Построение защищенных корпоративных хранилищ данных

Система защиты конфиденциальной информации на персональных компьютерах и съёмных носителях от несанкционированного доступа, копирования, повреждения, кражи или принудительного изъятия. Данные хранятся на защищённых дисках в зашифрованном виде. При чтении с защищённого диска происходит автоматическое и незаметное для пользователя расшифрование данных, а при записи на защищённый диск — их зашифрование. Для доступа к защищённому диску необходимо иметь USB-ключ или смарт-карту и знать его PIN-код. Защищённая информация не может быть просмотрена, скопирована, уничтожена или повреждена другими пользователями, любопытными коллегами, администраторами или хакерами, подключившимися к компьютеру по сети. Она также не может быть использована посторонними при ремонте или краже компьютера, при утере съёмного защищённого диска.

Основные возможности

• Строгая двухфакторная аутентификация при доступе к защищенной информации — пользователь должен иметь ключ eToken с установленным цифровым сертификатом, и знать PIN-код своего ключа.
• Возможность работы с защищенными разделами жестких дисков (кроме системного), динамическими томами, съёмными дисками (дискеты, Flash-диски, медиа-диски типа SD, CF, xD, Memory-Stick и др.), с виртуальными (логическими) дисками.
• Блокирование компьютера в перерывах между работой и автоматическое отключение (опционально) секретных дисков при отсоединении ключа eToken.
• Защита от случайного / умышленного уничтожения или повреждения защищенных данных.
• Удаленное / локальное администрирование без возможности доступа к содержимому защищенных дисков.
• Защита от подключения удаленных пользователей к защищённым данным через сеть, даже для системного администратора (администратора домена Windows).
• Многопользовательский режим работы — доступ к защищенному диску могут иметь несколько авторизованных пользователей (каждый со своим ключом).
• Резервное копирование / восстановление ключей шифрования.
• Создание защищенных архивов и резервных копий данных.
• Использование различных алгоритмов шифрования данных на дисках, включая сертифицированные.
• Возможность подключения внешней криптографии, например, сертифицированных российских криптопровайдеров (КриптоПро CSP, Signal-COM CSP, Infotecs CSP), а также национальных (белорусских, казахских, украинских и др.).

Эксклюзивные особенности

• Наличие сертификата ФСТЭК для работы с конфиденциальной информацией.
• Высокая безопасность и надежность — для доступа к защищенным дискам используется USB-ключ или смарт-карта eToken. Ключ eToken используется как средство криптографической защиты, активно использующееся в процессе аутентификации пользователя, и как безопасное хранилище секретного ключа и связанного с ним цифрового сертификата Х.509;
• Возможность использования цифровых сертификатов, изданных корпоративными удостоверяющими центрами, что позволяет интегрировать Secret Disk NG в единую инфраструктуру (PKI) и обеспечивает централизованной управление и администрирование стандартными (используемыми) средствами.
• Обеспечивается работа не только с виртуальными дисками, как у большинства аналогичных продуктов, а с физическими разделами, динамическими томами и съемными дисками, что повышает надежность и безопасность работы.

Современный программно-аппаратный комплекс защиты корпоративной информации (баз данных, файловых архивов, бизнес-приложений и их данных), хранящейся на серверах под управлением серверных операционных систем Microsoft Windows.

Защита информации обеспечивается шифрованием данных «на лету» с помощью стойких алгоритмов шифрования. При чтении данных с диска происходит их расшифрование, при записи на диск — зашифрование. Находящиеся на диске данные всегда зашифрованы.

Подключенный защищённый диск используется точно так же, как и обычный диск. Отключенный защищённый диск представляется системе как неформатированный.

Для выполнения задач администрирования сервера используется электронный ключ или смарт-карта eToken. Шифрование и подключение защищённых дисков, резервное копирование и восстановление мастер-ключей осуществляются лишь после предъявления eToken зарегистрированного администратора и ввода соответствующего PIN-кода. В системе Secret Disk Server NG может быть несколько зарегистрированных администраторов.

В Secret Disk Server NG имеется инструмент резервного копирования защищённого хранилища, в котором содержатся зашифрованные копии мастер-ключей и информация об администраторах Secret Disk Server NG.

Для мгновенного блокирования доступа к зашифрованным данным в экстренных ситуациях серверу можно подать сигнал «тревога», например, с клавиатуры любой станции сети, от «красной кнопки» (например, спрятанной под столом охранника или секретаря), от радио-брелока, от охранной сигнализации (датчиков открывания дверей, окон, движения и пр.), от кодового замка (при входе в помещение под принуждением), либо удаленно через Интернет из любой точки мира.

При получении сервером сигнала «тревога» доступ к данным на зашифрованных дисках блокируется, из памяти сервера удаляются ключи шифрования. Сами же данные остаются на дисках, но они находятся в зашифрованном виде, что равносильно мгновенному «уничтожению» информации.

В результате даже если злоумышленники завладеют нужным электронным ключом или смарт-картой eToken, узнают PIN-код и будут обладать полным доступом к серверу, они не смогут прочесть информацию, не располагая резервной копией защищённого хранилища.

При этом Secret Disk Server NG не имеет встроенных средств шифрования, а использует внешние — входящие в состав операционной системы криптографический драйвер режима ядра и Microsoft Enhanced CSP. Кроме того, Secret Disk Server NG совместим с Signal-COM CSP, КриптоПро CSP или Infotecs CSP. Использование этих поставщиков службы криптографии позволяет шифровать диски по алгоритму, соответствующему ГОСТ 28147-89 «Система обработки информации. Защита криптографическая», и защищать мастер-ключи защищённых дисков также с использованием сертифицированных российских криптографических средств.