СЗИ НСД «Аккорд-АМДЗ»

СЗИ НСД «Аккорд-АМДЗ» представляет собой аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК — серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

«Доверенная загрузка» — это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.

Основные характеристики

Комплекс начинает работу сразу после выполнения кода системного BIOS компьютера — до загрузки операционной системы. Контроллеры семейства «Аккорд-АМДЗ» обеспечивают доверенную загрузку ОС, поддерживающих наиболее распространенные файловые системы, включая: FAT12, FAT16, FAT32, NTFS, HPFS, Ext2, Ext3, Ext4, ReiserFS, FreeBSD UFS/UFS2, Solaris UFS, QNX4, MINIX. Это, в частности, ОС семейств MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD и др.

«Аккорд-АМДЗ», как правило, применяется в следующей конфигурации:

• контроллер («Аккорд-АМДЗ») — представляет собой карту расширения (expansion card), устанавливаемую в свободный слот материнской платы СВТ (РС). Контроллер является универсальным, не требует замены при смене используемого типа операционной системы (ОС);
• съемник информации с контактным устройством, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя;
• персональный идентификатор пользователя— специальное устройство, содержащее уникальный признак пользователя, с которым зарегистрированный пользователь входит в систему и который используется системой для определения его прав, а также для регистрации факта доступа и характера выполняемых им работ или предоставляемых ему услуг.

Количество и тип идентификаторов, модификация контроллера и съемника оговариваются при поставке комплекса. Персональные идентификаторы и съемники информации заказываются отдельно.

Контроллеры «Аккорд-АМДЗ»

«Аккорд-АМДЗ» может быть реализован на различных контроллерах, предназначенных для работы с разными шинными интерфейсами СВТ. При этом его базовая функциональность всегда остается одинаковой (вне зависимости от типа контроллера) и соответствует заявленной и отраженной в конструкторской и эксплуатационной документации.

Для того чтобы выбрать нужный Вам вариант, в первую очередь определите, свободный слот с каким шинным интерфейсом есть у того СВТ, в которое Вы планируете установить «Аккорд-АМДЗ».

Это может быть:

• PCI или PCI–X — контроллеры Аккорд-5МХ или Аккорд-5.5
• PCI-express — контроллеры Аккорд-5.5.е, Аккорд-5.5.e new (Аккорд-LE) или Аккорд-GX
• Mini PCI-express — Аккорд-GXM
• Mini PCI-express half card — контроллер Аккорд-GXMH
• M.2 с ключами A и/или E (интерфейс PCI-express) — Аккорд-GXM.2

• Идентификаторы

  В качестве идентификатора пользователя могут использоваться USB-токены, USB-ключи, смарт-карты, устройства ШИПКА (на базе ШИПКА-лайт Slim, ШИПКА-2.0 CCID или других моделей), ТМ-идентификаторы.

•  

  Количество и тип идентификаторов оговариваются при поставке комплекса. Персональные идентификаторы заказываются отдельно.

  Съемники информации

  Съемники информации предназначены для считывания данных с ТМ-идентификаторов, смарт-карт и бесконтактных RFID-меток.

  Лицензии, сертификаты

  Комплекс соответствует требованиям документов «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013) и «Профиль защиты средства доверенной загрузки уровня платы расширенного второго класса защиты. ИТ.СДЗ.ПР2.П3» (ФСТЭК России, 2013).

СПО Аккорд-Win64 К

Аккорд-Win64 K включает в себя СПО для 32-х и 64-х разрядных ОС, установку того или другого пользователь выбирает при начале инсталляции. СПО предназначено для разграничения доступа к рабочим станциям, терминалам, терминальным серверам и поддерживает работу со средствами идентификации пользователя.

Предусмотрена идентификация/аутентификация пользователя с помощью ТМ-идентификаторов DS 1992/1993/1995/1996, устройств ШИПКА или смарт-карт.

СПО работает на рабочих станциях и терминальных серверах, функционирующих под управлением 32-х и 64-х разрядных ОС семейства Windows.

Возможности

1. Защита от несанкционированного доступа;
2. Идентификация/аутентификация пользователей для входа в ОС;
3. Статический и динамический контроль целостности данных, их защита от несанкционированных модификаций;
4. Создание индивидуальной для каждого пользователя изолированной программной среды;
5. Запрет запуска неразрешенных программ;
6. Разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
7. Разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;
8. Автоматическое ведение протокола регистрируемых событий;
9. Управление терминальными сессиями;
10. Контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам.
11. Контроль доступа к USB-устройствам.

Основные характеристики

СПО Аккорд-Win64 K:

• позволяет установить временной интервал, в который загрузка СВТ запрещена;
• позволяет контролировать целостность системной области диска, системных файлов, программ и данных;
• имеет собственную систему разграничения доступа;
• поддерживает управление потоками информации;
• поддерживает механизм блокировки экрана после некоторого установленного времени неактивности, который дополнен функцией идентификации пользователя при разблокировании СВТ;
• позволяет контролировать печать из любого прикладного программного обеспечения и маркировать выводимые на печать документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

Программное обеспечение комплекса позволяет администратору безопасности информации реализовать правила разграничения доступа на основе набора атрибутов:

Операции с файлами

R - разрешение на открытие файлов только для чтения
W - разрешение на открытие файлов для записи
C - разрешение на создание файлов на диске
D - разрешение на удаление файлов
N - разрешение на переименование файлов
V - видимость файлов
O - эмуляция разрешения на запись информации в открытый файл

Операции с каталогами

M - создание каталогов на диске
E - удаление каталогов на диске
G - разрешение перехода в этот каталог
n - переименование подкаталогов
S - наследование прав на все вложенные подкаталоги
1 - наследование прав на 1 уровень вложенности
0 - запрет наследования прав на все вложенные подкаталоги

Прочее

X - разрешение на запуск программ

Регистрация

r - регистрация в журнале операций чтения при обращении к объекту
w - регистрация в журнале операций записи при обращении к объекту

меток доступа, которые могут быть поименованы как уровни секретности либо другим, более удобным образом (количество меток допуска может достигать шестнадцати);

и параметров:

• перечень файлов, целостность которых должна контролироваться системой, и опции контроля;
• запуск стартовой задачи (для функционально замкнутых систем);
• наличие, либо отсутствие привилегий супервизора;
• детальность журнала доступа;
• назначение/изменение пароля для аутентификации;
• временные ограничения - время по дням недели (с дискретностью 30 мин), в которое разрешено начало работ для данного субъекта;
• параметры управления экраном - гашение экрана через заранее определенный интервал времени (в случае, если в течение указанного интервала действия оператором не выполнялись), подача соответствующих звуковых и визуальных сигналов.