Перейти к содержанию
AM_Bot

Обзор сертифицированных средств защиты информации от несанкционированного доступа (СЗИ от НСД)

Recommended Posts

AM_Bot
Обзор сертифицированных средств защиты информации от несанкционированного доступа (СЗИ от НСД)
Развитие рынка средств защиты от несанкционированного доступа (СЗИ от НСД) в России обусловлено необходимостью выполнения требований законодательства в области защиты информации (защита персональных данных, защита государственных информационных систем, защита государственной тайны). Обзор поможет сориентироваться на рынке решений СЗИ от НСД и разобраться в тенденциях его развития.    ВведениеЧто такое СЗИ от НСДСертификация СЗИ от НСД на соответствие требованиям ФСТЭК РоссииМировой рынок средств защиты конечных точекРоссийский рынок СЗИ от НСД и основные тенденции его развитияОбзор основных игроков рынка сертифицированных СЗИ от НСД6.1 «Газинформсервис»6.2. «Код Безопасности»6.3. «Конфидент»6.4. НПП ИТБ6.5. ОКБ САПР6.6. РНТ6.7. Рубинтех6.8. СПИИРАН6.9. ТССВыводы ВведениеЗначительное количество угроз безопасности информации на рабочих станциях и серверах составляют угрозы несанкционированного доступа (НСД). Они ведут к утечкам конфиденциальных данных и утрате их целостности, что в свою очередь приводит к целому ряду негативных последствий для бизнеса: от репутационного ущерба и финансовых потерь до приостановки бизнес-процессов компании.Кроме того, если компания работает с информацией ограниченного доступа, например, с  персональными данными или государственной тайной, то неизбежно сталкивается с многочисленными требованиями ФСТЭК России и ФСБ России. Невыполнение этих требований приводит к нежелательным санкциям: это могут быть как значительные штрафы, так и полная остановка деятельности компании по требованию регулятора.Для защиты серверов и рабочих станций по требованию регуляторов используются специализированные наложенные средства защиты информации (сокращенно СЗИ от НСД). Сегодня на российском рынке информационной безопасности представлено большое количество СЗИ от НСД для серверов и рабочих станций. Далее мы расскажем, какими функциями должны обладать современные СЗИ от НСД, каким требованиям они должны соответствовать, рассмотрим основные тенденции российского рынка и основных игроков в этом сегменте, а также особенности их продуктов. Что такое СЗИ от НСДРоссийские вендоры включились в процесс разработки решений для защиты автоматизированных рабочих мест и серверов от несанкционированного доступа довольно давно. Первые разработки появились уже начале 90-х для выполнения требований руководящих документов Гостехкомиссии (теперь это ФСТЭК России) по защите информации.В основном СЗИ от НСД создавались для повышения уровня защищенности операционной системы с использованием механизмов защиты:идентификация и аутентификация пользователей;дискреционный контроль доступа пользователей;мандатный контроль доступа пользователей и процессов;маркировка документов и контроль их вывода на печать;защита ввода и вывода информации на отчуждаемый физический носитель;регистрация событий безопасности в журнале событий;контроль целостности критичных файлов и данных;контроль доступа к периферийным устройствам и портам ввода-вывода;гарантированное удаление данных на дисках и выборочное затирание файлов и др.Требования к этим механизмам защиты описаны в Руководящем документе «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Гостехкомиссия России, 1992 г.По типу исполнения СЗИ от НСД бывают программными и программно-аппаратными. К последним относятся комплексы, где помимо специального программного обеспечения для разграничения доступа к ресурсам в составе комплекса есть аппаратный модуль — средство доверенной загрузки.С точки зрения архитектуры СЗИ от НСД могут быть сетевыми и автономными. Сетевые СЗИ от НСД в общем случае включают сервер безопасности, а также агенты защиты, которые устанавливаются на конечные точки — рабочие станции и сервера. Сетевые СЗИ от НСД предусматривают централизованное управление защитными механизмами, а также централизованное получение информации от агентов об изменении состояния защищаемых компьютеров. В автономных СЗИ от НСД защитные механизмы устанавливаются и управляются локально (без привязки к серверу безопасности).В последнее время наблюдается тенденция создания комплексных решений для защиты рабочих станций и серверов. Причиной этому является желание вендоров выйти из ниши классических СЗИ от НСД на уровень полноценных средств защиты информации на конечных точках (так называемый класс Information-Centric Endpoint Protection). Рецепт комплексных решений заключается в добавлении к классическим СЗИ от НСД модулей сетевой и антивирусной защиты: подсистемы персонального межсетевого экрана, подсистемы обнаружения вторжений уровня хоста, подсистемы антивирусной защиты, поиска уязвимостей, веб-фильтрации и т. д. Управление всеми компонентами осуществляется из единой консоли, что упрощает администрирование СЗИ, а интегрированность защитных механизмов между собой исключает возможность нарушения функционирования защищаемой системы. Сертификация СЗИ от НСД на соответствие требованиям ФСТЭК РоссииСЗИ от НСД должны удовлетворять определенным требованиям руководящих и нормативных документов ФСТЭК России. Если мы говорим о традиционных СЗИ от НСД, которые обеспечивают разграничение доступа пользователей к ресурсам, то такие комплексы должны соответствовать требованиям руководящих документов:Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД СВТ).Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД НДВ).СЗИ от НСД обычно включают и подсистему контроля съемных носителей и сертифицируются на соответствие Требованиям к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. № 87.Кроме того, некоторые программно-аппаратные комплексы помимо разграничения доступа к ресурсам компьютера обеспечивают доверенную загрузку операционной системы — включают модуль доверенной загрузки. Такие СЗИ от НСД дополнительно к приведенным выше требованиям сертифицируются в том числе на соответствие Требованиям к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. № 119.Комплексные решения, которые помимо разграничения доступа к ресурсам обеспечивают контроль сетевых соединений, защиту от вторжений, а также антивирусную защиту, сертифицируются на соответствие профилей защиты:Требования к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. № 9).Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. № 638.Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. № 28. Мировой рынок средств защиты конечных точекЗа рубежом привычного для нас рынка СЗИ от НСД нет. Для защиты информации на конечных точках применяются решения классов Information-Centric Endpoint Protection и Endpoint Protection Platforms.Gartner определяет класс решений Information-Centric Endpoint Protection как решения, обеспечивающие защиту конфиденциальной информации на конечных точках на уровне данных и системы. Эта категория включает решения с различными механизмами защиты — управление правами пользователей, контроль подключаемых устройств, контроль целостности информации и доверенная загрузка, шифрование данных.Класс решений Endpoint Protection Platforms определяется Gartner как интегрированные решения с централизованным управлением, включающие функции защиты от вредоносных программ, персонального межсетевого экрана, а также управления доступом к портам ввода-вывода и периферийным устройствам. Кроме того, многие решения Endpoint Protection Platforms также включают и другие возможности, такие как оценка уязвимости, контроль приложений и управление мобильными устройствами EMM.Gartner в отчете Magic Quadrant (MQ) for Endpoint Protection Platforms Report отмечает, что рынок Endpoint Protection Platforms динамичен — прогнозируется, что крупные сегменты рынков, такие как DLP и EMM, будут в конечном итоге поглощены рынком Endpoint Protection Platforms в ближайшем будущем. Можно предположить, что российский рынок СЗИ от НСД тоже будет поглощен рынком Endpoint Protection Platforms по мере развития локальных вендоров.В вышеупомянутом отчете Magic Quadrant (MQ) for Endpoint Protection Platforms Report (2018) выделены более 20 разработчиков, которые, по мнению Gartner, считаются наиболее значимыми на рынке Endpoint Protection Platforms. Из них многие являются ключевыми игроками также и на рынке Information-Centric Endpoint Protection.Наиболее известные компании на российском рынке:Kaspersky LabMcAfeeSophosSymantecTrend MicroВ отчет Gartner включен только один российский разработчик антивирусного программного обеспечения — «Лаборатория Касперского».  Однако представленные продукты по функциональности далеки от рассматриваемых в обзоре и не могут считаться их заменителями. Рынок Endpoint Protection Platforms Report будет рассмотрен нами в отдельной статье. Российский рынок СЗИ от НСД и основные тенденции его развитияОдной из главных причин востребованности сертифицированных СЗИ от НСД на российском рынке является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации:Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».Закон Российской Федерации № 5485-I «О государственной тайне» от 21 июля 1993г. и другие.На динамику рынка СЗИ от НСД влияет как развитие законодательной базы, так и крупные инциденты, например эпидемии WannaCry, NotPetya и BadRabbit, затронувшие не одну компанию и принесшие реальные потери в виде прямых финансовых убытков, репутационного вреда и приостановок деятельности.Предполагается, что серьезное влияние на рынок СЗИ от НСД в будущем также окажет принятый в 2017 году Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры», а для кредитно-финансовой сферы национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».В настоящее время среди основных игроков рынка сертифицированных СЗИ от НСД можно выделить:СЗИ от НСД Secret Net, Secret Net Studio и ПАК «Соболь» («Код Безопасности»)СЗИ от НСД Dallas Lock (компания «Конфидент»)СЗИ от НСД «Аккорд» (компания ОКБ САПР)СЗИ от НСД «Блокхост-сеть К» и «Блокхост-АМДЗ 2.0» («Газинформсервис»)СЗИ от НСД ПАНЦИРЬ (НПП «Безопасные информационные технологии»)СЗИ от НСД Diamond ACS (компания ТСС)СЗИ от НСД «Страж NT 4.0» (компания «Рубинтех»)СЗИ от НСД «Аура» (СПИИРАН)СЗИ от НСД «Фантом» (РНТ)Также на рынке присутствуют некоторые нишевые продукты, например, СРД «КРИПТОН-ЩИТ» (ООО Фирма «Анкад»),СЗИ НСД «Щит-РЖД» (СПИИРАН).Так как сам рынок СЗИ от НСД возник под влиянием российских регуляторов, то принципиальной характеристикой продукта является не столько широта функциональных возможностей, сколько классы их сертификации ФСТЭК России. Далее в таблице 1 приведем данные по действующим сертификатам наиболее популярных продуктов. Таблица 1. Классы сертификации ФСТЭК России популярных СЗИ от НСДВендор и СЗИ от НСДКлассы сертификации СЗИ от НСДСВТНДВСАВЗСОВСДЗСКНМЭОСООО «Код Безопасности»Secret Net Studio-C(серт. ФСТЭК № 3675)3 кл.2 ур.————В2—Secret Net Studio(серт. ФСТЭК № 3745)5 кл.4 ур.А4,Б4,В4,Г4 У4—П4В4—Secret Net 7(серт. ФСТЭК № 2707)3 кл.2 ур.——————Secret Net LSP(серт. ФСТЭК № 2790)5 кл.4 ур.——————АПМДЗ «Соболь»(серт. ФСТЭК № 1967)————ПР2———КонфидентСЗИ Dallas Lock 8.0-С(серт. ФСТЭК № 2945)3 кл.2 ур.—У4—П23 кл. (РД МЭ 1997 г.)—СЗИ Dallas Lock 8.0-К(серт. ФСТЭК № 2720)5 кл.4 ур.—У4—П43 кл. (РД МЭ 1997 г.)—СЗИ Dallas Lock Linux(серт. ФСТЭК № 3594)5 кл.4 ур.——————СДЗ Dallas Lock 3666(серт. ФСТЭК № 3666)—2 ур.——ПР2———ЗАО «ОКБ САПР»«Аккорд-АМДЗ»(серт. ФСТЭК №246/7)—2 ур.——ПР2———«Аккорд-WIN32»(серт. ФСТЭК № 2398)3 кл.2 ур.——————«Аккорд-WIN64»(серт. ФСТЭК № 2400)3 кл.2 ур.——————«Аккорд-Win64 К»(серт. ФСТЭК № 3805)5 кл.————П4——«Аккорд-Х» (для Linux систем)(серт. ФСТЭК № 3079)3 кл.2 ур.——————«Аккорд-Х К» (для Linux систем)(серт. ФСТЭК № 3760)5 кл.4 ур.——————«Газинформсервис»«Блокхост-сеть 2.0»(серт. ФСТЭК № 3740)3 кл.2 ур.————4 кл.(РД МЭ 1997 г.)—ПАК доверенной загрузки «Блокхост-МДЗ»(серт. ФСТЭК № 2401)—4ур.——————НПП ИТБПАНЦИРЬ+(серт. ФСТЭК №3473)5 кл.4 ур.————4 кл. (РД МЭ 1997 г.)—ООО ТСССЗИ от НСД Diamond ACS(серт. ФСТЭК № 2130)3 кл.2 ур.——————ООО «Рубинтех»СЗИ от НСД «Страж NT 4.0»(серт. ФСТЭК № 3553)3 кл.2 ур.——————Федеральное государственное бюджетное учреждение науки Санкт-Петербургского института информатики и автоматизации Российской академии наук (СПИИРАН)СЗИ от НСД «АУРА»(серт. ФСТЭК № 2527)5 кл.4 ур.——————АО «РНТ»СЗИ от НСД «Фантом»(серт. ФСТЭК № 2923)5 кл.———————Теперь рассмотрим сертифицированные СЗИ от НСД более подробно. Обзор основных игроков рынка сертифицированных СЗИ от НСД«Газинформсервис»  СЗИ от НСД «Блокхост-Сеть 2.0»Средство защиты информации «Блокхост-Сеть 2.0» предназначено для защиты информационных ресурсов от несанкционированного доступа в локальных вычислительных сетях на базе персональных компьютеров, функционирующих под управлением операционных систем Microsoft Windows 2008R2/Vista/7/8/8.1/10/2012/2012R2/2016. «Блокхост-Сеть 2.0» дополняет и усиливает собственные возможности защиты операционной системы, создавая тем самым доверенную рабочую среду функционирования процессов.СЗИ «Блокхост-Сеть 2.0» состоит из клиентской части СЗИ «Блокхост-Сеть 2.0», в рамках которой реализованы базовые механизмы защиты, и серверной части — сервера безопасности, устанавливаемой на автоматизированное рабочее место администратора безопасности.Средство защиты информации «Блокхост-Сеть 2.0» выполняет следующие функции защиты:двухфакторная аутентификация пользователей с применением персональных идентификаторов;дискреционный и мандатный механизмы контроля доступа к информационным ресурсам в соответствии с заданными параметрами безопасности, в том числе по времени;контроль целостности системного программного обеспечения, прикладного программного обеспечения и информационных ресурсов АРМ;очистка областей оперативной памяти после завершения работы контролируемых процессов;гарантированное удаление файлов и папок, что исключает возможность восстановления;контроль вывода информации на печать и отчуждаемые физические носители, маркировка документов;контроль запуска процессов;персональный межсетевой экран (контроль доступа к сетевым ресурсам и фильтрация сетевого трафика);защита от изменения и удаления СЗИ «Блокхост-Сеть 2.0». ПАК «Блокхост-МДЗ»Программно-аппаратный комплекс «Блокхост-МДЗ» предназначен для решения следующих задач:двухфакторная аутентификация пользователей для усиления защиты входа на рабочую станцию до загрузки операционной системы;обеспечение конфиденциальности данных, хранимых на электронных носителях, путем шифрования их содержимого;контроль целостности файлов с заданной периодичностью;выполнение гарантированного удаления файлов без возможности их восстановления;очистка областей оперативной памяти после завершения контролируемых процессов для предотвращения считывания остаточной информации;сохранение конфиденциальности данных даже при краже или утере носителей;контроль доступа пользователей к отчуждаемым носителям, оптическим приводам, Wi-Fi и Bluetooth-адаптерам, подключаемым через USB порты.«Блокхост-МДЗ» состоит из 7 модулей, которые могут быть использованы как единым комплексом, так и по отдельности.Подробнее познакомиться с СЗИ от НСД «Блокхост-Сеть 2.0» и ПАК «Блокхост-МДЗ» можно на сайте разработчика.«Код Безопасности»Компания «Код Безопасности» — российский разработчик программных и аппаратных средств, обеспечивающих защиту информационных систем, а также их соответствие требованиям международных и отраслевых стандартов. Компания основана в 2008 году и ведет свою деятельность на основании девяти лицензий ФСТЭК России, ФСБ России и Министерства обороны Российской Федерации.В настоящее время сотрудниками «Кода безопасности» являются более 400 квалифицированных специалистов, многие из которых имеют уникальные компетенции в области разработки ИБ-решений. Свыше 900 авторизованных партнеров компании поставляют ее продукты и обеспечивают их качественную поддержку во всех регионах России и в странах СНГ. Более 32 000 государственных и коммерческих организаций доверяют продуктам «Кода безопасности» и используют их для защиты рабочих станций, серверов, виртуальных инфраструктур, мобильных устройств и сетевого взаимодействия всех компонентов информационных систем.Для защиты конечных точек компания «Код Безопасности» предлагает несколько решений:СЗИ от НСД Secret Net — сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства MS Windows.СЗИ от НСД Secret Net LSP — сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства Linux.СЗИ Secret Net Studio — комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования.АПМДЗ «Соболь» — сертифицированный аппаратно-программный модуль доверенной загрузки. СЗИ от НСД Secret Net 7СЗИ от НСД Secret Net 7 сочетает в себе функции защиты информации (в соответствии с требованиями РД СВТ), средства централизованного управления, инструменты оперативного принятия решений и возможность мониторинга безопасности информационной системы в реальном времени. Тесная интеграция защитных механизмов Secret Net 7 с механизмами управления сетевой инфраструктурой повышает защищенность корпоративной информационной системы.Основные возможности СЗИ от НСД Secret Net 7:Разграничение доступа пользователей к информации и ресурсам автоматизированной системы.Идентификация и аутентификация пользователей.Доверенная информационная среда.Контроль утечек и каналов распространения конфиденциальной информации.Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.Затирание остаточной информации при освобождении и удалении областей памяти компьютера и запоминающих устройств.Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности.Масштабируемая система защиты, возможность применения Secret Net 7 (сетевой вариант) в организации с большим количеством филиалов.Защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).Подробнее познакомиться с продуктом СЗИ от НСД Secret Net можно на сайте разработчика.С 9 апреля 2018 г. компания «Код Безопасности» прекратила продажу СЗИ от НСД Secret Net 7. Теперь для защиты рабочих станций и серверов компания предлагает более современный и функциональный комплексный продукт СЗИ Secret Net Studio. СЗИ Secret Net StudioСЗИ Secret Net Studio — комплексное решение для защиты конечных точек. Помимо защиты от НСД продукт включает антивирус, персональный межсетевой экран и модуль авторизации сетевых соединений, систему обнаружения вторжений, а также расширенные средства централизованного управления и мониторинга.Основные возможности СЗИ Secret Net Studio:Защита от НСД обеспечивается механизмами, применяемыми в СЗИ от НСД Secret Net.Антивирусная защита — защита от вредоносных исполняемых файлов на рабочих станциях и серверах с возможностью сканирования и запуска заданий по расписанию, а также по требованию администратора или пользователя.Межсетевое экранирование — контроль сетевой активности компьютера и фильтрация большого числа протоколов в соответствии с заданными политиками, в том числе на уровне отдельных приложений, пользователей или групп пользователей. Подпись сетевого трафика для защиты от подделки и перехвата внутри локальной сети. Автоматическая генерация правил с их интеллектуальным сложением в режиме обучения межсетевого экрана.Защита от сетевых атак (NIPS) — обнаружение атак сигнатурными и эвристическими методами. Автоматическая блокировка атакующих хостов при обнаружении аномальных пакетов, сканировании портов, DoS-атаках и др.Шифрование контейнеров — шифрование контейнеров любого размера по алгоритму ГОСТ 28147-89 обеспечивает защиту данных в случае несанкционированного доступа к носителям информации, их утери или кражи. Размещение шифрованных контейнеров на жестком диске или на съемном носителе. Использование аппаратных идентификаторов для хранения ключевой информации.Централизованное развертывание, управление и мониторинг. Развертывание обеспечивается централизованной установкой продукта на все рабочие станции контролируемого домена. Настройка сквозных и групповых политик для всех механизмов защиты осуществляется с использованием единого агента безопасности.Подробнее познакомиться с продуктом СЗИ Secret Net Studio можно почитав обзоры на нашем сайте «Обзор Secret Net Studio 8.1. Часть 1 — защитные механизмы» и «Обзор Secret Net Studio 8.1. Часть 2 — механизмы централизованного управления и мониторинга», а также на сайте разработчика. СЗИ от НСД Secret Net LSPСЗИ от НСД Secret Net LSP — сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства Linux. Возможна интеграция со средствами централизованного управления Secret Net Studio и Secret Net 7, а также совместная работа с терминальным сервером под управлением Windows.Основные возможности СЗИ от НСД Secret Net LSP:Защита входа в системуРазграничение доступа к ресурсамРазграничение доступа к устройствамРегистрация событий ИБКонтроль целостностиАудит действий пользователейЗатирание остаточной информацииУдобство администрирования благодаря наличию графических и консольных средств управленияИнтеграция со средствами централизованного управления Secret Net Studio и Secret Net 7Включение компьютера в домен WindowsПодробнее познакомиться с продуктом СЗИ от НСД Secret Net LSP можно на сайте разработчика. АПМДЗ «Соболь»Электронный замок «Соболь» — это сертифицированный аппаратно-программный модуль доверенной загрузки.ПАК «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети. Комплекс имеет широкий выбор форматов исполнения и применяется совместно с продуктами Secret Net 7 и Secret Net Studio как средство, усиливающее механизм обнаружения атак на конечные точки.Основные возможности ПАК «Соболь»:Механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы;Контроль целостности реестра Windows существенно повышает защищенность рабочих станций от несанкционированных действий внутри операционной системы;Контроль целостности аппаратной конфигурации компьютера запрещает использование неавторизованных компонентов;Идентификация и усиленная (двухфакторная) аутентификация пользователей с использование персональных идентификаторов;Аудит попыток доступа к компьютеру в системном журнале, хранящемся в специальной энергонезависимой памяти;Блокировка несанкционированной загрузки операционной системы со съемных носителей не дает злоумышленнику возможность обойти СЗИ, работающие «внутри» ОС;Сбор и хранение данных о событиях безопасности облегчает расследование инцидентов;Использование сторожевого таймера обеспечивает блокировку компьютера в нештатной ситуации — если после включения компьютера и по истечении заданного интервала времени управление не передано комплексу «Соболь»;Применение аппаратного датчика случайных чисел, соответствующего требованиям ФСБ, обеспечивает повышенный класс защиты СКЗИ.Подробнее познакомиться с АПМДЗ «Соболь» можно на сайте разработчика. «Конфидент»Продуктовая линейка Dallas Lock Центра защиты информации компании «Конфидент» представлена современными средствами защиты информации для платформ Windows и Linux. Решения компании позволяют не только привести информационные системы в соответствие требованиям законодательства, но и создать их комплексную защиту благодаря таким уникальным возможностям, как наличие элементов функциональности DLP-систем, управления привилегированными пользователями, создание доверенной рабочей среды. СЗИ Dallas Lock 8.0СЗИ Dallas Lock 8.0 —сертифицированная система защиты информации накладного типа для автономных и сетевых АРМ (применима для сложных сетевых инфраструктур). Предназначена для защиты конфиденциальной информации (редакции «К» и «С»), в том числе содержащейся в автоматизированных системах до класса защищенности 1Г включительно, в государственных информационных системах до 1 класса защищенности включительно, в информационных системах персональных данных для обеспечения 1 уровня защищенности персональных данных, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно, а также для защиты информации, содержащей сведения, составляющие государственную тайну (редакция «С») до уровня «совершенно секретно» включительно. Подробный обзор СЗИ Dallas Lock 8.0 читайте на нашем чайте.Ключевые особенности:Собственные сертифицированные механизмы управления информационной безопасностью, дублирующие (подменяющие) стандартные механизмы Windows.Возможность применения в различных версиях и редакциях Windows (от Windows XP до Windows 10) на персональных, портативных компьютерах (ноутбуках, планшетах), серверах, в виртуализированных средах.Широкий набор дополнительных возможностей.Наличие модуля СКН — это сертифицированное средство контроля съемных машинных носителей информации (по Требованиям ФСТЭК России к СКН).Бесшовная интеграция с другими решениями продуктовой линейки Dallas Lock.Совместимость с ИТ- и ИБ-решениями других производителей. Межсетевой экран Dallas Lock (МЭ)Межсетевой экран Dallas Lock (МЭ) — сертифицированный модуль СЗИ НСД Dallas Lock 8.0, выполняющий функции персонального межсетевого экрана с централизованным управлением, аудитом событий информационной безопасности и предназначенный для защиты рабочих станций и серверов от несанкционированного доступа по сети. МЭ осуществляет контроль и фильтрацию проходящих через интерфейсы компьютера сетевых пакетов в соответствии с заданными правилами, блокирует нежелательную сетевую активность и уведомляет о попытках нарушения заданных правил. Модуль тесно интегрирован с СЗИ НСД Dallas Lock 8.0, что позволяет производить централизованное развертывание и настройку функциональности НСД и МЭ из единого общего интерфейса.Ключевые особенности:Впервые в России поддержка Windows 10.Защита конфиденциальной информации в сетях, подключенных к сетям общего пользования.Интеграция с СЗИ Dallas Lock 8.0.Гибкая настройка правил фильтрации в соответствии с сетевой моделью OSI всех уровней. Система обнаружения и предотвращения вторжений Dallas Lock (СОВ)Dallas Lock (СОВ) — сертифицированная гибридная система обнаружения и предотвращения вторжений уровня узла в программном исполнении.Ключевые особенности:Эвристический и сигнатурный анализ попыток нарушения безопасности.Обновление сигнатур сетевых атак и сигнатур анализа журналов операционной системы.Защита от атак на сетевые протоколы модели OSI различных уровней.Перехват вызова функций операционной системы, гибкая настройка ограничения доступа к системным функциям для недоверенных приложений.Гибкая настройка уровня реагирования системы и детализации журналов. Средство доверенной загрузки Dallas Lock (СДЗ)Dallas Lock (СДЗ) — сертифицированное средство доверенной загрузки уровня платы расширения, предназначенное для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно, а также для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах, информационных системах персональных данных.Ключевые особенности:Полноценная поддержка интерфейса UEFI.Разъемы для подключения: PCI (через переходник), PCI-Express, Mini PCI-Express, M.2.Полное администрирование СДЗ без использования ресурсов загружаемой штатной операционной системы.Установка дополнительных программных модулей (агентов) в среду штатной операционной системы не требуется.Возможность подключения датчика вскрытия корпуса на плате PCI Express.Унифицированный с другими продуктами Dallas Lock дизайн интерфейса СДЗ.Централизованное управление (функциональность будет доступна в рамках планового обновления). СЗИ НСД Dallas Lock LinuxDallas Lock Linux — сертифицированная СЗИ от НСД накладного типа для рабочих мест и серверов под управлением операционных систем семейства Linux. Не так давно мы обозревали СЗИ НСД Dallas Lock Linux на нашем сайте.Ключевые особенности СЗИ НСД Dallas Lock Linux:Поддерживает широкий набор современных дистрибутивов Linux.Консоль удаленного управления СЗИ из Windows и Linux.Сервис-ориентированная архитектура.Современный графический интерфейс (GUI).Универсальная лицензия.Подробнее познакомиться с линейкой продуктов Dallas Lock можно почитав обзор на нашем сайте — «Выбор сертифицированных СЗИ от НСД для серверов и рабочих станций. Обзор продуктов Dallas Lock», а также на сайте разработчика. НПП ИТБНаучно-производственное предприятие «Информационные технологии в бизнесе» для защиты автоматизированных рабочих мест и серверов предлагает Комплексную систему защиты информации «Панцирь+».КСЗИ «Панцирь+»Это сертифицированная ФСТЭК России комплексная система защиты информации от несанкционированного доступа, имеющая в своем составе сетевой экран. Комплекс предназначен для защиты операционных систем семейства Microsoft Windows.В части защиты от целевых атак КСЗИ «Панцирь+» — это система защиты класса Last frontier — образует последний рубеж эшелонированной защиты информации. В задачи КСЗИ «Панцирь+» входит снижение рисков потерь от реализации атак, в предположении о том, что соответствующие угрозы не смогут быть выявлены на ранних стадиях обнаружения и атаки будут осуществлены.В КСЗИ «Панцирь+» реализованы следующие три основные группы механизмов защиты:механизмы контроля и разграничения прав доступа субъектов к статичным объектам — к объектам, присутствующим в системе на момент назначения прав доступа к ним субъектов администратором. К таким объектам относятся локальные и разделенные в сети файловые объекты, объекты реестра операционной системы, файловые накопители, определяемые их идентификаторами с учетом серийных номеров, сетевые объекты, локальные и сетевые принтеры и т. д. Этими механизмами реализуется разграничительная политика доступа субъектов к объектам;механизмы контроля и разграничения прав доступа субъектов к создаваемым объектам — к объектам, отсутствующим в системе на момент назначения прав доступа субъектов к объектам администратором, создаваемым пользователями впоследствии. К таким объектам относятся создаваемые файлы и данные, временно хранящиеся в буфере обмена. Такими механизмами реализуется разделительная политика между субъектами доступа;механизмы защиты от обхода разграничительной и разделительной политик доступа. Эти механизмы также реализуют контроль доступа, но уже применительно к системным объектам операционной системы — к сервисам олицетворения, к возможностям прямого доступа к дискам и инжектирования кода в процессы, к переменным BIOS UEFI (NV RAM) и загрузчику ОС и т. д.Принципиальной особенностью реализации механизмов защиты является назначение прав доступа субъектам, к объектам, а не к объектам субъектов, как в иных средствах защиты. Это позволяет использовать при задании правил доступа для идентификации объектов масок и переменных среды окружения, что не только существенно упрощает задачу администрирования, но делает возможным тиражирование настроек при внедрении комплекса.Все механизмы защиты из состава КСЗИ «Панцирь+» сертифицированы на соответствие РД СВТ, РД МЭ, на отсутствие НДВ, большая часть ключевых механизмов защиты, в том числе от целевых атак, сертифицировано на соответствие ТУ, что обеспечивает их легитимное использование в соответствующих информационных системах: КИИ, ГИС, ИСПДн, АСУ ТП, в ИС цифровой экономики РФ.Подробнее познакомиться с КСЗИ «Панцирь+» можно на сайте разработчика. ОКБ САПРОКБ САПР — компания-разработчик программно-аппаратных средств защиты информации от несанкционированного доступа, в том числе криптографических, с более чем двадцатилетним стажем (год основания — 1989).Продуктовая линейка «Аккорд» компании ОКБ САПР представлена программно-аппаратными комплексами для защиты Windows и Linux рабочих мест и серверов, которая включает:«Аккорд-АМДЗ» — аппаратный модуль доверенной загрузки.Программно-аппаратные комплексы «Аккорд-Win32», «Аккорд-Win64» — для разграничения доступа пользователей к рабочим станциям и серверам, работающим под управлением 32- и 64-разрядных Windows.Программно-аппаратные комплексы Аккорд-Х, Аккорд-Х К — для разграничения доступа пользователей к рабочим станциям и серверам под управлением Linux.СУЦУ — система удаленного централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд».Отметим, что в основе всех решений семейства «Аккорд» лежит концепция аппаратной защиты, которую коротко можно сформулировать как необходимость наличия резидентного аппаратного компонента компьютерной системы, обеспечивающего ее защиту от НСД. «Аккорд-АМДЗ»СЗИ НСД «Аккорд-АМДЗ» представляет собой аппаратный модуль доверенной загрузки (плата расширения, устанавливаемая в свободный слот материнской платы) для серверов и рабочих станций локальной сети.Комплекс обеспечивает доверенную загрузку различных операционных систем — загрузку только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств компьютера (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя. ПАК «Аккорд-Win32» (TSE), ПАК «Аккорд-Win64» (TSE) и «Аккорд-Win64 К»Комплексы «Аккорд-Win32», «Аккорд-Win64» и «Аккорд-Win64 К» предназначены для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам под управлением операционных систем семейства Windows.Комплексы «Аккорд-Win32» и «Аккорд-Win64» реализованы с аппаратным модулем «Аккорд-АМДЗ» (входит в состав продукта). «Аккорд-Win64 К» реализован программно.Возможности:Идентификация/аутентификация пользователей.Аппаратный контроль целостности системных файлов и критичных разделов реестра.Доверенная загрузка операционной системы (реализуется ПАК «Аккорд-АМДЗ», входит в состав продуктов «Аккорд-Win32» (TSE) и ПАК «Аккорд-Win64» (TSE)).Контроль целостности программ и данных, их защита от несанкционированных модификаций.Создание индивидуальной для каждого пользователя изолированной рабочей программной среды.Разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа.Разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа.Автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса.Усиленная аутентификация терминальных станций с помощью контроллера «Аккорд» или ПСКЗИ ШИПКА.Идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА).Управление терминальными сессиями.Контроль печати на принтерах.Контроль доступа к USB-устройствам. СУЦУ СЗИ от НСДСУЦУ — система удаленного централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд» обеспечивает централизованный мониторинг событий информационной безопасности и управления средствами защиты информации от несанкционированного доступа.Основные возможности СУЦУ:Управление подконтрольными рабочими станциями и серверами.Управление пользователями.Централизованный сбор и хранение информации о зарегистрированных событиях доступа к подконтрольным объектам.Централизованное управление средствами защиты информации от несанкционированного доступа на подконтрольных объектах.Управление доступом к коммутационным портам и периферийным устройствам. СЗИ от НСД «Аккорд-X»Программно-аппаратный комплекс средств защиты информации «Аккорд-X» предназначен для разграничения доступа пользователей к рабочим станциям под управлением Linux.Комплекс «Аккорд-X» реализован с аппаратным модулем «Аккорд-АМДЗ» (входит в состав продукта). «Аккорд-X К» реализован программно.Основные возможности «Аккорд-X»:Защита от несанкционированного доступа к компьютерам (включая возможность ограничения разрешенных часов работы каждого пользователя).Идентификация/аутентификация пользователей.Аппаратный контроль целостности системных файлов.Доверенная загрузка операционной системы.Статический и динамический контроль целостности данных, их защита от несанкционированных модификаций.Разграничение доступа пользователей, процессов к массивам данных (объектам) с помощью дискреционного контроля доступа.Разграничение доступа пользователей, процессов к массивам данных (объектам) с помощью мандатного контроля доступа.Разграничение доступа пользователей к определенным процессам.Контроль доступа к периферийным устройствам.Создание индивидуальной для каждого пользователя изолированной рабочей программной среды.Автоматическое ведение протокола регистрируемых событий.Контроль печати на локальных и сетевых принтерах, протоколирование вывода данных на печать, маркировка распечатанных данных (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).Подробнее познакомиться с линейкой СЗИ от НСД «Аккорд» можно на сайте разработчика. РНТСЗИ от НСД «Фантом»Это программное средство, предназначенное для создания защищенного рабочего места и серверного решения с использованием технологий виртуализации. «Фантом» позволяет обрабатывать информацию различного уровня конфиденциальности на одной аппаратной единице. Исполнение ПАК «Фантом» на внешнем жестком диске благодаря защите от НСД носителя, каналов связи, а также наличию дополнительных средств защиты позволяет выездным сотрудникам использовать произвольную аппаратную единицу (ноутбук, стационарный компьютер и т. п.) и работать с конфиденциальной информацией в условиях небезопасной среды (в заграничных командировках, в гостиницах, дома и т. п.).СЗИ от НСД «Фантом» решает следующие основные задачи:Безопасная работа на любом компьютере (коллективного пользования, домашний) с индивидуального переносного USB-диска.Контроль операционной системы с использованием аппаратных технологий виртуализации.Контроль периферийных устройств компьютера, включая встроенную память и диск, с уровня гипервизора.Прозрачное функционирование для пользователя.Надежная реализация криптографических функций на уровне гипервизора.Повышенная отказоустойчивость за счет механизма снимков состояния и хранилища резервных копий.Аудит происходящих событий.Контроль сетевого взаимодействия.Усиленная аутентификация пользователей.Возможность отдельного размещения нескольких рабочих мест на одном компьютере или на внешнем загружаемом USB-диске.Возможность работы исключительно с индивидуального переносного внешнего USB-диска.Полная изоляция рабочих мест (виртуальных доменов).Контроль работы вычислительных ресурсов в режиме реального времени.Поддержка криптографических функций по требованиям безопасности.Наличие механизма хранения резервных копий, что позволяет в случае внештатной ситуации (сбой в случае воздействия злоумышленника, некорректно работающего программного обеспечения и т. п.) в любое время вернуться к сохраненному состоянию системы или ее отдельных компонентов.Защита от изменения системных компонент ВМ.Контроль целостности операционной системы, окружения пользователя и отдельных компонентов с целью противостоять проникновению в среду вредоносного кода.В СЗИ «Фантом» также есть встроенные МСЭ, антивирус (проверяются все файлы, которые пользователь переносит из одной ВМ в другую) (данная функциональность не сертифицирована), система для отображения и анализа журнальных записей. Также можно отметить наличие VPN-клиента на уровне самого продукта, а не отдельных ВМ. Кроме того, возможна интеграция комплекса с системой обнаружения компьютерных атак «ФОРПОСТ».Подробнее с продуктом можно ознакомиться на сайте разработчика. РубинтехСЗИ от НСД «Страж NТ версия 4.0»Компания «Рубинтех» для защиты автоматизированных рабочих мест и серверов предлагает решение «Страж NT 4.0».СЗИ от НСД «Страж NТ версия 4.0» представляет собой программный комплекс средств защиты информации с использованием электронных идентификаторов и предназначена для защиты информационных ресурсов от несанкционированного доступа:на автономных рабочих станциях;рабочих станциях в составе рабочей группы или домена локальной вычислительной сети;серверах (в том числе и терминальных).«Страж NТ 4.0» может применяться при разработке систем защиты информации для многопользовательских автоматизированных систем (АС),  информационных систем персональных данных (ИСПДн) и государственных информационных систем (ГИС)  в соответствии с требованиями законодательства Российской Федерации.Функционирует в среде 32- и 64-разрядных операционных систем Microsoft Windows.Сертифицирован ФСТЭК России на соответствие РД СВТ по 3-му классу защищенности и РД НДВ по 2-му уровню контроля НДВ.Ключевые особенности СЗИ от НСД «Страж NT версия 4.0»:Возможность сетевого развертывания и настройки и СЗИ с любого рабочего места в сети. Децентрализованное управление без сервера безопасности.Поддержка компьютеров c UEFI и GPT-разбиением диска.Сокрытие логической структуры загрузочного жесткого диска.Наличие гибкого механизма сценариев настроек.Реализация дискреционного и мандатного принципов разграничения доступа, в том числе и на съемных носителях информации. Возможность одновременной работы с документами разных грифов в одном сеансе (без смены сеанса пользователя). Режим виртуализации объектов при настройке мандатной защиты.Поддержка терминальных сессий.Основные функциональные возможности СЗИ от НСД «Страж NT 4.0»:Двухфакторная аутентификация до загрузки операционной системы (в том числе и для виртуальной среды) с использованием аппаратных идентификаторов.Дискреционный принцип контроля доступа к ресурсам системы.Мандатный принцип контроля доступа к ресурсам системы.Создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешенных приложений.Регистрация событий безопасности, в том числе и действий администратора.Маркировка выдаваемых на печать документов независимо от печатающего их приложения.Гарантированная очистка освобождаемой оперативной памяти, содержимого защищаемых файлов при их удалении, файлов подкачки при завершении работы системы.Контроль целостности защищаемых ресурсов системы и компонентов системы защиты информации.Управление пользователями.Управление носителями информации.Управление устройствами.Преобразование информации на отчуждаемых носителях.Тестирование системы защиты информации.Подробнее с продуктом можно ознакомиться на сайте разработчика. СПИИРАННИО ПИБ Санкт-Петербургского института информатики и автоматизации Российской академии наук (СПИИРАН) для защиты от НСД серверов и рабочих станций предлагает СЗИ «Аура».СЗИ «Аура»Решение предназначено для комплексной защиты информации, обрабатываемой на ПЭВМ под управлением Microsoft Windows.СЗИ от НСД «Аура» решает следующие основные задачи:обеспечение доверенной среды для аутентификации пользователей и контроля целостности информационных объектов;усиленная аутентификация;многоуровневый контроль целостности информационных объектов вычислительной системы;контроль доступа к устройствам, файлам и папкам;управление печатью, автоматическая маркировка и учет документов;достоверное уничтожение информационных объектов;регистрация действий пользователя в системных журналах;идентификация и аутентификация пользователей в доверенной среде с применением электронных устройств Rutoken.Подробнее с продуктом можно ознакомиться на сайте разработчика. ТССКомпания ТСС для защиты автоматизированных рабочих мест и серверов предлагает программно-аппаратный комплекс Diamond ACS.Diamond ACSЭто кроссплатформенный программно-аппаратный комплекс средств защиты информации от несанкционированного доступа. Продукт позволяет осуществлять доверенную загрузку и физическое разделение контуров различной степени конфиденциальности на автоматизированных рабочих местах.Diamond ACS может быть реализован в автономной или сетевой версиях в программном и программно-аппаратном видах (с подключением аппаратного замка Diamond ACS HW). Основные функции Diamond ACS в программно-аппаратном исполнении:централизованное управление (единая консоль управления политиками безопасности);контроль целостности загрузочного сектора жесткого диска до загрузки операционной системы (опционально);возможность работы в двух изолированных контурах различного уровня конфиденциальности на одной машине (опционально);разграничение доступа пользователей к данным, устройствам и приложениям на основе дискреционного и мандатного принципов контроля доступа;статический и динамический контроль целостности приложений и данных;автоматическая регистрация системных событий в журналах безопасности;контроль вывода на печать и маркировка документов, содержащих конфиденциальную информацию;блокировка рабочего места по периоду неактивности;возможность настройки расписания доступа пользователя в систему;функция многофакторной аутентификации с использованием биометрических данных пользователя (вход в систему по отпечаткам пальцев, смарт-карте и пин-коду).Diamond ACS поддерживает Windows и Linux. Diamond ACS также может применяться в системах терминального доступа, построенных на базе терминальных служб Microsoft RDS и программного обеспечения Citrix (функционирующего на базе протокола ICA).Комплекс обеспечивает возможность совместной работы со следующими СЗИ и СКЗИ:по части обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений — Diamond VPN/FW,для хранения ключевой и идентифицирующей информации — JaCarta (производства ЗАО «Аладдин Р.Д.»).Подробнее с продуктом можно ознакомиться на сайте разработчика. ВыводыМы рассмотрели российский рынок сертифицированных средств защиты информации от несанкционированного доступа для конечных точек, рассказали, каким требованиям должны соответствовать СЗИ от НСД, а также обозначили основных игроков российского рынка СЗИ от НСД.Основным драйвером рынка сертифицированных СЗИ от НСД является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации (защита персональных данных, защита государственных информационных систем, защита государственной тайны).Хотя изначально СЗИ от НСД создавались применительно к решению задач усиления встроенных в операционные системы механизмов защиты, современные продукты этого класса эволюционируют в сторону комплексной защиты конечных точек сети от внешних и внутренних угроз, где функциональность СЗИ от НСД является лишь одной из составляющих.К наиболее популярным в России продуктам можно отнести Secret Net Studio, «Аккорд», Dallas Lock, «Блокхост-сеть», Diamond ACS, «Панцирь», «Страж NT», «Аура» и «Фантом».Среди комплексных решений для защиты автоматизированных рабочих мест и серверов можно выделить продукты Dallas Lock ЦЗИ «Конфидент» и Secret Net Studio компании «Код Безопасности». Помимо стандартных функций СЗИ от НСД у этих решений есть персональный межсетевой экран, система обнаружения вторжений. Secret Net Studio включает антивирусный модуль на базе антивирусного ядра ESET, а также планируется интеграция с Kaspersky Anti-Virus.О плюсах и минусах рассмотренных систем в данном обзоре говорить не будем. Чтобы подробно разобраться в преимуществах той или иной системы, в дальнейшем мы проведем детальное сравнение сертифицированных СЗИ от НСД.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktorr

Спасибо за обзор, очень подробная и полезная информация. А ещё подскажите пожалуйста, если мы планируем использовать виртуальный сервер, на котором будут храниться в том числе персональные данные клиентов, какой хостинг для этого лучше выбрать, vps или vds? Данный вопрос в первую очередь волнует, именно в плане более надежной защиты данных, этот момент самый приоритетный. Заранее благодарю за ответ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Harlison
      А насчёт транспорта, свой нужен или только на служебном? И можно ли свои аксессуары ставить на ваши машины, к примеру подобные оплетки рулевого колеса https://lazebra.ru/shop/opletki/opletki-dlya-rulya/ ? Привык к ним сильно, уж очень удобные, поэтому хочется заранее подобные моменты все узнать, для лучшей продуктивности работы.
      заранее спасибо
    • Viktorr
      Спасибо за обзор, очень подробно и понятно. Из своего же опыта могу сказать, что мы для офиса заказали лицензионный Symantec Endpoint Protection. Причем на мой взгляд, это один из самых лучших вариантов. Поначалу пытались бесплатными программами пользоваться, но они явно не подходят для обеспечения корпоративной безопасности. А потом начальник поручил здесь https://softmap.ru/think-cell/think-cell-chart/ купить think cell на 20 пользователей, так как этот софт нам нужен для составления таблиц и диаграмм, и я заодно убедил его купить ПО для корпоративной защиты. Ведь это возможно, даже более важный вопрос, учитывая что у нас есть собственные наработки, которых пока нет ни у одной другой компании.
    • grak
      Я кредиты не беру вовсе, нету в них надобности так как в деньгах не нуждаюсь, а все потому что я зарабатываю на http://vulkanvip-casino.com/ этом портале. Хотите и вы так? Значить переходите на тот сайт и зарабатывайте.
    • AM_Bot
      Какие проблемы безопасности связаны с использованием наиболее популярных браузеров? Что следует понимать под защищенными браузерами и каковы их отличительные черты? В каких направлениях развивается сегмент рынка защищенных браузеров? Ответы на эти и другие вопросы содержатся в аналитическом обзоре рынка защищенных браузеров.    ВведениеПроблемы безопасности браузеровЧто такое защищенный браузер?Защищенные браузеры4.1. Tor Browser4.2. Waterfox4.3. Iron4.4. Comodo Dragon4.5. Brave4.6. Opera4.7. Epic4.8. Dooble Web BrowserВыводы ВведениеБраузер, пожалуй, одна из наиболее востребованных программ среди всех пользователей, независимо от возраста, профессии, социального положения. С момента появления первого браузера было разработано множество программ этого рода, и число только наиболее известных измеряется в десятках. Разработчики программ идут на всевозможные ухищрения для того чтобы привлечь внимание публики именно к своему детищу. Опыт же показывает, что легче всего завоевать сердце пользователя, предоставив ему максимально комфортные условия работы. Для этого нужно поддержать как можно больше операционных систем, веб-технологий, форматов данных и протоколов, а также реализовать как можно больше различных удобных функций. Высокая скорость загрузки страниц тоже очень нравится пользователям.В большинстве случаев браузер выбирается на основе именно этих критериев. А кто-то вообще экономит силы и либо пользуется тем, что уже есть, либо устанавливает самое популярное решение. Осознанным такой выбор назвать трудно, поскольку не все браузеры одинаково безопасны. Проблемы безопасности браузеровУпотребление признака «защищенный» в теме данного обзора может вызвать закономерный вопрос: разве не все браузеры защищенные? Без большого риска ошибиться можно предположить, что если вы прямо сейчас откроете окно настроек браузера, в котором читаете этот обзор, то легко сможете отыскать раздел вида «безопасность», «конфиденциальность» или что-то подобное.Функции безопасности, такие как защита скачиваний, фильтрация URL, запрет слежения, приватный режим, стали «мейнстримом» и взяты на вооружение Google Chrome, Internet Explorer и Mozilla Firefox. Что же в таком случае мешает рассматривать в качестве защищенных все существующие браузеры?Из ряда свидетельств в прошлом широкой общественности стало известно, что использование наиболее распространенных браузеров сопряжено с рисками безопасности. В первую очередь, подпадают под подозрение продукты, которыми владеют крупные компании. Google, Microsoft, Apple, по-видимому, принимают активное участие в программе негласного сбора информации, передаваемой по сетям электросвязи (PRISM). Браузеры по своей природе очень удобный инструмент для того, чтобы собирать данные о поведении, привычках и предпочтениях пользователей, по крайней мере, в маркетинговых целях. Разумеется, чем более широко используется браузер, тем большую ценность он представляет для корпораций и правительственных организаций в качестве поставщика сведений. Но самая большая неприятность состоит в том, что мы даже не можем получить полное представление о том, как и для чего собранные данные могут быть использованы сейчас и в будущем. Мы имеем дело с миной замедленного действия, и игнорировать факт ее существования довольно легкомысленно. Что такое защищенный браузер?Для неискушенного пользователя большинство браузеров может казаться защищенными. Но специалисты в области ИБ хорошо знают, что истинная безопасность подразумевает отказ от многих зависимостей, связанных с платформами, плагинами и любыми иными избыточными элементами для получения как можно более простого и прозрачного инструмента.Защищенным разумно считать специализированный браузер, который скорее нацелен на решение проблем конфиденциальности пользователей, предоставление ему всех возможностей по управлению, исключение сбора данных, пусть даже в ущерб комфортной работе в интернете. Теперь становится понятно, что популярность браузера ни в коей мере не свидетельствует о высоком уровне его защищенности. Более того, эти два качества скорее противоречат друг другу.В рамках обзора невозможно и нецелесообразно рассматривать все существующие решения, которые могут претендовать на право называться защищенными. Мы отобрали наиболее типичных и ярких представителей сегмента, чтобы сформировать целостную картину. Защищенные браузеры Tor BrowserВряд ли полноценный обзор защищенных браузеров может обойтись без упоминания решения Tor. Разработка браузера Tor стала своеобразным ответом на лавинообразное увеличение числа инцидентов безопасности при использовании интернета.Браузер Tor в сущности представляет собой лишь вершину айсберга. За ним кроется защищенная распределенная сеть из множества прокси-серверов, создаваемая с целью обеспечить анонимность и конфиденциальность пользователя в интернете.Работа браузера основана на простом для понимания принципе «луковичной маршрутизации» (Tor — это акроним от Onion Router). Над данными множество раз выполняется процедура шифрования по мере передачи от сервера к серверу (три выбираемых случайным образом сервера сети Tor — те самые «луковичные слои») защищенной сети Tor, а затем передаются по виртуальному каналу. И точно так же данные расшифровываются очередным «слоем» при получении.Трафик между сетью Tor и целевым ресурсом не шифруется. Поэтому если пользователь хочет передавать по интернету чувствительную информацию, по-прежнему нужно позаботиться о конфиденциальности за счет использования https или иного протокола сквозного шифрования, а также механизмов аутентификации.Кроме того, при использовании сети Tor у пользователя остается возможность посещать заблокированные сайты. Рисунок 1. Схема работы Tor  Давайте рассмотрим концепцию браузера подробнее. Tor Browser основан на специальной версии Mozilla Firefox с расширенным сроком поддержки (Extended Support Release (ESR)). Повышенный по сравнению с Firefox уровень безопасности достигается за счет следующих нововведений:применения ряда патчей для усиления конфиденциальности;изменение настроек Firefox, задаваемых по умолчанию, с акцентом на безопасность (в целом состав настроек с некоторыми исключениями совпадает с теми, что реализованы в Firefox); Рисунок 2. Настройки приватности Tor Browser по умолчанию усиление безопасности за счет использования различных расширений для безопасного просмотра веб-сайтов: HTTPS-Everywhere, NoScript, Torbutton (кстати, в настоящее время ведется работа по перенесению функциональности последнего расширения непосредственно на уровень патчей); Рисунок 3. Стандартные расширения Tor Browserиспользование подключаемых транспортных модулей (Pluggable Transports) для противодействия цензуре в интернете, которая направлена на блокирование сетей Tor по IP или с помощью механизмов фильтрации потоков трафика: Obfs3proxy, Obfs4proxy, meek, FTE. Рисунок 4. Подключаемые транспортные модули Tor Browser Актуальная на момент написания обзора версия Tor Browser 7.5.6 основана на Firefox 52.9 ESR, но уже готовится к официальному выходу версия на основе Firefox ESR 60. Поддерживаются Microsoft Windows, macOS, GNU/Linux.Очевидно, что браузер Tor особенно востребован в тех случаях, когда возникают попытки ограничить свободу в интернете. За примерами далеко ходить нет нужды, они на слуху.По умолчанию Tor Browser не сохраняет историю посещений, а cookies хранятся и используются только на время сеанса.При первом запуске Tor Browser отображается окно настроек сети Tor. Можно выполнить подключение к ней или предварительно задать настройки для подключения. Рисунок 5. Окно подключения к сети Tor В большинстве случаев достаточно нажать кнопку «Соединиться», чтобы установить подключение без конфигурирования. После этого появится полоса загрузки, наглядно отображающая текущее состояние процесса подключения. Рисунок 6. Подключение к сети Tor Кнопку «Настроить» следует нажать, если подключения к интернету подвергаются цензуре или используется прокси. Для разрешения первой проблемы браузер позволяет выбрать подключаемый транспортный модуль, а во втором случае в настройках нужно будет указать параметры прокси-сервера.Веб-сайты часто задействуют множество сторонних сервисов для взаимоувязывания и сопоставления активности пользователя на различных ресурсах. Сюда можно отнести кнопки «Нравится» в социальных сетях, аналитические трекеры, рекламные маяки и т. п. Браузер Tor включает несколько дополнительных механизмов контроля за перемещениями информации, ассоциированной с пользователем. По сути он ограничивает интерфейс взаимодействия пользователя с сервисами интернета исключительно тем веб-сайтом, что задан в адресной строке. И даже если пользователь подключается к двум разным сайтам, которые используют один и тот же сторонний сервис-трекер, браузер обеспечивает прохождение содержимого сайтов через две различные цепочки серверов. Благодаря этому трекер не будет знать, что оба подключения были установлены из браузера одного пользователя.Некоторые веб-сайты требуют вводить логин и пароль пользователя при входе. В случае с незащищенным браузером, помимо логина и пароля, зачастую раскрывается информация об IP-адресе и местоположении пользователя. С браузером Tor можно в явном виде выбирать, какая информация будет раскрыта при использовании того или иного веб-сайта.Опция «Новая личность» пригодится, если нужно предотвратить увязывание деятельности в браузере с той, что была предпринята ранее. При выборе этой опции будут закрыты все открытые вкладки и окна, очищена вся личная информация (cookies и история посещения сайтов), а также будут созданы новые цепочки для всех соединений. Рисунок 7. Управление цепочками Tor для сайтов Опция «Новая цепочка» может быть полезна, если выходной сервер не может подключиться к веб-сайту или загрузить его корректным образом. В этом случае активная вкладка или окно будут перезагружены в новой цепочке Tor.Tor Browser имеет элемент управления «Уровень безопасности», который позволяет повышать и снижать степень защищенности посредством управления набором потенциально опасных параметров. Повышение уровня может привести к тому, что некоторые страницы будут отображаться некорректно. Это своего рода плата за повышенную безопасность. Оценить приемлемый уровень безопасности достаточно просто, поскольку соответствующее окно настройки содержит всю необходимую информацию о возможных последствиях. Рисунок 8. Уровни безопасности Tor Browser Кроме того, в Tor Browser реализованы оперативные механизмы, направленные на информирование и предупреждение пользователя о потенциальных опасностях, связанных с использованием тех или иных веб-сайтов. WaterfoxУже из названия Waterfox видно, что он основан на Mozilla Firefox. Пожалуй, это наиболее известный браузер подобного рода, именно по этой причине он попал в настоящий обзор. Кроме него можно еще отметить альтернативные браузеры, основанные на коде Firefox, — Pale Moon и Basilisk.Waterfox принадлежит к числу довольно незатейливых браузеров с открытым исходным кодом. Разработчики видели одну из своих целей в создании самого быстрого браузера для 64-битных компьютеров. Waterfox  заслужил свою популярность как раз благодаря тому, что в нем была реализована поддержка 64-битных операционных систем еще в то время, когда Mozilla Firefox был 32-битным.Waterfox основан на Firefox ESR и потому поддерживает традиционные XUL-расширения Firefox и NPAPI-плагины. По сравнению с Firefox в нем изменен ряд настроек безопасности по умолчанию, в частности:отключена интеграция с веб-сервисом Pocket;отключена автоматическая отправка телеметрических данных в компанию Mozilla;отключены расширения Encrypted Media Extensions, которые требуются для работы некоторых сайтов.Следует отметить, что ощутимого прироста скорости эти улучшения на данный момент не приносят, а с точки зрения безопасности аналогичный эффект может быть получен посредством конфигурирования Firefox вручную. Рисунок 9. Настройки приватности Waterfox по умолчанию Разработчики Waterfox заявляют следующие основные преимущества браузера перед конкурентными решениями:просмотр веб-страниц без оставления следов. Waterfox автоматически удаляет с компьютера оперативную информацию пользователя (пароли, cookies, историю посещения страниц);противодействие скрытым трекерам. Waterfox оснащен защитными механизмами для автоматического блокирования скрытых трекеров, которые собирают информацию о просмотренных страницах. Это позволяет сохранить конфиденциальность пользователя и ускорить загрузку страниц. Рисунок 10. Защитные механизмы Waterfox Как это ни парадоксально, с использованием Waterfox и подобных ему браузеров связана существенная проблема безопасности. Дело в том, что обновления безопасности, выпускаемые для Firefox ESR, появляются в Waterfox с некоторым запозданием. Это объяснимо, поскольку разработчикам требуется время для того, чтобы интегрировать эти обновления в Waterfox. Однако практика показывает, что задержка может достигать двух недель. IronSRWare Iron — это основанный на Chromium браузер для защищенной работы в интернете. Создатели Iron противопоставляют свое детище Google Chrome как инструмент, впитавший в себя все лучшие качества последнего и лишенный проблем безопасности для пользователя. Основная проблема безопасности Chrome, от которой решили избавиться в Iron, заключается в отправке сведений о действиях пользователя в Google и создании идентификатора, облегчающего опознание пользователя.В свете этой позиции не должно удивлять, что в целом интерфейс Iron практически не отличается от Chrome.Проект до настоящего времени поддерживается разработчиками, новые версии выходят с небольшими перерывами каждый месяц. Последняя на момент написания статьи версия 67.0.3500.0 увидела свет 28.06.2018.Для решения проблем безопасности браузер предлагает соответствующий набор настроек конфиденциальности, расширения и настраиваемые средства разработчика.На рисунке ниже для наглядности сопоставлены настройки конфиденциальности, предоставляемые Google Chrome и SRWare Iron. Можно легко заметить, что из Iron удалены все параметры, в той или иной степени связанные со сбором и отправкой в Google информации о работе пользователя с браузером. В остальном настройки идентичны. Рисунок 11. Сравнение настроек конфиденциальности Google Chrome (слева) и SRWare Iron (справа) На официальном сайте Iron заявлено, что в отличие от Chrome, «Iron имеет встроенный блокировщик рекламы, который легко настроить с помощью конфигурационного файла». На практике явных следов наличия этого инструмента в Iron обнаружить не удалось, по умолчанию реклама не блокируется. Да и подход с настройкой браузера через конфигурационный файл представляется сомнительным.В Iron отключена служба обновления в фоновом режиме и механизмы, предположительно позволяющие каким-либо образом идентифицировать пользователя.С учетом заявленной ориентации Iron на исключение избыточных элементов вызывает удивление наличие в браузере ряда предустановленных расширений, не связанных с обеспечением безопасности. Рисунок 12. Предустановленные расширения Iron Хотя Iron позиционируется как программное обеспечение с открытым исходным кодом, тексты программ на протяжении 10 лет существования браузера так и не были опубликованы. Comodo DragonБраузер Comodo Dragon, как и Iron, основан на технологии Chromium. При этом в отличие от решения SRWare, помимо улучшений технологии Chromium в части обеспечения конфиденциальности, Comodo реализует ряд любопытных механизмов безопасности собственной разработки:валидация доменов (Domain Validation), которая идентифицирует и изолирует внешние сертификаты SSL от внутренних;отказ от использования cookies и других механизмов, потенциально опасных с точки зрения отслеживания действий пользователя;предотвращение возможности отслеживания пользовательских скачиваний.Компания Comodo достаточно широко известна в качестве разработчика различных средств защиты информации, включая антивирус и межсетевой экран, что заставляет относиться и к механизмам безопасности браузера ее разработки с должным вниманием.Уже начальное окно установки браузера выглядит очень многообещающе для всех, кто всерьез заботится о безопасности личных данных: пользователь сразу может воспользоваться предложением использовать собственные бесплатные DNS-серверы Comodo для повышения уровня защиты и даже скорости работы с интернет-ресурсами. Рисунок 13. Окно установки Comodo Dragon Пользовательский интерфейс Comodo Dragon, разумеется, очень напоминает Google Chrome.На рисунке ниже для наглядности сопоставлены параметры конфиденциальности, предоставляемые Google Chrome (слева) и Comodo Dragon (справа). Можно заметить, что в целом состав настроек совпадает. При этом обращает на себя внимание знакомый подход, связанный с исключением ряда механизмов передачи различных данных в Google. Любопытно, что в отличие от разработчиков браузера Iron, команда Comodo не считает предосудительной возможность использования веб-службы для разрешения проблем навигации. Рисунок 14. Сравнение настроек конфиденциальности Google Chrome (слева) и Comodo Dragon (справа) Помимо упоминавшейся ранее функции защищенного DNS, в Comodo Dragon добавлены опции автоматического запуска браузера в режиме инкогнито и запрета раскрытия веб-сайтам данных о том, откуда на них был осуществлен переход. Рисунок 15. Режим инкогнито в Comodo Dragon Браузер также оснащен инструментом для информирования о потенциальных утечках информации об IP/DNS. Специальный детектор позволяет понять, какая пользовательская информация может быть раскрыта при посещении веб-сайтов. Очевидно, что в общем случае эта информация впоследствии может быть использована владельцами веб-сайтов, рекламодателями, трекерами и т. п. Рисунок 16. Информирование о потенциальных утечках информации об IP/DNS в Comodo Dragon Наряду с привлекательными механизмами безопасности, подход Comodo на безальтернативной основе предусматривает также ряд сомнительных обязательств для пользователя.Во-первых, при установке браузера без ведома и, возможно, желания пользователя устанавливается антивирусное программное обеспечение, а также модуль Comodo Internet Security Essentials, призванный защитить пользователей от атак типа «человек посередине».Кстати, в этом отношении можно отметить схожий подход Яндекс.Браузера, который реализует технологию активной защиты пользователей Protect. Одним из элементов этой технологии является встроенный в браузер антивирусный модуль для проверки загружаемых файлов, позволяющий как устранять угрозы автоматически в фоновом режиме, так и отправлять информацию о подозрительных файлах и сайтах в Яндекс. Рисунок 17. Технология активной защиты пользователей Protect в Яндекс.Браузере Во-вторых, лицензия Comodo предполагает возможность сбора различных данных о пользовательской системе в целях «повышения производительности и функциональности», включая информацию об операционной системе пользователя, установленных плагинах, а также метаданные файлов, сведения о браузерах по умолчанию и многое другое. В свете борьбы с утечками информации в Google такой подход выглядит неоднозначно. BraveВ этом разделе нам предстоит кратко познакомиться со сравнительно новым (актуальная на момент написания обзора версия — 0.23.31!), но весьма многообещающим решением. Brave — это продукт с открытым исходным кодом, основанный на Chromium.Его отличительная черта, которая бросается в глаза даже при минимальном опыте использования, — высокий уровень визуализации эффектов от применения механизмов безопасности. На стартовой странице Brave отображается наглядная статистика в форме специальных счетчиков заблокированных трекеров, рекламных модулей, выполненных перенаправлений с http на https, а также сэкономленное в результате время (создатели Brave обещают загружать веб-страницы от 2 до 8 раз быстрее, чем Chrome и Safari). Рисунок 18. Счетчики Brave Кроме того, подобную статистику можно посмотреть и отдельно для каждой веб-страницы по щелчку на кнопке с изображением льва в правом верхнем углу. В этом же окне можно применительно к текущему веб-сайту оперативно управлять различными встроенными в браузер механизмами защиты (так называемыми «щитами»): параметрами блокировки рекламы и cookies, защитой отпечатка браузера др. Рисунок 19. Параметры «щита» Brave для сайта Если нужно изменить настройки «щитов» по умолчанию для всех сайтов сразу, следует внести соответствующие изменения в панели настроек браузера. Рисунок 20. Настройки «щитов» Brave для всех сайтов по умолчанию В Brave также реализованы интересные механизмы создания вкладок:от имени «новых личностей» из набора;«приватных»;«приватных» с использованием Tor.Вкладки с «новой личностью» эмулируют загрузку сайта со стороны совершенно нового пользователя. При этом для такой вкладки создается отдельный набор cookies и внутренних параметров, не доступный для остальных открытых вкладок. Использование такого механизма позволяет, например, удобно работать с несколькими учетными записями в социальных сетях или почте, и в целом препятствует предоставлению веб-сайтам информации о различных видах деятельности пользователя.«Приватные» вкладки отличаются тем, что в них не ведется история посещения страниц, а cookies очищаются при закрытии браузера.«Приватные» вкладки с Tor позволяют передавать информацию через сеть Tor. Рисунок 21. Защищенные вкладки в Brave На рисунке ниже показан набор основных настроек безопасности Brave. Особый интерес вызывает, пожалуй, экспериментальная функция повышения безопасности за счет загрузки каждого сайта в рамках отдельного процесса. Рисунок 22. Основные настройки безопасности Brave Что касается сбора персональных данных, Brave реализует технологию Anonize, которая допускает выполнение транзакций, основанных на принципе «анонимного учета». Для организации этой технологии используются криптографические методы доказательств с нулевым разглашением. OperaВозможно, включение браузера Opera в обзор кому-то покажется неочевидным шагом. Действительно, его возможности в целом хорошо известны, и он не позиционируется на рынке браузеров как решение с акцентом на безопасность.Подавляющее число настроек безопасности выглядят вполне привычно. Однако Opera все же выделяется из множества «традиционных» браузеров благодаря встроенному механизму блокировки рекламы, а самое главное — наличию VPN. Именно эти особенности заслуживают отдельного рассмотрения и во многом позволяют Opera выдерживать конкуренцию со стороны многочисленных браузеров на базе Chromium.Ранее мы уже видели пример добавления в браузер нетипичной защитной функциональности в виде антивирусного элемента в Comodo Dragon. Но если установка браузером антивируса без ведома пользователя многими воспринимается скорее как сомнительная мера и навязывание лишних услуг, то добавление возможности по желанию включать и выключать VPN смотрится вполне органично. Рисунок 23. Настройка VPN в Opera После включения VPN обращения к веб-сайтам производятся из виртуального местоположения. Для изменения виртуального местоположения можно выбрать необходимую страну из списка. Если выбрано неподходящее виртуальное местоположение, автоматически назначается оптимальное. После этого назначается новый IP-адрес.После включения VPN становится доступен флаг «обходить VPN в поисковых системах». Использование такого защитного механизма значительно проще, чем в Tor Browser, но и уровень обеспечения безопасности ниже. Рисунок 24. Виртуальное местоположение в Opera Наличие встроенных средств удаления рекламных блоков и предотвращения отслеживания действий пользователя также довольно приятная неожиданность, более свойственная узко специализированным браузерам. На сайтах, где блокировать рекламу не надо, можно в два нажатия мыши отключить блокировщик. Правда, стоит отметить, что в качестве своего рода компенсации за проявленную заботу по ограждению пользователя от избыточной информации после установки в браузере уже содержится некоторый объем рекламы в виде закладок на различные популярные ресурсы.Напомним, что в браузере поддерживается приватный режим: при закрытии приватных окон Opera удаляет связанные с ними данные, включая историю посещений, элементы в кэше, файлы cookies. Кроме того, Opera предупреждает о подозрительных страницах, проверив запрашиваемые по базе известных фишинговых и вредоносных сайтов.Наконец, при просмотре страниц через зашифрованное соединение (https://) Opera проверяет, все ли части сайта зашифрованы. Если обнаруживается, что какой-либо активный элемент на странице, например, скрипт, плагин или фрейм, обслуживается через открытое соединение (http://), всё небезопасное содержимое блокируется. Конечно, при этом страница может отображаться некорректным образом. EpicБраузер Epic, как и большинство включенных в обзор решений, основан на технологии Chromium. Разработчики видят предназначение Epic в противодействии скрытой слежке за действиями пользователей и отмечают недостатки многих распространенных на сегодняшний день механизмов защиты, включая режим «инкогнито», расширения браузера, средства VPN.Предлагаемая нашему вниманию статистика неутешительна: около 80% веб-сайтов используют один или более трекеров. В результате посещения пятидесяти наиболее популярных ресурсов на компьютер пользователя может быть установлено свыше 3000 файлов-трекеров. Рисунок 25. Статистика Epic по масштабам слежения за пользователем для популярных браузеров Решение Epic состоит в блокировании наиболее критичных каналов утечки личных данных пользователя:подсказок в адресной строке браузера и модулей отслеживания URL;информации, связанной с инсталляцией браузера;модулей отслеживания и оповещения о возникающих ошибках в работе браузера.Кроме того, Epic защищает данные о поисковых запросах, для чего в него встроено защищенное ядро поисковой системы, и блокирует множество различных видов трекеров, в том числе скрипты, cookies, агенты и т. д. Настройки конфиденциальности по умолчанию заданы таким образом, чтобы отключить все избыточные и потенциально опасные механизмы браузера, включая ведение истории, сохранение паролей, кэширование страниц, синхронизацию с серверами Google, автозаполнение и др. Рисунок 26. Настройки конфиденциальности Epic Если включить в настройках встроенный Epic-прокси, при работе в браузере скрывается IP-адрес и шифруется трафик. DNS-запросы также маршрутизируются через зашифрованный прокси. Помимо защиты истории посещений страниц, этот метод позволяет получать доступ к заблокированным веб-сайтам. Рисунок 27. Управление встроенным прокси Epic По закрытии браузера производится удаление всего массива информации, связанного с сеансом работы пользователя в интернете.Таким образом, Epic предлагает комбинированное решение по обеспечению конфиденциальности, состоящее в выборе оптимальных настроек и реализации дополнительных механизмов защиты. Dooble Web BrowserНапоследок рассмотрим, пожалуй, самое необычное из представленных в настоящем обзоре решений — кроссплатформенный браузер Dooble. 5 ноября 2017 года вышел первый релиз поколения 2.0 браузера Dooble, в котором по сравнению с предыдущими версиями было переработано практически все, начиная от логики функционирования и заканчивая иконками.Как мы уже убедились, сейчас большинство интернет-обозревателей базируются либо на Chromium, либо, в меньшей степени, на Firefox, что делает их весьма похожими между собой. Так вот, Dooble — это самостоятельный и оригинальный программный продукт, который, тем не менее, мало в чем уступает по функциональности законодателям мод. Не слишком высокий уровень популярности Dooble объясняется тем, что первые версии вызывали много нареканий, и, хотя с момента старта проекта в 2009 году утекло много воды, «осадочек остался». Основой Dooble является движок WebKit, и пользовательский интерфейс браузера следует признать довольно необычным. Рисунок 28. Пользовательский интерфейс Dooble В браузере реализовано множество полезных механизмов защиты:управление cookies, включая возможность автоматического и периодического их удаления; Рисунок 29. Управление cookies в Dooble встроенные блокировщики различного содержимого веб-страниц (кстати, плагины в браузере не поддерживаются вовсе);поддержка прокси-серверов;поддержка возможности хранения пользовательской информации в зашифрованных базах данных (при этом выбор алгоритма шифрования предоставляется пользователю, а реализация алгоритмов шифрования выполнена авторами Dooble). Рисунок 30. Настройки защищенного хранилища пользовательских данных в Dooble В целом, можно отметить, что данный продукт, по крайней мере, заслуживает большего внимания, чем ему уделяется сейчас. ВыводыВ данном материале мы познакомились с наиболее заметными представителями сегмента защищенных браузеров. При этом мы не преследовали цель провести детальное сравнение с окончательными выводами по каждому продукту.Абсолютно безопасного браузера не существует, как не существует абсолютной безопасности в принципе. Каждое из представленных решений обладает известными достоинствами и недостатками и имеет своих почитателей и критиков. Это закономерно, поскольку цели, ожидания, образ жизни людей отличаются, и, соответственно, уровень необходимой защищенности тоже не является постоянной величиной. Основной вывод состоит в том, что набор критериев выбора подходящего браузера нужно расширить, принимая во внимание риски нарушения конфиденциальности.При этом нужно отдавать себе отчет, что повышение уровня безопасности зачастую может быть сопряжено с потерей в удобстве и скорости работы в интернете. Функции автозаполнения логинов и паролей, синхронизации пользовательских данных с внешними серверами, ведения истории посещений облегчают жизнь, но отрицательно сказываются на безопасности.Как мы увидели, в настоящее время отсутствует единый подход к построению архитектуры защищенного браузера. В основном усилия разработчиков предпринимаются в следующих направлениях:взять за основу распространенное решение и удалить из него все лишние, потенциально опасные компоненты;взять за основу распространенное решение и задать в нем безопасные настройки по умолчанию;создать браузер с минимально необходимыми прикладными функциями и набором встроенных механизмов защиты.Зачастую на практике можно наблюдать различные комбинации данных подходов.Можно отметить, что рассмотренные нами продукты обеспечивают более высокий уровень безопасности по сравнению с наиболее популярными браузерами. И в связи с этим имеет смысл держать защищенные браузеры под рукой в качестве альтернативы для выполнения хотя бы наиболее чувствительных с точки зрения безопасности операций в интернете. Читать далее
    • Ego Dekker
      Антивирусы были обновлены до версии 11.2.49.
×