SlideShare a Scribd company logo

Коваленко Дарья - Линейка Secret Disk - webinar

Download as PPT, PDF
Daria Kovalenko
Daria Kovalenko

Презентация посвящена линейки продуктов Secret Disk, предназначенных для защиты конфиденциальной информации на рабочих станциях, ноутбуках и серверах Презентация содержит общие сведения о назначении и возможностях продуктов.

Software
1 of 48
w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Защита конфиденциальной информации и персональных данных Коваленко Дарья Линейка Secret Disk 2013 г. Москва
w w w. a l a d d i n – r d. r u Где и как хранятся Ваши данные? Зачем защищать информацию? 2
w w w. a l a d d i n – r d. r u Способы потерять информацию • Несанкционированный доступ • Потеря или кража ноутбуков, съемных носителей • Изъятие носителей данных в результате недружественных действий 3
w w w. a l a d d i n – r d. r u Линейка продуктов Secret Disk • Сертифицированные версии Secret Disk 4
w w w. a l a d d i n – r d. r u Принцип работы Secret Disk 5 Доступ к зашифрованным данным может получить только авторизованный пользователь
w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Secret Disk 4
w w w. a l a d d i n – r d. r u Кто защищается Secret Disk 4? • Руководители и владельцы бизнеса • Мобильные сотрудники - сохранность информации при потере или краже ноутбука, флэшки • Те, кто работает дома – ограничение доступа к рабочей или личной информации, хранящейся на домашнем компьютере • Подразделения, работающие с конфиденциальной информацией – финансы, бухгалтерия, аналитики, отдел кадров и т.д. 7
w w w. a l a d d i n – r d. r u Основные возможности Secret Disk 4 • Защита системного раздела, контроль начальной загрузки • Шифрование логических дисков • Создание виртуальных дисков • Многопользовательская работа • Поддержка западной и российской криптографии • Аутентификация по ключу eToken 8
w w w. a l a d d i n – r d. r u Требования Secret Disk 4 • Поддерживаемые операционные системы: Windows 8 (32/64-бит); Windows 7 SP1 (32/64-бит); Windows Vista SP2 (32/64-бит); Windows XP SP3. • Поддерживаемые модели eToken: eToken PRO (USB-ключи и смарт-карты); eToken NG-OTP; eToken NG-FLASH; eToken PRO 72K (Java); eToken PRO Anywhere; JaCarta PKI; JaCarta PRO. 9
w w w. a l a d d i n – r d. r u Сценарии использования • Защита данных на однопользовательском компьютере • Защита данных на многопользовательском компьютере • Защита данных на компьютерах в организации • Разграничение полномочий и предоставления доступа к данным • Безопасные транспортировка и обмен данными • Безопасное резервное копирование 11
w w w. a l a d d i n – r d. r u Защита данных на многопользовательском компьютере Один пользователь Secret Disk и несколько простых пользователей Windows за одним компьютером
w w w. a l a d d i n – r d. r u Защита данных на многопользовательском компьютере На одном компьютере может работать несколько пользователей, каждый со своим независимым набором зашифрованных дисков
w w w. a l a d d i n – r d. r u Безопасные транспортировка и обмен данными Secret Disk можно установить на нескольких компьютерах, организовав безопасный перенос информации между ними в зашифрованном виде на съемных носителях
w w w. a l a d d i n – r d. r u Безопасное резервное копирование Данные для резервного копирования сохраняются на защищенных дисках, которые затем записываются на съемные носители
w w w. a l a d d i n – r d. r u Сертифицированные версии Personal Secret Disk • Secret Disk 4  Сертификат ФСТЭК №1742/1 на secret disk 4 от 6 мая 2010 года
w w w. a l a d d i n – r d. r u Лицензирование Secret Disk 4 • Лицензия записывается в память ключа eToken • Число установок – не ограничено • Разрешается использовать Secret Disk 4 на нескольких компьютерах • Лицензия может записываться в ключ eToken, уже принадлежащий пользователю 17
w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Secret Disk Server 18 Защита файл-серверов и серверов приложений
w w w. a l a d d i n – r d. r u Использование Secret Disk Server NG • Файловый сервер с данными пользователей 19 • Сервер приложений
w w w. a l a d d i n – r d. r u Возможности Secret Disk Server NG • Шифрование дисков сервера • Контроль доступа к зашифрованным дискам по сети • Аутентификация администраторов с использованием смарт-карт и USB-ключей eToken • Гибкая система подачи сигнала «Тревога» • Защита от сбоев и система восстановления • Поддержка скриптов 20
w w w. a l a d d i n – r d. r u Требования Secret Disk Server NG
w w w. a l a d d i n – r d. r u Принципы работы Secret Disk Server NG
w w w. a l a d d i n – r d. r u Особенности Secret Disk Server NG • Гибкая система подачи сигнала «Тревога» • Красная кнопка • Радио-брелок • GSM-модуль • Поддержка скриптов
w w w. a l a d d i n – r d. r u Типовые сценарии использования Secret Disk Server NG • Один компьютер • Сервер и рабочая станция администратора • Сервер, рабочая станция администратора, рабочая станция для подачи сигнала «тревога» • Сервер, рабочая станция администратора и внешняя рабочая станция для подачи сигнала «тревога» • Несколько серверов, рабочая станция администратора и рабочая станция для подачи сигнала тревога
w w w. a l a d d i n – r d. r u Один компьютер
w w w. a l a d d i n – r d. r u Сервер, рабочая станция администратора и внешняя рабочая станция для подачи сигнала «тревога»
w w w. a l a d d i n – r d. r u Несколько серверов, рабочая станция администратора и рабочая станция для подачи сигнала тревога
w w w. a l a d d i n – r d. r u Лицензирование и комплектация • Три варианта лицензий: • Secret Disk Server NG для сервера приложений • Secret Disk Server NG для файлового сервера • Комбинированная лицензия (AS + FS) • Состав базового комплекта: • Дистрибутив и документация в электронном виде • Лицензия сервера на eToken • Лицензия администратора на eToken • Удлинительный USB-кабель • Устройство «Красная кнопка»
w w w. a l a d d i n – r d. r u Сертифицированные версии • Secret Disk Server NG сертификат ФСТЭК №1487 на Secret Disk Server NG 3.2 от 2 ноября 2007 года, действителен до 2 ноября 2010 года, продлен до 2 ноября 2013 года.
w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Secret Disk Enterprise Корпоративная система защиты конфиденциальной информации с централизованным управлением.
w w w. a l a d d i n – r d. r u Назначение Secret Disk Enterprise •Защита информации от несанкционированного доступа •Централизованное управление •Разграничение прав доступа
w w w. a l a d d i n – r d. r u До Secret Disk Enterprise …
w w w. a l a d d i n – r d. r u Как работает? Рабочее место системного администратора Рабочее место администратора ИБ
w w w. a l a d d i n – r d. r u Схема функционирования
w w w. a l a d d i n – r d. r u • Централизованное управление • Защита данных на системных, логических и виртуальных дисках • Аутентификация пользователя до загрузки ОС • Поддержка различных алгоритмов шифрования данных в т.ч. по ГОСТ 28147-89 из состава КриптоПро CSP • Аутентификация доступа по электронному ключу еToken • Управление настройками, мониторинг работоспособности • Работа с защищенными данными вне корпоративной сети • Гибкая ролевая модель • Аудит использования защищенных ресурсов Возможности Secret Disk Enterprise
w w w. a l a d d i n – r d. r u Требования Secret Disk Enterprise • Операционная система для рабочих станций: - Microsoft Windows 7 SP1 (32- и 64-бит), - Microsoft Windows Vista SP2 (32- и 64-бит), - Microsoft Windows XP SP3. для сервера: - Microsoft Windows Server 2008 R2, - Microsoft Windows Server 2008 (32- и 64-бит), - Microsoft Windows Server 2003 SP2 (32 и 64-бит) • Электронные ключи eToken - USB-ключи и смарт-карты eToken PRO (Java), - комбинированные ключи eToken NG-FLASH (Java), - комбинированные ключи eToken NG-OTP (Java).
w w w. a l a d d i n – r d. r u Требования Secret Disk Enterprise • Обязательное программное обеспечение Для сервера бизнес-логики: - Microsoft .NET Framework 3.5 SP1; - eToken PKI Client 5.1 SP1 или SafeNet Authentication Client 8.0 SP2. Для сервера шлюза клиентов: - Microsoft IIS версии 6 и выше; - Microsoft .NET Framework 3.5 SP1. Для сервера административного веб-портала: - Microsoft IIS версии 6 и выше; - Microsoft .NET Framework 3.5 SP1; - Браузер Internet Explorer 7.0 или более поздней версии. • Microsoft SQL Server 2005/2008 • Active Directory
w w w. a l a d d i n – r d. r u • Все компоненты устанавливаются на одном сервере • Один из компонентов устанавливается на отдельном сервере • Каждый компонент устанавливается на отдельном сервере Варианты развёртывания
w w w. a l a d d i n – r d. r u All – in - one Сервер управления •Шлюз клиентов •Административный Web-портал •Сервер бизнес-логики Сервер БД Клиенты Администратор - до 1000 пользователей
w w w. a l a d d i n – r d. r u Выделенный сервер БД Сервер управления •Шлюз клиентов •Административный Web-портал •Сервер бизнес-логики Сервер БД Клиенты Администратор - от 1000 пользователей
w w w. a l a d d i n – r d. r u Выделенные сервера БД и бизнес-логики Сервер управления •Шлюз клиентов •Административный Web-портал Сервер БДСервер бизнес-логики Клиенты Администратор
w w w. a l a d d i n – r d. r u • Встроенные роли – Оператор – Администратор информационной безопасности – Аудитор – Пользователь – Агент восстановления ключей – Инженер по обслуживанию • Роли, определяемые заказчиком – Позволяют гибко настроить продукт в соответствии с действующей на предприятии политикой ИБ Ролевая модель
w w w. a l a d d i n – r d. r u • Четыре журнала: – журнал аудита – журнал предупреждений – журнал клиентской активности – журнал планов обслуживания • Группировка событий • Просмотр событий на конкретной рабочей станции • Журналы событий хранятся в БД Microsoft SQL – можно строить свои отчёты или подключить источник к корпоративной системе мониторинга Мониторинг и аудит
w w w. a l a d d i n – r d. r u Механизм лицензирования • Серверная лицензия – фиксированная стоимость – приобретается однократно на домен Microsoft AD • Клиентские лицензии приобретаются по числу рабочих мест – начальное количество – дополнительные лицензии – скидки на количество • Лицензия на техподдержку – зависит от числа приобретённых клиентских лицензий – при приобретении клиентской лицензии стоимость техподдержки на первый год уже учтена в стоимости лицензии
w w w. a l a d d i n – r d. r u Сертифицированные версии • Secret Disk Enterprise На данный момент идет сертификация Secret Disk Enterprise версии 1.7.2.
w w w. a l a d d i n – r d. r u Выбор необходимого решения
w w w. a l a d d i n – r d. r u Информация о продуктах Сайт компании www.aladdin-rd.ru -описание продуктов -демо-версии продуктов линейки Secret Disk -новости и пресс-релизы -презентации и статьи по продуктам -актуальная информация о мероприятиях и семинарах, проводимых компанией Аладдин Р.Д.
w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Ваши вопросы?
w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Спасибо за Ваше внимание! Коваленко Дарья

Recommended

Mike Hollman Photography - Hotel & Resort
Mike Hollman Photography - Hotel & ResortMike Hollman Photography - Hotel & Resort
Mike Hollman Photography - Hotel & Resort
Mike Hollman Photography
 
Arend jan majoor-college-businessdevelopment-businessmodel-confrontatiematrix...
Arend jan majoor-college-businessdevelopment-businessmodel-confrontatiematrix...Arend jan majoor-college-businessdevelopment-businessmodel-confrontatiematrix...
Arend jan majoor-college-businessdevelopment-businessmodel-confrontatiematrix...
Freshious
 
Transitional Justice in Serbia
Transitional Justice in SerbiaTransitional Justice in Serbia
Transitional Justice in Serbia
montwill
 
Коваленко Дарья - Secret Disk Enterprise - webinar
Коваленко Дарья - Secret Disk Enterprise - webinarКоваленко Дарья - Secret Disk Enterprise - webinar
Коваленко Дарья - Secret Disk Enterprise - webinar
Daria Kovalenko
 
Mike Hollman Photography - Fine Art
Mike Hollman Photography - Fine ArtMike Hollman Photography - Fine Art
Mike Hollman Photography - Fine Art
Mike Hollman Photography
 
Web hosting presentations by hostindia.net
Web hosting presentations by hostindia.netWeb hosting presentations by hostindia.net
Web hosting presentations by hostindia.net
Hostin Services Pvt Ltd
 
Mike Hollman Photography - Architecture 2
Mike Hollman Photography - Architecture 2Mike Hollman Photography - Architecture 2
Mike Hollman Photography - Architecture 2
Mike Hollman Photography
 
Mike Hollman Photography - Animal Portrait
Mike Hollman Photography - Animal PortraitMike Hollman Photography - Animal Portrait
Mike Hollman Photography - Animal Portrait
Mike Hollman Photography
 

Recommended

Mike Hollman Photography - Hotel & Resort
Mike Hollman Photography - Hotel & ResortMike Hollman Photography - Hotel & Resort
Mike Hollman Photography - Hotel & Resort
Mike Hollman Photography
 
Arend jan majoor-college-businessdevelopment-businessmodel-confrontatiematrix...
Arend jan majoor-college-businessdevelopment-businessmodel-confrontatiematrix...Arend jan majoor-college-businessdevelopment-businessmodel-confrontatiematrix...
Arend jan majoor-college-businessdevelopment-businessmodel-confrontatiematrix...
Freshious
 
Transitional Justice in Serbia
Transitional Justice in SerbiaTransitional Justice in Serbia
Transitional Justice in Serbia
montwill
 
Коваленко Дарья - Secret Disk Enterprise - webinar
Коваленко Дарья - Secret Disk Enterprise - webinarКоваленко Дарья - Secret Disk Enterprise - webinar
Коваленко Дарья - Secret Disk Enterprise - webinar
Daria Kovalenko
 
Mike Hollman Photography - Fine Art
Mike Hollman Photography - Fine ArtMike Hollman Photography - Fine Art
Mike Hollman Photography - Fine Art
Mike Hollman Photography
 
Web hosting presentations by hostindia.net
Web hosting presentations by hostindia.netWeb hosting presentations by hostindia.net
Web hosting presentations by hostindia.net
Hostin Services Pvt Ltd
 
Mike Hollman Photography - Architecture 2
Mike Hollman Photography - Architecture 2Mike Hollman Photography - Architecture 2
Mike Hollman Photography - Architecture 2
Mike Hollman Photography
 
Mike Hollman Photography - Animal Portrait
Mike Hollman Photography - Animal PortraitMike Hollman Photography - Animal Portrait
Mike Hollman Photography - Animal Portrait
Mike Hollman Photography
 
Gemalto - SAM (SafeNet Authentication Manager)
Gemalto - SAM (SafeNet Authentication Manager)Gemalto - SAM (SafeNet Authentication Manager)
Gemalto - SAM (SafeNet Authentication Manager)
Daria Kovalenko
 
Gemalto - SAC (SafeNet Authentication Client)
Gemalto - SAC (SafeNet Authentication Client)Gemalto - SAC (SafeNet Authentication Client)
Gemalto - SAC (SafeNet Authentication Client)
Daria Kovalenko
 
Высокоскоростные шифраторы - HSE
Высокоскоростные шифраторы - HSEВысокоскоростные шифраторы - HSE
Высокоскоростные шифраторы - HSE
Daria Kovalenko
 
SafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификацияSafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификация
Daria Kovalenko
 
Connector v.1.0 SAM для КриптоПро УЦ
Connector v.1.0 SAM для КриптоПро УЦConnector v.1.0 SAM для КриптоПро УЦ
Connector v.1.0 SAM для КриптоПро УЦ
Daria Kovalenko
 
Гаджет и Bes12
Гаджет и Bes12Гаджет и Bes12
Гаджет и Bes12
Daria Kovalenko
 
Обеспечение безопасности на мобильных устройствах от BlackBerry - BES12
Обеспечение безопасности на мобильных устройствах от BlackBerry - BES12Обеспечение безопасности на мобильных устройствах от BlackBerry - BES12
Обеспечение безопасности на мобильных устройствах от BlackBerry - BES12
Daria Kovalenko
 
SAS (SafeNet Authentication Service)
SAS (SafeNet Authentication Service)SAS (SafeNet Authentication Service)
SAS (SafeNet Authentication Service)
Daria Kovalenko
 
CYREN технологии будущего! На страже Вашей безопасности, уже сейчас!
CYREN технологии будущего! На страже Вашей безопасности, уже сейчас! CYREN технологии будущего! На страже Вашей безопасности, уже сейчас!
CYREN технологии будущего! На страже Вашей безопасности, уже сейчас!
Daria Kovalenko
 
CWS_20082014_Дарья_Коваленко
CWS_20082014_Дарья_КоваленкоCWS_20082014_Дарья_Коваленко
CWS_20082014_Дарья_Коваленко
Daria Kovalenko
 

More Related Content

More from Daria Kovalenko

SAS (SafeNet Authentication Service)
SAS (SafeNet Authentication Service)SAS (SafeNet Authentication Service)
SAS (SafeNet Authentication Service)
Daria Kovalenko
 

More from Daria Kovalenko (10)

Gemalto - SAM (SafeNet Authentication Manager)
Gemalto - SAM (SafeNet Authentication Manager)Gemalto - SAM (SafeNet Authentication Manager)
Gemalto - SAM (SafeNet Authentication Manager)
 
Gemalto - SAC (SafeNet Authentication Client)
Gemalto - SAC (SafeNet Authentication Client)Gemalto - SAC (SafeNet Authentication Client)
Gemalto - SAC (SafeNet Authentication Client)
 
Высокоскоростные шифраторы - HSE
Высокоскоростные шифраторы - HSEВысокоскоростные шифраторы - HSE
Высокоскоростные шифраторы - HSE
 
SafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификацияSafeNet Authentication Manager - Двухфакторная аутентификация
SafeNet Authentication Manager - Двухфакторная аутентификация
 
Connector v.1.0 SAM для КриптоПро УЦ
Connector v.1.0 SAM для КриптоПро УЦConnector v.1.0 SAM для КриптоПро УЦ
Connector v.1.0 SAM для КриптоПро УЦ
 
Гаджет и Bes12
Гаджет и Bes12Гаджет и Bes12
Гаджет и Bes12
 
Обеспечение безопасности на мобильных устройствах от BlackBerry - BES12
Обеспечение безопасности на мобильных устройствах от BlackBerry - BES12Обеспечение безопасности на мобильных устройствах от BlackBerry - BES12
Обеспечение безопасности на мобильных устройствах от BlackBerry - BES12
 
SAS (SafeNet Authentication Service)
SAS (SafeNet Authentication Service)SAS (SafeNet Authentication Service)
SAS (SafeNet Authentication Service)
 
CYREN технологии будущего! На страже Вашей безопасности, уже сейчас!
CYREN технологии будущего! На страже Вашей безопасности, уже сейчас! CYREN технологии будущего! На страже Вашей безопасности, уже сейчас!
CYREN технологии будущего! На страже Вашей безопасности, уже сейчас!
 
CWS_20082014_Дарья_Коваленко
CWS_20082014_Дарья_КоваленкоCWS_20082014_Дарья_Коваленко
CWS_20082014_Дарья_Коваленко
 

Коваленко Дарья - Линейка Secret Disk - webinar

  • 1. w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Защита конфиденциальной информации и персональных данных Коваленко Дарья Линейка Secret Disk 2013 г. Москва
  • 2. w w w. a l a d d i n – r d. r u Где и как хранятся Ваши данные? Зачем защищать информацию? 2
  • 3. w w w. a l a d d i n – r d. r u Способы потерять информацию • Несанкционированный доступ • Потеря или кража ноутбуков, съемных носителей • Изъятие носителей данных в результате недружественных действий 3
  • 4. w w w. a l a d d i n – r d. r u Линейка продуктов Secret Disk • Сертифицированные версии Secret Disk 4
  • 5. w w w. a l a d d i n – r d. r u Принцип работы Secret Disk 5 Доступ к зашифрованным данным может получить только авторизованный пользователь
  • 6. w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Secret Disk 4
  • 7. w w w. a l a d d i n – r d. r u Кто защищается Secret Disk 4? • Руководители и владельцы бизнеса • Мобильные сотрудники - сохранность информации при потере или краже ноутбука, флэшки • Те, кто работает дома – ограничение доступа к рабочей или личной информации, хранящейся на домашнем компьютере • Подразделения, работающие с конфиденциальной информацией – финансы, бухгалтерия, аналитики, отдел кадров и т.д. 7
  • 8. w w w. a l a d d i n – r d. r u Основные возможности Secret Disk 4 • Защита системного раздела, контроль начальной загрузки • Шифрование логических дисков • Создание виртуальных дисков • Многопользовательская работа • Поддержка западной и российской криптографии • Аутентификация по ключу eToken 8
  • 9. w w w. a l a d d i n – r d. r u Требования Secret Disk 4 • Поддерживаемые операционные системы: Windows 8 (32/64-бит); Windows 7 SP1 (32/64-бит); Windows Vista SP2 (32/64-бит); Windows XP SP3. • Поддерживаемые модели eToken: eToken PRO (USB-ключи и смарт-карты); eToken NG-OTP; eToken NG-FLASH; eToken PRO 72K (Java); eToken PRO Anywhere; JaCarta PKI; JaCarta PRO. 9
  • 10. w w w. a l a d d i n – r d. r u Сценарии использования • Защита данных на однопользовательском компьютере • Защита данных на многопользовательском компьютере • Защита данных на компьютерах в организации • Разграничение полномочий и предоставления доступа к данным • Безопасные транспортировка и обмен данными • Безопасное резервное копирование 11
  • 11. w w w. a l a d d i n – r d. r u Защита данных на многопользовательском компьютере Один пользователь Secret Disk и несколько простых пользователей Windows за одним компьютером
  • 12. w w w. a l a d d i n – r d. r u Защита данных на многопользовательском компьютере На одном компьютере может работать несколько пользователей, каждый со своим независимым набором зашифрованных дисков
  • 13. w w w. a l a d d i n – r d. r u Безопасные транспортировка и обмен данными Secret Disk можно установить на нескольких компьютерах, организовав безопасный перенос информации между ними в зашифрованном виде на съемных носителях
  • 14. w w w. a l a d d i n – r d. r u Безопасное резервное копирование Данные для резервного копирования сохраняются на защищенных дисках, которые затем записываются на съемные носители
  • 15. w w w. a l a d d i n – r d. r u Сертифицированные версии Personal Secret Disk • Secret Disk 4  Сертификат ФСТЭК №1742/1 на secret disk 4 от 6 мая 2010 года
  • 16. w w w. a l a d d i n – r d. r u Лицензирование Secret Disk 4 • Лицензия записывается в память ключа eToken • Число установок – не ограничено • Разрешается использовать Secret Disk 4 на нескольких компьютерах • Лицензия может записываться в ключ eToken, уже принадлежащий пользователю 17
  • 17. w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Secret Disk Server 18 Защита файл-серверов и серверов приложений
  • 18. w w w. a l a d d i n – r d. r u Использование Secret Disk Server NG • Файловый сервер с данными пользователей 19 • Сервер приложений
  • 19. w w w. a l a d d i n – r d. r u Возможности Secret Disk Server NG • Шифрование дисков сервера • Контроль доступа к зашифрованным дискам по сети • Аутентификация администраторов с использованием смарт-карт и USB-ключей eToken • Гибкая система подачи сигнала «Тревога» • Защита от сбоев и система восстановления • Поддержка скриптов 20
  • 20. w w w. a l a d d i n – r d. r u Требования Secret Disk Server NG
  • 21. w w w. a l a d d i n – r d. r u Принципы работы Secret Disk Server NG
  • 22. w w w. a l a d d i n – r d. r u Особенности Secret Disk Server NG • Гибкая система подачи сигнала «Тревога» • Красная кнопка • Радио-брелок • GSM-модуль • Поддержка скриптов
  • 23. w w w. a l a d d i n – r d. r u Типовые сценарии использования Secret Disk Server NG • Один компьютер • Сервер и рабочая станция администратора • Сервер, рабочая станция администратора, рабочая станция для подачи сигнала «тревога» • Сервер, рабочая станция администратора и внешняя рабочая станция для подачи сигнала «тревога» • Несколько серверов, рабочая станция администратора и рабочая станция для подачи сигнала тревога
  • 24. w w w. a l a d d i n – r d. r u Один компьютер
  • 25. w w w. a l a d d i n – r d. r u Сервер, рабочая станция администратора и внешняя рабочая станция для подачи сигнала «тревога»
  • 26. w w w. a l a d d i n – r d. r u Несколько серверов, рабочая станция администратора и рабочая станция для подачи сигнала тревога
  • 27. w w w. a l a d d i n – r d. r u Лицензирование и комплектация • Три варианта лицензий: • Secret Disk Server NG для сервера приложений • Secret Disk Server NG для файлового сервера • Комбинированная лицензия (AS + FS) • Состав базового комплекта: • Дистрибутив и документация в электронном виде • Лицензия сервера на eToken • Лицензия администратора на eToken • Удлинительный USB-кабель • Устройство «Красная кнопка»
  • 28. w w w. a l a d d i n – r d. r u Сертифицированные версии • Secret Disk Server NG сертификат ФСТЭК №1487 на Secret Disk Server NG 3.2 от 2 ноября 2007 года, действителен до 2 ноября 2010 года, продлен до 2 ноября 2013 года.
  • 29. w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Secret Disk Enterprise Корпоративная система защиты конфиденциальной информации с централизованным управлением.
  • 30. w w w. a l a d d i n – r d. r u Назначение Secret Disk Enterprise •Защита информации от несанкционированного доступа •Централизованное управление •Разграничение прав доступа
  • 31. w w w. a l a d d i n – r d. r u До Secret Disk Enterprise …
  • 32. w w w. a l a d d i n – r d. r u Как работает? Рабочее место системного администратора Рабочее место администратора ИБ
  • 33. w w w. a l a d d i n – r d. r u Схема функционирования
  • 34. w w w. a l a d d i n – r d. r u • Централизованное управление • Защита данных на системных, логических и виртуальных дисках • Аутентификация пользователя до загрузки ОС • Поддержка различных алгоритмов шифрования данных в т.ч. по ГОСТ 28147-89 из состава КриптоПро CSP • Аутентификация доступа по электронному ключу еToken • Управление настройками, мониторинг работоспособности • Работа с защищенными данными вне корпоративной сети • Гибкая ролевая модель • Аудит использования защищенных ресурсов Возможности Secret Disk Enterprise
  • 35. w w w. a l a d d i n – r d. r u Требования Secret Disk Enterprise • Операционная система для рабочих станций: - Microsoft Windows 7 SP1 (32- и 64-бит), - Microsoft Windows Vista SP2 (32- и 64-бит), - Microsoft Windows XP SP3. для сервера: - Microsoft Windows Server 2008 R2, - Microsoft Windows Server 2008 (32- и 64-бит), - Microsoft Windows Server 2003 SP2 (32 и 64-бит) • Электронные ключи eToken - USB-ключи и смарт-карты eToken PRO (Java), - комбинированные ключи eToken NG-FLASH (Java), - комбинированные ключи eToken NG-OTP (Java).
  • 36. w w w. a l a d d i n – r d. r u Требования Secret Disk Enterprise • Обязательное программное обеспечение Для сервера бизнес-логики: - Microsoft .NET Framework 3.5 SP1; - eToken PKI Client 5.1 SP1 или SafeNet Authentication Client 8.0 SP2. Для сервера шлюза клиентов: - Microsoft IIS версии 6 и выше; - Microsoft .NET Framework 3.5 SP1. Для сервера административного веб-портала: - Microsoft IIS версии 6 и выше; - Microsoft .NET Framework 3.5 SP1; - Браузер Internet Explorer 7.0 или более поздней версии. • Microsoft SQL Server 2005/2008 • Active Directory
  • 37. w w w. a l a d d i n – r d. r u • Все компоненты устанавливаются на одном сервере • Один из компонентов устанавливается на отдельном сервере • Каждый компонент устанавливается на отдельном сервере Варианты развёртывания
  • 38. w w w. a l a d d i n – r d. r u All – in - one Сервер управления •Шлюз клиентов •Административный Web-портал •Сервер бизнес-логики Сервер БД Клиенты Администратор - до 1000 пользователей
  • 39. w w w. a l a d d i n – r d. r u Выделенный сервер БД Сервер управления •Шлюз клиентов •Административный Web-портал •Сервер бизнес-логики Сервер БД Клиенты Администратор - от 1000 пользователей
  • 40. w w w. a l a d d i n – r d. r u Выделенные сервера БД и бизнес-логики Сервер управления •Шлюз клиентов •Административный Web-портал Сервер БДСервер бизнес-логики Клиенты Администратор
  • 41. w w w. a l a d d i n – r d. r u • Встроенные роли – Оператор – Администратор информационной безопасности – Аудитор – Пользователь – Агент восстановления ключей – Инженер по обслуживанию • Роли, определяемые заказчиком – Позволяют гибко настроить продукт в соответствии с действующей на предприятии политикой ИБ Ролевая модель
  • 42. w w w. a l a d d i n – r d. r u • Четыре журнала: – журнал аудита – журнал предупреждений – журнал клиентской активности – журнал планов обслуживания • Группировка событий • Просмотр событий на конкретной рабочей станции • Журналы событий хранятся в БД Microsoft SQL – можно строить свои отчёты или подключить источник к корпоративной системе мониторинга Мониторинг и аудит
  • 43. w w w. a l a d d i n – r d. r u Механизм лицензирования • Серверная лицензия – фиксированная стоимость – приобретается однократно на домен Microsoft AD • Клиентские лицензии приобретаются по числу рабочих мест – начальное количество – дополнительные лицензии – скидки на количество • Лицензия на техподдержку – зависит от числа приобретённых клиентских лицензий – при приобретении клиентской лицензии стоимость техподдержки на первый год уже учтена в стоимости лицензии
  • 44. w w w. a l a d d i n – r d. r u Сертифицированные версии • Secret Disk Enterprise На данный момент идет сертификация Secret Disk Enterprise версии 1.7.2.
  • 45. w w w. a l a d d i n – r d. r u Выбор необходимого решения
  • 46. w w w. a l a d d i n – r d. r u Информация о продуктах Сайт компании www.aladdin-rd.ru -описание продуктов -демо-версии продуктов линейки Secret Disk -новости и пресс-релизы -презентации и статьи по продуктам -актуальная информация о мероприятиях и семинарах, проводимых компанией Аладдин Р.Д.
  • 47. w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Ваши вопросы?
  • 48. w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Спасибо за Ваше внимание! Коваленко Дарья

Editor's Notes

  1. Презентация посвящена линейки продуктов Secret Disk, предназначенных для защиты конфиденциальной информации на рабочих станциях, ноутбуках и серверах Презентация содержит общие сведения о назначении и возможностях продуктов.
  2. Основная цель – максимальное уменьшение вероятности нанесения материального, морального и иного ущерба собственникам информации (владельцам активов) в результате нарушения конфиденциальности, целостности, доступности информации.
  3. Информацию можно потерять многими способами. Например: Ваш компьютер был передан на сервисное обслуживание. Угрозой является: несанкционированный доступ к данным во время проведения ремонтных и сервисных работ внутренней IT-службой или внешней сервисной компанией. Инженеры получают компьютеры на время обслуживания в свое распоряжение, соответственно они могут скопировать оттуда любую информацию и распорядится ей по своему усмотрению. Так же может быть утерян или могла произойти кража ноутбука, а так же несанкционированное использование посторонними лицами во время деловых поездок, на отдыхе. Угрозой является: утечка данных на носителях при переносе или пересылке информации. На ноутбуках или флешках может храниться очень важная информация. Планы развития, клиентские базы, важная личная информация. Следует отметить что в наше время приобретают все большую популярность заказные кражи ноутбуков, а также вынос оборудования с территории организации с целью последующего извлечения информации.
  4. Secret Disk 4 - защита данных на персональных компьютерах и ноутбуках пользователей, хранящихся и обрабатываемых на персональном компьютере, с возможностью защиты системного раздела и двухфакторной аутентификацией пользователя до загрузки ОС. Secret Disk 4 Workgroup Edition – для рабочих групп, с возможностью сетевых подключений в кол-ве до 10. Secret Disk Server NG – защита данных на серверах. Это защиты корпоративной конфиденциальной информации например, баз данных, серверов корпоративной почты, файловых архивов, бизнес-приложений и их данных, хранящейся и обрабатывающейся на серверах. Secret Disk Enterprise – корпоративная система защиты конфиденциальных данных с централизованным управлением. Сертифицированные версии Secret Disk - предназначена для защиты баз данных, конфиденциальной информации и персональных данных граждан в информационных системах органов государственной власти, государственных организаций и предприятий, может быть использована при создании и применении автоматизированных систем до класса защищенности 1Г.
  5. Доступ к зашифрованным данным может получить только авторизованный пользователь Неавторизованное лицо (красный человечек на схеме) при попытке доступа к компьютеру, на диске которого хранятся данные в зашифрованном виде, не сможет эти данные прочитать. Авторизованное лицо (синий человечек на схеме) для доступа к зашифрованной информации проходит процедуру двухфакторной аутентификации с использованием электронного ключа eToken, после чего с помощью мастер-ключа шифрования получает доступ к зашифрованному диску.
  6. Cистема защиты конфиденциальной информации и данных
  7. Целевой аудиторией для этого продукта являются руководители отделов, аналитики и методисты, бухгалтеры. Особый случай – сотрудники отдела кадров, которые работают с личными делами сотрудников, содержащими персональные данные. Отдельная категория пользователей - владельцы ноутбуков. Для таких компьютеров очень велик риск кражи или утери. А поскольку такими компьютерами часто пользуются руководители компании ( например генеральный директор, коммерческий директор, финансовый директор или главный бухгалтер), то стоимость самого ноутбука намного меньше стоимости хранящейся на таком ноутбуке информации – это может быть переписка, отчеты и аналитика, планы и т.п, и стоимость утраты информации, хранящейся на таком ноутбуке сопоставима со стоимостью бизнеса компании. Еще один распространенный вариант – использование ноутбука сотрудниками и специалистами, которые часто работают на территории заказчика (презентации, внедрение и сопровождение систем и т.п.). В этом случае ноутбук часто содержит информацию, которая ни в коем случае не должна попасть в чужие руки – это может быть конфиденциальная информация о предложениях компании с ценами и условиями, описание проблем заказчика при внедрении и сопровождении, сценарии внедрения и т.п.
  8. Рассмотрим основные возможности Secret Disk 4. позволяет шифровать разделы жесткого диска, включая системный раздел. Для доступа к зашифрованному системному разделу пользователь должен пройти двухфакторную аутентификацию до загрузки ОС. позволяет шифровать съемные носители и создавать зашифрованные файлы-контейнеры (так называемые виртуальные диски). позволяет организовать работу нескольких пользователей на одном компьютере в разных вариантах. В Secret Disk 4 реализованы механизмы усиленной защиты и защиты данных от искажения в случае различных программных и аппаратных сбоев, включая перебои электропитания. Контроль начальной загрузки, при шифровании системного раздела Secret Disk 4 записывает на диск свой собственный загрузчик, который, прежде чем передать управление загрузчику Windows, проводит операцию двухфакторной аутентификации пользователя с использованием электронного ключа eToken. Для загрузки ОС необходимо выполнить два условия (обеспечить два фактора): Подсоединить личный ключ eToken. Ввести правильный пароль eToken. Шифрование системного раздела Зачем нужно шифровать системный раздел? На самом деле, системный раздел содержит огромное количество информации, предоставляющей интерес для злоумышленников. Даже если Вы храните конфиденциальные данные на другом разделе или на сервер, при работе с такой информацией она попадает на системный раздел во временные файлы приложений, в файл подкачки ОС, в dump-файл с образом оперативной памяти в случае BSOD, в файл hibernate при переходе компьютера в спящий режим и т.д. Кроме этого, на системном разделе можно найти учетные данные пользователя, его сертификаты и пароли, лицензии и серийные номера используемого ПО и много другой информации, за которой целенаправленно охотятся вредоносные программы (черви, трояны, вирусы) и злоумышленники. Существует огромное количество программ и утилит, которые позволяют удалять временные файлы, подчищать файл подкачки и т.п. Но! Если просто зашифровать системный раздел, то вся информация на нем становится недоступной злоумышленникам даже в случае кражи ноутбука или носителя с информацией. Для шифрования системного раздела в некоторых существующих на рынке продуктах применяется технология full disk encryption – когда весь жесткий диск шифруется целиком. Это хорошее решение, но во многих случаях оно неудобно, потому что не позволяет разграничить доступ пользователей на загрузку компьютера и на доступ к зашифрованным данным. В Secret Disk 4 реализована возможность раздельного шифрования системного раздела и пользовательских данных. Если раздел всего один, то Secret Disk 4 – полный аналог full disk encryption. Если же на жестком диске есть несколько разделов, то с помощью Secret Disk 4 можно гибко настраивать, какие диски шифровать, и к каким дискам какие пользователи имеют доступ. Многопользовательская работа Secret Disk 4 позволяет быстро и удобно организовать работу нескольких пользователей с зашифрованным дисками одного компьютера. Выделенное ответственное лицо (офицер безопасности) выполняет функции администратора Secret Disk 4: Шифрует разделы жесткого диска, включая системный раздел; Сохраняет резервные копии мастер-ключей шифрования; Регистрирует пользователей в Secret Disk 4; Дает пользователям доступ к зашифрованным разделам и возможности загрузки ОС с зашифрованного раздела. Поддержка западной и российской криптографии Используемые поставщики криптографии: Стандартный поставщик криптографии, встроенный в ОС Windows: алгоритмы AES, TripleDES, RC2 Secret Disk Crypto Pack от Aladdin – алгоритмы AES-128, AES-256, Twofish-256 Сертифицированные российские СКЗИ КриптоПро CSP, Signal-COM CSP и Infotecs CSP – алгоритм ГОСТ 28147-89 с длиной ключа 256 бит
  9. Требования к аппаратному обеспечению Персональный компьютер должен удовлетворять требованиям, изложенным в документациях к операционной системе и используемым криптопровайдерам. • Компьютер должен иметь свободный порт USB, для смарт-карт eToken PRO также требуется USB-ридер (например, Athena ASEDrive III). Если не планируется защита системного раздела жѐсткого диска, можно также использовать COM-ридер для смарт-карт. • Объѐм свободного места на жѐстком диске: 8 МБ. В памяти eToken должна содержаться лицензия Secret Disk 4.
  10. Для того чтобы защитить данные и приступить к работе с ними, необходимо выполнить следующие действия: 1. Установить драйвер eToken, например, с web-сайта компании Аладдин Р.Д. www.aladdin-rd.ru/support/download/. 2. Установить программное обеспечение Secret Disk 4. 3. При желании можно загрузить с web-сайта компании Аладдин Р.Д. бесплатный пакет Secret Disk Crypto Pack, добавляющий возможность использовать алгоритмы AES и Twofish, и установить его. 4. Подключить к компьютеру eToken с лицензией Secret Disk 4, зарегистрировать одного или нескольких пользователей Secret Disk 4, выбрать для них сертификаты открытого ключа, либо создать сертификаты открытого ключа с соответствующим закрытым ключом. 5. При выборе готовых сертификатов необходимо удостовериться в наличии резервных копий сертификатов и закрытых ключей. Если готовых сертификатов нет, их можно создать в памяти eToken средствами Secret Disk 4, сохраняя при создании резервные копии. 6. Создать зашифрованные диски. 7. Сохранить резервные копии мастер-ключей зашифрованных дисков. 8. При сохранении мастер-ключей следует помнить, что для несистемных дисков и файлов-контейнеров мастер-ключ можно сохранить на eToken и/или в файл, защищѐнный паролем. Ключ защиты системного диска может храниться на eToken, а также может быть распечатан. 9. При работе с мастер-ключами зашифрованных дисков следует руководствоваться инструкциями раздела Операции с мастер-ключами защищѐнных дисков. 10. Перенести необходимую конфиденциальную информацию с обычных дисков на зашифрованные, выбрав за основу сценарий (сценарии) использования Secret Disk 4 на предприятии. 11. Предоставить (при необходимости) другим пользователям доступ к зашифрованным дискам. 12. Подключить зашифрованные диски.
  11. Совместное использование Secret Disk 4 на одном выделенном компьютере (не подключенном к корпоративной сети). В этом случае пользователь персонального (мобильного) компьютера является и администратором Secret Disk 4. Он сам устанавливает Secret Disk4, создает зашифрованные ресурсы, создает резервные копии мастер-ключей шифрования, восстанавливает доступ к зашифрованным ресурсам в случае возникновения нештатных ситуаций. Многопользовательская работа с зашифрованными данными в таком сценарии не предполагается. Такой сценарий рекомендуется для домашних пользователей. Владелец Secret Disk 4 создает зашифрованные диски и при этом не шифрует системный раздел. Другие челны семьи вполне могут работать на компьютере с незашифрованными данными. При этом они не могут случайно или умышленно повредить зашифрованные данные – сервис Secret Disk блокирует любые операции записи на неподключенные зашифрованные ресурсы, включая операции форматирования и удаления файлов-контейнеров зашифрованных виртуальных дисков. В таком сценарии предусматривается закупка физическим лицом для своего личного использования. Корпоративные закупки единичных версий не типичны.
  12. Совместное использование Secret Disk 4 на одном выделенном компьютере (подключенном к корпоративной сети). В этом сценарии есть несколько пользователей Secret Disk 4 (каждый со своим электронным ключом eToken с лицензией на использование Secret Disk 4), которые работают на одном компьютере. Такой вариант возможен при посменной работе операторов на выделенном рабочем месте или в случае работы разных операторов на типовом рабочем месте. При этом в организации нет выделенного администратора безопасности – каждый пользователь является администратором своих зашифрованных дисков. У каждого пользователя есть доступ только к своим зашифрованным дисков. Пользователи могут меняться (даже не выключая компьютер и не перезагружая ОС), при этом при подключении своего eToken пользователь получает доступ только к своим зашифрованным дискам и не может случайно или преднамеренно прочитать или повредить (отформатировать, удалить) зашифрованные диски другого пользователя. В этом сценарии, как правило, системный раздел не шифруется. В таком сценарии предусматривается закупка юридическими лицами нескольких коробок Secret Disk 4 или комплекта ключей eToken с лицензиями на использование Secret Disk 4. Во втором варианте обычно клиент заказывает один медиа-кит (комплект документации и ПО на компакт-диск плюс коробка).
  13. Дополнительный сценарий для персонального использования Secret Disk 4 В этом случае пользователь Secret Disk 4 может устанавливать Secret Disk 4 на двух (и более) компьютерах для организации переноса зашифрованной информации на съемных носителях между этими компьютерами. Пользователь является и администратором Secret Disk 4. Он сам устанавливает Secret Disk 4 на необходимом количестве компьютеров, создает зашифрованные съемные носители, создает резервные копии мастер-ключей шифрования, и восстанавливает доступ к зашифрованным съемным носителям на других компьютерах. Есть одно ограничение: съемный носитель должен быть полностью (на 100%) зашифрован перед тем, как восстанавливать к нему доступ на другом компьютере. Также такой сценарий можно рекомендовать для организации пересылки конфиденциальной информации по открытым каналам (почта, курьерские службы). Для этого пользователь записывает зашифрованный файл-контейнер на CD- или DVD-диск, пересылает его другому пользователю (адресату) Secret Disk 4 по открытому каналу, а затем пересылает копию мастер-ключа шифрования этого файла-контейнера по закрытому каналу. Адресат подключает зашифрованный CD- или DVD-диск на своем компьютере и работает с ним в режиме чтения.
  14. Дополнительный сценарий для любого варианта использования Secret Disk 4 В этом случае пользователь или администратор Secret Disk 4 может сохранять резервные копии зашифрованных файлов-контейнеров на съемные носители и хранить их в надежном месте. Также есть возможность в таком варианте возложить обязанности резервного копирования файлов-контейнеров на системного администратора или администратора резервного копирования. Если виртуальный зашифрованный диск отключен, то он открыт на чтение. Его можно считать (в том числе и по сети) и скопировать на резервный носитель. В этом случае информация на резервный носитель попадет в зашифрованном виде.
  15. Сертифицированная версия Secret Disk 4 может использоваться в ИСПДн до 2 класса включительно и для создания автоматизированных систем до класса защищенности 1Г включительно. Комплектуется сертифицированным ключом eToken PRO (Java). Защита информации от несанкционированного доступа; Двухфакторная аутентификация с помощью электронного ключа eToken; Защита системного раздела; Прозрачная работа для пользователя; Соответствие закону по защите персональных данных. Особенности сертифицированной версии Secret Disk 4 Сертифицированная версия Secret Disk 4 представляет собой версию 4.3.2, сертифицированную ФСТЭК России на соответствие требованиям задания по безопасности 46538383.42 5000.002-04ЗБ c уровнем доверия ОУД1+ (усиленный) по Общим критериям. Сертифицированная версия предназначена для защиты конфиденциальной информации и персональных данных в информационных системах органов государственной власти, государственных организаций и предприятий. Особенности сертифицированной версии Secret Disk 4: Использование операционных систем Windows XP, Windows Vista и Windows 7 (32-/64-бит). Использование сертифицированных электронных ключей. При использовании смарт-карт можно пользоваться любым PC/SC-совместимым карт-ридером.
  16. Схема лицензирования персональной версии Secret Disk 4 рассчитана на привязку лицензии к конкретному пользователю. Сама лицензия записывается в защищенную память ключа eToken. При поставке в составе готовой коробки «Базовый комплект» лицензия уже находится в памяти ключа eToken. Также возможно записывать лицензию в память ключа eToken пользователя, если пользователь уже имеет eToken (в составе внедренной в компании клиента системы аутентификации или в составе других продуктов Aladdin, которые распространяются с ключами eToken – WinLogon, Web Sign-On, Single Sign-On, Simple Sign-On). Лицензия разрешает установку и использование Secret Disk 4 на нескольких компьютерах, принадлежащих пользователю.
  17. Secret Disk Server NG не только защищает конфиденциальные данные от несанкционированного доступа, но и скрывает сам факт их наличия Основной эффект, достигаемый от использования Secret Disk Server NG Защита конфиденциальной информации от несанкционированного доступа со стороны: злоумышленников, получивших физический доступ к носителям данных (жестким дискам), в том числе в случае проникновения в офис компании; посторонних лиц, могущих иметь доступ к компьютерному оборудованию (например, сотрудники сервисного центра, обслуживающего оборудование); сотрудников компании, не имеющих полномочий для доступа к данной информации (в том числе технических специалистов и системных администраторов). Возможности применения Secret Disk Server NG Защита данных на жестких и съемных дисках методом «прозрачного» шифрования. Данные на защищенных дисках всегда хранятся в зашифрованном виде. Даже в случае изъятия сервера или утери съемного диска данные невозможно использовать: при прямом просмотре содержимое отключенного защищенного диска выглядит как случайная последовательность битов или, говоря по-другому, «белый шум», поскольку все данные зашифрованы. По содержимому раздела диска невозможно определить, является ли данный раздел просто неформатированным, или же на нем имеется какая-то информация. Так Secret Disk Server NG обеспечивает защиту конфиденциальной информации от несанкционированного доступа, а также сокрытие наличия данных на компьютере. Аппаратная двухфакторная аутентификация для подключения и администрирования зашифрованных дисков, основанная на использовании USB-ключей и смарт-карт eToken. Необходимо не только обладать eToken администратора, но и знать PIN-код к нему. Контроль сетевого доступа к защищенным дискам. В зависимости от типа лицензии Secret Disk Server NG разрешает или запрещает доступ по сети к зашифрованным дискам. Например, для защиты от копирования файлов корпоративной базы данных целесообразно разместить их на защищенном диске и запретить к нему сетевой доступ. Таким образом, зашифрованная информация будет доступна только приложениям, выполняющимся на защищаемом сервере. Возможность реагирования на сигнал «Тревога». Предусмотрены возможности отключения дисков а также полного удаления всех конфигурационных данных и ключевой информации. После полного удаления конфигурационных данных и ключевой информации по сигналу «Тревога» злоумышленник не сможет прочесть информацию с защищенных дисков, даже если он имеет eToken администратора, знает его PIN-код и обладает полным доступом к серверу. Реакция на сигнал “тревога” может настраиваться как для каждого защищенного диска индивидуально, так и для сервера в целом. .
  18. Основные возможности Secret Disk Server NG Шифрование разделов жестких дисков, логических дисков, съемных носителей. В Secret Disk Server NG поддерживаются все типы жестких дисков и дисковых RAID-массивов. Кроме того, Secret Disk Server NG позволяет шифровать содержимое логических дисков на внешних сетевых хранилищах (SAN). Создание виртуальных дисков (файлов-контейнеров). Физически виртуальный диск представляет собой файл, содержимое которого полностью зашифровано. Средствами Secret Disk Server NG виртуальный диск монтируется как логический диск и доступен для работы, как и любой другой логический диск, имеющийся в системе. Контроль доступа к зашифрованным дискам по сети: тип доступа к защищенным дискам определяется для каждого защищенного диска в отдельности и зависит от типа лицензии Secret Disk Server NG: Локальный доступ запрещает доступ по сети к защищенным дискам. Только приложения, выполняющиеся на сервере, могут работать с защищенными данными. Это оптимальное решение для защиты файлов баз данных и бизнес-приложений. Общий доступ разрешает доступ по сети к защищенным дискам. Рекомендуется для защиты файловых архивов и документов при коллективной работе над ними. Серверная лицензия определяет максимальное количество одновременных подключений по сети ко всем защищенным дискам с данным типом доступа. Аутентификация администраторов Secret Disk Server с использованием смарт-карт и USB-ключей eToken – для того чтобы открыть сеанс управления Secret Disk Server NG, необходимо пройти процедуру строгой двухфакторной аутентификации: подключить eToken администратора и ввести PIN-код. Несколько вариантов подачи сигнала «Тревога» - сигнал «Тревога» может быть подан как внешним устройством (например, «красной кнопкой», радио-брелком или охранной сигнализацией), так и с компьютера. Реакция на сигнал «Тревога» определяется для сервера в целом и для каждого защищенного диска в отдельности. Защита от сбоев и система восстановления – прогрессивная технология работы с жестким диском гарантирует, что зашифрованные данные будут записаны
  19. Для работы необходимо иметь eToken с серверной лицензией и eToken с лицензией администратора (для рабочего места администратора). Как мы видим, все компоненты Secret Disk Server NG работают под управлением операционных систем. Таким образом, любой из компонент продукта можно использовать и на серверах, и на клиентских рабочих станциях. На сервере и на рабочей станции, с которой выполняется управление защищенным сервером, должен быть установлен драйвер ключа eToken. USB-ключи eToken напрямую подключаются к USB-порту, дополнительных устройств не требуется. При использовании смарт-карт eToken PRO требуется любой PC/SC совместимый карт-ридер, например, ASEDrive, поставляемый компанией Aladdin. 20 мегабайт свободного пространства на диске. При использовании совместно с сертифицированными российскими поставщиками криптографии – установленный КриптоПро CSP, Infotecs CSP, либо Signal-COM CSP. В составе операционной системы уже есть поставщик криптографии, реализующий алгоритмы AES, TripleDES и RC2, поэтому Secret Disk Server NG может использоваться без установки каких-либо дополнительных поставщиков криптографии (например, для ознакомления с продуктом или проведения «пилотного» внедрения). Тем не менее, при необходимости использовать западную криптографию рекомендуется установить пакет алгоритмов Secret Disk Crypto Pack (бесплатно доступен с сайта компании Aladdin), содержащий скоростные реализации алгоритмов AES и Twofish.
  20. Работа пользователей системы Пользователи обращаются к общим файлам по сети, а к данным приложений (к примеру, хранящимся в базе «1С Предприятие») — только через интерфейс этого приложения. Офицер безопасности имеет возможность одним нажатием «красной кнопки», подключенной к его рабочей станции, отключить защищенные диски и удалить хранилище с ключами. Администраторы Secret Disk Server NG осуществляют удаленное управление сервером Secret Disk Server NG через интерфейс администратора. Системный администратор не имеет такой возможности. Никто, включая системного администратора, не имеет доступа к файлам базы данных по сети, поскольку доступ к соответствующему защищенному диску по сети запрещен. Компоненты системы Сервер — компонент, осуществляющий операции с дисками и защищенным хранилищем ключевой информации. Интерфейс администратора — оснастка консоли управления Microsoft, позволяющая администратору управлять серверной частью Secret Disk Server NG, в том числе c удаленного компьютера. Secret Disk Alarm Service — инструменты для подачи сигнала «тревога», приводящего к запуску на сервере команд, предназначенных для предотвращения несанкционированного доступа к информации в чрезвычайных ситуациях. Принцип работы системы Защита информации обеспечивается шифрованием данных «на лету». При чтении данных с диска происходит их расшифрование, при записи на диск — зашифрование. Находящиеся на диске данные всегда зашифрованы. Алгоритм шифрования выбирается администратором при создании защищенного диска и может быть изменен в любой момент в процессе работы. Защищенный диск можно подключать и отключать. Отключенный защищенный диск выглядит как неформатированный. С подключенным защищенным диском вы работаете точно так же, как с обычным диском. Для того чтобы подключить защищенный диск, необходимо обладать смарт-картой или электронным ключом eToken администратора, знать его PIN-код и иметь соответствующие полномочия как на уровне сервера в целом, так и по отношению к данному диску. При прямом просмотре содержимое отключенного защищенного диска выглядит как случайная последовательность битов или, говоря по-другому, «белый шум», поскольку все данные зашифрованы. По содержимому раздела диска невозможно определить, является ли данный раздел просто неформатированным, или же на нем имеется какая-то информация. Так Secret Disk Server NG обеспечивает защиту конфиденциальной информации от несанкционированного доступа, а также сокрытие наличия данных на компьютере. При обращении к инструментам управления Secret Disk Server NG администратор должен подключить к компьютеру свой eToken, указать свой сертификат и ввести PIN-код. Процесс шифрования диска может быть приостановлен администратором или даже прерван (например, из-за перебоев электропитания) - это не повлечет за собой потерю данных. Приостановленный или прерванный процесс шифрования может быть возобновлен в любой удобный момент. По завершении процесса шифрования все содержимое диска становится зашифрованным, что обеспечивает надежную криптографическую защиту хранящихся на нем данных. На сервере может быть зарегистрировано произвольное число администраторов Secret Disk Server NG. Любой администратор может добавить нового администратора, однако добавляемый администратор будет иметь доступ только к тем дискам, к которым имеет доступ добавляющий. По умолчанию все администраторы равноправны по отношению ко всем защищенным дискам сервера. Вместе с тем в Secret Disk Server NG предусмотрена возможность, коллективной работы администраторов с разграничением доступа: каждому защищенному диску можно сопоставить свой уникальный список администраторов, имеющих полномочия управлять данным защищенным диском. Пользователи обращаются к защищенным дискам по сети в зависимости от полномочий, определяемых операционной и файловыми системами. В качестве альтернативы многопользовательского доступа к данным на защищенном диске можно использовать запрет сетевого доступа, например, для дисков, на которых хранятся корпоративные базы данных. Непосредственно обращаться к данным на таком диске будут только соответствующие приложения, установленные на сервере. А пользователи смогут работать с данными не напрямую, а только через интерфейс этих приложений. Доступ по сети к содержимому такого подключенного защищенного диска невозможно будет получить никому, даже администратору домена Windows (через административные сетевые ресурсы). В состав Secret Disk Server NG входит программно-аппаратный комплекс Secret Disk Alarm Service, состоящий из программного обеспечения и «красной кнопки». Если в результате возникновения нештатной ситуации возникает угроза несанкционированного доступа к данным, хранящимся на защищенных дисках, нажатие «красной кнопки» приводит к выполнению на сервере команд, экстренно предотвращающих несанкционированный доступ. В частности, предусмотрены несколько режимов отключения защищенных дисков и полное удаление защищенного хранилища. Недостатки типового метода хранения данных Возможен доступ к данным со стороны следующих лиц: Злоумышленник (человек, сознательной целью которого является получение доступа к вашим конфиденциальным данным), получивший физический доступ к серверу и/или дискам с конфиденциальными данными, и обладающий возможностью привлечения значительных вычислительных ресурсов для получения доступа к данным. Посторонее лицо, получившее легальный доступ к серверу (например, при сервисном обслуживании). Любопытный сотрудник – сотрудник организации (по роду своей деятельности не должен иметь доступа к конфиденциальным данным, но желающий с ними ознакомиться), который может воспользоваться ошибками администрирования, (например, неожиданно представившейся возможностью просмотра содержимого диска с конфиденциальной информацией по сети) или повысить свой уровень полномочий в операционной системе до административного с целью скопировать интересующие файлы (базу данных, хранилище электронных писем) для последующего просмотра. Администратор операционной системы (по умолчанию имеет самый высокий уровень прав доступа), имеющий возможность обратиться по сети к любому диску сервера с помощью так называемых административных сетевых ресурсов). Нет возможности оперативного отключения, сокрытия или уничтожения конфиденциальной информации, хранящейся на жестком диске, в случае возникновения нештатных ситуаций (к примеру, вооруженное ограбление офиса).
  21. Один компьютер Описание Все компоненты Secret Disk Server NG установлены на одном компьютере. Архитектура – см. слайд. Особенности Данный сценарий может рекомендоваться только в исключительных случаях, например при острой нехватке квалифицированного IT-персонала. Преимущества Нет внешних признаков наличия установленных компонент Secret Disk Server NG на компьютерах сотрудников (подключенные «красные кнопки», ПО для подачи сигнала тревога, консоль управления и т.д.); никто из сотрудников организации (за исключением системного администратора и администратора Secret Disk Server NG) не знает об установке и использовании Secret Disk Server NG. Недостатки Отсутствие возможности удаленного управления сервером; отсутствие возможности подачи сигнала «тревога» с удаленной рабочей станции; ограниченная дальность подачи сигнала «тревога» с помощью радио-брелока (не более 50 метров от самого сервера).
  22. Сервер, рабочая станция администратора и внешняя рабочая станция для подачи сигнала «тревога» Описание Аналогичен предыдущему случаю, но в качестве рабочей станции для подачи сигнала «тревога» используется компьютер, не входящий в домен организации. Архитектура – см. слайд. Особенности В качестве рабочей станции для подачи сигнала «тревога» может выступать, например, компьютер офицера безопасности. Этот компьютер может не быть членом доверенного домена, на нем обычно установливается ПО для систем контроля и управления доступом (СКУД); данный сценарий может быть рекомендован при наличии в организации службы охраны. Преимущества Возможность удаленного управления сервером; возможность подачи сигнала «тревога» с удаленной рабочей станции; нет ограничения дальности подачи сигнала «тревога» с помощью радио-брелока (50 метров от рабочей станции для подачи сигнала «тревога», которая, в свою очередь, может быть удалена от сервера в пределах топологии сети).
  23. Несколько серверов, рабочая станция администратора и рабочая станция для подачи сигнала тревога Описание Ситуация, аналогичная описанным выше сценариям, но в пределах одного домена Windows присутствуют несколько серверов Secret Disk Server NG. Архитектура – см. слайд. Особенности При необходимости вы можете приобрести дополнительные eToken сервера или лицензии сервера для имеющихся у вас eToken и установить компонент «сервер» на несколько серверов; управление несколькими серверами Secret Disk Server NG можно осуществлять централизованно. Для этого нужно использовать подключение к удаленным рабочим столам или на рабочей станции администратора подготовить консоль управления Microsoft с несколькими оснастками Управление Secret Disk Server, подключенными к разным серверам; в Secret Disk Alarm Service предусмотрена возможность подачи сигнала «тревога» одновременно нескольким серверам. Преимущества Централизованное администрирование и сопровождение серверов с одной рабочей станции (запуск/останов, подключение/отключение дисков, подача сигнала «тревога»); нет ограничения дальности подачи сигнала «тревога» с помощью радио-брелока (50 метров от рабочей станции для подачи сигнала «тревога», которая, в свою очередь, может быть удалена от сервера в пределах топологии сети).
  24. Три варианта лицензий:- сервер приложений- файловый сервер- комбинированная лицензия Количество администраторов на сервере не ограничено (eToken «Admin») Число установок – не ограничено Для файлового сервера: количество пользователей задается в лицензии на SDS Для сервера приложений: количество работающих приложений не ограничено
  25. Сертифицированная версия Secret Disk Server NG основана на версии Secret Disk Server NG 3.2 и может быть использована при создании и применении автоматизированных систем до класса защищённости 1Г, а также для защиты информации в ИСПДн до 1 класса включительно. Сертификат ФСТЭК России №1487 от 02 ноября 2007 г. Назначение сертифицированной версии Secret Disk Server NG Сертифицированная версия предназначена для защиты конфиденциальной информации и персональных данных в информационных системах органов государственной власти, государственных организаций и других предприятий. Secret Disk Server NG может быть использован как самостоятельное решение, а также как элемент комплексной системы для решения следующих задач: защита конфиденциальных данных на серверах; разграничение доступа к данным, хранящимся и обрабатываемым на серверах; сокрытие наличия конфиденциальной информации на серверах; обеспечение соответствия требованиям законодательства, в том числе 152-ФЗ РФ "О персональных данных". Особенности сертифицированной версии Secret Disk Server NG Использование операционных систем Microsoft Windows 2000 Professional SP2/XP Professional/Server 2000 SP2/Server 2003. Использование сертифицированных моделей электронных ключей (входят в комплект поставки).
  26. Система Secret Disk Enterprise предназначена для решения в масштабе предприятия следующих задач: Защита информации от несанкционированного доступа, обеспечение конфиденциальности информации,на персональных компьютерах и ноутбуках Централизованное управление защищенными ресурсами и доступом к ним Разграничение прав доступа, исключающее несанкционированный доступ к защищенным данным даже системных администраторов
  27. Давайте посмотрим, как ДО Secret Disk Entrprise проходило внедрение Secret Disk 4 в крупной организации ? До Secret Disk Enterprise для развёртывания продукта в корпоративной среде администратор IT и администратор ИБ (если их роли разделялись в компании – то это 2 человека) должны были подойти на КАЖДОЕ рабочее место и, оторвав сотрудника от работы, выполнить следующие действия: Установить ПО Secret Disk (администратор IT) Зарегистрировать eToken администратора Secret Disk (администратор ИБ) Создать зашифрованные диски (администратор ИБ, возможно потребуются полномочия администратора рабочей станции) Сохранить резервную копию всех ключей шифрования дисков (администратор ИБ) Зарегистрировать eToken пользователя в Secret Disk И так повторялось на всех рабочих станциях … Представляете, какой объем работ и какова степень отвлечённости специалистов и рядовых сотрудников ? И сколько это стоило в терминах TCO (ССВ, совокупной стоимости владения системой)?
  28. Централизованная установка клиентского ПО (Secret Disk Agent) на рабочие станции пользователей через механизм установки ПО службы каталогов AD – это выполняет системный администратор, никто никуда не ходит, никто никого не отвлекает от работы. Централизованное управление конфигурацией (какие диски шифровать) и правами доступа пользователей к данным на них (регистрация ключей пользователей) – выполняет администратор ИБ Система дружественна к пользователю, интерфейс крайне прост. Пользователь не имеет возможности воздействовать на работу системы и/или изменить её.
  29. Secret Disk Enterprise – корпоративная система защиты конфиденциальной информации с централизованным управлением. Продукт представляется собой «надстройку» над доработанной персональной версией SD и позволяет выполнять большинство административных и обслуживающих операций централизованно Продукт состоит из двух основных частей: сервера управления (Secret Disk Management Server) клиентского программного обеспечения (Secret Disk Agent), построенного на основе Secret Disk 4. С помощью политик Аctive Directory системный администратор разворачивает клиентскую часть на рабочих местах сотрудников. Secret Disk Agent с заданной периодичностью обращается к системе управления за служебной информацией и на основе этих данных выполняет процедуры шифрования разделов и дисков. Пользователь с помощью своего электронного ключа выполняет аутентификацию и получает доступ к защищенным ресурсам. Состояние объектов защиты на рабочем месте пользователя, а также настройка и выполнение других задач доступно операторам системы, как через мастер первоначальной настройки, так и через административный Web-портал. Архитектура SDMS поддерживает различные сценарии установки серверных компонентов (шлюз клиентов, сервер бизнес-логики, административный Web-портал), в том числе: Все компоненты устанавливаются на одном сервере Каждый компонент устанавливается на отдельном сервере Компоненты устанавливаются на сервера в произвольной комбинации (например, шлюз клиентов и административный Web-портал на одном сервере, сервер бизнес-логики – на другом). Расчет подключаемых клиентов выполняется на основе лицензий, загружаемых в SDMS. Лицензия характеризуется именем рабочего домена, кол-вом клиентов, кол-вом доп. Клиентов, периодом действия, применимостью к версии SDMS.
  30. Централизованное управление защищенными ресурсами и доступом к ним Защита данных на системных, логических и виртуальных дисках Аутентификация пользователя до загрузки операционной системы по USB-ключу или смарт-карте Поддержка различных алгоритмов шифрования данных, в т.ч. по ГОСТ 28147-89 из состава КриптоПро CSP Аутентификация доступа по электронному ключу еToken — обеспечение надежной двухфакторной аутентификации Управление настройками, мониторинг работоспособности и диагностика состояния клиентского ПО на каждом рабочем месте Работа с защищенными данными вне корпоративной сети — сотрудник, уехавший в командировку, может продолжать работать с этими данными на своем ноутбуке Гибкая ролевая модель: наличие предопределенных ролей, возможность их настройки и создание новых Аудит использования защищенных ресурсов
  31. На слайде представлены системные требования компонентов Secret Disk Enterprise: – Secret Disk Agent. – Secret Disk Management Server. Помимо указанных требований есть несколько особенностей: - Установка должна выполняться под учетной записью администратора - «Установщик» SDMS получает полные привилегии в продукте и становится первым оператором Помимо указанных требований есть несколько особенностей: - для работы клиента необходимы ПК под управлением домена c Active Directory - для поиска клиентом сервера, клиент обращается на фиксированную DNS запись. Для корректной работы необходимо выполнить настройки DNS сервера, обслуживающего домен. - установка должна выполняться под учетной записью администратора и может происходить в двух режимах: Локальное развертывание клиента Тиражирование через GP
  32. Обязательное программное обеспечение Для сервера бизнес-логики: - Microsoft .NET Framework 3.5 SP1; - eToken PKI Client 5.1 SP1 или SafeNet Authentication Client 8.0 SP2. Для сервера шлюза клиентов: - Microsoft IIS версии 6 и выше; - Microsoft .NET Framework 3.5 SP1. Для сервера административного веб-портала: - Microsoft IIS версии 6 и выше; - Microsoft .NET Framework 3.5 SP1; - Браузер Internet Explorer 7.0 или более поздней версии. Сервер базы данных: Microsoft SQL Server 2005/2008 В составе ИТ-инфраструктуры предприятия должна быть установлена служба каталогов Active Directory
  33. Существуют 3 основных сценариев развёртывания SDE, и у каждого есть свои преимущества и свои ограничения. Эти сценарии будут подробно рассмотрены в следующей презентации. Важно понять: Архитектура продукта обеспечивает полную преемственность и модульность, т.е. начав с хост-установки можно в последствии (по завершении пилота и/или увеличении числа пользователей) перейти к установке с выделенным сервером БД и т.д. При этом не требуется переустанавливать весь продукт, все пользовательские и конфигурационные данные будут сохранены. Для каждого из перечисленных на слайде сценариев дать его краткое описание, преимущества и ограничений, рекомендации по использованию. Aladdin рекомендует: Хост-установка – для пилотных проектов и небольших внедрений – до 100 пользователей Установка с выделенным сервером БД – до 500 пользователей Установка с выделенными серверами БД и бизнес-логики – до 1000 пользователей Установка с балансировкой нагрузки и «горячим» резервированием – от 1000 пользователей
  34. Данный сценарий установки рекомендуется для ознакомления с возможностями продукта, выполнения пилотных проектов, внедрений до 1000 рабочих мест
  35. Сервер БД выносится в отдельный сегмент сети, доступа из общего сегмента сети к нему нет. За счёт выделения сервера БД снижается нагрузка на Сервер Управления. Данный сценарий установки рекомендуется для внедрений от 1000 до 5000 рабочих мест.
  36. Выделяются сервера бизнес-логики, БД, шлюз клиентов + административный Web-портал. За счёт выделения компонентов снижается нагрузка на отдельные сервера. Появляется возможность балансировки нагрузки. Данный сценарий установки рекомендуется для внедрений
  37. Ролевая модель является весьма гибкой. В продукте имеются 6 встроенных ролей (они отражают «лучшие практики» внедрения продукта, являются хорошей отправной точкой для начала работы с продуктом, рекомендуются к использованию, если на предприятии нет строгой политики ИБ), а также имеется возможность определять новые роли, что позволяет гибко настроить продукт в соответствии с действующей на предприятии политикой ИБ. В Secret Disk Enterprise предусмотрено 6 встроенных ролей: оператор; администратор информационной безопасности; пользователь; аудитор; агент восстановления ключей; инженер по обслуживанию. Первый пользователь, запустивший и успешно выполнивший первоначальную настройку, приобретает все предусмотренные в Secret Disk Enterprise роли. В дальнейшем роли пользователям назначает администратор информационной безопасности.
  38. Доступ к журналам осуществляется через административный Web-портал. Группировка событий помогает собрать воедино регулярно повторяющиеся аналогичные события (чтобы на «замусоривать» экранное представление)
  39. В Secret Disk 4 лицензия привязана к уникальному серийному номеру eToken. Это делало невозможным перенос лицензии с одного eToken на другой (например, в случае поломки eToken), что вело к необходимости приобретения дополнительных лицензий. Лицензия SDE, это: серверная лицензия + клиентские лицензии + лицензия на техподдержку Аналогично лицензированию eToken TMS Серверная лицензия Фиксированная стоимость Приобретается однократно на домен Microsoft AD Клиентские лицензии приобретаются по числу рабочих мест Начальное количество Дополнительные лицензии Скидки на количество Лицензия на техподдержку Зависит от числа приобретённых клиентских лицензий При приобретении клиентской лицензии стоимость техподдержки на первый год уже учтена в стоимости лицензии
  40. Сертификаты ФСТЭК подтверждают: выполнение продуктом заявленных функций; отсутствие в исходном коде недекларированных возможностей (таких как программные закладки, «back door» и т.п.) Сертификат ФСБ = корректность использования сторонней криптографии Основные руководящие документы Сертификация по ОК с уровнем доверия ОУД1+ (Руководящий документ Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий») Сертификация по НДВ по 4-му уровню контроля (Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей») Сертифицированные версии Secret Disk могут быть использованы при создании и применении автоматизированных систем до класса защищенности 1Г включительно.