*Источник: http://www.bloomberg.com/infographics/2014-05-14/target-data-breach.html

Недостатки современных систем защиты информации

• направлены в основном на защиту от внешних угроз;
• система защиты является частью охраняемого объекта;
• защита осуществляется в виртуальном, а не физическом пространстве.

Группа компаний "Контрол" предлагает новый программно-аппаратный комплекс XVmatic для противодействия внешним и внутренним угрозам, включающий информационную и физическую защиту данных.

Новая архитектура XVmatic предполагает:

• разделение компонентов оборудования: системный блок, монитор, клавиатура, диски;
• полную независимость системы защиты информации от операционной системы и вычислительной среды;
• разделение дискового пространства на оперативное и долговременное. XViewsion BIG DATA;
• включение в систему защиты технических средств охраны, таких как видеонаблюдение, контроль доступа, биометрия и сигнализация.
  
  

Разделение компонентов оборудования

• Система разделяется на несколько компонентов. Тогда любые программы, в том числе зловреды, не могут работать.
• Для выполнения рабочих процессов компоненты объединяются независимыми внешними устройствами - контроллером IDmatic KR/M001 и периферийным контроллером IDmatic KS/M001.
• Процесс объединения выполняется по заданному сценарию и регламенту.
  
  

Бинарный принцип

Система напоминает бинарное разделение элементов в некоторых видах взрывчатых веществ.
По-отдельности их можно хранить и перевозить, опасности они не представляют. Но как только элементы смешиваются, соединение становится взрывоопасно.

Разделение оперативного массива дисков и клиентских рабочих мест

Сервер клиентских образов Fractal-CI обеспечивает только работу оперативного дискового массива. Клиентский образ - это операционная система с программным окружением, которая запускается на рабочем месте.

Все рабочие места связаны с сервером через компьютерную сеть.

При запуске рабочего места клиентский образ создается как клон "золотой" копии операционной системы с программным окружением. При завершении работы этот клиентский образ стирается, уничтожая все внесенные при работе вирусы и зловреды.
Вычисления выполняются непосредственно на рабочем месте, используя его процессор, 3d-ускоритель и всю периферию.
Диска в системном блоке рабочего места нет.

Полная независимость системы защиты информации от операционной системы и вычислительной среды

Стандартная система

Если система защиты является частью защищаемого объекта, она может быть отключена зловредом или сама стать источником вирусов и зловредов для объекта защиты.

Наша система

Система XVmatic физически отделена от защищаемого объекта. Нет никаких цифровых интерфейсов, связывающих обе системы. При этом осуществляется контроль доступа, биометрическая верификация, охрана рабочих мест и серверов. Такой подход позволяет исключить даже теоретическую возможность занесения в защищаемую среду зловредов или вирусов.

Разделение дискового пространства на оперативное и долговременное. XViewsion BIG DATA для защиты от программных закладок "нулевого дня".

Оперативное дисковое пространство

Работа ведется в течение одной-двух недель. В случае аварии можно быстро восстановить систему после сбоя.

Долговременное дисковое пространство

Работа ведется в течение года. В каждый момент времени задействован только один сервер. Поэтому в "нулевой день" данные на большей части оборудования будут недоступны для атаки.

Включение в систему защиты технических средств охраны: видеонаблюдение, контроль доступа, биометрия и сигнализация

Доступ к рабочим местам осуществляется по профилю, в котором учитывается время доступа, номер помещения, номер радиокарты, пароль, биометрические и другие данные пользователя. Все эти параметры однозначно идентифицируют сотрудника не только в виртуальном, но и в физическом пространстве. Дополнительно осуществляется видеонаблюдение в помещениях, регистрируются изображения на мониторах рабочих мест и работает охранная сигнализация, установленная на средствах вычислительной техники.

Как работает XVmatic с разными угрозами?

Внешние угрозы

• Разделение компонентов рабочего места защищает от угроз вирусов, когда на нем не выполняются основные операции.
• Разделение системы защиты и защищаемого объекта позволяет, с одной стороны, исключить возможность внедрения зловредов или вирусов со стороны защиты, и, с другой стороны, не допустить отключение самой защиты вирусами, находящимися на объекте.
• Создание клиентского образа как клона "золотой" копии проверенной операционной системы с программным окружением при запуске рабочего места позволяет предотвратить угрозу длительного воздействия вирусов или зловредов.
• Разделение дискового пространства на оперативное и долговременное позволяет устранить опасности закладок "нулевого дня".
  
  

Действия персонала

Под действиями персонала мы понимаем:

• человеческий фактор, случайность - неумышленные действия сотрудников, которые приводят к потере данных;
• мошенничество - вынуждение сотрудников совершать какие-либо действия, которые приводят к хищению или потере данных;
• действия инсайдеров - умышленные действия сотрудников, обладающих определенными полномочиями, которые приводят к хищению данных.
  
  

Технологии защиты от действий персонала

Сценарий "4-х глаз"

Одновременная работа на одном рабочем месте двух сотрудников, один из которых оператор, а другой — контролер.

Если контролер или оператор покинет помещение, в котором находится рабочее место, сеанс автоматически прерывается. При этом отключается только монитор, клавиатура и мышь, а исполняемая программа не прерывается.

Работа под контролем дежурного службы безопасности

Постоянный мониторинг действий пользователя посредством видеокамеры, расположенной перед оператором, и устройства захвата изображения на экране компьютера.

В дежурной службе отображается: текущее изображение экрана, фотография сотрудника из базы данных и реальное изображение, полученное с видеокамеры.

Если у оператора дежурной службы возникают какие-либо подозрения или сомнения в правомерности действий пользователя рабочего места, он может удаленно отключить клавиатуру, монитор и мышь и в дальнейшем разобраться в инциденте.

Удаленный контроль руководителем

Данный вид контроля может осуществляться как за действиями операторов рабочих мест, так и за действиями дежурной службы в экстренных ситуациях.

Автоматизированный контроль

Используются технические средства XVmatic, в том числе контроль доступа в помещение, биометрическая верификация, видеонаблюдение, управление сценариями и регламентами. Сценарии - это алгоритмы работы, а регламенты - это условия.

Технология процессов, регламентов и сценариев

Сертифицированные средства всегда имеют правила их использования. Например, пароль нельзя передавать другому пользователю. Однако эти правила существуют только на бумаге и имеют только административную силу. Управление процессами и регламентами в системе XVmatic позволяет сделать физически невозможным нарушение этих правил.

Технология непрерывного мониторинга парольной защиты

Режим распознавания лица не только для биометрической идентификации сотрудника при входе в систему, но и для периодического распознавания лица с целью подтверждения личности оператора. Кроме этого, на рабочее место оператора настроен детектор присутствия системы видеонаблюдения. Если оператор покидает рабочее место, через заданный временной интервал клавиатура, мышь и монитор отключаются от системного блока, и рабочее место блокируется.

Технологии информационного следа и анализа инцидентов по базе метаданных

Интеллектуальный поиск при расследовании инцидентов

Физическая кража

Технологии защиты от физической кражи оборудования

• интеграция с системами охранной сигнализации, видеонаблюдения, контроля доступа. Проход по карточкам, биометрии, RFID-меткам;
• хранение клиентских образов на защищенном сервере в отдельном помещении;
• отсутствие информации на клиентских рабочих местах;
• информационный след: совокупность всех данных информационных и физических систем защиты для расследования инцидентов.

Дополнительные бонусы

Экономия средств.

Для стандартной системы на 100 компьютеров требуется 100 дисков и больше. В системе XVmatic потребуется 6 дисков на сервере клиентских образов.

Увеличение производительности вычислительной среды:

• использование ресурсов рабочих станций, в отличие от технологии "тонкого" клиента;
• многоуровневая система хранения - multi-tier storage с твердотельной памятью;
• применение быстрых алгоритмов сжатия клиентских образов, позволяющих до трех раз сократить объем данных без потери производительности.

Повышение надежности

• переход на "горячий" резервный сервер в случае выхода из строя сервера клиентских образов;
• RAID с поддержкой непрерывной работы сервера клиентских образов при выходе из строя до 3 дисков;
• точки восстановления системных данных с интервалом 15 минут и сроком хранения до года.

Комфортная работа пользователя на рабочем месте

• свобода выбора операционной системы: Linux или Windows;
• бесшумная рабочая среда;
• возможность запуска своего клиентского образа на любом рабочем месте.

Централизованное администрирование

Управление установкой и обновлением операционных систем, приложений, драйверов осуществляется администратором с одного рабочего места для всех сотрудников.

Контроль над бизнесом

Все данные, полученные системой XVmatic, ее сценарии и регламенты могут быть использованы для управления и объективного контроля бизнес-процессов предприятия.

Оптимизация количества лицензий

Применение системы XVmatic позволяет пользователям оптимизировать число лицензий.
Нужны лицензии только для работы в конкретный момент времени, а не на каждое рабочее место. Аналогично интернет-компании делят канал на большое число пользователей.

Процесс оптимизации необходимо строить в соответствии с лицензионным соглашением каждого программного продукта отдельно.

Повышение отдачи от вложений в технические средства охраны

Спасибо за внимание!

Группа Компаний "Контрол"