Облачная подпись – блокхост эцп скачать

Введение

Защита рабочих станций и серверов от несанкционированного доступа (НСД) является базисом при обеспечении информационной безопасности инфраструктуры компании. Угрозы НСД ведут к утечкам конфиденциальных данных и утрате их целостности, что в свою очередь приводит к целому ряду негативных последствий для организации: от репутационного ущерба и финансовых потерь до приостановки бизнес-процессов.

Кроме того, если компания работает с информацией ограниченного доступа, например с  персональными данными или гостайной, то неизбежно сталкивается с многочисленными требованиями ФСТЭК России и ФСБ России. Например, ФСТЭК России включает требования к защите рабочих станций и серверов в обязательные для исполнения в приказы:

№21 о защите персональных данных, №17 о защите государственных информационных систем (ГИС), руководящие документы по защите автоматизированных систем. Невыполнение этих требований приводит к нежелательным санкциям: это могут быть как значительные штрафы, так и полная остановка деятельности компании по требованию регулятора.

Для защиты серверов и рабочих станций по требованию регуляторов используются специализированные наложенные средства защиты информации (сокращенно СЗИ от НСД). Сегодня на российском рынке информационной безопасности представлено большое количество СЗИ от НСД.

На нашем сайте уже публиковался «Обзор сертифицированных средств защиты информации от несанкционированного доступа (СЗИ от НСД)». В этом обзоре мы расскажем о подробно о продукте в линейке средств защиты информации компании «Газинформсервис» — «Блокхост-Сеть 2.0».

Архитектура «блокхост-сеть 2.0» и механизмы защиты

СЗИ от НСД «Блокхост-Сеть 2.0» состоит из клиентской и серверной части.

Клиентская часть обеспечивает защиту рабочей станции от НСД к информации и может работать как на автономной рабочей станции, так и на рабочей станции в составе сети. Настройка клиентской части может быть выполнена через локальную или серверную консоль администрирования СЗИ «Блокхост-Сеть 2.0».

Рисунок 1. Локальная консоль администратора безопасности «Блокхост-Сеть 2.0»

Серверная часть СЗИ «Блокхост-Сеть2.0» выполняет функции централизованного управления удаленными рабочими станциями:

  • удаленное администрирование клиентской части СЗИ «Блокхост-Сеть 2.0» на рабочих станциях (объединенных в одноранговую или доменную сеть);
  • удаленное ведение оперативного контроля.

Рисунок 2. Серверная консоль администрирования СЗИ «Блокхост-Сеть 2.0»

В рамках клиентской части реализованы базовые механизмы защиты операционной системы. К ним относятся:

  • двухфакторная аутентификация администратора безопасности и пользователей с применением персональных идентификаторов;
  • дискреционный и мандатный механизмы разграничения доступа к информационным ресурсам в соответствии с заданными параметрами безопасности, в том числе по времени;
  • контроль целостности системного, прикладного программного обеспечения и информационных ресурсов АРМ с возможностью восстановления из резервной копии;
  • очистка областей оперативной памяти после завершения работы контролируемых процессов, что предотвращает считывание информации ограниченного доступа;
  • гарантированное удаление файлов и папок, что исключает возможность восстановления;
  • контроль вывода информации на печать и маркировка документов;
  • контроль использования отчуждаемых физических носителей при помощи формирования черных и белых списков устройств;
  • формирование замкнутой программной среды путем разрешения прав на запуск только указанных процессов и приложений;
  • персональный межсетевой экран (контроль доступа к сетевым ресурсам и фильтрация сетевого трафика);
  • защита от изменения и удаления СЗИ «Блокхост-Сеть 2.0».

Групповое управление параметрами безопасности в «блокхост-сеть 2.0»

Начиная со сборки 2.2.16.1038 в серверной консоли «Блокхост-Сеть 2.0» появились механизмы, позволяющие производить групповую настройку любых параметров безопасности СЗИ. Таких механизмов два: настройки параметров безопасности рабочей станции и настройки параметров ее пользователей.

Рисунок 7. Управление настройками группы в серверной консоли «Блокхост–Сеть 2.0»

Настройки пользовательских механизмов «Блокхост-Сеть 2.0» (контроль печати, дискреционный доступ, аутентификация, контроль портов, контроль процессов, полномочия администрирования) привязаны к доменным группам пользователей, настройки остальных механизмов задаются для всей станции.

Групповая настройка параметров производится в группах машин с помощью серверной консоли «Блокхост-Сеть 2.0». Настраивая параметры верхней группы, можно определять политику безопасности для всех вложенных групп и станций.  В «Блокхост-Сеть 2.0» предусмотрена визуализация результирующей политики по любому механизму СЗИ на рабочих станциях до применения настройки. Групповые настройки параметров можно производить в том числе и по иерархии серверов.

Группа пользователей Active Directory с привязанными к ней настройками пользовательских механизмов «Блокхост-Сеть 2.0» называется «Политика групп пользователей» (сокращенно — ПГП). Один и тот же пользователь может входить в несколько групп одновременно, и на него будет распространятся действие нескольких ПГП. При этом заданные настройки буду браться из группы, обладающей наибольшим приоритетом.

Политики могут распространятся в двух режимах: «Задано» и «Замок».  В режиме «Задано» настройки можно переопределить на любом нижнем уровне иерархии, так как они будут открыты для редактирования.  Если у группы или сервера, где было выполнено переопределение, есть свои дочерние группы или сервера, то на них будут распространяться уже переопределенные настройки.

Если администратор безопасности хочет распространить по иерархии настройки без возможности их переопределения на уровнях ниже, то следует использовать так называемый режим «Замок».  При этом администраторы нижних уровней иерархии не смогут отказаться или видоизменить параметры политик.

Назначение

«Блокхост-Сеть 3» предназначен для защиты информации:

«Блокхост-Сеть 3» выполняет следующие функции защиты:

Работа с «блокхост-сеть 2.0»

Подробно останавливаться на настройке всех реализованных механизмов защиты мы не будем. Описание всех возможностей СЗИ «Блокхост-Сеть 2.0» можно найти в «Руководстве администратора» на странице продукта. Расскажем лишь о некоторых наиболее интересных на наш взгляд функциях — централизованное развертывание системы, централизованное управление токенами с помощью панели администратора и групповое управление параметрами безопасности.

Система шифрования и создания эцп «блокхост-эцп»

Программный комплекс «Блокхост-ЭЦП» предназначен для обеспечения конфиденциальности хранимых и передаваемых данных в виде файлов различных типов путем их шифрования, а также реализации принципа неотказуемости от содержания хранимого или передаваемого документа путем создания для этого документа ЭЦП.

Программный комплекс «Блокхост-ЭЦП» при выполнении функций шифрования и создания ЭЦП может использовать как встроенные в ОС Windows криптографические средства, так и сертифицированные криптосредства отечественной разработки (Крипто Про CSP).

ПК «Блокхост-ЭЦП» выполняет функции создания, добавления, координирования и проверки ЭЦП, шифрования и расшифрования файла, управления сертификатами, настройками и лицензиями, универсальные операции создания ЭЦП и шифрования, расшифрования и проверки ЭЦП. Данные функции реализуются путем взаимодействия модулей специализированного программного обеспечения (СПО).

Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки и полученный в результате криптографического преобразования информации с использованием закрытого ключа. С помощью ЭЦП можно идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Для создания ЭЦП должен быть осуществлен выбор сертификата открытого ключа, требуемый алгоритм и параметры создания ЭЦП, такие как отделенная или совмещенная ЭЦП, добавление сертификата подписывающего лица в подпись, добавление времени создания ЭЦП по локальным часам, добавление штампа времени, создание усовершенствованной ЭЦП и выбор формата файла на выходе.

Процесс создания усовершенствованной ЭЦП делится на следующие этапы:

  • — создание ЭЦП;
  • — получение штампа времени на документ и ЭЦП;
  • — сбор доказательств подлинности ЭЦП и присоединение их хэш-кодов к подписанному документу;
  • — получение штампа времени на набор ссылок для доказательства подлинности.

Под добавленной ЭЦП понимается электронная цифровая подпись, заверяющая документ, который был заверен ЭЦП другого пользователя. Добавленная ЭЦП необходима для того, чтобы подписанный документ можно было отредактировать и заново подписать, подтвердив своей ЭЦП внесенные изменения.

Добавление подписи эквивалентно созданию, за тем лишь исключением, что тип добавляемой ЭЦП должен совпадать с типом подписей, содержащихся в файле. Добавление ЭЦП возможно лишь на подписанных ранее файлах.

Функция координирования ЭЦП позволяет формировать заверяющую ЭЦП. С помощью этого можно заверить ЭЦП другого пользователя, сформировав ЭЦП на значении ЭЦП другого пользователя, тем самым косвенно подписывая сами данные. Перед созданием заверяющей подписи производится проверка ЭЦП, чтобы было достоверно известно, какие подписи уже существуют в документе, их статус.

Координирование ЭЦП возможно лишь на подписанных ранее файлах.

Проверка ЭЦП подразумевает подтверждение подлинности электронной цифровой подписи в электронном документе, то есть:

  • — принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи;
  • — отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
  • — подтверждение момента подписи;
  • — подтверждение действительности сертификата ключа подписи на момент создания ЭЦП.

Проверка ЭЦП происходит в автоматическом режиме. Проверка усовершенствованной ЭЦП файла с отделенной подписью — проверка корректности самого файла подписи.

Шифрование производится на открытом ключе, содержащемся в сертификате. Закрытый ключ есть только у владельца использованного сертификата открытого ключа. Таким образом, при шифровании файла никто, кроме владельца закрытого ключа, не сможет расшифровать файл.

ПК «Блокхост-ЭЦП» может производить шифрование файла сразу для нескольких будущих получателей файла. Для каждого сертификата получателей пользователь может просмотреть статус, чтобы на его основании сделать вывод о пригодности данного сертификата к шифрованию. Так же, благодаря возможности гарантированного удаления файла после шифрования, есть возможность сохранения полной секретности содержимого документа. Необходимо заметить, что файл подкачки ОС Windows может хранить в себе остатки содержимого файла, но без знания примерного содержимого файла найти их не представляется возможным.

Операция расшифровывания происходит в автоматическом режиме. При получении зашифрованного документа, если есть закрытый ключ, связанный с одним из открытых ключей, на которых производилось шифрование файла, расшифровывание пройдет успешно. Если существуют несколько закрытых ключей, которым соответствуют несколько открытых ключей, участвующих при шифровании, то расшифровывание произойдет на первом из закрытых ключей. После расшифровывания можно получить информацию о том, на каком сертификате была произведена операция расшифровывания.

Программный комплекс предоставляет возможность создания ЭЦП и шифрования в одну операцию. Все действия, выполняемые при этом, аналогичны одиночным операциям создания ЭЦП и шифрования. Таким образом, соблюдается требование удобного интерфейса.

Функциональность проверки идентична отдельным проверкам — вначале расшифровывание, потом проверка ЭЦП. При этом можно просмотреть сертификат открытого ключа, на связанном с которым закрытом ключе файл был расшифрован, для проверки ЭЦП — все сертификаты подписи, их статусы.

ПК «Блокхост-ЭЦП» позволяет работать с системными хранилищами сертификатов. Существуют возможности копирования сертификатов, списков сертификации удостоверяющего центра и списков отзыва сертификатов с локального диска в хранилище сертификатов и обратно, удаления сертификатов, а также просмотра хранилища сертификатов

ПК «Блокхост-ЭЦП» предоставляет возможность создать настройки для всех типовых операций. Для каждой ситуации можно настроить профиль работы программы: выбрать криптопровайдер, сертификаты, тип криптографических алгоритмов, установить конкретных получателей данных. Благодаря настройкам возможна автоматизация всех операций — выполнение любой операции за один клик мыши.

Читайте также:  Джакарта ЕГАИС обзор ключа jacarta SE 2.0

Программный комплекс «Блокхост-ЭЦП» работает под управлением ОС Windows 2000/ХР/2003 на базе компьютера с процессором семейства Intel х86 (или совместимого с ним). Дополнительно на компьютере должны быть установлены программные продукты для реализации технологий NET, COM, ATL, MFC.

Ядром комплекса является графическая оболочка пользователя. Она выступает связующим звеном между всеми модулями.

Криптографический модуль GIS.Cryptography.dll обеспечивает реализацию создания и проверки ЭЦП, шифрования и расшифровывания, отправки и получения запросов по сети для получения штампов времени и OCSP-ответов, получение некоторой дополнительной информации о сертификатах, например, адреса OCSP служб, диалоги импорта и экспорта сертификатов.

Функциональная схема программного комплекса «Блокхост-ЭЦП»

Рис. 2.22. Функциональная схема программного комплекса «Блокхост-ЭЦП»

Модуль Crypto.dll позволяет создавать TSP и OCSP-запросы, которые отправляются соответствующим службам в сеть. Благодаря анализатору синтаксиса ASN.1, в нем реализована возможность создания усовершенстваванный ЭЦП (УЭЦП).

GIS.Extension.dll регистрируется в системе и встраивается в графическую оболочку ОС. Все вызовы графической оболочки происходят через данное расширение — в оболочку передаются параметры запуска и обрабатываемые файлы.

GISOfficeplugin.dll после встраивания в MS Office так же позволяет запускать графическую оболочку. Возможные параметры запуска — создание ЭЦП, шифрование и универсальная операция (создание ЭЦП и шифрование).

Функциональная схема программного комплекса «Блокхост- ЭЦП» представлена на рис. 2.22.

Система шифрования электронной подписи «блокхост-эцп»

Система шифрования и создания электронной подписи «Блокхост-ЭЦП»выполняет операции шифрования и создания электронной подписи файловых объектов (аналог собственноручной подписи человека в электронном виде) на платформе MS Windows, с использованием сертифицированного криптопровайдера КриптоПро CSP. Дополнительно поддерживается работа и с другими встроенными в ОС MS Windows криптопровайдерами.

Электронная подпись (ЭП)—один из реквизитов электронного документа. Сама по себе, ЭП – механизм обеспечения целостности и подтверждения авторства и актуальности любых данных, представленных в электронном виде. В последнее время ЭП получает все большее распространение в отечественных корпоративных информационных системах.

Системные требования и поддерживаемые технологии

Минимальные системные требования «Блокхост-Сеть 2.0» приведены в таблице ниже:

Таблица 1. Минимальные системные требования «Блокхост-Сеть 2.0»

ХарактеристикаКлиентская часть «Блокхост-Сеть 2.0»Серверная часть «Блокхост-Сеть 2.0»
Поддерживаемые ОСWindows Server 2008R2, Windows Vista, Windows 7,  Windows 8/8.1, Windows 10, Windows Server 2021/2021R2, Windows Server 2021Windows Server 2008R2,Windows Server 2021/2021R2, Windows Server 2021
Аппаратные характеристикиМинимальные требования к производительности АРМ и серверов обусловлены требованиями используемых операционных систем
Дополнительные программные модули.NET Framework 3.5.NET Framework 4.0 с обновлением NDP40-KB2468871 или вышеДрайверы для работы со смарт-картами
Поддерживаемые ключевые носители/смарт-картыeToken,SafeNet,ruToken,JaCarta,ESMART Token,Avest,USB-накопители,дискеты 3,5”,персональный идентификатор пользователя в реестре Windows

Соответствие требованиям регуляторов

«Блокхост-Сеть 2.0» сертифицировано ФСТЭК России (сертификат № 3740 от 30 ноября 2021 года) на соответствие требованиям:

  • 3 класс защищенности в соответствии с руководящим документом «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», (Гостехкомиссия России, 1992).
  • 2 уровень контроля отсутствия недекларированных возможностей в соответствии с руководящим документом «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». (Гостехкомиссия России, 1999).
  • 4 класс защищенности в соответствии с руководящим документом «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1997).

Таким образом, «Блокхост-Сеть 2.0» может использоваться для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (государственная тайна с грифом «Совершенно секретно»).

Список поддерживаемых ключевых носителей при двухфакторной аутентификации:

eTokeneToken Pro, eToken Pro (Java), eToken ГОСТ, eToken NG-FLASH, eToken NG-FLASH (Java), eToken NG-OTP, eToken NG-OTP (Java), eToken GT (Java), eToken PRO (Java) SC, eToken PRO SC
SafeNetSafeNet eToken 5100, SafeNet eToken 5105, SafeNet eToken 5200, SafeNet eToken 5205, SafeNet eToken 7200, SafeNet eToken 7300, SafeNet eToken 4100
ruTokenruToken, ruToken S, ruToken Lite; ruToken ЭЦП
JaCartaJaCarta PRO, JaCarta ГОСТ, JaCarta PKI, JaCarta LT, JaCarta-2 nano ГОСТ JC-006, смарт-карта JaCarta-2 PRO/ГОСТ 334, смарт-карта JaCarta-2 ГОСТ JC-306, USB JaCarta-2 PRO/ГОСТ 234, USB JaCarta-2 ГОСТ 206
ESMART TokenESMART Token (USB-ключ и смарт-карта)
AvestAvest Token (AvBign)
ДругоеUSB-накопители, дискеты 3,5”, персональный идентификатор пользователя в реестре Windows

Средство защиты информации от несанкционированного доступа «блокхост-сеть к» система развертывания. руководство администратора безопасности — pdf free download

1 Средство защиты информации от несанкционированного доступа «Блокхост-сеть К» Система развертывания безопасности

2 Аннотация Настоящее руководство предназначено для администраторов средства защиты информации от несанкционированного доступа «Блокхост-сеть К» (далее по тексту СЗИ «Блокхост-сеть К») и содержит описание работы с системой развертывания СЗИ «Блокхост-сеть К». 2 Список сокращений SMS Systems Management Server АРМ автоматизированное рабочее место НСД несанкционированный доступ ОС операционная система ПК персональный компьютер ПО программное обеспечение СЗИ средство защиты информации СР система развертывания Знаки, расположенные на полях руководства, указывают на примечания. Степени важности примечаний: Важная информация Дополнительная информация, примеры

3 Содержание 3 1. Подготовка к установке системы развертывания СЗИ «Блокхост-сеть К» Установка и удаление системы развертывания СЗИ «Блокхост-сеть К» Установка агента системы развертывания GIS.BHAgent_K.msi Установка консоли управления системы развертывания GIS.DeploymentConsole_K.msi Удаление системы развертывания Развертывание СЗИ «Блокхост-сеть К» Ввод лицензии Поиск машин в домене Опрос добавленных рабочих станций Добавление пользователей на рабочие станции Удаленная установка клиентской части СЗИ «Блокхост-сеть К» Перезагрузка удаленных рабочих станций Проверка установки СЗИ «Блокхост-сеть К» Перезапуск служб Удаление СЗИ «Блокхост-сеть К» с защищаемых рабочих станций… 18

4 1. ПОДГОТОВКА К УСТАНОВКЕ СИСТЕМЫ РАЗВЕРТЫВАНИЯ СЗИ «БЛОКХОСТ-СЕТЬ К» Система развертывания СЗИ «Блокхост-сеть К» позволяет выполнять удаленную установку клиентских частей СЗИ «Блокхост-сеть К» на рабочие станции с сервера безопасности. На сервера безопасности должна быть установлена ОС Windows Server 2003/2008R2. На сервере безопасности и на клиентских рабочих станциях, куда планируется удаленная установка СЗИ «Блокхост-сеть К, должны быть открыты TCP порты и соответственно. При установке клиентских частей СЗИ «Блокхост-сеть К» с помощью системы развертывания сервер безопасности (АРМ администратора безопасности) и удаленные рабочие станции, на которых будет выполняться установка клиентских частей СЗИ, должны находиться в контролируемой зоне. Перед установкой СР СЗИ «Блокхост-сеть К» необходимо: 1) установить клиентскую и серверную части СЗИ «Блокхост-сеть К» на сервер безопасности в соответствии с документами «СЗИ «Блокхост-сеть К» (клиентская часть). Руководство по установке» и «СЗИ «Блокхост-сеть К» (серверная часть). Руководство по установке». 2) добавить сервер безопасности в список контролируемых рабочих станций серверной консоли СЗИ. Для этого на сервере безопасности выполнить экспорт и импорт сетевых настроек в соответствии с пунктами 3.3.2, документа «СЗИ «Блокхост-сеть К». безопасности», после чего перезагрузить АРМ администратора безопасности. Примечание: Если СЗИ «Блокхост-сеть К» установлена на контроллер домена, то удаленные рабочие станции должны быть добавлены в сетевые пользователи сервера безопасности (см. подробно пункты 5.2.1, документа «СЗИ «Блокхост-сеть К». безопасности»); 3) установить дополнительное ПО на удаленные рабочие станций, куда планируется установка СЗИ «Блокхост-сеть К»:.Net Framework 2.0, драйверы для устройств etoken/safenet etoken/rutoken/jacarta PRO. Для ОС Windows 7/2008R2/8/8.1/2020/2020R2 при необходимости включить платформу Microsoft.NetFramework 3.5. Подробный перечень дополнительного ПО приведен в документе «СЗИ «Блокхост-сеть К». Руководство по инсталляции. Клиентская часть». 4) отключить брандмауэр Windows или другие сетевые экраны на защищаемых рабочих станциях В ОС Windows 8/8.1/ R2 необходимо отключить встроенный антивирус Windows Defender. 4

5 5 2. УСТАНОВКА И УДАЛЕНИЕ СИСТЕМЫ РАЗВЕРТЫВАНИЯ СЗИ «БЛОКХОСТ-СЕТЬ К» Система развертывания СЗИ «Блокхост-сеть К» включает в себя два дистрибутива, поставляемых в виде файлов инсталлятора Microsoft Windows Installer: агент системы развертывания GIS.BHAgent_K.msi; консоль управления системы развертывания GIS.DeploymentConsole_K.msi Установка агента системы развертывания GIS.BHAgent_K.msi Агент системы развертывания осуществляет взаимодействие между сервером администратора безопасности и удаленной рабочей станцией. Агент системы развертывания GIS.BHAgent_K.msi устанавливается на удаленных рабочих станциях, куда планируется установить СЗИ «Блокхост-сеть К». Агент системы развертывания может быть установлен различными способами: вручную на удаленной рабочей станции; с использованием Active Directory; с использованием SMS; с использованием других программных средств, позволяющих устанавливать файлы с расширением.msi (например, антивирус Касперского и др). Примечание: перед началом установки необходимо убедиться в отсутствии на удаленных рабочих станциях папки С:BlockHost. Далее приведена последовательность ручной установки агента системы развертывания GIS.BHAgent_K.msi на удаленной рабочей станции. Для установки агента системы развертывания необходимо дважды щелкнуть по файлу GIS.BHAgent_K.msi левой кнопкой мыши и, следуя указаниям программы установки, произвести установку агента системы развертывания. Если установка прошла корректно, в списке служб удаленной рабочей станции появится служба GIS.Update.Service (рис. 2.1). Рис Появление службы GIS.Update.Service после установки

6 2.2. Установка консоли управления системы развертывания GIS.DeploymentConsole_K.msi Консоль управления системы развертывания GIS.DeploymentConsole_K.msi позволяет управлять процессом развертывания СЗИ «Блокхост-сеть К» в сети и устанавливается на сервер безопасности, на котором уже установлены клиентская и серверная части СЗИ «Блокхост-сеть К». Перед началом установки консоли управления системы развертывания необходимо загрузить ОС под встроенной учетной записью администратора ОС (домена) с предъявлением персонального идентификатора АБ, указанного при установке клиентской и серверной частей СЗИ «Блокхост-сеть К». Для начала установки консоли управления системы развертывания необходимо дважды щелкнуть по файлу GIS.DeploymentConsole_K.msi левой кнопкой мыши и, следуя указаниям программы установки, произвести установку консоли управления системы развертывания. Консоль управления можно запустить через пункт меню «Пуск» «GIS.UpdateConsole.exe». Далее можно приступить к развертыванию СЗИ «Блокхост-сеть К» на удаленных рабочих станциях Удаление системы развертывания При необходимости удалить систему развертывания это можно сделать следующим образом: 1) для удаления агента системы развертывания в списке установленных программ удаленной рабочей станции выбрать GIS.BHAgent и нажать «Удалить»; 2) для удаления консоли управления системы развертывания в списке установленных программ сервера безопасности выбрать GIS.DeploymentConsole и нажать «Удалить».

7 7 3. РАЗВЕРТЫВАНИЕ СЗИ «БЛОКХОСТ-СЕТЬ К» Для запуска консоли управления СР СЗИ «Блокхост-сеть К» необходимо выбрать в меню «Пуск» пункт «Все программы» «GIS.UpdateConsole.exe» (рис. 3.1). Рис Запуск консоли управления СР СЗИ «Блокхост-сеть К» из меню «Пуск» Консоль управления системы управления имеет вид, приведенный на рисунке 3.2. По щелчку левой кнопки мыши по пункту «Корень» отображаются поля, содержащие информацию о сетевых настройках, необходимых для подключения удаленных рабочих станций к серверной консоли СЗИ «Блокхост-сеть К». Изменять сетевые настройки не следует. В нижнем правом поле отображаются информационные сообщения в процессе развертывании СЗИ «Блокхост-сеть К», удалить их можно, нажав кнопку «Очистить». Рис Консоль управления системы развертывания СЗИ «Блокхост-сеть К» Развертывание СЗИ «Блокхост-сеть К» состоит из следующих шагов: 1. Ввод лицензии; 2. Поиск машин в домене; 3. Опрос рабочих станций; 4. Добавление пользователей на рабочие станции; 5. Удаленная установка; 6. Перезагрузка защищаемых рабочих станций; 7. Проверка установки; 8. Перезапуск служб.

Читайте также:  Хранение электронных документов: способы, требования, сроки и решения

8 Данные шаги доступны из контекстного меню пункта «Корень» (рис. 3.3). Добавление пользователей на рабочие станции доступно после выполнения пункта «Опрос рабочих станций». 8 Рис Контекстное меню пункта «Корень» Не рекомендуется закрывать консоль управления до завершения настройки в рамках одной сессии развертывания. В противном случае необходимо будет повторить шаги настройки, начиная с 3 шага Ввод лицензии При выборе пункта контекстного меню «Ввести код лицензии» (рис. 3.3) появится окно ввода лицензий (рис. 3.4). Рис Окно ввода лицензии По умолчанию введенные лицензии применятся ко всем рабочим станциям, на которые будет удаленно устанавливаться СЗИ «Блокхост-сеть К» в рамках данной сессии развертывания. После ввода локальной и сетевой лицензий необходимо нажать «ОК». Появится сообщение об успешном сохранении лицензионного кода (рис. 3.5). Рис Сообщение об успешном сохранении лицензионного кода

9 3.2. Поиск машин в домене 9 Далее необходимо определить рабочие станции, на которые в рамках данной сессии развертывания будет удаленно установлено СЗИ «Блокхост-сеть К». Для этого в контекстном меню пункта «Корень» (рис. 3.3) необходимо выбрать пункт «Поиск машин в домене». Появится окно со списком доменов, в котором нужно выбрать полное имя домена, на рабочие станции которого будет производиться установка, и нажать «ОК» (в примере на рисунке 3.6 «TEST.BH»). Рис Выбор домена После выбора домена появится окно доменной аутентификации (рис. 3.7), в котором необходимо ввести данные любого доменного пользователя (в частности администратора домена) и нажать «ОК». Рис Окно доменной аутентификации пользователя После аутентификации в домене появится окно «Поиск в домене». В нем следует выбрать контейнер (в примере на рисунке «Computers»), содержащий контролируемые рабочие станции, при помощи кнопок управления (, ) добавить необходимые рабочие станции и нажать кнопку «ОК».

10 10 Рис Окно «Поиск в домене» с выбранным пунктом «Computers» Добавленные станции отобразятся во вкладке «Корень» (рис. 3.9) и будут отмечены красным цветом (т.е. настройки с этих рабочих станций не получены). Рис Добавленные из домена рабочие станции В рамках одной сессии развертывания рекомендуется добавлять не более 20 рабочих станций Опрос добавленных рабочих станций Далее необходимо получить настройки с добавленных рабочих станций, которые предоставит ранее установленный на удаленных машинах агент системы развертывания GIS.BHAgent_K.msi. Для получения настроек в контекстном меню пункта «Корень» (рис. 3.3) необходимо выбрать пункт «Опросить станции». После получения настроек рабочие станции в списке изменят значок с красного на синий, а в правом нижнем углу консоли управления отобразится сообщение об успешной загрузке данных с рабочих станций (рис. 3.10). Удаленная рабочая станция должна быть включена в этот момент.

11 11 Рис Получение настроек с рабочих станций Если цвет значка не изменился на синий, возможна одна из следующих причин: на удаленных рабочих станциях не доступен TCP порт; на удаленных рабочих станциях включен брандмауэр Windows или другой сетевой экран; DNS не работоспособна; между удаленными рабочими станциями и сервером безопасности отсутствует соединение по сети; удаленная рабочая станция выключена; на удаленной рабочей станции не запущена служба GIS.Update.Service; в поле «Домен» выбрано короткое имя домена Добавление пользователей на рабочие станции Следующим шагом является добавление доменного пользователя на удаленную рабочую станцию, чтобы на нее можно было осуществить вход после установки СЗИ «Блокхост-сеть К». Следует добавить пользователя, который в дальнейшем будет работать за выбранным удаленным компьютером. Также на удаленную рабочую станцию рекомендуется добавить учетную запись встроенного в ОС администратора (она появится автоматически в выпадающем списке) (рис. 3.14). Это необходимо сделать, чтобы можно было войти на удаленную рабочую станцию, например, в случае утери пользователем своего персонального идентификатора. Для каждой рабочей станции из списка процедура добавления повторяется заново. Для добавления на выбранную рабочую станцию учетной записи пользователя и встроенного администратора следует: 1) подключить к серверу безопасности персональный идентификатор, который будет сопоставлен добавляемому пользователю. На этом же шаге следует подключить к серверу безопасности электронный идентификатор, который будет сопоставлен встроенному администратору (рекомендуется использовать флешку); 2) в консоли управления СР выбрать пункт «Корень <Имя_Рабочей_Станции> Пользователи», щелкнуть по нему правой кнопкой мыши и выбрать пункт «Добавить».

12 12 Появится окно доменной аутентификации с сохраненными данными, в нем нужно нажать «ОК» (рис. 3.11). Рис Окно доменной аутентификации с сохраненными данными 3) в появившемся окне «Поиск в домене» следует выбрать контейнер, содержащий необходимую учетную запись доменного пользователя (в примере на рисунке 3.12 «Users»), при помощи кнопок управления (, ) добавить ее и нажать кнопку «ОК»; Рис Окно «Поиск в домене» с выбранным пунктом «Users» 4) в появившемся окне «Добавить пользователя» (рис. 3.13) следует указать учетную запись доменного пользователя, выбрать в списке персональный идентификатор пользователя, ввести его PIN-код и повтор PIN-кода и нажать кнопку подтверждения. Появится сообщение об успешном добавлении пользователя, а добавленный пользователь отобразится в консоли управления системы развертывания. Указанный носитель впоследствии должен быть передан пользователю.

13 13 Рис Добавление учетной записи пользователя удаленной рабочей станции 5) добавить в СЗИ учетную запись встроенного в ОС администратора удаленной рабочей станции. Для этого в окне «Добавить пользователя» (рис. 3.14) следует выбрать учетную запись встроенного администратора (она появляется в выпадающем списке автоматически), выбрать персональный идентификатор администратора, который был подключен ранее, (см. перечисление 1), ввести PIN-код идентификатора, повторить PIN-код и нажать кнопку подтверждения. Появится сообщение об успешном добавлении пользователя, а добавленный пользователь отобразится в консоли управления. После этого окно «Добавить пользователя» можно закрыть. Рис Добавление учетной записи встроенного в ОС администратора удаленной рабочей станции

14 1. Добавление учетных записей пользователя и встроенного в ОС администратора необходимо выполнить отдельно для каждой удаленной рабочей станции. 2. Для удобства работы учетные записи встроенных в ОС администраторов на различных рабочих станциях могут быть созданы с использованием одной и той же флешки Удаленная установка клиентской части СЗИ «Блокхост-сеть К» Следующим шагом является удаленная установка СЗИ клиентской части СЗИ «Блокхост-сеть К» на удаленные рабочие станции. Для установки в контекстном меню пункта «Корень» (рис. 3.3) следует выбрать пункт «Произвести установку». При необходимости следует подтвердить введенные ранее коды, нажав кнопку «Сохранить». Введенные лицензии можно изменить, после чего также следует нажать «Сохранить». Начнется процесс удаленной установки СЗИ. Удаленная установка будет произведена одновременно на все добавленные в консоль управления рабочие станции с указанной ранее лицензией (см. п. 3.1 настоящего документа). Если для каких-либо рабочих станций лицензионные данные нужно изменить, перед началом установки следует выбрать пункт «Корень <Имя_Рабочей_Станции>. В консоли управления СР отобразятся добавленные лицензии (рис. 3.15), в которые следует внести необходимые изменения и нажать кнопку «Сохранить». Рис Данные лицензии для рабочей станции После выбора пункта «Произвести установку» начнется установка СЗИ на рабочие станции. Для пользователей, работающих в данный момент на удаленных рабочих станциях, установка пройдет незаметно, без появления каких-либо окон или сообщений. После завершения установки в консоли управления появится соответствующее сообщение (рис. 3.16):

15 15 Рис Сообщение об успешном завершении установки 3.6. Перезагрузка удаленных рабочих станций После установки СЗИ «Блокхост-сеть К» удаленные рабочие станции необходимо перезагрузить. Перезагрузку можно выполнить следующими способами: 1) перзагрузить все рабочие станции одновременно. Для этого нужно выбрать в контекстном меню пункта «Корень» (рис. 3.3) пункт «Перезагрузить станции»; 2) перезагрузить выбранную рабочую станцию. Для этого нужно выбрать пункт «Корень <Имя_Рабочей_Станции>, щелкнуть по нему правой кнопкой мыши и в контекстном меню нажать «Перезагрузить» (рис. 3.17). Рис Перезагрузка выбранной рабочей станции После перезагрузки ОС на удаленной рабочей станции появится окно авторизации СЗИ «Блокхост-сеть К». Следует учесть, что перезагрузка ОС начнется без каких-либо предупреждений для пользователя и несохраненные данные в этом случае могут быть потеряны. Чтобы этого избежать, можно дождаться, когда пользователь сам завершит работу ПК (например, в конце рабочего дня), и при последующей загрузке ОС появится окно авторизации СЗИ «Блокхост-сеть К» Проверка установки СЗИ «Блокхост-сеть К» При необходимости можно проверить установку клиентской части СЗИ «Блокхост-сеть К» на удаленной рабочей станции, для этого нужно воспользоваться пунктом «Проверить установку» в контекстном меню пункта «Корень» (рис. 3.18). Результаты проверки отобразятся в правом нижнем углу консоли управления (рис. 3.18).

16 Перезапуск служб Рис Проверка установки СЗИ «Блокхост-сеть К» Последним шагом является выполнение пункта «Перезапустить службы» из контекстного меню пункта «Корень» (рис. 3.3). При выборе этого пункта на сервере безопасности произойдет перезапуск службы и GIS.Server.NetworkServer.exe. Этот пункт желательно выполнить уже после того, как пользователь (или встроенный в ОС администратор) войдет на удаленную рабочую станцию после установки на нее СЗИ, в этом случае контролируемые рабочие станции отобразятся в серверной конcоли администрирования СЗИ как доступные для удаленного администрирования (со значком ). Далее управление данными рабочими станциями должно осуществляться администратором безопасности с использованием серверной консоли администрирования СЗИ. Если рабочие станции не отобразились как доступные по сети, можно перезапустить вышеуказанную службу на сервере безопасности вручную. После окончания данной сессии развертывания СЗИ «Блокхост-сеть К» можно приступать к развертыванию СЗИ на другие рабочие станций. Предварительно добавленные в консоль управления рабочие станции нужно удалить. Это можно сделать, щелкнув по ним правой кнопкой мыши и в контекстном меню выбрать соответсвующий пункт «Удалить». Рис Удаление рабочих станций из консоли управления СР Далее при необходимости можно начать новую сессию развертывания СЗИ, выполнив действия, описанные в подразделах настоящего документа, для других рабочих станций домена.

17 17 После установки СЗИ через систему развертывания на клиентских рабочих станциях включен мягкий режим. Выключить мягкий режим на клиентских рабочих станциях можно централизованно из серверной консоли администрирования СЗИ, для чего: 1) в серверной консоли администрирования выбрать пункт «Рабочие станции <Имя_Машины> Настройки машины Система»; 2) в области настроек отключить механизм мягкого режима, сняв галочку с пункта «Мягкий режим»; 3) сохранить произведенные настройки с помощью пункта меню «Файл Сохранить настройки для текущей машины» для выбранной рабочей станции (либо с помощью пункта «Файл Сохранить все настройки» для всех рабочих станций).

Читайте также:  Мобильный АРМ для iPad от ЭОС работает с ЭЦП на любой версии iOS - CNews

18 18 4. УДАЛЕНИЕ СЗИ «БЛОКХОСТ-СЕТЬ К» С ЗАЩИЩАЕМЫХ РАБОЧИХ СТАНЦИЙ Если необходимо удалить СЗИ «Блокхост-сеть К» с защищаемой рабочей станции, через консоль управления СР это можно сделать следующим образом: в консоли управления выбрать пункт «Корень <Имя_Рабочей_Станции>; щелкнуть по нему правой кнопкой мыши и в контекстном меню (рис. 3.18) выбрать «Удалить СЗИ Блокхост». СЗИ «Блокхост-сеть К» будет удалена с выбранной рабочей станции и в консоли управления СР появится соответствующее сообщение (рис. 4.1). После этого удаленную рабочую станцию необходимо перезагрузить. Для этого в консоли управления СР следует выбрать пункт «Корень <Имя_Рабочей_Станции>, щелкнуть по нему правой кнопкой мыши и выбрать «Перезагрузить» (рис. 3.18). Рис Сообщение об успешном удалении СЗИ «Блокхост-сеть К» 1. Следует учесть, что перезагрузка ОС начнется без каких-либо предупреждений для пользователя и несохраненные данные в этом случае могут быть потеряны. Чтобы этого избежать, можно дождаться, когда пользователь сам завершит работу ПК (например, в конце рабочего дня), и при последующей загрузке ОС процесс удаления СЗИ «Блокхост-сеть К» будет завершен. 2. При удалении СЗИ «Блокхост-сеть К» через консоль управления СР с удаленных рабочих станций под управлением они не должны быть заблокированы.

Условия бесплатной доставки по москве и мо

Ваш заказ доставляет курьерская служба:

  • — Грастин (Москва и МО до 25 км от МКАД);
  • — ETGO (Москва и МО до 25 км от МКАД)
  • — Алгоритм (Москва и МО до 25 км от МКАД);
  • — CDEK (от 25км от МКАД и более);

Бесплатной доставкой можно воспользоваться только при заказе ККТ с полным комплектом услуг (касса под ключ)! При данном условии, бесплатно доставляется только касса.

Если клиент покупает ККТ с полным комплектом услуг другой товар (весы, денежный ящик, счетчик банкнот, принтер этикеток, 10 коробок чековой ленты и т.д), то бесплатно доставляем только ККТ, доставку на все остальное клиент оплачивает отдельно.

Бесплатная доставка осуществляется по Москве на следующий день после её оформления. По МО (до 25 км от МКАД) — 1-2 дня. В день планируемой доставки Вам необходимо ответить на звонок курьера, иначе он будет вынужден перенести доставку на следующий день.

Если Вы находитесь более чем 25 км от МКАД, то доставку осуществляет ТК CDEK до ближайшего к Вам пункта выдачи данной компании, согласно параметрам для данного направления (сроки сообщаются логистом при оформлении заказа на доставку).

Выбор ТК, по условиям бесплатной доставки, производится на усмотрение отправителя.

Характеристики

К основной отличительной особенности «Блокхост-ЭЦП», в отличие от предыдущей версии, следует прежде всего отнести поддержку усовершенствованной ЭП. Усовершенствованная ЭП (УЭП) предполагает использование новых сервисов таких как:

  • онлайновая проверка статуса сертификата по протоколу OCSP (Online Certificate Status Protocol);
  • cлужбу штампов времени — TSP (Time-Stamp Protocol).

УЭП представляет собой структурированную запись в формате ASN.1 (X.209: «Specification of Basic Encoding Rules for Abstract Syntax Notation One (ASN.1)»). В усовершенствованную ЭП включаются следующие элементы:

  • подписываемый документ;
  • подписываемые атрибуты (хеш-код сообщения, хеш-коды отдельных полей сертификата, тип документа и др.);
  • подпись документа;
  • штамп времени, полученный на данные, указанные в п.п. 1-3;
  • ссылки на сертификаты и OCSP-ответ,
  • штамп времени, полученный на данные, указанные в п.п. 1-5,
  • полный сертификат пользователя и данные отзыва.

Таким образом, усовершенствованная подпись содержит в себе не только все доказательства подлинности ЭП в электронном документе (принадлежность ЭП владельцу, отсутствие искажений в документе), но и подтверждение момента подписи, а также действительности сертификата ключа подписи на момент создания ЭП.

Программный продукт «Блокхост-ЭЦП»интегрируется в оболочку MS Windows и активируется через всплывающее контекстное меню нажатием правой кнопки мышки.

«Блокхост-ЭЦП»предназначена для работы с электронными документами различного формата и выполняет следующие основные функции:

  • создание ЭП,
  • добавление ЭП,
  • заверение ЭП,
  • проверка ЭП,
  • шифрование файлов / расшифрование файлов,
  • управление сертификатами,
  • работа со списками отзыва сертификатов,
  • формирование отчетов и ряд дополнительных функций.

Централизованное развертывание системы «блокхост-сеть 2.0»

Серверная часть позволяет администратору со своего рабочего места устанавливать новые клиентские части на подчиненные рабочие станции и управлять настройками системы с помощью средств серверной консоли. Тем самым администратор получает инструмент для определения политик безопасности системы.

Централизованное развертывание системы может быть произведено как с использованием средств серверной консоли панели администратора, так и с помощью специально разработанной для решения этой задачи подсистемы развертывания. Подсистема позволяет назначать задачи по установке клиентских частей СЗИ, устанавливать расписание их выполнения, а также получать расширенную обратную связь об успехе установки и состоянии защищенности подчиненных рабочих станций. Те же функции доступны и при централизованной установке стороннего программного обеспечения.

Рисунок 3. Развертывание «Блокхост-Сеть 2.0» с помощью агентов развертывания

Рисунок 4. Установка агентов развертывания «Блокхост–Сеть 2.0» при помощи назначения задачи по установке клиентских частей СЗИ

Помимо этого, из серверной консоли СЗИ от НСД «Блокхост-Сеть 2.0» возможно производить удаленное управление контролируемыми рабочими станциями и обновление СЗИ, перезагрузку и выключение рабочих станций, управление пользователями.

Рисунок 5. Удаленное управление контролируемыми рабочими станциями «Блокхост-Сеть 2.0»

Сервера СЗИ могут быть выстроены в многоуровневую систему с возможностью распространения политик безопасности по всей иерархии. Неограниченное количество уровней вложенности иерархии позволяет как распределить нагрузку по нескольким серверам «Блокхост-Сеть 2.

Централизованное управление токенами в серверной консоли

Все токены в «Блокхост–Сеть 2.0» можно разделить на две категории: отчуждаемые токены и считыватели типа реестра (они же — виртуальные токены). Флэш-накопители и защищенные токены всех типов, такие как eToken, JaCarta, ruToken относятся к первой категории.

Этот тип токенов используется для построения системы двухфакторной аутентификации. Как показала практика, использование отчуждаемых токенов для развертывания клиентов «Блокхост-Сеть 2.0» нецелесообразно. Их настройка приводила к существенному осложнению процесса установки, увеличению временных и эксплуатационных затрат на развертывание СЗИ.

Для этого в «Блокхост-Сеть 2.0» были введены так называемые виртуальные токены. Это области реестра, в которые в зашифрованном виде записывается информация, аналогичная той, что содержится на отчуждаемых токенах. При этом такие считыватели имеют ряд преимуществ перед отчуждаемыми токенами: они всегда присутствуют в машине при ее корректном запуске, а количество пользователей на одном считывателе, как и количество самих считывателей, ограниченно только размерами жесткого диска, в то время как для отчуждаемого токена такие ограничения составляют около 100 пользователей.

Серверная консоль «Блокхост-Сеть 2.0» предоставляет администратору безопасности широкие возможности по управлению и администрированию токенов сети безопасности СЗИ. Администратор безопасности имеет возможность просматривать подключенные к клиенту токены всех типов, удалить или добавить виртуальный считыватель для выбранного клиента, а также войти на токен и получить доступ к меню его управления.

Рисунок 6. Настройка токенов в серверной консоли «Блокхост-Сеть 2.0»

В окне управления токеном администратор имеет возможность произвести следующие действия: просматривать и редактировать список заведенных на токене пользователей и рабочих станций, произвести экспорт и импорт ключевого контейнера токена в зашифрованный файл, инициализировать токен, ограничить время жизни токена или заблокировать его, а также сменить пин-код данного токена.

В окне управления токенами все токены в списке доступны для добавления пользователю. Отвязать токен от пользователя можно с помощью пункта меню «Удалить» в меню «Изменить статус носителя». При этом важно понимать, что эта процедура не приведет к удалению или инициализации выбранного носителя.

При выполнении операции выбранный носитель будет удален из конфигурационного файла «Блокхост-Сеть 2.0» для выбранного пользователя. На практике это означает, что выбранный пользователь больше не сможет осуществлять интерактивный вход с данным токеном.

Функция блокировки (разблокировки) токена работает похожим образом, с той разницей, что возможность входа пользователя с данным токеном блокируется путем внесения отметки о блокировке в конфигурационный файл «Блокхост-Сеть 2.0». Пользователь с заблокированным токеном также не сможет выполнить интерактивный вход в операционную систему. Разблокировка делает токен опять доступным для входа выбранного пользователя.

Выводы

СЗИ от НСД «Блокхост-Сеть 2.0» способно обеспечить безопасность рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования, дополняя и усиливая собственные возможности защиты операционной системы, создавая тем самым доверенную рабочую среду функционирования процессов.

Необходимо отметить, что в продукте реализован целый ряд защитных механизмов, позволяющих выполнить различные требования законодательства Российской Федерации в части обеспечения безопасности информации. Наличие сертификата ФСТЭК России позволяет использовать продукт для защиты государственных информационных систем и АСУ ТП до класса К1, защиты персональных данных до УЗ1, автоматизированных систем до класса 1Б включительно (государственная тайна с грифом «Совершенно секретно»).

Из явных недостатков в настоящее время можно выделить следующее: отсутствие решения для операционных систем семейства Linux и macOS, а также сертификацию модуля межсетевого экранирования по старым требованиям ФСТЭК России (т. е. модуль межсетевого экранирования нельзя будет использовать как сертифицированное решение  во вновь создаваемых ГИС, ИСПДн и т. д., где требования по сертификации являются обязательными. В уже существующих ГИС, ИСПДн и т. д. его применение допускается).

Преимущества:   

  • Продукт в реестре отечественного ПО.
  • Соответствие требованиям законодательства, наличие необходимых сертификатов ФСТЭК России.
  • Отсутствует обязательная привязка к Active Directory.
  • Многоуровневая иерархия серверов (связывание серверов управления в иерархию для распространяя настроек безопасности с глубиной до 5 уровней иерархии).
  • Возможность распространения политик безопасности по группам пользователей с дальнейшим слиянием и возможностью установки приоритетов настроек для групп пользователей или серверов.
  • Поддержка большого числа аппаратных идентификаторов для осуществления двухфакторной аутентификации пользователей.
  • Централизованное развертывание и обновление СЗИ.
  • Наличие «мягкого режима» использования СЗИ для облегчения процесса адаптации пользователя.
  • Прямое MSI-развертывание с сервера.
  • Удаленное администрирование токенов из серверной консоли (привязка к пользователям, удаление, блокировка и т. д).

Недостатки:

  • Модуль межсетевого экранирования сертифицирован по старым требованиям ФСТЭК России.
  • Отсутствие поддержки СЗИ операционных систем Linux и и macOS.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector