Конявская Текхнологии зашчишченного применения УСБ-носителеы 2014
.pdf1.возможность настройки общих политик доступа к ЗН: управление длиной пароля, количеством попыток ввода пароля и т. д.;
2.возможность настройки политики доступа к ЗН на рабочих станциях (РС): ограничение доступа к РС по доменам, именам РС, серийному номеру материнской платы компьютера, серийному номеру дистрибутива ОС и др.;
3.шифрование данных;
4.аутентификация пользователя по паролю, PIN-коду, с использованием биометрических характеристик и др.;
5.защита от взлома;
6.физическая защита;
7.возможность фильтрации USB–устройств, позволяющей использовать на РС только разрешенные USB–носители и блокировать использование неразрешенных USB-устройств (обеспечение защиты от утечки информации и привнесения вредоносного программного обеспечения (ПО));
8.ведение журнала событий;
9.защита от вирусов;
10.резервное копирование данных;
11.дополнительные характеристики безопасности.
К потребительским характеристикам относятся ([3]):
1.наличие встроенного Web –браузера для выхода в Интернет;
2.наличие эксплуатационной документации в комплекте поставки;
3.особенности дизайна;
4.емкость устройства;
5.скорость чтения;
6.скорость записи;
7.операционные системы;
8.цена;
9.дополнительные потребительские характеристики.
Съемные носители информации, позиционируемые произ-
водителями как защищенные носители
С учетом перечисленных в 2 характеристик безопасности ЗН к защищенным носителям информации могут быть отнесены следующие устройства:
− ПАК «Секрет Особого назначения»;
151
−ПАК «Личный Секрет»;
−ПАК «Секрет Фирмы»;
−Kingston (DataTraveler 5000 и 6000);
−SanDisk (Cruzer Profile);
−IronKey S200, D200;
−LockHeed Martin IronClad;
−Corsair Flash Padlock 2;
−MXI Security Stealth MXP;
−Runtex Samurai;
−Verbatim Secure ‘n’ Go Small Business Security Pack;
−Сhinavasion USB Fingerprint Security CVGI K38;
−ZamLock Pro Secure Flash Drive;
−eToken NG-FLASH;
−Kanguru Defender Elite.
В следующем разделе приведено краткое описание каждого из выделенных ЗН с использованием следующей схемы: краткая характеристика, назначение, характеристики безопасности, потребительские характеристики.
Описание ЗН
ПАК «Секрет Особого Назначения»
Краткая характеристика: устройство представляет собой ЗН, выполненный по технологии флеш-диска с интерфейсом USB.
Назначение: ПАК «Секрет Особого Назначения» предназначен для защищенного хранения корпоративной или личной информации конфиденциального характера и обеспечивает контролируемый доступ авторизованного пользователя к защищаемой информации на РС в соответствии с политиками доступа, установленными администратором.
Целевые характеристики безопасности:
1. возможность настройки общих политик доступа к ЗН: управление длиной пароля, ограничение количества неверных попыток авторизации, настройка политики заполнения журнала событий ЗН;
152
2.возможность настройки политик доступа к ЗН на РС: ограничение доступа к ЗН на РС – для идентификации используется описание РС, которое может включать в себя следующие параметры: серийный номер АМДЗ («Аккорд», «Соболь»); серийный номер материнской платы компьютера; серийный номер дистрибутива ОС; идентификатор домена Active Directory; идентификатор РС в домене (имя компьютера);
3.шифрование данных: ГОСТ 28147-89 в режиме гаммирования
собратной связью;
4.аутентификация пользователя: имеется;
5.защита от взлома: полная блокировка доступа к ЗН после n неудачных попыток ввода кода авторизации (число n регулируется администратором, по умолчанию установлено число 3);
6.физическая защита: отсутствует
7.возможность фильтрации USB –устройств: отсутствует;
8.ведение журнала событий: имеется аппаратный журнал (журнал ведется на устройстве и хранится на его защищенном разделе);
9.защита от вирусов: реализуется посредством обеспечения возможности получения доступа к данным, хранящимся в ЗН, исключительно в доверенной среде;
10.резервное копирование данных: отсутствует;
11.дополнительные характеристики безопасности: ЗН может выпускаться в двух модификациях: с аппаратным шифрованием содержимого флеш-диска и без шифрования; реализовано разделение функций между администратором и пользователем ПАК «Секрет Особого Назначения» на основе разделения паролей администратора и пользователя.
Основные потребительские характеристики:
1. встроенный Web–браузер для выхода в Интернет: отсутству-
ет;
2.наличие эксплуатационной документации в комплекте поставки: имеются руководство пользователя, руководство администратора, формуляр;
3.особенности дизайна: предусмотрена возможность выбора индивидуального дизайна изделия;
4.емкость устройства: 4Гб;
153
5.скорость чтения: 0,2Мб/с, 7-11Мб/с (в зависимости от вариантов исполнения ЗН);
6.скорость записи: 0,2Мб/с, 4-8Мб/с (в зависимости от вариантов исполнения ЗН);
7.операционные системы: Microsoft Windows XP SP3/Vista/7 SP1 (x32 или x64);
8.цена: 2100-2500 руб.;
9.дополнительные потребительские характеристики: возможность сертификации по требованиям безопасности информации; восстановление доступа к ЗН в случае утраты кода авторизации пользователя: восстановление доступа к ЗН с помощью пароля администратора (информация пользователя будет утеряна); возможность возвращения ЗН в исходное состояние (заводские настройки) (информация пользователя и настройки функций администрирования будут утеряны).
ПАК «Личный Секрет»
Краткая характеристика: ПАК «Личный Секрет» включает:
−специальный носитель «Личный Секрет», представляющий собой аппаратный модуль, выполненный в форм-факторе флешдиска с интерфейсом USB;
−ПО РС «Секретный Агент».
Назначение: ПАК «Личный Секрет» предназначен для защищенного хранения данных на отчуждаемом USB-носителе и исключает возможность применения специального носителя «Личный Секрет» на каких-либо иных компьютерах, кроме разрешенных владельцем. ПАК «Личный Секрет» допускает возможность как личного, так и корпоративного использования.
Целевые характеристики безопасности:
1.возможность настройки общих политик доступа к ЗН: отсутствует;
2.возможность настройки политик доступа к ЗН на РС: для использования ЗН на первичной РС необходимо выполнить процедуру первичной регистрации; для использования ЗН дружественной РС необходимо пройти процедуру повторной регистрации; имеется процедура аннулирования регистрации ЗН (предназначена для ис-
154
ключения РС из списка тех, на которых возможен доступ к данным, хранящимся в ЗН), которая позволяет контролировать список РС, на которых может быть осуществлен доступ к содержимому ЗН; перечень РС, на которых разрешено использование специального носителя «Личный Секрет» определяется администратором;
3.шифрование данных: ГОСТ 28147-89 в режиме гаммирования
собратной связью;
4.аутентификация пользователя: имеется;
5.защита от взлома: в случае последовательного троекратного ввода неправильного PIN-кода устройство блокируется. Его разблокирование может быть выполнено на РС с помощью кода регистрации администратора;
6.физическая защита: отсутствует;
7.возможность фильтрации USB-устройств: имеется;
8.ведение журнала событий USB-устройства: имеется (журнал ведется установленным ПО и хранится на компьютере);
9.защита от вирусов: реализуется посредством обеспечения возможности получения доступа к данным, хранящимся в ЗН, исключительно в доверенной среде;
10.резервное копирование данных: отсутствует;
11.дополнительные характеристики безопасности:, ЗН может выпускаться в двух модификациях: с аппаратным шифрованием содержимого флеш-диска и без шифрования; поддерживается возможность разделения функций между администратором и пользователем ПАК «Личный Секрет» на основе разделения паролей администратора и пользователя.
Основные потребительские характеристики:
1.встроенный Web-браузер для выхода в Интернет: отсутствует;
2.наличие эксплуатационной документации в комплекте поставки: имеются руководство пользователя и руководство администратора, формуляр;
3.особенности дизайна: предусмотрена возможность выбора индивидуального дизайна изделия;
4.емкость устройства: 4 Гб;
5.скорость чтения: 0,2Мб/с, 7,8-11,5Мб/с (в зависимости от вариантов исполнения ЗН);
155
6.скорость записи: 0,2Мб/с, 5-8,5Мб/с (в зависимости от вариантов исполнения ЗН);
7.операционные системы: Microsoft Windows XP/Vista/7 SP1 (x32 или x64);
8.цена: 2100-2500 руб.;
9.дополнительные потребительские характеристики: возможность сертификации продукта по требованиям безопасности информации.
ПАК «Секрет фирмы»
Краткая характеристика: ПАК «Секрет Фирмы» включает:
−специальный носитель «Секрет Фирмы», представляющий собой аппаратный модуль, выполненный в форм-факторе флешдиска с интерфейсом USB;
−2 специальных носителя сервера аутентификации (СНСА), по конструкции аналогичных специальному носителю «Секрет Фирмы»;
−2 специальных носителя эмитента (СНЭ), по конструкции аналогичных специальному носителю «Секрет Фирмы»;
−ПО РС;
−ПО Сервера Аутентификации (СА);
−ПО эмиссии.
Назначение: ПАК «Секрет фирмы» предназначен для защищенного хранения данных на отчуждаемом USB-носителе и предоставляющий возможность применения специального носителя ПАК «Секрет Фирмы» исключительно в выделенных сегментах сети, разрешенных владельцем. ПАК «Секрет Фирмы» предназначен для корпоративного использования.
Целевые характеристики безопасности:
1.возможность настройки общих политик доступа к ЗН: отсутствует;
2.возможность настройки политик доступа к ЗН на РС: использование специального носителя «Секрет Фирмы» разрешено только на РС из сегмента сети, которому соответствует сервер аутентификации; доступ к РС можно ограничить, создав список, в котором
156
указываются сетевые имена тех РС, на которых разрешено использование ЗН (список формируется администратором);
3.шифрование данных: ГОСТ 28147-89 в режиме режим гаммирования с обратной связью;
4.аутентификация пользователя: имеется;
5.защита от взлома: в случае троекратного подряд ввода неверного PIN-кода ЗН блокируется. Его разблокирование может быть выполнено на СА с помощью кода регистрации;
6.физическая защита: отсутствует;
7.возможность фильтрации USB –устройств: имеется;
8.ведение журнала событий USB –устройства: имеется (журнал ведется установленным ПО и хранится на компьютере);
9.защита от вирусов: реализуется посредством обеспечения возможности получения доступа к данным, хранящимся в ЗН, исключительно в доверенной среде;
10.резервное копирование данных: отсутствует;
11.дополнительные характеристики безопасности: защита сети организации от использования ПАК «Секрет Фирмы» других организаций с помощью процедуры эмиссии; ЗН может выпускаться в двух модификациях: с аппаратным шифрованием содержимого флеш-диска и без шифрования; реализовано разделение функций между администратором и пользователем ПАК «Секрет Фирмы» на основе разделения паролей администратора и пользователя и выделения специального носителя сервера аутентификации для выполнения административных функций.
Основные потребительские характеристики:
1. встроенный Web –браузер для выхода в Интернет: отсутству-
ет;
2.наличие эксплуатационной документации в комплекте поставки: имеются руководство пользователя и руководство администратора;
3.особенности дизайна: можно выбрать цвета верхней, нижней частей устройства, а также крышки устройства;
4.емкость устройства: 4Гб;
5.скорость чтения: 0,2Мб/с, 7,8-11,5Мб/с (в зависимости от вариантов исполнения ЗН);
157
6.скорость записи: 0,2Мб/с, 5-8,5Мб/с (в зависимости от вариантов исполнения ЗН);
7.операционные системы: Microsoft Windows XP/Vista/7 SP1 (x32 или x64);
8.цена: 2100-2500 рублей, система эмиссии: 200000 рублей, система управления: 50000 руб;
9.дополнительные потребительские характеристики: возможность сертификации по требованиям безопасности информации.
Kanguru Defender Elite
Краткая характеристика: Kanguru Defender – ЗН, сертифицированный на соответствие FIPS 140-2 Level 2.
Назначение: Kanguru Defender предназначен для контроля и защиты данных на носителе, как при непосредственном, так и при удаленном доступе к носителю (например, в том случае, если носитель был похищен).
Целевые характеристики безопасности:
1.возможность настройки общих политик доступа к ЗН: управление длиной пароля, ограничение количества неверных попыток
авторизации (реализуется с помощью приложения Kanguru Remote Management Console3) [4], [5]);
2.возможность настройки политик доступа к ЗН на РС: ограничение доступа к РС – для идентификации используется описание РС, которое включает в себя следующую информацию: идентификатор РС в домене (имя компьютера), IP адрес РС (реализуется с помощью приложения Kanguru Remote Management Console [6]);
3.шифрование данных: AES шифрование с длиной ключа 256
бит;
4.аутентификация пользователя: имеется;
5.защита от взлома: после 6 неудачных попыток ввода пароля устройство автоматически форматируется и все данные, хранящиеся на нем, стираются. Восстановить информацию невозможно;
3) Чтобы использовать это приложение, необходимо купить лицензии на все устройства Kanguru Defender Elite, которые планируется использовать (одна лицензия действует на одно устройство, [4])
158
6.физическая защита: устройство заполнено эпоксидной смолой, устойчивой к внешним воздействиям и защищающей от неумелого использования;
7.возможность фильтрации USB-устройств: отсутствует;
8.ведение журнала событий USB-устройства: имеется;
9.защита от вирусов: имеется, антивирус, также может использоваться для сканирования дисков компьютера, к которому подключен флеш-носитель;
10.резервное копирование данных: отсутствует;
11.дополнительные характеристики безопасности: удаленное управление: программный модуль Kanguru Remote Management Console (KRMC) позволяет контролировать персональное устройство удаленно, при этом необходимо привязать устройство к модулю и пройти авторизацию. KRMC позволяет удалять данные с утерянной или украденной флешки, управлять паролями (стойкость, обновление, сброс); имеется переключатель защиты от записи; вся связь происходит по защищенным каналам SSL или TLS.
Основные потребительские характеристики:
1.встроенный Web-браузер для выхода в Интернет: отсутствует;
2.наличие эксплуатационной документации в комплекте поставки: не указано;
3.особенности дизайна: прочный корпус с защитой от внешних воздействий, имеются различные цвета корпуса;
4.емкость устройства: от 1 до 128Гб;
5.скорость чтения: 28-33Мб/с;
6.скорость записи: 10-13Мб/с;
7.операционные системы: Windows XP/SP3/Server 2003/Vista/7, Maс OS X 10.5 и выше (только на основе Intel), Red Hat Enterprise Linux 5, Ubuntu 9/10 Linux Kernel 2.6.02-2.6.34;
8.цена устройства 8 Гб версии 120$;
9.дополнительные потребительские характеристики: представление графических отчетов для внешнего анализа.
IronKey S200 и D200
Краткая характеристика: IronKey – ЗН, соответствующий правительственному стандарту компьютерной безопасности FIPS 140-2 (США), в котором определяются четыре уровня безопасности ([7]).
159
Накопителю присвоен Security Level 3, который наследует все физические механизмы защиты Security Level 2, а также предусматривает определение попыток несанкционированного вторжения в криптографический модуль и его модификации. Отличие моделей S200 и D200 – использование разных типов памяти.
Назначение: устройство предназначено для защиты данных пользователя от доступа к ним посторонних лиц, для анонимного и безопасного использования интернет ресурсов.
Целевые характеристики безопасности:
1.возможность настройки общих политик доступа к ЗН: отсутствует;
2.возможность настройки политик доступа к ЗН на РС: отсутствует;
3.шифрование данных: AES с 256-битным ключом, используется криптографический чип;
4.аутентификация пользователя: имеется;
5.защита от взлома: после 10 последовательных попыток ввода неверного пароля данные на IronKey уничтожаются;
6.физическая защита: самоуничтожение данных наступает при попытке физического доступа к данным (содержимое при физическом взломе заполняется эпоксидной смолой);
7.возможность фильтрации USB-устройств: отсутствует;
8.ведение журнала событий USB-устройства: отсутствует;
9.защита от вирусов: отсутствует;
10.резервное копирование данных: в случае утраты накопителя, эти данные можно восстановить на новом IronKey, а также синхронизировать между несколькими IronKey;
11.дополнительные характеристики безопасности: возможность использования службы безопасных сессий для приватного доступа в интернет с помощью протокола SSL и с использованием сертификатов Verisign Secure Site и Verisign Secure Site Pro. Для обеспечения дополнительной безопасности служб IronKey используется режим расширенного подтверждения SSL; возможность использования встроенного менеджера паролей для различных аккаунтов (генерация стойких паролей и их защищенное хранение); менеджер паролей и сами пароли хранятся не в микропроцессоре а на шифрованном диске (в flash); возможность интеграции менеджера паролей с
160