Сертификат AM Test Lab
Номер сертификата: 75
Дата выдачи: 21.12.2010
Срок действия: 21.12.2015
Введение
Сегодня на рынке представлено достаточно большое количество программного обеспечения для криптографической защиты информации. Однако практически все продукты предназначены для использования либо для домашних ПК, либо для корпоративных рабочих станциях. Между тем задача шифрования данных на серверах локально сети имеет целый ряд особенностей, которые требуют особого подхода к ее решению. Zserver является чуть ли не единственным на российском рынке специализированным продуктом для криптографической защиты серверов.
Отличительными особенностями Zserver являются реализация стойких алгоритмов шифрования, простота внедрения и эксплуатации, а также широкий набор функций, обеспечивающих очень высокую степень надежности защиты данных, включая, например, кворум ключей, хранение ключей шифрования на смарт-картах и USB-токенах, разграничение прав приложений и пр. Кроме того, разработчики Zserver уделили особое внимание производительности продукта. Для его повышения в программе используется многопоточное шифрование с возможностью его приостановки и возобновления.
Zserver относится к семейству продуктов Zserver Suite, куда также входит Zbackup — система криптографической защиты информации, записываемой и хранимой на оптических дисках и магнитных лентах. Принципы работа Zbackup и Zserver практически идентичны.
Отдельно можно отметить, что Zserver может использоваться на серверах, работающих под управлением операционных систем не только семейства Windows, но и Linux.
Принципы работы
В основе работы Zserver лежит принцип прозрачного шифрования. Он заключается в следующем. В процессе внедрения Zserver зашифровывает целые разделы жесткого диска, в результате чего данные всегда находятся на винчестере только в закодированном виде. Перед началом работы офицер безопасности загружает ключ шифрования. После этого при обращении к информации она автоматически расшифровывается "на лету" прямо в оперативной памяти сервера. А при попытке записи на диск выполняется обратная операция. В результате пользователи могут работать с сервером, даже не замечая криптографической защиты.
В состав системы Zserver входит пять отдельных модулей.
1. Сервер шифрования. Модуль работает непосредственно на защищаемом сервере и осуществляет все операции по шифрованию/дешифрованию информации.
2. ZserverEKS. Модуль для централизованного хранения ключей шифрования.
3. Сервер журналов. Система, предназначенная для сбора информации о событиях в других модулях, ее хранения и обработки.
4. Zconsole. Модуль для удаленного управления всей системой в целом.
Модуль тревоги. Модуль для передачи сигнала "тревога" на сервер шифрования с целью экстренного отключения дисков и удаления ключа шифрования из памяти.
Системные требования
Минимальные системные требования для развертывания Zserver.
Сервер шифрования | Zserver EKS | Сервер журналов | Zconsole | Модуль тревоги | |
Процессор | Pentium и выше | ||||
Оперативная память | 128 Мб и выше | 32 Мб и выше | |||
Порты | Свободный USB-порт для подключения лицензионного ключа | Свободный USB-порт для подключения устройства чтения смарт-карт | Свободный COM-порт для подключения "красной кнопки" | ||
Операционная система | Windows 2000/2003/2008, Linux с ядром 2.6.x. | Windows 2000/XP/2003/Vista/2008 | |||
Прочие программные средства | Сетевой протокол TCP/IP (для удаленного управления Zserver) |
Возможности Zserver
Zserver обеспечивает надежное хранение информации на серверах корпоративной сети. Для этого в нем реализованы следующие возможности.
Надежные алгоритмы шифрования
В Zserver реализованы алгоритмы шифрования AES и RC5. Помимо этого к системе можно подключать внешние криптопровайдеры, включая сертифицированные продукты "Криптон" и "КриптоПро".
Надежность и безопасность ключей шифрования
Для генерации ключей шифрования могут использоваться различные методы, включая хаотичное движение пользователя мышью, поступление сигналов на сетевую карту, шум от микрофона и пр. С их помощью достигается высокая степень случайности. Созданные ключи могут храниться на смарт-картах, USB-токенах или в защищенном хранилище Zserver EKS. Ключ шифрования может быть разделен на несколько частей и передан разным сотрудникам для увеличения степени защиты данных от инсайдеров (кворум ключей шифрования).
Уничтожение данных
Zserver может использоваться для гарантированного удаления информации без возможности ее восстановления. Для этого достаточно зашифровать носитель и уничтожить ключ шифрования.
Система тревоги
Zserver позволяет при возникновении экстренной ситуации моментально отключить зашифрованные диски и сделать информацию на них недоступной. Для подачи сигнала тревоги могут использоваться любые виды кнопок, датчиков, радиобрелков, а также программный модуль тревоги (работает по протоколу TCP/IP).
Высокая производительность
В Zserver используются оптимизированные криптографические процедуры, а также многопоточное шифрование. Это обеспечивает высокую скорость работы и наиболее эффективное использование вычислительных ресурсов многоядерных и многопроцессорных серверов. В программе реализованы также такие функции, как пауза в процессе шифрования и перешифрование с новым ключом, которое выполняется в фоновом режиме и не мешает работе пользователей.
Централизованное администрирование
Все управление криптографической защиты осуществляется с помощью модуля Zconsole, который может работать удаленно по протоколу TCP/IP. Таким образом, офицеру безопасности не нужен физический доступ к серверам.
Интеграция в информационную систему
Для интеграции Zserver в существующую информационную систему могут использоваться дополнительный пакет расширения Zserver Script Pack (обеспечивает подключение внешних сценариев для выполнения различных действий) и COM-интерфейс (для управления системой с внешних устройств).
Zserver Disk Access Control
Система контроля доступа к жесткому диску различных приложений позволяет сделать некоторые данные доступными только для определенных приложений. Например, с ее помощью можно разрешить доступ к базе данных 1С только бухгалтерской программе и предотвратить ее копирование с целью воровства.
Процесс установки Zserver
Установка Zserver практически ничем не отличается от инсталляции любого другого ПО. Тем не менее, давайте подробно рассмотрим этот процесс.
В первую очередь запускаем дистрибутив, входящий в комплект поставки продукта, дожидаемся появления начального окна и нажимаем на кнопку "Далее".
Рисунок 1: Начальное окно мастера установки Zserver
Следующее окно позволяет ознакомиться с лицензионным соглашением. Внимательно читаем его (при необходимости его можно распечатать), выбираем нужный пункт и снова нажимаем на кнопку "Далее".
Рисунок 2: Подтверждение лицензионного соглашения
На следующем этапе устанавливаем папку, в которую будет и
нсталлирована программа.
Рисунок 3: Выбор папки установки Zserver
Далее нужно указать модули, которые будут установлены на данном компьютере. В принципе, на одном сервере можно инсталлировать сразу все. Однако некоторые модули (Zconsole и модуль тревоги) имеет смысл установить на рабочем компьютере офицера безопасности.
Рисунок 4: Выбор модулей Zserver
После нажатия на кнопку "Далее" запустится процесс установки, который копирует необходимые файлы и регистрирует в системе нужные сервисы.
Рисунок 5: Установка Zserver
После окончания процесса инсталляции на экран будет выведено окно с сообщением об успешном завершении
Рисунок 6: Последнее окно мастера установки Zserver
На этом процесс установки Zserver можно считать завершенным. Остается только нажать на кнопку "Готово" и можно переходить к первоначальной настройке системы шифрования.
Первоначальная настройка Zserver
Процедура настройки Zserver осуществляется с помощью специальной консоли управления. Как мы уже говорили, ее можно выполнять как локально, так и удаленно. Во втором случае консоль управления должна быть предварительно установлена на компьютер офицера безопасности.
Для проведения настройки в первую очередь необходимо подключиться к серверу шифрования. Для этого запускаем консоль управления, раскрываем в левой части окна ветку "Компьютеры и приложения", устанавливаем курсор на Zserver и выбираем в меню "Соединение" пункт "Создать соединение". В открывшемся окне вводим адрес сервера и, при необходимости, некоторые дополнительные настройки (параметры аутентификации и порт подключения). Обратите внимание, что при полной локальной установке (когда консоль управления находится непосредственно на сервере) подключение к серверу создается автоматически под именем "Локальный компьютер".
После создания подключения устанавливаем на него курсор и нажимаем на кнопку "Установить соединение". При этом будет установлена связь с сервером, и у нас появится возможность выполнения его настройки
Рисунок 7: Подключение к серверу шифрования в Zconsole
Первый этап настройки сервера – создание ключа шифрования. Перед его выполнением необходимо определиться, в каком хранилище он будет размещаться. По умолчанию система предлагает сохранить его в файле на жестком диске. Однако гораздо более надежным является использование смарт-карт. Тем более, что в комплект поставки Zserver входят две смарт-карты и устройство для их чтения. Для смены хранилища выбираем в меню "Ключ" пункт "Параметры носителя ключа" и устанавливаем в качестве носителя ключа шифрования смарт-карту (обратите внимание, что устройство для их чтения должно быть подключено к компьютеру).
Рисунок 8: Выбор смарт-карты в качестве носителя ключа шифрования
После этого нужно изменить PIN-код смарт-карты, входящей в комплект поставки. Для чего это нужно, наверное, объяснять нет необходимости. Итак, вставляем в устройство чтения смарт-карту и нажимаем на кнопку "Свойства". В открывшемся окне переходим на вкладку "Изменение PIN-кода" и вводим старый (по умолчанию это "12345678") и новый PIN-коды.
Рисунок 9: Установка нового PIN-кода для доступа к смарт-карте
Следующий этап – создание ключа шифрования. Данная процедура реализована в виде удобного пошагового мастера.
Шаг 1. Открываем меню "Ключ" и выбираем в нем пункт "Сгенерировать ключ".
Шаг 2. В открывшемся окне задаем наименование ключа, алгоритм шифрования (выбирается из доступных криптопровайдеров). При необходимости активируем кворум ключей и указываем число частей, на которые будет делиться ключ.
Рисунок 10: Ввод основных параметров ключа шифрования
Шаг 3. Выбираем способ создания ключа шифрования. При желании можно ввести его вручную в HEX-редакторе. Однако лучше все-таки использовать действительно случайные ключи. Поэтому активируем пункты "Использование параметров движения манипулятора мышь" и "Использование Microsoft Crypto API".
Рисунок 11: Выбор способа генерации ключа шифрования
Шаг 4. Для генерации ключа хаотично двигаем мышкой, пока синяя полоска в нижней части не заполнится целиком. Обратите внимание, что курсор должен находиться в пределах окна программы.
Рисунок 12: Создание ключа шифрования
Шаг 5. Выбираем носитель, на котором будет сохранен ключ шифрования. Как мы уже говорили, оптимальным вариантом является подготовленная нами заранее смарт-карта.
Рисунок 13: Выбор носителя ключа шифрования
Шаг 6. Активируем чекбокс "Загрузить ключ на сервер" (он нам необходим для шифрования разделов жесткого диска) и нажимаем на кнопку "Готово".
Рисунок 14: Завершение процедуры генерации ключа шифрования
После загрузки ключа на сервер можно переходить непосредственно к шифрованию разделов. Здесь нужно отметить один очень важный момент. Дело в том, что в Zserver реализовано две абсолютно разные процедуры защиты диска. Одна выполняется на уже запущенном в эксплуатацию сервере. В ходе нее программа осуществляет шифрование указанных разделов вместе со всеми данными, размещенными на них. Эта операция может оказаться достаточно длительной. Впрочем, в ходе нее информация будет доступна пользователям, а поэтому останавливать работу офиса не придется. Второй подход больше подходит для вновь запускаемых серверов. При его использовании сначала включается прозрачное шифрование, после чего выполняется форматирование указанных разделов. Такая операция осуществляется очень быстро, правда, вся информация на шифруемых дисках будет уничтожена.
Шифрование разделов осуществляется следующим образом. Находим в консоли управления и выделяем нужный диск или диски. Затем выбираем в меню "Носитель" пункт "Зашифровать", указываем в открывшемся окне нужный ключ (из тех, что загружены на сервер) и нажимаем на кнопку "Начать". После этого сервер начинает процедуру шифрования, которая, как мы уже говорили, может длиться достаточно долго.
Рисунок 15: Запуск шифрования диска в Zconsole
Шифрованное форматирование осуществляется схожим образом. Для его запуска отмечаем нужный диск или диски, после чего выбираем в меню "Носитель" пункт "Форматировать с шифрованием". В открывшемся окне остается только выбрать тип файловой системы, метку тома и ключ шифрования и нажать на кнопку "Начать".
Рисунок 16: Запуск форматирования с шифрованием в Zconsole
В принципе, после завершения процесса шифрования систему можно считать настроенной и готовой к работе. Однако в завершение стоит сделать еще пару штрихов. В частности, можно включить многопоточное шифрование, которое позволяет наиболее эффективно использовать аппаратные возможности современных серверов. Сделать это очень просто. Открываем меню "Сервис" и выбираем в нем пункт "Настройки Zserver". Затем переходим на вкладку "Настройки" и активируем чекбокс "Многопоточное шифрование".
Эксплуатация Zserver
В процессе эксплуатации системы криптографической защиты Zserver офицеру безопасности придется чаще всего сталкиваться с несколькими операциями: подключение и отключение дисков, управление правами доступа пользователей и приложений. Ниже пошагово рассмотрены действия, которые необходимо предпринять для решения этих задач.
Процедура открытия одного или нескольких дисков для работы пользователей выглядит следующим образом.
Шаг 1. Запускаем консоль управления и устанавливаем соединение с сервером шифрования (подробнее об этом см. выше).
Шаг 2. Вставляем в считыватель смарт-карту и выбираем в меню "Ключ" пункт "Загрузить". В открывшемся окне выбираем тип носителя "Смарт-карта", нажимаем на кнопку "ОК" и вводим PIN-код. Если на смарт-карте хранится несколько ключей шифрования, то придется выбрать необходимый.
Рисунок 17: Загрузка ключа шифрования в Zserver
Шаг 3: Отмечаем тот диск или те диски, которые нужно перевести в рабочий режим, после чего выбираем в меню "Носитель" пункт "Открыть".
Рисунок 18: Открытие дисков в Zserver
Процедура закрытия дисков выглядит еще проще. Для ее выполнения нужно предварительно убедиться в том, что размещенные на нем файлы не используются, после чего остается только отметить раздел и выбрать в меню "Носитель" пункт "Закрыть".
Рисунок 19: Закрытие дисков в Zserver
Обратите внимание, что при закрытии дисков ключ шифрования из памяти сервера не удаляется. Эта операция обозначает только то, что пользователи не смогу работать с разделами. При этом администратор или другой сотрудник, имеющий доступ к серверу шифрования, может легко подключить их снова. Для выгрузки ключа шифрования из памяти необходимо найти его в дереве в левой части консоли, установить на него курсор и выбрать в меню "Ключ" пункт "Выгрузить".
Рисунок 20: Выгрузка ключа шифрования в Zserver
В процессе эксплуатации Zserver может возникнуть необходимость предоставления доступа пользователей к тем или иным папкам по сети. При этом использование возможностей операционной системе не обеспечивает требуемой степени безопасности (в частности, их нельзя надежно защитить от администраторов домена). Поэтому в Zserver реализованы собственные общие папки. Управлять ими можно, когда на сервер загружен ключ шифрования, и нужный диск открыт. Для включения общих папок нужно раскрыть в дереве консоли раздел "Управление доступом", установить курсор на пункте "Папки общего доступа" и дважды кликнуть мышкой на нужном диске в правой части консоли. При этом система спросит, хотим ли мы оставить в качестве общих папки, которые были сделаны таковыми в Windows.
Рисунок 21: Включение общих папок в Zserver
Для добавления новых общих папок нужно выполнить следующие шаги.
Шаг 1. Раскрываем в дереве консоли раздел "Управление доступом", устанавливаем курсор на пункт "Папки общего доступа" и выбираем в правой части окна нужный диск.
Шаг 2. В меню "Папки общего доступа" выбираем пункт "Добавить папку". В открывшемся окне вводим название ресурса, непосредственно саму директорию, описание и указываем максимально возможно число пользователей.
Рисунок 22: Ввод основных параметров общей папки в Zserver
Шаг 3. Указываем права доступа различных групп пользователей. Для этого просто выбираем нужный пункт или, если требуется тонкая настройка, вводим их вручную с помощью кнопку "Настройка".
Рисунок 23: Настройка прав доступа к общей папке в Zserver
Другой не менее важной возможностью системы Zserver является разграничение прав доступа к зашифрованным дискам различных приложений. Например, если на каком-то разделе размещена база данных "1С:Предприятие", то можно разрешить доступ только этой программе, что заметно увеличить степень защищенности информации. Для включения данной возможности необходимо раскрыть в дереве консоли раздел "Управление доступом", установить курсор на пункте "Доступ приложений" и дважды кликнуть мышкой на нужном диске в правой части консоли. После этого система перейдет в режим обучения.
Рисунок 24: Включение управления доступом приложений
В ходе режима обучения Zserver будет сохранять все приложения, которые обращались к зашифрованному диску. По истечению какого-то времени офицер безопасности должен просмотреть их список, а также какие именно действия выполняли различные программы (чтение или запись). В нем ему необходимо отметить нужные приложения и нажать на кнопку "Добавить приложения". При этом будут созданы правила, разрешающие выбранным программам работу с защищенным диском. После этого можно отключить режим обучения и приступать к полноценной работе.
Рисунок 25: Просмотр списка приложений, собранного в ходе обучения
Помимо этого в процессе работы с системой защиты Zserver от офицера безопасности может потребоваться решение и некоторых других задач. Описать их все в одной статье просто-напросто нереально. Да, пожалуй, этого и не требуется. Мы рассмотрели все наиболее часто выполняемые операции. Информацию о других можно почерпнуть в руководстве по эксплуатации системы, благо оно отличается полнотой и простотой изложения.
Выводы
В отличие от подавляющего большинства криптографических продуктов Zserver – исключительно серверная система. Это проявляется буквально во всем. Даже в самом подходе к организации защиты: Zserver "признает" только целые разделы жесткого диска, с файлами-контейнерами он не работает. И это полностью оправдано, поскольку совмещает в себе высокую производительность и надежность хранения данных. Также можно отметить возможность полного управления сервером шифрования удаленно. Это очень важно, поскольку предоставление офицеру безопасности физического доступа к серверу в некоторых случаях весьма проблематично.
Криптографические продукты, а еще тем более и серверные, относятся к категории специфических. Однако Zserver отличается тем, что не требует от офицера безопасности какой-то особой подготовки. Безусловно, он должен разбираться в основных понятиях и иметь определенные представления о криптографии (ключ шифрования, алгоритм, смарт-карта и пр.). Тем не менее, никаких особых навыков администрирования и знания сетевых технологий не нужно. И это хорошо, поскольку в роли офицера безопасности должен выступать не системный администратор или какой-то другой представитель ИТ-отдела, а ответственный сотрудник, которому полностью доверяет руководство компании. И Zserver позволяет это сделать. Для управления данной системой достаточно обладать навыками опытного пользователя ПК и основными познаниями в криптографии. Примечательно и то, что Zserver работает абсолютно прозрачно для рядовых сотрудников компании, которым не нужно производить никаких действий для получения доступа к информации.
С точки зрения надежности защиты информации Zserver создает очень хорошее впечатление. Во-первых, пользователи могут применять самые современные криптографические алгоритмы, например, AES с длиной ключа шифрования 256 бит. Во-вторых, в Zserver реализовано надежное хранение ключей шифрование с системой двухфакторной аутентификации пользователей. Особенно приятно то, что смарт-карты со считывателем входят прямо в комплект поставки продукта. С одной стороны это позволяет избежать дополнительных затрат и тем самым уменьшить стоимость внедрения системы защиты. А с другой – гарантировать отсутствие несовместимости аппаратных средств с Zserver.
К недостаткам Zserver можно отнести отсутствие среди доступных алгоритмов шифрования встроенной реализации российского ГОСТа 28147-89. Впрочем, данный минус вряд ли можно считать серьезным. Дело в том, что ГОСТ 28147-89 в подавляющем большинстве случаев применяется тогда, когда в соответствие с законодательством необходимо сертифицированное решение. А в этом случае все равно придется использовать продукцию "Криптон" или " КриптоПро" (сертифицированные криптопровайдеры), интеграция с которыми есть у Zserver. Более того, у многих компаний, которые связаны с обработкой секретной информации, уже есть такие криптопровайдеры.