Назначение Secret Disk Enterprise

Комплекс защиты конфиденциальной информации с централизованной системой управления Secret Disk Enterprise позволяет обеспечить защиту персональных компьютеров и ноутбуков в корпоративной инфраструктуре от несанкционированного доступа и утечки конфиденциальной информации.

Secret Disk Enterprise отслеживает состояние всех защищённых рабочих станций и снимает нагрузку с информационных служб предприятий, снижая затраты и повышая уровень безопасности данных в компании.

Ключевые преимущества Secret Disk Enterprise

  • Secret Disk Enterprise обеспечивает защиту данных путём шифрования разделов на жёстких дисках, томов на динамических дисках, виртуальных дисков, отдельных папок с файлами и создания защищённых контейнеров.
  • Реализована возможность защиты системного раздела жёсткого диска и хранящейся на нём информации. При установке на x86-планшет с сенсорным вводом защита системного раздела будет реализована в ближайших версиях.
  • Обеспечена наиболее безопасная и надёжная на сегодняшний день процедура подтверждения прав пользователя – двухфакторная аутентификация, при которой для доступа к данным необходимо наличие электронного ключа и знание пароля к нему.
  • Организован аудит использования защищённых ресурсов и действий пользователей.
  • Используется встроенная в ядро ОС Windows криптография.
  • Доступна установка дополнительных пакетов от сторонних поставщиков криптографии (криптопровайдеров), включая КриптоПро CSP и VipNET CSP, которые реализуют российские стандарты алгоритмов шифрования и сертифицированы ФСБ России.
  • Возможность блокировки для конкретных пользователей функции копирования незашифрованной информации на съёмные носители.
  • Подготовка защищённых контейнеров для безопасной передачи конфиденциальной информации по открытым Интернет-каналам.
  • Настраиваемое разрешение/блокировка предоставления пользователем удалённого доступа к защищённым данным по локальной сети.
  • Решение устойчиво к возможным сбоям операционной системы или отключению электропитания, что исключает возможность повреждения данных.
  • Поддерживается оперативное восстановление доступа в случае утери или поломки пользователем электронного ключа.
  • Зашифрованные папки предусматривают пофайловое резервное копирование сторонними продуктами без доступа к конфиденциальным данным.
  • Быстрая установка и настройка клиентского программного обеспечения на рабочих местах пользователей за счёт использования групповых политик Microsoft Active Directory.
  • Работа продукта не требует подготовки и специальных знаний конечного пользователя.
  • Прозрачная работа продукта незаметна для пользователей системы.
  • Гибко настраиваемая система ролей и полномочий позволяет адаптировать программное обеспечение под организационные условия любого предприятия.
  • Поддержка либо запрет работы сотрудника с защищёнными дисками и данными вне доступа к корпоративной сети (например, в командировках).
  • Централизованное управление и мониторинг — в системе ведётся несколько журналов, по которым администратор может следить за работой пользователей, легко диагностировать нештатные ситуации и оперативно принимать необходимые меры.

Технические подробности

Концепция Secret Disk Enterprise (SDE) заключается в централизованном хранении и управлении ключами шифрования дисков, информацией о пользователях, их связях с дисками, и т. д. Все операции в SDE основаны на взаимодействии между клиентской и серверной компонентами системы.

Secret Disk Enterprise построен по технологии клиент-сервер. Клиентская часть представлена приложением Secret Disk Agent, выполняемым на рабочих станциях пользователей. Серверная часть состоит из трех основных компонентов:

  • сервер бизнес-логики;
  • шлюз клиентов;
  • административный Web-портал.

Защита конфиденциальной информации

Архитектура Secret Disk Enterprise

Сервер бизнес-логики

Сервер бизнес-логики отвечает за операции с зашифрованными дисками, сертификатами пользователей, а также управление учётными записями пользователей, лицензиями, компьютерами, выполнение функций обслуживания и т.д.

Сервер бизнес-логики формирует для каждой клиентской рабочей станции очередь команд. Он не имеет возможности обратиться к клиентской части напрямую, поэтому всё взаимодействие инициирует Secret Disk Agent через Шлюз клиентов.

Шлюз клиентов

Шлюз клиентов выполняет аутентификацию и перенаправляет запросы Secret Disk Agent серверу бизнес-логики, выполняя промежуточную роль в следующих процессах: обмен ключевой информацией, получение клиентским программным обеспечением команд сервера, обмен служебной информацией.

Конфиденциальная информация пользователей хранится на зашифрованных дисках рабочих станций. Для зашифрования/расшифрования информации на диске используется криптокопия ключа этого диска, зашифрованная с использованием мастер-ключа базы данных.

В базе данных хранятся криптокопии мастер-ключа базы данных, поэтому, чтобы получить мастер-ключ для работы с дисками, необходимо расшифровать его криптокопию. Для этого используется утилита "Мастер первоначальной настройки". Сама операция называется "подключением криптохранилища".

Административный Web-портал

Веб-портал предоставляет графический интерфейс для работы с функциями аудита и администрирования. Доступность тех или иных функций зависит от принадлежности к той или иной роли.

(нажмите на картинку, чтобы увидеть ее в полном размере)

Secret Disk Agent

Доступ к SDMS имеют уполномоченные Администратором безопасности Операторы. Функции пользователей выделены в виде приложения Secret Disk Agent, которое устанавливается на каждом клиентском компьютере. В нём пользователь может подключать и отключать диски, а все прочие функции выполняются по запросу сервера через механизм команд, которые формирует сервер для каждого клиента в виде очереди. Назначенные клиенту задачи выполняются по мере опроса клиентом сервера.

База данных SQL

Все данные, которыми оперирует система SDMS, хранятся в базе данных на сервере под управлением Microsoft SQL Server 2005/2008/2012. В базе данных хранятся сведения о файловой системе для каждого клиентского компьютера, операциях пользователя, а также сертификаты и симметричные ключи ко всем зашифрованным дискам. Ключи к зашифрованным дискам клиентов зашифрованы мастер-ключом, который, в свою очередь, защищён ключевой парой сертификата Оператора, хранящегося на USB-ключе или смарт-карте последнего.

SQL-база данных заимствует уже существующие сведения о сотрудниках организации из службы Active Directory (AD): их роли, сертификаты, криптокопии публичных ключей-сертификатов, конфигурации рабочих станций. Доступ к Active Directory осуществляется только в режиме чтения, то есть никто из пользователей SDMS не может менять структуру и данные в AD.

Системные требования

Операционная система

Для рабочих станций:

  • Microsoft Windows 10;
  • Microsoft Windows 8.1;
  • Microsoft Windows 8;
  • Microsoft Windows 7 SP1.

Для сервера:

  • Microsoft Windows Server 2019;
  • Microsoft Windows Server 2016;
  • Microsoft Windows Server 2012 R2;
  • Microsoft Windows Server 2012;
  • Microsoft Windows Server 2008 R2.

Обязательное программное обеспечение

Для сервера SDMS:

  • Microsoft .NET Framework 4.0 или более поздней версии;
  • Microsoft IIS версии 6 или выше в режиме совместимости с версией 6;
  • драйверы используемых токенов;
  • браузер Internet Explorer 8.0 или более поздней версии.

Сервер базы данных: Microsoft SQL Server 2005/2008/2012/2014/2016.

В составе ИТ-инфраструктуры предприятия должна быть установлена служба каталогов Active Directory с функциональным уровнем домена не ниже Windows Server 2003.

Дополнительное программное обеспечение

Совместно с SDE может использоваться система управления токенами и смарт-картами JaCarta Management System (JMS), что обеспечивает удобство применения продукта. Использование JMS в организации позволяет упростить и организовать управление ключами и пользовательскими сертификатами.

Электронные ключи

  • USB-токены и смарт-карты JaCarta с апплетом PKI: JaCarta PKI, JaCarta PKI/ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta PRO
  • USB-токены и смарт-карты eToken PRO (Java) 72K, eToken PRO Anywhere

Комплект поставки

Коробочная версия продукта включает:

  • CD-ROM с программным обеспечением и документацией в электронном виде;
  • файл, содержащий требуемые лицензии пользователей и платные опции;
  • упаковочную коробку.

Коробочный вариант поставки рекомендуется для новых пользователей Secret Disk Enterprise. Для использования продукта вам необходимо приобрести лицензии на требуемое количество рабочих мест и выбранные опциональные возможности продукта.

Для работы продукта также обязательно понадобятся электронные ключи JaCarta или eToken. Минимальное количество токенов равно сумме количества пользователей, администраторов и операторов продукта.

Коробочная версия поставляется с бесплатной годовой программой базовой технической поддержки.

История изменений

Версия 2.7.10.35

  • Добавлена поддержка последних требований Microsoft к работе в режиме Secure Boot: все используемые драйверы и загрузчики проверены и подписаны Microsoft и совместимы с актуальными версиями Windows 10 (sdA) и Windows Server 2019 (sdMS).
  • Пакет расширения криптографии встроен в основной инсталлятор и не требует отдельной установки при полном сохранении функциональности.
  • Из дистрибутива исключён сервер SDMS в разрядности x86 как неиспользуемый.
  • Полностью переработан инсталлятор, позволяя при обновлении не снимать защиту ресурсов пользователя и не удалять предыдущую версию. В связи с этим из дистрибутива исключён "sdAxx.exe", как неподдерживающий режим упрощённого обновления.
  • Добавлена поддержка минидрайверов JaCarta и eToken, позволяющая отказаться и на сервере, и на рабочих станциях от установки дополнительного платного программного обеспечения.
  • Значительно повышена отказоустойчивость сервера SDMS при работе с MSAD при малой пропускной способности канала соединения и большом количестве клиентов.

Предыдущие версии

Версия 2.7.5.45

  • Добавлен "режим обновления" клиентских устройств, позволяющий групповое временное снятие защиты с системного диска для успешной установки обновлений Windows 10 с последующей групповой установкой защиты.
  • Добавлена полная совместимость с внешним криптопровайдером КриптоПРО 4.0 R4.
  • Обновлена документация по продукту.

Версия 2.7.4.37

  • Исправлена ошибка, связанная с работой браузеров на базе Chromium и Trident в ОС Windows 10 сборки 1809.

Версия 2.7.0.34

  • В SDA интегрирован обновлённый загрузчик UEFI, поддерживающий современные модели токенов JaCarta. В настоящей версии работает с отключением Secure Boot.
  • В SDA добавлена поддержка последних ядер Windows 10 (сборки 1803/1809).
  • SDMS теперь поддерживает установку на MS Windows Server 2016
  • Улучшена стабильность работы драйверов.
  • Обновлен CryptoExtensionPack до версии 4.13.7.17, с помощью которого реализована поддержка сертификатов стандарта ГОСТ Р 2012 34-10 при использовании внешних криптопровайдеров КриптоПРО и ВиПНет. Совместимость со стандартами 2001 года сохранена.

Версия 2.6.5.12

  • Интегрирован обновлённый загрузчик UEFI, подписанный Microsoft, что позволит устанавливать SD5, не отключая режим Secure Boot.
  • Добавлена поддержка большого количества корпоративных моделей ноутбуков с загрузчиком Legacy BIOS.
  • Интегрирован обновлённый загрузчик UEFI, подписанный Microsoft, что позволит устанавливать SDA, не отключая режим Secure Boot. Новый загрузчик имеет поддержку сенсорного интерфейса.
  • Исправлено ошибочное размонтирование виртуальных дисков при извлечении флэш-накопителя.
  • Добавлена поддержка КриптоПРО 4.0 (и выше) с сертификатами, выписанными по ГОСТ 2001.
  • Добавлена поддержка VipNET CSP 4.2 с сертификатами, выписанными по ГОСТ 2001.

Версия 2.5.0.2162

  • Реализованы новые платные функции:
    • шифрование папок на незащищённых ресурсах по инициативе пользователя;
    • запрет/разрешение копирования незашифрованной информации на съёмные носители;
    • создание по инициативе пользователя защищённых контейнеров для передачи конфиденциальной информации по открытым каналам связи;
    • запрет/разрешение на предоставление сетевого удалённого доступа к защищённой информации.
  • Изменён формат лицензионного файла и порядок установки обновлений/добавлений.
  • Изменена лицензионная политика:
    • серверное ПО теперь предоставляется бесплатно;
    • стоимость пользовательских лицензий делает SDE доступным для предприятий малого бизнеса;
    • специальные опции, не относящиеся к базовому функционалу продукта, сделаны платными.
  • Исправлен ряд незначительных ошибок.

Версия 2.2.3.753

  • Реализована возможность использования единого пакета расширения алгоритмов шифрования и сопряжения с внешними криптопровайдерами Crypto Extensions Pack
  • Добавлена автоматическая инициализация контроллера XHCI для USB3.0
  • Повышение общей стабильности работы продукта

Версия 2.2.1.814

  • Реализована возможность защиты системного раздела на UEFI-ноутбуках
  • Улучшена совместимость с не-UEFI ноутбуками
  • Добавлена возможность экспорта дисковых ключей из web-интерфейса (используется при восстановлении данных с повреждённых носителей)

Версия 2.1.4.704

  • Полноценная поддержка Windows 8.1.
  • Поддержка Internet Explorer 11 для SDMS.
  • Добавлена утилита для восстановления доступа к данным при наличии резервной копии ключа (SDEmergencyMounter).
  • Исправлен ряд ошибок.

Версия 2.1.0.637

  • Реализована поддержка актуальных версий криптопровайдеров СигналКом CSP и VipNet CSP.
  • Обновлены файлы справки.

Версия 2.0.2.613

  • Реализована поддержка ключей нового поколения JaCarta.
  • Реализована поддержка работы на персональных компьютерах и серверах под управлением операционных систем Microsoft Windows 8 и Microsoft Windows Server 2012.
  • Реализована поддержка работы с системой управления реляционными базами данных Microsoft SQL Server 2012.
  • Реализована поддержка множественной криптографии, что позволяет одновременно использовать более одного поставщика криптографии в рамках одной инсталляции продукта.
  • Реализована возможность миграции виртуальных дисков, позволяющая ввести в эксплуатацию защищённый виртуальный диск, перенесённый с другого персонального компьютера.
  • Реализована возможность привязки установки к организационному подразделению (OU) в Microsoft Active Directory, необходимая при развёртывании решения в условиях многодоменной структуры сети.
  • Реализована поддержка работы в кластере распределения нагрузки (Network Load Balancing, NLB) с целью обеспечения возможности горизонтального масштабирования продукта и повышения отказоустойчивости.
  • Реализована возможность выполнения групповых операций в интерфейсе управления.
  • Реализована специализированная утилита, обеспечивающая возможность экспорта дисковых ключей непосредственно из базы данных для их резервного копирования и облегчения процесса миграции.
  • Изменена логика отправки клиентских уведомлений, ранее приводившая к перегрузке сервера (SDA).
  • По умолчанию отключен режим работы xHCI, ранее приводивший к возможным затруднениям на этапе загрузки компьютера (SDA).
  • Устранены найденные неисправности.
Задать вопрос