СРД «КРИПТОН-Щит»

 

Аппаратно-программная система защиты информации СРД «КРИПТОН-Щит» предназначена для обеспечения защиты информации от несанкционированного доступа (НСД) в автоматизированных информационных системах (АИС) на базе автономных средств вычислительной техники.

Система «КРИПТОН-Щит» соответствует всем требованиям руководящих документов Гостехкомиссии (ФСТЭК) по уровню защиты гостайны – реализуя мандатный принцип разграничения доступа по набору иерархических и неиерархических категорий и используя полную матрицу доступа «пользователи-процессы-ресурсы».
 

Система «КРИПТОН-Щит» работает на уровне микроядра операционной системы (MS Windows NT, 2000, XP32/64, 2003 32/64, Vista 32), независимо от встроенных в ОС средств контроля доступа, и отличается низкими системными требованиями. КРИПТОН-ЩИТ не изменяет системный файлы Windows.

Возможности системы защиты «КРИПТОН-Щит»:

  • Идентификация и аутентификация пользователей
    Реализована единая и одноразовая идентификация и аутентификация для пользователя АИС, с формированием профиля прав доступа.

  • Контроль доступа к ресурсам компьютера:
    - контроль целостности операционной среды методом контрольного суммирования;
    - мандатный и дискреционный принцип разграничения доступа к ресурсам ОС;
    - интегрированная настройка и описание пользователей, прав доступа пользователей к ресурсам;
    - автоматическая блокировка доступа к ресурсам персонального компьютера во время отсутствия пользователя (период неактивности пользователя, характеризующийся отсутствием работы с клавишами клавиатуры и мыши);
    - возможность трассировки обращений к ресурсам программного обеспечения в специальном отладочном режиме.

  • Разграничение доступа к процедурам (программам)
    - обеспечение единого интерфейса пользователя для работы с процедурами (программами), одновременно выполняющего разграничение доступа к процедурам для каждой категории пользователя;
    - ролевая модель разграничения доступа к процедурам (программам);
    - поддержка многошаговых процедур с возможностью наследования полномочий и без него.

  • Интеграция с аппаратными средствами защиты - - Изделие М-526, М-526А, М-526Б (АПМДЗ «КРИПТОН-Замок»), изделия М-524, М-525 («КРИПТОН-AncNet»), шифраторами дисков изделием М-544 («КРИПТОН-IDE»), изделием М-575 («КРИПТОН-SATA»), USB-шифратором изделием М-591 («КРИПТОН-USB»),изделием М-623(«КРИПТОН-ИНТЕГРАЛ») ,а также абонентскими шифраторами серии «КРИПТОН» позволяет СРД «КРИПТОН-Щит» существенно повышать уровень защиты за счет дополнительных криптографических возможностей.

  • Разграничение и контроль доступа к периферийным устройствам - дополнительное разграничение доступа к USB-устройствам, регистрация данных при печати файлов на принтере.

  • Гибкая система протоколирования и аудит событий в системе защиты информации
    Поддержка двух журналов аудита пользователя – учета событий и обращений к ресурсам. Кроме того, ведется журнал печати.

  • Автоматизированные средства построения профилей (белый список)

  • Контроль отладочных регистров

  • Динамический контроль целостности

  • Гарантированная очистка оперативной памяти

Система защиты на базе «КРИПТОН-Щит» должна строиться на основе комплексного подхода и включать организационные меры и технические средства. Под техническими средствами защиты понимается совокупность аппаратных и программных средств, реализующих в информационных системах функцию защиты информации от НСД.
В состав системы защиты «КРИПТОН-Щит» входят:

  • Подсистема контроля целостности эталонного программного обеспечения, интегрированная с аппаратными средствами (КРИПТОН-ЗАМОК/У).

  • Подсистема идентификации и аутентификации пользователей, интегрированная с аппаратными средствами (КРИПТОН-ЗАМОК/У).

  • Подсистема разграничения доступа к процедурам (диспетчер меню), реализующая ролевую модель, и терминалам.

  • Подсистема разграничения доступа к ресурсам ОС, реализующая дискреционный и мандатный принцип доступа.

  • Подсистема управления, реализующая контроль исполнения процессов (процедур) в системе.

  • Подсистема протоколирования работы пользователя и фиксации событий несанкционированного доступа в специальном журнале учета.

  • Средства администратора защиты и программиста сопровождения по настройке прав доступа пользователей к процедурам и ресурсам системы и другие служебные утилиты.

  • Средства получения справок о событиях и попытках НСД в системе.

  • Программа реализации паузы неактивности, обеспечивающая блокировку персонального компьютера во время отсутствия пользователя.

    Функции подсистем:

  • Аппаратные средства защиты:
    - идентификация и аутентификация пользователя;
    - проверка целостности файловой системы;
    - предотвращение загрузки ОС с альтернативных носителей;
    - контроль конфигурации компьютера.

  • Подсистема идентификации и аутентификации:
    - продолжение идентификации и аутентификации (определение статуса пользователя)
    - формирование профиля прав доступа пользователя;
    - подключение к ресурсам ОС
    - дополнительная аутентификация при выходе из сеанса.

  • Подсистема разграничения доступа к ресурсам ОС:
    - дискреционный принцип разграничения доступа;
    - мандатный принцип разграничения доступа;
    - наследование прав доступа;
    - контроль доступа на уровне процессов ОС.

  • Блок разграничения доступа к USB-устройствам:
    - идентификация USB-устройств;
    - разграничение доступа.

  • Диспетчер меню:
    - разграничение доступа к процессам (процедурам);
    - создание для пользователя списка доступных процедур;
    - управление работой пользователя в сеансе.

  • Подсистема аудита:
    - фиксация событий НСД;
    - фиксация информационных событий;
    - фиксация событий настройки полномочий;
    - средства ведения и просмотра журнала;
    - фиксация обращений к ресурсам ОС в зависимости от настройки.

  • Режим паузы неактивности:
    - блокировка компьютера и гашение экрана по истечении заданного интервала времени при отсутствии признаков активности пользователя;
    - восстановление сеанса пользователя после введения пароля.

  • Блок регистрации печати:
    - регистрация документов, выдаваемых на принтер через спулер;
    - фиксация реквизитов выдаваемый документов (размер, дата, время, пользователь и т.д.).

  • Служебные процедуры и вспомогательные утилиты:
    - настройка БД полномочий (заведение объектов и субъектов защиты, прав доступа и т.д.);
    - настройка прав доступа для системных задач;
    - разблокировка пользователей;
    - генерация паролей пользователей в ОС;
    - просмотр журнала обращений к ресурсам ОС в отладочном режиме;
    - определение идентификационных данных подключаемых USB-устройств;
    - просмотр текущего профиля пользователя во внутреннем формате;
    - автоматическое формирование прав доступа к процессу при специальном запуске.

  • Управление сеансом пользователя:
    - контроль за запуском и завершением процессов в ОС;
    - управление процессом загрузки и выгрузки сеанса пользователя (непрерывность загрузки);
    - управление взаимодействием с АПМДЗ.