Установка, настройка и использование СЗИ «Блокхост-сеть»
Назначение и возможности СЗИ «Блокхост-сеть 2.0»
СЗИ «Блокхост-сеть» является программно-техническим средством защиты от несанкционированного доступа (НСД) к информации, предназначенным для комплексной и многофункциональной защиты программно-информационных ресурсов рабочих станций и обеспечения конфиденциальности обрабатываемой информации.
СЗИ «Блокхост-сеть» функционирует под управлением ОС Windows ХР/2003/Vista/7/2008R2/8/8.1/2012/2012R2.
Сертифицированное средство защиты информации от несанкционированного доступа «Блокхост-сеть» обеспечивает 3 класс защищенности СВТ от НСД, 2 уровень контроля отсутствия недокументированных возможностей (НДВ), 4 класс защищенности межсетевого экранирования (МЭ).
СЗИ «Блокхост-сеть» обеспечивает защиту от НСД к информации, содержащейся на:
- локальном компьютере (без подключения к сети);
- сетевом компьютере (как в одноранговой, так и в доменной сети);
- рабочих станциях, объединенных в сеть, с установленной на каждой из них клиентской частью СЗИ «Блокхост-сеть».
СЗИ «Блокхост-сеть» дополняет и усиливает функциональные возможности операционной системы по защите информации.
Возможности СЗИ «Блокхост-сеть 2.0»
Двухфакторная аутентификация пользователей:
- двухфакторная идентификация и аутентификация пользователей с использованием электронных идентификаторов eToken, SafeNet eToken, ruToken, JaCarta PRO, «MS_KEY K» и USB-накопителей;
- возможность аутентификации доменных пользователей Microsoft Windows с использованием цифровых сертификатов пользователей, в том числе с применением российских криптографических алгоритмов (ГОСТ).
Разграничение доступа пользователей:
- управление доступом пользователей к локальным и сетевым ресурсам (дискам, папкам, файлам) на основе дискреционного и мандатного механизмов (до 255 уровней доступа);
- разграничение доступа к внешним устройствам/портам, привязка USB-устройств к пользователям;
- разграничение доступа пользователей на рабочую станцию по времени;
- контроль вывода документов на печать и маркировка документов.
В СЗИ «Блокхост-сеть 2.0» реализован мандатный и дискреционный механизмы доступа.
Мандатный механизм доступа:
- осуществляется с помощью мандатных меток, присваиваемых пользователю и объекту;
- права на доступ пользователя к объекту зависят от значения мандатной метки: от 1 – до 255.
Вид доступа | Соотношение мандатных меток субъекта (МС) и объекта (МО) |
Чтение | МС >= МО |
Запись | МС = МО |
Дискреционный механизм доступа аналогичен разграничению разрешений субъектам на доступ к объектам в операционных системах Windows.
Доверенная среда:
- контроль и разграничения доступа к запуску процессов, автоматизированное создание программных сред запрещенных и разрешенных процессов;
- контроль целостности информации и восстановление из резервного хранилища;
- контроль целостности и восстановление поврежденных или несанкционированных измененных объектов реестра;
- очистка оперативной памяти после завершения процессов;
- гарантированное удаление объектов файловой системы на логических дисках;
- функциональный самоконтроль подсистем СЗИ.
Сертифицированный встроенный персональный межсетевой экран:
- возможность фильтрации пакетов в соответствии с требованиями РД МЭ к 4 классу защищенности МЭ;
- поддержка сетевого мандатного режима.
Аудит событий безопасности:
- аудит и регистрация событий доступа к защищаемым ресурсам;
- регистрация пакетов входящего и исходящего трафика;
- централизованный сбор событий аудита со всех рабочих станций по протоколу syslog.
Удобство управления работой СЗИ:
- централизованная установка и настройка всех механизмов защиты;
- управление учетными записями, электронными идентификаторами и оперативный контроль пользователей;
- возможность санкционировать доступ пользователей к администрированию СЗИ «Блокхост-сеть»;
- использование шаблонов настроек параметров защиты;
- возможность резервирования настроек сервера;
- возможность обновления версий СЗИ «Блокхост-сеть» до сертифицированной версии СЗИ «Блокхост-сеть К».
Развёртывание в локальной сети организации управляемой с сервера администрирования системы клиентов СЗИ Блокхост-сеть
Порядок установки СЗИ на компьютеры сети заключается в следующем:
- Определить защищаемые компьютеры сети
- Установить клиентские части СЗИ «Блокхост-сеть 2.0» на:
- Установить серверную часть СЗИ «Блокхост-сеть 2.0» на рабочее место администратора безопасности и выполнить:
- Экспортировать выполненные настройки на отчуждаемый носитель
- Импортировать и загрузить настройки с носителя на каждую рабочую станцию
- рабочее место администратора безопасности;
- защищаемые рабочие станции
- назначение имён защищаемым рабочим станциям;
- присвоение ключей взаимной аутентификации клиентских и серверной части СЗИ;
- сетевые настройки.