“”/
актуальные новости и полезные материалы в telegram канале
 
Вход
7 февраля 2024

Статья 6. Обзор Secret Net LSP

Цикл «Знакомство с SNS и SN LSP»
Приветствуем вас во втором блоке цикла статей «Знакомство с SNS и SN LSP» на образовательном портале TS University!

Данный блок будет посвящен продукту компании Код Безопасности: Secret Net LSP (а именно его самой актуальной и сертифицированной на текущий момент версии 1.12) и он незаменим для понимания того, какие возможности предоставляет данное средство защиты.

В первой статье мы с вами рассмотрим особенности продукта и его функциональные возможности, а также затронем темы соответствия требованиям регуляторов и лицензирования.

Более подробно мы остановимся на конфигурировании и настройке механизмов защиты Secret Net LSP, а так же изучим особенности управления продуктом уже во второй статье.
Обзор Secret Net LSP 1.12
Secret Net LSP (SN LSP) является средством защиты от несанкционированного доступа для операционных систем семейства Linux и предназначено для защиты конечных точек.


Решение обеспечивает:
  • Защиту конфиденциальной информации
  • Защиту от проникновения и несанкционированных действий злоумышленника внутри системы
  • Выполнение требований по защите конечных точек
Соответствие требованиям регуляторов
Актуальная сертифицированная версия Secret Net LSP 1.12 имеет сертификаты ФСТЭК России и соответствует следующим требованиям:
  • 5 класс защищенности СВТ
  • 4 класс защиты МЭ типа «B»
  • 4 класс защиты СКН
Решение может применяться для защиты:
  • ЗОКИИ до 1 категории
  • ГИС до К1
  • ИСПДн до УЗ
  • АСУ ТП до К1 включительно
Лицензирование
Механизмы защиты системы Secret Net LSP доступны для использования при наличии соответствующих лицензий.

Лицензируются следующие механизмы:
  • Механизмы, входящие в базовую защиту (обязательная лицензия)
  • Дискреционное управление доступом
  • Контроль устройств
  • Замкнутая программная среда
  • Персональный межсетевой экран
Функциональные возможности Secret Net LSP
Механизмы защиты:
  • Идентификация и аутентификация пользователей
В Secret Net LSP реализован контроль входа пользователей в систему, включающий в себя:
  • Программные и аппаратные средства идентификации и аутентификации
  • Функции блокировки входа в систему и учетных записей пользователей
Идентификация и аутентификация выполняются при каждом входе в систему. Для предотвращения несанкционированного входа в систему предусмотрена возможность блокировки компьютера. К блокировке может привести нарушение функциональной целостности Secret Net LSP или целостности контролируемых объектов.

Также учетные записи пользователей могут блокироваться принудительно администратором или при превышении допустимого количества неуспешных попыток входа в систему. При блокировке вход будет разрешен только администратору с правами суперпользователя, он сможет разблокировать компьютер. Для обеспечения дополнительной защиты имеется возможность применения персональных идентификаторов.

Присутствует опция работы с идентификаторами iButton в совместном режиме работы с ПАК «Соболь»:
  • Разграничение доступа к файлам и папкам
    В SN LSP реализован механизм дискреционного разграничения доступа к объектам файловой системы. Предусмотрено управление правами UNIX и списками контроля доступа POSIX ACL.
  • Разграничение доступа к устройствам
    Механизм контроля устройств в SN LSP обеспечивает разграничение доступа пользователей и групп к шинам USB, SATA, сетевым интерфейсам и подключаемым к ним устройствам. Разграничение доступа к устройствам осуществляется на основе матрицы доступа, формируемой администратором. В ней определяются права пользователей и групп к зарегистрированным в системе устройствам.

    В рамках контроля и управления доступом к устройствам администратор также может изменять права пользователей, управлять режимом работы механизма и вести аудит событий, связанных с доступом к контролируемым устройствам.
  • Контроль целостности и замкнутая программная среда
    В SN LSP реализован функционал контроля целостности и восстановления.

    Объектами контроля целостности в СЗИ Secret Net LSP являются:
    • Ключевые компоненты Secret Net LSP: настройка контроля целостности (КЦ) выполняется в процессе установки ПО Secret Net LSP, постановка компонентов на КЦ осуществляется автоматически;
    • Объекты файловой системы компьютера: файлы, для которых включается КЦ определяются администратором системы
    Механизм позволяет выполнять:
    • Настройку режимов реакции на нарушение целостности объектов (восстанавливать объект из эталонного значения, блокировать вход пользователей в систему, не предпринимать никаких действий, запротоколировать изменение);
    • Настройка расписания запуска проверки целостности;
    • Поддержку полного контроля над объектами;
    • Поддержку контроля целостности в реальном времени

    В состав механизмов защиты также входит замкнутая программная среда, позволяющая ограничить использование ПО на защищаемых компьютерах, т. е. разрешать запуск только тех программ, которые будут необходимы пользователям для работы.
  • Затирание остаточной информации
    В SN LSP реализован механизм затирания для предотвращения доступа к остаточной информации. Затирание остаточной информации осуществляется при выполнении следующих операций с файлами:
    • удаление (unlink);
    • переименование в рамках перемещения (rename);
    • модификация размера файла (truncate)

    Дополнительно выполняется затирание SWAP при включении или перезагрузке операционной системы, затирание освобожденных страниц оперативной памяти, hugetlbfs и tmpfs. Предусмотрена возможность автоматического затирания остаточной информации в фоновом режиме.
  • Персональный межсетевой экран
    Механизм персонального межсетевого экранирования в SN LSP предназначен для разграничения сетевого доступа и защиты серверов и рабочих станций от несанкционированного доступа.

    Основными функциями компонента являются:
    • Контроль сетевого трафика;
    • Нейтрализация угроз, связанных с сетевым взаимодействием;
    • Разграничение сетевого доступа;
    • Контроль папок общего доступа;
    • Контроль именованных файлов/каналов;
    • Контроль использования сети приложениями;
    • Фильтрация входящих соединений с использованием данных отправителя пакетов;
    • Принудительное завершение TCP-соединений;
    • Оповещение пользователей при срабатывании правила
  • Регистрация событий. Аудит действий пользователей
    Все события, связанные с безопасностью системы, регистрируются в подсистеме журналирования, входящей в состав Secret Net LSP. На их основании формируется «Журнал событий», который состоит из системного журнала и журнала аудита.

    Системный журнал составляют сведения, собранные из всех подсистем, которые входят в Secret Net LSP. Журнал аудита содержит сведения, которые нужны для контроля действий пользователей и процессов, в него включаются события на основании заданных администратором правил. По результатам аудита доступна возможность автоматического построения отчетов. Имеется функционал по отправке администратору безопасности уведомлений на электронную почту.
    В текущей версии продукта появилась возможность отправки локальных журналов на сторонний syslog-сервер.
Преимущества продукта
  • Решение поддерживает работу в среде большого количества операционных систем:
    • Альт 8 СП;
    • Альт Рабочая станция 9.2, 10/Сервер 9.2, 10;
    • Альт Рабочая станция К 10;
    • Альт К 10;
    • Ред ОС 7.3;
    • Astra Linux Common Edition 2.12;
    • Astra Linux Special Edition 1.7;
    • CentOS 7.9, 8.5;
    • Debian 11.3;
    • Oracle Linux 8.6;
    • Red Hat Enterprise Linux 7.9, 8.5, 8.6;
    • SUSE Linux Enterprise Server 12 SP5, 15 SP3;
    • Ubuntu 18.04, 20.04, 22.04
  • SN LSP 1.12 обладает сертификатом совместимости с ОС Astra Linux
    который подтверждает работоспособность и корректность совместного функционирования с операционной системой специального назначения «Astra Linux Special Edition»
  • Поддержка средств централизованного управления Secret Net Studio
    Через сервер безопасности Secret Net Studio может осуществляться централизованное управление лицензиями, а также контроль подключаемых устройств, управление защитными подсистемами и мониторинг событий НСД.
  • Интеграция с ПАК «Соболь»
    Для SN LSP и ПАК «Соболь» используется единый идентификатор для входа и журнал событий безопасности, а также могут настраиваться единые политики безопасности
Заключение
На этом первая статья блока про SN LSP подошла к концу. В ней мы c вами подробно рассмотрели вопросы лицензирования и соответствия требованиям регуляторов, а так же представили описание механизмов защиты в составе SN LSP.

В следующей статье цикла мы более подробно рассмотрим вопросы настройки каждого из механизмов, а также более детально расскажем о развертывании и удаленном управлении SN LSP.

Оставайтесь с нами!

Авторы статьи: Николай Быстров, Влада Нестеренко
Системные инженеры TS Solution