w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Максим Чирков 6 октября 2011 г. г. Калуга "Решая реальные задачи ИБ, выполняем ФЗ N152. Продукты и решения компании Аладдин Р.Д."

w w w. a l a d d i n – r d. r u Аладдин Р.Д. сегодня 16 лет работы на российском рынке Основные направления деятельности: – Обеспечение безопасного доступа к информационным ресурсам (аутентификация) – Контентная фильтрация – Шифрование дисков, защита БД – Защита ПО Собственный отдел R&D Сертифицированные специалисты Лицензии ФСТЭК, ФСБ, Минэкономразвития Сертифицированные продукты Партнерская сеть на территории России, представительства в Украине и Казахстане 2

w w w. a l a d d i n – r d. r u Задачи решаемые продуктами Аладдин Р.Д. Аутентификация Защищённое хранения ключевой информации Централизованное управление средствами аутентификации Централизованное управление доступом в парольные (унаследованные) приложения Защита он НСД (защита при хранении) –На персональных раб.станциях и ноутбуках –На серверах –В масштабах организации/предприятия Защита в СУБД Oracle Контентная фильтрация Организация доверенной среды («железо»+ПО) 3

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Аутентификация – первый шаг к ЗИ 4

w w w. a l a d d i n – r d. r u Что такое eToken? 5 eToken – персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной цифровой подписью (ЭЦП). Двухфакторная аутентификация (знать – PIN-код, иметь – смарт-карту) Аппаратное выполнение криптографических операций в доверенной среде Поддерживаемые ОС: Единственный на рынке сертифицированный ФСТЭК России «Программно-аппаратный комплекс аутентификации и хранения ключевой информации пользователей». Windows 2008 R2 и Windows 7 (32/64-bit) указанны в сертификате

w w w. a l a d d i n – r d. r u Интеграция с СКУД Единое устройство –Физический доступ –Логический доступ Технология RFID –Ангстрем БИМ-002 –HID ISOProxII –Mifare –EM-Marine –и другие Чип смарт-карты RFID-метка Фото, логотип

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u eToken Сценарии аутентификации/идентификации

w w w. a l a d d i n – r d. r u Аутентификация на рабочей станции (ноутбуке) eToken + eToken Network Logon 5.0 eToken в задачах аутентификации 8 + =

w w w. a l a d d i n – r d. r u eToken в задачах аутентификации 9 Аутентификация в корпоративной сети (домене)* Аутентификация при терминальном доступе (RDP)* Аутентификация при терминальном доступе (Citrix) Аутентификация при VPN доступе Аутентификация при Web доступе

w w w. a l a d d i n – r d. r u 10 Использование eToken с СЗИ от НСД НаименованиеПроизводитель СобольГК «Информзащита» Secret NetГК «Информзащита» Страж NTЗАО НПЦ "Модуль" «Панцирь-С» ЗАО "НПП "Информационные технологии в бизнесе" «Dallas Lock»ООО «Конфидент»

w w w. a l a d d i n – r d. r u Применение eToken на практике. Электронно-цифровая подпись ЭЦП в системе электронного документооборота Дело, Directum и др. ЭЦП сообщений электронной почты их шифрование Microsoft Office Outlook и др. ЭЦП в системе сдачи отчетности через интернет Калуга Астрал, и др. ЭЦП в системах электронной торговли Федеральные ТП, B2B-Centr, NetTrader и др. ЭЦП в системах банк-клиент Альфа-Банк, ВТБ и др. 11

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Централизованное управление средствами аутентификации и политиками ИБ

w w w. a l a d d i n – r d. r u Жизненный цикл средств аутентификации Инициализация (форматирование). Присвоение устройства пользователю. Определение списка приложений, с которыми данное устройство может быть использовано. Выпуск устройств. Отслеживание использования устройства. Работа с цифровыми сертификатами инфраструктуры PKI (запрос сертификата, отзыв). Обработка случаев утери/поломки устройств. Утилизация. 13

w w w. a l a d d i n – r d. r u Централизованное управление Сотрудник получает eToken Active Directory 2. Регистрация пользователя 3. Сотрудник начинает работать Политики организации VPN ERP система Вход в сеть Другие приложения TMS/SAM

w w w. a l a d d i n – r d. r u Основные возможности eToken TMS/SAM Поэкземплярный учет и регистрация ключей eToken Ускорение ввода ключей в эксплуатацию Управление жизненным циклом ключей eToken Аудит использования ключей eToken Техническая поддержка пользователей Подготовка отчетов Самообслуживание пользователя Управление классическими паролями Поддержка УЦ –УЦ «Крипто Про УЦ», УЦ «RSA Keon», Microsoft CA 15

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u «Прозрачный доступ» к бизнес приложениям 16

w w w. a l a d d i n – r d. r u Текущая ситуация и тенденции 17 В средних и крупных организациях используется более 20-ти систем и приложений В течении дня пользователь несколько раз получает доступ в 5-9 приложений

w w w. a l a d d i n – r d. r u Enterprise Single Sing-On

w w w. a l a d d i n – r d. r u Принцип работы Аладдин Indeed-ID ESSO

w w w. a l a d d i n – r d. r u 20 Аладдин Indeed-ID ESSO – основные преимущества

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Защита данных 21

w w w. a l a d d i n – r d. r u Способы потерять информацию Сервисное обслуживание компьютеров и серверов сторонними организациями 22

w w w. a l a d d i n – r d. r u Способы потерять информацию Потеря или кража ноутбуков, съемных носителей 23

w w w. a l a d d i n – r d. r u Он не рассчитывал увидеть свои фото в сети

w w w. a l a d d i n – r d. r u 25 Как защититься? Шифрование Самый простой и надежный метод защиты

w w w. a l a d d i n – r d. r u Линейка продуктов Secret Disk. Для персонального использования Защита данных на рабочих станциях, мобильных компьютерах и съёмных носителях Secret Disk 4 Workgroup Edition

w w w. a l a d d i n – r d. r u Логика работы Secret Disk Доступ к зашифрованным данным может получить только авторизованный пользователь

w w w. a l a d d i n – r d. r u Преимущества Secret Disk 4 Защита системного раздела, контроль начальной загрузки Шифрование логических и внешних дисков Поддержка различных алгоритмов шифрования данных, в т.ч. ViPNet (Домен-K), КриптоПро CSP Запрет доступа по сети к зашифрованным данным для всех пользователей, включая системного администратора Многопользовательская работа

w w w. a l a d d i n – r d. r u Расширенная безопасность Поддержка ждущего и спящего режимов Тестовое шифрование системного раздела Автоматическое отключение зашифрованных дисков При отсоединении eToken Нажатием горячих клавиш Возможности Secret Disk 4

w w w. a l a d d i n – r d. r u Линейка продуктов Secret Disk. Для использования на Windows серверах 30

w w w. a l a d d i n – r d. r u Шифрование данных на HDD, RAID, SAN Контроль доступа к зашифрованным дискам по сети Аутентификация администраторов с использованием eToken Защита от сбоев и система восстановления 31 Возможности Secret Disk Server NG

w w w. a l a d d i n – r d. r u Корпоративная система защиты конфиденциальной информации с централизованным управлением 32

w w w. a l a d d i n – r d. r u Secret Disk Enterprise – наводим порядок! Рабочее место системного администратора Рабочее место администратора ИБ 33

w w w. a l a d d i n – r d. r u Secret Disk Enterprise как SD4 только … Централизованное Развертывание Управление конфигурацией рабочих мест Аудит Логирование действий с защищенными объектами Защита от пользователей Разделение ролей управления системой

w w w. a l a d d i n – r d. r u Линейка Secret Disk – 12 лет на страже Вашей информации Secret Disk 4 и Secret Disk 4 Workgroup Edition – для дома и бизнеса Secret Disk Server NG – для файловых серверов и серверов приложений Secret Disk Enterprise – корпоративная система защиты Сертифицированные версии Secret Disk – для ИСПДн и защиты конфиденциальной информации 35

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Доверенная среда –мифы и реальность 36

w w w. a l a d d i n – r d. r u Электронный замок, АПМДЗ Электронные замки (аппаратно-программные модули доверенной загрузки - АПМДЗ) решают следующие задачи: –Предотвращение несанкционированного доступа к ресурсам компьютера; –Предотвращение загрузки операционной системы с внешнего носителя; –Контроль целостности программной среды компьютера; –Регистрация событий доступа (в том числе несанкционированного) к ресурсам компьютера. 37

w w w. a l a d d i n – r d. r u Традиционные АПМДЗ «Традиционные» АПМДЗ выполняются в виде специализированного контроллера, подключаемого к компьютеру посредством шины PCI/PCI-X, PCI-E. ПАК «Соболь» АМДЗ Аккорд-5.5.e АПМДЗ «КРИПТОН-ЗАМОК»

w w w. a l a d d i n – r d. r u Проект «Защищенный компьютер» Для противодействия современным угрозам и соответствия уровню развития техники, а так же для максимального удобства использования и управления средствами защиты компаниями Kraftway, Fujitsu и Аладдин Р.Д. был разработан Защищенный компьютер: –Современная аппаратная платформа и программное обеспечение –Aladdin Trusted Security Module –Модифицированный BIOS Разграничение прав доступа (защита от перезаписи, ограничение прав чтения) к секциям BIOS, TSM Защита от несанкционированной модификации CMOS (Complementary Metal-Oxide-Semiconductor, область хранения настроек BIOS); Ограничение доступа к BIOS SETUP по роли пользователя из TSM; Интеграция с TSM для защиты от НСД.

w w w. a l a d d i n – r d. r u w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u «Квалифицированная» подпись в Web

w w w. a l a d d i n – r d. r u 41 Web-based приложения Использование облачных вычислений и web-based приложений стало устойчивой тенденцией

w w w. a l a d d i n – r d. r u "Не частично, а все госуслуги должны быть переведены в электронный вид к 2015 году» Д.А. Медведев 42

w w w. a l a d d i n – r d. r u Требования к технологиям аутентификации и ЭЦП физических лиц на Портале Настройка и работа с Порталом не должна требовать высокой квалификации в области IT Поддержка всех популярных пользовательских ОС (Windows, Linux, MAC) Поддержка всех популярных браузеров Доступность с любого места Отсутствие необходимости установки специальных дистрибутивов 43

w w w. a l a d d i n – r d. r u Выбор технологии для физ.лиц 44 Аппаратная ЭЦП Криптоконтейнер Любой компьютер Любая ОС Любой интернет браузер Не требуется обучать пользователей ПО CSP Требуется обучать устанавливать ПО и пользоваться им Только одна операционная система Только собственный компьютер

w w w. a l a d d i n – r d. r u eToken ГОСТ Самостоятельное СКЗИ –USB-токен –смарт-карта Аппаратная реализация российских криптографических алгоритмов –ГОСТ Р –ГОСТ Р –ГОСТ Работа без установки дополнительного ПО –USB CCID 45

w w w. a l a d d i n – r d. r u От концепции к технологии – JC-WebClient 46 Мультибраузерный кроссплатформенный плагин JC-WebClient: –Internet Explorer, Firefox, Chrome, Opera, Safari –Windows, Linux, Mac OS Возможность работы с eToken ГОСТ –из контекста веб-страницы –при помощи Java Script

w w w. a l a d d i n – r d. r u Требование безопасности 47 Строгая аутентификация Целостность и конфиденциальность при информационном обмене Аутентичность информации, юридическая значимость

w w w. a l a d d i n – r d. r u Система Безопасности Вашей Организации 48 Низкая стоимость владения Решение реальных задач ЗИ Минимальное влияние на бизнес-процессы Выполнение требования «Регуляторов»

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Максим Чирков Спасибо за внимание