Назначение Secret Disk Enterprise
Комплекс защиты конфиденциальной информации с централизованной системой управления Secret Disk Enterprise позволяет обеспечить защиту персональных компьютеров и ноутбуков в корпоративной инфраструктуре от несанкционированного доступа и утечки конфиденциальной информации.
Secret Disk Enterprise отслеживает состояние всех защищённых рабочих станций и снимает нагрузку с информационных служб предприятий, снижая затраты и повышая уровень безопасности данных в компании.
Ключевые преимущества Secret Disk Enterprise
- Secret Disk Enterprise обеспечивает защиту данных путём шифрования разделов на жёстких дисках, томов на динамических дисках, виртуальных дисков, отдельных папок с файлами и создания защищённых контейнеров.
- Реализована возможность защиты системного раздела жёсткого диска и хранящейся на нём информации. При установке на x86-планшет с сенсорным вводом защита системного раздела будет реализована в ближайших версиях.
- Обеспечена наиболее безопасная и надёжная на сегодняшний день процедура подтверждения прав пользователя – двухфакторная аутентификация, при которой для доступа к данным необходимо наличие электронного ключа и знание пароля к нему.
- Организован аудит использования защищённых ресурсов и действий пользователей.
- Используется встроенная в ядро ОС Windows криптография.
- Доступна установка дополнительных пакетов от сторонних поставщиков криптографии (криптопровайдеров), включая КриптоПро CSP и VipNET CSP, которые реализуют российские стандарты алгоритмов шифрования и сертифицированы ФСБ России.
- Возможность блокировки для конкретных пользователей функции копирования незашифрованной информации на съёмные носители.
- Подготовка защищённых контейнеров для безопасной передачи конфиденциальной информации по открытым Интернет-каналам.
- Настраиваемое разрешение/блокировка предоставления пользователем удалённого доступа к защищённым данным по локальной сети.
- Решение устойчиво к возможным сбоям операционной системы или отключению электропитания, что исключает возможность повреждения данных.
- Поддерживается оперативное восстановление доступа в случае утери или поломки пользователем электронного ключа.
- Зашифрованные папки предусматривают пофайловое резервное копирование сторонними продуктами без доступа к конфиденциальным данным.
- Быстрая установка и настройка клиентского программного обеспечения на рабочих местах пользователей за счёт использования групповых политик Microsoft Active Directory.
- Работа продукта не требует подготовки и специальных знаний конечного пользователя.
- Прозрачная работа продукта незаметна для пользователей системы.
- Гибко настраиваемая система ролей и полномочий позволяет адаптировать программное обеспечение под организационные условия любого предприятия.
- Поддержка либо запрет работы сотрудника с защищёнными дисками и данными вне доступа к корпоративной сети (например, в командировках).
- Централизованное управление и мониторинг — в системе ведётся несколько журналов, по которым администратор может следить за работой пользователей, легко диагностировать нештатные ситуации и оперативно принимать необходимые меры.
Технические подробности
Концепция Secret Disk Enterprise (SDE) заключается в централизованном хранении и управлении ключами шифрования дисков, информацией о пользователях, их связях с дисками, и т. д. Все операции в SDE основаны на взаимодействии между клиентской и серверной компонентами системы.
Secret Disk Enterprise построен по технологии клиент-сервер. Клиентская часть представлена приложением Secret Disk Agent, выполняемым на рабочих станциях пользователей. Серверная часть состоит из трех основных компонентов:
- сервер бизнес-логики;
- шлюз клиентов;
- административный Web-портал.
Архитектура Secret Disk Enterprise
Сервер бизнес-логики
Сервер бизнес-логики отвечает за операции с зашифрованными дисками, сертификатами пользователей, а также управление учётными записями пользователей, лицензиями, компьютерами, выполнение функций обслуживания и т.д.
Сервер бизнес-логики формирует для каждой клиентской рабочей станции очередь команд. Он не имеет возможности обратиться к клиентской части напрямую, поэтому всё взаимодействие инициирует Secret Disk Agent через Шлюз клиентов.
Шлюз клиентов
Шлюз клиентов выполняет аутентификацию и перенаправляет запросы Secret Disk Agent серверу бизнес-логики, выполняя промежуточную роль в следующих процессах: обмен ключевой информацией, получение клиентским программным обеспечением команд сервера, обмен служебной информацией.
Конфиденциальная информация пользователей хранится на зашифрованных дисках рабочих станций. Для зашифрования/расшифрования информации на диске используется криптокопия ключа этого диска, зашифрованная с использованием мастер-ключа базы данных.
В базе данных хранятся криптокопии мастер-ключа базы данных, поэтому, чтобы получить мастер-ключ для работы с дисками, необходимо расшифровать его криптокопию. Для этого используется утилита "Мастер первоначальной настройки". Сама операция называется "подключением криптохранилища".
Административный Web-портал
Веб-портал предоставляет графический интерфейс для работы с функциями аудита и администрирования. Доступность тех или иных функций зависит от принадлежности к той или иной роли.
(нажмите на картинку, чтобы увидеть ее в полном размере)
Secret Disk Agent
Доступ к SDMS имеют уполномоченные Администратором безопасности Операторы. Функции пользователей выделены в виде приложения Secret Disk Agent, которое устанавливается на каждом клиентском компьютере. В нём пользователь может подключать и отключать диски, а все прочие функции выполняются по запросу сервера через механизм команд, которые формирует сервер для каждого клиента в виде очереди. Назначенные клиенту задачи выполняются по мере опроса клиентом сервера.
База данных SQL
Все данные, которыми оперирует система SDMS, хранятся в базе данных на сервере под управлением Microsoft SQL Server 2005/2008/2012. В базе данных хранятся сведения о файловой системе для каждого клиентского компьютера, операциях пользователя, а также сертификаты и симметричные ключи ко всем зашифрованным дискам. Ключи к зашифрованным дискам клиентов зашифрованы мастер-ключом, который, в свою очередь, защищён ключевой парой сертификата Оператора, хранящегося на USB-ключе или смарт-карте последнего.
SQL-база данных заимствует уже существующие сведения о сотрудниках организации из службы Active Directory (AD): их роли, сертификаты, криптокопии публичных ключей-сертификатов, конфигурации рабочих станций. Доступ к Active Directory осуществляется только в режиме чтения, то есть никто из пользователей SDMS не может менять структуру и данные в AD.
Системные требования
Операционная система
Для рабочих станций:
- Microsoft Windows 10;
- Microsoft Windows 8.1;
- Microsoft Windows 8;
- Microsoft Windows 7 SP1.
Для сервера:
- Microsoft Windows Server 2019;
- Microsoft Windows Server 2016;
- Microsoft Windows Server 2012 R2;
- Microsoft Windows Server 2012;
- Microsoft Windows Server 2008 R2.
Обязательное программное обеспечение
Для сервера SDMS:
- Microsoft .NET Framework 4.0 или более поздней версии;
- Microsoft IIS версии 6 или выше в режиме совместимости с версией 6;
- драйверы используемых токенов;
- браузер Internet Explorer 8.0 или более поздней версии.
Сервер базы данных: Microsoft SQL Server 2005/2008/2012/2014/2016.
В составе ИТ-инфраструктуры предприятия должна быть установлена служба каталогов Active Directory с функциональным уровнем домена не ниже Windows Server 2003.
Дополнительное программное обеспечение
Совместно с SDE может использоваться система управления токенами и смарт-картами JaCarta Management System (JMS), что обеспечивает удобство применения продукта. Использование JMS в организации позволяет упростить и организовать управление ключами и пользовательскими сертификатами.
Электронные ключи
- USB-токены и смарт-карты JaCarta с апплетом PKI: JaCarta PKI, JaCarta PKI/ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta PRO
- USB-токены и смарт-карты eToken PRO (Java) 72K, eToken PRO Anywhere
Комплект поставки
Коробочная версия продукта включает:
- CD-ROM с программным обеспечением и документацией в электронном виде;
- файл, содержащий требуемые лицензии пользователей и платные опции;
- упаковочную коробку.
Коробочный вариант поставки рекомендуется для новых пользователей Secret Disk Enterprise. Для использования продукта вам необходимо приобрести лицензии на требуемое количество рабочих мест и выбранные опциональные возможности продукта.
Для работы продукта также обязательно понадобятся электронные ключи JaCarta или eToken. Минимальное количество токенов равно сумме количества пользователей, администраторов и операторов продукта.
Коробочная версия поставляется с бесплатной годовой программой базовой технической поддержки.
История изменений
Версия 2.7.10.35
- Добавлена поддержка последних требований Microsoft к работе в режиме Secure Boot: все используемые драйверы и загрузчики проверены и подписаны Microsoft и совместимы с актуальными версиями Windows 10 (sdA) и Windows Server 2019 (sdMS).
- Пакет расширения криптографии встроен в основной инсталлятор и не требует отдельной установки при полном сохранении функциональности.
- Из дистрибутива исключён сервер SDMS в разрядности x86 как неиспользуемый.
- Полностью переработан инсталлятор, позволяя при обновлении не снимать защиту ресурсов пользователя и не удалять предыдущую версию. В связи с этим из дистрибутива исключён "sdAxx.exe", как неподдерживающий режим упрощённого обновления.
- Добавлена поддержка минидрайверов JaCarta и eToken, позволяющая отказаться и на сервере, и на рабочих станциях от установки дополнительного платного программного обеспечения.
- Значительно повышена отказоустойчивость сервера SDMS при работе с MSAD при малой пропускной способности канала соединения и большом количестве клиентов.
Версия 2.7.5.45
- Добавлен "режим обновления" клиентских устройств, позволяющий групповое временное снятие защиты с системного диска для успешной установки обновлений Windows 10 с последующей групповой установкой защиты.
- Добавлена полная совместимость с внешним криптопровайдером КриптоПРО 4.0 R4.
- Обновлена документация по продукту.
Версия 2.7.4.37
- Исправлена ошибка, связанная с работой браузеров на базе Chromium и Trident в ОС Windows 10 сборки 1809.
Версия 2.7.0.34
- В SDA интегрирован обновлённый загрузчик UEFI, поддерживающий современные модели токенов JaCarta. В настоящей версии работает с отключением Secure Boot.
- В SDA добавлена поддержка последних ядер Windows 10 (сборки 1803/1809).
- SDMS теперь поддерживает установку на MS Windows Server 2016
- Улучшена стабильность работы драйверов.
- Обновлен CryptoExtensionPack до версии 4.13.7.17, с помощью которого реализована поддержка сертификатов стандарта ГОСТ Р 2012 34-10 при использовании внешних криптопровайдеров КриптоПРО и ВиПНет. Совместимость со стандартами 2001 года сохранена.
Версия 2.6.5.12
- Интегрирован обновлённый загрузчик UEFI, подписанный Microsoft, что позволит устанавливать SD5, не отключая режим Secure Boot.
- Добавлена поддержка большого количества корпоративных моделей ноутбуков с загрузчиком Legacy BIOS.
- Интегрирован обновлённый загрузчик UEFI, подписанный Microsoft, что позволит устанавливать SDA, не отключая режим Secure Boot. Новый загрузчик имеет поддержку сенсорного интерфейса.
- Исправлено ошибочное размонтирование виртуальных дисков при извлечении флэш-накопителя.
- Добавлена поддержка КриптоПРО 4.0 (и выше) с сертификатами, выписанными по ГОСТ 2001.
- Добавлена поддержка VipNET CSP 4.2 с сертификатами, выписанными по ГОСТ 2001.
Версия 2.5.0.2162
- Реализованы новые платные функции:
- шифрование папок на незащищённых ресурсах по инициативе пользователя;
- запрет/разрешение копирования незашифрованной информации на съёмные носители;
- создание по инициативе пользователя защищённых контейнеров для передачи конфиденциальной информации по открытым каналам связи;
- запрет/разрешение на предоставление сетевого удалённого доступа к защищённой информации.
- Изменён формат лицензионного файла и порядок установки обновлений/добавлений.
- Изменена лицензионная политика:
- серверное ПО теперь предоставляется бесплатно;
- стоимость пользовательских лицензий делает SDE доступным для предприятий малого бизнеса;
- специальные опции, не относящиеся к базовому функционалу продукта, сделаны платными.
- Исправлен ряд незначительных ошибок.
Версия 2.2.3.753
- Реализована возможность использования единого пакета расширения алгоритмов шифрования и сопряжения с внешними криптопровайдерами Crypto Extensions Pack
- Добавлена автоматическая инициализация контроллера XHCI для USB3.0
- Повышение общей стабильности работы продукта
Версия 2.2.1.814
- Реализована возможность защиты системного раздела на UEFI-ноутбуках
- Улучшена совместимость с не-UEFI ноутбуками
- Добавлена возможность экспорта дисковых ключей из web-интерфейса (используется при восстановлении данных с повреждённых носителей)
Версия 2.1.4.704
- Полноценная поддержка Windows 8.1.
- Поддержка Internet Explorer 11 для SDMS.
- Добавлена утилита для восстановления доступа к данным при наличии резервной копии ключа (SDEmergencyMounter).
- Исправлен ряд ошибок.
Версия 2.1.0.637
- Реализована поддержка актуальных версий криптопровайдеров СигналКом CSP и VipNet CSP.
- Обновлены файлы справки.
Версия 2.0.2.613
- Реализована поддержка ключей нового поколения JaCarta.
- Реализована поддержка работы на персональных компьютерах и серверах под управлением операционных систем Microsoft Windows 8 и Microsoft Windows Server 2012.
- Реализована поддержка работы с системой управления реляционными базами данных Microsoft SQL Server 2012.
- Реализована поддержка множественной криптографии, что позволяет одновременно использовать более одного поставщика криптографии в рамках одной инсталляции продукта.
- Реализована возможность миграции виртуальных дисков, позволяющая ввести в эксплуатацию защищённый виртуальный диск, перенесённый с другого персонального компьютера.
- Реализована возможность привязки установки к организационному подразделению (OU) в Microsoft Active Directory, необходимая при развёртывании решения в условиях многодоменной структуры сети.
- Реализована поддержка работы в кластере распределения нагрузки (Network Load Balancing, NLB) с целью обеспечения возможности горизонтального масштабирования продукта и повышения отказоустойчивости.
- Реализована возможность выполнения групповых операций в интерфейсе управления.
- Реализована специализированная утилита, обеспечивающая возможность экспорта дисковых ключей непосредственно из базы данных для их резервного копирования и облегчения процесса миграции.
- Изменена логика отправки клиентских уведомлений, ранее приводившая к перегрузке сервера (SDA).
- По умолчанию отключен режим работы xHCI, ранее приводивший к возможным затруднениям на этапе загрузки компьютера (SDA).
- Устранены найденные неисправности.