0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита информации с помощью StrongDisk

возможности strongdisk pro

Информация в современном мире приобретает все большую ценность, все больший объем информации хранится и передается в электронном виде. Это означает, что в компьютерных системах обрабатывается самая разнообразная информация, имеющая различную ценность, уровень секретности и актуальность.

Информация уже давно стала предметом купли-продажи, а утечка информации в руки недоброжелателей или конкурентов может привести к весьма нежелательным последствиям. Поэтому защита финансовой и бухгалтерской документации, планов развития компании, ноу-хау или клиентской базы является сегодня жизненной необходимостью

Система защиты информации StrongDisk Pro обеспечивает надежную защиту информации от несанкционированного доступа на ноутбуках и рабочих станциях.

  • Предотвратит утечку информации в случае потери или кражи ноутбука, в случае сервисного обслуживания рабочей станции
  • Разграничит доступ к конфиденциальной информации внутри рабочей группы
  • Не позволит пользователю работать с защищенной информацией бесконтрольно
  • Обеспечит надежную передачу информации на сменных носителях
  • Предотвратит доступ посторонних к конфиденциальной информации в случае отсутствия пользователя на рабочем месте

Возможности StrongDisk Pro

Многофакторная аутентификация пользователя – для доступа к защищенной информации возможно использование одновременно или по отдельности (в том числе в защищенном режиме):

  • USB-ключ или сматр-карту
  • Пароль
  • Файл-ключ

Фоновое шифрование

Все операции зашифрования, перешифрования и расшифрования можно проводить в фоновом режиме. Во время выполнения этих операций диск полностью доступен для работы, что дает возможность использовать компьютер, не дожидаясь окончания процесса шифрования.

Восстановление доступа к зашифрованным дискам

Предусмотрена возможность восстановления доступа к зашифрованным данным при потере или поломке ключа путем восстановления из резервной копии ключевой информации. Пользователь сам (по подсказке системы) создает и хранит резервную копию полного ключа (мастер-ключа) для последую.щей возможности резервного восстановления доступа к данным.

Скрытое использование и экстренное реагирование

StrongDisk Pro может защищать Вашу информацию совершенно незаметно, в том случае, если Вы не хотите привлекать внимания к Вашим секретам.
Экстренное реагирование – мгновенное отключение, подмена или уничтожение дисков (по нажатию «горячей клавиши» или при извлечении электронного ключа);

Возможность использовать внешние криптопровайдеры

  • CRLB ( AES-128, AES-256, Blowfish-128, Blowfish-448, Cast, 3DES)
  • Microsoft Enhanced CSP (Triple DES и RC2 входит в состав ОС Microsoft Windows)
  • КриптоПро CSP версии 2.0 (ГОСТ-28147-89 с длиной ключа 256 бит)
  • Signal — COM CSP (ГОСТ-28147-89 с длиной ключа 256 бит)

Групповые операции (Corporate)

Система StrongDisk Corporate поддерживает групповые операции, такие как одновременное создание, подключение защищенных дисков, изменение параметров аутентификации и механизмов шифрования на нескольких компьютерах. Смысл групповых операций заключается в том, что администратору нет необходимости подключаться по очереди к каждой рабочей станции пользователя и задавать параметры, необходимые для выполнения операции. Если операция типовая (например, создание на всех рабочих станциях защищенных файлов-контейнеров с именем c:Image1.grd, емкостью 2 Гб, файловой системой NTFS, алгоритмом шифрования ГОСТ-256), то настройки задаются в одном диалоге и применяются ко всем требуемым рабочим станциям. Если пользовательских компьютеров много, возможность использования групповых операций становится необходимой. Тот факт, что все диски при таких операциях создаются и подключаются с помощью единого ключа, сильно упрощает сопровождение системы: нет необходимости сначала генерировать большое количество ключей шифрования, а затем хранить их резервные копии. В то же время, позаботиться о сохранности одного администраторского ключа намного легче.

Кворум ключей шифрования. (Corporate)

Система позволяет использовать кворум ключей шифрования. Для того, чтобы не сосредотачивать доступ к конфиденциальной информации в руках одного человека, но при этом обеспечить доступность информации, ключ шифрования может быть разбит, например, на четыре части, любые две из которых могут быть использованы для расшифровывания данных

Модуль контроля запуска приложений. (Corporate)

Модуль контроля запуска приложений дает возможность контролировать запуск приложений на сервере. Это обеспечивает защиту данных от несанкционированного доступа в процессе работы системы. Принцип работы контроля запуска приложений заключается в создании «черного» и «белого» списков программного обеспечения, которым соответственно запрещается и разрешается запуск нас сервере. Система допускает как шаблонные, так и точные настройки.

Администраторский ключ. (Corporate)

StrongDisk Pro позволяет использовать двухуровневую систему ключей, когда наряду с ключом или паролем пользователя информация может параллельно защищаться с помощью ключа администратора. Ключ администратора может быть единым сразу для большого количества компьютеров и открывать доступ к защищенной информации на них даже в отсутствие пользовательского ключа или пароля.

Удобство и простота использования

Для работы не требуется никаких специальных знаний. Например, технология «Автоподключаемые диски» позволяет подключать защищенные диски и запускать нужные приложения просто присоединяя внешний ключ.

Поддержка работы с любыми электронными ключами, поддерживающими стандарт PKCS#11 или вообще без ключа.

Например, Aktiv ruToken, Rainbow iKey, Aladdin eToken, Eutron CryptoIdentity и многие другие. Если пользователь уже использует такой ключ в других приложениях, он может использовать этот же ключ в StrongDisk Pro. Любой USB-носитель Пользователь STrongDisk Pro может превратить в электронный ключ.

Запрет или доступ по сети к зашифрованным данным

Пользователь может выбрать, блокировать ему доступ по сети к защищенным данным или, наоборот, предоставить к ней доступ.

Надежное уничтожение данных.

При обычном удалении файлов средствами Windows, содержимое файла остается на диске. Файл только помечается, как удаленный. Именно поэтому файлы после удаления можно восстанавливать.
StrongDisk Pro надежно уничтожает информацию без возможности ее восстановления.
Если вы все же удалили файл, используя обычные средства, то можно затереть все свободное место на жестком диске. После затирания свободного места восстановить информацию, содержавшуюся в удаленных файлах будет невозможно.

Защита данных от сбоев

Надежность, проверенная временем!

Разработка технологии StrongDisk ведется более 12 лет. Используемые драйверы, проверенны временем и тысячами пользователей во всем мире. Говорить о важности этого фактора не приходится, учитывая, что речь идет о защите конфиденциальной информации, стоимость которой может быть очень велика.

Продукты StrongDisk Server защиты информации на серверных станциях

Комплексные системы криптографической защиты информации на серверных станциях — безопасная работа с ин- формкцией большого числа удаленных пользователей, возможность построения защищенных виртуальных частных сетей (VPN) и обеспечение безопасности компьютера при работе в сети, надежное, удобное резервное копирование, системы экстренного реагирования на сервере.

  • • StrongDisk Office Server — защита файл-сервера, сервера приложений, персональные диски или папки пользователей на сервере;
  • • StrongDisk Server Standalone — защита сервера приложений;
  • • StrongDisk Server v.4.1 защита файл-сервера и сервера приложений.

Возможности продуктов серии StrongDisk Server:

  • 1. Защита от несанкционированного доступа любых приложений на сервере, также базы данных, CRM-систем, корпоративной электронной почты:
    • — защита файловых серверов;
    • — защита серверов баз данных;
    • — защита почтовых серверов;
    • — защита терминальных серверов;
    • — защита данных на серверах приложений: 1C, Lotus Domino;
    • — безопасная транспортировка данных на съемных дисках;
    • — создание защищенных архивов и резервных копий.

    Все желающие получают полнофункциональный тестовый комплект.

    Возможно проведение бесплатного* тестирования необходимой конфигурации системы защиты информации StrongDisk Server, включающей в себя все интересующие программные и аппаратные компоненты.

    Для полнофункционального тестирования необходимой конфигурации системы защиты информации StrongDisk Server, включающей в себя все программные и аппаратные компоненты, достаточно связаться с менеджерами отдела Security и прислать Гарантийное обязательство (с сайта фирмы надо скачать подготовленный бланк Гарантийного обязательства).

    Особенностями продуктов линейки StrongDisk Server являются:

    • 1. Лучшая комплексная система криптографической защиты информации на серверных станциях. Фирма постоянно анализирует потребности своих клиентов и старается предугадывать тенденции развития рынка систем защиты информации. Благодаря этому всегда удается своевременно обеспечить пользователей надежной защитой. Все доступные сегодня функции в области криптографической защиты информации для серверных станций можно найти в системах StrongDisk Server, помимо этго фирма предоставляет принципиально новые уникальные функции, которые позволяют увеличить степень защищенности информации и предоставляют более широкие возможности своим клиентам.
    • 2. Блокирование прямого доступа пользователей к защищенным данным для серверов приложений, работа с данными возможна только для приложений, работающих на сервере (например, MS Exchange, SQL Server) — специальный продукт линейки StrongDisk Server Standalone — экономичное решение для защиты серверов приложений. Лицензионная политика не зависит от количества пользователей приложений.
    • 3. Защищенные персональные диски или папки пользователей на сервере с возможностью подключения на клиентских рабочих станциях — новый продукт линейки StrongDisk Office Server.
    • 4. Отсутствие встроенных криптографических средств в продукте.
    • 5. Все продукты линейки StrongDisk Server не относятся к категории шифровальных средств и не попадают под действие соответствующих законодательных ограничений по их распространению, в т.ч. экспортноимпортных, не требует наличия у партнеров компании, занимающихся их распространением и внедрением, наличия соответствующих лицензий.
    • • Использование стойких алгоритмов шифрования, возможность подключения внешних, в том числе сертифицированных российских крип- торовайдеров КриптоПро CSP и Signal-COM CSP, реализующих ГОСТ 28147-89 с длиной ключа 256 бит.
    • • Возможность использования файлов-контейнеров и шифрования логических разделов целиком. Защищенный диск может быть как файлом- контейнером, так и зашифрованным разделом жесткого диска, съемным диском (дискеты, USB жестким диском, flash-накопителем и пр.).
    • • Неограниченное количество защищенных дисков. Возможность подключения защищенных дисков на папки. Защищенный диск может подключаться на любую пустую директорию файловой системы. Это, во- первых, позволяет переносить информацию на защищенный диск, не изменяя настроек приложений, которые с этой информацией работают. Достаточно скопировать информацию (например, файл базы данных) на защищенный диск, а потом подключить его на ту директорию, где информация находилась до этого. Во-вторых, с возможностью подключения защищенных дисков на папки исчезает ограничение на количество одновременно подключенных дисков, связанное с количеством свободных букв в системе.
    • • Защищенные персональные диски или папки пользователей на сервере с возможностью подключения на клиентских рабочих станциях. Максимально надежное разделение полномочий пользователей и системного администратора при работе с защищенными данными на сервере.
    • • Многоуровневая аутентификация пользователя — для доступа к защищенной информации можно использовать одновременно или по отдельности:
      • — USB-ключ или смарт-карту;
      • — пароль;
      • — файл-ключ.

      Рассмотрим принцип работы и техническую информацию продуктов серии StrongDisk Server.

      Продукты линейки StrongDisk Server позволяют создавать и использовать в рамках операционной системы Windows защищенные логические диски. Эти диски представляют собой специальные файлы или разделы на жестком диске. Зашифровать можно отдельные жесткие диски сервера, любые дисковые массивы (внешние и внутренние, программные и аппаратные RAID-массивы), а также съемные диски (например, подключаемые к серверу для резервного копирования). Файлы защищенных дисков могут иметь любые расширения — это позволяет замаскировать его под файл любого типа. Драйвер, входящий в состав StrongDisk Server, позволяет работать с такими файлами или разделами как с обычными логическими дисками.

      Данные хранятся централизованно на сервере в зашифрованном виде. Для того чтобы пользователи могли получить к ним доступ, следует использовать стандартные средства Windows (Sharing) или возможности продукта StrongDsik Office Server. Никто не может получить доступ к данным, пока соответствующие диски не будут подключены. Для того чтобы подключить диск, администратор должен ввести на сервере все необходимые пароли, а также подключить внешний ключ. После этого пользователи, имеющие соответствующие права, смогут получить доступ к данным. При этом пользователи не должны знать пароль или обладать внешним ключом для подключения защищенных дисков, они могут вообще не догадываться, что информация хранится в закодированном виде.

      Основная техническая информация о продуктах серии StrongDisk Server представлена в следующей табл. 13.2.

      Табл. 13.2. Технические характеристики продуктов серии StrongDisk Server

      Защита информации с помощью StrongDisk

      StrongDisk Pro: надёжная защита конфиденциальной информации на вашем ПК

      Введение

      Информация всегда представляла немалую ценность, но сегодня, в эпоху расцвета информационных технологий, она бывает дороже золота. Поэтому очень важно, чтобы ценная информация не попала в руки злоумышленника. В наши дни ИТ-индустрия предлагает немало средств защиты информации, начиная от паролей на файлы Microsoft Word и заканчивая сложными аппаратно-программными комплексами. Все они обеспечивают разный уровень надёжности защиты и отличаются разной стоимостью реализации. Наша статья будет посвящена мощному и современному программному средству защиты информации — приложению StrongDisk Pro. Приятно здесь и то, что эта программа выпущена отечественными разработчиками — компанией PhysTechSoft.

      Программа StrongDisk работает под операционными системами Windows NT/2000/XP. Основной функцией StrongDisk является создание защищённых логических дисков. Физически диски представляют собой специальные файлы-образы или разделы на жёстком диске, хранящиеся в шифрованном виде. При записи на такой диск информация кодируется «на лету», а при чтении — мгновенно расшифровывается.

      Покажем на примере. Предположим, мы создали шифрованный файл-образ на диске C: под названием example.grd. Запускаем StrongDisk, щёлкая по значку в трее, выбираем клавишу «Подключить. «, указываем файл-образ, вводим пароль — и всё готово!

      Теперь у нас есть логический диск W:, с которым можно работать совершенно прозрачно, как с обычным диском. Если вы не знаете пароля, то подключить файл-образ не получится, и данные будут недоступны.

      Конечно, защита с помощью пароля — не самая надёжная, ведь его можно подобрать. Кроме пароля, программа позволяет использовать файл-ключ и электронный ключ. Наконец, надёжность защиты гарантируется проверенными алгоритмами шифрования. Но об этом мы поговорим чуть позже.

      Создание шифрованных логических дисков — основная функция программы. Но в комплект поставки входят две утилиты, Burner и Strong Logon, первая из которых надёжно затирает информацию на жёстком диске, а вторая обеспечивает защищённый вход в систему Windows.

      Если вы хотите подробнее узнать о StrongDisk или приобрести программу, рекомендуем обратиться на сайт www.strongdisk.ru .

      Работа с дисками

      StrongDisk использует для хранения информации защищённые логические диски. Защищенный диск представляет собой либо файл, хранящийся на жёстком диске, либо раздел жёсткого диска. Специальный драйвер позволяет работать с такими файлами или разделами как с обычными логическими дисками, при этом кодирование и раскодирование информации происходит «на лету». С защищённым логическим диском можно работать средствами Windows: копировать файлы и каталоги, проверять или форматировать и т. п.

      Файл-образ диска состоит из двух частей: блока данных в закодированном виде и заголовка, в котором хранится служебная информация и ключ кодирования данных. Заголовок, в свою очередь, закодирован. Для декодирования заголовка используется хэш-функция от полного пароля к файлу-образу. Алгоритм кодирования данных, алгоритм кодирования заголовка и хеш-функция задаются при создании файла-образа. Впоследствии можно изменить полный пароль для доступа к файлу-образу. Ёмкость защищенного диска задаётся при его создании. При кодировании/декодировании данные не растягиваются и не сжимаются, заголовок диска занимает 1 кбайт, поэтому размер файла-образа примерно равен размеру хранящихся на нем файлов.

      Создание защищённого диска через файл-образ

      Самый распространённый способ создания защищённого диска — через файл-образ. Чтобы создать новый диск, в главном меню StrongDisk следует нажать клавишу «Создать. «.

      Затем следует ввести место расположения защищённого диска и его имя.

      По умолчанию файл-образ имеет расширение .grd, но в целях безопасности можно поменять расширение этого файла на любое другое, например, .doc. В нашем примере мы не стали менять расширение и назвали файл-образ THG_example.grd.

      На втором этапе следует выбрать файловую систему нового логического диска. Мы рекомендуем выбирать NTFS, поскольку данная система является современной, отказоустойчивой и надёжной. У FAT можно включить «резиновые» диски, для чего достаточно поставить галочку «Не создавать сразу большой файл. Увеличивать по мере заполнения данными». То есть вы можете сначала создать диск, скажем, на 100 Мбайт, а потом, по мере записи данных, размер будет увеличиваться. Для дисков NTFS объём придётся указать сразу: скажем, 1 Гбайт. «Резиновые» диски на NTFS тоже возможны, как раз с помощью опции «Разрешить возможность сжатия файла путём удаления неиспользуемых участков» (файл должен находиться на NTFS) . На диске создаётся файл, изначально много места не занимающий (хотя файловая система и показывает его полный размер). Минус данного подхода заключается в том, что диск, в качестве контейнера которого используется sparse-файл, несколько медленнее работает.

      Галочка «Заполнить диск случайными данными для повышения безопасности» служит, как вы догадываетесь, для заполнения диска случайными данными. При этом невозможно определить, сколько фактически места занимают данные на диске

      Наконец, последняя галочка «Разрешить возможность сжатия файла путём удаления неиспользуемых участков» (файл должен находиться на NTFS) позволяет в будущем удалять из файла-образа неиспользуемые участки. Дело в том, что размер файла-образа по мере работы с диском увеличивается. Со временем в файле-образе накапливаются неиспользуемые данными области. Это происходит потому, что после удаления файла с защищённого диска место, которое он занимал, не освобождается, а помечается как свободное, при этом размер файла-образа не уменьшается. Операция сжатия исключает незанятые данными области из файла-образа. После сжатия размер файла-образа уменьшается до размера, фактически занимаемого данными.

      Мы решили создать файл-образ (логический диск) размером 1 Гбайт с файловой системой NTFS, при этом включили возможность сжатия файла-образа.

      Следующий этап очень ответственен: вам придётся выбрать алгоритмы шифрования для кодирования ключа, кодирования данных и хэш-алгоритм.

      Хэш-алгоритм с помощью введённого пользователем пароля позволяет получить доступ к заголовку файла-образа. В заголовке же находится ключ для кодирования блока данных. Использование хэш-алгоритма повышает надёжность кодирования. В данной версии StrongDisk Pro 3.6 доступен только алгоритм SHA-160. Алгоритм довольно медлительный. Принят в качестве государственного стандарта США. Разработчиком является АНБ США. Факты успешных криптоатак неизвестны.

      Алгоритмы кодирования ключа и данных используются для получения доступа к информации, хранящейся в файле-образе (логическом диске). В StrongDisk Pro 3.6 доступны алгоритмы 3DES и AES 256 для кодирования ключа и 3DES, AES 128 и AES 256 для кодирования данных. Приведём информацию об этих алгоритмах.

      Triple DES-168. Алгоритм основан на сети Файстеля. Имеет пространство слабых и полуслабых ключей. При длине ключа 112 бит имеет сравнительно низкую стойкость ключа к лобовой атаке. Скорость кодирования высокая. Алгоритм устойчив к криптоанализу. В разработке участвовало АНБ США. Надёжность проверена 20-ю годами использования.

      AES 256. Алгоритм имеет уникальный, но простой дизайн, основанный на операциях с таблицами массивов данных, что облегчает анализ на наличие брешей. Алгоритм принят в качестве государственного стандарта США после открытого конкурса. Обладает высоким быстродействием, устойчив к криптоанализу и относительно нов.

      Разработчики StrongDisk рекомендуют по умолчанию использовать AES 256 для кодирования ключа и AES 128 — для кодирования данных. Мы последовали их совету.

      Кстати, как указывают разработчики, набор поддерживаемых в системе алгоритмов шифрования может варьироваться. То есть набор алгоритмов AES-256, 3DES и AES-128, которые можно использовать по умолчанию, связан с криптопровайдером Microsoft Windows CSP. Вообще, их набор зависит от версии Windows. Скажем, под Windows 2000 AES отсутствует, есть только DES и 3DES. Если установить на компьютер какой-нибудь другой криптопровайдер, например, отечественный CryptoPro CSP или SignalCom CSP, то в списке алгоритмов StrongDisk Pro появится GOST-256.

      На следующем этапе следует задать параметры защиты: пароль, электронный ключ или файл-ключ. Самый простой способ — использовать пароль. Но при этом помните, что пароль можно угадать, подобрать, подсмотреть и т.д. В приложение к статье мы вынесли рекомендации разработчиков StrongDisk, которые помогут создать надёжный пароль. Если, конечно, к защите паролем уместно прилагательное «надёжный».

      Если вы хотите защитить данные действительно серьёзно, то не обойтись без электронного или файлового ключа. Система StrongDisk Pro позволяет хранить часть полного пароля для доступа к защищённому диску на внешнем носителе, называемом внешним ключом. Внешние ключи бывают двух видов — электронный ключ и файл-ключ. Электронный ключ — это специальное устройство, обычно выполненное в виде брелока, которое подключается через USB или COM-порт. Файл-ключ — это обычный файл, который, как правило, помещается на сменный носитель (компакт-диск, дискету и т. п.). При подключении защищённого диска, если используется только внешний ключ (диск обычным паролем не защищён), то вместо того, чтобы просить пользователя вводить пароль, система считывает код с внешнего ключа.

      Электронный ключ и файл-ключ можно использовать совместно. То есть, полный пароль доступа к защищённому диску может быть разбит на три части: обычный пароль пользователя, электронный ключ и файл-ключ.

      В качестве файл-ключа может использоваться любой файл длиной не менее 64 байт. Файл может содержать любую информацию, но в качестве пароля StrongDisk Pro использует только первые 64 байта файл-ключа независимо от того, какой длины файл.

      Код с внешнего ключа может быть записан в файл или восстановлен из него. Таким образом, можно электронный ключ заменить файл-ключом с соответствующим кодом или сделать резервную копию кода на случай повреждения электронного ключа.

      К сожалению, электронного ключа у нас на момент тестирования не было, поэтому мы использовали двойную защиту: файловый ключ и обычный пароль. Файловый ключ мы решили создать через «Менеджер ключей». Для вызова Менеджера следует нажать соответствующую клавишу.

      В окне Менеджера нажимаем клавишу «Создать».

      Затем выбираем имя ключа, носитель и нажимаем клавишу «ОК».

      На дискете был создан файл «key», который является файл-ключом для нашего файла-образа. Если вы потеряете файл-ключ, то, увы, считать информацию из файла-образа будет невозможно. Поэтому сделайте резервную копию файла-ключа и положите её в надёжное место.

      Сам же файл-ключ — это 64 байта, которые отвечают за надёжное шифрование и расшифровку данных. Если злоумышленник пожелает подобрать файловый ключ, чтобы считать ваши данные, нам остаётся лишь пожелать ему удачи. Поэтому такой способ защиты (пароль плюс файловый ключ) намного надёжнее обычного пароля. И мы рекомендуем использовать именно двойную защиту ваших данных.

      На последнем этапе следует проверить указанные параметры и нажать клавишу «Создать».

      Через несколько секунд система создаст и отформатирует новый логический диск. Кроме того, пользователю будет предложено на всякий случай сделать копию заголовка, в котором хранится ключ шифрования данных. Дело в том, что образ защищённого диска представляет собой обычный файл на жёстком диске. При различных сбоях системы (например, при внезапном отключении питания) возможно повреждение файловой системы, при этом небольшая часть файла-образа может быть повреждена. Если в небольшую часть испорченных данных попадёт заголовок файла-образа, то вся информация, хранящаяся на нем, окажется недоступной. Это происходит потому, что в заголовке файла-образа, в частности, хранится ключ для доступа ко всей остальной информации. Поэтому мы рекомендуем на всякий случай согласиться с программой и продублировать заголовок диска. Много места он не займёт.

      Кроме того, не забывайте резервировать сам файл-образ.

      После создания нового диска программа StrongDisk автоматически его подключит. Нажав на клавишу «Отключить», вы осуществите указанное действие, а клавиша «Информация» позволит узнать параметры файла-образа.

      Галочка «Постоянный диск» заставит систему подключать диск при каждом старте Windows.

      Сам же защищённый диск (в нашем случае Y:) виден в системе как обычный логический диск. Так что работа с ним никаких трудностей не составит.

      Отметим, что на логическом диске по умолчанию создаётся папка «Startup», в которую следует поместить файлы для автозапуска. Они будут автоматически запускаться при подключении диска.

      Защита информации с помощью StrongDisk

      Система криптографической защиты информации на серверных станциях StrongDisk Server .

      Комплексные системы криптографической защиты информации на серверных станциях предназначены в первую очередь для безопасной работа с информацией большого числа удаленных пользователей, а также возможности построения защищенных виртуальных частных сетей (VPN) и обеспечения безопасности компьютера при работе в сети, организации надежного и удобного резервного копирования, системы экстренного реагирования на сервере.

      Основные возможности продуктов серии StrongDisk Server:

      • Защита от несанкционированного доступа любых приложений на сервере, в том числе базы данных, CRM-систем, корпоративной электронной почты:
        • Защита файловых серверов
        • Защита серверов баз данных
        • Защита почтовых серверов
        • Защита терминальных серверов
        • Защита данных, обрабатываемых на серверах приложений: 1С, Lotus Domino
        • Безопасная транспортировка данных на съёмных дисках
        • Создание защищённых архивов и резервных копий
      • Многоуровневая аутентификация пользователя — для доступа к защищенной информации возможно использование одновременно или по отдельности:
        • USB-ключ или сматр-карту
        • Пароль
        • Файл-ключ
      • Защищенные персональные диски или папки пользователей на сервере с возможностью подключения на клиентских рабочих станциях
      • Создание защищенных архивов, которые можно безопасно хранить на любых носителях, а также перевозить в другой офис, сдавать в утилизацию и пр.
      • Удобная система резервного копирования с возможностью сбора информации с клиентских рабочих станций
      • Активная защита — системы экстренного реагирования (Система сигналов) — создание сценариев реакции, например, мгновенное закрытие или уничтожение любой информации на серверах и рабочих станциях, в том числе удаленно, закрытие и запуск любых приложений, выключение или перезагрузка системы и пр. при поступлении сигнала тревоги на сотовый или обычный телефон, по нажатию «красной кнопки» или сигналу радиобрелка, сигналу по локальной сети, переданному другой серверной станцией
      • Защита трафика внутри локальных сетей (localnet-VPN)
      • Защищенный доступ удаленных клиентов к корпоративной сети
      • Функции встроенного персонального межсетевого экрана (firewall)
      • Сокрытие самого факта наличия конфиденциальной информации на сервере
      • Управление защищенной информацией удаленно
      • Контроль доступа удаленных пользователей к информации при помощи журнала аудита
      • Удобная интеграция в Ваши системы безопасности — поддержка любых электронных ключей или смарт-карт

      Как это работает

      Продукты линейки StrongDisk Server позволяют создавать и использовать в рамках операционной системы Windows защищенные логические диски. Эти диски представляют собой специальные файлы или разделы на жестком диске. Зашифровать можно отдельные жесткие диски сервера, любые дисковые массивы (внешние и внутренние, программные и аппаратные RAID-массивы), а также съёмные диски (например, подключаемые к серверу для резервного копирования).Файлы защищенных дисков могут иметь любые расширения — это позволяет замаскировать его под файл любого типа. Драйвер, входящий в состав StrongDisk Server, позволяет работать с такими файлами или разделами как с обычными логическими дисками.

      Данные хранятся централизованно на сервере в зашифрованном виде. Для того чтобы пользователи могли получить к ним доступ, следует использовать стандартные средства Windows (Sharing) или возможности продукта StrongDsik Office Server. Никто не может получить доступ к данным, пока соответствующие диски не будут подключены. Для того чтобы подключить диск, администратор должен ввести на сервере все необходимые пароли, а также подключить внешний ключ. После этого пользователи, имеющие соответствующие права, смогут получить доступ к данным. При этом пользователи не должны знать пароль или обладать внешним ключом для подключения защищенных дисков, они могут вообще не догадываться, что информация хранится в закодированном виде.

      Технические характеристики

      Системы защиты информации StrongDisk

      В настоящее время проблема нежелательного раскрытия деловой информации стоит для многих компаний особенно остро. Наверное, каждый может вспомнить не одну новость об утечке корпоративных баз данных. Поэтому сегодня активно разрабатываются и применяются специальные средства, не позволяющие копировать корпоративные документы, анализирующие перемещаемые файлы и исходящий трафик.

      Но эти уровни защиты при желании можно легко обойти, записав, например, нужные данные на бумагу. Так что от нацеленного промышленного шпионажа они вряд ли спасут, а вот от случайного распространения смогут защитить.

      Но часто случаются ситуации, которые человек при всем желании предвидеть просто не может. Например, кража ноутбука. Если это вдруг окажется компьютер директора, а мошенники будут достаточно осведомлены, то данные могут легко попасть в руки к конкурентам.

      От проблем такого рода и помогает защититься продукт StrongBoot от компании Phystechsoft. Он полностью шифрует нужные разделы, что помогает защитить информацию от раскрытия даже при наличии у злоумышленников физического доступа к жёсткому диску. В отличие от другого продукта тех же разработчиков — StrongDisk, эта программа позволяет защитить весь жёсткий диск, в том числе файл подкачки и саму операционную систему.

      Не стоит думать, что простому пользователю не нужна такая защита. Даже если на ноутбуке нет каких-то личных данных, при утере можно лишиться, например, лицензионных номеров к зарегистрированным программам, получить которые при загруженной операционной системе не составляет труда. Или паролей на доступ к различным сайтам, сохранённым в браузере. А если будет утерян ключ и пароль доступа к банковской информации?

      В случае использования StrongBoot аутентификация пользователя происходит ещё до загрузки операционной системы с помощью пароля или электронного ключа. Отловить пароль в таком варианте с помощью программ практически невозможно, так как большинство компьютерных шпионов — кейлоггеров — работает только в среде операционной системы.

      Вот общая схема работы программы:

      1. Программа изменяет MBR (Master Boot Record — главную загрузочную запись), после чего при загрузке компьютера управление передаётся не напрямую на зашифрованный жёсткий диск, а на специальный загрузчик.
      2. Загрузчик запрашивает пароль и внешний ключ. После этого он пытается с помощью полученного ключа расшифровать собственную базу, чтобы получить мастер-ключ. Если был введён верный пароль, ему это удаётся, иначе — нет.
      3. До загрузки ОС драйвера StrongBoot ещё нет. В этот момент работа с жёстким диском идёт через прерывание INT13. Если загрузочный диск зашифрован, то стандартный обработчик прерывания INT13 бесполезен. Поэтому StrongBoot заменяет его своим собственным обработчиком, передавая ему мастер-ключ. Таким образом, модифицированный обработчик прерывания INT13 уже может обрабатывать запросы к жёсткому диску, расшифровывая их «на лету». Когда загружаются драйверы ОС, работа с жёстким диском уже ведётся через драйвер файловой системы и драйвер жёсткого диска. В этом случае драйвер StrongBoot встраивается в стек драйверов Windows между драйвером файловой системы и драйвером жёсткого диска и шифрует проходящие запросы (так же, как это делает StrongDisk).

      Отметим, что существует утилита, позволяющая полностью расшифровать жёсткий диск в режиме до загрузки ОС. Это нужно на случай падения Windows (что, в общем-то, не редкость). Восстановить ОС на зашифрованном диске не представляется возможным, поэтому его понадобится предварительно расшифровать.

      При первом запуске программа попросит у вас лицензионный ключ, который, кстати, стоит 4800 руб. Если вы его не укажете, то не сможете использовать пароли длиннее трёх символов и изменять код доступа электронного ключа.

      Интерфейс программы несложен. В нём всего пять разделов, которые можно выбрать в правой части окна. Операций, которые нужно совершить, чтобы привести программу в рабочее состояние, немного.

      Пункт первый — необязательный, он позволяет задать электронный ключ. Если вы хотите использовать электронный ключ, то сначала следует пройти в раздел «Настройки» и выбрать тип электронного ключа.

      Пункт второй. Необходимо установить метод аутентификации — пароль, пароль и электронный ключ или просто электронный ключ. Затем нужно будет, если выбран соответствующий пункт, указать пароль.

      Пункт третий. В этом же разделе включаем аутентификацию. Для дополнительной сохранности можно создать диск (дискету или CD) восстановления. Он сможет помочь при повреждении MBR.

      Пункт четвёртый. Для создания ключа на вкладке «Ключи шифрования» нужно будет щёлкнуть «Создать», затем выбрать алгоритм и ввести название.

      Теперь можно шифровать разделы. Для этого на вкладке «Диски» нужно выбрать раздел и нажать кнопку «Зашифровать».

      Эта процедура является безопасной — доступ к диску не блокируется, а StrongBoot может работать и с частично зашифрованным (если вдруг операция прервётся) разделом, однако, такой режим не является нормальным. Здесь же потом можно будет расшифровать нужный раздел. Продолжительность этой операции зависит от размера логического диска — у нас на шифрование тестового раздела размером 517 Мбайт ушло около 5 минут.

      Здесь сразу стоит оговорить конфигурацию тестового компьютера — на Pentium III c жёстким диском Seagate Barracuda девятого поколения становятся видны все задержки шифрования, не заметные на современных компьютерах. К нашему тестовому стенду винчестер был подключён через SATA-контроллер в виде дополнительной платы расширения. Отсюда и столь невысокие результаты. Но данная конфигурация была выбрана специально, так как она лучше соответствует производительности мобильных компьютеров, для которых, в первую очередь, и предназначен StrongBoot.

      Посмотрим, насколько сильно скажется шифрование/дешифрование на скорости работы. Производительность операций с защищённым разделом измерялась с помощью SiSoftware Sandra 2007, а точнее, бенчмарка File Systems.

      До шифрования индекс производительности был равен 4496 кбайт/с, после — 3588 кбайт/с. На стендовом компьютере падение производительности составило около 20%. Этот результат является отличным при шифровании раздела с данными. Для работы с системным разделом, конечно, лишняя производительность не помешала бы, но даже эти двадцать процентов не представляются огромной платой за надёжность хранения важной информации. Кроме того, на современных процессорах результаты будут выше — производительность процессоров растёт отнюдь не пропорционально скорости работы винчестеров. Вы ещё не знаете, зачем нужна мощь двуядерных процессоров?

      StrongBoot является действительно мощным инструментом для защиты ценной информации. Конкретная проблема (физическая кража носителя) решена в корне — механизм работы прозрачен для пользователя, он надёжен в использовании, злоумышленник ваши данные не получит. К тому же, невелики и потери производительности, которыми вполне можно пренебречь ради защиты важных данных. А на ноутбуке с двуядерным процессором работу StrongBoot вы вообще вряд ли заметите.

      Защита информации с помощью StrongDisk

      Информация — одно из ключевых понятий в современном мире, наряду с материей или энергией. Информация уже давно стала предметом купли-продажи, а утечка информации в руки недоброжелателей или конкурентов может привести к весьма печальным последствиям. Поэтому немаловажной задачей является защита информации.

      Многие пользователи думают, что средства криптографической защиты — это сложно, неудобно и ненадежно. Другие предпочитают создавать архивы с паролем, что опять же неудобно, а уровень надежности подобных защит неизвестен. К счастью, на рынке программного обеспечения существует несколько продуктов, которые могут удовлетворить как требованиям легкости в использовании, так и профессионализма (надежность защиты информации и богатые функциональные возможности). Один из самых успешных подобных продуктов — программа StrongDisk, выпущенная Физтех-софт и уже хорошо зарекомендовавшая себя среди пользователей. Физтех-софт — российская компания, образованная в 1991 году, причем большинство сотрудников компании связано с МФТИ, что опять же говорит об уровне квалификации.

      Принцип работы программы StrongDisk очень прост — она создает логический диск с любым именем (скажем, Z:), с которым вы сможете работать как с любым другим диском. Физически же диск будет представлять собой файл с произвольным именем, который может находиться где угодно — от жесткого диска до CD-ROM. Причем этот файл-диск вы сможете открыть на любом другом компьютере, после установки на него программы StrongDisk. Таким образом, файл является зашифрованным образом диска. Для шифрования используются западные алгоритмы с открытыми исходными текстами, что обеспечивает надежность защиты. Получить доступ к защищенной информации не смогут ни хакеры, ни спецслужбы. Для защиты вы можете использовать пароль, файл-ключ или электронный USB ключ. Возможна произвольная комбинация этих методов — к примеру, использование файл-ключа и пароля. Такая комбинация повышает степень защиты, поскольку владение только одним элементом, файл-ключом или паролем, не дает доступа к информации. Файл-ключ можно затем записать на дискету и носить с собой. Но следует быть осторожным — при потере файл-ключа или пароля никто, включая разработчиков программы, не сможет восстановить ваши данные.

      StrongDisk выпускается в двух версиях — Pro и Server, первая предназначена для обычных пользователей, а вторая расширяет возможности StrongDisk для использования в сети, когда конфиденциальная информация храниться на сервере. Ниже мы рассмотрим общие принципы работы обеих версий, а потом остановимся на их отличиях.

      Основные возможности StrongDisk

      При подключении существующего диска программа предложит указать файл-образ, причем ссылки на существующие файлы-образы могут быть запомнены в папке «StrongDisk Disks» в каталоге Windows, так что поиск файла не создаст проблем. Впрочем, в новой версии 3.0 (которая скоро выйдет), подобная возможность будет опциональной.

      Затем вам следует ввести все необходимые данные для открытия — пароль, файл-образ (если он есть) и вставить электронный ключ (если он есть). Ниже вы можете указать букву для защищенного диска, а также запретить запись на диск (подключить его только для чтения, но такой режим доступен только для FAT дисков). Если необходимо, StrongDisk может автоматически запустить программы на диске — они должны размещаться в папке StartUp защищенного диска (плюс должна быть помечена соответствующая галочка).

      После подключения вы сможете работать с подключенным диском как обычно — записывать на него файлы, считывать файлы, изменять на нем информацию. После окончания работы следует отключить диск вручную (либо он будет отключен автоматически при завершении работы Windows).

      Для ручного отключения необходимо вызвать программу StrongDisk (щелкнув по ее значку рядом с часами компьютера), после чего выбрать закладку соответствующего подключенного диска (в нашем случае «Y:») и нажать клавишу «Отключить». При этом следует убедиться, что вы закрыли все файлы, которые вы открывали с этого диска. Иначе программой будет выведено соответствующее предупреждение.

      Если вы получили такое предупреждение, то следует проверить приложения — возможно, в Word или Excel у вас открыт защищенный диск, или он открыт в FAR или Explorer. Закройте соответствующие файлы или окна и повторите операцию. Возможно, также, «насильственное» отключение, когда диски будут отключены вне зависимости от наличия на них открытых файлов. Это может пригодиться в случае, когда отключение нужно произвести срочно. Такое экстренное отключение может происходить при нажатии «горячей» комбинации клавиш, заданной пользователем.

      Теперь перейдем к созданию защищенных дисков. Для этого следует нажать клавишу «Создать», после чего запустится мастер создания дисков.

      Здесь необходимо указать имя и место расположения образа диска.

      В следующем окне вам следует ввести размер диска и тип файловой системы. В поле «Свободно (Мб)» указано количество свободного пространства на том диске, где будет создан образ диска. В поле «Размер диска (Мб)» необходимо ввести емкость создаваемого защищенного диска. Емкость диска приблизительно равна длине образа диска, так как последний состоит из заголовка и собственно закодированных данных, а сжатия данных или увеличения их объема при кодировании не происходит. Для «резиновых» дисков значение размера диска интерпретируется как максимальный размер образа диска. Емкость защищенного диска не может превышать количество свободного пространства на том диске, где создается образ диска.

      Если вы хотите создать «резиновый» диск, поставьте соответствующую галочку. Резиновый диск — это защищенный диск, у которого размер образа диска увеличивается по мере заполнения данными. Начальный размер резинового диска мал — в нем нет ничего, кроме заголовка. Максимальный размер «резинового» диска следует ввести в поле «Размер диска (Мб)». При создании «резиновый» диск не может быть заполнен случайными данными. Если вы не представляете себе, какой объем данных будет храниться на защищенном диске, имеет смысл создать «резиновый» диск максимально возможного размера. Следует крайне осторожно работать с резиновыми дисками, когда на диске, где расположен образ, мало места. Нехватка места может привести к потере записываемых на защищенный диск данных.

      Если вы хотите заполнить новый файл-образ диска случайными данными, установите соответствующую галочку. Заполнение диска случайными данными не позволит злоумышленникам узнать, сколько полезных данных записано на защищенном диске.

      Если вы пользуетесь Windows 98 или Me, то вы сможете создать диски только FAT16 и FAT32. Диски FAT32 имеет смысл создавать, если только объем диска будет превышать 512 Мб. Если у вас установлены современные операционные системы — Windows 2000 или XP, то диск лучше создавать в файловой системе NTFS, чтобы пользоваться всеми ее преимуществами. Конечно, если вы не планируете подключать потом такой диск под Windows 98 или Me.

      Следует помнить, что файловая система NTFS не может использоваться на «резиновых» дисках. Кроме того, защищенные диски с NTFS невозможно подключать в режиме ‘только чтение’, что может создавать препятствия при подключении защищенных дисков, образы которых расположены на таких носителях, как CD-ROM.
      Образ диска может располагаться в разделе с любой файловой системой, независимо от того, какая файловая система используется в нем самом.

      Если вы не разбираетесь в криптографии, то в следующем окне «параметры кодирования» лучше все оставить по умолчанию.

      В следующем окне следует выбрать необходимые параметры защиты: «Обычный пароль», «Электронный ключ» и » Файл-ключ» в соответствии с тем, как вы хотите защитить диск. Для домашнего использования будет вполне достаточно защищать диск только с помощью пароля (рекомендации по выбору пароля даны ниже). Эти параметры должны будут использоваться при подключении создаваемого диска. В дальнейшем эти параметры можно будет изменить.

      Перед тем как можно будет использовать электронный ключ или файл-ключ, его нужно проинициализировать. Пароль не хранится нигде, даже в самом файле защищенного диска. Содержимое внешних ключей также не хранится нигде, кроме самого электронного ключа или файл-ключа. Если вы забудете заданный вами пароль или потеряете внешний ключ, не сделав его копию, никто (включая разработчиков системы StrongDisk), не сможет восстановить их.
      Если вы отметили галочку «Обычный пароль», то в соответствующее поле введите пароль доступа к создаваемому защищенному диску.

      В пароле должно быть не менее восьми символов. Следует иметь в виду, что неудачный пароль может свести на нет (если, конечно, не используется внешний ключ) все преимущества, которые дают мощные методы шифрования. В поле «Подтверждение» следует повторно ввести выбранный вами пароль. Рекомендации по выбору пароля даны ниже.

      В последнем окне следует внимательно проверить все параметры нового диска, а затем нажать клавишу «Создать». После этого будет создан и подключен новый защищенный диск.

      Рекомендации по выбору пароля

      Если совместно с паролем используется электронный ключ, то это, безусловно, повышает уровень безопасности, но тем не менее пароль должен быть выбран достаточно хорошим на случай, если недоброжелатели завладеют ключом.
      При составлении пароля следует придерживаться следующих правил:

      • Желательно, чтобы пароль состоял не менее чем из 14 символов. Хорошо, если в пароле есть цифры, заглавные и строчные буквы, другие символы.
      • Не используйте в качестве пароля легко угадываемые слова, фразы, сочетания символов. ваше имя, имена ваших близких, коллег, друзей, домашних животных, а также год рождения, адрес электронной почты, номер паспорта и т.п.
      • Не используйте бессмысленные, но легко угадываемые последовательности букв, цифр, символов.
      • Чем пароль длиннее, тем лучше.

      Проиллюстрируем эти правила примером. Хороший пароль можно составить из легко запоминающейся фразы, выбрав из нее определенные буквы и приписав к ним несколько произвольных цифр и символов. Возьмем фразу «Конфиденциальность информации — жизненная необходимость» и выберем из каждого слова первую и последние две буквы получим Ктьииижаянть. Допишем еще произвольно пару символов и получим хороший пароль: Ктьи1иижаянт5#.

      Не используйте в качестве паролей приведенные ниже примеры. Неудачные пароли вместе с разъяснениями их недостатков приведены в таблице.

      Читать еще:  1,7 Пбайт в месяц: объём трафика в метро Москвы бьёт рекорды
Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector