поиск по сайту
ПАК Аккорд-Win32(TSE) и ПАК Аккорд-Win64(TSE)

Программно-аппаратные комплексы средств защиты информации (ПАК СЗИ) Аккорд-Win32 и Аккорд-Win64 предназначены для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам.

Комплекс работает на всей ветви операционных систем Microsoft NT +, на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003 и 2008 (32-х разрядных для Аккорд-Win32 и 64-х разрядных для Аккорд-Win64), ПО Citrix Metaframe XP, Presentation Server 4.5, XenApp5.0, XenApp 6, работающем на этих ОС.

Возможности:

  1. Защита от несанкционированного доступа к ПЭВМ;
  2. Идентификация/ аутентификация пользователей до загрузки операционной системы с последующей передачей результатов успешной идентификации/аутентификации в операционную систему;
  3. Аппаратный контроль целостности системных файлов и критичных разделов реестра;
  4. Доверенная загрузка ОС; 
  5. Контроль целостности программ и данных, их защита от несанкционированных модификаций;
  6. Создание индивидуальной для каждого пользователя изолированной рабочей программной среды;
  7. Запрет запуска неразрешенных программ;
  8. Разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
  9. Разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;
  10. Автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса;
  11. Усиленная аутентификация терминальных станций с помощью контроллера Аккорд или ПСКЗИ ШИПКА; 
  12. Идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА); 
  13. Опциональная автоматическая идентификация в системе Windows NT+ и на терминальном сервере пользователей, аутентифицированных защитными механизмами контроллера АМДЗ (при таком подходе, избегая повторной идентификации пользователей, можно гарантировать, что ОС будет загружена под именем того же пользователя, который был аутентифицирован в контроллере АМДЗ, и к терминальному серверу подключится тот же самый пользователь);
  14. Управление терминальными сессиями;
  15. Контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет протоколировать вывод документов на печать и маркировать эти документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).
  16. Контроль доступа к USB устройствам

Основные характеристики:

Собственная система разграничения доступа (мандатный и дискреционный методы контроля) - действия, разрешенные прикладным ПО, но запрещенные АККОРДОМ - будут запрещены пользователю.

Комплексная защита терминальной сессии обеспечивается тогда и только тогда, когда пользователь может работать только с защищенного терминала и только с защищенным терминальным сервером. Для этого в момент создания терминальной сессии со стороны терминального сервера необходимо аутентифицировать не только пользователя, но и терминал, а со стороны терминала необходимо убедиться в том, что терминальный сервер действительно тот, с которым должен работать пользователь. Это возможно только при наличии активных СЗИ и на терминале, и на сервере. Таким образом, для защиты терминальной сессии необходимо установить комплекс не только на терминальный сервер, но и на терминалы. (Более подробно об этом можно узнать на сайте протерминалы.рф)

Возможность использовать уже установленную связь (на протоколах RDP и ICA) между сервером и терминалом, а не устанавливать новую.

В течение всего сеанса работы пользователя ведется подробный журнал событий, в котором фиксируются все действия пользователя на терминальном сервере.

Программное обеспечение комплекса позволяет администратору безопасности информации описать любую не противоречивую политику безопасности на основе наиболее полного набора атрибутов:

Операции с файлами

R

разрешение на открытие файлов только для чтения

W

разрешение на открытие файлов для записи

C

разрешение на создание файлов на диске

D

разрешение на удаление файлов

N

разрешение на переименование файлов

V

видимость файлов

O

эмуляция разрешения на запись информации в открытый файл

Операции с каталогами

M

создание каталогов на диске

E

удаление каталогов на диске

G

разрешение перехода в этот каталог

n

переименование подкаталогов

S

наследование прав на все вложенные подкаталоги

1

наследование прав на 1 уровень вложенности

0

запрет наследования прав на все вложенные подкаталоги

Прочее

X

разрешение на запуск программ

Регистрация

r

регистрация в журнале операций чтения при обращении к объекту

w

регистрация в журнале операций записи при обращении к объекту

меток доступа, которые могут быть поименованы как уровни секретности либо другим, более удобным образом (количество меток допуска может достигать шестнадцати);

и параметров:

  • перечень файлов, целостность которых должна контролироваться системой и опции контроля;
  • запуск стартовой задачи (для функционально замкнутых систем); 
  • наличие, либо отсутствие привилегий супервизора; 
  • детальность журнала доступа; 
  • назначение/изменение пароля для аутентификации; 
  • временные ограничения - время по дням недели (с дискретностью 30 мин), в которое разрешено начало работ для данного субъекта; 
  • параметры управления экраном - гашение экрана через заранее определенный интервал времени (в случае, если в течение указанного интервала действия оператором не выполнялись), подача соответствующих звуковых и визуальных сигналов. 

Возможно использование вместо пароля (или одновременно с паролем) биометрической аутентификации пользователя.

Сильной стороной продукта является возможность контроля печати, как на сетевых принтерах, так и на локальных, с протоколированием вывода документов на печать и их маркировки. Данные настройки работают при печати документов из любого прикладного программного обеспечения, предусматривающего возможность вывода документа на печать (не только Microsoft Office). В качестве маркера может выступать, например, гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация.

 

acc_v5_5

 

Работа под операционными системами

Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 7

Класс защиты

до 1Б включительно

Используемые контроллеры

Аккорд-5МХ, Аккорд-5.5, Аккорд-5.5e, Аккорд-5.5МР, Аккорд-5.5МE, Аккорд-GX, Аккорд-GXМ, Аккорд-GXМН

Идентификация (тип идентификатора)

Touch memory DS-199x, ПСКЗИ ШИПКА

Аутентификация пользователя

по паролю, вводимому с клавиатуры

Сертификаты:

Сертификат ФСТЭК России №2398 на комплекс СЗИ НСД "Аккорд-Win32"

Сертификат ФСТЭК России №2400 на комплекс СЗИ НСД "Аккорд-Win64"

Дополнительные материалы:

Библиотека:

Терминальные клиенты: начала защиты

Онтология терминальных систем и защита информации в них

Защита информации в системах терминального доступа

Построение систем защиты от несанкционированного доступа к терминальным системам.

Новое решение для хорошо забытого старого

Защита виртуальных каналов в Windows 2003 Terminal Service и Citrix Metaframe XP  Защита терминальных серверов с помощью ПАК СЗИ Аккорд NT/2000 V3.0

Аппаратная защита терминальных сессий

Защищенные терминальные системы как средство выполнения требований ФЗ-152 «О персональных данных» (презентация)

Защита терминальных решений (презентация)

Документация:

Аккорд-Win32

Аккорд-Win64

Решения:

Решения актуальных типовых задач по защите информации с применением ПАК СЗИ Аккорд-Win32/64:

Защита информации в системах терминального доступа

Работа госслужащих с Интернет по Указу № 351

Экономичное внедрение защищенной терминальной системы

Защита ИСПДн К1. Терминальное решение

Галерея скриншотов:

 

 

 

Скачать лицензионный продукт ОКБ САПР

ПродуктКод вашей лицензииСкачать
ПАК Аккорд-Win32(TSE)
ПАК Аккорд-Win64(TSE)

ЦеныЦены
Прайс-лист
ЗаказатьЗаказать
Купить наши изделия
ФорумФорум
Форум на сайте ОКБ САПР
Для тех, кто не в темеДля тех, кто не в теме
Про защиту информации