Защита от нсд страж. Совместимость с SIEM-системой «Комрад». Подсистема учёта носителей информации

Приветствую уважаемых хабравчан.
На Хабрахабре достаточно редки упоминания средств защиты информации (СЗИ) от несанкционированного доступа (НСД), если верить поиску. Например, по запросу Dallas я получил 26 топиков и 2 вопроса, из всего этого только один топик упоминал именно СЗИ от НСД Dallas Lock питерской фирмы ООО «КОНФИДЕНТ» . По другим средствам картина похожая. В данном посте я бы хотел поделиться опытом применения таких средств и наиболее частым ошибкам/непониманиям при работе с ними.

Основные инструменты

В нашей компании клиентам предлагается три варианта программно-аппаратных средств защиты информации:

• Secret Net от компании «Код безопасности»
• Ранее упомянутый Dallas Lock

Все продукты примерно равны по характеристикам (особенно с появлением в версии 7.7 Dallas Lock"а контроля USB-устройств), вопрос о применении конкретного средства решается либо на основе возможности установки в целевую систему, либо на основе уровня взаимоотношений с поставщиками.

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма - Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock - вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение

Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто - фаворитом является Secret Net, за весьма удобную, простую и понятную настройку - полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT - настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится - не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net"а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы

Secret Net

Фаворит - он везде фаворит

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ - все папки создаются в файловой системе всегда несекретными, а файлы - с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:

Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна - не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net - в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии - для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.

Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:

В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое - вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется - за это отвечают выделенные два параметра, выставленные в «жесткий»:

Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию - часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:

И напоследок - небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра - MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT

Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа - это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock

Как и в случае Стража, ошибок крайне мало - не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей - для Dallas Lock"а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом - а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

Послесловие

Надеюсь данный пост окажется полезным для сообщества или просто познавательным. Спасибо за внимание!

Система защиты информации «Страж NT» (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа в многопользовательских автоматизированных системах на базе персональных ЭВМ, функционирующих под управлением 32-х разрядных операционных систем семейства Microsoft : Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 .

СЗИ «Страж NT» (версия 3.0) может применяться как на автономных рабочих местах, так и на рабочих станциях и серверах в составе локальной вычислительной сети. Отсутствие аппаратной составляющей позволяет применять СЗИ на компьютерах недесктопного исполнения (ноутбуки, сервера, промышленные компьютеры).

Функционал

В СЗИ «Страж NT» (версия 3.0) реализованы следующие подсистемы и защитные механизмы:

• Строгая двухфакторная аутентификация до загрузки операционной системы с использованием аппаратных идентификаторов. -Дискреционный и мандатный принципы разграничения доступа пользователей к ресурсам системы.
• Замкнутая программная среда для пользователей.
• Регистрация событий, в том числе и действий администратора.
• Маркировка печатных документов, независимо от приложения, выдающего их на печать.
• Гарантированное стирание освобождаемой оперативной памяти и удаляемых ресурсов системы.
• Контроль целостности критических ресурсов системы и компонентов системы защиты.
  - Управление пользователями.
• Управление носителями информации.
• Преобразование информации на отчуждаемых носителях.
• Управление устройствами.
• Тестирование механизмов системы защиты.

Сертификат

СЗИ «Страж NT» (версия 3.0) имеет сертификат ФСТЭК России , который позволяет использовать ее при создании автоматизированных систем до класса защищенности 1Б включительно и для защиты информации в ИСПДн до 1 класса включительно.

Обновленный 64-х разрядный релиз СЗИ «Страж NT» прошел летом 2012 года инспекционный контроль ФСТЭК России, подтвердивший соответствие СЗИ выданному ранее сертификату №2145. В обновленном релизе СЗИ «Страж NT» добавлена поддержка 64-х разрядных операционных систем Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2.

Приобретение

Официальный дистрибьютор линейки продуктов Страж NT - компания "РУБИНТЕХ "

2018: Совместимость с продуктами JaCarta

2017: Совместимость с SIEM-системой «Комрад»

2016: Совместимость с электронными идентификаторами Рутокен

8 сентября 2016 года компании «Актив» и «РУБИНТЕХ » сообщили о тестировании на совместимость системы защиты информации Страж NT версии 4.0 и электронных идентификаторов Рутокен . Испытания подтвердили совместимость.

СЗИ от НСД Страж NТ версии 4.0 - программный комплекс средств защиты информации с использованием аппаратных идентификаторов. СЗИ Страж NТ предназначена для комплексной защиты информационных ресурсов от несанкционированного доступа и функционирует в среде 32-х и 64-разрядных операционных систем Microsoft до Windows 10 включительно.

Сертификат ФСТЭК России №3553 подтверждает - программное средство защиты информации от несанкционированного доступа Страж NТ (версия 4.0) соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.

Согласно заявлению компаний, в ходе испытаний пара Рутокен S и СЗИ Страж NT 4.0 показала высокую надежность и стабильность работы, что обеспечивает двухфакторную аутентификацию и защиту данных. Устройства

СЗИ от НСД Страж NТ (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн). СЗИ от НСД Страж NТ (версия 3.0) функционирует в среде 32-разрядных операционных систем MS Windows 2000 (Server и Professional), MS Windows XP (Professional и Home Edition), MS Windows Server 2003, MS Windows Vista, MS Windows Server 2008, MS Windows 7 и устанавливается как на автономных рабочих местах, так и на рабочих станциях и серверах локальной вычислительной сети.

СЗИ от НСД Страж NT (версия 3.0) имеет сертификат ФСТЭК России №2145, который удостоверяет, что система защиты информации является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.

Имеющийся сертификат позволяет использовать СЗИ от НСД Страж NТ (версия 3.0) при создании АС класса защищенности до 1Б включительно и для защиты информации в ИСПДн до 1 класса включительно.

Основные отличия от предыдущих версий:

Поддержка современных операционных систем компании Microsoft

СЗИ от НСД Страж NТ (версия 3.0) может устанавливаться на автономных рабочих станциях, рабочих станциях в составе рабочей группы или домена, серверах, в том числе в составе кластера. СЗИ от НСД Страж NТ (версия 3.0) может функционировать на одно- и многопроцессорных компьютерных системах на базе архитектуры x86 под управлением 32-хразрядных операционных систем Windows Vista, Windows Server 2008, Windows 7.

Подсистема контроля устройств

Возможность контроля устройств, подключенных к компьютеру путём задания дескрипторов безопасности для групп однотипных устройств.

Подсистема преобразования информации на отчуждаемых носителях

Дополнительный механизм защиты съемных носителей (дискет и флэш-накопителей) путем прозрачного преобразования всей информации, записываемой на носитель. Преобразование информации осуществляется с применением функции гаммирования с обратной связью алгоритма криптографического преобразования ГОСТ 28147-89.

Подсистема создания и применения шаблонов настроек

Новый механизм, предназначенный для облегчения настройки СЗИ. Механизм позволяет создавать списки настроек и свободно тиражировать их на другие компьютеры.

Поддержка в качестве персональных идентификаторов USB-ключей Rutoken и флэш-накопителей

Помимо уже используемых ранее гибких магнитных дисков, идентификаторов iButton, USB-ключей eToken и Guardant ID, в новой версии реализована поддержка ключей Rutoken. Дополнительно реализована возможность использования в качестве идентификаторов пользователей флэш-накопителей.

Подсистема учёта носителей информации

Полностью переработана подсистема работы с носителями информации. В новой версии существует возможность регистрировать как отчуждаемые носители, так и отдельные тома жестких дисков.

Подсистема регистрации

Все события СЗИ доступны для просмотра из одной программы. Усовершенствованы функции сортировки и поиска отдельных событий СЗИ.

Подсистема маркировки и учёта документов, выдаваемых на печать

Новая программа настройки маркировки документов позволяет более гибко задавать состав и порядок служебной информации, выводимой на печать.

Подсистема управления пользователями

Добавлены новые функции работы с идентификаторами и возможность редактировать пользователей на удалённых рабочих станциях.

Подсистема настройки системы защиты

Настройка системы защиты реализована в виде единого центра настройки.