Программно-аппаратные комплексы средств защиты информации (ПАК СЗИ) Аккорд-Win32 и Аккорд-Win64 предназначены для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам.
Комплекс работает на всей ветви операционных систем Microsoft NT +, на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003 и 2008 (32-х разрядных для Аккорд-Win32 и 64-х разрядных для Аккорд-Win64), ПО Citrix Metaframe XP, Presentation Server 4.5, XenApp5.0, XenApp 6, работающем на этих ОС.
Галерея скриншотов:
Возможности:
- Защита от несанкционированного доступа к ПЭВМ;
- Идентификация/ аутентификация пользователей до загрузки операционной системы с последующей передачей результатов успешной идентификации/аутентификации в операционную систему;
- Аппаратный контроль целостности системных файлов и критичных разделов реестра;
- Доверенная загрузка ОС;
- Контроль целостности программ и данных, их защита от несанкционированных модификаций;
- Создание индивидуальной для каждого пользователя изолированной рабочей программной среды;
- Запрет запуска неразрешенных программ;
- Разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
- Разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;
- Автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса;
- Усиленная аутентификация терминальных станций с помощью контроллера Аккорд или ПСКЗИ ШИПКА;
- Идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА);
- Опциональная автоматическая идентификация в системе Windows NT+ и на терминальном сервере пользователей, аутентифицированных защитными механизмами контроллера АМДЗ (при таком подходе, избегая повторной идентификации пользователей, можно гарантировать, что ОС будет загружена под именем того же пользователя, который был аутентифицирован в контроллере АМДЗ, и к терминальному серверу подключится тот же самый пользователь);
- Управление терминальными сессиями;
- Контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет протоколировать вывод документов на печать и маркировать эти документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).
- Контроль доступа к USB устройствам
Основные характеристики:
Собственная система разграничения доступа (мандатный и дискреционный методы контроля) - действия, разрешенные прикладным ПО, но запрещенные АККОРДОМ - будут запрещены пользователю.
Комплексная защита терминальной сессии обеспечивается тогда и только тогда, когда пользователь может работать только с защищенного терминала и только с защищенным терминальным сервером. Для этого в момент создания терминальной сессии со стороны терминального сервера необходимо аутентифицировать не только пользователя, но и терминал, а со стороны терминала необходимо убедиться в том, что терминальный сервер действительно тот, с которым должен работать пользователь. Это возможно только при наличии активных СЗИ и на терминале, и на сервере. Таким образом, для защиты терминальной сессии необходимо установить комплекс не только на терминальный сервер, но и на терминалы. (Более подробно об этом можно узнать на сайте протерминалы.рф)
Возможность использовать уже установленную связь (на протоколах RDP и ICA) между сервером и терминалом, а не устанавливать новую.
В течение всего сеанса работы пользователя ведется подробный журнал событий, в котором фиксируются все действия пользователя на терминальном сервере.
Программное обеспечение комплекса позволяет администратору безопасности информации описать любую не противоречивую политику безопасности на основе наиболее полного набора атрибутов:
|
Операции с файлами |
|
|
R |
разрешение на открытие файлов только для чтения |
|
W |
разрешение на открытие файлов для записи |
|
C |
разрешение на создание файлов на диске |
|
D |
разрешение на удаление файлов |
|
N |
разрешение на переименование файлов |
|
V |
видимость файлов |
|
O |
эмуляция разрешения на запись информации в открытый файл |
|
Операции с каталогами |
|
|
M |
создание каталогов на диске |
|
E |
удаление каталогов на диске |
|
G |
разрешение перехода в этот каталог |
|
n |
переименование подкаталогов |
|
S |
наследование прав на все вложенные подкаталоги |
|
1 |
наследование прав на 1 уровень вложенности |
|
0 |
запрет наследования прав на все вложенные подкаталоги |
|
Прочее |
|
|
X |
разрешение на запуск программ |
|
Регистрация |
|
|
r |
регистрация в журнале операций чтения при обращении к объекту |
|
w |
регистрация в журнале операций записи при обращении к объекту |
и параметров:
- перечень файлов, целостность которых должна контролироваться системой и опции контроля;
- запуск стартовой задачи (для функционально замкнутых систем);
- наличие, либо отсутствие привилегий супервизора;
- детальность журнала доступа;
- назначение/изменение пароля для аутентификации;
- временные ограничения - время по дням недели (с дискретностью 30 мин), в которое разрешено начало работ для данного субъекта;
- параметры управления экраном - гашение экрана через заранее определенный интервал времени (в случае, если в течение указанного интервала действия оператором не выполнялись), подача соответствующих звуковых и визуальных сигналов.
Возможность подключения внешних антивирусных модулей. В качестве такого модуля могут применяться антивирусные ядра Vba32 или DrWeb. Совместная работа Аккорд-Win32 и антивирусного ядра позволяет существенно ускорить работу. В каждый момент времени проверяются только те файлы и процессы, к которым обращается пользователь. Таким образом проверяется только необходимое – ничего лишнего.
Сильной стороной продукта является возможность контроля печати, как на сетевых принтерах, так и на локальных, с протоколированием вывода документов на печать и их маркировки. Данные настройки работают при печати документов из любого прикладного программного обеспечения, предусматривающего возможность вывода документа на печать (не только Microsoft Office). В качестве маркера может выступать, например, гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация.
|
Работа под операционными системами |
Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 7 |
|
Класс защиты |
до 1Б включительно |
|
Используемые контроллеры |
Аккорд-5МХ, Аккорд-5.5, Аккорд-5.5e, Аккорд-5.5МР, Аккорд-5.5МE, Аккорд-GX, Аккорд-GXМ, Аккорд-GXМН |
|
Идентификация (тип идентификатора) |
Touch memory DS-199x, ПСКЗИ ШИПКА |
|
Аутентификация пользователя |
по паролю, вводимому с клавиатуры |
Сертификаты:
Сертификат ФСТЭК России №1161 на комплекс СЗИ НСД "Аккорд-NT/2000" v.3.0.
Сертификат ФСТЭК России №2398 на комплекс СЗИ НСД "Аккорд-Win32"
Сертификат ФСТЭК России №2400 на комплекс СЗИ НСД "Аккорд-Win64"
Дополнительные материалы:
Библиотека:
Защита терминальных серверов с помощью ПАК СЗИ Аккорд NT/2000 V3.0
Аккорд-NT/2000 v.3.0 revision 4. Что нового.
Терминальные клиенты: начала защиты
Онтология терминальных систем и защита информации в них
Защита информации в системах терминального доступа
Построение систем защиты от несанкционированного доступа к терминальным системам.
Новое решение для хорошо забытого старого
Защита виртуальных каналов в Windows 2003 Terminal Service и Citrix Metaframe XP Защита терминальных серверов с помощью ПАК СЗИ Аккорд NT/2000 V3.0
Аппаратная защита терминальных сессий
Защищенные терминальные системы как средство выполнения требований ФЗ-152 «О персональных данных» (презентация)
Защита терминальных решений (презентация)
Документация:
Решения:
Решения актуальных типовых задач по защите информации с применением ПАК СЗИ Аккорд-Win32/64:
Защита информации в системах терминального доступа
Работа госслужащих с Интернет по Указу № 351
Экономичное внедрение защищенной терминальной системы
Защита ИСПДн К1. Терминальное решение
