Secret disk agent что это

Обновлено: 04.07.2024

Secret Disk Enterprise — это современная корпоративная система защиты коммерческой информации с централизованным управлением, имеющая клиент-серверную архитектуру.

SDE призвана помочь администраторам следить за состоянием безопасности на каждом компьютере в организации. В этом случае пользователю уже не нужно самому разбираться в защите жёсткого диска, этим должен заниматься администратор безопасности.


Кроме того, при централизованном хранении аутентификаторов доступа предприятие защищено от их случайной потери – они хранятся на защищённом сервере и передаются пользователю по мере необходимости. Также компания контролирует доступ сотрудников к своим защищаемым данным и в любой момент может запретить такой доступ.

Secret Disk Enterprise построен по технологии клиент-сервер. Клиентская часть представлена приложением Secret Disk Agent, выполняемым на рабочих станциях пользователей. Серверная часть состоит из трех основных компонентов:

Ключевые преимущества Secret Disk Enterprise

  • Secret Disk Enterprise обеспечивает защиту данных путём шифрования разделов на жёстких дисках, томов на динамических дисках, виртуальных дисков, отдельных папок с файлами и создания защищённых контейнеров.
  • Реализована возможность защиты системного раздела жёсткого диска и хранящейся на нём информации. При установке на x86-планшет с сенсорным вводом защита системного раздела будет реализована в ближайших версиях.
  • Обеспечена наиболее безопасная и надёжная на сегодняшний день процедура подтверждения прав пользователя – двухфакторная аутентификация, при которой для доступа к данным необходимо наличие электронного ключа и знание пароля к нему.
  • Организован аудит использования защищённых ресурсов и действий пользователей.
  • Используется встроенная в ядро ОС Windows криптография.
  • Доступна установка дополнительных пакетов от сторонних поставщиков криптографии (криптопровайдеров), включая КриптоПро CSP и VipNET CSP, которые реализуют российские стандарты алгоритмов шифрования и сертифицированы ФСБ России.
  • Возможность блокировки для конкретных пользователей функции копирования незашифрованной информации на съёмные носители.
  • Подготовка защищённых контейнеров для безопасной передачи конфиденциальной информации по открытым Интернет-каналам.
  • Настраиваемое разрешение/блокировка предоставления пользователем удалённого доступа к защищённым данным по локальной сети.
  • Решение устойчиво к возможным сбоям операционной системы или отключению электропитания, что исключает возможность повреждения данных.
  • Поддерживается оперативное восстановление доступа в случае утери или поломки пользователем электронного ключа.
  • Зашифрованные папки предусматривают пофайловое резервное копирование сторонними продуктами без доступа к конфиденциальным данным.
  • Быстрая установка и настройка клиентского программного обеспечения на рабочих местах пользователей за счёт использования групповых политик Microsoft Active Directory.
  • Работа продукта не требует подготовки и специальных знаний конечного пользователя.
  • Прозрачная работа продукта незаметна для пользователей системы.
  • Гибко настраиваемая система ролей и полномочий позволяет адаптировать программное обеспечение под организационные условия любого предприятия.
  • Поддержка либо запрет работы сотрудника с защищёнными дисками и данными вне доступа к корпоративной сети (например, в командировках).
  • Централизованное управление и мониторинг — в системе ведётся несколько журналов, по которым администратор может следить за работой пользователей, легко диагностировать нештатные ситуации и оперативно принимать необходимые меры.

Реализация защищенного обмена конфиденциальными данными

Рисунок 4. Автоматически сгенерированный пароль от шифрованного контейнера Secret Disk Enterprise

Автоматически сгенерированный пароль от шифрованного контейнера Secret Disk Enterprise

Работа с шифрованными контейнерами осуществляется прозрачно для пользователя на компьютере, где был создан контейнер. Для получателя контейнера работа с ним также не составляет большого труда — достаточно установить бесплатную программу Secret Disk Reader и ввести пароль к контейнеру.

В отличие от обычных файловых архивов, которые также поддерживают функции шифрования, файл-контейнер не предполагает сжатие данных внутри себя, а потому при монтировании его как виртуального логического тома не создаются временные файлы с незащищенными данными, которые злоумышленник сможет прочитать, анализируя содержимое компьютера.

Рисунок 5. Работа с шифрованными контейнерами в Secret Disk Enterprise

Работа с шифрованными контейнерами в Secret Disk Enterprise

Secret Disk Enterprise позволяет использовать шифрованные контейнеры для двустороннего обмена информацией: получатель может не только читать файлы из контейнера, но также помещать в него новые файлы и модифицировать существующие, что позволяет наладить полностью защищенный обмен конфиденциальными данными по любым небезопасным каналам связи.

Secret Disk Enterprise (коммерческая версия)

Secret Disk Enterprise (коммерческая версия)

Комплекс защиты конфиденциальной информации с централизованной системой управления Secret Disk Enterprise позволяет обеспечить защиту персональных компьютеров и ноутбуков в корпоративной инфраструктуре от несанкционированного доступа и утечки конфиденциальной информации.

Secret Disk Enterprise отслеживает состояние всех защищённых рабочих станций и снимает нагрузку с информационных служб предприятий, снижая затраты и повышая уровень безопасности данных в компании.

Введение

Несанкционированный доступ к конфиденциальной информации — основная угроза информационной безопасности, о которой следует помнить при построении системы защиты. Для защиты информации, обрабатываемой на рабочих станциях, от НСД должен применяться целый комплекс мер: обеспечение надежной аутентификации, реализация правил разграничения доступом, контроль утечек информации на съемные носители и по сети и многие другие. Классические методы защиты от НСД основаны на применении одного из продуктов класса СЗИ от НСД. Эти продукты разрабатываются в соответствии с руководящим документом «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», выпущенным Гостехкомиссией России (ныне ФСТЭК России) в 1992 году. С момента появления этого документа изменилось очень многое — возникли новые способы атак, новые каналы утечки информации, и в целом данный документ не охватывает весь спектр актуальных угроз безопасности. Современные реалии требуют от специалистов по информационной безопасности использовать широкий набор средств разных классов для обеспечения высокого уровня защиты. Обязательным дополнением к СЗИ от НСД являются средства шифрования информации.

Продукт Secret Disk Enterprise, подробный обзор которого мы публиковали ранее, является криптографическим средством защиты и позволяет реализовать ряд мер, снижающих угрозу НСД к информации.

Комплект поставки

Коробочная версия продукта включает:

  • CD-ROM с программным обеспечением и документацией в электронном виде;
  • файл, содержащий требуемые лицензии пользователей и платные опции;
  • упаковочную коробку.

Коробочный вариант поставки рекомендуется для новых пользователей Secret Disk Enterprise. Для использования продукта вам необходимо приобрести лицензии на требуемое количество рабочих мест и выбранные опциональные возможности продукта.

Для работы продукта также обязательно понадобятся электронные ключи JaCarta или eToken. Минимальное количество токенов равно сумме количества пользователей, администраторов и операторов продукта.

Коробочная версия поставляется с бесплатной годовой программой базовой технической поддержки.

Защита от хищения носителей информации

Функции Secret Disk Enterprise по полнодисковому шифрованию защищают данные в случае кражи жестких дисков, не позволяя злоумышленнику получить доступ к информации с украденного носителя. Но существует проблема хищения других носителей информации, используемых в работе любой организации. Для решения данной проблемы в продукте Secret Disk Enterprise реализованы функции по шифрованию файлов на внешних носителях — съемных дисках, флеш-накопителях и т. д. Шифрование выполняется прозрачно для пользователя, и работа с защищенными данными возможна с любого защищаемого компьютера в рамках сети при условии предоставления доступа пользователю данного компьютера.

Рисунок 3. Шифрованные диски, разделы и папки в Secret Disk Enterprise

Шифрованные диски, разделы и папки в Secret Disk Enterprise

Все преобразования в Secret Disk Enterprise выполняются по криптостойким алгоритмам с использованием сторонних служб криптографии (КриптоПро CSP и ViPNet CSP) или с помощью встроенной службы Microsoft Windows. Сторонние службы позволяют обеспечить соответствие криптографической защиты требованиям российских регуляторов, но требуют дополнительных затрат на лицензирование.

Системные требования

Операционная система

Для рабочих станций:

  • Microsoft Windows 10;
  • Microsoft Windows 8.1;
  • Microsoft Windows 8;
  • Microsoft Windows 7 SP1.
  • Microsoft Windows Server 2019;
  • Microsoft Windows Server 2016;
  • Microsoft Windows Server 2012 R2;
  • Microsoft Windows Server 2012;
  • Microsoft Windows Server 2008 R2.

Обязательное программное обеспечение

Для сервера SDMS:

Сервер базы данных: Microsoft SQL Server 2005/2008/2012/2014/2016.

В составе ИТ-инфраструктуры предприятия должна быть установлена служба каталогов Active Directory с функциональным уровнем домена не ниже Windows Server 2003.

Дополнительное программное обеспечение

Совместно с SDE может использоваться система управления токенами и смарт-картами JaCarta Management System (JMS), что обеспечивает удобство применения продукта. Использование JMS в организации позволяет упростить и организовать управление ключами и пользовательскими сертификатами.

Электронные ключи

  • USB-токены и смарт-карты JaCarta с апплетом PKI: JaCarta PKI, JaCarta PKI/ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta PRO
  • USB-токены и смарт-карты eToken PRO (Java) 72K, eToken PRO Anywhere

Защита рабочих станций от несанкционированного доступа при помощи Secret Disk Enterprise

Защита рабочих станций от несанкционированного доступа при помощи Secret Disk Enterprise

Защита информации от несанкционированного доступа (НСД) — комплексная задача, которая решается продуктами разных классов. В данной статье мы рассмотрим, как продукт, обеспечивающий криптографическую защиту хранимых данных, может применяться для защиты от НСД.

Выводы

Продукт Secret Disk Enterprise выполняет максимум функций по защите информации от НСД на рабочих станциях для своего класса. Полный набор возможностей по шифрованию дисков, разделов, устройств и папок позволяют обеспечить эффективную защиту конфиденциальной информации от физического несанкционированного доступа. Возможность создания шифрованных контейнеров и работы с ними Secret Disk Enterprise обеспечивают защиту информации от НСД при ее передаче партнерам, заказчикам и другим внешним субъектам.

Криптографические средства, так же, как и другие виды средств защиты, не могут сами по себе обеспечить полную защиту от НСД к информации на рабочих станциях. Данная задача должна решаться в комплексе и требует применения средств защиты разных классов — антивируса, DLP-системы, классического СЗИ от НСД, средства криптографической защиты и других. Только при одновременной работе всех этих продуктов можно с уверенностью заявлять о реализации максимальной защиты от НСД. В качестве средства криптографической защиты Secret Disk Enterprise может с успехом применяться как один из элементов системы защиты любого уровня.

Защита от нештатной загрузки операционной системы

Средство криптографической защиты Secret Disk Enterprise обладает функцией полнодискового шифрования с собственным загрузчиком операционной системы, что позволяет реализовать гарантированную защиту от получения доступа к данным через загрузку нештатной операционной системы. Secret Disk Enterprise обеспечивает шифрование всех данных на локальных жестких дисках и позволяет получить доступ к информации и загрузить операционную систему только легитимному пользователю. Авторизация выполняется в собственном загрузчике, работающем до загрузки операционной системы.

Рисунок 1. Загрузчик Secret Disk Enterprise с поддержкой двухфакторной аутентификации

Загрузчик Secret Disk Enterprise с поддержкой двухфакторной аутентификации

Дополнительная защита обеспечивается поддержкой двухфакторной аутентификации с помощью электронных ключей JaCarta и eToken. Синхронизация с Microsoft Active Directory делает управление системой по-настоящему удобным — администратору нет необходимости вести разные базы пользователей для средства защиты и операционной системы.

Рисунок 2. Управление учетными записями пользователей с поддержкой интеграции с Active Directory в Secret Disk Enterprise

Управление учетными записями пользователей с поддержкой интеграции с Active Directory в Secret Disk Enterprise

Технические подробности

Концепция Secret Disk Enterprise (SDE) заключается в централизованном хранении и управлении ключами шифрования дисков, информацией о пользователях, их связях с дисками, и т. д. Все операции в SDE основаны на взаимодействии между клиентской и серверной компонентами системы.

Secret Disk Enterprise построен по технологии клиент-сервер. Клиентская часть представлена приложением Secret Disk Agent, выполняемым на рабочих станциях пользователей. Серверная часть состоит из трех основных компонентов:

  • сервер бизнес-логики;
  • шлюз клиентов;
  • административный Web-портал.

Защита конфиденциальной информации

Архитектура Secret Disk Enterprise

Сервер бизнес-логики

Сервер бизнес-логики отвечает за операции с зашифрованными дисками, сертификатами пользователей, а также управление учётными записями пользователей, лицензиями, компьютерами, выполнение функций обслуживания и т.д.

Сервер бизнес-логики формирует для каждой клиентской рабочей станции очередь команд. Он не имеет возможности обратиться к клиентской части напрямую, поэтому всё взаимодействие инициирует Secret Disk Agent через Шлюз клиентов.

Шлюз клиентов

Шлюз клиентов выполняет аутентификацию и перенаправляет запросы Secret Disk Agent серверу бизнес-логики, выполняя промежуточную роль в следующих процессах: обмен ключевой информацией, получение клиентским программным обеспечением команд сервера, обмен служебной информацией.

Конфиденциальная информация пользователей хранится на зашифрованных дисках рабочих станций. Для зашифрования/расшифрования информации на диске используется криптокопия ключа этого диска, зашифрованная с использованием мастер-ключа базы данных.

В базе данных хранятся криптокопии мастер-ключа базы данных, поэтому, чтобы получить мастер-ключ для работы с дисками, необходимо расшифровать его криптокопию. Для этого используется утилита "Мастер первоначальной настройки". Сама операция называется "подключением криптохранилища".

Административный Web-портал

Веб-портал предоставляет графический интерфейс для работы с функциями аудита и администрирования. Доступность тех или иных функций зависит от принадлежности к той или иной роли.

Защита конфиденциальной информации
Защита конфиденциальной информации
Защита конфиденциальной информации

(нажмите на картинку, чтобы увидеть ее в полном размере)

Secret Disk Agent

Доступ к SDMS имеют уполномоченные Администратором безопасности Операторы. Функции пользователей выделены в виде приложения Secret Disk Agent, которое устанавливается на каждом клиентском компьютере. В нём пользователь может подключать и отключать диски, а все прочие функции выполняются по запросу сервера через механизм команд, которые формирует сервер для каждого клиента в виде очереди. Назначенные клиенту задачи выполняются по мере опроса клиентом сервера.

База данных SQL

Все данные, которыми оперирует система SDMS, хранятся в базе данных на сервере под управлением Microsoft SQL Server 2005/2008/2012 . В базе данных хранятся сведения о файловой системе для каждого клиентского компьютера, операциях пользователя, а также сертификаты и симметричные ключи ко всем зашифрованным дискам. Ключи к зашифрованным дискам клиентов зашифрованы мастер-ключом, который, в свою очередь, защищён ключевой парой сертификата Оператора, хранящегося на USB-ключе или смарт-карте последнего.

SQL-база данных заимствует уже существующие сведения о сотрудниках организации из службы Active Directory (AD): их роли, сертификаты, криптокопии публичных ключей-сертификатов, конфигурации рабочих станций. Доступ к Active Directory осуществляется только в режиме чтения, то есть никто из пользователей SDMS не может менять структуру и данные в AD.

Secret Disk Enterprise


Secret Disk Enterprise - многофункциональное решение для шифрования данных, которым можно управлять из единой консоли. Криптографическая защита хранимой информации очень важная задача информационной безопасности. В идеале вся информации компании должна быть зашифрована. В особенности это касается данных на съемных носителях и мобильных устройствах.

Комплекс Secret Disk Enterprise в состоянии обеспечить защиту данных от несанкционированного доступа в корпорациях и на персональных компьютерах. Комплекс самостоятельно отслеживает состояние защиты компьютеров и не требует привлечение дополнительных сотрудников, что в конечном счете снижает затраты на обслуживание и повышает уровень информационной безопасности предприятия.

В процессе работы, Secret Disk Enterprise производит шифрование информации размещенных на разделах жестких дисков, отдельных папок, целых томов на динамических дисках.

Для получения доступа к зашифрованной информации используется двухфакторная аутентификация (электронный ключ и пароль к нему). Система обладает высокой надежностью и устойчивостью к непредвиденным обстоятельствам: выключению электропитания, выходу из строя электронного ключа и других.

Методы получения несанкционированного доступа

Существует множество методов, с помощью которых злоумышленники получают несанкционированный доступ к конфиденциальной информации. В целом все способы можно разделить на четыре основные группы:

  • Несанкционированный доступ внешним нарушителем при наличии физического доступа к компьютеру.
  • Несанкционированный доступ к информации при ее передаче за пределы контролируемой зоны.
  • Утечка информации, вызванная внутренним нарушителем, имеющим легитимный доступ к данным.
  • Удаленное проникновение на компьютер и похищение данных с помощью эксплуатации уязвимостей или использования вредоносного программного обеспечения.

В первом случае нарушитель, не являющийся пользователем рабочего места, но имеющий физический доступ к компьютеру с конфиденциальной информацией, может выполнить различные локальные атаки, например, загрузку с внешнего носителя и копирование информации с жесткого диска, или совершить кражу носителей информации. Данная угроза имеет наибольшую актуальность для организаций, работающих в сфере услуг и обслуживания. В таких компаниях открыт свободный доступ для посетителей, и злоумышленник может отвлечь оператора или использовать один из свободных компьютеров для проведения атаки. Если же говорить о краже — от данной угрозы не защищена ни одна компания. Известно много случаев, когда ограбление планировалось с одной целью — похитить жесткие диски с ценными коммерческими данными.

Для защиты от нежелательных манипуляций злоумышленника с компьютерами можно использовать разные подходы. Классическим методом является физическая защита портов ввода-вывода, использование аппаратных плат доверенной загрузки и другие сложные меры, которые требуют существенных затрат и тормозят бизнес-процессы. Криптографические средства могут решить эту проблему проще, обеспечив полное шифрование данных на жестких дисках и предоставляя доступ пользователю только после надежной аутентификации. Дополнительно данный способ защиты позволит нивелировать угрозу кражи носителей — злоумышленник не сможет прочитать информацию с похищенного жесткого диска.

Второй случай — несанкционированный доступ при передаче информации за пределы контролируемой зоны — очень обширен из-за наличия большого числа возможных каналов передачи. Данные могут передаваться через глобальные сети по различным протоколам и через множество сервисов. Существует масса видов атак и угроз — перехват трафика, подделка адресов, взлом сервисов хранения файлов и так далее. Все эти угрозы находятся за пределами защищаемого периметра и средства защиты могут только блокировать передачу данных, но не могут обеспечить их безопасность. Кроме того, информацию за пределы периметра могут выносить с помощью съемных носителей — дисков, флеш-накопителей, внешних жестких дисков, — и эти данные также нельзя контролировать. Единственный способ сохранить конфиденциальные данные в тайне — использовать криптографические преобразования, чтобы защитить информацию от НСД и позволить работать с ней только легитимному получателю данных.

В остальных случаях криптографическая защита бессильна — шифрование не может обеспечить защиту от утечки информации со стороны пользователя, имеющего легитимный доступ к данным, и защитить данные от удаленного проникновения через уязвимости и вредоносное ПО, т. к. данные виды атак действуют от имени пользователя.

Читайте также: