Перейти к содержанию
Андрей-001

Преимущества SSD-накопителей перед HDD-накопителями

Recommended Posts

Андрей-001

Основным преимуществом SSD-накопителя по сравнению с традиционным жёстким диском (особенно типичным для комплектации современных ноутбуков – небольшим и не слишком скоростным жёстким диском с диаметром пластин 2,5" и скоростью вращения 5200 либо даже 4800 об./мин) остается скорость обмена данными с оперативной памятью компьютера. Другие, ни менее важные преимущества - это меньшее энергопотребление, меньшая чувствительность к ударам и сотрясениям, меньший вес.

Таким образом, замена HDD на SSD положительно скажется на скорости запуска операционной системы и приложений, продолжительности автономной работы ноутбука, сохранности важных данных. К тому же не выделяющие тепла и абсолютно бесшумные, новые SSD-решения, как ожидается, будут наилучшим решением для персональных компьютеров.

К примеру сказать, японская компания Buffalo сейчас предлагает серию твердотельных накопителей SHD-NSUM, состоящую из шести моделей емкостями 30, 32, 60, 64, 120 и 128 Гбайт. По заверениям на сайте Buffalo, использование её новых SSD сокращает время загрузки операционной системы на целых 45%, а в среднем прирост скорости работы по сравнению с обычными HDD обещает составить около 30%.

Особенностью моделей серии Buffalo SHD-NSUM является наличие сразу двух интерфейсов, SATA-II и USB 2.0 (см. картинку), в сочетании с габаритами типичного ноутбучного накопителя формата 2,5" (цена SSD будет 392$ за 128 Гб, но это дело времени и к теме обсуждения не относится).

SSD.jpg

Это открывает дополнительные возможности при работе с устройством, предназначенным для замены жёсткого диска ноутбука. Например, можно подключить его непосредственно к мобильному компьютеру, HDD которого предполагается менять, и создать на нем образ уже имеющегося диска или просто перенести нужные данные.

При возникновении неполадок в самом ноутбуке такой SDD-накопитель не составит труда извлечь и использовать как внешний с другим компьютером, чтобы без труда получить доступ к сбережённым на нём данным.

3fcc4ac4f7c6.jpg

Всвязи с чем возникает ряд вопросов:

1) Поможет ли использование SDD-накопителей избежать целого ряда причин, вызывающих потерю данных на HDD или это всего лишь другая проблемоносная технология за счёт покупателей?

2) Какими будут способы восстановления данных с SDD-накопителей, будут ли они (способы ли) отличаться от существующих ныне или же программно-восстановительная среда останется той же?

Для ответов на эти и другие вопросы и предназаначена эта тема.

post-3999-1237106223_thumb.jpg

  • Upvote 5
  • Downvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Samsung уже оснащает SSD встроенными средствами полного шифрования

Сотрудничество компаний Wave Systems и Samsung Electronics привело к созданию продукта, который «даст мобильным профессионалам максимальную степень безопасности». Наряду с высокой скоростью и бесшумной работой новые твердотельные накопители Samsung характеризуются наличием функции автоматического шифрования всей информации.

Полное шифрование диска (full disk encryption, FDE) уже стало стандартной функцией многих накопителей на жестких магнитных дисках для настольных и мобильных систем.

Компания Samsung предложила потребителям твердотельные накопители с FDE типоразмера 1,8 и 2,5 дюйма, в вариантах объема 256, 128 и 64 ГБ. По данным Samsung, в SSD типоразмера 1,8 дюйма поддержка FDE реализована впервые в мире.

В комплект поставки устройств входит ПО Wave EMBASSY для конфигурирования и администрирования.

Поставляемая отдельно программа Wave EMBASSY Remote Administration Server дает возможность администратору удаленно включать SSD и контролировать работу функций шифрования. Программа поддерживает все доступные сегодня накопители с TPM и FDE, а также защиту с помощью FDE, реализованную программным способом, с помощью программы SafeNet ProtectDrive.

Новые накопители, как говорят, вот-вот должны появиться в конфигурациях готовых ПК. :)

Источник: www.ixbt.com

Преимущества SSD Samsung >>> (видеодемонстрация)

Некоторые твердотельные SSD-накопители >>> (внешний вид, технические характеристики)

Несмотря на значительное преимущество твердотельных накопителей перед жёсткими дисками, накопители SSD все же пока не пользуются популярностью.

Согласно отчету DRAMeXchange, твердотельные накопители будут находиться всего лишь в 1-1.5% ноутбуков, поставленных на рынок в текущем году. Конечно же, вероятность встретить SSD в нетбуке гораздо выше - около 10%, однако, подобные накопители мало чем отличаются от USB-флэшек, так как имеют сравнительно небольшой объем и низкую производительность.

Подобное положение дел объясняется все еще высокими ценами на флэш-чипы и соответственно SSD. В настоящее время стоимость 64 Гб накопителя сравнима с 500 Гб мобильным 2.5-дюймовым винчестером, но существенное снижение цены можно будет ожидать после перехода на 30 нм чипы флэш-памяти.

Довольно любопытно, какой должна быть стоимость твердотельного накопителя, чтобы рядовой пользователь предпочел жесткому диску более надежный, быстрый, тихий и энергоэффективный SSD?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Хочу поделиться подробной информацией о различных современных технологиях памяти для твердотельных накопителей: OUM, NRAM, FRAM, MRAM. Из-за большого объёма информации и удобства чтения придётся размещать информацию порциями.

e6bd1cd76cfdt.jpg

Борьба за господство в сфере запоминающих устройств заставляет лучшие умы человечества прибегать к новым методам изготовления памяти. Если твердотельные накопители (SSD) хотят победить своего главного конкурента в лице винчестеров, то технологии создания чипов на базе NAND флеш-памяти не позволят им одержать легкую и уверенную победу.

Уже сейчас надо использовать что-то новое. Поэтому сегодня речь о завтрашних "внутренностях" твердотельников – быть может, в скором времени маркетологи и СМИ начнут расхваливать технологии, представленные в этой статье.

Технологии новой памяти уже сейчас сделали ощутимый шаг в осуществлении заветной мечты многих инженеров и пользователей ПК – иметь производительность, не уступающую модулям динамической памяти, да при этом еще и сохранять все данные на долгие-долгие годы. Когда она осуществится, исчезнет, например, такое понятие, как "время загрузки операционной системы", а грань между ОЗУ и ПЗУ окончательно смоется потом трудолюбивых разработчиков. С освоением новых технических процессов, улучшением характеристик и удешевлением производства, а также увеличением ассортимента продуктов и объемов выпуска продвинутая энергонезависимая память придет-таки в наши дома. Но сколько еще ждать заветного "чуда" – никто не знает. Будем надеяться, что не долго.

OUM

В погоне за господством над компьютерным миром корпорация Intel преуспела в создании нового вида памяти. Приблизительно семь лет назад началась разработка прогрессивного типа запоминающих устройств, основанных на аморфных полупроводниках (Ovonic Unified Memory – OUM). Благодаря своему известнейшему прародителю данная "твердотельная" технология успела стать довольно узнаваемой, но мало применяемой в наши дни. По существу, OUM работает так же, как и перезаписываемые CD-RW и DVD-RW. Только вместо считывающего лазера, нагревающего болванку, применяется электрический ток. Халькогенид (греч. – "рудородный") – термопластичный сплав металла с частицами теллура, серы, селена, полония и искусственного унунгексия, остался идентичным тем, что используется для напыления дисков. При подаче тока в ячейку памяти искусственно созданный материал из-за нагрева меняет свой фазовый состав, превращаясь из кристалла в стеклообразное (аморфное) вещество. Дальнейшее остывание халькогенида сохраняет видоизмененную структуру ячейки. Если "рудородный" снова нагреть и выдержать порядка 30-60 наносекунд, то его структура примет изначальную кристаллическую, решетчатую форму. Анизотропная разница в фазовом состоянии (аморфном или кристаллическом) обуславливается считывающим прибором как логический ноль или единица. В твердотельных OUM-накопителях восприятие информации контроллером зависит от изменения электрических свойств получившихся двух материалов – у разных фазовых состояний разная проводимость тока.

Содействовать Intel’лигентным товарищам стала Philips - известная фирма по производству бытовой электроники. Используя в качестве подложки для ячейки OUM-памяти диоксид кремния, инженеры двух компаний добились самых значительных успехов в создании халькогенидной памяти. Таким образом разработчики избавились от нежелательных химических реакций, возникающих при превращении кристаллической решетки в стеклоподобное вещество, и добились достаточно большого выбора материалов для изготовления электродов.

Непосредственными конкурентами твердотельной OUM-памяти являются родственные технологии CRAM (Chalcogenide RAM) и PCM (Phase Change Memory). Первой ласточкой является крупная оборонная компания (содействующая с министерством обороны США и NASA) BAE Systems. Данный вид памяти заинтересовал военных и астронавтов в первую очередь из-за ее неприхотливости к внешним условиям, а также повышенной устойчивости к радиации. Вторую технологию контролирует синдикат известнейших корпораций Intel, Samsung, Fujitsu и Hitachi. Все три вида памяти на аморфных полупроводниках различаются лишь владельцами патентов и формой считывания/записи информации. Остальные же спецификации идентичны "оумовским", словно перед нами близнецы.

На сегодня инженерам удалось создать 90-нанометровые микросхемы с минимальным циклом чтения в 30 нс и 100 миллионами циклов перезаписи информации. К тому же, будь то OUM-, CRAM- или PCM-память, ячейки халькогенидного твердотела невосприимчивы к радиации, магнитным и электрическим полям, а также различным видам излучений.

Вот только скорости записи/стирания пока довольно низки (если сравнивать с DRAM) – целых 100-250 наносекунд. Необходимость постоянного перевода вещества из кристаллического состояния в аморфное также потребует дополнительной энергии. Если учесть, что современные SSD уже сейчас проигрывают в этом показателе жестким дискам, такой минус может оказаться существенным во внедрении OUM-памяти.

Не сомневаясь в серьезности намерений Intel и ее напарников, следует взять на заметку память на аморфных полупроводниках. В скором времени мы будем слышать о технологиях на основе фазового перехода чаще, даже если твердотельные накопители не будут нуждаться в халькогенидах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

NRAM

Развитее, изучение и продвижение затратных и тяжёлых нанотехнологий, плюс поиски новых материалов привели инженеров компании Motorola к созданию нанокристаллов (т.е. кристаллы имеют размеры меньше 100 нанометров), работа которых основана на законах электрофизики. Образование, по форме напоминающее шар радиусом 2.5 нанометра, размещается на специальном слое, закрепленном на оксидной оболочке (сама же оболочка нанесена на кремниевую подложку). Между специальными слоями расположены электроды. Первоначально такие нанокристаллы имели 90-нанометровый тех.процесс и изготавливались на 200-мм пластинах. Оказалось, что они обладают гораздо более быстрым туннелированием (прохождением) заряда, нежели микросхемы флеш-памяти.

Ровно 18 лет назад инженеры компании NEC разработаны так называемые нанотрубки. Эти нити длинной несколько десятков нанометров и диаметром два нанометра, состоящие из пластинок графита (углерода в практически чистом виде), стали использовать совместно с нанокристаллами Motorola. Так появился новый вид энергонезависимой памяти – NRAM (Nanotube-based RAM) или память на углеродистых нанотрубках.

Сейчас развитием нанопамяти занимается бостонская компания Nantero. Её творение представляет собой нанокристалл с 20-нанометровыми (в диаметре) углеродистыми трубками, связывающими сферы между собой. Нити натянуты так, что расстояние между ними и электродами составляет всего 13 нанометров. При включении напряжения на определённые элементы памяти некоторые из трубок прогибаются и под действием сил Ван-дер-Ваальса соприкасаются с электродами. Нанотрубки не размыкаются, пока через них не пройдёт ток обратного действия (углеродистые пластины могут находиться в таком положении около полутора десятка лет). Считывание получившейся информации происходит путем измерения в ячейках памяти сопротивления электродов. Там, где сопротивление уменьшилось (место соприкосновения нитей с электродом), записывается логическая единица. В районе же с неизменным сопротивлением будет логический ноль. Чтобы стереть всю информацию (т.е. сделать силу Ван-дер-Ваальса равной нулю), через микросхему пропускают обратный ток.

Твердотельная память NRAM обладает очень большим числом циклов перезаписи данных (более тысячи миллиардов циклов!) за счет использования сразу нескольких пар нанотрубок. Даже если из-за помех, радиации или излучения одна из нитей разорвется, сопротивление на электроде останется прежним. По надёжности память из "углерода" не уступит халькогенидному аналогу.

Полученные образцы имеют отличные технические характеристики:

- запись/стирание информации в одну ячейку чуть превышает отметку в 5 наносекунд;

- цикл чтения также длится порядка 5 нс;

- память обладает большой устойчивостью против помех и радиации;

- плотность размещения информации составляет 5 миллиардов бит на один квадратный сантиметр.

Единственным и главным минусом NRAM является сложность производства чипов, ведь нанотехнологии всегда были весьма наукоёмкими. Так, необходимость соблюдения строгой идентичности свойств нанотрубок и их метрических характеристик заставляет использовать сложные приспособления (очень мощную оптику), заново считывающие информацию с шаблона 200-миллиметровой пластины. Из-за присутствия большого количества примесей и мусора от используемых материалов приходится заново создавать шаблоны. Частично решают проблему путем нанесения нанотрубок на предварительно обработанную кремниевую подложку хаотично, с последующим укладыванием их шаблоном и удалением всего лишнего литографией.

Память на углеродистых нанотрубках имеет отличные показатели быстродействия и надёжности, но ввиду сложности её изготовления ещё не скоро появится в пользовательских девайсах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

FRAM

Ещё один претендент готовится поселиться в тесном корпусе твердотельного диска. Имя ему Ferroelectric RAM (сегнетоэлектрическая память). Уже из названия можно вспомнить рассказы про доисторические запоминающие "памятники архитектуры", состоящие из нескольких огромных ферромагнитных "блинов", нанизанных на стальные прутья.

С тех пор прошло достаточно много времени, и если раньше несколько квадратных метров помещения могли "запомнить" от силы один мегабайт данных, то новый вид энергонезависимой памяти обладает несравнимо большей ёмкостью и меньшими объёмами. Все новое – хорошо забытое старое.

Сейчас сегнетоэлектрическую память пытаются поставить на ноги три очень известные компании: Hynix Semiconductor, Toshiba и Panasonic. Первая уже наладила выпуск 250-нанометровых микросхем. Вторая чуть отстаёт, создав ячейки памяти, изготовленные по 350-нанометровому техническому процессу. Наконец, бывшая Matsushita Electric добилась самых внушительных результатов, показав всему белому свету 180-нанометровые микросхемы.

Как и в старину, FRAM-чипы используют принцип сегнетоэлектрического эффекта. Ячейки памяти сохраняют свою поляризацию даже при отсутствии электрического поля, благодаря сегнетоэлектрику (материалу, имеющему при определенной температуре собственный электрический дипольный момент), расположенному между электродом и подложкой. Последние, в свою очередь, составляют конденсатор (подобно DRAM). А как известно, память данного типа энергозависима, и при отсутствии питания ячейка теряет заряд, следовательно, и информацию. Слой (кристалл) ионов, расположенный внутри конденсатора, сохраняет информацию даже в отсутствие энергии и регенерирует её при последующем появлении питания элемента энергозависимой памяти.

Скорость такой памяти сильно зависит от количества стенок сегнетоэлектрика, а также от качества напыляемого поверх него электрода, и подложки внизу сегнетоэлектрика. Сама же плёнка имеет толщину нескольких десятков нанометров.

В кристалле сегнетоэлектрика располагается подвижный атом. В зависимости от подаваемого тока он движется от электрода к подложке либо наоборот. Чтение записанной информации происходит путем создания заряда на конденсаторе и перемещения подвижного атома. Тем самым в ячейке генерируется определенный заряд: обычный (такой же, как у DRAM), если атомы не изменили свое первоначальное положение; и комбинированный, если атомы перешли на одну из сторон (на конденсаторе или внутри кристалла).

Датчик, который находится внутри сегнетоэлектрика, считывает и сравнивает получившийся заряд с номинальным значением и присваивает ячейке либо логический ноль, либо единицу.

Запись осуществляется путем переключения текущего состояния сегнетоэлектрика. Прилагая направление электрического поля от электрода к подложке и наоборот (заставляя тем самым передвигаться атом), получаем записанный ноль или единицу.

Память уже успешно используется в промышленности, где помимо скорости и долговечности требуется ещё и надёжность, а также повышенная устойчивость к всевозможным помехам. Но сегнетоэлектрические ПЗУ мало распространены в персональных компьютерах. Сказывается малая плотность записи информации (в сравнении с DRAM и конкурентами), удорожающая производство чипов. Вторым немаловажным фактором являются большие задержки чтения, записи и стирания бита данных (приблизительно 100 наносекунд). И, наконец, последний минус – это маленькое количество циклов перезаписи информации (всего 1 миллион). Если всё-таки брать FRAM-память на заметку, то, скорее всего, сегнетоэлектрический эффект металлов пригодится переносным твердотельным накопителям и всевозможным мультимедиа-устройствам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

MRAM

И последний на сегодняшний день вид энергонезависимой памяти, но самый главный претендент на место во внутреннем пространстве будущих SSD-накопителей – Magneto-resistive Random Access Memory. Покровительствуемая такими гигантами, как IBM, Hitachi, NEC, Mitsubishi, Motorola, Infineon и др., магниторезистивная память смело наступает на пятки используемой сейчас флеш-памяти и очень стремится вырваться вперед. Помогают MRAM в таком нелёгком деле законы физики и старые производственные возможности изготовления носителей на магнитных плёнках.

Если в динамической памяти нули и единицы хранятся в виде электрических зарядов, то у SSD MRAM запись в ячейку осуществляется за счёт изменения момента магнитного поля. Микросхема MRAM состоит из множества транзисторов и так называемых MTJ-плёнок (магнитный туннельный переход), разделённых на ячейки. Туннельный переход состоит из двух слоёв ферромагнетика и тонкой немагнитной связующей прослойки (SAF), изготовленной из оксида алюминия и разделяющей их. Нижний слой имеет постоянный вектор намагниченности и никогда не изменяет своего направления. Верхний слой – свободный и может легко изменять направление вектора под действием внешних факторов.

Для чтения информации из одной такой ячейки контроллер производит измерение её ферромагнитного сопротивления. Если векторы намагниченности слоёв MTJ направлены в одну сторону (сопротивление из-за одинаковости ориентации слоёв уменьшается), то датчик воспринимает это, как логический ноль. И наоборот. Запись и стирание информации также должны изменить направления векторов верхнего слоя магнитного перехода. Для этого на перпендикулярно расположенные относительно MTJ электроды подаётся магнитный импульс, изменяя тем самым поляризацию верхнего слоя.

На сегодня инженерам коалиции компаний удалось создать 180-нанометровые микросхемы, показывающие неплохие параметры быстродействия. Скорость произвольного чтения бита информации составляет порядка 5 наносекунд. Цикл записи/стирания находится на отметке приблизительно 10-20 нс. Всего же MRAM-память изнашивается за 10 в 15-й степени перезаписей.

Но есть и недостатки. Пожалуй, самыми главными из них являются случайное перемагничивание верхнего слоя туннельного перехода и высокая чувствительность SAF-пленки к тому же перемагничиванию. Соль проблемы в том, что медные электроды при записи могут случайно изменить ориентацию соседней ячейки бита. Поэтому первым решением данного технического казуса является тройная изоляция электродов с помощью защитного экрана. В результате такого вот метода устранения неполадок удалось создать более точное направление подаваемого импульса, а также уменьшить потребление тока (на сегодня ячейка MRAM-памяти потребляет всего 2 миллиампера, что в сотни раз меньше DRAM), но заметно усложняет производство и удорожает саму микросхему.

Вторым методом решения проблемы ошибочного перемагничивания является модификация ячейки памяти в столбец (метод Савченко). К верхнему и нижнему MJT, расположенным не в ряд, а друг под другом, подводят, соответственно, верхний и нижний (базовый) электроды. Между ними находится прослойка оксида алюминия. При воздействии импульса тока векторы магнитного потока связующей прослойки начинают бесконечно вращаться относительно возбудителя, изменяя свое направление за время возбуждения четыре раза. Но структура SAF определяется только двумя состояниями: начальным и конечным. Таким образом, при одновременной подаче тока на две линии выбранной ячейки памяти (верхнюю и нижнюю) состояние SAF-стенки изменяется. Если питание подается через один проводник, то ни плотность ячеек памяти, ни импульс тока не могут изменить направление момента свободного слоя. Следовательно, устраняется столь неприятная чувствительность SAF к намагничиванию ячеек MRAM-памяти.

Решив все свои проблемы, магниторезистивная энергонезависимая память всерьез заявила о своих намерениях и в ближайшем будущем легко может стать основой различных твердотельных накопителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Похоже, что нетбуки, действительно, пока обойдутся без твердотельных накопителей...

...В течение ближайшего времени они будут уделом дорогих ноутбуков и лишь потом снова появятся в нетбуках...

...ряд исследований показывает, что скорость чтения у SSD ниже, чем заявляется...

...рынку остается лишь ждать той поры, пока они смогут сравняться по цене и другим пользовательским характеристикам с жесткими дисками...

Подробнее >>> http://www.ibusiness.ru/products/440758/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

В суперкомпьютерном центре американского города Сан-Диего в штате Калифорния запущен первый в мире суперкомпьютер Dash, в котором нет ни одного жесткого диска. Функцию устройств долговременного хранения данных здесь выполняют более современные SSD-накопители. Носители данного класса имеют свои преимущества и недостатки в сравнении с классическими жесткими дисками.

В Университете Калифорнии, где новый суперкомпьютер заработал 2 сентября, говорят, что основная причина выбора SSD заключается в их более высокой скорости чтения данных, что позволяет суперкомпьютеру в разы быстрее получать исходные сведения для анализа. С другой стороны, использование данного вида накопителей значительно повысило цену суперкомпьютера, признают в университете.

Алан Снейвли, помощник директора компании SDSC, работающей при университете, говорит, что новая подсистема хранения полностью решила проблему получения больших объемов данных. "Дисковая подсистема раньше была здесь своеобразным бутылочным горлышком, которое задерживало все другие узлы. Теперь проблема передачи данных решена, реальная скорость трансфера данных увеличилась почти 10-кратно в сравнении с аналогичной системой на базе жестких дисков", - говорит он. В отличие от жестких дисков с магнитными пластинами внутри, SSD-накопители базируются на флеш-модулях, не имеющих движущихся частей и осуществляющие доступ к записанным данным в 8-10 раз быстрее, чем жесткие диски. Кроме того, SSD-накопители менее подвержены повреждениям и потребляют меньше электроэнергии. Оборотной стороной этих преимуществ является невысокая емкость накопителей и их высокая цена.

Использовать Dash в Университете намерены для моделирования геологических процессов внутри планеты в разные периоды времени.

Технически, новый компьютер состоит из 68 узлов Appro International GreenBlade с двумя 4-ядерными процессорами Intel Xeon 500 в каждом блейд-сервере. Суммарная производительность системы составляет 5,2 терафлоп/сек. Общий объем ОЗУ составляет 768 Гб.

Стоимость готовой системы разработчики пока не сообщают.

Один из источников >>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

В качестве примера решения, а не рекламы

Компания Verbatim анонсирует новый SSD-накопитель с двойным интерфейсом. В нём объединены преимущества высокоскоростного соединения по eSATA с простотой и удобством USB накопителя. Высокоскоростная технология хранения данных SSD Flash позволяет обеспечить объем 32ГБ. Утилита парольной защиты EasyLock и шифрование по 256-битному алгоритму AES гарантируют безопасность конфиденциальной информации. Новый eSATA/USB Combo SSD-диск Verbatim на 32ГБ обеспечен двухгодичной гарантией.

Новинка будет доступна в России по рекомендованной цене 5900 руб.

При подключении по интерфейсу eSATA новинка Verbatim Combo SSD позволяет считывать данные со скоростью до 60МБ/сек и записывать со скоростью до 25МБ/сек, тогда, как привычный USB 2.0 ограничивает возможности устройства при чтении и записи до 26МБ/сек и 15МБ/сек соответственно.

Встроенная утилита EasyLock не требует установки на компьютеры пользователей дополнительных программ и зашифровывает данные уже в момент их передачи на диск Combo SSD. Применение EasyLock дает возможность шифрования по 256-битному алгоритму AES, что сводит к минимуму риск несанкционированного доступа к данным в результате потери или кражи накопителя. Для устройств с портами eSATA ранних версий, которые не обеспечивают достаточное для периферийных устройств питание, в комплект поставки включен специальный адаптер-разветвитель, выход которого будет уже полноценным eSATA-коннектором за счет получения питания от USB-порта и передаче данных на eSATA-порт.

Накопитель eSATA/USB Combo SSD совместим с компьютерами под управлением Windows, Mac OS и Linux. Его вес составляет всего 19 граммов, при габаритах - 80x23x9 миллиметров.

Страница вендора >>>

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
miky

Лучше сразу сходить к дядюшке Тому и посмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Лучше сразу сходить к дядюшке Тому и посмотреть.

Тоже выход. Лишь бы новости успевали за прогрессом. :)

OCZ Technology официально представила быстрые и вместительные SSD Colossus Series SATA II

Новые твердотельные накопители OCZ Colossus совмещают в себе высокую производительность и большой объём.

Внутрь алюминиевого корпуса типоразмера 3,5" заключены два идентичных SSD общим объёмом 120, 250, 500 ГБ или 1 ТБ. В устройствах используется флэш-память типа NAND MLC (multi-level cell) и два скоростных контроллера, связанных с 128 МБ кэш-памяти. Подключение к ПК осуществляется посредством интерфейса SATA-II.

Объёдинив накопители в массив RAID 0, производитель добился скоростей передачи данных, достигающих 260 МБ/с. За одну секунду устройства способны выполнить до 14000 операций ввода-вывода при произвольной записи. Заявленное время наработки на отказ превышает 1,5 млн часов. Устройствам обеспечивается трёхлетняя гарантия. Стартовая цена накопителей Colossus составит $300.

Страница вендора >>>

Verbatim снабдил новые защищённые ExpressCard SSD-формата аппаратным шифрованием

Компания Verbatim представляет линейку твердотельных накопителей SSD Secure ExpressCard. Главным достоинством моделей является поддержка 256-битного аппаратного AES-шифрования данных.

Предназначенные исключительно для использования в ноутбуках, эти ударопрочные накопители оснащены интерфейсом ExpressCard и обладают пониженным энергопотреблением. Благодаря поддержке Plug and Play, устройства быстро распознаются системой и сразу готовы к использованию после установки в слот.

Помимо шифрования, данные можно обезопасить от неавторизованного доступа парольной защитой. После 10 попыток ввести неверный пароль, диск автоматически форматируется. Кроме того, имеется возможность распределить права доступа к файлам и папкам для гостевых пользователей и предоставить им отдельные пароли.

Накопители доступны в модификациях объёмом 16 ГБ и 32 ГБ по рекомендованной производителем цене $150 и $265.

В планах Verbatim также значится и выпуск 64 ГБ версии. На устройства выдана двухлетняя гарантия.

Страница вендора >>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z

Создан самый быстрый в мире флеш-накопитель

Корпорация Micron Technology объявила о выходе нового твердотельного (SSD) накопителя RealSSD C300, скорость которого на 50 процентов превышает показатели лучших мировых аналогов. Об этом пишет Сomputerworld. Это первый накопитель, соответствующий новому стандарту SATA 3.0, обеспечивающему скорость передачи данных до 6 гигабит в секунду.

Устройство выполнено по новой для Micron технологии 34 нанометра (прежние образцы собирались компанией по 50-нанометровой технологии) и поддерживает стандарт Open NAND Flash Interface (ONFI) 2.1. Последняя спецификация позволяет накопителю достигать при последовательном считывании скорости до 355 мегабайт в секунду, а при записи - до 215 мегабайт в секунду.

25 ноября пресс-служба Micron опубликовала в YouTube-блоге компании видео теста производительности нового устройства в сравнении с обычным винчестером на 7200 оборотов в минуту.

Новая серия C300 будет собираться в корпусах с форм-фактором 1,8 и 2,5 дюйма. Обе модели планируется поставлять в версиях на 128 и 256 гигабайт. Для оптовых партий (от тысячи экземпляров), сообщает Micron, цена 128-гигабайтного C300 составит 350 долларов, а 256-гигабайтной версии накопителя - 715 долларов.

Новинка должна появиться в продаже в первом квартале 2010 года.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
цена 128-гигабайтного C300 составит 350 долларов

Мне бы 32 Gb в настоящее время было достаточно:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Foremay представляет самый быстрый твердотельный накопитель в форм-факторе 1.8 дюйма

SSD появится в трех разных сериях (SC199, EC188 и OC177) с довольно редким профилем 3.3 мм и 5 мм и предложит скорости чтения и записи до 280 Мбайт/с по интерфейсу micro-SATA.

image.jpg Foremay_ssd.jpg

Foremay SC199 и EC188 имеют толщину 5 мм, зато модель OC177 может похвастаться "осиной талией" до 3.3 мм при наличии тех же чипов памяти и контроллера памяти.

Ко всему прочему самой перспективной в вопросе ёмкости диска является серия EC188 (планируется модели до 12 TB!).

К тому же, что новые SSD от Foremay на 7 мм короче стандартной пластиковой карточки и предлагают емкость до 400 Гбайт.

Скорость работы этих устройств просто огромна – при работе с блоками по 4 килобайта они выдают 30000 и 15000 операций ввода-вывода в секунду (IOPS) при процессе чтения и записи соответственно.

Калифорнийская компания Foremay позиционирует свои новейшие SSD-драйвы как носители информации, предназначенные для корпоративных клиентов. В то же время наименее вместительные модели подойдут и обычным потребителям, как по цене, так и по качеству. Сфера применения твердотельных жестких дисков очень большая – их можно устанавливать в обычные компьютеры, ноутбуки, нетбуки и планшетные компьютеры. Поставки уже начались, хотя цена не сообщается.

post-3999-1289049352_thumb.jpg

post-3999-1289240442_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig

Цены пока ещё слишком высоки. Возможно, есть смысл кому-то покупать ноутбуки с SSD, а преимуществ для настольных систем мало.

Каким бы ни был надёжным SSD накопитель - всё равно придёться делать резервные копии данных для подстраховки. А если есть необходимость делать резервные копии, то практической разницы между SSD и HDD нет. Неважно, что SSD на какой-то процент надёжнее. А более высокая ударопрочность и низкая энергопотребляемость для настольных систем не так актуальны.

Скорость обмена данными между накопителем и оперативной памятью тоже не сильно привлекает. Так много переплачивать ради экономии нескольких секунд (а то и меньше) при включении компьютера что-то не хочется. При работе скорость обмена между диском и оперативкой неактуальна, если достаточно оперативки. Технология SuperFetch заранее подгружает в оперативную память часто используемые приложения.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
Formay представляет самый быстрый твердотельный накопитель в форм-факторе 1.8 дюйма

на фото Foremay

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Компания Foremay представляет ещё одни новые твердотельные накопители, на этот раз уже серии EC188М.

Диски предназначены для высокопроизводительных серверов и рабочих станций и оснащены интерфейсом SATA 3.0, обеспечивающим пропускную способность до 6 Гбит/с.

Заявленная скорость чтения информации - 450 Мб/с, скорость записи — 350 Мб/с.

Ожидается, что они найдут применение в серверах, поддерживающих работу крупных баз данных, «облачных» платформах, а также мощных компьютерах корпоративного класса.

Накопители совместимы не только с Windows, но и с другими операционными системами, такими как Linux, OpenSolaris, Solaris, FreeBSD, HP-UX, Unix, Mac OS X.

Foremay уже сейчас может предложить заказчикам диски вместимостью до 500 Гб, в перспективе - 1 Тб. Подробнее >>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
timpor

Цены пока ещё слишком высоки. Возможно, есть смысл кому-то покупать ноутбуки с SSD, а преимуществ для настольных систем мало.

Каким бы ни был надёжным SSD накопитель - всё равно придёться делать резервные копии данных для подстраховки. А если есть необходимость делать резервные копии, то практической разницы между SSD и HDD нет. Неважно, что SSD на какой-то процент надёжнее. А более высокая ударопрочность и низкая энергопотребляемость для настольных систем не так актуальны.

Скорость обмена данными между накопителем и оперативной памятью тоже не сильно привлекает. Так много переплачивать ради экономии нескольких секунд (а то и меньше) при включении компьютера что-то не хочется. При работе скорость обмена между диском и оперативкой неактуальна, если достаточно оперативки. Технология SuperFetch заранее подгружает в оперативную память часто используемые приложения.

 

Цены уже достаточно низки :)

SSD имеет смысл ставить в любые компьютеры, вопрос стоит лишь в цене.

обзор преимуществ и недостатков современных SSD http://geek-nose.com/chto-takoe-ssd-preimushhestva-i-nedostatki/ показывает, что имеет смысл даже для настольных машин, используемых для серфинга в инете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Цены уже достаточно низки

SSD имеет смысл ставить в любые компьютеры, вопрос стоит лишь в цене.

 

Винт SSD на 512GB стоит в районе 15-17 тыс руб. Я бы не сказал, что это дешево. За эти деньги можно взять классический HDD на 6TB.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
timpor

 

Цены уже достаточно низки

SSD имеет смысл ставить в любые компьютеры, вопрос стоит лишь в цене.

 

Винт SSD на 512GB стоит в районе 15-17 тыс руб. Я бы не сказал, что это дешево. За эти деньги можно взять классический HDD на 6TB.

 

 

ну если начинать прикидывать что там как получается по деньгам - то лучше купить ssd на 120 под скоростные задачи и 1-3тб для хранения данных.

так выйдет и быстро, и недорого. ну относительно конечно же :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

ну если начинать прикидывать что там как получается по деньгам - то лучше купить ssd на 120 под скоростные задачи и 1-3тб для хранения данных. так выйдет и быстро, и недорого. ну относительно конечно же

 

Такой гибридный вариант хорош, согласен. Я знаю некоторые выламывают в старых ноутах CD/DVD  привод и ставят туда винт SSD. Туда переносят систему и ноут получает вторую жизнь, скорость повседневных операций возрастает в разы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Винт SSD на 512GB стоит в районе 15-17 тыс руб. Я бы не сказал, что это дешево. За эти деньги можно взять классический HDD на 6TB.

 

Это да, так всегда было. Про винты на 6 не помню, но 2 по 3 (или 3 по 2?) могут стоить ещё дешевле. А там и RAID придумать можно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Haivanew

 

 

Это да, так всегда было. Про винты на 6 не помню, но 2 по 3 (или 3 по 2?) могут стоить ещё дешевле. А там и RAID придумать можно.

ну все равно, SSD по своему эффективен, и есть свои плюсы и минусы

я допустим под проекты работы себе ssd поставил, ну и соответственно систему на него кинул <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
phileosofos

Сколько бы преимуществ не было, данные можно потерять и с SSD-накопителей и с HDD-накопителей. Я про собственный опыт говорю. Если бы не программа Hetman Partition Recovery 2.3 я бы дважды остался без ценной информации 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AM_Bot
      NGFW (Next Generation Firewall) изменили парадигму оперативного контроля внешнего сетевого трафика, предоставив компаниям возможность отсекать пакеты данных из определённых источников, а также анализировать сами передаваемые данные, проверять их на наличие вредоносных сигнатур, ограничивать работу с нежелательными ресурсами. Рассматриваем функции современного межсетевого экрана на примере представителя систем этого класса UserGate Next Generation Firewall.   ВведениеФункциональные возможности UserGate Next Generation Firewall2.1. Фильтрация контента по правилам2.2. Анализ трафика2.3. Защита от DoS2.4. Контроль интернет-приложений2.5. Антивирус2.6. Реагирование2.7. Собственная ОС2.8. Варианты поставкиСценарии использования UserGate Next Generation Firewall3.1. Основные настройки UserGate Next Generation Firewall3.2. Создание политик3.3. Работа со сценариямиВыводыВведениеКлассические межсетевые экраны, или файрволы, предназначены для фильтрации трафика между двумя сегментами сети на основании относительно простых принципов. Получив пакет данных из внешнего, небезопасного, сегмента, межсетевой экран определяет возможность его дальнейшей передачи в локальную сеть на основании IP-адреса и порта источника либо назначения. Такое взаимодействие соответствует третьему, сетевому уровню модели OSI.Использование классического межсетевого экрана, строящего свою работу на списках запрещённых и разрешённых адресов, никак не защищает ото множества других угроз, связанных с сетевым трафиком. Такая система совершенно прозрачна для вредоносных программ, фишинговых писем, трафика связанного с определёнными приложениями и сервисами. Первоначальная концепция предполагала, что купированием этих угроз займутся инструменты информационной безопасности за файрволом: антивирусы, почтовые сканеры, системы предотвращения вторжений и другие средства.Такой подход таит в себе определённые проблемы. Сам факт попадания вредоносной нагрузки за периметр безопасности уже несёт определённые угрозы. При этом значительная часть векторов атаки сегодня вообще не связана с какими-либо нелегитимными инструментами, а базируется на действиях инсайдеров или использовании взломанных аккаунтов. Безусловно, и для таких угроз существуют отдельные средства безопасности, однако не лучше ли предотвращать атаки на рубежах доверенного сетевого окружения?Именно такую концепцию принесли на рынок межсетевые экраны нового поколения (Next Generation Firewall, NGFW). В отличие от классических файрволов, анализирующих только заголовок пакета, NGFW способны разбирать и его содержимое. Это значительно расширяет круг возможностей межсетевого экрана. Современные NGFW представляют собой многофункциональные комплексы сетевой защиты, поскольку могут иметь в своём составе самые разнообразные модули:антивирусы,системы обнаружения и предотвращения вторжений (IDPS),собственный прокси-сервер,средства контроля почтового трафика,инструменты морфологического анализа,средства защиты от DoS-атак.Одним из пионеров разработки межсетевых экранов нового поколения в России является компания UserGate, имеющая 13-летний опыт в этой сфере. Ключевые компетенции UserGate находятся именно в области разбора трафика, в том числе зашифрованного. Флагманский продукт вендора UserGate Next Generation Firewall является основой экосистемы корпоративной кибербезопасности и может служить хорошим примером полнофункционального межсетевого экрана, обеспечивающего комплексную защиту и фильтрацию трафика до его попадания в локальную сеть. В этом материале мы кратко рассмотрим основные возможности системы на примере версии 6, а также познакомимся с несколькими сценариями её использования.Функциональные возможности UserGate Next Generation FirewallНабор функциональных возможностей UserGate Next Generation Firewall охватывает разнообразные потребности в сфере защиты трафика и фильтрации контента. Гибкие механизмы настройки межсетевого экрана позволяют выстраивать сложные логические схемы обработки данных и в автоматическом режиме реагировать на потенциально опасные или нелегитимные действия. Кратко остановимся на наиболее важных аспектах работы UserGate Next Generation Firewall.Фильтрация контента по правиламФильтрование трафика в UserGate Next Generation Firewall основывается на механизме правил — по сути, политик безопасности, описывающих действия системы при наступлении тех или иных заданных условий. Правила фильтрации могут блокировать или, наоборот, разрешать движение данных в зависимости от их типа, источника, получателя, приложения, категории и других параметров. Правила могут применяться к одному или нескольким пользователям и выполняются последовательно, что даёт возможность строить гибкую систему обеспечения кибербезопасности и осуществлять контроль работы сотрудников.При помощи правил можно не только создавать белые и чёрные списки ресурсов, но и контролировать множество параметров передаваемых пакетов, например тип используемого браузера, наличие определённых словоформ или типов информации. Правила используются не только для фильтрации контента, но и в других функциональных блоках системы — межсетевом экране, подсистеме ограничения пропускной способности и пр.Анализ трафикаГлубокий разбор трафика является ключевой функцией NGFW, основным источником данных для других подсистем. UserGate Next Generation Firewall способен детально исследовать нагрузку каждого передаваемого пакета, «на лету» определяя потенциально небезопасное содержимое, а также триггеры, по которым активируются заранее заданные правила и сценарии. Помимо обычного трафика система расшифровывает и защищённые SSL пакеты, работая с протоколами HTTPS, SMTPS и POP3S. При этом сервер NGFW осуществляет подмену оригинального сертификата на собственный, отдавая на сторону пользователя по-прежнему защищённый контент.Защита от DoSОдним из механизмов безопасности в UserGate Next Generation Firewall является функция ограничения числа соединений, открытых одним пользователем. Так же как и многие другие элементы NGFW, она реализована при помощи механизма правил и сценариев, что позволяет гибко настраивать чувствительность системы в соответствии с особенностями конкретной компании. Ограничение на количество одновременно открытых пользователем сеансов обеспечивает эффективное противостояние возможным DoS-атакам (Denial of Service) через пользовательские или гостевые учётные записи.Контроль интернет-приложенийUserGate Next Generation Firewall работает с приложениями на седьмом уровне сетевого взаимодействия модели OSI. Система идентифицирует приложения и даёт администратору возможность ограничивать их использование. Например, NGFW способен полностью заблокировать работу мессенджеров, торрент-клиентов и других нежелательных программ. Собственная база обновляемых сигнатур позволяет помимо этого защищать локальную сеть от угроз связанных с теми программами, которые работают с интернетом.АнтивирусВ состав UserGate Next Generation Firewall входит потоковый антивирус, который может проверять внешний трафик на наличие вредоносных программ. Анализ ведётся при помощи собственной базы сигнатур, что обеспечивает достаточную надёжность и блокировку основных угроз до того, как данные пересекут контур безопасности. С другой стороны, использование лёгкого сигнатурного антивирусного ядра минимально нагружает систему, что даёт возможность, при необходимости, проверять весь трафик полностью. Антивирусная защита использует механизм правил безопасности NGFW.РеагированиеВ UserGate Next Generation Firewall встроена система предотвращения вторжений, которая способна в настоящем времени реагировать на атаки киберпреступников, эксплуатирующих известные уязвимости. UserGate Next Generation Firewall даёт администратору возможность создавать различные наборы сигнатур для защиты различных сервисов, а также формировать на базе универсального механизма правил собственные сценарии для каждого типа трафика. Это позволяет не только формировать реакции на кибератаки, но и контролировать вредоносную активность внутри сети.Собственная ОСВ основе UserGate Next Generation Firewall лежит оригинальная операционная система UGOS, оптимизированная для задач быстрой и эффективной обработки трафика. Платформа создана на базе дистрибутива Linux и не использует готовых комплексных модулей: все подсистемы безопасности разработаны программистами UserGate и не содержат стороннего кода. С одной стороны, это позволяет быстро адаптировать её под требования заказчика, а с другой — существенно снижает вероятность атак на систему с использованием общеизвестных уязвимостей.Варианты поставкиUserGate Next Generation Firewall может поставляться как в виде виртуального межсетевого экрана, развёрнутого на одном из гипервизоров (VMware, Hyper-V, Xen, KVM, OpenStack, VirtualBox, отечественные разработки), так и в виде программно-аппаратного комплекса, созданного UserGate. Производитель предлагает несколько вариантов исполнения таких NGFW, предназначенных для организаций разного масштаба — от компаний сегмента СМБ до крупных предприятий и дата-центров.Сценарии использования UserGate Next Generation FirewallОсновные настройки UserGate Next Generation FirewallПервоначальные настройки UserGate Next Generation Firewall не займут много времени и сводятся в общем случае к конфигурации портов для работы с интернетом и локальными ресурсами, добавлению DNS-серверов, определению доменных записей для страниц блокировки и авторизации, а также указанию параметров работы механизма SSL-фильтрации. Кратко рассмотрим каждое из этих действий.Задание параметров портов выполняется в секции «Сеть — Интерфейсы» раздела «Настройки» UserGate Next Generation Firewall. Здесь собраны все физические и виртуальные порты, имеющиеся в системе. Для каждого интерфейса можно выбрать тип («Layer 3» или «Mirror»), назначить ему определённую зону и указать профиль Netflow, который будет использоваться для отправки данных на коллектор, учитывающий сетевой трафик. Тут же задаётся тип IP-адреса порта — динамический, получаемый через DHCP, или заранее определённый, статический. При необходимости можно настроить работу DCHP Relay, который будет раздавать адреса со внешнего сервера устройствам своего сегмента сети. Рисунок 1. Настройка свойств порта в UserGate Next Generation Firewall Для настройки DNS-серверов необходимо выбрать пункт меню «Сеть — DNS» в разделе «Настройки», нажать кнопку «Добавить» и задать адрес соответствующего хоста. При необходимости UserGate Next Generation Firewall может перехватывать DNS-запросы пользователей и изменять их. Для этого следует задать параметры работы DNS-прокси. Важно, что для фильтрации DNS-запросов необходимо приобрести отдельный модуль и создать соответствующие правила. Рисунок 2. Раздел настройки DNS в UserGate Next Generation Firewall Авторизация неизвестных пользователей (не идентифицированных Windows или агентами терминальных серверов либо не имеющих явно указанного IP-адреса в свойствах) осуществляется в UserGate Next Generation Firewall при помощи перехватывающего портала. Применяются правила заданные администратором, однако для корректной работы сервиса следует настроить доменные имена страниц аутентификации, блокировки и выхода из системы. Этот шаг можно пропустить, если в качестве DNS-сервера используется сервер UserGate Next Generation Firewall. Если же применяется собственный DNS-сервер, то необходимо создать на нём три соответствующие A-записи и указать в них IP-адрес и порт подключения к локальной зоне.Корректная работа системы фильтрации контента UserGate Next Generation Firewall возможна только при настроенной инспекции данных передаваемых по шифрованным протоколам, таким как HTTPS, SMTPS или POP3S. Файрвол дешифровывает указанный трафик, после чего анализирует его на предмет наличия ограничений, заданных правилами. После дешифровки и анализа данные повторно кодируются при помощи собственного сертификата. Обязательно нужно добавить его в список доверенных корневых сертификатов, иначе браузеры пользовательских устройств будут сигнализировать о возможной подмене SSL-удостоверения. Рисунок 3. Раздел «Инспектирование SSL» в UserGate Next Generation Firewall Чтобы настроить режим проверки шифрованного трафика, необходимо перейти в пункт «Политики безопасности — Инспектирование SSL» раздела «Настройки» и добавить новое правило, описывающее процесс работы с SSL-трафиком. Для каждого трафика, среди прочего, можно задать:Пользователя, группу пользователей или тип пользователей, для которых применяется правило.Список доменов, чей трафик подлежит инспектированию.Списки IP-адресов источников и назначения трафика.Возможность блокировки внешних сертификатов, не вызывающих доверия (самоподписанных, отозванных, с истекшим сроком действия).Создание политикОсновным инструментом фильтрации контента в UserGate Next Generation Firewall являются правила, объединённые в политики безопасности. Это универсальный механизм, который может инициировать определённые действия системы по ряду заданных параметров. Файрвол анализирует трафик, после чего блокирует его (или, наоборот, разрешает передачу данных) при срабатывании одного из триггеров. Правила применяются последовательно, в соответствии с очерёдностью, установленной их списком. Такой подход даёт возможность гибко настраивать обработку данных по разным параметрам.Для создания нового правила необходимо выбрать пункт «Политики безопасности — Фильтрация контента», находящийся в разделе «Настройки». Каждая политика может выполнять одно из трёх действий:Блокировать доступ к веб-странице («Запретить»).Предоставить доступ к веб-странице («Разрешить»).Показать пользователю предупреждение о нежелательности посещения этой страницы («Предупредить»).Рисунок 4. Настройка правила фильтрации контента в UserGate Next Generation Firewall Частным случаем действия «Запретить» является проверка трафика встроенным антивирусом. Если в передаваемых данных будет обнаружена сигнатура вредоносной программы, содержащая её страница не будет открыта.После выбора действий необходимо указать одно или несколько условий, которые будут инициировать срабатывание правила. Каждое условие добавляется в правило через логическое «И», то есть правило выполняется только при срабатывании всех указанных в нём условий. Например, можно ограничить трафик определённой категории сайтов для определённого пользователя. При этом для всех остальных категорий передача данных этому пользователю будет разрешена. Ниже приведена краткая характеристика основных условий, доступных в правилах фильтрации контента UserGate Next Generation Firewall.Источник трафика: список IP-адресов или доменов, откуда идёт трафик. Разрешение доменных имён в IP-адреса производится каждые пять минут, а результат хранится в течение жизни DNS-записи.Назначение трафика: список IP-адресов или доменов, являющихся получателями трафика. Порядок работы системы с ними — такой же, как для источников.Пользователи или группы пользователей, для которых применяется правило. Допускается использование таких масок, как «Any» (любой пользователь), «Known» (известный, то есть идентифицированный, пользователь), «Unknown» (неидентифицированный пользователь).Категории электронных ресурсов. Трафик проверяется по крупнейшей базе электронных ресурсов, разбитых на более чем 70 категорий. Например, правило может срабатывать на социальные сети, порнографию, онлайн-казино и другие сайты. Администратор может переопределить категорию любого сайта. Для фильтрации по категориям необходима отдельная лицензия на базу данных UserGate URL Filtering.Списки URL: чёрные и белые. Администратор может создавать собственные списки или приобрести готовые.Тип контента. Данное условие срабатывает при передаче аудио, видео, исполняемых файлов и пр. Для описания видов контента используется формат MIME. Морфологические базы для проверки передаваемого контента на наличие определённых слов, словоформ и выражений.Кроме того, можно задавать время работы правила, значение User-Agent, HTTP-метод и рефереры открываемой страницы.Работа со сценариямиДля определённых типов правил можно использовать дополнительные условия, сценарии. Однако прежде чем перейти к описанию работы с ними, кратко остановимся на базовых свойствах правил межсетевого экрана и правил пропускной способности, где, собственно, и используются сценарии.Правила межсетевого экрана регулируют обработку транзитного трафика, проходящего через UserGate Next Generation Firewall. В качестве условий, при срабатывании которых система блокирует или, наоборот, разрешает передачу данных, могут выступать пользователи, сервисы, приложения, а также зоны и IP-адреса источника трафика или его назначения. Правила пропускной способности, основываясь на тех же параметрах, способны ограничивать канал передачи данных. Рисунок 5. Окно свойств правил межсетевого экрана в UserGate Next Generation Firewall Сценарии позволяют UserGate Next Generation Firewall реагировать не только на одномоментные события, но и на произошедшие за некоторый интервал времени — например, несколько попыток использования одного приложения. Для создания нового сценария необходимо нажать кнопку «Добавить» в меню «Политики безопасности — Сценарии» раздела «Настройки». Сценарий может действовать только для того пользователя, на котором он сработал, или распространяться на всех пользователей, указанных в правиле. Можно также задать срок работы сценария после его активации. После создания сценария его необходимо указать в том правиле, для которого он будет применяться. Рисунок 6. Окно настройки сценария в UserGate Next Generation Firewall В качестве условий сценария может выступать срабатывание системы обнаружения вторжений или появление следующих сущностей в трафике пользователя:URL заданных категорий.Вирусы.Приложения.Определённые типы контента.Пакеты данных, превышающие определённый размер.Количество сессий с одного IP-адреса, превышающее некоторое значение.Объём трафика за единицу времени, превышающий определённое значение.Доступность определённого ресурса.С таким перечнем удобно выстраивать логику регулирования трафика. Например, при помощи сценариев можно переключить сеть на работу с запасным шлюзом, в случае недоступности основного.ВыводыUserGate Next Generation Firewall представляет собой полнофункциональный комплекс защиты внешних периметров сети и управления сетевым трафиком. Система даёт возможность построить сложные сценарии обработки и анализа сетевых пакетов на основе универсальных политик безопасности. С её помощью специалисты по информационной безопасности могут фильтровать поступающие извне данные на основе вердиктов антивирусного ядра, морфологического анализа, информации о приложении и других параметров. Различные триггеры можно собирать в цепочки, связанные логическим «И» (условия в рамках одного правила), а также логическим «ИЛИ» (последовательность нескольких правил).Ещё одним средством кибербезопасности является система ограничения количества одновременных сеансов, что полезно для эффективного противодействия DoS-атакам. При этом простой фиксацией проблем возможности UserGate Next Generation Firewall не ограничиваются. Используя тот же механизм правил и сценариев, можно настроить варианты реагирования NGFW на определённые события в информационной безопасности или нелегитимную сетевую активность.Помимо защитных функций UserGate Next Generation Firewall предоставляет администратору возможность контролировать сетевую активность пользователей, запрещая работу с определёнными ресурсами или приложениями. Это важно не только для ИБ, поскольку позволяет отсекать нерабочую активность персонала — использование соцсетей, игровых платформ, торрентов. Дополнительно NGFW может ограничивать пропускную способность канала при достижении пользователем определённых объёмов трафика, а также переключаться между разными интернет-провайдерами при выполнении заданных условий.UserGate Next Generation Firewall занимает передовые позиции в секторе NGFW российского рынка информационной безопасности и может конкурировать с ведущими зарубежными аналогами. Компетенции компании UserGate в сфере анализа сетевого трафика позволили ей создать зрелый продукт, способный стать существенным препятствием для кибератак, универсальным инструментом первой необходимости, который сможет обезопасить компанию от большого числа инцидентов даже при частичной недоступности других инструментов информационной безопасности.Читать далее
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.0.26.
    • demkd
      ---------------------------------------------------------
       4.13
      ---------------------------------------------------------
       o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
         (!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
         Для создания дисков требуются установить следующие пакеты:
         o Три компонента из Windows ADK для Windows 10 версии 2004
           o средства развертывания
           o средства миграции (USMT)
           o набор средств оценки производительности Windows
         o Windows надстройка PE для ADK версии 2004
         (Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
         (!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
            то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.  o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.  
    • AM_Bot
      Ankey ASAP (Advanced Security Analytics Platform) предназначен для углублённого изучения событий по информационной безопасности с функциями поведенческого анализа. Программный комплекс получает данные от СЗИ и информационных систем, формирует контент для помощи в расследовании киберинцидентов и анализирует поведение пользователей и компонентов корпоративной сети. У продукта появились новые возможности, расскажем о них.    ВведениеИнтерфейс Ankey ASAPМодуль UEBA3.1. Анализатор терминальных команд3.2. Анализатор первых действий3.3. Анализатор базовой линии3.4. Работа анализаторов в действии3.5. Возможности по разработке собственного UEBA-контентаВыводыВведениеУвеличивающиеся риски целевых атак, новые требования регуляторов вместе с уходом иностранных вендоров с российского рынка заставили отечественные компании существенно пересмотреть подход к существующим внутри организаций средствам и методам обеспечения информационной безопасности. Не менее острой за прошедший год стала проблема определения и предотвращения инсайдерских атак. В некоторых случаях детектировать их имеющимися СЗИ представляется почти невозможным, так как во многих случаях это требует детального анализа пользовательского поведения внутри корпоративной сети, что, несомненно, влечёт за собой значительное увеличение затрат на обеспечение ИБ в организации. Одним из возможных решений проблемы можно назвать внедрение системы поведенческого анализа пользователей (UEBA).Ankey ASAP — программный комплекс, являющийся аналитической платформой кибербезопасности с функциями поведенческого анализа. Основываясь на данных, которые поставляются в систему в нормализованном виде из SIEM и иных средств защиты информации, Ankey ASAP анализирует поведение различных пользователей, устройств, других систем корпоративной сети с целью выявить признаки потенциальных киберугроз и целевых атак, а также злонамеренных действий инсайдеров. С момента последней публикации на Anti-Malware.ru статьи об Ankey ASAP платформа была комплексно переработана: от интерфейса до функциональных решений. Рассмотрим подробнее эти изменения.Интерфейс Ankey ASAPUX- / UI-дизайн системы претерпел комплексный рефакторинг, начиная от страницы аутентификации и заканчивая панелью визуализации инцидентов. Минимизация рабочей нагрузки на операторов системы (администраторов ИБ, аналитиков) путём частичного перекладывания ряда рабочих задач на платформу является одним из главных принципов при разработке системы. В этом Ankey ASAP помогают расширенные средства визуализации, навигации и работы со внутренним контентом. Рисунок 1. Панель визуализации инцидентов Удобная навигация между карточками позволяет легко ориентироваться во всех активах, а также связанных с инцидентами событиях. Система способна получать скоррелированные события изо внешних систем типа SIEM и выявлять ИБ-инциденты, происходящие в корпоративной сети, на основе алгоритмов поведенческого анализа. Благодаря средствам расширенной визуализации и обновлённым виджетам оператор платформы может выделить для себя наиболее значимые объекты анализа. В определении наиболее значимых инцидентов ему призваны помочь система гибкого скоринга и тесно связанная с ней система генерации уведомлений. Не стоит забывать и о постоянно растущем списке поддерживаемых системой источников.Модуль UEBAБыла существенно переработана функциональная часть Ankey ASAP. Изменения коснулись как отдельных компонентов архитектуры проекта, так и принципов работы ряда анализаторов, входящих в технологический блок UEBA-системы. О действующей функциональности этих анализаторов и пойдёт речь далее в статье. Рисунок 2. Подробные сведения об инцидентах Анализатор терминальных командЗа детектирование аномального поведения объектов наблюдения в Ankey ASAP отвечает ряд анализаторов, разделяемых по функциональному назначению. Одним из них является анализатор терминальных команд, призванный в первую очередь детектировать попытки реализации атак типа «Living-off-the-Land», то есть выявлять выполнение деструктивных терминальных команд при использовании легитимных или встроенных системных утилит (CMD, PowerShell, netcat и другие). На вход анализатора подаются события запуска процесса, а он по обученной заранее модели проводит классификацию: похоже это на LotL-атаку или нет. Рисунок 3. Принцип работы анализатора терминальных команд При сравнении методов работы существующих решений по безопасности следует особо отметить, что детектировать LotL-атаки возможно также и сигнатурными методами, однако там основой служат константные выражения в терминальных командах. Иначе говоря, для детектирования с помощью SIEM LotL-атаки с применением netcat необходимо, чтобы введённая команда содержала «nc» и некоторые определённые флаги. Переименовываем «netcat» в «моя секретная программа» — правила SIEM перестают работать; в ASAP же модель для классификации лишь немного потеряет в степени уверенности, что применяется именно netcat. Она также вынесет вердикт по оставшейся информации — например, по тем же самым флагам, которые были переданы в качестве аргументов.Анализатор первых действийГоворя о сигнатурных методах определения злонамеренной пользовательской активности, стоит также упомянуть, что рассматриваемые решения обычно позволяют детектировать уже реализованную угрозу. Однако одной из основных задач системы поведенческой аналитики является определение и пресечение потенциальной угрозы на более ранних этапах киберцепочки угроз (Cyber Kill Chain). Частично за выполнение этой задачи в Ankey ASAP отвечает анализатор первых действий сущностей. Внутренний контент платформы содержит в себе уже описанные аналитиками триггеры первых пользовательских действий, которые по всем своим признакам могут соответствовать легитимной модели поведения, однако их нетипичность применительно к определённым временным промежуткам свидетельствует об определённой степени «аномальности» подобного поведения.Такими триггерами могут быть:первое переключение пользователя в «root»;подключение к ИС нового съёмного носителя;обращение изо внутренней сети к новому внешнему хосту и др.Такие события вызывают в системе значительное изменение скоринга карточки анализируемого актива. Обо всех резких изменениях скоринга, а также о превышении определённого «безопасного» порога система сигнализирует соответствующими уведомлениями на информационной панели, что помогает оператору платформы своевременно реагировать и детектировать нетипичное для пользователя поведение.Анализатор базовой линииНа основе множества показателей, к которым относятся как собственное типичное поведение (например, учёт рабочего времени, проводимого конкретным пользователем за рабочим местом), так и признаки свойственные определённым группам сущностей (администратор, внешний нарушитель, вредоносные программы), анализатор формирует так называемые профили поведения для каждого объекта анализа. Так, любое отклонение поведения объекта от базового будет вызывать рост его скоринга в соответствии с описанной для данного сценария моделью.Анализатор позволяет предотвращать и детектировать инциденты в информационной безопасности, основываясь, например, на:нетипичном времени входа в систему;нетипичных операциях с сетевыми папками;нетипичных действиях по управлению политиками и др.Работа анализаторов в действииДля наглядности описания продемонстрируем работу анализаторов в одном из возможных сценариев. Находясь в разделе «Мониторинг» или «Инциденты», оператор платформы обнаруживает созданный системой инцидент о превышении скоринга для учётной записи «barbar». Рисунок 4. Раздел «Инциденты» в Ankey ASAP Перейдя к самой карточке учётной записи и установив фильтр по датам на интересующий нас временной промежуток, видим зафиксированные сигналы об аномальном поведении учётной записи, а также о начислении скоринга по каждому из них. Рисунок 5. Карточка инспектируемой учётной записи Обратимся к началу списка уведомлений, зарегистрированных для данной учётной записи. Рисунок 6. Список сгенерированных уведомлений для учётной записи Анализатор базовой линии фиксирует вход в нетипичное для данного пользователя время, о чём свидетельствует соответствующий сигнал. Затем уже следующий анализатор (первых действий) фиксирует просмотр и копирование содержимого сетевых папок, с которыми прежде пользователь не взаимодействовал. Уже на данном этапе система создаёт инцидент о резком росте скоринга в сутки (выше допустимых 100 баллов). Рисунок 7. Результат работы анализатора первых действий Двигаемся дальше: видим сгенерированное уведомление о попытке отправки архива через электронную почту. Инцидент, поступивший из SIEM, свидетельствует о том, что это действие было зарегистрировано DLP-системой, вследствие чего произошла блокировка отправки данных. Затем система отмечает подключение USB-накопителя, совершаемое впервые. Следующая за ним попытка копирования данных на съёмный носитель также зарегистрирована и блокирована DLP-системой. Больше никаких инцидентов от SIEM не поступало, поэтому можно посчитать, что отправка данных была успешно заблокирована.Однако, обращаясь к следующим сигналам, можно увидеть результат работы анализатора базовой линии: пользователь скопировал нетипичное для себя количество данных. Рисунок 8. Результат работы анализатора базовой линии Сразу за ним следует уведомление от анализатора терминальных команд. Видим, что пользователь всё же отправил данные во внешний репозиторий в обход DLP-защиты, применяя низкоуровневые механизмы взаимодействия (в данном случае — при помощи утилиты datasvcutil). DLP-система не регистрирует это событие, так как используемая утилита является штатной, что в данной ситуации эквивалентно «легитимной». Поскольку каждый сгенерированный системой сигнал вызывал своим появлением увеличение скоринга пользователя, Ankey ASAP создаёт инцидент по превышению скоринга, с чего и начинается расследование.Таким образом, в примерах из этого сценария мы можем разглядеть поведение типичного инсайдера. Анализируя события и инциденты в области безопасности раздельно, администратор ИБ может не получить полноценной картины проводимой атаки, особенно в тех случаях, когда злонамеренные действия пользователя сильно размыты во времени. Ситуация может быть осложнена тем, что некоторые СЗИ, использующие в своей работе сигнатурные методы обнаружения, порой упускают важный контекст из обрабатываемой информации, как, например, в описанном выше методе реализации LotL-атаки. Используемые в Ankey ASAP технологии машинного обучения, возможность подключения различных источников, аккумулирующий эффект скоринга способны значительно снизить подобные риски.Возможности по разработке собственного UEBA-контентаОтдельное внимание разработчики уделили созданию собственного внутреннего контента для платформы. Её функциональность может расширяться со стороны не только разработчика системы, но и пользователей. Для просмотра и редактирования существующего контента в платформе используется внутренний редактор конфигурационных правил. При необходимости администратор может править существующие модели, поставляемые вместе с платформой, а также на основе уже имеющихся создавать свои собственные. В этом разработчику контента способен помочь набор внутренних функций, используемых анализаторами. Все доступные функции подробно описаны в эксплуатационной документации.ВыводыИспользование платформ наподобие Ankey ASAP администраторами или аналитиками по ИБ способно значительно оптимизировать их рабочие процессы. Ankey ASAP помогает администратору выявлять аномальные или вредоносные действия пользователей или устройств: платформа может быть как инструментом активного мониторинга защищённости сети, так и конечной точкой аккумуляции всех сведений, которые необходимы для проведения расследований.В настоящее время активно ведётся работа по расширению уже имеющейся функциональности Ankey ASAP. Из планов на ближайшее будущее стоит выделить:поддержку новых источников данных, в частности — программного комплекса для мониторинга рабочего времени сотрудников StaffCop (ООО «Атом Безопасность»);расширение библиотеки анализаторов поведения;расширение имеющейся библиотеки виджетов панели мониторинга;реализацию отдельного дашборда по матрице MITRE ATT&CK;интеграцию с продуктами ООО «Газинформсервис» (линеек Ankey и Efros).Авторы:Андрей Шабалин, аналитик ИБ, компания «Газинформсервис»Расул Манкаев, инженер-аналитик, компания «Газинформсервис»Читать далее
    • AM_Bot
      Средство защиты информации «Блокхост-Сеть 4» комплексно и многофункционально обеспечивает безопасность информационных ресурсов рабочих станций и серверов, контролирует съёмные машинные носители информации, противодействует несанкционированному доступу.      ВведениеАрхитектура и системные требования «Блокхост-Сеть 4»Соответствие требованиям регуляторовФункциональные возможности «Блокхост-Сеть 4»4.1. Централизованное развёртывание клиентов и внешних пакетов4.2. Установка клиента «Блокхост-Сеть»4.3. Установка сторонних программ4.4. Построение иерархии серверов управления4.5. Общее описание политик4.6. Наследование политик в иерархии групп и серверовУправление политиками механизмов безопасности на примере контроля USB5.1. Разграничение доступа к USB-устройствам5.2. Формирование доверенного списка устройствУправление жизненным циклом токенов (смарт-карт) и сертификатов6.1. Жизненный цикл управления токенами и сертификатами6.1.1. Приостановка и возобновление использования токена6.1.2. Вывод токена из использования6.1.3. Изъятие токена6.1.4. Выпуск носителя для аутентификации по сертификату6.1.5. Удалённое управление токеном пользователя6.1.6. Двухфакторная аутентификация с сохранённым паролем6.1.7. Формирование актов выдачи / изъятия токенов6.1.8. Отображение информации о сертификатах6.1.9. Оповещение по почте6.1.10. Инициализация токеновСбор аудита по иерархии управления7.1. Архивирование событий аудита7.2. Сбор событий в SIEM головного сервераНовое в «Блокхост-Сеть 4»8.1. Централизованная установка клиентов управления в Linux-системах8.2. Аутентификация по паролю на токене (смарт-карте) в Linux-системах8.3. Аутентификация по сертификату на смарт-карте в Linux-системах8.4. Централизованное управление доверенной загрузкой8.4.1. Управление политиками механизмов безопасности8.4.2. Прямое управление до загрузки ОС8.4.3. Централизованный сбор аудитаВыводыВведениеСегодня вопросы обеспечения информационной безопасности становятся предметом особого внимания. На территории Российской Федерации операторы информационных систем давно обязаны блокировать попытки несанкционированного доступа к данным, а также на постоянной основе осуществлять мониторинг защищённости ИТ-инфраструктуры. При этом борьба с угрозами не может исчерпываться принятием только организационных мер. Для реализации технических мер характерно использование различных программных и программно-аппаратных средств. Средство защиты информации «Блокхост-Сеть 4» предназначено для защиты информационных ресурсов рабочих станций и серверов в соответствии с требованиями ФСТЭК России.Архитектура и системные требования «Блокхост-Сеть 4»Компоненты «Блокхост-Сеть 4» устанавливаются на компьютеры с процессорами архитектур x86 и AMD64 под управлением ОС Microsoft Windows 2008R2 / 7 / 8.1 / 2012 / 2012R2 / 10 / 2016 / 2019, Astra Linux SE («Смоленск»), «Альт 8 СП».В состав продукта входят консоль и сервер управления, клиент СЗИ, а также клиент аутентификации и управления.Сервер управления «Блокхост-Сеть 4» устанавливается на серверы безопасности под управлением ОС Windows. С сервера осуществляются централизованное развёртывание клиентов, управление настройками клиентов СЗИ и клиентов управления, выпуск средств двухфакторной аутентификации пользователей, в том числе с записью цифровых сертификатов, а также сбор сведений для аудита безопасности и их передача во внешние системы корреляции событий.Консоль устанавливается на рабочее место администратора (ОС Windows или Linux) и позволяет управлять всеми возможностями серверов безопасности.Клиент «Блокхост-Сеть 4» устанавливается на рабочие станции под управлением ОС Windows и реализует весь спектр функций безопасности продукта.Клиент аутентификации и управления устанавливается на рабочие станции с сертифицированными ОС Linux и обеспечивает двухфакторную аутентификацию и централизованное управление средством доверенной загрузки.Для двухфакторной идентификации и аутентификации пользователей поддерживаются персональные электронные идентификаторы eToken, ruToken, JaCarta, eSmart, Avest Token.Соответствие требованиям регуляторовСЗИ от НСД «Блокхост-Сеть 4» имеет сертификат № 4374 ФСТЭК России:5-й класс защищённости для средств вычислительной техники (СВТ) в соответствии с руководящим документом «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации» (Гостехкомиссия России, 1992);4-й уровень доверия в соответствии с документом «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (утверждён приказом ФСТЭК России от 02 июня 2020 г. № 76);4-й класс защиты в соответствии с методическим документом «Профиль защиты средств контроля подключения съёмных машинных носителей информации четвёртого класса защиты ИТ.СКН.П4.ПЗ» (ФСТЭК России, 2014).Продукт обеспечивает возможность защиты от несанкционированного доступа к информации для автоматизированных систем (АС) класса защищённости до 1Г включительно и позволяет выполнять требования приказов ФСТЭК России:№ 17 по защите государственных информационных систем (ГИС), для объектов до 1-го класса защищённости включительно;№ 21 по защите информационных систем персональных данных (ИСПДн), для объектов до 1-го уровня защищённости включительно;№ 31 по защите автоматизированных систем управления технологическим процессом (АСУ ТП), для объектов до 1-го класса защищённости включительно;№ 239 по защите значимых объектов критической информационной инфраструктуры (КИИ), для объектов до 1-й категории включительно.Функциональные возможности «Блокхост-Сеть 4»Ключевыми возможностями «Блокхост-Сеть 4» являются:Идентификация и аутентификация пользователей информационной системы при попытках входа на защищаемые станции под управлением служб каталогов Microsoft Active Directory, FreeIPA, Samba, ALD Pro.Контроль прав доступа пользователей к защищаемой информации на компьютерах.Контроль подключения и использования съёмных носителей на защищаемых компьютерах.Двухфакторная аутентификация пользователей информационной системы при входе на защищаемые станции с помощью USB-токенов и смарт-карт.Управление жизненным циклом двухфакторной аутентификации для поддерживаемых Windows- и Linux-систем, в том числе с использованием цифровых сертификатов.Централизованный выпуск цифровых сертификатов удостоверяющих центров Microsoft CA и Dogtag для двухфакторной аутентификации.Централизованное управление средством доверенной загрузки SafeNode System Loader.Централизованное развёртывание клиентов и внешних пакетовВ «Блокхост-Сеть 4» предусмотрена возможность централизованного развёртывания клиентов с сервера безопасности, для чего необходимо выполнить задачу на установку агентов развёртывания на защищаемые рабочие станции, а затем — на установку клиентов средства защиты. Рисунок 1. Создание задачи на изменение программы в «Блокхост-Сеть 4» Список рабочих станций для установки агентов развёртывания может быть сформирован поиском по IP-адресам, запросом из службы каталогов или по списку клиентов «Блокхост-Сеть», зарегистрированных на сервере СЗИ. Рисунок 2. Редактирование задач в «Блокхост-Сеть 4» Для установки агентов развёртывания требуется указать учётные записи пользователей с административными правами, от имени которых будет производиться установка.Для выбора удобного времени установки предусмотрена возможность задать параметры запуска с помощью планировщика. Рисунок 3. Выполнение задач в «Блокхост-Сеть 4» Задачи установки пакетов могут быть связаны и запускаться последовательно. Рисунок 4. Редактирование задач в «Блокхост-Сеть 4» Установка клиента «Блокхост-Сеть»Для инсталляции клиента «Блокхост-Сеть» уже создана одноимённая предустановленная задача. Рисунок 5. Установка клиента в «Блокхост-Сеть 4» Модули безопасности «Блокхост-Сеть 4» могут устанавливаться по отдельности, так что в задаче установки доступен выбор тех из них, которые нужны для защиты рабочих станций. Рисунок 6. Выбор модулей для установки на рабочие станции в «Блокхост-Сеть 4» Инсталляция клиента «Блокхост-Сеть» происходит на станции с установленным агентом. Рисунок 7. Добавление рабочих станций в список установки клиента в «Блокхост-Сеть 4» При формировании списка рабочих станций доступен экспорт / импорт, в т. ч. их перечня из другой задачи.В планировщике предусмотрена возможность управлять временем перезагрузки операционной системы после установки клиента. Рисунок 8. Вкладка «Перезагрузка системы» окна редактирования параметров задачи в «Блокхост-Сеть 4» Результаты выполнения задач установки отображаются на круговой диаграмме. Рисунок 9. Результат выполнения задачи в «Блокхост-Сеть 4» На случай неуспешной установки предусмотрена возможность просмотреть историю операций и автоматически получить системные журналы аудита с рабочих станций. Рисунок 10. Просмотр результатов выполнения задачи в «Блокхост-Сеть 4» Установка сторонних программПомимо инсталляции клиентов СЗИ доступна возможность создания задач по установке стороннего программного обеспечения на клиентские рабочие станции. Это могут быть, например, обновления и драйверы устройств. Также можно централизованно устанавливать средство доверенной загрузки SafeNode System Loader и выполнять скрипты на подконтрольных станциях.Построение иерархии серверов управленияОбщий принцип построения иерархии, содержащей головной и подчинённые серверы, а также клиентские рабочие станции, изображён на рисунке. Рисунок 11. Иерархия серверов в «Блокхост-Сеть 4» Вся иерархия серверов управления отображается в левой части «Менеджера иерархий». Доступны операции по созданию групп в иерархии, поиску клиентских рабочих станций. Рисунок 12. Отображение иерархии в «Блокхост-Сеть 4» Серверы «Блокхост-Сеть 4» могут быть включены в иерархию в качестве головного или родительского сервера. Рисунок 13. Построение иерархии серверов в «Блокхост-Сеть 4» Подключение подчинённого сервера позволяет применить политики как к его рабочим станциям, так и к серверу в целом.Подчинённые серверы в общем дереве менеджера иерархий отображаются наравне с рабочими станциями. Рисунок 14. Подчинённые серверы в «Блокхост-Сеть 4» Общее описание политикЦентрализованное управление осуществляется посредством политик.В СЗИ существует три типа политик: серверная (определяет параметры работы серверов), клиентская (определяет параметры работы клиентских машин) и политика SafeNode System Loader (позволяет централизованно управлять средством доверенной загрузки ОС, где установлен клиент «Блокхост-Сеть 4»). Рисунок 15. Отображение политик в интерфейсе «Блокхост-Сеть 4» Настройки и параметры политик корневой группы «Все компьютеры» оказывают влияние на все группы в иерархии, если установлено принудительное наследование или если в этих группах нет собственных политик.Любая политика, кроме корневой группы «Все компьютеры», может быть неактивной и не влиять на работу серверов или клиентских рабочих станций.Наследование политик в иерархии групп и серверовНа сервере управления реализована возможность принудительного наследования отдельных параметров или разделов политик родительских групп политиками нижестоящих групп.  Рисунок 16. Принудительное наследование параметров типа «флаг» в «Блокхост-Сеть 4» На иллюстрации выше символ открытого замка означает, что администраторам нижестоящих уровней иерархии можно изменять параметры или разделы. Закрытый замок на каком-либо параметре или разделе политики обозначает невозможность перезаписи параметра или раздела на всех нижестоящих уровнях иерархии.В случае принудительного наследования параметров политик типа «флаг» значение параметра политики станет идентичным тому значению, которое задано в политике верхнего уровня. Рисунок 17. Пример иерархии в «Блокхост-Сеть 4» Как видно, в «Клиентской политике 1» включён контроль установки или удаления программ, полученный из политики верхнего уровня.При наследовании списков «замок» может быть установлен как на весь список, так и на отдельные его элементы. Рисунок 18. Принудительное наследование после удаления элемента списка для текущей политики в «Блокхост-Сеть 4» Управление политиками механизмов безопасности на примере контроля USBВ «Блокхост-Сеть 4», как и во многих средствах защиты подобного класса, реализован механизм контроля устройств, предназначенный для разграничения доступа пользователей к отчуждаемым носителям информации, формирования списков разрешённых устройств на чтение / запись для пользователей или их групп, наследование списков которых также доступно в иерархии управления.Разграничение доступа к USB-устройствамВ политике контроля доступны для управления различные классы USB-устройств: съёмные USB-носители, WPD-устройства (телефоны, фотокамеры, музыкальные проигрыватели), адаптеры Wi-Fi и Bluetooth, смарт-карты и считыватели, клавиатуры, мыши и планшеты, а также прочие (не входящие ни в один из перечисленных классов). Рисунок 19. Разграничение доступа выбранного пользователя в «Блокхост-Сеть 4» Для накопителей и переносных устройств доступно разграничение по чтению и записи на уровне пользователей и их групп.Также возможно установить общий запрет или разрешение на доступ к выбранному классу устройств для всего сформированного списка пользователей (флаг «Доступ разрешён»).Для аудита предусмотрена возможность задать перечень фиксируемых событий. Рисунок 20. Настройка разграничения доступа к USB-устройствам в «Блокхост-Сеть 4» Можно организовать принудительное наследование параметров (установка «замка») всеми политиками, являющимися дочерними по отношению к текущей: для всего раздела USB-устройств, для общего запрета / разрешения на доступ к выбранному классу устройств, для пользователя в сформированном списке, а также для регистрируемых событий аудита.Формирование доверенного списка устройствНакопители и переносные устройства могут настраиваться индивидуально, путём формирования доверенного списка для выбранного пользователя или группы. Доступ к устройству из этого списка не зависит от ограничений, которые заданы для классов USB-устройств. Рисунок 21. Контроль устройств в «Блокхост-Сеть 4» Добавление в список разрешённых доступно для тех устройств, которые подключены к рабочей станции в настоящий момент (индикация зелёным цветом) или подключались к ней ранее. Рисунок 22. Добавление в список разрешённых устройств в «Блокхост-Сеть 4» Для разрешённых устройств доступно разграничение по типам доступа: чтение и запись. Рисунок 23. Разграничение доступа пользователей к выбранному устройству в «Блокхост-Сеть 4» Принудительное наследование параметров (установка «замка») всеми политиками, являющимися дочерними по отношению к текущей, также доступно для всего списка доверенных устройств или для каждого отдельно.Для простого формирования доверенного списка устройств предусмотрена возможность импорта из файла и экспорта в файл.Управление жизненным циклом токенов (смарт-карт) и сертификатовИспользование двухфакторной аутентификации позволяет существенно усилить защищённость информационной системы, но при большом количестве идентификационных устройств управление этой информационной системой начинает требовать всё больше ресурсов для их учёта и сопровождения.В «Блокхост-Сеть 4» есть опция управления жизненным циклом смарт-карт, USB-токенов и цифровых сертификатов инфраструктуры открытых ключей.Доступны следующие операции:Добавление токена (с возможностью инициализации).Назначение токена пользователю для учёта, а также для входа по паролю, сохранённому на токене, по управляемому сертификату, выпущенному на сервере СЗИ, или по стороннему сертификату.Приостановка / возобновление использования токена.Выведение токена из использования с отзывом записанных сертификатов.Изъятие токена и удаление связи с пользователем.Жизненный цикл управления токенами и сертификатамиПри подключении сервера управления к службе каталогов с развёрнутым центром сертификации (Microsoft AD и CA либо FreeIPA и Dogtag) можно централизованно выпускать управляемые сертификаты на USB-токены и смарт-карты пользователей.Токен с управляемым сертификатом может быть в следующих состояниях: «не зарегистрирован», «зарегистрирован», «используется», «выключен», «отозван». Перечень возможных действий с токеном определяется его состоянием. Рисунок 24. Жизненный цикл токена с выпуском управляемого сертификата Приостановка и возобновление использования токенаНазначенный пользователю токен можно временно отключить, например на время отпуска. Рисунок 25. Выключение токена в «Блокхост-Сеть 4» Приостановка и возобновление использования токена не требует его подключения к компьютеру.Вывод токена из использованияНазначенный пользователю токен выводится из использования в случае утери или неисправности. При этом все сертификаты, записанные на него, отзываются без возможности восстановления.Изъятие токенаПри изъятии токена его привязка к пользователю удаляется и он становится доступен для назначения другому сотруднику. Рисунок 26. Поиск устройств в «Блокхост-Сеть 4» Предусмотрена возможность аварийного изъятия токена, если по какой-либо причине не удаётся установить соединение с центром сертификации. При этом токен изымается без выполнения операции отзыва / временного отзыва сертификата для входа.Выпуск носителя для аутентификации по сертификатуНазначение токена пользователю для аутентификации на рабочих станциях заключается в привязке устройства к конкретному сотруднику, например, из окна токенов. Рисунок 27. Выпуск токена в «Блокхост-Сеть 4» Пользователю может принадлежать несколько токенов, но токен не может принадлежать нескольким пользователям. Рисунок 28. Шаги выпуска токена в «Блокхост-Сеть 4» Удалённое управление токеном пользователяДля USB-токенов и смарт-карт, которые подключены к рабочим местам пользователей, реализована возможность удалённого управления. Операция доступна при выборе рабочей станции через «Менеджер иерархий». Рисунок 29. Менеджер иерархий в «Блокхост-Сеть 4» Рисунок 30. Управление токенами в «Блокхост-Сеть 4» При удалённом управлении токенами администратору доступны следующие операции: назначение пользователю, приостановка и возобновление использования, вывод из использования, изъятие.При удалённом управлении токеном от пользователя потребуется ввести ПИН-код на своей рабочей станции. Рисунок 31. Запрос ПИН-кода пользователя администратором Операция будет завершена только после корректного ввода ПИН-кода токена.Двухфакторная аутентификация с сохранённым паролемПомимо аутентификации пользователя по смарт-карте и USB-токену с цифровым сертификатом в развёрнутой инфраструктуре открытых ключей «Блокхост-Сеть 4» позволяет обеспечить двухфакторную аутентификацию пользователей даже в том случае, если инфраструктура открытых ключей в локальной сети не развёрнута. Это делается за счёт использования сложного сгенерированного пароля, хранимого на токене.При первом входе с использованием токена с сохранённым паролем пользователю необходимо ввести ПИН-код к ключевому носителю и пароль. Последний будет заменён на сгенерированный средством защиты информации и сохранён на токен. Тогда вход пользователя в ОС будет доступен на клиентской рабочей станции только с предъявлением назначенного сотруднику токена и со вводом ПИН-кода. При этом доменные политики по смене пароля будут отрабатываться клиентом «Блокхост-Сеть 4» без участия пользователя. Рисунок 32. Назначение токена для безопасного входа по паролю в «Блокхост-Сеть 4» После успешного назначения токена для безопасного входа по паролю в карточке пользователя отобразится назначенное устройство. Рисунок 33. Отображение токена для учёта в карточке пользователя в «Блокхост-Сеть 4» Формирование актов выдачи / изъятия токенов Для документального сопровождения процессов передачи и изъятия USB-токенов в системе предусмотрена возможность автоматически формировать акты приёма-передачи токена, синхронизации, изъятия и удаления из системы, возврата, записи сертификата, удаления сертификата, уничтожения токена. Рисунок 34. Настройка шаблонов печати в «Блокхост-Сеть 4» Предусмотрен широкий перечень переменных для автоматизированного заполнения актов. При необходимости администратор может отредактировать предустановленные шаблоны актов, добавить или удалить автоматически заполняемые переменные. Рисунок 35. Отображение переменных-закладок в актах Отображение информации о сертификатахПосмотреть информацию о выданных токенах и сертификатах на них можно в карточке пользователя. Доступны управляемые сертификаты, выданные на сервере «Блокхост-Сеть 4» и используемые для входа пользователя в систему, а также наблюдаемые сертификаты, выданные сторонними средствами и применяемые для проставления электронной подписи в юридически значимом документообороте или для аутентификации при входе пользователя. Рисунок 36. Отображение сертификатов на токене в «Блокхост-Сеть 4» Предусмотрена индикация, указывающая администратору на появление нового сертификата на выбранном токене или удаление уже зарегистрированного в системе сертификата с токена. Рисунок 37. Информация о сертификатах на токене в «Блокхост-Сеть 4» По каждому сертификату можно получить информацию о назначении, владельце, удостоверяющем центре, выдавшем сертификат, состоянии, сроке действия.Оповещение по почтеДля контроля истекающих сертификатов пользователей предусмотрено оповещение администраторов и владельцев сертификатов о приближении срока окончания их действия. Рисунок 38. Настройки оповещений в «Блокхост-Сеть 4» Инициализация токеновПри добавлении токена можно выполнить инициализацию подключённого устройства, при которой все данные на нём удаляются. Это делается с использованием созданного заранее профиля инициализации или без него.При инициализации токена без использования профиля необходимо указать политики, которые будут действовать на устройстве. Рисунок 39. Инициализация токена в «Блокхост-Сеть 4» В случае использования готового профиля инициализации политики будут загружены из него. Рисунок 40. Добавление токена в «Блокхост-Сеть 4» Профили дают возможность настроить параметры инициализации для каждого типа устройств, поддерживаемого подсистемой жизненного цикла токенов. Рисунок 41. Профиль инициализации в «Блокхост-Сеть 4» Параметры профиля позволяют задать типовые ПИН-коды, параметры их ввода и политику их смены. Рисунок 42. Создание профиля в «Блокхост-Сеть 4» Рисунок 43. Политика ПИН-кода в «Блокхост-Сеть 4» Сбор аудита по иерархии управленияПолитика аудита позволяет сформировать список событий, которые нужно собирать по всей иерархии подчинённых серверов, и расписание их сбора.В подсистеме сбора событий администратору доступны:формирование сводного отчёта с информацией о состоянии клиентов, подключённых к серверам иерархии;сбор событий аудита с клиентов на сервер СЗИ;просмотр и фильтрация событий аудита, собранных с клиентских компьютеров на сервер;просмотр и фильтрация событий аудита напрямую из журнала клиентского компьютера;передача событий аудита вверх по иерархии серверов вплоть до головного сервера с последующей отправкой в SIEM-систему.В серверной политике администратор может выбрать события, которые будут собираться с подчинённых серверов или клиентских рабочих станций под управлением ОС Windows / Linux, включая произошедшие до запуска операционной системы на станциях с установленным средством доверенной загрузки, а также определить расписание сбора событий с клиентов и подчинённых серверов. Рисунок 44. Сбор событий в «Блокхост-Сеть 4» Архивирование событий аудитаДля долгосрочного хранения событий предусмотрена автоархивация. Система позволяет настроить время первого её запуска и интервал в днях, а также выбрать события для помещения в архив и действия над ними. Рисунок 45. Менеджер иерархий в «Блокхост-Сеть 4» Сбор событий в SIEM головного сервера«Блокхост-Сеть 4» позволяет передавать события аудита вверх по всей иерархии серверов управления и экспортировать их в SIEM-систему по протоколу CEF. Рисунок 46. Передача событий в «Блокхост-Сеть 4» Предусмотрена возможность выбора событий аудита для передачи в SIEM. Рисунок 47. Выбор типов событий для передачи в SIEM в «Блокхост-Сеть 4» Новое в «Блокхост-Сеть 4»Централизованная установка клиентов управления в Linux-системахЦентрализованная установка агента развёртывания и клиента «Блокхост-Сеть» с помощью подсистемы развёртывания СЗИ от НСД «Блокхост-Сеть 4» теперь доступна для ОС Astra Linux SE и «Альт 8 СП».Установка агента развёртывания на станции под управлением ОС Linux требует учётной записи и включённого SSH. Рисунок 48. Установка агентов развёртывания в «Блокхост-Сеть 4» В результате выполнения задачи на всех указанных в списке рабочих станциях под управлением ОС Linux будет установлен агент развёртывания. После этого на них уже можно будет установить клиенты «Блокхост-Сеть», для чего формируются пакет установки клиента и задача на установку программы. Рисунок 49. Установка программы в «Блокхост-Сеть 4» Клиент «Блокхост-Сеть» тоже будет установлен на всех указанных в списке рабочих станциях под управлением ОС Linux в результате выполнения соответствующей задачи.Аутентификация по паролю на токене (смарт-карте) в Linux-системахВ «Блокхост-Сеть 4» реализована возможность использования двухфакторной аутентификации с сохранением пароля пользователя на токене, доступная в доменах Microsoft AD, FreeIPA, ALD Pro и Samba DC AD, для Linux-систем по аналогии с Windows-клиентами. При первом входе пользователя с использованием аутентификации по паролю на токене «Блокхост-Сеть 4» потребует ввода пароля учётной записи и ПИН-кода к токену, в результате чего будет сгенерирован и записан на токен новый пароль. При последующих входах сотрудник предъявляет токен и вводит PIN-код, а пароль пользователя в операционной системе автоматически загружается с токена.Аутентификация по сертификату на смарт-карте в Linux-системахLinux-клиенты «Блокхост-Сеть 4» теперь могут проводить двухфакторную аутентификацию пользователей с использованием цифровых сертификатов.На сервере безопасности можно настроить централизованный выпуск сертификатов удостоверяющего центра Microsoft Certificate Authority для пользователей Microsoft Active Directory и сертификатов удостоверяющего центра Dogtag для пользователей FreeIPA. В обоих случаях потребуется служебная учётная запись, обладающая правами на выпуск сертификатов пользователей. Рисунок 50. Настройка центрального выпуска сертификатов в «Блокхост-Сеть 4» После подключения удостоверяющего центра появится возможность выпускать токен для входа по управляемому сертификату с помощью консоли управления.При аутентификации по сертификату на Linux-станциях пользователь подключает токен, содержащий выпущенный сертификат, и вводит ПИН-код токена. Остальные данные будут автоматически считаны с токена.Как и для Windows-станций, для Linux-клиентов доступен удалённый выпуск сертификатов на подключённые к рабочим станциям пользователей токены.Централизованное управление доверенной загрузкойС помощью подсистемы развёртывания СЗИ от НСД «Блокхост-Сеть 4» на клиентские рабочие станции можно централизованно установить средства доверенной загрузки SafeNode System Loader.Для установки SafeNode System Loader мастером создания пакетов формируются инсталляционные пакеты для ОС Windows (*.msi), Astra Linux SE (*.deb) и «Альт 8 СП» (*.rpm).Для подключения централизованного администрирования уже установленных экземпляров SafeNode System Loader предусмотрена задача взятия выбранных рабочих станций под управление.Управление политиками механизмов безопасностиПолитики SafeNode System Loader позволяют управлять параметрами механизмов безопасности средства доверенной загрузки, выполняемыми до запуска операционной системы. Можно устанавливать дополнительный этап аутентификации пользователей, управлять политиками пароля пользователя и администратора при прохождении аутентификации в SafeNode System Loader, а также параметрами контроля целостности аппаратной и программной конфигурации рабочей станции: объектов файловой системы, реестра ОС, аппаратных устройств ЭВМ, загрузочных секторов устройств хранения данных, переменных и драйверов UEFI. Рисунок 51. Изменение политик модуля SafeNodeSL в «Блокхост-Сеть 4» Рисунок 52. Контроль целостности в «Блокхост-Сеть 4» Рисунок 53. Изменение аппаратной среды в «Блокхост-Сеть 4» Прямое управление до загрузки ОСЕсть возможность удалённого управления разблокировкой пользователей на клиентских рабочих станциях.После удалённой разблокировки администратором пользователю будет доступен ввод данных в соответствии с назначенной политикой аутентификации.Централизованный сбор аудитаВ серверной политике предусмотрен раздел с параметрами сбора событий аудита, произошедших до загрузки операционной системы, со станций, которые защищены средством доверенной загрузки SafeNode System Loader. Рисунок 54. Сбор событий СДЗ в «Блокхост-Сеть 4» Выводы«Блокхост-Сеть 4» начиная с обновления 4.2 позволяет решать широкий класс задач на разных стадиях функционирования рабочих станций, начиная с централизованного управления доверенной загрузкой и контролем целостности загружаемой программной и аппаратной среды, обеспечения защиты при функционировании операционной системы, заканчивая управлением жизненным циклом двухфакторной аутентификации, в том числе в отсутствие инфраструктуры открытых ключей, как на платформе Windows, так и на сертифицированных отечественных операционных системах с ядром Linux, функционирующих в доменных структурах на основе Microsoft Active Directory, FreeIPA, ALD Pro, Samba AD DC.Достоинства:Сертифицировано ФСТЭК России, что позволяет использовать его для выполнения требований приказов ФСТЭК России № 17, № 21, № 31, № 239.Благодаря встроенной подсистеме развёртывания позволяет быстро внедрить как само СЗИ на ландшафте любой сложности с неограниченным числом серверов и рабочих станций, так и дополнительные программные компоненты сторонних разработчиков на рабочие станции.Обеспечивает для Linux- и Windows-клиентов единообразное управление двухфакторной аутентификацией и доверенной загрузкой.Осуществляет сбор событий аудита в крупных распределённых сетях по всей иерархии серверов безопасности и подчинённых рабочих станций, передаёт события аудита в системы корреляции для выявления инцидентов в безопасности.Позволяет управлять всей иерархией серверов безопасности подчинённых станций из единой консоли администрирования головного сервера.Недостатки:Нет возможности централизованно выпускать средства осуществления двухфакторной аутентификации с использованием криптоалгоритмов ГОСТ.Читать далее
×