Все продукты примерно равны по характеристикам (особенно с появлением в версии 7.7 Dallas Lock’а контроля USB-устройств), вопрос о применении конкретного средства решается либо на основе возможности установки в целевую систему, либо на основе уровня взаимоотношений с поставщиками. Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна. Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».
Применение
Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики. В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net’а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.
Проблемы
Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство спасет отца русской демократии поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя. Начнем.
Secret Net
Фаворит — он везде фаворит Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке: Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке. Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало: В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»: Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут: И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLMSystemCurrentControlSetServicesSNMC5xxParams (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.
Страж NT
Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты. Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки. Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.
Dallas Lock
Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора. Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock’а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock». Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП. Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.
Послесловие
Надеюсь данный пост окажется полезным для сообщества или просто познавательным. Спасибо за внимание!Secret NetВозможностиАрхитектураДокументацияСистемные требованияСертификатыДокументация Secret NetВ реестре российского ПОАктуальная сертифицированная версия продукта: 7.7.635Рассчитать стоимостьПочитать в Базе знанийВсе материалы<center></center>
Представленные здесь документы входят в комплект поставки изделия. На них распространяются все условия лицензионного соглашения. Без специального письменного разрешения компании «Код Безопасности» эти документы или их части в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью.
Информация, содержащаяся в этих документах, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании-разработчика.
Версия Secret Net 7 (пакет обновлений 7)
ReleaseNotes.pdf — Данный документ содержит описание новых возможностей СЗИ Secret Net 7 версии 7.7.635.0 по сравнению с версиями 7.6.604.0, 7.5.586.0, 7.4.577.0, 7.3.562.0, 7.2.515.0, 7.0.460.16, 7.0.460.0 и 6.5.333.53, а также особенностей и ограничений, которые необходимо учитывать при эксплуатации системы.
Дополнительные инструкции для Secret Net 7
Инструкция по настройке механизма замкнутой программной средыДанный документ содержит развернутое описание последовательности действий для настройки использования механизма замкнутой программной среды средства защиты информации Secret Net версий 5.х, 6.х и 7.х. | |
Инструкция по локальному обновлению клиента Secret NetДанный документ содержит развернутое описание последовательности действий для локального обновления клиента СЗИ Secret Net на версию 7.7. Рассматриваются варианты обновления клиента в автономном и сетевом режимах функционирования. | |
Инструкция для автоматической установки клиентского ПОДанный документ содержит развернутое описание последовательности действий для выполнения и контроля автоматической установки или обновления клиента «Secret Net 7» на компьютерах. | |
Инструкция по обновлению на Secret Net 7Данный документ содержит описание последовательности действий для автоматизации и контроля процесса установки ПО Secret Net текущей версии с обновлением с предыдущих версий. | |
Инструкция по делегированию административных полномочийДанный документ содержит развернутое описание последовательности действий для делегирования административных полномочий на управление СЗИ Secret Net 7 в сетевом режиме функционирования. | |
Инструкция к СУБД OracleДанный документ содержит описание основных особенностей установки, настройки и проверки функционирования сервера СУБД Oracle при совместном использовании с сервером безопасности СЗИ Secret Net 7. | |
Инструкция по проверке функций СЗИДанный документ содержит общий перечень действий для тестирования функций разграничения доступа к информации, обрабатываемой с использованием средства защиты информации Secret Net 7. | |
Сведения о вспомогательных утилитахДанный документ содержит общие описания вспомогательных утилит и файлов настройки (далее — вспомогательные средства) для выполнения специфических действий в СЗИ Secret Net 7. |
Документация Secret Net 7
Руководство администратора. Принципы построенияВ руководстве содержатся сведения об общих принципах построения и функционирования системы Secret Net 7. | |
Руководство администратора. Установка, обновление и удалениеВ руководстве содержатся сведения, необходимые администраторам для развертывания системы, ее обновления, исправления и удаления. | |
Руководство администратора. Локальная работа с журналами регистрации | |
Руководство администратора. Работа с программой оперативного управленияВ руководстве содержатся сведения, необходимые для работы с компонентом «Secret Net 7 — Программа управления». | |
Руководство администратора. Настройка механизмов защитыВ руководстве содержатся сведения, необходимые администраторам для настройки и управления основными механизмами защиты. | |
Руководство пользователяВ руководстве содержатся сведения, необходимые пользователю для работы с системой Secret Net 7, установленной на компьютере. | |
Сведения о совместимости с другими программными средствамиДанный документ содержит сведения о совместимости СЗИ Secret Net 7 версии 7.7.635.0 с некоторыми другими программными средствами при совместном функционировании. |
Купить Secret NetСпросить на форумеОбратиться в техподдержкуНовостиВсе новости по продуктуМатериалыСертификат совместимости электронных идентификаторов Рутокен и Secret Net 7.7Скачать | 547.85 kbЛистовка Secret NetСкачать | 1.23 mbСертификат совместимости JaCarta – Secret Net 7Скачать | 586.31 kbВсе материалыПредставлением вашему вниманию подборку видео уроков по настройке СЗИ от НСД SecretNet отечественного разработка SecurityCode (Код Безопасности). СЗИ имеет все необходимые сертификаты ФСТЭК, подтверждающие соответствие РД по 2 уровню контроля на отсутствие НДВ и 3 классу защищенности по СВТ, что позволяет использовать СЗИ в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.ВведениеSecret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:
- №152-ФЗ («О персональных данных»);
- №98-ФЗ («О коммерческой тайне»);
- №5485-1-ФЗ («О государственной тайне»);
- СТО БР ИББС (Стандарт Банка России).
Возможности СЗИ
- Аутентификация пользователей.
- Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.
- Доверенная информационная среда.
- Контроль утечек и каналов распространения конфиденциальной информации.
- Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.
- Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности.
- Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.
- Защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).
Варианты развертывания Secret Net
- Автономный режим – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.
- Сетевой режим (с централизованным управлением) – предназначен для развертывания в доменной сети c Active Directory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант Secret Net может быть успешно развернут в сложной доменной сети (domain tree/forest).
АрхитектураКомпоненты Secret Net 7 (сетевой режим):
- Secret Net 7 – Клиент;
- Secret Net 7 – Сервер безопасности;
- Secret Net 7 – Программа управления.
Клиент Secret Net 7 устанавливается на всех защищаемых компьютерах. Он следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на сервер безопасности, а также прием от него оперативных команд и их выполнение.Сервер безопасности является основным элементом в сетевой структуре системы Secret Net 7. Этот компонент обеспечивает взаимодействие объектов управления, реализует функции контроля и управления, а также осуществляет обработку, хранение и передачу информации.Программа оперативного управления («Монитор») В состав СЗИ Secret Net 7 включена программа оперативного управления, заменяющая средства оперативного управления предыдущих версий СЗИ.Программа оперативного управления предназначена для конфигурирования сетевой структуры, централизованного управления защищаемыми компьютерами и для работы с записями журналов, поступивших на хранение в базу данных сервера безопасности. Программа устанавливается на рабочих местах администраторов. При работе программа взаимодействует с сервером безопасности, который обрабатывает все управляющие команды администратора.Дополнительно может использоваться и лицензироваться модуль блокировки НСД к жесткому диску, который осуществляет сокрытие данных на диске при загрузке компьютера с внешних носителей. Ранее приобретенная лицензия на СЗИ Security Studio 6 – Trusted Boot Loader может использоваться для активации этого механизма в Secret Net 7.Список видео уроков:1. Установка и настройка клиента. Вариант №12. Установка контроллера домена и Oracle для Сервера безопасности Secret Net3. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ в БД AD4. Настройка замкнутой программной среды5. Настройка механизма контроля целостности6. Установка сервера безопасности Secret Net 7 с размещением хранилища объектов ЦУ вне БД AD7. Программа локального конфигурирования8. Управление персональными идентификаторами. Защита входа в систему9. Режимы механизма защиты входа в систему10.Устновка сервера безопасности с SQL Server 2012 R211.Вход в систему в административном режиме12 Удаление домена безопасности и всех компонентов13.Установка SQL Server 2012 Standart для работы с SN7.414.Изменение учетных данных для подключения СБ к серверу СУБД15.Управление ключами для усиленной аутентификации.16.Установка и настройка ПО Rutoken17.Разрешение разового входа при усиленной аутентификации по паролю.18.Идентификация и аутентификация * Secret Net 7 * приказ № 1719. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 1-Два сервера безопасности 20. Отказоустойчивость серверов безопасности Secret Net 7 * Часть 2 — Резервная копия
Документация к версии – Secret Net 7
Руководство администратора. Принципы построенияВ руководстве содержатся сведения об общих принципах построения и функционирования системы Secret Net 7.Secret_Net_Admin_Guide_Construction_Principles.pdf | |
Руководство администратора. Установка, обновление и удалениеВ руководстве содержатся сведения, необходимые администраторам для развертывания системы, ее обновления, исправления и удаления.Secret_Net_Admin_Guide_Install.pdf | |
Руководство администратора.Локальная работа с журналами регистрацииSecret_Net_Admin_Guide_Local_Audit.pdf | |
Руководство администратора.Работа с программой оперативного управленияВ руководстве содержатся сведения, необходимые для работы с компонентом «Secret Net 7 — Программа управления».Secret_Net_Admin_Guide_Operative_Management_Program.pdf | |
Руководство администратора. Настройка механизмов защитыВ руководстве содержатся сведения, необходимые администраторам для настройки и управления основными механизмами защиты.Secret_Net_Admin_Guide_Security_Settings.pdf | |
Руководство пользователяВ руководстве содержатся сведения, необходимые пользователю для работы с системой Secret Net 7, установленной на компьютере.Secret_Net_User_Guide.pdf | |
Сведения о совместимости с другими программными средствамиДанный документ содержит сведения о совместимости СЗИ Secret Net 7 версии 7.6.604.0 с некоторыми другими программными средствами при совместном функционировании. |
Используемые источники:
- https://habr.com/post/134861/
- https://www.securitycode.ru/products/secret_net/documentation/
- https://ipiskunov.blogspot.com/2016/02/secretnet-7.html