Secret Disk Enterprise

Возможности Secret Disk Enterprise

Secret Disk Enterprise позволяет автоматизировать большинство стандартных операций по защите и шифрованию данных и исключить человеческий фактор при построении системы информационной безопасности компании.

• Защита системного раздела, шифрование разделов на жестких дисках, создание виртуальных зашифрованных дисков.
• Шифрование данных несколькими алгоритмами, в том числе отечественным алгоритмом шифрования ГОСТ 28147-89.
• Работа продукта не требует подготовки и специальных знаний конечного пользователя.
• Восстановление доступа к данным в случае утери/поломки электронного ключа eToken.
• Поддержка работы с зашифрованными дисками и данными вне доступа к корпоративной сети (например, в командировках).
• Аудит использования защищенных ресурсов и действий пользователей.
• Зашифрованные диски предусматривают резервное копирование сторонними продуктами без доступа к конфиденциальным данным.
• Быстрая установка и настройка клиентского программного обеспечения на рабочих местах пользователей за счет использования групповых политик Microsoft Active Directory.

Преимущества Secret Disk Enterprise

• Прозрачная работа продукта незаметна для пользователей системы.
• Поддержка нескольких алгоритмов шифрования, в том числе AES-256, Triple DES и отечественного алгоритма шифрования ГОСТ 28147-89.
• Возможность оперативного восстановления доступа к данным в случае утери или поломки пользователем электронного ключа eToken без потери информации.
• Тиражирование клиентского программного обеспечения обеспечивается средствами системы управления Secret Disk Enterprise, что существенно упрощает и ускоряет развертывание системы на предприятии.

Отличительные особенности Secret Disk Enterprise

• Безопасный доступ к информации
  Двухфакторная аутентификация: для доступа к защищенной информации Вы должны подключить свой персональный электронный ключ eToken и ввести пароль. Пользователь не может потерять доступ к данным, так как вся ключевая информация хранится централизованно.
• Защита от сбоев
  Защита от программных и аппаратных сбоев во время выполнения криптографических операций, включая перебои с электропитанием.
• Ролевая модель
  Гибко настраиваемая система ролей и полномочий позволяет адаптировать систему под организационные условия любого предприятия.
• Фоновый режим работы
  Фоновый режим выполнения криптографических операций, не требующий прекращения работы пользователя.
• Централизованное управление и мониторинг
  В системе ведется несколько журналов, по которым администратор может следить за работой пользователей, легко диагностировать нештатные ситуации и оперативно принимать необходимые меры.
• Решение для российского рынка
  Продукт полностью на русском языке и поддерживает алгоритм шифрования ГОСТ 28147-89.

Принципы работы

Концепция Secret Disk Enterprise (SDE) заключается в централизованном хранении и управлении ключами шифрования дисков, информацией о пользователях, их связях с дисками, и т. д. Все операции в SDE основаны на взаимодействии между клиентской и серверной компонентами системы.

Secret Disk Enterprise построен по технологии клиент-сервер. Клиентская часть представлена приложением Secret Disk Agent, выполняемым на рабочих станциях пользователей. Серверная часть состоит из трех основных компонентов:

• сервер бизнес-логики;
• шлюз клиентов;
• административный Web-портал.

Архитектура Secret Disk Enterprise

Сервер бизнес-логики

Сервер бизнес-логики отвечает за операции с зашифрованными дисками, сертификатами пользователей, а также управление учетными записями пользователей, лицензиями, компьютерами, выполнение функций обслуживания, и т.д.

Сервер бизнес-логики формирует для каждой клиентской рабочей станции очередь команд. Он не имеет возможности обратиться к клиентской части напрямую, поэтому все взаимодействие инициирует Secret Disk Agent через Шлюз клиентов.

Шлюз клиентов

Шлюз клиентов выполняет аутентификацию и перенаправляет запросы Secret Disk Agent серверу бизнес-логики, выполняя таким образом промежуточную роль в таких процессах, как: обмен ключевой информацией, получение клиентским программным обеспечением команд сервера, обмен служебной информацией.

Конфиденциальная информация пользователей хранится на зашифрованных дисках рабочих станций. Для зашифрования/расшифрования информации на диске используется криптокопия ключа этого диска, зашифрованная с использованием мастер-ключа базы данных.

В базе данных хранятся криптокопии мастер-ключа базы данных, поэтому, чтобы получить мастер-ключ для работы с дисками, необходимо расшифровать его криптокопию. Для этого используется утилита Мастер первоначальной настройки. Сама операция называется "подключением криптохранилища".

Административный Web-портал

Веб-портал предоставляет графический интерфейс для работы с функциями аудита и администрирования. Доступность тех или иных функций зависит от принадлежности к той или иной роли.

Мастер первоначальной настройки

Мастер первоначальной настройки позволяет устанавливать серверные компоненты SDMS, создавать базу данных, экспортировать резервную копию мастер-ключа БД и подключать криптохранилище.

Secret Disk Agent

Доступ к SDMS имеют все уполномоченные сотрудники, кроме пользователей. Функции пользователей выделены в виде приложения Secret Disk Agent, которое устанавливается на каждом клиентском компьютере. В нем пользователь может подключать и отключать диски, а все прочие функции выполняются по запросу сервера через механизм команд, которые формирует сервер для каждого клиента в виде очереди. Назначенные клиенту задачи выполняются по мере опроса клиентом сервера.

База данных SQL

Все данные, которыми оперирует система SDMS хранятся в базе данных на сервере под управлением Microsoft SQL Server 2005/2008. В базе данных хранятся сведения о файловой системе для каждого клиентского компьютера, операциях пользователя, а также сертификаты и симметричные ключи ко всем зашифрованным дискам. Ключи к зашифрованным дискам клиентов зашифрованы на мастер-ключе, который хранится на eToken Оператора.

SQL-база данных заимствует уже существующие сведения о сотрудниках организации из службы Active Directory (AD): их роли, сертификаты, криптокопии мастер-ключей, конфигурации рабочих станций. Доступ к Active Directory осуществляется только в режиме чтения, то есть никто из пользователей SDMS не может менять структуру и данные в AD.

Системные требования

Рабочие станции: Windows 7 (32- и 64-бит), Windows Vista SP2 (32- и 64-бит), Windows XP SP2 (32- и 64-бит), Windows 2000 SP4.

Сервер: Microsoft Windows Server 2008 R2, 2008 (32- и 64-бит), 2003 SP2 (32 и 64-бит).

Обязательное программное обеспечение

Для сервера бизнес-логики:

• Microsoft .NET Framework 3.5 SP1;
• PKI Client 5.1 SP1 и выше.

Для сервера шлюза клиентов:

• Microsoft IIS версии 6 и выше;
• Microsoft .NET Framework 3.5 SP1.

Для сервера административного веб-портала:

• Microsoft IIS версии 6 и выше;
• Microsoft .NET Framework 3.5 SP1;
• Браузер Internet Explorer 7.0 или более поздней версии.

Сервер базы данных: Microsoft SQL Server 2005/2008.

В составе ИТ-инфраструктуры предприятия должна быть установлена служба каталогов Active Directory.

Дополнительное программное обеспечение

Совместно с SDE может использоваться TMS, что обеспечивает удобство применения продукта. Использование TMS в организации позволяет упростить и организовать управление ключами eToken и пользовательскими сертификатами.

Электронные ключи eToken: USB-ключ или смарт-карта eToken PRO, комбинированные ключи eToken NG-FLASH или eToken NG-OTP.

Комплект поставки