Электронный замок ПАК «Росомаха» - программно-аппаратный комплекс защиты информации от несанкционированного доступа - аппаратно-программный модуль доверенной загрузки (АПМДЗ)

ПАК «Росомаха» средство обеспечение регистрации и контроля доступа пользователей к автоматизированным системам (компьютерам), осуществляющее контроль целостности программной среды и доверенную загрузку установленных операционных систем. ПАК «Росомаха» является аналогом электронного замка ПАК «Соболь» и может применяться как средство защиты информации в автономном компьютере, а также в рабочей станции или сервере, входящем в состав локальной вычислительной сети.

Основные возможности электронного замка программно-аппаратного комплекса «Росомаха»:

- Идентификация и аутентификация пользователей с использованием персональных идентификаторов. В качестве персональных идентификаторов пользователей возможно применение: идентификаторов iButton, USB-ключей Token PRO, идентификаторов iKey 2032;

- Блокировка загрузки операционной системы со съемных носителей информации (FDD, CD-ROM, ZIP, LPT, SCSI-порты) на аппаратном уровне;

- Контроль целостности операционной системы, прикладного программного обеспечения и файлов пользователя до загрузки операционной системы;

- Наличие возможности установки режима работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов.

- Встроенный аппаратный датчик случайных чисел;

- Совместимость с СКЗИ «КриптоПро CSP»;

- Поддержка операционных систем Mocrosoft Windows (95, 98, NT 4.0, 2000, XP, Server 2000/2003), а также МСВС 3.0 и Linux XP;

- Журналирование попыток доступа к компьютеру.

ПАК Аккорд-Win32(TSE) и ПАК Аккорд-Win64(TSE)

Программно-аппаратные комплексы средств защиты информации (ПАК СЗИ) Аккорд-Win32 и Аккорд-Win64 предназначены для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам.

Комплекс работает на всей ветви операционных систем Microsoft NT +, на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003 и 2008 (32-х разрядных для Аккорд-Win32 и 64-х разрядных для Аккорд-Win64), ПО Citrix Metaframe XP, Presentation Server 4.5, XenApp5.0, XenApp 6, работающем на этих ОС.

Возможности:

1. Защита от несанкционированного доступа к ПЭВМ;

2. Идентификация/ аутентификация пользователей до загрузки операционной системы с последующей передачей результатов успешной идентификации/аутентификации в операционную систему;

3. Аппаратный контроль целостности системных файлов и критичных разделов реестра;

4. Доверенная загрузка ОС;

5. Контроль целостности программ и данных, их защита от несанкционированных модификаций;

6. Создание индивидуальной для каждого пользователя изолированной рабочей программной среды;

7. Запрет запуска неразрешенных программ;

8. Разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;

9. Разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;

10. Автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса;

11. Усиленная аутентификация терминальных станций с помощью контроллера Аккорд или ПСКЗИ ШИПКА;

12. Идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА);

13. Опциональная автоматическая идентификация в системе Windows NT+ и на терминальном сервере пользователей, аутентифицированных защитными механизмами контроллера АМДЗ (при таком подходе, избегая повторной идентификации пользователей, можно гарантировать, что ОС будет загружена под именем того же пользователя, который был аутентифицирован в контроллере АМДЗ, и к терминальному серверу подключится тот же самый пользователь);

14. Управление терминальными сессиями;

15. Контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет протоколировать вывод документов на печать и маркировать эти документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

16. Контроль доступа к USB устройствам

Основные характеристики:

Собственная система разграничения доступа (мандатный и дискреционный методы контроля) - действия, разрешенные прикладным ПО, но запрещенные АККОРДОМ - будут запрещены пользователю.

Комплексная защита терминальной сессии обеспечивается тогда и только тогда, когда пользователь может работать только с защищенного терминала и только с защищенным терминальным сервером. Для этого в момент создания терминальной сессии со стороны терминального сервера необходимо аутентифицировать не только пользователя, но и терминал, а со стороны терминала необходимо убедиться в том, что терминальный сервер действительно тот, с которым должен работать пользователь. Это возможно только при наличии активных СЗИ и на терминале, и на сервере. Таким образом, для защиты терминальной сессии необходимо установить комплекс не только на терминальный сервер, но и на терминалы.

Возможность использовать уже установленную связь (на протоколах RDP и ICA) между сервером и терминалом, а не устанавливать новую.

В течение всего сеанса работы пользователя ведется подробный журнал событий, в котором фиксируются все действия пользователя на терминальном сервере.

Наши рекомендации