие группы параметров:
| Группа | Назначение |
| Настройки подсистем | Управление режимами работы механизма защиты входа в систему.
Управление режимами работы механизмов полномочного управления доступом и контроля печати. Настройка параметров хранения локального журнала Secret Net. Управление механизмом затирания удаляемой информации. Управление механизмом теневого копирования. Управление перенаправлением локальных устройств и ресурсов для терминальных подключений. Управление режимом локального оповещения о событиях НСД. |
| Ключи пользователя | Настройка параметров ключей для усиленной аутентификации пользователей.
Управление привилегиями пользователей в системе Secret Net: • для работы с локальным журналом Secret Net; • для работы в условиях замкнутой программной среды; • для изменения прав доступа к каталогам и файлам в механизме дискреционного управления доступом. |
| Регистрация
событий |
Настройка перечня событий, регистрируемых системой Secret Net. |
| Устройства | Управление параметрами контроля подключения и изменения
устройств и правами доступа к устройствам. |
| Принтеры | Управление параметрами использования принтеров |
Параметры настройки системы могут быть сгруппированы по принадлежности к защитным механизмам. Переключение режима группировки параметров осуществляется с помощью специальных кнопок панели инструментов или команд в меню «Вид» («По группам» и «По подсистемам»).
Для настройки параметров объектов политик безопасности:
- Вызовите оснастку для управления параметрами объектов групповой политики и перейдите к разделу «Параметры безопасности | Параметры Secret Net».
- Выберите папку «Настройки подсистем».
- Вызовите контекстное меню для нужного параметра (см. таблицу ниже) и выберите в нем команду «Свойства».
На экране появится диалог настройки параметра.
Настройте параметры безопасности согласно приведенной таблице:
| Политика | Параметр безопасности |
| Администрирование: локальное оповещение об НСД | включено |
| Вход в систему: Запрет вторичного входа в систему | отключен |
| Вход в систему: количество неудачных попыток аутентификации | 5 |
| Вход в систему: Максимальный период неактивности до блокировки экрана | 10 минут |
| Реакция на изъятие идентификатора | нет |
| Вход в систему: Режим аутентификации пользователя | стандартная аутентификация |
| Вход в систему: Режим идентификации пользователя | смешанный |
| Журнал: максимальный размер журнала системы защиты | 4096 кБ |
| Журнал: политика перезаписи событий | затирать при необходимости |
| Затирание данных: Количество циклов затирания конфиденциальной информации | 3 |
| Затирание данных: Количество циклов затирания на локальных дисках | 3 |
| Затирание данных: затирания на сменных носителях | 3 |
| Контроль печати: Маркировка документов | стандартная обработка |
| Контроль печати: Перенаправление принтеров в RDP-подключениях | запрещено |
| Контроль печати: теневое копирование | определяется настройками принтера |
| Контроль приложений: Режим аудита | аудит пользовательских приложений |
| Контроль устройств: Перенаправление устройств в rdp-подключениях | запрещено |
| Контроль устройств: Теневое копирование | определяется настройками устройства |
| Полномочное управление доступом: названия уровней конфиденциальности | Неконфиденциально, Конфиденциально, Строго конфиденциально |
| Полномочное управление доступом: режим работы | контроль потоков отключен |
| Теневое копирование: Размер хранилища | Размер 20%, автоматическая перезапись отключена |
Для настройки событий, регистрируемых в журнале:
- Вызвать оснастку для управления параметрами объектов групповой политики и перейдите к разделу «Параметры безопасности | Параметры Secret Net».
- Выбрать раздел «Регистрация событий».
В правой части окна появится список регистрируемых событий.
- В списке событий выбрать элемент с именем события, для которого необходимо изменить режим регистрации, и вызвать диалог настройки параметра.
- Установить отметку в поле «отключена» (чтобы событие не регистрировалось в журнале) или «включена» (чтобы включить регистрацию) и нажмите кнопку «ОК».
- Настроить события согласно таблице:
| Политика | Параметр безопасности |
| Общие события: Событие | включена |
| Общие события: Несанкционированное действие | включена |
| Общие события: Ошибка | включена |
| Общие события: Предупреждение | включена |
| Общие события: Информационное событие | включена |
| Администрирование: Добавлен пользователь | включена |
| Администрирование: Удален пользователь | включена |
| Администрирование: Изменены параметры пользователя | включена |
| Администрирование: Изменен ключ пользователя | включена |
| Администрирование: Изменены параметры действующей политики безопасности | включена |
| Вход/выход: Вход пользователя в систему | включена |
| Вход/выход: Завершение работы пользователя | включена |
| Вход/выход: Запрет входа пользователя | включена |
| Вход/выход: Идентификатор не зарегистрирован | отключена |
| Вход/выход: Пользователь приостановил сеанс работы на компьютере | включена |
| Вход/выход: Пользователь возобновил сеанс работы на компьютере | включена |
| Вход/выход: Компьютер заблокирован системой защиты | включена |
| Вход/выход: Компьютер разблокирован | включена |
| Служба репликации: Ошибка создания контекста пользователя | включена |
| Вход/выход: Пароль пользователя не соответствует требованиям безопасности | включена |
| Администрирование: Изменен пароль пользователя | включена |
| Контроль целостности: Начало обработки задания на контроль целостности | включена |
| Контроль целостности: Успешное завершение задания на контроль целостности | включена |
| Контроль целостности: Обнаружено нарушение целостности при обработке задания | включена |
| Контроль целостности: Ресурс восстановлен по эталонному значению | включена |
| Контроль целостности: Успешная проверка целостности ресурса | включена |
| Контроль целостности: Нарушение целостности ресурса | включена |
| Контроль целостности: Для ресурса отсутствует эталонное значение | включена |
| Контроль целостности: Удаление устаревших эталонных значений | включена |
| Контроль целостности: Текущее значения ресурса принято в качестве эталонного | включена |
| Контроль целостности: Ошибка при восстановлении ресурса по эталонному значению | включена |
| Контроль целостности: Ошибка при открытии базы данных контроля целостности | включена |
| Контроль целостности: Ошибка при принятии текущего значения ресурса в качестве эталонного | включена |
| Контроль целостности: Установка задания КЦ на контроль | включена |
| Контроль целостности: Снятие задания КЦ с контроля | включена |
| Контроль целостности: Создание задания | включена |
| Контроль целостности: Удаление задания | включена |
| Контроль целостности: Изменение задания | включена |
| Вход/выход: Ошибка выполнения функционального контроля | включена |
| Администрирование: Удален ключ пользователя | включена |
| Вход/выход: Успешное завершение функционального контроля | включена |
| Сеть: Запрет сетевого подключения под другим именем | включена |
| Администрирование: Включена защитная подсистема | включена |
| Администрирование: Отключена защитная подсистема | включена |
| Администрирование: Установлена защита для диска | включена |
| Администрирование: Отключена защита для диска | включена |
| Контроль приложений: Запуск процесса | включена |
| Контроль приложений: Завершение процесса | включена |
| Вход/выход: Система защиты инициировала блокировку сессии пользователя | включена |
| Trust Access: Ошибка синхронизации учетной информации с Trust Access | отключена |
| Trust Access: Синхронизация учетной информации с Trust Access | отключена |
| Дискреционное управление доступом: Запрет доступа к файлу или каталогу | включена |
| Дискреционное управление доступом: Изменение прав доступа | включена |
| Замкнутая программная среда: Запрет запуска программы | отключена |
| Замкнутая программная среда: Запуск программы | отключена |
| Замкнутая программная среда: Запрет загрузки библиотеки | отключена |
| Замкнутая программная среда: Загрузка библиотеки | отключена |
| Контроль целостности: Добавление учетной записи к заданию ЗПС | включена |
| Контроль целостности: Удаление учетной записи из задания ЗПС | включена |
| Полномочное управление доступом: Вывод конфиденциальной информации на внешний носитель | отключена |
| Полномочное управление доступом: Запрет вывода конфиденциальной информации на внешний носитель | отключена |
| Замкнутая программная среда: Исполнение скрипта | отключена |
| Замкнутая программная среда: Запрет исполнения неизвестного скрипта | отключена |
| Контроль печати: Печать документа | отключена |
| Контроль печати: Запрет прямого обращения к принтеру | отключена |
| Полномочное управление доступом: Удаление конфиденциального ресурса | отключена |
| Полномочное управление доступом: Перемещение конфиденциального ресурса | отключена |
| Полномочное управление доступом: Конфликт категорий конфиденциальности | отключена |
| Полномочное управление доступом: Запрет перемещения конфиденциального ресурса | отключена |
| Полномочное управление доступом: Изменение параметров конфиденциальности ресурса | отключена |
| Полномочное управление доступом: Запрет изменения параметров конфиденциальности ресурса | отключена |
| Полномочное управление доступом: Доступ к конфиденциальному ресурсу | отключена |
| Полномочное управление доступом: Запрет доступа к конфиденциальному ресурсу | отключена |
| Полномочное управление доступом: Использование механизма исключений | отключена |
| Контроль печати: Начало печати документа | отключена |
| Контроль печати: Успешное завершение печати документа | отключена |
| Контроль печати: Ошибка при печати документа | отключена |
| Контроль печати: Начало печати экземпляра документа | отключена |
| Контроль печати: Успешное завершение печати экземпляра документа | отключена |
| Контроль печати: Ошибка при печати экземпляра документа | отключена |
| Контроль печати: Запрет печати документа | отключена |
| Контроль печати: Сохранение копии напечатанного документа | отключена |
| Контроль конфигурации: Успешное завершение контроля аппаратной конфигурации | включена |
| Контроль конфигурации: Обнаружены изменения в процессе контроля аппаратной конфигурации | включена |
| Контроль конфигурации: Обнаружено новое устройство | включена |
| Контроль конфигурации: Устройство удалено из системы | включена |
| Контроль конфигурации: Изменены параметры устройства | включена |
| Контроль конфигурации: Утверждение аппаратной конфигурации компьютера | включена |
| Разграничение доступа к устройствам: Подключение устройства | включена |
| Разграничение доступа к устройствам: Отключение устройства | включена |
| Разграничение доступа к устройствам: Запрет подключения устройства | включена |
| Разграничение доступа к устройствам: Несанкционированное отключение устройства | включена |
| Разграничение доступа к устройствам: Доступ к устройству | включена |
| Разграничение доступа к устройствам: Запрет доступа к устройству | включена |
| Контроль конфигурации: Переход в спящий режим | включена |
| Контроль конфигурации: Выход из спящего режима | включена |
| Теневое копирование: Начата запись на сменный диск | включена |
| Теневое копирование: Завершена запись на сменный диск | включена |
| Теневое копирование: Ошибка записи на сменный диск | включена |
| Теневое копирование: Запрет записи на сменный диск | включена |
| Теневое копирование: Начата запись образа CD/DVD/BD | включена |
| Теневое копирование: Завершена запись образа CD/DVD/BD | включена |
| Теневое копирование: Ошибка записи образа CD/DVD/BD | включена |
| Теневое копирование: Запрет записи образа CD/DVD/BD | включена |
| Контроль целостности: Исправление ошибок в базе данных | включена |
| Контроль целостности: Создание задачи | включена |
| Контроль целостности: Удаление задачи | включена |
| Контроль целостности: Изменение задачи | включена |
| Контроль целостности: Ошибка при расчете эталона | включена |
| Контроль целостности: Создание группы ресурсов | включена |
| Контроль целостности: Удаление группы ресурсов | включена |
| Контроль целостности: Изменение группы ресурсов | включена |
| Дискреционное управление доступом: Доступ к файлу или каталогу | включена |
Вход в систему в административном режиме
При штатном функционировании системы Secret Net вход любого пользователя компьютера, включая администратора, должен выполняться по одинаковым правилам, установленным соответствующими механизмами защиты. Во время загрузки компьютера перед входом пользователя система защиты проводит инициализацию компонентов и их функциональный контроль. После успешного проведения всех проверок вход в систему разрешается.
В тех случаях, когда необходимо получить доступ к компьютеру в обход действующих механизмов или прервать выполнение инициализации компонентов, администратор может активировать специальный административный режим входа. Применение административного режима входа может потребоваться, при повторяющихся ошибках функционального контроля, приводящих к длительному ожиданию инициализации компонентов.
Примечание.
Административный режим входа следует использовать только в крайних случаях для восстановления нормального функционирования системы. Выполнив вход в административном режиме, устраните возникшую проблему и перезагрузите компьютер.
Для входа в систему в административном режиме:
- Перезагрузите компьютер.
- Во время загрузки компьютера при появлении сообщений об инициализации системных сервисов Secret Net нажмите клавишу <Esc>. Удерживайте клавишу или периодически нажимайте ее до появления экрана приветствия (приглашение на вход в систему).
- Выполните стандартные действия процедуры входа в систему.
Настройки параметров Secret Net, разделов: «Ключи пользователя», «Привилегии», «Регистрация событий», «Устройства», «Принтеры» — не требуют дополнительного конфигурирования.
Описание и настройка параметров пользователей
Параметры пользователей используются механизмами защиты входа и полномочного управления доступом. Параметры применяются при входе пользователя в систему после выполнения процедуры идентификации и аутентификации. Параметры доменных и локальных пользователей хранятся в локальной базе данных компьютера.
Примечание.
При копировании объектов «Пользователь» параметры Secret Net не копируются.
Настройка параметров пользователей осуществляется в стандартной оснастке ОС Windows «Управление компьютером».
Для просмотра и изменения параметров в стандартных оснастках ОС Windows:
- Вызовите оснастку «Локальная политика безопасности», нажмите кнопку «Пуск» и в меню вызова программ выбрать команду «Код Безопасности | Secret Net | Управление компьютером | Локальные пользователи и группы | Пользователи».
- Выберите раздел или организационное подразделение, в котором находится нужный пользователь.
В правой части окна появится список пользователей.
- Вызовите окно настройки свойств пользователя и перейдите к диалогу «Secret Net 7».
В левой части диалога расположена панель выбора групп параметров. Средства для настройки представлены в правой части диалога. Для перехода к нужной группе параметров выберите на панели соответствующую пиктограмму:
- «Идентификатор» — содержит средства управления персональными идентификаторами пользователя;
- «Криптоключ» — содержит средства управления ключами для усиленной аутентификации пользователя;
- «Доступ» — содержит средства управления параметрами полномочного доступа и входа в систему;
- «ПАК «Соболь»» — содержит средства управления доступом пользователя к компьютерам с установленными комплексами «Соболь». Группа присутствует только для доменных пользователей в сетевом режиме функционирования;
- «Сервис» — содержит средства управления ключами централизованного управления ПАК «Соболь» и интеграцией системы Secret Net с программным средством TrustAccess.
В текущей конфигурации ИС — настройки параметров Secret Net, разделов: «Идентификатор», «Криптоключ», «Доступ», «ПАК «Соболь» — не требуют дополнительного конфигурирования.
Атрибуты ресурсов
Параметры, относящиеся к атрибутам ресурсов файловой системы (файлов и каталогов), используются в механизмах управления доступом. Управление параметрами осуществляется с помощью расширения программы «Проводник».
Параметры настроек атрибутов ресурсов достаточны и не требуют дополнительных процедур настройки.
Описание механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Механизм контроля целостности (КЦ) предназначен для слежения за неизменностью содержимого ресурсов компьютера. Действие этого механизма основано на сравнении текущих значений контролируемых параметров проверяемых ресурсов и значений, принятых за эталон. Эталонные значения контролируемых параметров определяются или рассчитываются при настройке механизма. В процессе контроля при обнаружении несоответствия текущих и эталонных значений система оповещает администратора о нарушении целостности ресурсов и выполняет заданное при настройке действие, например, блокирует компьютер, на котором нарушение обнаружено.
Механизм замкнутой программной среды (ЗПС) предназначен для ограничения использования ПО на компьютере. Доступ разрешается только к тем программам, которые необходимы пользователям для работы. Для каждого пользователя определяется перечень ресурсов, в который входят разрешенные для запуска программы, библиотеки и сценарии. Попытки запуска других ресурсов блокируются, и в журнале безопасности регистрируются события несанкционированного доступа (НСД).
Настройка механизмов контроля целостности (КЦ) и замкнутой программной среды (ЗПС).
Для работы с программой управления КЦ-ЗПС пользователь должен входить в локальную группу администраторов компьютера.
Параметры механизмов контроля целостности и замкнутой программной среды настраиваются в программе «Контроль программ и данных», входящая в состав клиентского ПО системы Secret Net.
Для запуска программы нажмите кнопку «Пуск» и в меню вызова программ выберите команду «Код Безопасности | Secret Net | Контроль программ и данных».
В общем случае порядок настройки сводиться к выполнению следующих этапов:
- Подготовка к построению модели данных: проводится анализ размещения ПО и данных на защищаемых компьютерах. Разрабатываются требования к настройке механизмов КЦ и ЗПС. Осуществляется подготовка рабочего места для проведения настройки;
- Построение фрагмента модели данных по умолчанию: этап выполняется при формировании новой модели с нуля. В модель данных автоматически добавляются описания ресурсов для важных ресурсов ОС Windows, а также описания ресурсов некоторых прикладных программ.
- Добавление задач в модель данных: в модель данных добавляются описания задач (прикладное и системное ПО, наборы файлов данных и т. д.) для контроля целостности и использования в ЗПС в соответствии с требованиями, разработанными на
- Добавление заданий и включение в них задач: в модель данных добавляются все необходимые задания КЦ, ЗПС и ПАК «Соболь» и в них включаются задачи.
- Подготовка ЗПС к использованию: субъектам назначаются задания ЗПС. Для того чтобы ресурсы контролировались механизмом ЗПС, они должны быть специально подготовлены — иметь признак «выполняемый».
- Расчет эталонов: для всех заданий рассчитываются эталоны ресурсов
- Включение ЗПС в жестком режиме: включается жесткий режим ЗПС. В жестком режиме разрешается запуск только разрешенных программ, библиотек и сценариев. Запуск других ресурсов блокируется, а в журнале Secret Net регистрируются события НСД
- Включение механизма КЦ: устанавливаются связи заданий контроля целостности с субъектами «Компьютер» или «Группа» (компьютеров). С этого момента механизм КЦ начинает действовать в штатном режиме
- Проверка заданий: перед началом эксплуатации механизма КЦ можно выполнить проверку корректности настроек заданий. Проверка заключается в немедленном выполнении задания независимо от расписания.
Программа управления «Контроль программ и данных», располагает как автоматическими, так и ручными средствами формирования элементов модели данных. Ручные методы можно использовать на любом уровне модели для формирования и модификации объектов и связей. Автоматические методы предпочтительнее при работе с большим количеством объектов, однако они требуют более тщательного контроля результатов.
Во время установки клиентского ПО системы Secret Net автоматически формируется локальная модель данных, в которую добавляются следующие задания:
- «Задание для контроля ресурсов Secret Net»;
- «Задание для контроля реестра Windows»;
- «Задание для контроля файлов Windows».
Задания включают готовые задачи с ресурсами, сформированными по предопределенному списку. Для этих заданий устанавливаются связи с субъектом «Компьютер»;
В текущей конфигурации автоматизированной системы — параметры, субъекты и задания механизмов контроля целостности и замкнутой программной среды, выставленные в автоматическом режиме достаточны и не требуют дополнительных процедур настройки.
Более детально порядок и правила администрирования и управления средством защиты информации Secret Net представлены в документации, входящей в состав комплекта поставки