Конявская Текхнологии зашчишченного применения УСБ-носителеы 2014
.pdf
ZamLock |
- |
- |
- |
- |
- |
+ |
+ |
+ |
- |
- |
Влаго- |
и |
4-8 Гб |
до 30Мб/с |
20Мб/с |
Windows |
|
47$- |
|
|
|||||||||||||||||||
Pro Secure |
|
|
|
|
|
|
|
|
|
|
пыленепро- |
|
|
|
2000, |
XP, |
245$ |
||
Flash Drive |
|
|
|
|
|
|
|
|
|
|
ницаемый |
|
|
|
|
Vista, |
Win- |
|
|
|
|
|
|
|
|
|
|
|
|
|
корпус |
из |
|
|
|
dows 7; |
Mac |
|
|
|
|
|
|
|
|
|
|
|
|
|
анодирован- |
|
|
|
OS |
X |
или |
|
|
|
|
|
|
|
|
|
|
|
|
|
ного алюми- |
|
|
|
Linux |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
ния |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
eToken |
- |
+ |
- |
- |
+ |
+ |
+ |
+ |
Инфор- |
- |
- |
|
8-16 Гб |
Информация |
Информа- |
Microsoft |
|
4140- |
|
NG-FLASH |
|
|
|
|
|
|
|
|
мация |
|
|
|
|
отсутствует |
ция отсут- |
Windows |
|
5199 |
|
|
|
|
|
|
|
|
|
|
отсут- |
|
|
|
|
|
ствует |
2000/XP/Vista/ |
руб |
||
|
|
|
|
|
|
|
|
|
ствует |
|
|
|
|
|
|
7, |
Microsoft |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Windows |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Server |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2003/2008/200 |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8 |
R2, Linux, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
MacOS |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
181
На рисунке 35 ниже в графической форме представлены отличительные свойства ПАК «Секрет Особого Назначения», которые удовлетворяют критериям из приведенной выше таблицы.
Защищенным носителям на рисунке 35 поставлены в соответствие круги, на пересечении которых цифрами обозначены общие для соответствующих ЗН характеристики безопасности. Вне пресечений цифрами обозначены отличительные свойства ЗН.
Рис. 35. Отличительные свойства ПАК «Секрет Особого Назначения»
К отличительным свойствам «Секрета Особого Назначения» относятся: возможность ведения аппаратного журнала событий ЗН, возможность настройки общих политик доступа к ЗН (наряду с настройкой политики использования пароля (управление длиной пароля и числом ошибок авторизации), «Секрет Особого Назначения» позволяет настраивать реакцию ЗН при заполнении объема, выделенного для хранения журнала устройства), возможность настройки политики доступа к ЗН на РС (для идентификации РС используется описание РС, которое включает в себя следующую информацию: серийный номер АМДЗ («Аккорд», «Соболь»); серийный номер материнской платы компьютера; серийный номер дистрибутива ОС; идентификатор домена Active Directory; идентификатор РС в домене (имя компьютера)).
182
Резюме
Принципиальным для ЗН, предназначенного для работы с данными, которые должны хранится на носителе информации и переносится сотрудником в соответствии с его должностными обязанностями, является защита от мотивированного инсайдера, которая достигается с помощью возможности настройки общих политик доступа к ЗН, настройки политики доступа к ЗН на РС, возможности ведения аппаратного журнала событий ЗН, – тех свойств, которых нет у большинства представленных устройств, но есть у ПАК «Секрет Особого Назначения». Среди устройств, обладающих данными свойствами, можно также выделить Kanguru Defender Elite, eToken NG-FLASH и MXI Security Stealth MXP.
Возможность настройки общих политик доступа к ЗН устройства Kanguru Defender Elite в отличие от ПАК «Секрет Особого Назначения» поддерживает только две функции: управление длиной пароля и числом попыток авторизации, а для идентификации используется описание РС, включающее лишь два параметра (идентификатор РС в домене (имя компьютера), IP адрес РС), что также увеличивает угрозу проникновения мотивированного инсайдера в систему. Кроме того, для реализации этой возможности необходимо купить лицензию на устройство Kanguru Defender Elite. Kanguru Defender Elite также имеет аппаратное шифрование AES, что исключает возможность сертификации данного продукта
всистеме сертификации средств защиты информации по требованиям безопасности, действующей в Российской Федерации.
Устройство eToken NG-FLASH обладает возможностью настройки общих политик доступа к ЗН (управление длиной и сложностью пароля, управление числом попыток авторизации) и возможностью разделения ролей эксплуатирующего персонала, но
вотличие от ПАК «Секрет Особого Назначения» eToken NGFLASH не поддерживает ни ведение аппаратного журнала событий, ни возможность настройки политик доступа к ЗН на РС, что существенно увеличивает угрозу проникновения мотивированного инсайдера в систему.
ВMXI Security Stealth MXP реализованы механизмы, призванные препятствовать проникновению в информационную систему организации вредоносного ПО. Но в отличие от ПАК «Секрет Особого Назначения» в устройстве MXI Security Stealth MXP реализо-
183
вано аппаратное шифрование AES, что исключает возможность сертификации данного продукта в системе сертификации средств защиты информации по требованиям безопасности, действующей в Российской Федерации.
Следует сделать вывод, что ПАК «Секрет Особого Назначения» (в отличие от других рассмотренных ЗН) удовлетворяет всем определенным в начале Приложения критериям.
Анализ решений, предназначенных для применения на рабочих станциях, входящих в корпоративную сеть
В этом разделе рассмотрены ЗН, которые предназначены для использования на служебных РС, объединенных в корпоративную сеть (служебные ЗН). Такие носители должны использоваться только внутри системы согласно ее внутренним правилам.
Служебный ЗН должен:
1.исключать хищение, несанкционированную модификацию корпоративной информации;
2.препятствовать утечке информации в результате кражи или потери ЗН;
3.препятствовать блокированию или уничтожению обрабатываемой информации в результате привнесения вредоносного ПО в систему;
4.препятствовать несанкционированному привнесению в систему информацию извне.
Только в этом случае ЗН не будет снижать общего уровня защищенности системы даже при его физическом выносе за ее периметр.
Критерии сравнения
Набор критериев для выполнения сравнительного анализа ЗН сформирован таким образом, чтобы определить, соответствует ли тот или иной продукт понятию и требованиям безопасности, предъявляемым к защищенному носителю, используемому в корпоративной среде: защищает ли продукт информацию от доступа к ней посторонних лиц, препятствует ли устройство проникновению вредоносного ПО в систему, исключает ли продукт возможность выноса корпоративной информации за пределы системы, препятствует ли продукт несанкционированному привнесению в систему информацию извне.
184
Для выполнения сравнительного анализа используются следующие критерии:
1.наличие удаленной аутентификации пользователя (доступ к информации ЗН предоставляется после успешной аутентификации ЗН и защищенного сервера);
2.наличие возможности ограничения использования в организации посторонних ЗН за счет использования процедуры эмиссии ЗН;
3.наличие возможности настройки политики доступа к ЗН на
РС;
4.наличие фильтра USB –устройств;
5.наличие защиты от вирусов;
6.наличие возможности разделения ролей эксплуатирующего персонала;
7.наличие возможности шифрования данных;
8.наличие защиты от взлома.
Место ПАК «Секрет Фирмы» на рынке ЗН
Втаблице 5 приведены результаты сравнительного анализа ЗН, рассмотренных выше.
Втаблицу также включены колонки, содержание которых носит общеинформационных характер и в которых отражены сводные данные об основных потребительских характеристиках рассматриваемых продуктов:
1. наличие эксплуатационной документации в комплекте поставки;
2. особенности дизайна;
3. возможность выбора устройства с шифрованием, без шифрования;
4. емкость устройства;
5. скорость чтения;
6. скорость записи;
7. поддерживаемые операционные системы;
8. цена.
Вданной таблице цветами обозначено следующее:
– критерии, которым удовлетворяет ЗН;
– критерии, которым не удовлетворяет ЗН;
– отсутствие информации по соответствующему критерию;
– общеинформационные колонки.
185
Таблица 5. Сравнительный анализ ЗН
цена
операционныесистемы
скоростьзаписи
скоростьчтения
емкостьустройства
особенностидизайна
шифрованиемилибезшифрования возможностьвыбораустройствас
циивкомплектепоставки наличиеэксплуатационнойдокумента-
наличиезащитыотвзлома
наличиешифрованияданных
возможностьразделенияролей
наличиезащитыотвирусов
наличиефильтраUSBустройств–
тикидоступакЗНнаРС наличиевозможностинастройкиполи-
процедурыэмиссииЗН роннихЗНзасчетиспользования использованияворганизациипостоналичиевозможностиограничения
пользователя наличиеудаленнойаутентификации
ПАК + + + + + + + + + - Выбор цвета 4Гб 0,2Мб/с, 0,2Мб/с, 5- Microsoft Win- 2100-2500 руб.,
система эмиссии: |
200000 руб., си- |
стема управле- |
ния: 50000 руб. |
|
120$ |
|
|
|
|
|
|
от 50$ |
|
|
|
dows XP/Vista/7 SP1 |
(x32 или x64) |
|
|
|
Windows XP/SP3/Server |
2003/Vista/7, |
Maс OS X 10.5 и выше |
(только на основе |
Intel), |
Red Hat Enterprise |
Linux 5, Ubuntu 9/10 Linux Kernel 2.6.02- 2.6.34 |
Windows XP/Vista/7 |
|
|
|
8,5Мб/с (в |
зависимо- |
сти от |
вариантов исполне- |
ния ЗН) |
10-13Мб/с |
|
|
|
|
|
|
от 8 Мб/с |
|
|
|
7,8- |
11,5Мб/с (в |
зависимо- |
сти от вариантов |
исполнения ЗН) |
28-33Мб/с |
|
|
|
|
|
|
от 14 Мб/с |
|
|
|
|
|
|
|
|
От 1 |
до |
128Гб |
|
|
|
|
4-16 |
Гб |
|
|
Заказ эксклю- |
зивного корпу- |
са |
|
|
Прорезиненный корпус с защи- |
той от внешних |
воздействий. |
Выбор цвета |
|
|
Информация |
отсутствует |
|
186 |
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
- |
|
|
|
|
|
|
- |
|
|
|
|
|
|
|
|
Ин- |
фор- |
мация |
отсут- |
сут- |
ству- |
ет |
+ |
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
+ |
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
+ |
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
- |
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
|
+ |
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
- |
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
|
- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
|
- |
|
|
|
«Секрет |
Фирмы» |
|
|
|
Kanguru |
Defender |
Elite |
|
|
|
|
Verbatim |
Se- |
cure`n`Go |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
MXI |
- |
- |
- |
- |
+ |
- |
+ |
Ин- |
Ин- |
- |
Влаго- и пыле- |
1-64 |
Информа- |
Информа- |
Windows 2000/XP/Vista, 120$ |
|||||
Security |
|
|
|
|
|
|
|
фор- |
фор- |
|
непроницае- |
|
Гб |
ция отсутция отсутMAC, Linux |
|
|
|
|||
Stealth |
|
|
|
|
|
|
|
мация |
мация |
|
мый корпус |
|
|
ствует |
ствует |
|
|
|
|
|
|
|
|
|
|
|
|
|
отсут- |
отсут- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
сут- |
сут- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ству- |
ству- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ет |
ет |
|
|
|
|
|
|
|
|
|
|
|
eToken |
- |
- |
- |
- |
- |
+ |
+ |
+ |
Ин- |
- |
- |
|
|
8- |
Информа- |
Информа- |
Microsoft |
Windows 4140-5199 руб |
||
NG- |
|
|
|
|
|
|
|
|
фор- |
|
|
|
|
16Гб |
ция отсутция отсут2000/XP/Vista/7, |
Mi- |
|
|||
FLASH |
|
|
|
|
|
|
|
|
мация |
|
|
|
|
|
ствует |
ствует |
crosoft Windows Server |
|
||
|
|
|
|
|
|
|
|
|
отсут- |
|
|
|
|
|
|
|
2003/2008/2008 |
|
R2, |
|
|
|
|
|
|
|
|
|
|
сут- |
|
|
|
|
|
|
|
Linux, MacOS |
|
|
|
|
|
|
|
|
|
|
|
|
ству- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ет |
|
|
|
|
|
|
|
|
|
|
|
IronKey |
- |
- |
- |
- |
- |
- |
+ |
+ |
+ |
- |
Стальной водо- |
2-64 |
29-31 Мб/с |
13-34 Мб/с |
Microsoft |
Windows 4500-15000 руб. |
||||
|
|
|
|
|
|
|
|
|
|
|
и |
пыленепро- |
Гб |
|
|
XP/SP2+/Vista/7/8, |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
ницаемый |
|
|
|
|
Mac OS X 10.5+, Linux |
|
|||
|
|
|
|
|
|
|
|
|
|
|
корпус |
|
|
|
|
2.6+ |
|
|
|
|
LockHeed - |
- |
- |
- |
- |
- |
+ |
+ |
Ин- |
- |
Стальной водо- |
Ин- |
Информа- |
Информа- |
Информация |
|
отсутинформация |
||||
Martin |
|
|
|
|
|
|
|
|
фор- |
|
и |
пыленепро- |
фор- |
ция отсутция отсутствует |
|
|
отсутствует |
|||
IronClad |
|
|
|
|
|
|
|
|
мация |
|
ницаемый |
|
мация ствует |
ствует |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
отсут- |
|
корпус |
|
отсут- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
сут- |
|
|
|
|
сут- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ству- |
|
|
|
|
ству- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ет |
|
|
|
|
ет |
|
|
|
|
|
|
Kingston |
- |
- |
- |
- |
- |
- |
+ |
+ |
- |
- |
Водонепрони- |
|
2-32 |
До 11 Мб/с |
5 Мб/с |
Windows XP/Vista//7/8 |
3000-7000 руб. |
|||
DataTrav |
|
|
|
|
|
|
|
|
|
|
цаемый корпус Гб |
|
|
Mac OS (10.5 и выше) |
|
|||||
eler |
|
|
|
|
|
|
|
|
|
|
из |
нержавею- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
щей |
стали |
с |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
титановым |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
покрытием |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
187 |
|
|
|
|
|
|
|
|
SanDisk |
- |
- |
- |
- |
- |
- |
+ |
+ |
- |
- |
Вид маленького 512Мб 8 Мб/с |
5 Мб/с |
Windows 2000/XP |
|
60$ |
||||||
Cruzer |
|
|
|
|
|
|
|
|
|
|
навесного |
|
|
-1 Гб |
|
|
|
|
|
|
|
Profile |
|
|
|
|
|
|
|
|
|
|
замка. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Встроенный |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
биометриче- |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
ский датчик |
на |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
корпусе |
|
|
|
|
|
|
|
|
|
|
Corsair |
- |
- |
- |
- |
- |
- |
+ |
+ |
Ин- |
- |
Прорезиненный 8-16 |
до 10 Мб/с |
3 Мб/с |
Windows, Mac и Linux |
50$ |
||||||
Flash |
|
|
|
|
|
|
|
|
фор- |
|
корпус с защиГб |
|
|
|
|
|
|
||||
Padlock 2 |
|
|
|
|
|
|
|
|
мация |
|
той от внешних |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
отсут- |
|
воздействий, |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
сут- |
|
Кнопки |
|
для |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ству- |
|
ввода |
пароля |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
ет |
|
на корпусе |
|
|
|
|
|
|
|
|
||
Runtex |
- |
- |
- |
- |
- |
- |
+ |
+ |
- |
- |
Цельнометал- |
4-8 Гб |
0.5 Мб/с |
0.5 Мб/с |
Windows, Mac и Linux |
320$ |
|||||
Samurai |
|
|
|
|
|
|
|
|
|
|
лический |
кор- |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
пус. Кнопки для |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
ввода пароля и |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
уничтожения |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
информации на |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
корпусе |
|
|
|
|
|
|
|
|
|
|
Сhinava- |
- |
- |
- |
- |
- |
- |
+ |
Ин- |
Ин- |
- |
Биометриче- |
|
4-8 Гб |
8 Мб/с |
7 Мб/с |
Windows 2000, XP, Vista от 40$ |
|||||
sion USB |
|
|
|
|
|
|
|
фор- |
фор- |
|
ский датчик |
на |
|
|
|
(только для 32 версии) |
|
||||
Finger- |
|
|
|
|
|
|
|
мация |
мация |
|
корпусе |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
отсут- |
отсут- |
|
|
|
|
|
|
|
|
|
|
|
|
|
Security |
|
|
|
|
|
|
|
сут- |
сут- |
|
|
|
|
|
|
|
|
|
|
|
|
CVGI K38 |
|
|
|
|
|
|
|
ству- |
ству- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ет |
ет |
|
|
|
|
|
|
|
|
|
|
|
|
ZamLock |
- |
- |
- |
- |
- |
- |
+ |
+ |
- |
- |
Влаго- |
и |
пыле- 4-8 Гб |
до 30Мб/с |
20Мб/с |
Windows |
2000, |
XP, 47$-245$ |
|||
Pro |
|
|
|
|
|
|
|
|
|
|
непроницае- |
|
|
|
|
Vista, Windows 7; |
Mac |
|
|||
Secure |
|
|
|
|
|
|
|
|
|
|
мый корпус |
из |
|
|
|
OS X или Linux |
|
|
|||
Flash |
|
|
|
|
|
|
|
|
|
|
анодированно- |
|
|
|
|
|
|
|
|||
Drive |
|
|
|
|
|
|
|
|
|
|
го алюминия |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
188 |
|
|
|
|
|
|
|
|
|
|
На рисунке 36 ниже в графической форме представлены отличительные свойства ПАК «Секрет Фирмы», которые удовлетворяют критериям из приведенной выше таблицы.
Защищенным носителям на рисунке 36 поставлены в соответствие круги, на пересечении которых цифрами обозначены общие для соответствующих ЗН характеристики безопасности. Вне пересечений цифрами обозначены отличительные свойства ЗН.
Рис. 36.Отличительные свойства ПАК «Секрет Фирмы»
К отличительным свойствам «Секрета Фирмы» относятся: наличие удаленной аутентификации пользователя и возможность ограничения использования в организации посторонних ЗН за счет использования процедуры эмиссии.
Резюме
Принципиальным для ЗН, предназначенного для работы на корпоративных РС, объединенных в корпоративную сеть, является защита от мотивированного инсайдера, которая достигается с помощью возможности настройки политики доступа к ЗН на РС, наличия удаленной аутентификации пользователя, возможности ограничения использования в организации посторонних ЗН за счет использования процедуры эмиссии, наличия фильтра USB-устройств,
189
возможности разделения ролей эксплуатирующего персонала – тех свойств, которых нет у большинства представленных устройств, но есть у ПАК «Секрет Фирмы». Среди устройств, обладающих данными свойствами, можно также выделить Kanguru Defender Elite, MXI Security Stealth MXP, eToken NG-FLASH, Verbatim Secure`n`Go.
Verbatim Secure`n`Go имеет фильтр USB-устройств, но в отличие от «Секрета Фирмы» не обладает возможностью настройки политики доступа к ЗН на РС, поэтому данное устройство можно подключать к любой РС на усмотрение пользователя, и в тот момент, когда носитель отключен от РС, на РС можно использовать любые другие носители, что увеличивает риск кражи информации конфиденциального характера и проникновения в систему вредоносного ПО.
В MXI Security Stealth MXP реализованы механизмы, призванные препятствовать проникновению в информационную систему организации вредоносного ПО. Но в отличие от ПАК «Секрета Фирмы» в устройстве MXI Security Stealth MXP реализовано аппаратное шифрование AES, что исключает возможность сертификации данного продукта в системе сертификации средств защиты информации по требованиям безопасности, действующей в Российской Федерации.
Для реализации возможности настройки политик доступа к ЗН на РС устройства Kanguru Defender Elite в отличие от ПАК «Секрет Фирмы» необходимо купить лицензию на это устройство (одна лицензия действует на одно устройство). Кроме того, в Kanguru Defender Elite реализовано аппаратное шифрование AES, что исключает возможность сертификации данного продукта в системе сертификации средств защиты информации по требованиям безопасности, действующей в Российской Федерации.
Устройство eToken NG-FLASH обладает возможностью разделения ролей эксплуатирующего персонала, но в отличие от ПАК «Секрет Особого Назначения» eToken NG-FLASH не обладает ни возможностью настройки политики доступа к ЗН на РС, ни наличием удаленной аутентификации пользователя, ни возможностью ограничения использования в организации посторонних ЗН за счет использования процедуры эмиссии, ни наличием фильтра
190