Блокхост-МДЗ

Программный комплекс доверенной загрузки «Блокхост-МДЗ» применяется везде, где есть необходимость создания надежно защищенного доступа к рабочим станциям и серверам под управлением операционных систем Microsoft Windows 2008/2008R2/Vista/7/8/8.1/Server 2012/Linux, а также информации, хранящейся на жестких дисках и съемных носителях, не прибегая к сложным решениям с избыточным функционалом. «Блокхост-МДЗ» имеет модульную структуру и позволяет установить только самые необходимые компоненты, тем самым минимизируя затраты, связанные с защитой информации.

Программно-аппаратный комплекс «Блокхост-МДЗ» предназначен для решения следующих задач:

• двухфакторная аутентификация пользователей для усиления защиты входа на рабочую станцию до загрузки операционной системы;
• обеспечение конфиденциальности данных, хранимых на электронных носителях, путем шифрования их содержимого;
• контроль целостности файлов с заданной периодичностью;
• выполнение гарантированного удаления файлов без возможности их восстановления;
• очистка областей оперативной памяти после завершения контролируемых процессов для предотвращения считывания остаточной информации;
• сохранение конфиденциальности данных (при краже или утере носителей);
• контроль доступа пользователей к отчуждаемым носителям, оптическим приводам, WiFi и Bluetooth-адаптерам, подключаемым через USB порты.

«Блокхост-МДЗ» состоит из 7 модулей, которые могут быть использованы как единым комплексом, так и по отдельности. В их число входят модуль шифрования, модуль контроля портов, модуль контроля целостности, модуль очистки памяти, модуль гарантированного удаления.

«Блокхост-МДЗ» имеет сертификат ФСТЭК России № 2401. Наличие сертификата подтверждает, что средство защиты информации от несанкционированного доступа «Блокхост-МДЗ» обеспечивает:

• 4 уровень контроля отсутствия недекларированных возможностей в соответствии с руководящим документом «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». (Гостехкомиссия России, 1999).

Система управления предназначена для решения следующих задач: удаленное управление модулями «Блокхост-МДЗ» (контроль целостности, очистка памяти, гарантированное удаление, контроль портов) создание и распространение политик безопасности на рабочих станциях в сети, в том числе групповых настроек.

Система мониторинга обеспечивает возможность сбора данных о событиях на рабочих местах пользователей. Является syslog-сервером, на который поступают сообщения от подсистем ПАК «Блокхост-МДЗ» (например, сообщения о нарушении целостности объекта), а также — некоторые события системы управления (например, запуск и остановка служб клиентов и серверов системы управления, подключение клиентов к серверу).

Модуль шифрования выполняет следующие функции:

• шифрование разделов жесткого диска (как пользовательских, так и системного);
• шифрование отчуждаемых носителей (флэшек, внешних жестких дисков и т.д.);
• установка режима «Замок». В таком режиме осуществляется защита компьютера от несанкционированного доступа к его ресурсам, предотвращая загрузку операционной системы для пользователей, не прошедших аутентификацию;
• создание резервной копии ключевого носителя информации;
• возможность переноса информации с одного носителя на другой;
• поддержка двух типов усиленной аутентификации пользователей до загрузки операционной системы: с использованием электронного идентификатора eToken Pro/eToken NG-FLASH/NG-OTP или по паролю, вводимому пользователем;
• смена носителя ключевой информации для доступа к разделу жесткого диска. Раздел может быть как системный, так и пользовательский.

Модуль контроля целостности осуществляет периодический контроль целостности указанных файлов и содержимого каталогов на ПЭВМ. Подсистема состоит из двух отдельных модулей — под управлением ОС Windows и Linux, соответственно.

Модуль очистки памяти контролирует определенные (критические) процессы, поставленные на контроль, и после их завершения осуществляет очистку освобождаемых областей оперативной памяти ПК, ранее использованных для хранения информации ограниченного доступа, путем записи маскирующей информации в память при ее освобождении (перераспределении).

Модуль гарантированного удаления исключает считывание остаточной информации на диске после удаления файлов. Удаление файлов происходит в фоновом режиме (без блокирования работы запущенных приложений) путем трехкратного затирания их содержимого по специальному алгоритму и в соответствии с ГОСТ P 50739-95. Подсистема состоит из двух отдельных модулей, устанавливаемых по выбору пользователя:

• модуль гарантированного удаления всех удаляемых стандартным способом объектов файловой системы на ПЭВМ;
• модуль гарантированного удаления выбранных по требованию пользователя объектов файловой системы.

Модуль контроля портов

Модуль контроля портов предназначен для решения следующих задач:

1. Контроль доступа пользователей: к USB, FireWire, инфракрасным, COM- и LPT-портам к дисководам, CD/DVD-ROM, WiFi и Bluetooth-адаптерам и другим устройствам к устройствам типа iPhone, BlackBerry, а также к устройствам, работающим под управлением ОС Palm OS, Android и Windows Mobile к буферу обмена Windows
2. Протоколирование (аудит) использования устройств на компьютере.

Входными данными модуля контроля портов является список пользователей и соответствующие им права на доступ и аудит доступа к различным типам устройств, а также общие настройки аудита и настройки безопасности, применяемые к рабочей станции. Выходными данными модуля контроля портов является информация о разрешенных/запрещенных попытках доступа пользователей к устройствам. Поставляется в составе системы управления «Блокхост-МДЗ».