19 февраля 2018
Обзор решения: JaCarta SF/ГОСТ
Рынок решений по защите информации расширяется постоянно. Недавно удалось потестировать ознакомительную версию продукта нового класса для партнеров от компании «Аладдин Р.Д.» — защищенный usb-носитель JaCarta SF/ГОСТ, призванный быть как персональным СКЗИ (обеспечивать безопасное создание, использование и хранение ключей ЭП, а также аппаратно реализовывать российские алгоритмы шифрования, хеширования и ЭП), так и защищенным флэш-диском для безопасного хранения и транспортировки информации ограниченного доступа.
И если с первой его функцией все в целом понятно — использование usb-токенов как средств ЭП (усиленной и усиленной квалифицированной в данном случае, если говорить с точки зрения ФЗ-63, в т. ч. имеется сертификат ФСБ на СКЗИ и средство ЭП по классам защиты КС1 и КС2) и так довольно таки распространено, то на второй функции стоит остановиться подробнее.
В первую очередь хотелось бы отметить основную архитектурную особенность данного продукта: для получения доступа к записанной на JaCarta SF/ГОСТ конфиденциальной информации помимо знания PIN-кода пользователя потребуется разрешение от сервера авторизации либо от администратора — что позволяет исключить не только внешнего, но и внутреннего нарушителя.
Да, да. Этот отчуждаемый накопитель может быть настроен таким образом, что выносить его за территорию предприятия становится бессмысленно. Без авторизации внутри корпоративной сети получить доступ к данным невозможно. В комбинации с запретом на использование альтернативных съемных носителей применение JaCarta SF/ГОСТ позволяет свести к минимуму возможность утечки информации посредством использования съемных носителей.
Исходя из вышесказанного, можно выделить основные сценарии использования решения:
- применение как защищенного usb-накопителя, исключающего возможность получения доступа к информации, сохраненной в защищенном разделе, на неавторизованном компьютере или неавторизованному пользователю;
- применение как комбинированного устройства, совмещающего функции средства ЭП и защищенного электронного носителя c управлением доступом к данным, что может оказаться полезным в системах электронного документооборота;
- применение как загрузочного диска, на который может быть записан эталонный образ операционной системы и прикладных программных средств, необходимых для автономной работы на различных средствах вычислительной техники.
Внутреннее же устройство данного решения выглядит следующим образом — при использовании JaCarta SF/ГОСТ в качестве защищенного usb-накопителя выделяется несколько ролей:
- Администратор — лицо, вводящее и выводящее носители из эксплуатации, а также решающее нештатные ситуации;
- Пользователь — лицо, работающее с носителем и прошедшее процедуру авторизации;
- Гость — лицо, использующее носитель без прохождения процедуры авторизации.
В JaCarta SF/ГОСТ можно выделить несколько разделов памяти:
- Открытый и скрытый разделы, доступные только для чтения;
- Открытый и скрытый разделы, доступные для чтения и записи;
- Скрытый системный раздел.
Открытые разделы отличаются от скрытых тем, что они доступны сразу при подключении носителя, тогда как скрытые становятся доступны только после успешного прохождения процедуры авторизации. В разделы, доступные только для чтения, информация может записываться только администратором. Скрытый системный раздел доступен на чтение и запись только встроенному программному обеспечению.
Режимов авторизации пользователя также существует несколько:
- Авторизовать пользователя может администратор безопасности с помощью своего ключевого носителя;
- Администратор может выдать программный ключ автономного доступа пользователю для самостоятельной авторизации;
- Через сервер авторизации, который может быть запущен как локально на том же РМ, где авторизуется пользователь, так и на удаленном РМ, доступном по сети.
К достоинствам данного продукта можно отнести:
- отсутствие аналогов на российском рынке;
- наличие сертификации по линии Минобороны России для работы с гостайной (С, СС);
- наличие сертификата ФСБ на СКЗИ и средство ЭП по классам защиты КС1 и КС2;
- формирование ключей шифрования данных в результате успешного прохождения процедур аутентификации и авторизации доступа вместо хранения их в памяти защищённого носителя;
- возможность ремонта изделия в случае, когда защищенный носитель вышел из строя, но сама MicroSDHC-карта сохранила работоспособность, путем перестановки MicroSDHC-карты в исправный защищенный носитель;
- наличие защиты от подбора пароля путем временной задержки по достижению заданного числа неудачных попыток;
- поддержку большинства актуальных ОС семейства Windows, а также Astra Linux 1.2 — 1.5 и даже МС ВС 3.0, 5.0.
В свою очередь, к недостаткам я бы отнес интуитивно непонятный интерфейс, что сглаживается изучением документации. Но это ознакомительная версия, и продукт активно дорабатывается вендором. Вероятнее всего, интерфейс будет еще не однократно переработан в ближайшем будущем.
Петр Кириченко
Инженер, Акрибия
Инженер, Акрибия
Контакты для связи
Контактные данные обрабатываются на условиях полной конфиденциальности.
Отправляя заявку, вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Другие публикации по теме