Обзор Secret Disk Enterprise

Введение

Защита хранимых данных — всей информации, находящейся на жестких дисках и съемных носителях, — важная задача в области информационной безопасности. Внедрять криптографическую защиту необходимо повсеместно, однако общемировая статистика показывает, что далеко не во всех организациях выполняется шифрование данных, и это приводит к серьезным проблемам.

В первую очередь шифровать требуется данные на рабочих станциях пользователей и на съемных носителях, используемых в работе. В любой момент сотрудник может потерять свое рабочее устройство или съемные накопители информации, особенно если речь идет о мобильных станциях, например ноутбуках. В медиасфере постоянно появляются новости о забытых устройствах с важной корпоративной информацией и, как следствие, о громких утечках, произведенных случайными людьми или злоумышленниками, нашедшими забытые компьютеры. По данным отчета компании InfoWatch, в 2020 году 7,6% зарегистрированных утечек информации осуществлены через украденные и утерянные устройства. С развитием мобильности персонала и возросшей популярностью практики BYOD (buy your own device), когда сотрудники используют в работе собственные портативные компьютеры и устройства, данный риск многократно возрастает. Подобную тенденцию отмечают аналитики Verizon: по данным, собранным из множества источников, утеря и кражи устройств хранения и обработки информации находятся на третьем месте по числу инцидентов — 9,7% от всех утечек информации.

Не стоит забывать о шифровании данных на стационарных рабочих местах и серверах. Существует риск целевой атаки — кражи компьютеров, ноутбуков, серверов, жестких дисков и flash-накопителей непосредственно в офисных помещениях и дата-центрах компаний. Недобросовестная конкурентная борьба зачастую не ограничивается кибервторжением, нередки случаи физического взлома и выноса оборудования с конфиденциальной информацией с дальнейшим использованием полученных данных для извлечения прибыли и нанесения непоправимого ущерба конкуренту.

Все описанные выше угрозы требуют двойного решения — необходимо обеспечить конфиденциальность данных на случай потери контроля над носителями, а также сохранность самой информации. И если последняя проблема решается созданием резервных копий в защищенном месте (на облачном сервере или другой площадке), то проблема конфиденциальности может быть решена только с помощью криптографических средств. Рынок средств шифрования достаточно большой, на нем представлено множество продуктов, в основном иностранного производства, оценить достоинства и недостатки отдельных продуктов очень сложно даже подготовленному ИБ-специалисту. В данном обзоре мы подробно рассмотрим одно из решений по шифрованию хранимых данных — продукт Secret Disk Enterprise от российской .

Архитектура и системные требования Secret Disk Enterprise

Secret Disk Enterprise включает в себя восемь компонентов — шесть серверных модулей и два клиентских продукта:

  • Сервер бизнес-логики — центральный компонент серверной части Secret Disk Enterprise, обеспечивает взаимодействие всех компонентов и процессов продукта. Выполнен в виде службы для операционной системы Windows.
  • Шлюз клиентов — серверный модуль для реализации канала связи между клиентским агентом и сервером бизнес-логики. Реализован в виде надстройки для Microsoft IIS — встроенного веб-сервера в Microsoft Windows Server.
  • Административный web-портал — веб-приложение для администрирования системы. Реализация аналогична шлюзу клиентов — надстройка для IIS.
  • База данных — хранение всей служебной информации Secret Disk Enterprise, включая сертификаты пользователей и ключи шифрования. Хранение осуществляется в шифрованном виде, в качестве ключа шифрования используется общий мастер-ключ. В качестве базы данных выступает СУБД Microsoft SQL.
  • Модуль синхронизации с Active Directory — выполняет синхронизацию данных о пользователях, сертификатах и защищаемых компьютерах между Secret Disk Enterprise и Active Directory.
  • Модуль сертификации — компонент для выпуска сертификатов Х.509 на электронных ключах и проверка выпущенных сертификатов при проведении операций с ними.
  • Secret Disk Agent — клиентское приложение, непосредственно осуществляющее криптографические преобразование и защиту хранимых данных на рабочих местах, серверах и съемных накопителях.
  • Secret Disk Reader — утилита для доступа к зашифрованным данным вне защищенной инфраструктуры, используется для обмена защищенными контейнерами с внешними пользователями.

Рисунок 1. Архитектура Secret Disk Enterprise

Системные требования для серверных компонентов Secret Disk Enterprise:

  • Операционная система Microsoft Windows Server 2008 SP2, 2008 R2, 2012, 2012 R2.
  • Объем оперативной памяти — от 1 Гб и выше.
  • Количество свободного места на жестком диске — минимум 250 Мб (не включая объем СУБД).
  • Наличие Microsoft .NET Framework версии 4.5 и выше.
  • Наличие Microsoft IIS 6 и выше.
  • Наличие установленных драйверов JaCarta Unified Client и/или SafeNet Authentication Client.
  • Наличие пакета Crypto Extension Pack и стороннего CSP (CryptoPro или ИнфоТеКС VIPNet) для реализации шифрования по алгоритму ГОСТ.
  • Поддерживаемые версии СУБД MSSQL — 2008 SP1, 2008 R2 и 2012.

Системные требования Secret Disk Agent для защищаемых компьютеров:

  • Операционная система Microsoft Windows 7, 8, 8.1 или 10.
  • Объем оперативной памяти — от 512 Мб и выше.
  • Количество свободного места на жестком диске — минимум 15 Мб.
  • Поддержка USB 2.0 или SmartCard Reader для подключения аппаратных токенов.
  • Наличие установленных драйверов JaCarta Unified Client и/или SafeNet Authentication Client.
  • Наличие пакета Crypto Extension Pack и стороннего CSP (CryptoPro или ИнфоТеКС VIPNet) для реализации шифрования по алгоритму ГОСТ.

Системные требования Secret Disk Reader:

  • Операционная система Microsoft Windows 7, 8, 8.1 или 10.
  • Объем оперативной памяти — от 512 Мб и выше.
  • Количество свободного места на жестком диске — минимум 50 Мб.

Для всех компонентов Secret Disk Enterprise не предъявляются специальные требования к остальному аппаратному обеспечению, достаточно соответствия минимальным требованиям операционной системы. Поддерживается работа всех программных компонентов в средах виртуализации VMWare и Microsoft (Hyper‐V). Для шифрования поддерживаются файловые системы типов NTFS, FAT, FAT32 и exFAT.

Сводная таблица

TrueCryptSecret DiskZecurion Zdisk Последняя версия на момент обзора7.1a4Нет данных СтоимостьБесплатноОт 4 240 руб. на 1 компьютерОт 5250 руб. на 1 компьютер Операционная системаWindows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008: (32-х и 64-разрядные версии); Windows Server 2008 R2; Windows 2000 SP4; Mac OS X 10.7 Lion (32- и 64-разрядные версии); Mac OS X 10.6 Snow Leopard; Mac OS X 10.5 Leopard; Mac OS X 10.4 Tiger; Linux (32-х и 64-разрядные версии, ядро 2.6 или совместимое)Windows 7, Windows Vista, Windows XP: (32-х и 64-разрядные версии)Windows 98; Windows Me; Windows NT Workstation; Windows 2000 Professional; Windows XP; Windows Vista Встроенные алгоритмы шифрованияAES Serpent TwofishНетНет Использование поставщиков криптографии (криптопровайдеров CSP)НетMicrosoft Enhanced CSP: Triple DES и RC2; Secret Disk NG Crypto Pack: AES и Twofish; КриптоПро CSP, Signal-COM CSP или Vipnet CSP: ГОСТ 28147-89RC5, AES, КРИПТОН CSP: ГОСТ 28147-89 Режим шифрования XTSДаНетНет Каскадное шифрованиеAES-Twofish-Serpent; Serpent-AES; Serpent-Twofish-AES; Twofish-SerpentНетНет Прозрачное шифрованиеДаДаДа Шифрование системного разделаДаДаНет Аутентификация до загрузки ОСПарольПин + токенНет Шифрование разделов дискаДаДаНет Создание файлов-контейнеровДаДаДа Создание скрытых разделовДаНетНет Создание скрытой ОСДаНетНет Шифрование переносных накопителейДаДаДа Работа с переносных накопителейДаНетНет Работа по сетиДаНетДа Многопользовательский режимСредствами NTFSДаДа Аутентификация только по паролюДаНетНет Аутентификация по ключевому файлуДаНетНет Поддержка токенов и смарт-картПоддерживающие протокол PKCS #11 2.0 или вышеUSB-ключ eToken PRO/32K (64К); USB-ключ eToken PRO/72K (Java); Смарт-карта eToken PRO/32K (64К); Смарт-карта eToken PRO/72K (Java); Комбинированный ключ eToken NG-FLASH Комбинированный ключ eToken NG-OTP eToken PRO AnywhereRainbow iKey 10xx/20xx/30xx; ruToken; eToken R2/Pro Экстренное отключение шифрованных дисковГорячие клавишиГорячие клавишиГорячие клавиши Защита от ввода пароля под принуждениемНетДаДа Возможность использования «Правдоподобного отрицания причастности»ДаНетНет Комплект поставкиНет коробочной версии – дистрибутив загружается с сайта разработчиковUSB-ключ eToken PRO Anywhere с лицензией на использование продукта; Краткое руководство в печатном виде; CD-ROM (дистрибутив, подробная документация, загрузочную часть MBR; Упаковочная DVD-коробкаЛицензия; USB-ключ и USB-удлинитель; Диск с дистрибутивом; Документация в печатном виде; Устройство чтения-записи смарт-карт ACS-30S

Следуя законам жанра, осталось только прокомментировать отдельные пункты и выделить преимущества того или иного решения. С ценами на продукты все понятно, как и с поддерживаемыми операционными системами. Отмечу лишь тот факт, что версии TrueCrypt для MacOS и Linux имеют свои нюансы использования, а установка его на серверные платформы от Microsoft хоть и дает определенные плюсы, но совершенно не способна заменить огромный функционал коммерческих систем защиты данных в корпоративной сети. Напомню, что мы рассматриваем все же персональную криптозащиту.

Функциональные возможности Secret Disk Enterprise

Функциональные возможности Secret Disk Enterprise можно условно разделить на три основных группы:

  • Основные функции продукта:
    • Обеспечение полнодискового шифрования — преобразования всех данных отдельных дисковых разделов, включая поддержку защиты системного (загрузочного) диска.
    • Создание шифрованных файл-контейнеров, подключаемых к системе как виртуальные диски, с возможностью передачи контейнера в виде обычного файла внешним пользователям.
    • Шифрование файлов на съемных дисках, флеш-накопителях и других носителях информации.
    • Реализация собственного загрузчика (с поддержкой Legacy BIOS и UEFI BIOS) с предварительной двухфакторной аутентификацией для обеспечения доступа к шифрованному системному диску. В качестве второго фактора аутентификации поддерживаются электронные ключи JaCarta и eToken.
    • Защита от анализа, восстановления и расшифрования данных при несанкционированном доступе к ним.
    • Применение криптостойких алгоритмов шифрования с использованием сторонних служб криптографии (КриптоПро CSP и ViPNet CSP для реализации алгоритмов ГОСТ 28147‐89) и встроенной службы Microsoft Windows для алгоритмов AES и TripleDES.
    • Механизмы надежного удаления данных для предотвращения их восстановления.
    • Управление сетевым доступом к защищенным ресурсам.
    • Поддержка замены ключей шифрования и перешифрования защищенных данных.
  • Дополнительные функции для обеспечения надежности работы:
    • Постепенный процесс зашифрования и расшифрования, устойчивый к аппаратным сбоям, включая возможность продолжения работы алгоритмов после внезапного отключения компьютера.
    • Поддержка выстраивания отказоустойчивых кластеров для серверной части Secret Disk Enterprise.
    • Возможность резервного копирования криптохранилища, размещаемого в СУБД продукта, и мастер-ключа от данного хранилища.
    • Поддержка сценариев восстановления доступа к зашифрованным данным в случае утери или поломки электронного идентификатора пользователя.
  • Функции, направленные на удобство эксплуатации:
    • Управление всей системой через единый веб-портал с любого устройства с веб-браузером.
    • Ролевая модель доступа администраторов к системе управления.
    • Полный аудит всех действий и событий в системе.
    • Реализация периодических процессов самообслуживания системы и слежение за критическими состояниями, требующими внимания администраторов.
    • Прозрачность и незаметность работы системы для пользователей.

    Назначение Secret Disk Server NG

    Secret Disk Server NG — комплекс защиты конфиденциальной информации и корпоративных баз данных на серверах от несанкционированного доступа, копирования, повреждения, кражи или неправомерного изъятия. Система Secret Disk Server NG надёжно защищает данные и скрывает сам факт их наличия на сервере. При записи данных на диск происходит их зашифрование, при чтении — расшифрование. Находящиеся на диске данные всегда зашифрованы, что делает доступ к ним невозможным для злоумышленника, даже если он получит физический доступ к серверу или жёсткому диску.

    Secret Disk Server NG может быть использован как самостоятельное решение, а также как элемент комплексной системы защиты конфиденциальной информации для решения следующих задач:

    • разграничение доступа к данным, хранящимся и обрабатывающимся на серверах приложений, например, файлам баз данных, почтовым хранилищам и др. Управление доступом к данным позволяет гибко разграничить работу сотрудников организации с защищённой информацией;
    • сокрытие конфиденциальной информации на сервере обеспечит дополнительный уровень защиты, так как зашифрованные разделы дисков выглядят вне Secret Disk Server NG как неразмеченное пространство;
    • защита баз данных 1С. Использование Secret Disk Server NG совместно с решениями на платформе «1С:Предприятие» позволяет предотвратить несанкционированный доступ к данным со стороны своих сотрудников и внешних лиц. Продукт прошёл сертификацию по программе «Совместимо! Система программ 1С: Предприятие».

    Лицензирование Secret Disk Enterprise

    Продукт лицензируется по количеству защищаемых рабочих мест и наличию дополнительного функционала. В базовой версии доступно большинство функций продукта.

    Перечень отдельно лицензируемых механизмов:

    • Шифрование папок и файлов.
    • Защищенные контейнеры.
    • Сетевой доступ к защищенным ресурсам.
    • Защита от копирования на съемные носители.
    • Поддержка кластерной конфигурации сервера.

    В зависимости от потребностей заказчики могут приобрести дополнительный защитный функционал по отдельности либо заказать стандартную лицензию, включающую в себя все возможности продукта. Сертифицированная во ФСТЭК России версия продукта лицензируется отдельно и стоит немного дороже, в состав лицензии входит медиакит, включающий в себя формуляр с голографической наклейкой, установочный диск и копию сертификата ФСТЭК России.

    Все лицензии, кроме демонстрационных, действуют без ограничения срока использования. Ограничена по сроку только техническая поддержка — при покупке новых лицензий первый год техподдержка оказывается бесплатно, в дальнейшем возможно ее продление за дополнительные деньги. Обновление продукта осуществляется бесплатно, при наличии действующего контракта на техническую поддержку.

    Работа с Secret Disk Enterprise

    Административный web-портал

    После развертывания продукта в соответствии с эксплуатационной документацией администратор безопасности получает доступ к web-порталу Secret Disk Enterprise. Главный экран веб-интерфейса содержит расширенное меню со ссылками на все функции продукта.

    Рисунок 2. Основный экран веб-портала Secret Disk Enterprise

    Основная навигация производится через верхнее меню, в котором представлены следующие пункты:

    • Пользователи — управление всеми пользователями системы, включая учетные записи привилегированных пользователей, настройка прав доступа и доступных к использованию функций продукта.
    • Рабочие станции — перечень защищаемых компьютеров, на которых установлена программа-агент, с возможностью просмотра перечня шифрованных дисков и папок и управлением базовыми настройками станций.
    • Диски — общая информация обо всех защищенных дисках и папках на всех защищаемых компьютерах с возможностью добавления новых дисков и проведения различных операций над существующими.
    • Мониторинг — работа с журналами аудита.
    • Безопасность — управление ролями, которые можно применить для пользователей, работа с криптографическими алгоритмами и провайдерами и мастер-ключом базы данных.
    • Администрирование — обслуживание системы, управление параметрами сервера, настройка глобальных политик рабочих станций и работа с лицензиями продукта.

    В разделе «Пользователи» доступны четыре вкладки и боковое меню для фильтрации списка пользователей по организационным единицам (OU) из Active Directory. В разделе «Общие» отображается краткая информация по каждому из пользователей системы с указанием его роли и прав доступа. В разделе «Управление» доступны возможности по удалению, блокировке и разблокировке отдельных пользователей, а также представлены ссылки для быстрого перехода к журналам аудита и редактированию политик.

    Рисунок 3. Управление пользователями в Secret Disk Enterprise

    В Secret Disk Enterprise реализованы глобальные политики, распространяемые на всех пользователей, которые настраиваются из раздела «Администрирование». Для отдельных пользователей глобальные политики могут быть заменены персональными настройками.

    Рисунок 4. Управление политиками отдельного пользователя в Secret Disk Enterprise

    В политиках содержатся следующие параметры:

    • Разрешение или запрет на использование кэша защищенных ресурсов в случае отсутствия связи с сервером.
    • Разрешение или запрет на создание защищенных контейнеров для передачи данных в зашифрованном виде за пределы защищаемых компьютеров.
    • Разрешение или запрет доступа к защищенным смонтированным дискам по сети.
    • Включение или отключение функции шифрования папок.
    • Управление отображением значка агента в области уведомлений (трей).
    • Включение или отключение предупреждения об отключении занятых дисков.
    • Правила аудита работы со съемными носителями.
    • Управление политикой записи данных на съемные носители — разрешение, запрет или обязательное применение шифрования при записи.
    • Политики работы с сеансами пользователя при подключении и отключении электронного ключа.
    • Включение или отключение блокировки рабочей станции при отключении электронного ключа.
    • Настройка автоматического монтирования дисков при открытии сеанса пользователя, с возможностью выбрать отдельные диски для автоматического подключения.

    Раздел «Рабочие станции» оформлен аналогичным образом, слева блок фильтрации выводимого списка компьютеров по OU, справа три вкладки — общая информация о защищаемых компьютерах, управление отдельными компьютерами и управление шифрованными дисками на компьютерах. В блоке «Управление» каждую станцию можно удалить, заблокировать и разблокировать, политики безопасности для рабочих станций отсутствуют. Выбор дисков в блоке «Разделы, шифрованные диски» переключает на интерфейс работы с дисками из одноименного общего раздела.

    Рисунок 5. Управление рабочими станциями в Secret Disk Enterprise

    В разделе «Диски» отображаются все зашифрованные диски, разделы и директории на всех защищаемых компьютерах. Для объектов доступны различные операции — создание нового диска, перешифрование на другом ключе, подключение, отключение, перемещение, удаление и так далее.

    Рисунок 6. Работа с зашифрованными дисками в Secret Disk Enterprise

    Рисунок 7. Свойства зашифрованного диска в Secret Disk Enterprise

    Журналы аудита в разделе «Мониторинг» разбиты на четыре группы — обычный аудит, важные ошибки и предупреждения, журналы активности пользователей и служебные журналы обслуживания. Вывод таблицы с событиями ограничивается с помощью фильтров с гибкими параметрами настройки. Присутствует функция подтверждения прочтения отдельных событий. По каждому событию доступна подробная информация со всеми необходимыми данными.

    Рисунок 8. Журналы аудита в Secret Disk Enterprise

    В Secret Disk Enterprise предусмотрено гибкое разграничение прав доступа администраторов к веб-консоли, изначально в продукте выделены роли пользователя, оператора, аудитора и администратора безопасности. В подразделе «Управление ролями» экрана «Безопасность» доступно управление встроенными ролями и выделение новых ролей. Кроме того, каждую роль можно привязать в группе в Active Directory и таким образом автоматически распределять права доступа путем включения новых пользователей в группы.

    Рисунок 9. Управление ролями пользователей в Secret Disk Enterprise

    Secret Disk Enterprise требует выполнения периодических операций по обслуживанию системы. К таким операциям относится ресинхронизация с Active Directory, проверка сроков действия сертификатов пользователей, выявление неактивных компьютеров и пользователей, контроль лицензирования и другие. Задачи по обслуживанию запускаются автоматически по расписанию, в разделе «Администрирование» доступно управление задачами и периодичностью их выполнения.

    Рисунок 10. Планы обслуживания в Secret Disk Enterprise

    Работа с Secret Disk Agent

    Программное обеспечение Secret Disk Agent выполнено в виде отдельного приложения, которое встраивается в контекстное меню «Проводника» Windows и отображает собственную иконку в области уведомлений. В основном интерфейсе продукта присутствует несколько вкладок:

    • Диски — перечень зашифрованных дисков с возможностью их подключения и отключения.
    • Папки — список защищенных каталогов, управление защищенными каталогами (шифрование, расшифрование) осуществляется из «Проводника».
    • Защищенные контейнеры — раздел аналогичен разделу «Диски», включает в себя перечень созданных контейнеров и кнопки для их подключения и отключения.
    • Быстрый вызов — настройка глобальных комбинаций горячих клавиш, по нажатию на которые откроется интерфейс Агента.
    • Параметры сеанса — данные по подключению к серверу безопасности и информация о текущих политиках безопасности.
    • Настройки интерфейса Modern SDA — служебные настройки расширения Modern SDA, предназначенного для совместимости с «плиточным» интерфейсом современных версий Windows.

    Рисунок 11. Интерфейс Secret Disk Agent

    Контекстное меню в «Проводнике» содержит раздел Secret Disk Agent с перечнем доступных функций для выбранного объекта. Если вызвать меню на диске, будет предложено его шифрование и расшифрование, а в каталоге — возможность включить или выключить ее защиту. На файлах и каталогах также есть пункт перемещения в защищенный контейнер и два элемента, относящихся к надежному удалению файловых объектов. Текущие защищаемые каталоги отмечаются с помощью специального символа, что упрощает ориентирование в файловой системе и сразу позволяет определить, какие элементы защищены.

    Рисунок 12. Расширение «Проводника» Windows в Secret Disk Agent

    Если на компьютере включается защита системного загрузочного диска, Secret Disk Agent производит установку собственного загрузчика, управление которому передается из BIOS (Legacy или UEFI). Загрузчик производит авторизацию пользователя с помощью аппаратных идентификаторов или смарт-карт и использует ключевую пару сертификата пользователя на электронном ключе для доступа к расшифрованию системного диска и загрузки операционной системы.

    Рисунок 13. Загрузчик Secret Disk Agent

    Для передачи файлов за пределы защищаемых рабочих станций используются защищенные контейнеры. Контейнер подключается как виртуальный жесткий диск, а его содержимое хранится в специальном файле с расширением SDCA. В защищенный контейнер можно скопировать любые файлы и каталоги, как на обычный диск. При создании контейнера программа запрашивает имя файла для его хранения. При подготовке контейнера к отправке программа генерирует случайный пароль из восьми символов, который используется для открытия контейнера на незащищенном компьютере, на котором устанавливается бесплатное приложение Secret Disk Reader. При каждой подготовке к отправке создаётся новый пароль. При этом для доступа к контейнеру на компьютере с установленным Secret Disk Agent пароль не требуется, поскольку для защиты ключа шифрования используется ключевая пара сертификата пользователя.

    Рисунок 14. Отображение пароля для защищенного контейнера в Secret Disk Enterprise

    Работа с Secret Disk Reader

    Secret Disk Reader — бесплатная программа, доступная для загрузки на сайте «Аладдин Р.Д.». Данный продукт может быть установлен на любой компьютер без необходимости использования Secret Disk Agent. Назначение Secret Disk Reader — подключение защищенных контейнеров для обеспечения работы с файлами и каталогами, размещенными в нем.

    Так же, как и Agent, Reader встраивается в «Проводник» и добавляет свои функции для файлов с расширением SDCA. При открытии файла защищенного контейнера программа запрашивает пароль и после его ввода производит монтирование нового виртуального диска в систему.

    Рисунок 15. Запрос пароля к защищенному контейнеру в Secret Disk Reader

    После окончания работы с контейнером его можно отключить через вызов контекстного меню на виртуальном диске. Закрытый контейнер можно вернуть отправителю или передать другим пользователям для дальнейшей работы.

    Рисунок 16. Работа с защищенными контейнерами в Secret Disk Reader

    Система защиты конфиденциальной информации «Secret Disk»

    Система защиты конфиденциальной информации «Secret Disk»

    Secret Disk — система защиты конфиденциальной информации для широкого круга пользователей компьютеров: руководителей, менеджеров, бухгалтеров, аудиторов, адвокатов, для тех, кто заботится о защите личной или профессиональной информации. Secret Disk просто необходим мобильным пользователям. Именно они подвергаются наибольшему риску утечки конфиденциальной информации.

    При установке системы Secret Disk в компьютере появляется новый виртуальный логический диск (один или несколько). Все что на него записывается — автоматически шифруется, а при чтении — расшифровывается. Содержимое этого логического диска находится в специальном контейнере — зашифрованном файле. Файл секретного диска может находиться на жестком диске компьютера, на сервере, на съемных носителях типа Zip, Jaz, CD-ROM или магнитооптике.

    Seсret Disk обеспечивает защиту данных даже в случае изъятия такого диска или самого компьютера. Использование секретного диска равносильно встраиванию функций шифрования во все запускаемые приложения.

    Подключение секретного диска и работа с зашифрованными данными возможны только после аппаратной аутентификации пользователя ввода и правильного пароля. Для аутентификации используется электронный идентификатор — смарткарта, электронный ключ или брелок. После подключения секретного диска он становится «виден» операционной системе Windows как еще один жесткий диск, а записанные на нем файлы доступны любым программам. Не имея электронного идентификатора и не зная пароля, подключить секретный диск нельзя — для посторонних он останется просто зашифрованным файлом с произвольным именем (например, game.exe или girl.tif). Как любой физический диск, защищенный диск может быть предоставлен для совместного использования в локальной сети. После отключения диска все записанные на нем файлы и программы сделаются недоступными.

    Основные особенности:

    • Защита конфиденциальных данных с помощью профессиональных алгоритмов шифрования (возможностью подключения внешних криптографических библиотек) ;
    • Генерация ключей шифрования самим пользователем;
    • Аппаратная аутентификация пользователя с использованием электронных брелков, смарт-карт, PCMCIA-карт или электронных ключей;
    • Двойная защита.Каждый секретный диск защищен личным электронным идентификатором пользователя и паролем доступа к этому диску;
    • Работа с зашифрованными архивами. Информацию можно сжать и зашифровать как для себя (с использованием электронного идентификатора), так и для защищенного обмена с коллегами (с паролем);
    • Блокировка компьютера Secret Disk позволяет гасить экран и блокировать клавиатуру при отключении электронного идентификатора, при нажатии заданной комбинации клавиш или длительной неактивности пользователя При блокировании системы секретные диски не отключаются, запущенные приложения, использующие защищенные данные, продолжают нормально работать, работа других пользователей, которым предоставлен совместный доступ к секретному диску в сети, не нарушается;
    • Режим работы под принуждением. В критической ситуации можно ввести специальный аварийный пароль. При этом система на некоторое время подключит диск, уничтожив личный ключ шифрования в электронном идентификаторе (что сделает невозможным доступ к диску в будущем), а затем сымитирует одну из известных ошибок Windows — все знают, насколько она ненадежна!
    • Возможность восстановления данных при утере (или намеренной порче) электронного идентификатора или утрате пароля;
    • Простой и удобный пользовательский интерфейс.

    Защищенные архивы.

    Secret Disk имеет встроенный архиватор, который не только сжимает, но и надежно шифрует данные. Доступ к зашифрованному архиву может быть защищен паролем, либо электронным идентификатором. Возможность работы с зашифрованными архивами (с паролем) очень полезна в тех случаях, когда конфиденциальные данные требуется передать на сменном носителе или переслать по электронной почте.

    Алгоритмы преобразованияи нформации

    Secret Disk имеет открытый интерфейс для подключения внешних крипто-средств.В зависимости от потребностей, может использоваться один из реализованных алгоритмов. Как правило, в подавляющем большинстве случаев, бывает достаточно той стойкости, которая обеспечивается встроенными средствами базовой версии. Для очень ответственных задач мы рекомендуем пользоваться версией Professional с сертифицированной криптографией (ГОСТ 28147-89) — производителя семейства известных плат Криптон, сертифицированных ФАПСИ для защиты государственной тайны. Генерация ключа шифрования производится самим пользователем.

    Программный эмулятор «КРИПТОН’а» входит в поставку Professional, платы «КРИПТОН» поставляются по отдельному запросу.

    Вход в систему под принуждением

    Для каждого секретного диска может быть задан отдельный пароль для входа под принуждением. После его ввода (при подключенном электронном идентификаторе… система на достаточно короткое (заданное Вами) время подключит диск; сотрет записанный в электронном идентификаторе личный ключ (опционально); сымитирует сбой операционной системы. После этого личный ключ доступа в памяти электронного идентификатора будет уничтожен, а без него расшифровать содержимое секретного диска (файла-контейнера) будет практически не возможно.

    Электронный идентификатор

    Для аутентификации пользователя и надежного хранения уникальной информации, необходимой для системы шифрования, Secret Disk использует электронные идентификаторы — своего рода, «электронные ключи» от Ваших секретных дисков. Электронный идентификатор имеет память, в которой хранится секретный ключ, используемый для доступа и расшифровки данных на секретном диске. Для доступа к данным необходимо подключить электронный идентификатор и ввести правильный пароль доступа. Отходя от компьютера, Вы можете уносить электронный идентификатор с собой или запирать его в сейф.

    Secret Disk может работать с различными типами электронных идентификаторов:

    • электронные ключи;
    • электронные брелоки (для новых компьютеров с USB-портами);
    • смарткарты;
    • PC Card (PCMCIA-карты).
    • Генерация ключей шифрования
    • Генерация ключей шифрования производится самим пользователем.

    В процессе генерации ключа пользователь должен в течение некоторого времени «стучать» по клавишам и двигать мышью. При этом фиксируются временные характеристики нажатия клавиш, их коды и последовательность, траектория движения мыши и пр. На основе получившейся случайной последовательности формируется ключ шифрования. Версии продукта Различия по идентификаторам В качестве «электронных ключей» от Ваших секретных дисков могут использоваться:

    • электронные брелки (для новых компьютеров с USB-портами);
    • PCMCIA-карты (для ноутбуков);
    • электронные ключи (на параллельный порт);
    • смарткарты (в комплект входит карт-ридер).

    Различия по алгоритмам шифрования (в зависимости от потребностей, может использоваться один из встроенных алгоритмов):

    • встроенный алгоритм кодирования с длиной ключа 128 бит;
    • криптографический алгоритм RC4 с длиной ключа 40 бит, встроенный в Windows 95/98 (для неамериканской версии).
    • криптографический алгоритм ГОСТ 28147-89 с длиной ключа 256 бит (программный эмулятор платы Криптон или плата Криптон);
    • Плата Криптон сертифицирована ФАПСИ для защиты государственной тайны, поставляется по отдельному запросу фирмой АНКАД .
    • Версия с аппаратной защитой от начальной загрузки компьютера (DeLuxe) поставляется по отдельным соглашениям.
    Понравилась статья? Поделиться с друзьями:
    автомобильные новости
    Добавить комментарий