Программно-аппаратный комплекс Аккорд

Аккорд Nt 2000 V3.0

Программно-аппаратный комплекс средств защиты информации (ПАК СЗИ) Аккорд-NT/ 2000 V3.0 предназначен для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам.

Комплекс работает

- на всей ветви операционных систем (ОС) Microsoft NT +,

- на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и

- на базе серверов семейства Windows 2003, и

- ПО Citrix Metaframe XP, работающем на этих ОС.

Комплекс использует собственную систему разграничения доступа (мандатный и дискреционный методы контроля) и служит фильтром между ядром ОС и расположенным выше прикладным ПО терминальных служб. В нем действия, разрешенные прикладным ПО, но запрещенные АККОРДОМ - будут запрещены пользователю.

Комплексная защита терминальной сессии обеспечивается тогда и только тогда, когда пользователь может работать только с защищенного терминала и только с защищенным терминальным сервером. Для этого в момент создания терминальной сессии со стороны терминального сервера необходимо аутентифицировать не только пользователя, но и терминал, а со стороны терминала необходимо убедиться в том, что терминальный сервер действительно тот, с которым должен работать пользователь. Это возможно только при наличии активных СЗИ и на терминале, и на сервере.

Стало быть, для защиты терминальной сессии необходимо установить комплекс не только на терминальный сервер, но и на терминалы.

В предлагаемой системе защиты терминальных сессий комплексы Аккорд, установленные на терминальных серверах и на пользовательских терминалах, взаимодействуют в рамках виртуальных каналов, построенных на протоколах RDP и ICA. Это позволяет использовать уже установленную связь между сервером и терминалом, а не устанавливать новую.

При этом состав полномочий пользователя инвариантен как к протоколу подключения, так и к типу терминального сервера (Microsoft или Citrix).

Комплекс характеризуется также набором возможностей, добавленных к функциям классической версии ПАК Аккорд-NT/2000 V2.0:

- усиленная аутентификация терминальных станций с помощью контроллера Аккорд или ПСКЗИ ШИПКА,

- идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА),

- опциональная автоматическая идентификация в системе Windows NT+ и на терминальном сервере пользователей, аутентифицированных защитными механизмами контроллера АМДЗ (при таком подходе, избегая повторной идентификации пользователей, можно гарантировать, что ОС будет загружена под именем того же пользователя, который был аутентифицирован в контроллере АМДЗ, и к терминальному серверу подключится тот же самый пользователь).

- управление терминальными сессиями,

- контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет протоколировать вывод документов на печать и маркировать эти документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

В течение всего сеанса работы пользователя ведется подробный журнал событий, в котором фиксируются все действия пользователя на терминальном сервере.

На основании результатов сертификационных испытаний получен сертификат соответствия № 1161, удостоверяющий, что комплекс Аккорд-NT/2000 V3.0 может применяться на объектах информатизации второй категории.

2.3.2. Комплексы "Аккорд-1.95" и "Аккорд-NT/2000" V2.0

Комплексы "Аккорд-1.95" и "Аккорд-NT/2000" V2.0 обеспечивают защиту от несанкционированного доступа к ПЭВМ и информации для

- автономных ПЭВМ и

- сетей с применением персональных идентификаторов пользователей, выполненных на базе устройств iButton и смарт-карт.

В основе комплексов - "Аккорд-АМДЗ" (на базе контроллеров "Аккорд-4++", "Аккорд-4.5", "Аккорд-5", "Аккорд-PC104", "Аккорд-СБ", "Аккорд-МХ", "Аккорд-5.5", "Аккорд-Mini-PCI") и специальное программное обеспечение, реализующее правила разграничения доступа к информации (в "Аккорд-1.95" - для операционных систем MS DOS, Windows 9x, Windows Millenium, а в "Аккорд-NT/2000" V2.0 - для Windows NT, Windows 2000, Windows XP, Windows 2003).

"Аккорд-1.95" и "Аккорд-NT/2000" V2.0 обеспечивают:

- защиту от несанкционированного доступа к ПЭВМ;

- идентификацию/ аутентификацию пользователей до загрузки операционной системы с последующей передачей результатов успешной идентификации/аутентификации в операционную систему;

- аппаратный контроль целостности системных файлов и критичных разделов реестра;

- доверенную загрузку ОС;

· контроль целостности программ и данных, их защиту от несанкционированных модификаций:

- создание индивидуальной для каждого пользователя изолированной рабочей программной среды;

- запрет запуска неразрешенных программ;

- разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;

- разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;

- ·автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса.

Программное обеспечение комплексов позволяет администратору безопасности информации описать любую не противоречивую политику безопасности на основе наиболее полного набора атрибутов (табл. 2.1).

Таблица 2.1. – Набор атрибутов

Для разграничение прав доступа к информационным ресурсам, кроме дискреционного, осуществлен мандатный принцип доступа субъектов к информационным ресурсам.

Кроме этого, администратор БИ для каждого субъекта - пользователя системы определяет:

- перечень файлов, целостность которых должна контролироваться системой и опции контроля;

- запуск стартовой задачи (для функционально замкнутых систем);

- наличие, либо отсутствие привилегий супервизора;

- детальность журнала доступа;

- назначение/изменение пароля для аутентификации;

- временные ограничения - время по дням недели (с дискретностью 30 мин), в которое разрешено начало работ для данного субъекта;

- параметры управления экраном - гашение экрана через заранее определенный интервал

времени (в случае, если в течение указанного интервала действия оператором не выполнялись), подача соответствующих звуковых и визуальных сигналов.

ПО Аккорд-NT/2000 имеет интерфейс подключения внешних антивирусных модулей. В качестве такого модуля может применяться Антивирусное ядро Vba32, разработанное фирмой ВирусБлокАда, или Антивирусное ядро DrWeb.

Совместная работа Аккорд-NT/2000 и антивирусного ядра позволяет

- не только добавить в ПО Аккорд-NT/2000 новую функцию обнаружения и обезвреживания вредоносных программ (при этом динамически проверяются только те объекты, к которым обращается пользователь),

- но и существенно ускорить работу за счёт исключения дублирования проверок (проверки производятся одновременно, а не последовательно, соответственно каждый объект проверяется единожды).

В Аккорд-NT/2000 реализована возможность контроля доступа к USB-устройствам и контроля печати на принтерах, который позволяет протоколировать вывод документов на печать и маркировать эти документ. В качестве маркера может выступать, например, гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация.

Комплексы прошли испытания на соответствие требованиям РД Гостехкомиссии РФ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", их надежность подтверждена широкой практикой его внедрения и различными Российскими сертификатами соответствия. Производство осуществляется на предприятии соответствующем требованиям ISO 9001-2001 (№ РОСС RU.0001.13ИС72 от 23.07.04 г.).

Таблица 1. – Основные характеристики комплексов "Аккорд-1.95" и "Аккорд-NT/2000" V2.0

СЗИ НСД Аккорд-АМДЗ

СЗИ НСД Аккорд-АМДЗ – это аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК – серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

«Доверенная загрузка» – это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.

Комплекс начинает работу сразу после выполнения штатного BIOS компьютера – до загрузки операционной системы, и обеспечивает доверенную загрузку ОС, поддерживающих файловые системы FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX.

Это, в частности, ОС семейств MS DOS, Windows (Windows 9x, Windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista), QNX, OS/2, UNIX, LINUX, BSD и др.

Аккорд-АМДЗ может быть реализован в 5 основных вариантах:

- Аккорд-5 (для шинного интерфейса PCI),

- унифицированный контроллер для шин PCI и PCI-X – Аккорд-5МХ,

- его функциональный аналог в стандарте mini-PCI – Аккорд-5МХ mini-PCI,

- унифицированный контроллер (PCI, PCI-X) Аккорд-5.5, имеющий мощную аппаратно реализованную криптографическую подсистему, и

- его версия для шины PCIe – Аккорд-5.5.e.

Контроллеры могут быть оснащены интерфейсом блокировки двух и более физических каналов (FDD, HDD (IDE), ATX, EATX). В Аккорд-5.5 также реализована возможность отключения питания компьютера в случае, если за N секунд не начал работу BIOS АМДЗ. Аккорд-АМДЗ позволяет использовать для идентификации пользователей смарт-карты, устройства iButton, устройства считывания отпечатков пальцев, а также устройство ШИПКА.

Комплекс применим для построения систем защиты информации от несанкционированного доступа в соответствии с руководящими документами ФСТЭК (Гостехкомиссии) России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей» – по 3 уровню контроля, «Автоматизированные системы. Защита от несанкционированного доступа к информации. Класификация автоматизированных систем и требования по защите информации» по классу защищенности 1Д, и для использования в качестве средства идентификации/аутентификации пользователей, контроля целостности программной и аппаратной среды ПЭВМ (РС) при создании автоматизированных систем, удовлетворяющих требованиям руководящего документа ФСТЭК (Гостехкомиссии) России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Класификация автоматизированных систем и требования по защите информации» до класса 1Б включительно.

2.5. Подсистема "Аккорд-РАУ"

Подсистема "Аккорд-РАУ" - это ПО для автоматизации управления защитой информации в АС. Она объединяет Автоматизированное рабочее место администратора безопасности информации (АРМ АБИ) и пользовательские терминалы, оснащенные СЗИ семейства "АККОРД".

Построена подсистема "Аккорд-РАУ" на основе комплекса "Аккорд-AcXNet", обеспечивающего защищенный обмен данными по сети и работу специального ПО АРМ АБИ (при наличие на АРМ АБИ и рабочих станциях комплексов "Аккорд-АМДЗ" и ПО - для рабочих станций - ПО "Аккорд-1.95" или "Аккорд-NT/2000", для серверов - ПО "Аккорд-NT/2000" - является техническим условием применения подсистемы "Аккорд-РАУ", и в поставку этого продукта данные компоненты не входят!).

Поиск по сайту: