22.09.2010

Новые «секреты» Aladdin’а

Сергей Хайрук, cio-world.ru

Компания Aladdin дополнила линейку продуктов для обеспечения безопасности конфиденциальных данных решением Secret Disk Enterprise. Разработка ориентирована на крупные и средние предприятия. Secret Disk Enterprise централизованно устанавливается на ПК конечных пользователей, позволяет осуществлять удаленное шифрование логических и системных дисков, управлять доступом к защищенным ресурсам на основе ролевой модели, поддерживает алгоритмы шифрования по ГОСТ 28147-89 из состава КриптоПро CSP.

Предваряя презентацию решения, заместитель генерального директора компании Aladdin Алексей Сабанов сказал, что Secret Disk Enterprise разрабатывался как ответ на нужды заказчиков, связанные, в том числе, с вопросами приведения информационных систем компаний в соответствие с требованиями 152 ФЗ «О персональных данных». Кроме того, Алексей отметил, что доверительное пространство, о котором сегодня так много говорят, начинается именно здесь – с отдельно взятого компьютера, и решения Aladdin как раз позволяют повысить степень защиты этого пространства. Многие организации, в силу инертности крупного бизнеса, сегодня просто не способны единовременно перейти на «тонкий клиент». А это значит, что данные, находящиеся на ПК пользователей, по-прежнему требуют защиты от несанкционированного доступа, кражи, изъятия или утери.

По сути, это решение отвечает простому и по-человечески понятному желанию владельцев и топ-менеджмента компании оградить данные организаций, в том числе на компьютерах сотрудников, от воздействия как извне, так и изнутри.

Secret Disk Enterprise представляет собой клиент-серверное решение. Клиентская программа - Secret Disk Agent – устанавливается на АРМ пользователя, серверный компонент - Secret Disk Management Server – включает шлюз взаимодействия с клиентами, административный веб-портал и сервер бизнес-логики. Информация о пользователях, компьютерах и сертификатах импортируется из Active Directory. Для хранения данных используется база данных MS SQL. В зависимости от степени нагрузки возможны различные варианты инсталляции серверных компонент системы – от простого развертывания серверной части на одном ПК до создания сложной системы на нескольких серверах с использованием технологий распределения нагрузки.

Аутентификация пользователя на ПК производится по USB-ключу или смарт-карте до загрузки операционной системы. Для доступа к защищенным ресурсам - зашифрованные логические или виртуальные диски - пользователи проходят процедуру двухфакторной аутентификации с помощью своего электронного ключа eToken. Возможно использование двух разных электронных ключей - один для аутентификации до загрузки ОС, другой для монтирования зашифрованных дисков и работы с ними. Пользователь наделяется правами в соответствии с определенной для него ролью – оператор, администратор информационной безопасности, аудитор и пр – всего 6 встроенных ролей. При этом возможно расширение списка путем самостоятельной настройки.

Внутри системы пользователь работает с зашифрованным диском, при этом, по словам представителей Aladdin, это не создает какого-либо дискомфорта – снижение производительности системы составляет менее 3-х процентов при зашифрованном системном разделе. При запуске процесса шифрования логического диска по ГОСТу снижение производительности составит до 15%, однако само шифрование осуществляется в фоновом режиме – работу можно продолжать.

Управление системой осуществляется через веб-портал. Здесь осуществляется регистрация пользователей, присвоение сертификатов, мониторинг событий «на клиентах»; запускаются команды на шифрование, ведется учет лицензий. Посредством веб-портала можно установить и настроить клиентское ПО, заменить или восстановить ключ шифрования, создать его резервную копию.

Решение поддерживает работу с серверами MS Windows 2003-2008 R2 32 - 64bit, MS SQL 2008/ 2008 R2 (может использоваться экспресс-версия), и операционными системами от MS Windows 2000 до Windows 7 32 - 64bit включительно. Поддерживаются все модели электронных ключей eToken. Политика лицензирования предусматривает отдельное лицензирование серверной части (одна лицензия на домен AD) плюс клиентские лицензии по числу пользователей решения. Клиентские лицензии не привязаны к ключам eToken. Таким образом не возникает проблемы восстановления лицензии при утере или поломке ключа.

Компания намеревается в ближайшее время сертифицировать решение во ФСТЭК на возможность использования Secret Disk Enterprise при создании АС до класса защищенности 1Г и ИСПДн до 1 класса включительно и на НДВ по 4 классу. Также в планах Aladdin «научить» систему взаимодействию с многодоменной AD структурой, обеспечить поддержку NLB-кластера для серверов бизнес-логики и реализовать использование алгоритма ГОСТ 28147-89 для шифрования системного диска.

К сожалению, представители компании оставили «за скобками» корпоративных пользователей мобильных устройств – компоненты, работающей на смартфонах, пока нет. Да и в том случае, если пользователь покидает пределы корпоративного домена, полноценная работа системы возможна лишь в том случае, если есть устойчивое подключение к серверу Secret Disk Enterprise на IP-уровне или ключ пользователя заранее сохранен в кэше. «Раскрыть» этот ключ пользователь может с помощью личного eToken’а. В штатном режиме ключ шифрования хранится централизованно, на сервере Secret Disk Enterprise.

Все публикации