ОКБ САПР ПРО СЕКРЕТПрофессиональный секрет
  windows 7 Review bit-info.com on alexa.com

Профессиональный секрет

Программно-аппаратный комплекс (ПАК) «Профессиональный секрет» обеспечивает такой режим работы, при котором данные, хранящиеся на служебном носителе «Секрет» могут обрабатываться только легальными пользователями и только на разрешенных компьютерах.

Дополнительно можно установить режим запрета работы на этих компьютерах с любыми другими USB-устройствами.

ПАК «Профессиональный секрет» состоит из служебного носителя (СН) «Секрет», программного обеспечения (ПО) для рабочих станций (РС) и ПО для сервера аутентификации (СА).

СН «Секрет» – это USB-устройство, предназначенное для хранения в его внутренней памяти конфиденциальной информации пользователя. «Секреты» выдаются пользователям и применяются ими. В модификации «Профессиональный секрет» защита хранящихся в «Секрете» данных усилена шифрованием для противодействия попыткам доступа к данным профессиональных злоумышленников, способных провести сложные и трудоемкие процедуры над украденным устройством.

ПО РС устанавливается на те рабочие станции, на которых разрешено обрабатывать информацию, хранящуюся в «Секрете».

Это ПО предназначено для

  • опознавания «Секрета» и рабочей станции
  • обеспечения связи по локальной сети «Секрета» с сервером аутентификации
  • настройки доступа к внутренней памяти «Секрета» со стороны рабочей станции.

ПО СА устанавливается на компьютер, выделенный для выполнения функций сервера аутентификации ПАК «Секрет». В каждом сегменте сети должен быть свой СА, управляющий «Секретами», зарегистрированными в данном сегменте, и в модификации «Профессиональный секрет» все СА должны находиться on-line постоянно.

Это ПО предназначено для:

  • выполнения процедур, необходимых для взаимной аутентификации «Секрета» и РС (необходимо убедиться, что именно на этой рабочей станции разрешено работать именно с этим «Секретом»),
  • ведения базы «Секретов», зарегистрированных в сети,
  • выполнения процедур синхронизации баз «Секретов» на всех СА сети.

Архитектура ПАК «Секрет» такова, что все критичные с точки зрения безопасности вычисления производятся в двух местах – непосредственно в устройстве «Секрет» (эти вычисления защищены схемотехнически) и на сервере аутентификации. ПО сервера аутентификации исполняется на обычном ПК, выделенном для этой цели, поэтому для обеспечения доверенной среды вычислений нужно установить на этот ПК ПАК Аккорд, который будет обеспечивать доверенную загрузку ОС и контролировать доступ к серверу аутентификации.

На рабочих станциях устанавливать СЗИ семейства Аккорд нет необходимости, если для этого нет каких-либо дополнительных причин.

Очевидно, что неправильно «уравнивать» всех сотрудников с их «Секретами» в возможности работы на тех или иных рабочих станциях. Для каждого необходимо назначить именно те РС, на которых можно работать именно ему. Поэтому и необходимо, чтобы аутентификация была не на уровне «можно работать с “Секретом”», а «можно работать именно с этим “Секретом”».

До успешного завершения всех процедур аутентификации флеш-диск в «Секрете» просто не будет смонтирован, то есть со стороны ПК доступа к нему не будет никаким способом.

На компьютере, не включенном в разрешенные, «Секрет» не будет определяться как флеш-диск, поэтому сотрудникам не удастся использовать конфиденциальную информацию, хранящуюся в «Секрете» на своем домашнем компьютере, или компьютере сети другой фирмы, даже если в той фирме тоже применяется технология «Секрет».

В случае же, если информационная система предприятия состоит из нескольких сетей, или если нужно расширить, или другим способом изменить состав разрешенных для данного «Секрета» компьютеров, это можно сделать способом, описанным в руководстве на ПАК. В модификации «Профессиональный секрет» эти действия производятся Администратором того СА, в чьем сегменте сети предполагается использование «Секрета». Достаточно только при первой регистрации указать, что специальный носитель предполагается также использовать и в других сегментах сети фирмы.