Система контроля и разграничения доступа Diamond ACS

Эти преимущества основываются на применении ряда уникальных технических решений, таких как:

• самые развитые в своем классе средства сетевого развертывания и администрирования;
• высокоскоростная параллельная обработка на одном сервере информации о событиях безопасности от большого количества средств защиты, установленных на СВТ;
• собственный TCP-транспорт без необходимости использования дополнительного программного обеспечения и служб (IIS, и т.п.);
• использование систем управления базами данных (СУБД) с открытыми исходными кодами, входящими в реестр отечественного программного обеспечения таких, как PostgreSQL;
• средства защиты информации, использующие технологии аппаратной поддержки виртуализации;
• возможность работы с большим (до 50 000) количеством агентов на СВТ под управлением одного сервера безопасности без изменения скорости обработки данных сервером;
• возможность развертывания агентов в единой системе управления безопасности без ограничения их количества;
• возможность одновременного конфигурирования политик безопасности разных (несвязанных друг с другом) доменов и автономных рабочих станций с одного автоматизированного рабочего места (АРМ) администратора;
• возможность конфигурирования сетевых АРМ пользователей вне зависимости от их состояний (включены или выключены);
• реализация дискреционного контроля доступа в виде собственной подсистемы комплекса (наложенных механизмов защиты), дополняющей стандартные средства операционной системы и полностью независимой от них;
• поддержка средств идентификации и аутентификации на базе идентификаторов eToken, MS-Key, Rutoken, JaCarta, ePass2003 и др.;
• возможность периодического контроля состояния защиты информации в автоматическом режиме (матрица доступа и контроль целостности);
• возможность конфигурирования и отслеживания наличия устройств на всех рабочих станциях в режиме реального времени;
• наличие функциональных возможностей системы контроля подключаемых съемных носителей (далее — СКН) информации, обеспечивающих:
  • реализацию политики безопасности по отношению к подключаемым произвольным съемным машинным носителям информации;
  • возможность управления использованием подключаемых произвольных съемных машинных носителей информации на основе анализа разрешений на подключение к конкретным интерфейсам ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств, конкретных съемных машинных носителей информации;
  • возможность со стороны администраторов СКН управлять данными (данными средства контроля подключения съемных машинных носителей информации), используемыми функциями безопасности средства контроля подключения съемных машинных носителей информации;
  • поддержку определенных ролей для средства контроля подключения съемных машинных носителей информации и их ассоциации с конкретными администраторами СКН и пользователями информационной системы;
  • возможность защиты от несанкционированной модификации данных средства контроля подключения съемных машинных носителей информации при передаче между программным обеспечением управления средствами контроля подключения съемных машинных носителей информации и программным обеспечением взаимодействия с подключаемыми съемными машинными носителями информации;
  • возможность регистрации событий, связанных с изменениями конфигурации функций безопасности средства контроля подключения съемных машинных носителей информации;
  • возможность читать информацию из записей аудита уполномоченным администраторам СКН;
  • возможность реагирования при обнаружении событий, указывающих на возможное нарушение безопасности;
  • возможность выборочного просмотра данных аудита.

Входящие в комплекс средства аппаратной поддержки включают в себя специализированные аппаратные модули доверенной загрузки (АМДЗ) форм-факторов PCI, PCI-express и mini PCI-express, которые обладают следующими основными преимуществами:

• возможность коммутации 3-х SATA 2 интерфейсов;
• графический интерфейс пользователя;
• возможность выполнения приложений в доверенной вычислительной среде на отдельном 32-битном ARM-процессоре;
• возможность коммутации выделенного USB-интерфейса между внутренним процессором и АРМ;
• возможность интеграции SMART-карты в АМДЗ;
• поддержка средств идентификации и аутентификации на базе идентификаторов eToken, MS-Key, Rutoken, JaCarta, ePass2003 и др.;
• поддержка многофакторной аутентификации с использованием биометрических данных пользователя (вход в систему по отпечаткам пальцев, смарт-карте и PIN-коду);
• возможность одновременной работы в нескольких контурах безопасности с разным уровнем конфиденциальности за счет использования технологий аппаратной виртуализации.

СКРД Diamond ACS включает в свой состав следующие продукты:

• СКРД Diamond ACS на автономном АРМ (программное обеспечение);
• СКРД Diamond ACS Enterprise на автономном АРМ (программное обеспечение);
• СКРД Diamond ACS в распределенной гетерогенной сети (программное обеспечение);
• СКРД Diamond ACS Enterprise в распределенной гетерогенной сети (программное обеспечение);
• аппаратные модули СКРД Diamond ACS (носитель ключевой и идентифицирующей информации Diamond USB Key Lt, аппаратный модуль системы контроля доступа на рабочей станции в сети «Diamond ACS HW» PCI, PCI-E, «Diamond ACS HW» miniPCI-E, модуль Deep Virtual Secure «Diamond ACS HW» USB);
• специальные модули СКРД Diamond ACS (модуль Deep Virtual Secure для «Diamond ACS HW» PCI/PCI-E/mPCI-E и модуль коммутации Ethernet для «Diamond ACS HW» PCI/PCI-E).

В состав СКРД Diamond ACS входят консоль администрирования или программный комплекс управления безопасностью СКРД «Diamond ACS Security Management Server Enterprise», и агенты, устанавливаемые на СВТ.

ООО ТСС совместно с другими разработчиками средств защиты информации проводят работу по созданию интегрированных решений с использованием СКРД Diamond ACS. В частности, в версии Diamond ACS 3.21.0.7 реализована поддержка модулей доверенной загрузки ОКБ САПР, что позволило выполнить требования ФСТЭК России для высоких классов защиты. В настоящее время ведется работа по созданию системы управления АПМДЗ для выполнения требований ФСБ.