В обзоре участвовали 4 отечественные системы: Страж NT, Secret Net, Dallas Lock и БлокПост. Тем, кто не хочет сильно вникать в проблему, а ищет весёлое чтиво, могу предложить перейти к обзору БлокПост.
Первая версия обзора относится к 19-ому февраля 2012-ого года.
Вступление
Пару дней назад ходил в банк, в котором держу свои денежные ресурсы, дабы отказаться от ненужной мне услуги информирования по SMS о приходе/расходе своих средств. Деньги я считать умею, а дарить банку ежемесячно 90 рублей за работу стоимостью в рубль (меньше 30 копеек — стоимость SMS’ки, 20 копеек на поддержку серверов) мне не нравится. И самое гадкое — подключили сами (1 месяц — бесплатно), а отключать я должен к ним идти (прикинул — за пол года моё время окупится).
Так вот, во время общения с менеджером, которая осыпала сервисами, которые готов предоставить банк (само собой, не из альтруистических соображений), пришлось мне подписать пару бумажек. Господи, как они начинают раздражаться, когда клиент начинает читать эти бумажки — ужас! В одной из них был пункт, что я доволен средствами применяемыми банком для обеспечения безопасности моих персональных данных. Я не стал дискутировать с менеджером на тему тех. средств, что они используют (не было ни времени, ни настроения), но большинство их клиентов понятия не имеет о них. Хоть бы что ли экскурсию водили, дабы клиенты могли с чистой совестью подписаться под этим пунктом.
Ладно, не хотят они, за них это сделаю я
Про СЗИ
Средств защиты информации(во многих источниках — СЗИ) много, но так как нас интересует сохранность наших данных, мы будем рассматривать СЗИ от несанкционированного доступа. Раз дело касается персональных данных, то регулируют действия банка в этой сфере закон «О персональных данных» и закон «О банках и банковской деятельности».
Все ниже перечисленные средства могут быть использованы в банковском деле — средства сертифицированы по нужному классу безопасности. Собственно, банковские организации обязаны использовать нечто подобное для защиты данных по закону (поэтому, клиенту можно и не задумываться), однако, это нам не мешает проявить любопытство и рассмотреть эти средства.
Сертификацией СЗИ в области защиты информации от несанкционированного доступа занимаются организации ФСТЭК и ФСБ (криптографические средства).
О том, какие есть классы данных и систем обеспечения безопасности, можно прочитать на сайте ФСТЭК.
Страж NT
Данный комплекс работает на 32х битных системах MS Windows с Windows 2000 до Windows 7. В моём распоряжении оказалась версия 2.5, которая не поддерживала Windows7 (текущая — 3.0).
Первой задачей любого комплекса СЗИ является определение устройства, с которого производится загрузка, а также — защита оного. Так что просто написать программу под Windows не выйдет — нужно подходить к делу по-хитрому — проверить всё раньше, чем кто-нибудь успеет чихнуть. В версиях до 2.0 (включительно) Страж прописывался в BIOS, таким образом, мог получить управление сразу после процедуры POST (Power On Self Test) BIOS’а. Однако, BIOS’ов много, поддерживать все затруднительно. Ныне Страж NT прописывается в MBR(главная загрузочная запись) , размазывая информацию по первой дорожке жёсткого диска, хитро перемешивая её.
Защита интересная, но если за дело берутся не «люди с улицы», а профессионалы, система всё же позволяет получить доступ к информации, содержащейся на диске. Примонтировать такой диск стандартными утилитами, конечно, не получится, но анализировать его при помощи утилит работы с «сырыми» данными (к примеру, dd) возможно.
Итак, давайте загрузим Страж:
От нас просят идентификатор, созданный при установке. В моём случае это дискета — вставляю её и ввожу пароль.
Вот такое окошко появляется, когда вводишь неправильный пароль А ещё pc speaker начинает пищать, изображая сирену…
Здесь можно создать ещё пользователей, идентификаторы для них, определить уровни доступа.
Здесь же настраиваются грифы секретности. Их 3: для всех, секретно и совершенно секретно.
При попытке сохранить файл в папку, недоступную для записи, возникает ошибка.
Помимо данных, права назначаются и на программы.
При запуске программы предлагается выбрать: с каким уровнем доступа её запускать.
Можно настроить и проверку целостности файлов.
При возникновении ошибки нарушения целостности доступ к системе блокируется, пока администратор не разрешит возникшую проблему. Есть и другие варианты — проверять при использовании контролируемых данных, тогда блокируется доступ к данным.
Также Страж поддерживает логирование событий системы и надёжное удаление информации (см. утилиту shred для Linux).
Стоимость Страж NT
Как и обещал andry, публикую оценочную стоимость использования данного СЗИ:
Прайс-лист находится здесь. Лицензия, в среднем, стоит 7000 рублей. Идентификатор — от 450 до 1200 рублей. Замечу, что в Страже можно использовать ключ Guardant, уже описанный на данном блоге. Скорее всего, покупателю потребуется помощь в установке и первичной настройке данного комплекса, которая стоит ещё 2000 рублей. Итого — 10.000 рублей за одно рабочее место. Не так уж много, если сравнивать стоимость рабочего места программиста (MS VS), или дизайнера (Photoshop).
Оценка Страж NT
Хорошее решение в данной области. Обидно, что в новых версиях защита производится на уровне MBR, а не BIOS, как в 1.0 и 2.0. Также отсутствует интеграция с программно-аппаратными комплексами «Соболь» и «Аккорд».
В 3ей версии добавили возможность криптографических преобразований над данными. В том числе за счёт этого, комплекс сертифицирован по 1Б классу безопасности автоматизированных систем (АС) и по 1ому классу безопасности для работы с персональными данными.
В обзоре же использовалась версия 2.5, сертифицированная по 1В классу безопасности АС.
Secret Net
Аналогично системе Страж NT, Secret Net 6ой версии работает с ОС Windows до версии 7, включительно. Однако, в сравнении со Стражем, Secret Net также поддерживает архитектуру amd64.
Разработкой системы занимается компания «Код Безопасности», которая выпускает ещё массу софта, предназначенного для информационной защиты.
Secret Net умеет работать с программно-аппаратным комплексом «Соболь».
В моём же случае, используется предыдущая версия — 5.1. «Соболя» в моём «арсенале» также нет.
Итак, приступим!
Пользователи в Secret Net создаются через стандартный интерфейс Windows, знакомый всем Windows-администраторам.
Secret Net использует встроенную в Windows модель доступа к данным, как реализацию дискреционной:
Что также не будет сюрпризом для администраторов.
Так выглядит панель администрирования Secret Net. На скриншоте — создание Замкнутой Программной Среды и расчёт для проведения Контроля Целостности.
Secret Net также добавляется в стандартную утилиту настройки локальных параметров безопасности. Её можно найти в «Панели инструментов» -> «Администрирование». На скриншоте можно увидеть: что можно контролировать с помощью Secret Net.
Система добавляет вкладку в настройку пользователей в утилите «Локальная политика безопасности». Здесь можно настроить уровень допуска пользователя, а также — дополнительные возможности: печать, администрирование (доступа к информации), использование внешних носителей. Помимо уровня доступа, следует отметить возможность создать персональный идентификатор, который будет записан на Rutoken, таблетку или другое устройство идентификации.
При входе пользователю предлагается выбрать уровень доступа для сеанса работы. В более привычной, для некоторых, нотации это «Несекретно», «Для Служебного Пользования» и «Секретно».
Названия уровней секретности данных те же, что и для уровней доступа пользователей.
Настройка замкнутой программной среды.
Проверку целостности системы можно настроить, даже поставить в расписание.
Стоимость Secret Net
Распространением компания-производитель не занимается, а отсылает нас со своего сайта на сайты партнёров.
Побродив по партнёрам, нашёл прайс для версии 5.1. Итак, во что же нам обойдётся одно рабочее место? Лицензия стоит 6400 рублей, установочный диск — 250 рублей, электронный ключ ~ 600 рублей + сколько-то нужно будет заплатить компании-интегратору. В результате — те же 10 — 11 тысяч рублей.
Оценка Secret Net
Из 4х рассмотренных мной комплексов (а их будет 4 в этой заметке) Secret Net представляется наиболее продуманным и дружелюбным. Отсутствие своих механизмов дискреционного разграничения доступа не является проблемой — стандартные средства Windows (на NTFS) предоставляют достаточно возможностей настройки дискреционного доступа (ещё бы, при 14 параметрах в настройке прав то!).
Отдельным плюсом является то, что комплекс может быть использован совместно с системой «Соболь» для контроля за аппаратными средствами.
Аналогично Стражу, имеет сертификат безопасности автоматизированной системы до 1Б уровня, включительно.
Dallas Lock
Система Dallas Lock работает на ОС Windows версий 95 — 7 о поддержке 64х-битной архитектуры разработчики не говорят, от куда делаем вывод, что её нет. Ну что, и то неплохо К сожалению, в моём распоряжении была версия 7.0, предустановленная на Windows Server 2000. Актуальная версия — 7.7. Однако, как показывает практика, различия в версиях подобных систем — чисто символические: поддерживается новая ОС, на внесены изменения для прохождения каких-либо сертификаций.
Однако, даже если и не было больших изменений, это всё ещё система, сертифицированная для работы с различного рода тайнами (кроме гос. тайны) и персональными данными.
Итак, осмотр данного СЗИ я провожу также в VMware Player’е.
Система Dallas Lock имеет свой менеджер для администрирования. Он во многом повторяет стандартную оснастку Windows, от чего создаётся не самое лучшее впечатление. Куда логичнее было всроиться в неё, но… видать, так оно проще.
Как и вышеописанные системы, Dallas Lock позволяет разделять пользователей на 3 уровня: не секретно, секретно, сов. секретно. В файловом менеджере можно увидеть, является ли папка секретной.
При входе в систему можно выбрать уровень конфиденциальности, в котором будет запущен сеанс. Левая нижняя кнопка «>> <<» непонятного предназначения — кнопка для выбора уровня. Как всегда, средство безопасности нелогично для пользователя .
Попытался из секретного файла скопировать в несекретный. Система не дала — всё правильно.
Помимо мандатного доступа, есть ещё надстройка для дискреционного. Куча галочек как в NTFS. Ещё одна «пристройка» к системе.
Как и предыдущие системы, Dallas Lock поддерживает автоматическую проверку целостности фалов. Ради примера установил контроль на обычный файл и изменил его. Разумнее, конечно, контролировать системные файлы… Но для примера сгодится любой.
Проверяются файлы с помощью сопоставления их с предварительно созданными хешами.
Аналогично Guard NT и Secret Net, Dallas предоставляет доступ к журналам, в коих идёт запись различных событий.
Также настраиваются параметры печати: одно из требований безопасности — наличие штампа — на какой машине, от чьего имени и с какими привилегиями был напечатан этот файл.
Стоимость системы Dallas Lock
Как-то неуютно и непонятно на сайте Dallas Lock. Сами они продажами не занимаются — всё через диллеров. В списке распространителей тоже суета: ссылки на сайты, но не на страницы, где можно было бы приобрести, часть сайтов лежит…
Ладно, нашёл один из сайтов, что продают их решение. В прайсах (да, я загрузил xls’ку и почитал) отсутствуют пункты о поддержке, установке. В общем, если Вы выбрали это решение — все проблемы Ваши!
Цена, правда, в разы меньше: лицензия на использование на 10 машинах стоит 15 тысяч рублей. Цена невелика, да только непонятно, что покупается…
BlockPost
И, напоследок — самое весёлое. Система Blockpost была разработана по заказу ГазПрома. Думаю, после этих слов у многих появилась тоска в глазах и ожидание ключевого слова «распилы». И не зря! Система неудобна до предела, непонятна и дырява. Единственное объяснение её появления на свет — нежелание делиться деньгами с незнакомыми людьми.
И оно понятно: выкладывать N-ое количество денег за софт, которым и пользоваться не будут, просто для того, чтобы пройти какую-то комиссию…
Да, у меня несколько предвзятое отношение, однако, подобные действия ГазПрома не делают его тёплым и пушистым в моих глазах.
Итак, система имеет лишь одну стабильную (ой ли?) версию — 1.0 и доступна для систем Windows 2000 и XP. Наконец-то у мне актуальная версия продукта!
Итак, создаём пользователя. И тут нас подстерегает первая «неожиданность»: пользователя надо создать в 2х местах — в стандартной оснастке Windows и в менеджере Blockpost. При чём, пароли должны совпадать.
Доступ к внешним носителям можно заблокировать. И не так как на Secret Net — для различных уровней доступа — различные блокировки. Неееет, блокировать, так всем и сразу. Хотя, нет, не всем — есть в системе суперпользователь — администратор. Он здесь может всё. Даже использовать внешние носители. Однако, если он подключит какой-либо порт, доступ откроется для всех. Вот такая вот… шутка от разработчиков.
К слову, наличие пользователя с неограниченными правами — это, почти всегда, жуткая дыра в безопасности для многопользовательской системы… Но тут требование было не создать безопасную среду, а пройти сертифицирование… Так что всё путём
Наличие возможности ограничить по времени доступ к системе — это плюс. При чём, есть 2 режима — закрыть всё, не задавая вопросов, и «мягко».
Дискреционное разграничение доступа реализовано самым дубовым способом. Из 14 полей безопасности NTFS оставили только 2 и добавили гарантированное удаление.
А вот маленький эксперимент. На верхнюю папку права отсутствуют, на внутреннюю — полные. В итоге: нам не покажут содержимое верхней папки, однако, мы можем попасть во внутреннюю, прописав её адрес в файловом менеджере. Во внутренней папке мы можем создать файл, изменять его, но переименовать его мы не сможем. Вот так-то!
А это мы уже в режиме определения защищённых программ. Ставим запрет на использование сапёра. После чего копируем его в другое место и запускаем.
Есть и второй режим настройки доступа к программам. На этот раз — работающий. Собственно, его то и стоит использовать, в случае чего. Однако, нет предустановленных профилей — придётся самому определить программы, имеющие право на запуск. Это касается и системных утилит.
Тут уже финты с копированием не пройдут:
Отдельно хочется упомянуть реализацию мандатной модели разграничения доступа. Снимков я не сделал — находился под впечатлением. Воистину, шикарная реализация. Вместо банальных уровней «не секретно», «для служебного пользования» и «секретно», каждому пользователю присваивается метка (от 1 до 255). Метки у разных пользователей не могут совпадать. Пользователь с более высокой меткой может читать файлы, разрешённые для чтения пользователю с менее высокой. Писать — только в свой уровень. Прямо драконовские меры! Но, «строгость российских законов компенсируется необязательностью их исполнения». Файлы, на которые не установлены права, могут быть прочитаны и изменены любыми пользователями. Туда можно копировать секретную информацию и т.д. и т.п.
В общем, шикарная система, никому не рекомендую. Также не рекомендую передавать свои секретные данные в ГазПромБанк и прочие смежные организации: уровень хранения будет низок как никогда.
Стоимость БлокПост
Вы спросите: «И за это ещё кто-то будет платить». Видимо, да. Систему можно приобрести на официальном сайте за 4.150 рублей — штука. Ещё 500,32 рубля — установочный пакет. Не самое дешёвое, должен сказать, решение.
Итого
Среди всех описанных систем, я бы выбрал Secret Net. Система предоставляет удобный интерфейс, возможность использования совместно с электронными замками типа «Соболь» и «Аккорд». Помимо СЗИ фирма, занимающаяся разработкой, выпускает целый комплекс решений для обеспечения безопасности. Также можно будет нанять специалиста для установки и настройки, а также обучить администратора на их курсах.
Георгий, привет ! Ну и пойми вот человека — что ему надо? Тебе значит, банк услугу почти задаром, а ты что? — правильно, надо расковырять и посмотреть их систему СКЗИ! Никогда не угадаешь, что люду надо
Будешь продолжать обзор — упомяни о ценах на эти чудо-изделия и программки!
Доброго дня
Я то знаю сколько стоят sms’ки и сервис — сам писал SMS-шлюз в нашей фирме. А за год мне накапает более 1000 рублей — пара месяцев хостинга vps’ки или поход в кино. И всё это для того, чтобы знать то, что я уже знаю… Чисто из принципа не могу пойти на это. А то что мне интересна их система безопасности — тоже понятно: специальность у меня такая: «компьютерная безопасность» — сработала радость узнавания
И да, вряд ли у них используется СКЗИ — по ФЗ этого не требуется, а лишнее они вряд ли будут делать.
Хорошо, стоимость тоже будет. Хотя, тут надо помнить, что арифметика у компаний совершенно иная.
Георгий, привет ! Отличная статья, спасибо! Почитал — понравилось. С Secret Net работал в сбербанке довольно плотно — отличный ПАК — просто и надежно!
Гоша, а уязвимости в защитных механизмах СЗИ не пытались искать?
Добрый день! Среди целей, что я преследовал не было поиска уязвимостей. Однако, каждый раз, когда меня что-нибудь смущало, я пытался разобраться в причине поведения программы / решений разработчиков. В пункте про Блокпост всё же описаны некоторые изъяны комплекса. При чём, фатальные.
На самом деле обзор не очень. Без обид начало хорошее про страж а дальше будто другой человек писал.
SecretNet-плюсы:
- все красиво;
- все удобно и привычно(стандартный интерфейс);
Вот и все плюсы, возможность использования с Соболь это скорее не преимущество, а наоборот минус потому как остальные средства ну на счет «БлокПост» не знаю, а вот Страж и Даллас без дополнительных плат соответствуют всем требованиям сертификатов. Ты умолчал, что соболь 11 т.р. стоит + 6,7 + установка + обслуживание за секрет нет и только тогда он будет соответствовать требованиям своего же сертификата. Так же большим минусом является большой размер установочных файлов это где то два файла по 200 метров. Тот же даллас 28 метров. В случае большого количества ПК у далласа есть функция северной части называется «Сервер безопасности».
Стоимость далласа 6 т.р. лицензия 1,5 т.р. установка 10% годовое обслуживание. Страж и тот дешевле.
lomakin-a, у СЗИ SecretNet есть два варианта функционирования — автономный и сетевой, во втором варианте SN развертывается в сети с ActiveDirectory, централизованно управляется и устанавливается на компьютеры пользователей через домен.
Что касается необходимости наличия модуля доверенной загрузки (МДЗ) тут несколько вариантов:
1. Версия Secret Net 6 вариант К может использоваться без МДЗ, имеет сертификат 4 НДВ, 5 СВТ и может использоваться в АС до класса 1Г и ИСПДн К1.
2. Для защиты гостайны МДЗ обязателен, но кроме Соболя есть еще варианты, например, плата Secret Net Card (около 3-5 тыс. руб.) или программное решение Trusted Boot Loader (около 2 тыс. руб.).
Для защиты гостайны МДЗ обязателен и Trusted Boot Loader на это не годится(может использоваться для защиты конфиденциальной информации не составляющей государственную тайну в автоматизированных системах до уровня 1В включительно и защиты персональных данных до 1 класса включительно).
СЗИ СТРАЖ 3.0 имеет ТУ в котором говорится что для защиты гостайны потребуется защита BIOS — обычно МДЗ для этого применяют, так что наличие интеграции с аппаратным Соболь в SecretNet -это преимущество.
Ррребята, не берите Dallas Lock. Это дичайший трындец российских нанотехнологий.
Secret Net решает вопросы за кокосы.
Скажите какая программа лучше? DALLAS LOCK 8.0 или СОБОЛЬ 3?
Это СЗИ разного класса, Dallas Lock — это СЗИ от НСД, альтернатива от Код Безопасности — SecretNet, оба этих решения описаны в данной статье. Соболь — это программно-аппаратное средство доверенной загрузки компьютера.
Подробнее про SecretNet — http://www.securitycode.ru/products/secret_net/
Про ПАК «Соболь» — http://www.securitycode.ru/products/sobol/