Secret Disk Server NG
Для корпоративных пользователей (малого и среднего бизнеса)
- Защита баз данных, файловых архивов, почтовых серверов
- Сокрытие факта наличия на сервере установленных программ и данных
- Экстренное блокирование доступа к данным в случае опасности
- Защита данных от несанкционированного доступа со стороны системного администратора
- Безопасное удалённое администрирование
- Высокая надёжность и скорость работы
Назначение
Secret Disk Server NG - система защиты корпоративных баз и конфиденциальных данных на серверах от несанкционированного доступа, копирования, повреждения, кражи или неправомерного изъятия. Система не только надежно защищает данные, но и скрывает сам факт их наличия на сервере.
Secret Disk Server NG может быть использован как самостоятельное решение, а также как элемент комплексной системы защиты корпоративной информации.
Криптографическая защита данных
Защита информации осуществляется методом "прозрачного" шифрования с помощью стойких алгоритмов шифрования. Зашифровать можно отдельные жесткие диски сервера, любые дисковые массивы (внешние и внутренние, программные и аппаратные RAID-массивы), а также съёмные диски (например, подключаемые к серверу для резервного копирования). При чтении данных с диска происходит их расшифрование, при записи на диск - зашифрование. Находящиеся на диске данные всегда зашифрованы, что делает доступ к ним невозможным для злоумышленника даже в случае кражи или изъятия как отдельного диска, так и всего сервера.
Контроль сетевого доступа
Secret Disk Server NG позволяет полностью запретить сетевой доступ к данным, хранящимся и обрабатывающимся на серверах приложений, например, файлам баз данных, почтовым хранилищам и др. Это позволяет исключить риск несанкционированного копирования данных пользователями, имеющими административные полномочия в системе (защита от инсайдеров).
Блокирование доступа к данным в экстренных ситуациях
Для мгновенного блокирования доступа к зашифрованным данным в экстренных ситуациях серверу можно подать сигнал "тревога", например, с клавиатуры любой станции сети, от "красной кнопки" (например, спрятанной под столом охранника или секретаря), от радио-брелока, от охранной сигнализации (датчиков открывания дверей, окон, движения и пр.), от кодового замка (при входе в помещение под принуждением).
При получении сервером сигнала "тревога" доступ к данным на зашифрованных дисках блокируется, из памяти сервера удаляются ключи шифрования. Сами же данные остаются на дисках, но они находятся в зашифрованном виде, что равносильно мгновенному "уничтожению" информации.
Возможности
Возможности использования
- Защита файловых серверов
- Защита серверов баз данных
- Защита почтовых серверов
- Защита терминальных серверов
- Защита данных, обрабатываемых на серверах приложений: 1С, Lotus Domino
- Безопасная транспортировка данных на съёмных дисках
- Создание защищённых архивов и резервных копий
Возможности Secret Disk Server NG
- Шифрование дисков
Возможность работы с физическими разделами жестких дисков сервера (кроме системного), динамическими томами, съёмными дисками (дискеты, Flash-диски, медиа-диски типа SD, CF, xD, Memory-Stick и др.).
- Поддержка виртуальных дисков
Работа с виртуальными дисками (файлами-контейнерами).
- Поддержка алгоритмов шифрования
Использование стойких алгоритмов шифрования, возможность подключения внешних, в том числе сертифицированных российских крипторовайдеров КриптоПро CSP, LISSI-CSP, Signal-COM CSP и Infotecs CSP, реализующих ГОСТ 28147-89 с длиной ключа 256 бит.
- Блокирование доступа
Блокирование прямого доступа пользователей к защищенным данным для серверов приложений, работа с данными возможна только для приложений, работающих на сервере (например, MS Exchange, SQL Server). Мгновенное блокирование доступа к защищенным данным может быть настроено как для всего сервера, так и для каждого защищенного диска в отдельности.
- Удаленное администрирование
Удалённое и групповое администрирование Secret Disk Server NG выполняется через консоль управления Microsoft или удалённый рабочий стол, при этом на сервере может быть зарегистрировано неограниченное количество администраторов продукта.
- Поддержка пользовательских сценариев работы
Возможность задания своего сценария, описывающего процедуры подключения и отключения, для каждого защищаемого диска, например, запуск сервисов и приложений, которые работают с данными на зашифрованном диске, корректное завершение работы с сервисами и приложениями, которые работают с данными на зашифрованном диске до закрытия диска.
- Сигнал "тревога"
Сигнал "тревога" для блокирования доступа может быть подан внешним устройством, например, "красной кнопкой", радио-брелком, с любого пользовательского компьютера, а также от датчиков охранной сигнализации при несанкционированном проникновении посторонних в помещение серверной. Система имеет документированный интерфейс для подключения внешних устройств и защиту от ложных или несанкционированных (атака злоумышленника) срабатываний.
- Гибкое управление процессом шифрования
Возможности остановить / продолжить процесс шифрования данных на защищаемых дисках, а также перешифровать содержимое дисков со сменой ключа и/или алгоритма шифрования. При этом перешифрование диска выполняется как одна операция, т.е. не надо сначала расшифровывать данные (тем самым временно снимая с них защиту), а затем зашифровывать данные с новым ключом и/или алгоритмом шифрования. Приостановленный вручную или прерванный из-за отключения питания процесс может быть возобновлен в любой удобный момент без потери данных.
- Поддержка динамических дисков
Расширение защищенных дисков при их заполнении: защищённые диски, созданные на основе динамических томов, могут быть расширены штатными средствами Microsoft Windows.
Преимущества
- Данные на защищенных дисках всегда хранятся в зашифрованном виде. Поэтому использовать их, даже сделав копию, например, при транспортировке сервера, ремонте, краже или изъятии дисков, невозможно.
- Снижение риска раскрытия конфиденциальных данных из-за так называемого "человеческого фактора", особенно проявляющегося при возникновении экстремальных ситуаций, когда злоумышленники могут получить физический доступ к серверам или к зашифрованным дискам, завладеть администраторским ключом eToken и узнать его PIN-код.
- Получить доступ к данным и расшифровать их они все равно не смогут, даже если под принуждением попробуют заставить это сделать администратора или владельцев. Система уничтожит ключи шифрования дисков по сигналу "тревога", полученному при нажатии "красной кнопки" или от датчиков, обнаруживших несанкционированное проникновение в серверную комнату или открывание серверной стойки.
- Высочайшая надежность - в процессе шифрования реализована защита данных от сбоев, в том числе и в результате сбоев питания компьютера.
- Отсутствие встроенных криптографических средств в продукте.
- Secret Disk Server NG не относится к шифросредствам, не подпадает под соответствующие законодательные ограничения по его распространению, в т.ч. экспортно-импортные, не требует наличия у партнеров компании, занимающихся его распространением и внедрением, наличия соответствующих лицензий ФСБ.
- Для выполнения криптографических операций Secret Disk Server NG использует внешние подключаемые модули, входящие в состав Microsoft Windows (драйвер режима ядра), библиотеку Secret Disk Crypto Pack (алгоритмы AES 128, AES 256, Twofish 256), а также сертифицированные поставщики криптографии КриптоПро CSP и Signal-COM CSP и Infotecs CSP, реализующие шифрование в соответствии с ГОСТ 28147-89.
- Для подключения защищённых дисков и администрирования Secret Disk Server NG администратор проходит процедуру строгой двухфакторной аутентификации. Для этого используется USB-ключ или смарт-карта eToken, в котором хранится аппаратно сгенерированный закрытый ключ, соответствующий цифровому сертификату X.509. Ключ хранится в защищённой памяти eToken, никогда не выходит наружу и не может быть перехвачен (что подтверждено сертификатами безопасности eToken). eToken подключается к компьютеру администратора, трафик между ним и сервером защищен.
Эксклюзивные особенности
- Наличие сертификата ФСТЭК для работы с конфиденциальной информацией.
- Возможность резервного копирования зашифрованных разделов и открытых в эксклюзивном режиме файлов без остановки работающих сервисов и приложений (например, MS Exchange, SQL Server).
- Резервное копирование может производиться в фоновом режиме с помощью встроенной в ОС утилиты NTBackup или продуктами третьих фирм.
- Высокая скорость работы, полученная за счет использования технологии многопоточного шифрования. Эта технология позволяет оптимально использовать имеющиеся на сервере вычислительные мощности, особенно на многопроцессорных серверах и в однопроцессорных системах с технологией Hyper-Threading.
- Благодаря этому заметного снижения производительности при работе прикладных систем с защищенными дисками не происходит (в отличие от многих конкурирующих продуктов).
- Смарт-карты и USB-ключи eToken используются как активные криптографические устройства - для строгой аутентификации администраторов и доступа к ключам шифрования дисков.
В конкурирующих продуктах электронные ключи и смарт-карты, как правило, используются лишь в качестве "дискеты с PIN-кодом" для хранения ключей шифрования, а не как активное криптографическое устройство, либо вообще не используются.
Для защиты конфиденциальной информации в информационных системах органов государственной власти, государственных организациях и предприятиях, рекомендуется использовать сертифицированную версию Secret Disk Server NG (сертификат ФСТЭК России №1487 от 02 ноября 2007 г.).
|