Secret Net 6. Руководство администратора - Защита. Ru Аппаратные средства Средство защиты ...
Страница 1
RU.88338853.501410.007 91 8 Руководство администратора Аппаратные средства Средство защиты информации SECRET NET 6
Страница 2
Компания "Код Безопасности", 2010. Все права защищены. Все авторские права на эксплуатационную документацию защищены. Этот документ входит в комплект поставки изделия. На него распространяются все условия лицензионного соглашения. Без специального письменного разрешения компании "Код Безопасности" этот документ или его часть в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью. Информация, содержащаяся в этом документе, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании "Код Безопасности". Почтовый адрес: 127018, г. Москва, ул. Сущ вский Вал, дом 47, стр. 2, помещение 1 Телефон: (495) 980-23-45 Факс: (495) 980-23-45 e-mail: info@securitycode.ru Web: http://www.securitycode.ru Версия: 6.5 Последнее обновление: 14-09-10
Страница 3
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 3 Оглавление Список сокращений ... 4 Введение ... 4 Глава 1. Аппаратная поддержка Secret Net 6 ... 5 Средства идентификации и аутентификации... 5 СИА на базе iButton...6 СИА на базе USB-ключей...8 Устройства аппаратной поддержки Secret Net 6 ... 9 Программно-аппаратные комплексы семейства "Соболь" ...9 Secret Net Card и Secret Net Touch Memory Card PCI 2 ... 11 Варианты применения устройств аппаратной поддержки ...12 Глава 2. Установка аппаратных средств... 14 Комплексы семейства "Соболь"...14 Общие сведения об интеграции Secret Net 6 и комплексов "Соболь" ... 14 Установка комплексов "Соболь" ... 15 Интеграция комплексов "Соболь" с Secret Net 6 в сетевом режиме ... 17 Интеграция комплексов "Соболь" с Secret Net 6 в автономном режиме ... 23 Secret Net Card и Secret Net Touch Memory Card PCI 2 ...25 Установка программного обеспечения СИА на базе USB-ключей...27 eToken PRO ... 27 iKey 2032 ... 30 Rutoken... 31 Терминологический справочник ... 33 Документация ... 34
Средства защиты от несанкционированного доступа
Каталог · Поиск · Статьи · Оплата · Доставка · Статус заказа · Партнеры ·
Контакты ... Программные и аппаратные средства защиты информации, ... в
семействе продуктов Secret Net реализована с помощью программно-
аппаратных решений. ... Также в разделе указана для пак соболь цена
приобретения.
http://www.4systems.ru/catalog/category/dnd
Страница 4
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 4 Список сокращений ДСЧ Датчик случайных чисел КС Контрольная сумма КЦ Контроль целостности НСД Несанкционированный доступ ОС Операционная система ПАК Программно-аппаратный комплекс ПО Программное обеспечение СИА Средство идентификации и аутентификации ЦУ Централизованное управление Введение Данное руководство предназначено для администраторов изделия "Средство за- щиты информации Secret Net 6" RU.88338853.501410.007 (далее система Se- cret Net 6, Secret Net 6). В руководстве содержатся сведения, необходимые администраторам для установки, настройки и эксплуатации средств аппарат- ной поддержки Secret Net 6. В руководстве для выделения некоторых элементов текста (примечаний и ссы- лок) используется ряд условных обозначений. Внутренние ссылки обычно содержат указание на номер страницы с нужными све- дениями. Ссылки на другие документы или источники информации размещают- ся в тексте примечаний или на полях. Важная и дополнительная информация оформлена в виде примечаний. Степень важности содержащихся в них сведений отображают пиктограммы на полях. Так обозначается дополнительная информация, которая может содержать примеры, ссылки на другие документы или другие части этого руководства. Такой пиктограммой выделяется важная информация, которую необходимо принять во внимание. Эта пиктограмма сопровождает информацию предостерегающего характера. Исключения. Некоторые примечания могут и не сопровождаться пиктограммами. А на полях, по- мимо пиктограмм примечаний, могут быть приведены и другие графические элементы, например, изображения кнопок, действия с которыми упомянуты в тексте расположенного рядом абзаца. Сайт в Интернете. Если у вас есть доступ в Интернет, вы можете посетить сайт компании "Код Безопасности" (http://www.securitycode.ru/) или связаться с представителями компании по электронной почте (support@securitycode.ru и hotline@infosec.ru). Учебные курсы. Освоить аппаратные и программные продукты компании "Код Безопасности" можно на курсах Учебного центра "Информзащита". Пере- чень курсов и условия обучения представлены на сайте http://www.itsecurity.ru/. Связаться с представителем учебного центра можно по электронной почте (edu@infosec.ru). Условные обозначения Другие источники информации
Страница 5
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 5 Глава 1 Аппаратная поддержка Secret Net 6 Система Secret Net 6 предназначена для защиты информации в локальных вы- числительных сетях, рабочие станции и серверы которых работают под управ- лением 32- и 64-разрядных ОС MS Windows 2000/XP/2003/Vista/2008/7. Система Secret Net 6 дополняет стандартные механизмы защиты операционных систем функциями защиты от НСД к информационным ресурсам компьютеров. В Secret Net 6 поддерживается работа со следующими аппаратными средствами: Комплексы семейства "Соболь": Программно-аппаратный комплекс "Соболь". Версия 3.0 (далее ком- плекс "Соболь 3.0"); Программно-аппаратный комплекс "Соболь". Версия 2.1 (далее ком- плекс "Соболь 2.1"). Изделие Secret Net Touch Memory Card PCI 2. Изделие Secret Net Card. USB-ключи eToken PRO, iKey 2032, Rutoken v.1, Rutoken S, Rutoken RF S. Внешние средства хранения данных (дискеты, ZIP-устройства, магнитооп- тические диски, USB-диски и др.). Применение конкретного типа устройства или их комбинации зависит от раз- личных факторов (требований заказчика, конфигурации защищаемого компью- тера, вариантов использования Secret Net 6 и др.). Средства аппаратной поддержки Secret Net 6 могут обеспечивать: защиту от НСД к информационным ресурсам компьютеров посредством реа- лизации механизма идентификации и аутентификации, блокировки несанк- ционированной загрузки ОС со съемных носителей и т. д.; контроль и регистрацию (КЦ программной среды компьютера, регистрация событий, имеющих отношение к безопасности системы); хранение конфиденциальной информации (криптографических ключей, па- ролей доступа, сертификатов и других важных данных). Средства идентификации и аутентификации В системах защиты информации одним из основных способов защиты компьюте- ров от НСД является реализация процедуры идентификации и аутентификации. Идентификация заключается в распознавании субъекта доступа по присущему или присвоенному ему идентификационному признаку. Проверка принадлежно- сти субъекту доступа предъявленного им идентификатора (подтверждение под- линности) осуществляется в процессе аутентификации. В настоящее время в системах защиты компьютеров от НСД широко используются аппаратные СИА. В состав СИА входят идентификатор, считывающее устройство (считыватели, контактные устройства, адаптеры, платы доверенной загрузки, разъемы мате- ринской платы и др.) и соответствующее программное обеспечение. Идентифи- катор предназначен для хранения уникальных идентификационных признаков. Кроме того, он может хранить и обрабатывать разнообразные конфиденциаль- ные данные. Считывающее устройство обеспечивает обмен данными между идентификатором и защищаемым компьютером. Современные СИА принято классифицировать по следующим особенностям: по способу считывания идентификационных признаков; по виду используемых идентификационных признаков. По способу считывания СИА подразделяются на контактные, бесконтактные (дистанционные) и комбинированные. Контактное считывание идентификационных признаков подразумевает непо- средственный контакт идентификатора и считывающего устройства. Считыва- ние данных происходит при проведении идентификатора через считыватель или в результате их простого соприкосновения.
ООО "АйПиТелеком" - Средства защиты информации
Электронный замок «Соболь» может применяться как устройство, ... и
программно-аппаратные комплексы (средства защиты информации ...
Средства защиты информации от утечек по техническим каналам ... «
КриптоАРМ», наряду со стандартными криптопровайдерами (входящими в
поставку Windows), ...
http://www.iptk.ru/pages/sredstva-zaschity-informatsii
Страница 6
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 6 Бесконтактный (дистанционный) способ считывания не требует четкого пози- ционирования идентификатора и считывающего устройства. Чтение данных происходит при поднесении идентификатора на определенное расстояние к считывателю. Комбинированный способ подразумевает сочетание нескольких различных спо- собов считывания. По виду используемых идентификационных признаков СИА могут быть элек- тронными, биометрическими и комбинированными. В электронных СИА идентификационные признаки представляются в виде циф- рового кода, хранящегося в памяти идентификатора. Устройства такого типа разрабатываются на базе идентификаторов iButton, USB-ключей и смарт-карт (контактных и бесконтактных). В биометрических устройствах идентификационными признаками являются ин- дивидуальные физические признаки человека, называемые биометрическими характеристиками. Например, отпечатки пальцев, форма кисти руки, узор ра- дужной оболочки глаза, рисунок сетчатки глаза, черты лица, параметры голоса и др. В комбинированных СИА для идентификации применяются одновременно несколько идентификационных признаков. В современных системах защиты информации наиболее широко используются электронные СИА в силу их высокой надежности, удобства считывания иден- тификационных признаков и относительно низкой стоимости. В Secret Net 6 поддерживается применение электронных СИА на базе идентификаторов iButton и USB-ключей eToken PRO, iKey 2032, Rutoken v.1, Rutoken S, Rutoken RF S. СИА на базе iButton В настоящее время компания Maxim Integrated Products выпускает более 20 моделей идентификаторов iButton. Для защиты компьютеров от НСД в основном используются идентификаторы семейства DS199Х (см. Табл. 1 на стр. 7), кото- рые различаются внутренней структурой, функциональными возможностями и, соответственно, ценой. В Secret Net 6 поддерживается функционирование СИА на базе идентификаторов DS1990 DS1996. Идентификаторы iButton представляют собой микросхему (чип), вмонтирован- ную в герметичный корпус из нержавеющей стали. Корпус iButton отдаленно напоминает батарейку для наручных часов и имеет диаметр 17,35 мм при высоте 5,89 мм (корпус F5) или 3,1 мм (корпус F3). Корпус защищает микросхему от различных внешних воздействий и обеспечивает высокую живучесть прибора в условиях агрессивных сред, пыли, влаги, внешних электромагнитных полей, механических ударов и т. п. Рис. 1. Идентификаторы iButton В структуре iButton можно выделить следующие основные части: постоянное запоминающее устройство ROM, энергонезависимое (nonvolatile NV) опера- тивное запоминающее устройство NV RAM, сверхоперативное запоминающее устройство (scratchpad memory SM), часы реального времени (для DS1994), а также элемент питания встроенную миниатюрную литиевую батарейку. Из- делие DS1990 содержит только ROM. В ROM хранится 64-разрядный код, состоящий из 48-разрядного уникального серийного номера (идентификационного признака), 8-разрядного кода типа
Страница 7
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 7 идентификатора и 8-разрядной контрольной суммы. Память SM является бу- ферной и выполняет функции блокнотной памяти. Память NV RAM идентифика- тора DS1991 является закрытой, доступ к ее блокам защищается паролями. Память NV RAM идентификаторов DS1992 DS1996 является открытой. Табл. 1. Идентификаторы iButton Тип изделия Корпус Емкость ROM, бит Емкость SM, бит Емкость NV RAM, бит Примечание DS1990 F3, F5 64 DS1991 F5 64 512 1152 (3 блока x 384 бит) 3 блока NV RAM защищаются паролями DS1992 F5 64 256 1К (4 страницы x 256 бит) Незащищенная NV RAM DS1993 F5 64 256 4К (16 страниц x 256 бит) Незащищенная NV RAM DS1994 F5 64 256 4К (16 страниц x 256 бит) Незащищенная NV RAM Часы реального времени DS1995 F5 64 256 16К (64 страницы x 256 бит) Незащищенная NV RAM DS1996 F5 64 256 64К (256 страниц x 256 бит) Незащищенная NV RAM Обмен информацией, хранящейся в идентификаторе, с компьютером происхо- дит в соответствии с протоколом 1-Wire с помощью разнообразных считываю- щих устройств (PCI-адаптеров, адаптеров последовательного и параллельного портов). Информация записывается в идентификатор и считывается из него пу- тем прикосновения корпуса iButton к считывающему устройству. Время контак- та не менее 5 мс, гарантированное количество контактов составляет несколько миллионов. Интерфейс 1-Wire обеспечивает обмен информацией со скоростью 16 Кбит/с или 142 Кбит/с (ускоренный режим). В Secret Net 6 считывающее устройство iButton (в дальнейшем считыватель iButton) подклю- чается к внешнему (или внутреннему) разъему плат комплексов "Соболь" и к внешнему разъему плат изделий Secret Net Touch Memory Card PCI 2, Secret Net Card. Достоинствами СИА на базе идентификаторов iButton являются: долговечность (время хранения информации в памяти идентификатора со- ставляет не менее 10 лет); высокая степень механической и электромагнитной защищенности; малые размеры, удобство хранения; относительно невысокая стоимость.
Программно-аппаратные комплексы "Соболь" - Сюртель
Программно-аппаратные средства защиты информации от НСД ... защиты
информации от НСД Secret Net; Программно-аппаратные комплексы "
Соболь" и "Росомаха" ... Комплектность поставки зависит от размера
защищаемой ...
http://www.suritel.ru/cgi-bin/view.pl?cid=1187156006&CatId=45
Страница 8
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 8 СИА на базе USB-ключей Средства идентификации и аутентификации на базе USB-ключей предназнача- ются для работы непосредственно с USB-портом компьютера и не требуют ап- паратного считывающего устройства. Подключение к USB-порту осуществляется непосредственно или с помощью соединительного кабеля. Идентификаторы конструктивно изготавливаются в виде брелоков, которые выпускаются в цветных корпусах, имеют световые индикаторы работы и легко размещаются на связке с ключами. Каждый USB-ключ имеет прошиваемый при изготовлении уникальный 32/64-разрядный серийный номер. Рис. 2. USB-ключ eToken PRO В состав USB-ключей могут входить: процессор управление и обработка данных; криптографический процессор реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобра- зований; USB-контроллер обеспечение интерфейса с USB-портом компьютера; RAM хранение изменяемых данных; многократно программируемая постоянная память EEPROM хранение ключей шифрования, паролей, сертификатов и других важных данных; ROM хранение команд и констант. На российском рынке компьютерной безопасности наибольшей популярностью пользуются следующие USB-ключи: eToken разработка компании Aladdin Knowledge Systems; iKey разработка компании SafeNet; Rutoken совместная разработка российских компаний "Актив" и "АНКАД". В Secret Net 6 поддерживается работа СИА на базе USB-ключей eToken PRO, iKey 2032, Ruto- ken v.1, Rutoken S, Rutoken RF S. В USB-ключе eToken PRO закрытая информация хранится в защищенной памя- ти емкостью 32/64 Кбайт. Каждый идентификатор имеет уникальный серийный 32-разрядный номер. В eToken PRO аппаратно реализованы криптографиче- ские алгоритмы RSA с ключами длиной 1024 бит и 2048 бит, DES/56, 3DES/168, SHA-1, MAC, iMAC. Емкость памяти USB-ключа iKey 2032 составляет 32 Кбайт. Разрядность серий- ного номера равна 64. Помимо отмеченных выше криптоалгоритмов в iKey 2032 также реализованы MD5, RC2, RC4, RC5. Главным отличием USB-ключей Rutoken от зарубежных аналогов является аппа- ратная реализация российского алгоритма шифрования ГОСТ 29147-89. В Rutoken RF S встроена радиочастотная метка, позволяющая дополнительно реа- лизовать бесконтактный способ считывания идентификационных признаков. Достоинствами СИА на базе USB-ключей являются: малые размеры, удобство хранения идентификатора; отсутствие аппаратного считывателя; простота подсоединения идентификатора к USB-порту. К недостаткам USB-ключей можно отнести их относительно высокую стоимость.
Страница 9
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 9 Устройства аппаратной поддержки Secret Net 6 Аппаратные СИА обеспечивают реализацию одной из основных функций Secret Net 6 контроль входа пользователей в систему. В зависимости от решаемых Secret Net 6 задач СИА могут функционировать совместно с комплексами семей- ства "Соболь" и изделиями Secret Net Touch Memory Card PCI 2, Secret Net Card. Идентификация и аутентификация пользователей с помощью устройств аппа- ратной поддержки в Secret Net 6 может осуществляться как во время непосред- ственного входа пользователя на рабочий компьютер, так и во время его входа с удаленного компьютера. Особенности настройки параметров ОС Windows для реализации удаленного доступа рассматриваются в приложении "Использова- ние терминального доступа" документа [ 3 ]. Программно-аппаратные комплексы семейства "Соболь" Комплексы семейства "Соболь" ("Соболь 3.0", "Соболь 2.1") предназначены для предотвращения НСД посторонних лиц к ресурсам защищаемого компьютера. Комплексы реализуют следующие основные функции: идентификация и аутентификация пользователей при их входе в систему с помощью персональных электронных идентификаторов: iButton, eToken PRO, iKey 2032, Rutoken S, Rutoken RF S "Соболь 3.0"; iButton "Соболь 2.1"; контроль целостности файлов и физических секторов жесткого диска ком- пьютера до загрузки операционной системы; контроль работоспособности основных компонентов комплекса энергоне- зависимой памяти, идентификаторов, датчика случайных чисел; защита от несанкционированной загрузки операционной системы со съем- ных носителей информации дискет, оптических дисков, ZIP-устройств, магнитооптических дисков, USB-устройств и др.; функционирование механизма сторожевого таймера; регистрация событий, связанных с безопасностью системы. В комплект поставки комплексов семейства "Соболь" входят: компакт-диск с ПО и эксплуатационной документацией; плата для шины: стандарта PCI в комплексах "Соболь 3.0/2.1" (см. Рис. 3 на стр. 10); стандарта PCI Express (PCI-E) в комплексе "Соболь 3.0" (см. Рис. 4 на стр. 10); идентификаторы (количество и тип идентификаторов согласовывается с за- казчиком и определяется договором о поставке изделия): iButton, eToken PRO, iKey 2032, Rutoken S, Rutoken RF S для "Соболь 3.0"; iButton для "Соболь 2.1"; контактное устройство для идентификатора iButton (считыватель iButton); соединительный кабель для механизма сторожевого таймера. Основными компонентами плат комплексов являются: микросхема флэш-памяти с кодом расширения BIOS; программируемая логическая интегральная схема XILINX с двумя микро- схемами постоянной памяти, содержимое которых загружается в XILINX; две микросхемы энергонезависимой памяти EEPROM; два канала аппаратных ДСЧ; два твердотельных оптоэлектронных реле аппаратной блокировки устройств.
Страница 10
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 10 Рис. 3. Плата комплекса "Соболь 2.1/3.0" для шины PCI Рис. 4. Плата комплекса "Соболь 3.0"для шины PCI-E Комплексы позволяют хранить информацию о 32 учетных записях пользовате- лей, не считая администратора. Идентификация пользователей осуществляется с помощью СИА на базе iButton, eToken PRO, iKey 2032, Rutoken S, Rutoken RF S . Контактное устройство для iButton может подключаться как к внутренне- му разъему платы, так и к внешнему. Скорость обмена данными между иденти- фикатором iButton и платой комплекса составляет 16 Кбит/с. Аутентификация пользователя осуществляется по паролю длиной до 16 символов и персональ- ному идентификатору. Блокировка несанкционированной загрузки ОС со съемных носителей (дискет, оптических дисков, ZIP-устройств, магнитооптических дисков, USB-устройств и др.) осуществляется программным способом путем блокирования доступа к указанным устройствам при запуске компьютера. После успешной загрузки ОС доступ к этим носителям восстанавливается. Контроль целостности программной среды компьютера заключается в проверке изменения файлов и секторов жесткого диска. Для этого вычисляются некото- рые текущие контрольные значения проверяемых объектов и сравниваются с
Страница 11
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 11 эталонными значениями, заранее рассчитанными для каждого из этих объек- тов. Контроль целостности программной среды может выполняться для файло- вых объектов любых операционных систем, использующих файловые системы NTFS, FAT 16, FAT 32. Сведения и специальные рекомендации, необходимые администратору для ус- тановки и эксплуатации комплексов "Соболь 2.1" и "Соболь 3.0", приводятся в документах [ 10 ] и [ 12 ] соответственно. Secret Net Card и Secret Net Touch Memory Card PCI 2 Изделия Secret Net Card и Secret Net Touch Memory Card PCI 2 (далее SN Card и SN TM Card PCI 2 соответственно) разработаны на базе комплекса "Соболь". В Secret Net 6 изделия SN Card и SN TM Card PCI 2 используются как средства аппаратной поддержки, реализующие: аппаратную поддержку реализуемой Secret Net 6 процедуры идентифика- ции и аутентификации пользователей с помощью персональных идентифи- каторов iButton; блокировку несанкционированной загрузки ОС со съемных носителей (дис- кет, оптических дисков, ZIP-устройств, магнитооптических дисков, USB- устройств и др.); механизм сторожевого таймера автоматическую перезагрузку компьюте- ра при условии, что после включения его питания и по истечении опреде- ленного времени управление не было передано расширению BIOS платы изделия. Рис. 5. Плата SN Card и SN TM Card PCI 2 для шины PCI В комплект поставки SN Card и SN TM Card PCI 2 входят: плата для шины: стандарта PCI в SN TM Card PCI 2 и SN Card (см. Рис. 5 на стр. 11); стандарта PCI-E в SN Card; идентификаторы iButton (количество и тип идентификаторов согласовыва- ется с заказчиком и определяется договором о поставке изделия); контактное устройство для идентификатора iButton; соединительный кабель для механизма сторожевого таймера. Основными узлами платы изделия являются: микросхема флэш-памяти с кодом расширения BIOS;
Страница 12
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 12 программируемая логическая интегральная схема XILINX с двумя микро- схемами постоянной памяти, содержимое которых загружается в XILINX; две микросхемы энергонезависимой памяти EEPROM. Блокировка несанкционированной загрузки ОС со съемных носителей (дискет, оптических дисков, ZIP-устройств, магнитооптических дисков, USB-устройств и др.) осуществляется программным способом путем запрета доступа к указан- ным устройствам при запуске компьютера. После успешной загрузки ОС доступ к этим устройствам восстанавливается. Варианты применения устройств аппаратной поддержки В Secret Net 6 имеется возможность использования четырех вариантов аппа- ратной поддержки. Применение конкретного варианта определяется требова- ниями заказчика и аппаратно-программными возможностями защищаемых компьютеров. В Табл. 2 представлены варианты применения аппаратных средств в зависимо- сти от решаемых Secret Net 6 задач ("Да" поддержка работы изделия, "Нет" отсутствие поддержки). Табл. 2. Варианты аппаратной поддержки Secret Net 6 Номера вариантов использования аппаратных средств Задачи, решаемые с помощью средств аппаратной поддержки 1 2 , 3 4 Идентификация и аутентификация пользователей до загрузки ОС Да Нет Нет Идентификация и аутентификация во время входа пользователя после загрузки ОС Да Да Да Идентификация и аутентификация во время входа пользователя с удаленного компьютера Да Да Да Запрет загрузки ОС со съемных носителей Да Да Нет Контроль целостности программной среды компьютера до загрузки ОС Да Нет Нет Снятие временной блокировки компьютера Да Да Да Хранение в идентификаторе пароля и криптографического ключа Да1 Да2 Да В Secret Net 6 для хранения криптографических ключей поддерживается применение внешних средств хранения данных (дискет, ZIP-устройств, магнитооптических дисков, USB-дисков и др.). Ниже в виде схем представлены пронумерованные в Табл. 2 варианты. В каж- дой схеме структурно показаны соединения аппаратных средств и устройств ввода/вывода компьютера. 1 Идентификатор iButton Считыватель iButton USB-ключ для Соболь 3.0 USB-порт компьютера Соболь 3.0 для шины PCI-E или Соболь 3.0 / 2.1 для шины PCI 1 Используются идентификаторы iButton DS1993, DS1994, DS1995, DS1996, USB-ключи eToken PRO, iKey 2032, Rutoken v.1, Rutoken S, Rutoken RF S. 2 Используются идентификаторы iButton DS1992, DS1993, DS1994, DS1995, DS1996.
Страница 13
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 13 Для использования в Secret Net 6 комплексов семейства "Соболь" (вариант 1) с USB-ключами требуется свободный USB-порт (для комплекса "Соболь 3.0") и необходимо наличие на материнской плате защищаемого компьютера свобод- ного разъема системной шины: либо стандарта PCI версий 2.0, 2.1, 2.2, 2.3 с напряжением питания 5 В или 3,3 В для платы "Соболь 3.0/2.1"; либо стандарта PCI-E версии 1.0а и выше для платы "Соболь 3.0". 2 Идентификатор iButton Считыватель iButton Secret Net Card для шины PCI-E или Secret Net Card для шины PCI 3 Идентификатор iButton Считыватель iButton Secret Net Touch Memory Card PCI 2 для шины PCI Для использования SN Card и SN TM Card PCI 2 (варианты 2 и 3) необходимо наличие на материнской плате защищаемого компьютера свободного разъема системной шины: либо стандарта PCI версий 2.0, 2.1, 2.2, 2.3 с напряжением питания 5 В или 3,3 В для плат SN Card и SN TM Card PCI 2; либо стандарта PCI-E версии 1.0а и выше для платы SN Card. 4 USB-ключ USB-порт компьютера Для использования USB-ключей в варианте 4 требуется свободный USB-порт защищаемого компьютера.
Страница 14
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 14 Глава 2 Установка аппаратных средств Комплексы семейства "Соболь" Общие сведения об интеграции Secret Net 6 и комплексов "Соболь" Комплексы семейства "Соболь" обеспечивают защиту от НСД к информацион- ным ресурсам автономных компьютеров, сетевых рабочих станций и серверов, на которые устанавливается система Secret Net 6. Комплексы семейства "Со- боль" могут функционировать как автономно, так и совместно с Secret Net 6. В автономном режиме работы комплексы "Соболь" реализуют свои основные функции до старта операционной системы независимо от Secret Net 6. Любым внешним программам при этом запрещается доступ к энергонезависимой памя- ти комплекса. Управление пользователями, журналом регистрации событий, настройка общих параметров осуществляются средствами администрирования комплекса без ограничений. В режиме совместного использования (интеграции) внешним программам, вхо- дящим в состав Secret Net 6, разрешается доступ к энергонезависимой памяти комплекса. В этом случае значительная часть функций управления комплексом осуществляется с помощью средств администрирования Secret Net 6. В режиме интеграции системы Secret Net 6 и комплекса "Соболь" идентификатор iButton DS1992 не используется. Рекомендуется использовать идентификаторы DS1995, DS1996 или USB- ключи, поддерживаемые ПАК "Соболь". В Secret Net 6 администратору предоставляется возможность осуществления локального и централизованного управления параметрами средства защиты (соответственно так называемые автономный и сетевой режимы функцио- нирования Secret Net 6). Для обеспечения защиты данных в процессе централизованного управления комплексами "Соболь" в Secret Net 6 реализован ряд криптографических пре- образований на основе ГОСТ 28147-89, ГОСТ Р34.10-2001. В Табл. 3 представ- лен перечень используемых ключей шифрования и их назначение. Табл. 3. Ключи шифрования, используемые в механизме централизованного управления комплексами "Соболь" Наименование ключа Назначение Место хранения Симметричный ключ ЦУ Шифрование хранимых в AD аутентификаторов3 пользователей. Расчет имитовставки для спи- ска доступных пользователю компьютеров Персональный идентификатор администратора Закрытый ключ ЦУ Расчет сессионного ключа компьютера при выполнении операций администрирования Персональный идентификатор администратора Открытый ключ ЦУ Расчет сессионного ключа компьютера при выполнении операций синхронизации Локальная база данных управляемого компьютера Закрытый ключ компьютера Расчет сессионного ключа компьютера при выполнении операций синхронизации Локальная база данных управляемого компьютера Открытый ключ компьютера Расчет сессионного ключа компьютера при выполнении операций администрирования Active Directory 3 Аутентификатор структура данных, хранящаяся в Active Directory, которая совместно с паролем поль- зователя используется в процедуре его аутентификации.
Страница 15
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 15 Наименование ключа Назначение Место хранения Сессионный ключ компьютера Шифрование информации в AD, предназначенной для за- щищаемого компьютера Не хранится (вычисля- ется в процессе работы) Ключ преобразования паролей комплексов "Соболь" Шифрование информации в закрытой памяти платы ком- плексов "Соболь". Шифрование информации, хранящейся в локальной базе данных защищаемого компьютера Закрытая память платы комплексов "Соболь" Подробные сведения об установке Secret Net 6 приводятся в документе [ 2 ]. Процедуры установки и удаления комплексов семейства "Соболь", их настрой- ки и эксплуатации подробно излагаются в документах [ 10 ] и [ 12 ]. Настройка в Secret Net 6 механизмов контроля входа с использованием комплексов рас- сматривается в документе [ 3 ]. Ниже основное внимание уделено особенно- стям установки комплексов семейства "Соболь" на защищаемые компьютеры и настройке режима совместного использования комплексов с Secret Net 6. Установка комплексов "Соболь" Установку комплексов семейства "Соболь" на защищаемый компьютер рекомендуется произво- дить до установки программного обеспечения Secret Net 6. Комплексы устанавливаются на компьютеры, функционирующие под управле- нием 32- и 64-разрядных ОС MS Windows 2000/XP/2003/Vista/2008/7. Компьютер, в который устанавливается плата комплекса, должен удовлетво- рять следующим требованиям: наличие свободного разъема шины: либо стандарта PCI версий 2.0, 2.1, 2.2, 2.3 с напряжением питания 5 В или 3,3 В; либо стандарта PCI-E версии 1.0а и выше; наличие на материнской плате разъема Reset, подачу сигналов на который невозможно отключить из BIOS Setup или каким-либо другим образом. Для компьютеров с установленными комплексами семейства "Соболь" должны быть предусмотрены меры, обеспечивающие контроль физического доступа к системным блокам компьютеров. Подробные сведения о процедурах установки комплексов содержатся в доку- ментах [ 10 ] и [ 12 ]. Во время установки комплекса "Соболь" на защищаемый компьютер в среде ОС Windows 2003/ Vista/2008/7 на экране может появиться диалоговое окно "Предупреждение безопасности ус- тановка драйвера" с сообщением, что устанавливаемый драйвер не подписан с применением технологии Authenticode. Для продолжения установки нажмите кнопку "Да". Для установки комплекса: 1. Установите программное обеспечение комплекса. Программное обеспечение комплекса необходимо устанавливать до установки в компьютер платы комплекса. 2. Подготовьте плату комплекса к инициализации: снимите перемычку, установленную на разъеме J0 платы (см. Рис. 6, Рис. 7); выключите компьютер, вскройте корпус системного блока; для использования механизма сторожевого таймера: отключите штекер стандартного кабеля кнопки "Reset" от разъема Reset, расположенного на материнской плате; подключите штекер стандартного кабеля кнопки "Reset" к разъе- му RST платы комплекса "Соболь"(см. Рис. 6, Рис. 7);
Страница 16
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 16 подключите штекер кабеля механизма сторожевого таймера, входя- щего в комплект поставки, к разъему платы WD. Затем подключите другой штекер этого кабеля к разъему Reset, расположенному на материнской плате; выберите свободный слот системной шины PCI-E/PCI и аккуратно вставьте в него плату; при необходимости подключите считыватель iButton к внешнему или к внутреннему разъему ТМ платы (см. Рис. 6, Рис. 7); закройте корпус системного блока. TM Разъем для подключения внешнего считывателя iButton механизма сторожевого таймера Разъем для подключения кабеля Разъем для подключения Программируемая логическая интегральная схема (ПЛИС) WD внутреннего считывателя iButton J0 Разъем J0 для выбора режима работы комплекса Flash-память для хранения кода расширения BIOS RST Разъем RST для подключения кабеля, соединяющего плату комплекса с кнопкой Reset Рис. 6. Расположение разъемов на плате "Соболь 3.0" для шины PCI-E TM Разъем для подключения внешнего считывателя iButton механизма сторожевого таймера Разъем для подключения кабеля Разъем для подключения Программируемая логическая интегральная схема (ПЛИС) внутреннего считывателя iButton J0 Разъем J0 для выбора режима работы комплекса Разъем RST для подключения кабеля, соединяющего плату с кнопкой Reset RST WD Flash-память для хранения кода расширения BIOS Рис. 7. Расположение разъемов на плате "Соболь 3.0/2.1" для шины PCI
Страница 17
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 17 3. Выполните инициализацию комплекса: Внимание! При инициализации комплексов на компьютерах домена: используйте при регистрации администратора один и тот же идентификатор админист- ратора (или его копию). При этом на первом компьютере регистрация администратора выполняется в режиме первичной регистрации, а на всех остальных в режиме по- вторной регистрации; для комплексов "Соболь 3.0/2.1" установите одинаковое значение параметра "Версия криптографической схемы". включите питание компьютера; в появившемся на экране меню "Режим инициализации" активируйте команду "Инициализация платы"; Если после включения питания компьютера управление не было передано модулю расши- рения BIOS комплекса, то необходимо в BIOS Setup разрешить загрузку операционной сис- темы с модулей расширения BIOS сетевых плат. в появившемся на экране меню "Общие параметры системы" настройте параметры комплекса (см. документы [ 10 ] и [ 12 ]); выполните регистрацию администратора (см. документы [ 10 ] и [ 12 ]); при необходимости выполните расчет эталонных значений контрольных сумм для объектов, заданных шаблонами контроля целостности; выключите питание компьютера. 4. Подготовьте комплекс к эксплуатации: вскройте корпус системного блока; при наличии подключенного к плате комплекса "Соболь" считывателя iButton отсоедините считыватель от платы: при использовании внешнего считывателя отключите его штекер от разъема платы, расположенного на задней панели системного блока; при использовании внутреннего считывателя отключите его штекер от разъема TM; аккуратно извлеките плату комплекса из разъема шины PCI-E/PCI; установите перемычку на разъем J0 платы (см. Рис. 6, Рис. 7); аккуратно вставьте плату в разъем системной шины PCI-E/PCI и закре- пите планку крепления платы крепежным винтом; при необходимости подключите к плате считыватель iButton: при использовании внешнего считывателя подключите его штекер к разъему платы, расположенному на задней панели системного блока; при использовании внутреннего считывателя подключите его ште- кер к разъему TM. закройте корпус системного блока. Интеграция комплексов "Соболь" с Secret Net 6 в сетевом режиме В сетевом режиме функционирования Secret Net 6 реализуются: централизованное управление входом доменных пользователей и локаль- ное управление входом локальных пользователей Secret Net 6 в комплекс "Соболь" с помощью персональных идентификаторов, инициализированных и присвоенных пользователям в Secret Net 6; централизованное управление доступом доменных пользователей к компь- ютерам домена, защищаемым комплексами "Соболь"; централизованное и локальное управление работой механизма контроля целостности комплекса "Соболь"; автоматическая передача записей журнала событий комплекса "Соболь" в журнал Secret Net (см. Табл. 4) с возможностью дальнейшего централизо- ванного сбора всех журналов в базу данных.
Страница 18
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 18 Табл. 4. События, регистрируемые комплексом "Соболь" и Secret Net События комплекса "Соболь" События системы Secret Net 6 Вход пользователя Вход администратора Соболь: вход пользователя Не рассчитаны контрольные суммы Соболь: не рассчитаны контрольные суммы Переход в автономный режим Переход в сетевой режим Соболь: изменение режима работы Удаление системного журнала Соболь: очистка журнала Ошибка КС внешнего запроса Ошибка внешнего запроса Соболь: ошибка синхронизации параметров Перерасчет контрольных сумм Автоматический перерасчет КС Соболь: перерасчет контрольных сумм Смена аутентификатора администратора Смена аутентификатора пользователя Соболь: смена аутентификатора Идентификатор не зарегистрирован Неправильный пароль Превышено число попыток входа Пользователь блокирован Соболь: запрет входа пользователя Ошибка при контроле целостности Соболь: нарушена целостность ресурса Обработаны внешние запросы Добавлен новый пользователь Пользователь удален Запрос Все пользователи удалены Запрос Добавление пользователя Запрос Удаление пользователя Соболь: синхронизация параметров Администратор сменил свой пароль Администратор сменил пароль пользователя Пользователь сменил свой пароль Соболь: смена пароля Ошибка КС в памяти идентификатора Соболь: ошибка КС в памяти идентификатора Изменены параметры загрузочного диска Соболь: изменены параметры загрузочного диска Подробные сведения о настройке в Secret Net 6 механизмов контроля входа с использованием персональных идентификаторов приводятся в документе [ 3 ]. Управление работой механизма контроля целостности комплекса "Соболь" за- ключается в формировании для комплекса средствами администрирования Secret Net 6 задания на контроль целостности файлов жесткого диска. Порядок настройки механизма КЦ комплекса "Соболь" с помощью Secret Net 6 приводит- ся в документе [ 3 ]. Передача записей журнала регистрации событий комплекса "Соболь" в журнал Secret Net и их преобразование осуществляются автоматически при загрузке подсистемы аппаратной поддержки Secret Net 6. Подробное описание событий, регистрируемых комплексом "Соболь" и системой Secret Net 6, приводится в документе [ 5 ]. Общий порядок настройки режима интеграции комплексов "Соболь" и Secret Net 6 Для включения режима интеграции Secret Net 6 и комплекса "Соболь" необходимо перевести ка- ждое из этих средств в режим интеграции. Для отключения этого режима необходимо отключить режим интеграции в Secret Net 6 (см. стр. 22) и перевести "Соболь" в автономный режим (см. документы [ 10 ] и [ 12 ]). Для включения и настройки в рамках домена режима интеграции комплексов "Соболь" и Secret Net 6 в сетевом режиме функционирования выполните сле- дующие действия: Рабочее место администратора безопасности (контроллер домена). Ус- тановите комплекс "Соболь" (см. стр. 15). Переведите установленный комплекс "Соболь" из автономного режима в режим совместного использования (см. документы [ 10 ] и [ 12 ]). 1
Страница 19
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 19 Рабочее место администратора безопасности (контроллер домена). Ус- тановите ПО системы Secret Net 6. Подробные сведения об установке Secret Net 6 приводятся в документе [ 2 ]. Рабочее место администратора безопасности (контроллер домена). Сгенерируйте ключи централизованного управления комплексами "Соболь" (см. ниже). Рабочее место администратора безопасности (контроллер домена). Под- ключите комплекс "Соболь" к Secret Net 6 (см. стр. 20). Рабочее место администратора безопасности (контроллер домена). На- стройте параметры пользователей с целью организации их доступа к компью- терам домена (назначение идентификаторов, паролей, формирование списка разрешенных компьютеров). Подробные сведения о настройке параметров пользователей приводятся в до- кументе [ 3 ]. Компьютеры домена. На других защищаемых компьютерах домена последо- вательно выполните следующие операции: установите комплекс "Соболь" (см. стр. 15); переведите установленный комплекс "Соболь" из автономного режима в режим совместного использования (см. документы [ 10 ] и [ 12 ]); установите ПО системы Secret Net 6 (см. документ [ 2 ]); подключите комплекс "Соболь" к Secret Net 6 (см. стр. 20). Генерация ключей централизованного управления Для генерации ключей: 1. Нажмите кнопку "Пуск", найдите в главном меню Windows и активируйте команду "Все Программы | Администрирование | Active Directory пользо- ватели и компьютеры". На экране появится оснастка "Active Directory пользователи и компьютеры": 2. Вызовите контекстное меню пользователя и активируйте команду "Свойст- ва". В появившемся диалоговом окне выберите вкладку "Secret Net 6". 2 3 4 5 6
Страница 20
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 20 Диалог примет следующий вид: 3. На вкладке "Secret Net 6" нажмите кнопку "Генерация". На экране появится диалог с предложением предъявить ключевой носитель (идентификатор) для записи на него ключей ЦУ комплексами "Соболь": 4. Предъявите ключевой носитель, предназначенный для хранения ключей ЦУ комплексами "Соболь". По окончании процедуры генерации и записи клю- чей нажмите кнопку "ОК". Не допустите потери ключей ЦУ. В случае их утраты необходимо заново создать структуру цен- трализованного управления комплексами "Соболь". Подключение комплекса "Соболь" к Secret Net 6 Для подключения комплекса: 1. Выполните стандартную процедуру входа в систему пользователя с правами администратора Secret Net 6. 2. Вызовите на экран "Панель управления" и активируйте в ней элемент "Управление СЗИ Secret Net 6". На экране появится окно "Управление СЗИ Secret Net 6". 3. Выберите вкладку "Управление ПАК "Соболь". Кнопки становятся доступными после завершения генерации и записи ключей Кнопка становится доступной после подключения комплекса "Соболь" и загрузки ключей в оснастке "AD пользователи и компьютеры"
Страница 21
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 21 Диалог примет следующий вид: Рис. 8. Вкладка "Управление ПАК "Соболь" (режим подключения) 4. Выполните следующие действия: для отображения в отчете "Ресурсы АРМ" (см. документ [ 3 ]) заводско- го номера изделия введите этот номер в поле "Заводской номер ПАК "Соболь" и нажмите кнопку "Применить"; Заводской номер комплекса "Соболь" указан в паспорте изделия и на обратной стороне его платы. если требуется организовать автоматический вход в комплекс "Соболь" без предъявления персонального идентификатора, то установите отмет- ку в поле "Разрешить автоматическую загрузку ОС"; Режим автоматического входа в комплекс "Соболь" начнет действовать после переза- грузки операционной системы компьютера. Время ожидания автоматического входа в комплекс составляет 30 секунд. для подключения комплекса "Соболь" нажмите кнопку "Подключить". На экране появится диалог с предложением предъявить ключевой носитель (идентификатор) с ключами ЦУ комплексами "Соболь": 5. Предъявите носитель с ключами ЦУ комплексами "Соболь". Кнопка включения режима интеграции Параметр предназначен для управления режимом автоматического входа в комплекс "Соболь" без предъявления идентификатора Введите заводской номер комплекса "Соболь"
Страница 22
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 22 Система Secret Net 6 немедленно перейдет в режим интеграции с комплек- сом "Соболь". На экране появится информационное окно с сообщением об успешном подключении комплекса: 6. Нажмите кнопку "ОК" в информационном окне. Вкладка "Управление ПАК "Соболь" примет следующий вид: Рис. 9. Вкладка "Управление ПАК "Соболь" (режим отключения) 7. Нажмите кнопку "ОК" в окне "Управление СЗИ Secret Net 6". Отключение режима интеграции Secret Net 6 и "Соболь" Для отключения режима интеграции: 1. Вызовите на экран "Панель управления" и активируйте в ней элемент "Управление СЗИ Secret Net 6". На экране появится окно "Управление СЗИ Secret Net 6". 2. Выберите вкладку "Управление ПАК "Соболь". Диалог примет вид, представленный на Рис. 9. 3. На вкладке "Управление ПАК "Соболь" нажмите кнопку "Отключить". Система Secret Net 6 немедленно выйдет из режима интеграции с комплексом "Соболь". Кнопки управления режимом интеграции станут недоступными. Внимание! Повторное включение в Secret Net 6 режима интеграции с комплексом "Соболь" возможно только после перезагрузки компьютера. 4. Если не планируется дальнейшее использование режима интеграции, то при загрузке компьютера войдите с правами администратора в комплекс "Соболь" и переведите изделие в автономный режим работы (см. документы [ 10 ] и [ 12 ]). Кнопка отключения режима интеграции
Страница 23
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 23 Интеграция комплексов "Соболь" с Secret Net 6 в автономном режиме В автономном режиме функционирования Secret Net 6 реализуются: локальное управление входом доменных и локальных пользователей Secret Net 6 в комплекс "Соболь" с помощью персональных идентификаторов, инициализированных и присвоенных пользователям в Secret Net 6; локальное управление работой механизма контроля целостности комплекса "Соболь"; автоматическая передача записей журнала событий комплекса "Соболь" в журнал Secret Net. Подробные сведения о настройке в Secret Net 6 механизмов контроля входа с использованием персональных идентификаторов приводятся в документе [ 3 ]. Управление работой механизма КЦ комплекса "Соболь" заключается в форми- ровании для комплекса средствами администрирования Secret Net 6 задания на КЦ файлов жесткого диска. Порядок настройки механизма КЦ комплекса "Со- боль" с помощью Secret Net 6 приводится в документе [ 3 ]. Передача записей журнала регистрации событий комплекса "Соболь" в журнал Secret Net и их преобразование (см. Табл. 4 на стр. 18) осуществляется автома- тически на этапе загрузки подсистемы аппаратной поддержки Secret Net 6. Подробное описание событий, регистрируемых комплексом "Соболь" и систе- мой Secret Net 6, приводится в документе [ 5 ]. Общий порядок настройки режима интеграции комплексов "Соболь" и Secret Net 6 Для включения режима интеграции системы Secret Net 6 и комплекса "Соболь" необходимо пе- ревести каждое из этих средств в режим интеграции. Для отключения этого режима необходимо отключить режим интеграции в Secret Net 6 (см. стр. 24) и перевести "Соболь" в автономный ре- жим (см. документы [ 10 ] и [ 12 ]). Для включения и настройки режима интеграции комплексов "Соболь" и Secret Net 6 в автономном режиме на каждом защищаемом компьютере после- довательно выполните следующие действия: Установите комплекс "Соболь" (см. стр. 15). Переведите установленный ком- плекс "Соболь" из автономного режима в режим совместного использования (см. документы [ 10 ] и [ 12 ]). Установите ПО системы Secret Net 6. Подробные сведения об установке про- граммного обеспечения Secret Net 6 приводятся в документе [ 2 ]. Подключите комплекс "Соболь" к Secret Net 6 (см. ниже). Настройте параметры пользователей и их персональных идентификаторов. Подробные сведения о настройке параметров приводятся в документе [ 3 ]. Подключение комплекса "Соболь" к Secret Net 6 Для подключения комплекса Соболь": 1. Выполните стандартную процедуру входа в систему пользователя с правами администратора компьютера. 2. Вызовите на экран "Панель управления" и активируйте в ней элемент "Управление СЗИ Secret Net 6". На экране появится окно "Управление СЗИ Secret Net 6". 3. Выберите вкладку "Управление ПАК "Соболь". Диалог примет вид, представленный на Рис. 8 на стр. 21. 1 2 3 4
Страница 24
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 24 4. Выполните следующие действия: для отображения в отчете "Ресурсы АРМ" (см. документ [ 3 ]) заводско- го номера изделия введите этот номер в поле "Заводской номер ПАК "Соболь" и нажмите кнопку "Применить"; Заводской номер комплекса "Соболь" указан в паспорте изделия и на обратной стороне его платы. если требуется организовать автоматический вход в комплекс "Соболь" без предъявления персонального идентификатора, то установите отмет- ку в поле "Разрешить автоматическую загрузку ОС"; Режим автоматического входа в комплекс "Соболь" начнет действовать после переза- грузки операционной системы компьютера. Время ожидания автоматического входа в комплекс составляет 30 секунд. для подключения комплекса "Соболь" нажмите кнопку "Подключить". Система Secret Net 6 немедленно перейдет в режим интеграции с комплексом "Соболь". На экране появится информационное окно с сообщением об ус- пешном подключении комплекса. 5. Нажмите кнопку "ОК" в информационном окне. Вкладка "Управление ПАК "Соболь" примет вид, представленный на Рис. 9. 6. Нажмите кнопку "ОК" в окне "Управление СЗИ Secret Net 6". Отключение режима интеграции Secret Net 6 и "Соболь" Для отключения режима интеграции: 1. Вызовите на экран "Панель управления" и активируйте в ней элемент "Управление СЗИ Secret Net 6". На экране появится окно "Управление СЗИ Secret Net 6". 2. Выберите вкладку "Управление ПАК "Соболь". Диалог примет вид, представленный на Рис. 9. 3. На вкладке "Управление ПАК "Соболь" нажмите кнопку "Отключить". Система Secret Net 6 немедленно выйдет из режима интеграции с комплексом "Соболь". Кнопки управления режимом интеграции станут недоступными. Внимание! Повторное включение в Secret Net 6 режима интеграции с комплексом "Соболь" возможно только после перезагрузки компьютера. 4. Если не планируется дальнейшее использование режима интеграции, то при загрузке компьютера войдите с правами администратора в комплекс "Соболь" и переведите изделие в автономный режим работы (см. документы [ 10 ] и [ 12 ]).
Страница 25
КОМПАНИЯ "КОД БЕЗОПАСНОСТИ" Secret Net 6 Руководство администратора. Аппаратные средства 25 Secret Net Card и Secret Net Touch Memory Card PCI 2 Установку SN Card и SN TM Card PCI 2 на защищаемый компьютер следует выполнять после ус- тановки драйвера изделия, входящего в состав программного обеспечения Secret Net 6 (подроб- ные сведения об установке ПО Secret Net 6 приводятся в документе [ 2 ]). На компьютере под управлением ОС Windows 2000/ХР/2003 драйвер изделия устанавливается по умолчанию при ус- тановке клиентского ПО Secret Net 6. На ОС Windows Vista и выше перед установкой драйвера выводится запрос системы с предоставлением возможности отказа от установки драйвера. В дальнейшем, чтобы установить драйвер вручную, достаточно запустить файл "Драйвер платы Secret Net Touch Memory Card.msi" из соответствующего каталога на установочном компакт-диске: Setup SnTmCard Win32 для 32-разрядных версий ОС Windows; Setup SnTmCard x64 для 64-разрядных версий ОС Windows. Процедура автоматической установки/обновления клиентского ПО Secret Net 6 на компьютерах системы не предусматривает установку или обновление драйвера изделия. Драйвер, оставшийся от предыдущей версии Secret Net, не удаляется из системы программой установки и не будет рабо- тать корректно с новой версией системы. Поэтому после завершения автоматической установки или обновления необходимо выполнить установку драйвера вручную на нужных компьютерах. Изделия SN Card и SN TM Card PCI 2 используются в вариантах 2 и 3 с СИА на базе iButton (см. стр. 12). Изделия SN Card и SN TM Card PCI 2 устанавливаются на компьютеры, функ- ционирующие под управлением 32- и 64-разрядных ОС MS Windows 2000/XP/ 2003/Vista/2008/7. Компьютер, в который устанавливается плата SN Card или SN TM Card PCI 2, должен удовлетворять следующим требованиям: наличие свободного разъема системной шины: либо стандарта PCI версий 2.0, 2.1, 2.2, 2.3 с напряжением питания 5 В или 3,3 В для плат SN TM Card PCI 2 и SN Card; либо стандарта PCI-E версии 1.0а и выше для платы SN Card; наличие на материнской плате разъема Reset, подачу сигналов на который невозможно отключить из BIOS Setup или каким-либо другим образом. Если на начальных этапах загрузки компьютера управление не передается модулю расширения BIOS изделия, то необходимо в BIOS Setup разрешить загрузку операционной системы с моду- лей расширения BIOS сетевых плат. Для проверки работоспособности расширения BIOS изде- лия достаточно при перезагрузке компьютера выполнить попытку загрузки ОС с дискеты или CD- ROM. Если загрузка ОС с этих сменных носителей невозможна расширение BIOS изделия функционирует нормально. Для компьютеров с установленными изделиями SN Card или SN TM Card PCI 2 должны быть предусмотрены меры, обеспечивающие контроль физического доступа к системным блокам компьютеров. Для установки Secret Net Card/SN TM Card PCI 2 : 1. Подготовьте SN Card/SN TM Card PCI 2 к инициализации: выключите питание компьютера, вскройте корпус системного блока; снимите перемычку, установленную на разъеме J0 платы (см. Рис. 10, Рис. 11 на стр. 26); для использования механизма сторожевого таймера: отключите штекер стандартного кабеля кнопки "Reset" от разъема Reset, расположенного на материнской плате; подключите штекер стандартного кабеля кнопки "Reset" к разъе- му RST платы комплекса "Соболь" (см. Рис. 10, Рис. 11); подключите штекер кабеля механизма сторожевого таймера, входя- щего в комплект поставки, к разъему платы WD. Затем подключите другой штекер этого кабеля к разъему Reset, расположенному на материнской плате; выберите свободный слот
