Назначение, возможности и условия применения программы
Назначение
Пришлось по указанию вышестоящих органов развернуть сей продукт в своем домене. Программно-техническое средство защиты информации (СЗИ) «Блокхост-Сеть 2.0» предназначено для защиты от несанкционированного доступа (НСД) в локальных вычислительных сетях (ЛВС) на базе персональных компьютеров (ПК), функционирующих под управлением операционных систем семейства Windows.
В актуальной версии СЗИ (2.2.16.1038) заявлена поддержка операционных систем, начиная с Windows 7 для клиентской части и Windows Server 2008R2 для серверной.
СЗИ «Блокхост-сеть 2.0» состоит из клиентской и серверной частей. Клиентская часть обеспечивает защиту компьютера пользователя от НСД к информации, и может работать как автономном компьютере, то есть без подключения к сети организации, так и на рабочей станции в составе сети – одноранговой (рабочая группа) или доменной.
Установка, настройка и управление СЗИ на сетевых компьютерах могут вестись как локально, так и под управлением серверной части СЗИ «Блокхост-сеть 2.0». Через серверную часть выполняется централизованное управление сетевыми рабочими станциями. Настройка серверной части выполняется через серверную консоль. Серверная часть или сервер безопасности по инструкции устанавливается «на автоматизированное рабочее место (АРМ) администратора безопасности».
Так как сервер безопасности может быть установлен только на серверную ОС Windows, начиная с Windows Server 2008R2, потребуется лицензия на ОС Windows Server и достаточно производительная рабочая станция с не менее чем 8 Гб оперативной памяти.
У нас таких возможностей не было, поэтому СЗИ было развернуто на существующем сервере. Установка «Блокхост-сеть 2.0» на компьютеры пользователей домена и настройка СЗИ выполнялись через удаленное подключение к серверу.
Возможности
Для нас от СЗИ требовалась только двухфакторная идентификация, поэтому про остальные возможности СЗИ буквально пару слов:
Возможности СЗИ |
Подробнее |
---|---|
Контроль печати |
Регистрация всех фактов печати документов, маркировка документов штампом |
Гарантированное уничтожение информации |
Трехкратная запись информации на место удаляемого документа. Повторное считывание информации после удаления невозможно. |
Очистка памяти |
Запись нулей в освобождаемую область оперативной памяти. |
Ограничение доступа для сменных физических носителей информации |
Доступ только для чтения или полный запрет для CD, DVD и USB-устройств (флэшки, USB – диски) |
Дискреционный контроль доступа: |
Разграничение доступа (чтение, запись, полный доступ)
пользователей к дискам, каталогам и файлам на компьютере; |
Мандатный контроль доступа |
Разграничение доступа пользователей и процессов к дискам, папкам и файлам с помощью классификационных (мандатных) меток, которые определяют уровень допуска и уровень конфиденциальности. |
Контроль целостности программ и данных; |
Контроль неизменности файлов и их восстановление при нарушении целостности |
Контроля целостности реестра |
Проверка целостности разделов (ветвей), параметров (ключей) и значений параметров реестра ОС путём их сравнения с эталоном и при обнаружении ошибки информирование об этом пользователя. |
Персональный экран |
Защита ПК, подключенного к сети, от несанкционированного доступа к его ресурсам из внешних источников, разграничение доступа пользователя ПК к ресурсам сети. |
Аудит и регистрация доступа к информационным ресурсам; |
Ведение журнала сообщений, полученных при срабатывании системы защиты и при обращении к защищаемым ресурсам. |
Условия применения
Какие же аппаратные требования программы? Такие же, как минимальные системные требованиями используемой операционной системы, то есть СЗИ дополнительных требований по производительности компьютеров не выдвигает.
Программные требования.
Здесь требуется:
- .NET Framework 3.5 (для работы модуля контроля целостности реестра);
- .NET Framework 4.0 (с обновлением NDP40-KB2468871) или выше (для работы консоли администрирования СЗИ);
- драйверы для аппаратных ключей – носителей при помощи которых собственно и осуществляется вход пользователя.
В комплекте поставки СЗИ присутствуют драйверы для eToken, JaCarta и ruToken. Драйверы для устройств ESMART Token и Avest Token в комплект поставки не входят.
Ограничения
СЗИ «Блокхост-сеть 2.0» имеет ряд ограничений в использовании:
- Установка СЗИ «Блокхост-сеть 2.0» должна выполняться на диск С:\.
- На жестком диске не должно быть других установленных операционных систем. Как насчет виртуальных машин и сред – не знаю, не пробовали.
- На компьютере не должно быть динамических дисков, работу с ними «Блокхост- Сеть 2.0» не поддерживает. Также не поддерживается работа с твердотельными магнитными накопителями (SSD-дисками) – в 2020 году!!!
- Еще рекомендуют удалить ранее установленные и не устанавливать новые
программы, следящие за работой файловой системы, то есть:
- другие средства защиты от НСД;
- анализаторы файловой системы;
- утилиты мониторинга файловой системы (ProcessMonitor и т.п.). - Корректная работа с антивирусным ПО как ни странно НЕ ГАРАНТИРУЕТСЯ!
Допускается совместная работа работа с Kaspersky Endpoint Security 10 и
Symantec Endpoint Protection 12.
Для проверки совместимости с другими антивирусными программами предлагается выполнить самостоятельное регламентное тестирование СЗИ и по его итогам сделать вывод в возможности совместного использования СЗИ и антивирусной программы.
Цитирую «использование антивирусных программ допускается после проверки их совместимости с программным комплексом СЗИ». На практике, с антивирусом Касперского, а именно Kaspersky Endpoint Security 10 и 11, а также 8.0 для Windows Server работает нормально. - Требуется выполненная активации операционной системы с ОС семейства Windows – на не активированной не пробовали.
Как видим, требования не из простых, некоторые из них выглядят просто странно в наше время. Для тех, кто еще не расхотел использовать СЗИ Блокхост-сеть 2.0, в следующей части материала речь пойдет о подготовке к установке СЗИ.