АККОРД-NT/2000
АККОРД-NT/2000

АККОРД-NT/2000

Назначение

Программно-аппаратный комплекс средств защиты информации (ПАК СЗИ) Аккорд-NT/2000 V3.0 предназначен для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам. Комплекс работает на всей ветви операционных систем (ОС) Microsoft NT +, на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003, и ПО Citrix Metaframe XP, работающем на этих ОС.
ОТПРАВИТЬ ЗАПРОС

Описание

ПАК СЗИ НСД Аккорд-NT/2000 V3.0 обеспечивает: 
  1. защиту от несанкционированного доступа к ПЭВМ;
  2. идентификацию/ аутентификацию пользователей до загрузки операционной системы с последующей передачей результатов успешной идентификации/аутентификации в операционную систему;
  3. аппаратный контроль целостности системных файлов и критичных разделов реестра;
  4. доверенную загрузку ОС; 
  5. контроль целостности программ и данных, их защиту от несанкционированных модификаций;
  6. создание индивидуальной для каждого пользователя изолированной рабочей программной среды;
  7. запрет запуска неразрешенных программ;
  8. разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
  9. разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;
  10. автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса;
  11. усиленная аутентификация терминальных станций с помощью контроллера Аккорд или ПСКЗИ ШИПКА; 
  12. идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА); 
  13. опциональная автоматическая идентификация в системе Windows NT+ и на терминальном сервере пользователей, аутентифицированных защитными механизмами контроллера АМДЗ (при таком подходе, избегая повторной идентификации пользователей, можно гарантировать, что ОС будет загружена под именем того же пользователя, который был аутентифицирован в контроллере АМДЗ, и к терминальному серверу подключится тот же самый пользователь);
  14. управление терминальными сессиями;
  15. контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет протоколировать вывод документов на печать и маркировать эти документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

Комплекс использует собственную систему разграничения доступа (мандатный и дискреционный методы контроля) и служит фильтром между ядром ОС и расположенным выше прикладным ПО терминальных служб. Это значит, что действия, разрешенные прикладным ПО, но запрещенные АККОРДОМ - будут запрещены пользователю.

Комплексная защита терминальной сессии обеспечивается тогда и только тогда, когда пользователь может работать только с защищенного терминала и только с защищенным терминальным сервером. Для этого в момент создания терминальной сессии со стороны терминального сервера необходимо аутентифицировать не только пользователя, но и терминал, а со стороны терминала необходимо убедиться в том, что терминальный сервер действительно тот, с которым должен работать пользователь. Это возможно только при наличии активных СЗИ и на терминале, и на сервере.

Стало быть, для защиты терминальной сессии необходимо установить комплекс не только на терминальный сервер, но и на терминалы.

В предлагаемой системе защиты терминальных сессий комплексы Аккорд, установленные на терминальных серверах и на пользовательских терминалах, взаимодействуют в рамках виртуальных каналов, построенных на протоколах RDP и ICA. Это позволяет использовать уже установленную связь между сервером и терминалом, а не устанавливать новую.

При этом состав полномочий пользователя инвариантен как к протоколу подключения, так и к типу терминального сервера (Microsoft или Citrix).

В течение всего сеанса работы пользователя ведется подробный журнал событий, в котором фиксируются все действия пользователя на терминальном сервере.

Программное обеспечение комплексов позволяет администратору безопасности информации описать любую не противоречивую политику безопасности на основе наиболее полного набора атрибутов (табл. 1):

Операции с файлами

R

разрешение на открытие файлов только для чтения

W

разрешение на открытие файлов для записи

C

разрешение на создание файлов на диске

D

разрешение на удаление файлов

N

разрешение на переименование файлов

V

видимость файлов

O

эмуляция разрешения на запись информации в открытый файл

Операции с каталогами

M

создание каталогов на диске

E

удаление каталогов на диске

G

разрешение перехода в этот каталог

n

переименование подкаталогов

S

наследование прав на все вложенные подкаталоги

1

наследование прав на 1 уровень вложенности

0

запрет наследования прав на все вложенные подкаталоги

Прочее

X

разрешение на запуск программ

Регистрация

r

регистрация в журнале операций чтения при обращении к объекту

w

регистрация в журнале операций записи при обращении к объекту

Для разграничения прав доступа к информационным ресурсам, кроме дискреционного, осуществлен мандатный принцип доступа субъектов к информационным ресурсам.

Кроме этого, администратор БИ для каждого субъекта - пользователя системы определяет:

  • перечень файлов, целостность которых должна контролироваться системой и опции контроля;
  • запуск стартовой задачи (для функционально замкнутых систем);  
  • наличие, либо отсутствие привилегий супервизора;  
  • детальность журнала доступа;  
  • назначение/изменение пароля для аутентификации;  
  • временные ограничения - время по дням недели (с дискретностью 30 мин), в которое разрешено начало работ для данного субъекта;  
  • параметры управления экраном - гашение экрана через заранее определенный интервал времени (в случае, если в течение указанного интервала действия оператором не выполнялись), подача соответствующих звуковых и визуальных сигналов.  

ПО Аккорд-NT/2000 имеет интерфейс подключения внешних антивирусных модулей. В качестве такого модуля может применяться Антивирусное ядро Vba32, разработанное фирмой ВирусБлокАда, или Антивирусное ядро DrWeb. Совместная работа Аккорд-NT/2000 и антивирусного ядра позволяет не только добавить в ПО Аккорд-NT/2000 новую функцию обнаружения и обезвреживания вредоносных программ (при этом динамически проверяются только те объекты, к которым обращается пользователь), но и существенно ускорить работу за счёт исключения дублирования проверок (проверки производятся одновременно, а не последовательно, соответственно каждый объект проверяется единожды).

Также в Аккорд-NT/2000 реализована возможность контроля доступа к USB-устройствам и контроля печати на принтерах, который позволяет протоколировать вывод документов на печать и маркировать эти документ. В качестве маркера может выступать, например, гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация.

В течение всего сеанса работы пользователя ведется подробный журнал событий, в котором фиксируются все действия пользователя на терминальном сервере.

На основании результатов сертификационных испытаний ОКБ САПР получен сертификат соответствия №1161, удостоверяющий, что комплекс Аккорд-NT/2000 V3.0 может применяться на объектах информатизации второй категории.

Технические характеристики

Работа под операционными системами

Windows NT, Windows 2000, Windows XP, Windows 2003

Класс защиты

до 1B включительно

Наличие сертификата Гостехкомиссии России

№1161/1 12 февраля 2007 г. 

Используемые контроллеры

Аккорд-5, Аккорд-5МХ, Аккорд-5.5, Аккорд-5.5 PCIe, Аккорд-5.5МР, Аккорд-5.5МE

Идентификация (тип идентификатора)

Touch memory DS-199x, ПСКЗИ ШИПКА

Аутентификация пользователя

по паролю, вводимому с клавиатуры