Управление доступом

Средства защиты от несанкционированного доступа к информации (СЗИ от НСД)

Вопрос
Задать вопрос

Сравнение сертифицированных средств защиты информации от несанкционированного доступа для серверов и рабочих станций (СЗИ от НСД)

Сравнение сертифицированных средств защиты информации от несанкционированного доступа для серверов и рабочих станций (СЗИ от НСД)

В сравнении средств защиты информации от несанкционированного доступа (СЗИ от НСД) для серверов и рабочих станций мы проанализировали и сопоставили лидирующие на отечественном рынке продукты российских компаний Secret Net Studio («Код Безопасности»), Dallas Lock К («Конфидент»), «Аккорд-Win64 K» (ОКБ САПР), «Блокхост-Сеть 2.0» и «Блокхост-АМДЗ» («Газинформсервис»), КСЗИ «Панцирь+» («НПП «Безопасные информационные технологии»), СЗИ от НСД Diamond ACS (ТСС), «Страж NT» («Рубинтех»). Результаты сравнения помогут понять, чем принципиально различаются существующие на рынке СЗИ от НСД и на что стоит ориентироваться при их выборе.

 

  1. Введение
  2. Методология сравнения СЗИ от НСД
  3. Сравнение СЗИ от НСД
    1. 3.1. Общие сведения
    2. 3.2. Системные требования, варианты развертывания и роли
    3. 3.3. Основные функции СЗИ от НСД
    4. 3.4. Дополнительные модули защиты
    5. 3.5. Централизованное управление и отчетность
    6. 3.6. Возможности интеграции
    7. 3.7. Лицензирование
  4. Выводы

 

Введение

Российский рынок средств защиты информации от несанкционированного доступа (сокращенно СЗИ от НСД) для серверов и рабочих станций уходит корнями в далекие 90-е. Первые разработки появились именно тогда. Российские производители включились в процесс разработки решений для выполнения требований руководящих документов Гостехкомиссии (теперь это ФСТЭК России) по защите информации.  

Изначально СЗИ от НСД создавались применительно к решению задач усиления встроенных в операционные системы механизмов защиты. Некоторые продукты этого класса эволюционируют в сторону комплексной защиты конечных точек сети от внешних и внутренних угроз, где функциональность СЗИ от НСД является лишь одной из составляющих. И сейчас основным драйвером продаж сертифицированных СЗИ от НСД является необходимость выполнения требований действующего законодательства и нормативных актов в области защиты информации (защита персональных данных, защита государственных информационных систем, защита государственной тайны).

Сегодня российский рынок СЗИ от НСД в силу своего исторического развития уникален и не имеет аналогов за рубежом. На нем представлено большое количество сертифицированных продуктов для серверов и рабочих станций, и все они российской разработки. Не так давно мы делали «Обзор сертифицированных средств защиты информации от несанкционированного доступа (СЗИ от НСД)».  В процессе выбора между тем или иным решением неизбежно возникают вопросы. Чем принципиально отличаются между собой различные решения? На что ориентироваться при выборе СЗИ от НСД? Как выбрать наиболее подходящее решение для вашей компании?

К сожалению, универсального решения, подходящего любой компании, сегодня нет. Именно поэтому важно понимать, чем один продукт отличается от другого и каким требованиям регулятора они удовлетворяют. Данное сравнение следует рассматривать как базисное. Во всех тонкостях работы СЗИ от НСД зачастую трудно разобраться даже профессионалам, не говоря уже о потенциальных клиентах. Еще сложнее сравнить возможности решений между собой. Стоит понимать, что в рамках данного материала мы не сравниваем эффективность или удобство того или иного решения. Для этого необходимо проводить масштабные тесты в условиях, приближенных к «боевым», что требует несоизмеримо больших затрат — как на разработку методик сравнения, так и на их воплощение.

Тем не менее в дальнейшем мы планируем проводить более глубокие сравнения СЗИ от НСД по их реальной технологической эффективности.

 

Методология сравнения СЗИ от НСД

Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. Их количество зависит от ряда факторов: от глубины исследования, а также степени различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развернутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне.

Следуя этому принципу, мы отобрали более 200 критериев, сравнение по которым упростит выбор СЗИ от НСД.  К некоторым из критериев были добавлены пояснения.

Отметим, что при разработке критериев учитывались требования документов ФСТЭК России:

  • Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» Гостехкомиссия России, 1992 г. (для удобства в статье будем называть — РД СВТ).
  • Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Гостехкомиссия России, 1992 г. (РД НДВ).
  • Требования к средствам контроля съемных машинных носителей информации, утвержденные приказом ФСТЭК России от 28 июля 2014 г. № 87.
  • Требования к межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. № 9).
  • Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. № 638.
  • Требования к средствам антивирусной защиты, утвержденные приказом ФСТЭК России от 20 марта 2012 г. № 28.

Для удобства все сравнительные критерии были разделены на следующие категории:

  1. Общие сведения
  2. Архитектура решения
  3. Системные требования (минимальные)
  4. Поддерживаемые операционные системы защищаемых АРМ и серверов (согласно ТУ)
  5. Варианты исполнения системы
  6. Уровень сертификации по требованиям безопасности ФСТЭК России
  7. Поддерживаемые аппаратные идентификаторы (токены и смарт-карты) (согласно ТУ)
  8. Развертывание системы защиты
  9. Обновление компонентов
  10. Функциональные роли
  11. Контроль входа в систему, блокировка сеанса работы
  12. Контролируемые объекты
  13. Контроль целостности
  14. Замкнутая (изолированная) программная среда
  15. Контроль портов ввода/вывода и подключаемых устройств
  16. Контроль подключения внешних устройств
  17. Контроль печати
  18. Дискреционное управление доступом
  19. Мандатное разграничение доступа
  20. Очистка информации
  21. Дополнительные модули защиты:
    1. 21.1. Персональный межсетевой экран
    2. 21.2. Обнаружение вторжений
    3. 21.3. Антивирус
  22. Отказоустойчивость / восстановление
  23. Управление и мониторинг СЗИ
  24. Подсистема регистрации и учета
  25. Возможности интеграции
  26. Лицензирование

Для участия в сравнении было отобрано семь наиболее известных и популярных в России СЗИ от НСД:

  • СЗИ от НСД «Аккорд-Win64 K» (компания ОКБ САПР);
  • СЗИ от НСД «Блокхост-Сеть 2.0» и «Блокхост-АМДЗ 2.0» (компания «Газинформсервис»);
  • СЗИ от НСД Dallas Lock 8.0-К (компания «Конфидент»);
  • СЗИ от НСД Diamond ACS (компания ТСС);
  • КСЗИ «Панцирь+» (компания «НПП «Информационные технологии в безопасности»);
  • СЗИ от НСД Secret Net Studio (компания «Код Безопасности»);
  • СЗИ от НСД «Страж NT 4.0» (компания «Рубинтех»).

Отметим, что в данном сравнении мы рассматриваем решения для защиты информации ограниченного доступа, не содержащей сведения, составляющих государственную тайну (для защиты конфиденциальной информации). Как правило, эти решения применяются для защиты информационных систем персональных данных (ИСПДн), государственных информационных систем (ГИС) или для автоматизированных систем до класса защищенности АС 1Г включительно. Такие решения обычно имеют сертификат на соответствие требованиям руководящих документов по 4 уровню контроля отсутствия НДВ, 5 классу защищенности СВТ. 

При этом мы учитывали, что у производителей может быть и отдельное решение с высоким уровнем сертификации для защиты автоматизированных систем с более высоким классом защиты, в которых обрабатываются сведения, составляющие государственную тайну. Или же у вендора может единственное решение, которое может применяться как для защиты конфиденциальной информации, так и для защиты гостайны.

 

Сравнение сертифицированных средств защиты информации от несанкционированного доступа (СЗИ от НСД)

Общие сведения

Параметр сравнения Secret Net Studio Dallas Lock Аккорд-Win64 К Блокхост-Сеть КСЗИ Панцирь+ Diamond ACS Страж NT
Компания-вендор ООО «Код Безопасности» ООО «Конфидент» ЗАО «ОКБ САПР» ООО «Газинформсервис» ООО «Научно-производственное предприятие «Информационные технологии в бизнесе» ООО «ТСС» ООО «Рубинтех»
Целевой сегмент Крупный бизнес, средний бизнес. Государственный сектор Крупный бизнес, средний бизнес. Государственный сектор Крупный бизнес, средний бизнес. Государственный сектор Крупный бизнес, средний бизнес. Государственный сектор Крупный бизнес, средний бизнес. Государственный сектор Крупный бизнес, средний бизнес. Государственный сектор Крупный бизнес, средний бизнес. Государственный сектор
Штаб-квартира Россия, Москва Россия, Санкт-Петербург Россия, Москва Россия, Санкт-Петербург Россия, Санкт-Петербург Россия, Москва Россия, Москва
Веб-сайт securitycode.ru

dallaslock.ru

okbsapr.ru gaz-is.ru npp-itb.ru tssltd.ru guardnt.ru
Лицензии  - Лицензии ФСТЭК России №2457 на создание СЗИ, №0499 на производство СЗКИ, №0829 на защите конфиденциальной информации.
 - Лицензии ФСБ России №27733, №15566Н, №15567К, №15290М и №15289С.
- Лицензия Минобороны РФ №1388. 

- Лицензии ФСТЭК России №1100 на защиту гостайны, №1101 на создание СЗИ, №0024 на защиту конфиденциальной информации, №0016 на производство СЗКИ.
- Лицензии ФСБ России №8087, №14562Н, № 13458К, №14901М, №14900С, №160.
- Лицензия Минобороны РФ №1211.


  - Лицензии ФСТЭК №2965, №3132 на создание СЗИ, №2964 и №3131 на защиту гостайны (тех. защита информации), №1247 на производство СКЗИ; №2291 на защиту конфиденциальной информации.
-Лицензии ФСБ №24125, №26773, №14811Н, №13051Н, №16625Н и №15739.

- Лицензии ФСТЭК России №0111 на производство СЗКИ; №0177 на защиту конфиденциальной информации, №1862 на защиту гостайны (тех. защита информации); №1893 на созданиее СЗИ.
- Лицензии ФСБ России №938Н и №9124.

- Лицензии ФСТЭК России №0055 на производство СЗКИ; №0081 на защиту конфиденциальной информации.
- Лицензия ФСБ России №914Н.

Нет данных - Лицензии ФСТЭК России №2661 на создание СЗИ; №1684 на производство СЗКИ.
- Лицензия ФСБ России №24351.
- Лицензия Минобороны РФ №1494.
Сертификаты ФСТЭК России Сертификат ФСТЭК России № 3745 Сертификат ФСТЭК России № 2720 Сертификат ФСТЭК России № 3805 Сертификат ФСТЭК России № 3740 Сертификат ФСТЭК России №3473 Сертификат ФСТЭК России № 2130 Сертификат ФСТЭК России №3553
Техническая поддержка Базовая (на 1-й год при первичном приобретении лицензии), стандартная, расширенная, VIP, стандартная совместная, расширенная совместная Бесплатная основная (при первичном приобретении лицензий на 1 или 3 года) и расширенная техподдержка 24х7 Базовая Базовая, расширенная, VIP Стандартная (первый год бесплатно), расширенная Стандартная, расширенная, эксклюзивная Бесплатная, общая
Услуги (внедрение системы, обучение инженеров) Внедрение силами специалистов партнеров и обучение инженеров Внедрение Внедрение и обучение инженеров Внедрение и обучение инженеров Нет Нет Нет
Сроки внедрения  В зависимости от сложности проекта сроки внедрения колеблются от одного дня до месяца В зависимости от сложности проекта сроки внедрения колеблются от одного дня до месяца В зависимости от сложности проекта сроки внедрения колеблются от одного дня до месяца В зависимости от сложности проекта сроки внедрения колеблются от одного дня до месяца В зависимости от сложности проекта сроки внедрения колеблются от одного дня до месяца В зависимости от сложности проекта сроки внедрения колеблются от одного дня до месяца В зависимости от сложности проекта сроки внедрения колеблются от одного дня до месяца
Сравниваемые версии 8.4 8.0.485.12 5.0 2.0 1.1. 2 3.21.0.1 4.0
Интерфейс (язык) Русский, английский Русский Русский, английский Русский, английский Русский, английский Русский, английский Русский
Наличие в реестре отечественного ПО Да Да Да Да Да Да Да
Наличие у разработчика отдельного решения для защиты сведений, составляющих государственную тайну (ГТ) Да, отдельная версия Secret Net Studio-С Да, отдельная версия Dallas Lock 8.0-С Да, отдельные версии ПАК «Аккорд-Win32» и ПАК «Аккорд-Win64» СЗИ «Блокхост-Сеть 2.0+»  подходит для обеспечения защиты КИ и ГТ  Нет Diamond ACS  подходит  для обеспечения защиты КИ и ГТ: может использоваться в ИСПДн до 1 уровня защищенности, в ГИС до 1 класса защищенности, для защиты ГТ до уровня Совершенно секретно СЗИ «Страж NT 4.0»  подходит как для обеспечения защиты КИ, так и для обеспечения защиты ГТ 
Уровень сертификации по требованиям безопасности ФСТЭК России (укзывается класс для РД или наименование профиля защиты)
РД СВТ 5 класс защищенности
СВТ от НСД
5 класс защищенности
СВТ от НСД
5 класс защищенности
СВТ от НСД
3 класс защищенности
СВТ от НСД
5 класс защищенности
СВТ от НСД
3 класс защищенности
СВТ от НСД
3 класс защищенности
СВТ от НСД
РД НДВ 4 уровень контроля
отсутствия НДВ
4 уровень контроля
отсутствия НДВ
4 уровень контроля
отсутствия НДВ
2 уровень контроля
отсутствия НДВ
4 уровень контроля
отсутствия НДВ
2 уровень контроля
отсутствия НДВ
2 уровень контроля
отсутствия НДВ
МЭ (РД, 1997) Нет Нет Нет 4 класс 4 класс Нет Нет
МЭ   4 класс
защиты МЭ
(ИТ.МЭ.В4.ПЗ)
4 класс
защиты МЭ
(ИТ.МЭ.В4.ПЗ)
Нет Нет Нет Нет Нет
СКН 4 класс
защиты СКН
(ИТ.СКН.П4.ПЗ)
4 класс
защиты СКН
(ИТ.СКН.П4.ПЗ)
4 класс
защиты СКН
(ИТ.СКН.П4.ПЗ)
Нет Нет Нет Нет
САВЗ 4 класс защиты САВЗ (ИТ.САВЗ.А4.ПЗ, ИТ.САВЗ.Б4.ПЗ, ИТ.САВЗ.В4.ПЗ, ИТ.САВЗ.Г4.ПЗ) Нет Нет Нет На соответствие ТУ Нет Нет
СОВ 4 класс
защиты СОВ
(ИТ.СОВ.У4.ПЗ)
4 класс
защиты СОВ
(ИТ.СОВ.У4.ПЗ)
Нет Нет Нет Нет Нет
Архитектура решения
Серверная часть (Сервер безопасности — СБ) Да Да Требуется дополнительное решение СУЦУ СЗИ от НСД Да Да, клиентская часть подключается к неограниченному числу серверов Да Нет
Возможность создания иерархии серверов безопасности для больших распредленных сетей Да Да Да (при использовании решения СУЦУ СЗИ от НСД) Да Да Да Нет
Клиентская часть (АРМ пользователя) Полноценный локальный комплекс защиты с консолью управления Полноценный локальный комплекс защиты с консолью управления Полноценный локальный комплекс защиты с консолью управления Полноценный локальный комплекс защиты с консолью управления Полноценный локальный комплекс защиты с консолью управления Полноценный локальный комплекс защиты с консолью управления для автономного варианта и агент для сетевого варианта Полноценный локальный комплекс защиты с консолью управления
Консоль администратора (АРМ АБИ) Модуль администрирования включен в серверную/клиентскую часть СЗИ Модуль администрирования включен в серверную/клиентскую часть СЗИ Модуль администрирования включен в клиентскую часть СЗИ Модуль администрирования включен в серверную/клиентскую часть СЗИ Модуль администрирования включен в серверную/клиентскую часть СЗИ, любая клиентская часть может подключаться к любому числу СБ Отдельное приложение для установки на АРМ АБИ Модуль администрирования включен в клиентскую часть СЗИ
Дополнительные компоненты (серверы, АРМ) Нет Сервер лицензий, Менеджер серверов безопасности Нет Нет Сервер аудита реального времени, любая клиентская часть может подключаться к любому числу СА Нет Нет
Возможность сбора данных в локальное хранилище на АРМ при отсутствии связи с сервером Да Да Да Да Да  Да Нет
Защита передачи данных между компонентами СЗИ от НСД  Да Да (собственный механизм преобразования данных) Нет Да Нет Необходим дополнительно Diamond VPN/FW Нет

 

Системные требования, варианты развертывания и роли

Параметр сравнения Secret Net Studio Dallas Lock Аккорд-Win64 К Блокхост-Сеть КСЗИ Панцирь+ Diamond ACS Страж NT
Системные требования (минимальные)
Требования к серверу безопасности системы  CPU Intel Core i5/Intel Xeon E3, RAM 8 GB, HDD 150 GB Конфигурация сервера определяется требованиями к соответствующей ОС. Для размещения файлов СЗИ НСД требуется не менее 200 MB HDD Windows Server 2008 R2 и выше, CPU х64, 2 ядра или больше, RAM  4GB, HDD 80 GB, LAN 100Mb Конфигурация сервера определяется требованиями к соответствующей ОС из списка разрешенных к применению Нет Конфигурация сервера определяется требованиями к соответствующей ОС Нет
Требования к  АРМ пользователей RAM 2 GB, HDD 4 GB Конфигурация АРМ определяется требованиями к соответствующей ОС. Для файлов требуется не менее 200 MB HDD Конфигурация АРМ определяется требованиями к соответствующей ОС Конфигурация АРМ определяется требованиями к соответствующей ОС из списка разрешенных к применению Конфигурация АРМ определяется требованиями к соответствующей ОС. Для файлов требуется не менее 50 MB HDD Конфигурация сервера определяется требованиями к соответствующей ОС Конфигурация АРМ определяется требованиями к соответствующей ОС
Наличие стороннего сервера баз данных Да Не требуется Не требуется Не требуется Не требуется Да Не требуется
Дополнительное ПО и лицензии для сервера (СУБД) Microsoft SQL 2008 R2 SP1/2012 SP1/2014 (включая Express-редакцию) Не требуется Не требуется Не требуется Не требуется Microsoft SQL-сервер (включая Express-редакции) Не требуется
Поддерживаемые операционные системы  защищаемых АРМ пользователей и серверов (согласно ТУ)
Windows Server 2008 R2 Да Да Да Да Да Да Да
Windows Server 2012/2012R2 Да Да Да Да Да Да Да
Windows Server 2016 Да Да Нет Да Технически данная версия ОС поддерживается, но в ТУ пока нет Да Нет
Windows Vista Да Да Да Да Да Да Нет
Windows 7 Да Да Да Да Да Да Да
Windows 8/8.1 Да Да Да Да Да Да Да
Windows 10 Да Да Да Да Технически данная версия ОС поддерживается, но в ТУ пока нет Да Да
Варианты исполнения системы
Программно-аппаратный комплекс Нет Нет Нет Нет Нет Да Нет
Программный комплекс Да Да Да Да Да Да Да
Поддерживаемые аппаратные идентификаторы (токены и смарт-карты) (согласно ТУ)
Устройство iButton (Touch memory) DS-1990 (Maxim Integrated Products) Да  Да  Да  Нет Нет Нет Нет
Устройство iButton (Touch memory) DS-1992  (Maxim Integrated Products) Да  Да  Да  Нет Нет Нет Только для пользователей
Устройство iButton (Touch memory) DS-1993  (Maxim Integrated Products) Да  Да  Да  Нет Нет Нет Да 
Устройство iButton (Touch memory) DS-1995  (Maxim Integrated Products) Да  Да  Да  Нет Нет Нет Да 
Устройство iButton (Touch memory) DS-1996  (Maxim Integrated Products) Да  Да  Да  Нет Нет Нет Да 
ШИПКА (ОКБ САПР) Нет Нет Да  Нет Нет Нет Нет
eToken PRO (Java) (Gemalto) Да  Да  Да  Да  Да  Да  Да 
eToken ГОСТ/USB (Gemalto) Да  Да  Да  Да  Да  Да  Да 
eToken ГОСТ/SC (Аладдин Р.Д., Gemalto) Да  Да  Да  Да  Да  Да  Да 
USB-токен JaCarta PKI (Аладдин Р.Д.) Да  Да  Да  Да  Да  Да  Да 
Смарт-карта JaCarta PKI (Аладдин Р.Д.) Да  Да  Да  Да  Да  Да  Да 
USB-токен JaCarta ГОСТ (Аладдин Р.Д.) Да  Да  Да  Да  Да  Да  Да 
Смарт-карта JaCarta ГОСТ (Аладдин Р.Д.) Да  Да  Да  Да  Да  Да  Да 
HID Proximity Нет Да  Нет Нет Нет Нет Нет
Токены ESMART Да Да  Да  Да  Нет Нет Да 
iKey 2032 Нет Нет Нет Нет Нет Нет Нет
Рутокен (Актив) Да  Да  Да  Да  Да  Да  Да 
Рутокен RF (Актив) Нет Нет Да  Нет Да  Нет Нет
RFID-метка MIFARE (ИСУБ) Нет Да  Да  Нет Нет Нет Нет
USB-токен Guardant ID НДВ2 (Актив, Рубинтех) Нет Нет Нет Нет Нет Нет Да 
Смарт-карта ACOS (ИСУБ) Нет Нет Да  Нет Нет Нет Нет
Развертывание системы защиты
Возможность централизованной установки СЗИ на рабочие станции и сервера Да  Да  Нет Да (собственная система развертывания с планировщиком задач) Да  Да  Да
Локальная установка СЗИ на сервер/АРМ Да Да  Да  Да  Да  Да  Да
Обновление компонентов
Наличие утилиты обновления Нет Да  Нет Да  Да  Нет Нет
Возможность проверки наличия новой версии на сервере компании-производителя Нет Да  Нет Нет Нет Нет Нет
Функциональные роли 
Администратор системы (только настройки) Да  Да  Да  Да  Да  Да  Да 
Администратор безопасности (ИБ) Да  Нет Да  Нет Да  Да  Да
Аудитор Нет Да  Нет Нет Да  Нет Нет
Настраиваемые роли Нет Нет Да  Нет Нет Нет Нет

 

Основные функции СЗИ от НСД

Параметр сравнения Secret Net Studio Dallas Lock Аккорд-Win64 К Блокхост-Сеть КСЗИ Панцирь+ Diamond ACS Страж NT
Контроль входа в систему, блокировка сеанса работы
Идентификация и аутентификация пользователей при входе в систему Да  Да Да  Да  Да  Да  Да 
Возможность запрета входа локальных пользователей Да  Да Да Да  Да  Да  Да
Возможность блокировки сессии пользователя по периоду неактивности Да  Да Да  Нет Нет Да  Да 
Возможность блокировки сессии пользователя при изъятии назначенного идентификатора Да  Да Да  Да  Да  Да  Да 
Возможность настройки принудительной двухфакторной аутентификации для учетной записи с правами администратора и/или пользователя Да Да Да  Да  Да  Да  Да 
Автоматический выбор аппаратного идентификатора при входе в систему Да Да Да Да Да  Да  Да
Авторизация до начала загрузки ОС Да Только в
Dallas Lock 8.0
редакции «С»
Да Да Нет С помощью Diamond ACS HW Да
Контролируемые объекты системы
Файлы Да  Да  Да  Да  Да  Да  Да 
Буфер обмена Да  Да  Да  Да  Да  Нет Да 
Директории Да  Да  Да  Да  Да  Да  Да 
Реестр Да  Да  Да  Да  Да  Нет Нет
Контроль целостности системы
Контроль исполняемых модулей перед их загрузкой в оперативную память (динамический контроль целостности) Да  Да  Да Нет Нет Нет Да 
Контроль целостности любых файлов, расположенных на жестком диске в момент начала сеанса пользователя (статитический контроль целостности) Да  Да  Да Да  Да Нет Да 
Обновление контрольных сумм при завершении сеанса работы пользователя Да  Нет Да Нет Нет Нет Нет
Возможность блокировки рабочей станции при нарушении целостности Да  Да  Да Нет Да Нет Да 
Возможность восстановления объектов при нарушении целостности Да  Да  Да Да  Да  Нет Да 
Контроль неизменности аппаратной конфигурации компьютера Да  Да  Да Да  Нет Да  Нет
Возможность блокировки компьютера при подключении или отключении заданных устройств Да  Нет Нет Нет Нет Нет Нет
Возможность обновления ПО с электронной подписью без необходимости корректировки настроек контроля целостности Да  Нет (ожидается в 1Q2019) Нет Нет Да Да  Нет
Замкнутая (изолированная) программная среда 
Контроль неизменности (целостности) разрешенных к запуску модулей Да  Да  Да  Да  Предотвращается возможность их модификации даже с системными правами Нет Да
Блокировка запуска при нарушении целостности контролируемых модулей Да  Да  Да  Нет Предотвращается возможность их модификации даже с системными правами Нет Да
Контроль запуска скриптов Active Scripts Да  Нет Нет Нет Да Нет Нет
Элементы автоматизации создания замкнутой программной среды (режим обучения, мягкий режим) Да  Да  Да Да  Все задается одним правилом — запрещается исполнять любой создаваемый файл Нет Да
Контроль запуска задач Да Нет Да Нет Да Нет Да
Контроль портов ввода/вывода и подключаемых устройств
Назначение категорий конфиденциальности на устройства Да  Только в
Dallas Lock 8.0
редакции «С»
Да (на внешние устройства хранения) Да  Нет Да  Да
Теневое копирование информации, выводимой на внешние носители Да  Да  Нет Нет Да  Нет Нет
Сохранение данных в теневой копии перед выполнением операций с устройствами Да  Да  Нет Нет Да  Нет Нет
Контроль подключения внешних устройств 
USB Да  Да  Да  Да  Да  Да  Да 
PCMCIA Да  Да  Да  Нет Да  Да  Да 
Android-устройства Да Да  Нет Как USB Да  Да  Да
IOS-устройства Да Да  Нет Как USB Да  Да  Да
Биометрические устройства Да Да  Нет Как USB Да  Да  Да
Контроллер магнитных дисков Да  Да  Да  Нет Да  Да  Да 
Ленточные накопители Да  Да  Да Нет Да  Да  Да
IEEE1394 (FireWire) Да  Да  Да  Нет Да  Да  Да 
Контроль подключения внешних дисков (в том числе SATA, SCSI) Да  Да  Да  Нет Да  Да  Да 
Контроль появления новых сетевых интерфейсов Да  Да  Нет Нет Да  Да  Да
Возможность ограничить работу сетевого интерфейса заданными уровнями конфиденциальности сессий Да  Только в
Dallas Lock 8.0
редакции «С»
Нет Нет Да  Да  Нет
Контроль печати
Возможность дискреционного разграничения доступа к принтерам Да  Да  Да  Да  Да  Да  Да 
Печать из обычных приложений Да  Да  Да  Да  Да  Да  Да 
Возможность ограничения категорий конфиденциальности документов, выводимых на принтер Да  Только в
Dallas Lock 8.0
редакции «С»
Да  Нет Нет Нет Да 
Ограничение пользователей, допущенных к печати конфиденциальной информации Да  Только в
Dallas Lock 8.0
редакции «С»
Да  Нет Нет Да  Да 
Получение теневой копии напечатанных документов Да  Да  Нет Нет Да  Нет Нет
Маркировка документов при выводе на печать Да  Да  Да  Да  Нет Да  Да
Гибкая настройка произвольного штампа  Да  Да  Да  Да  Нет Нет Да
Поддержка отдельных маркеров для первой и последней страницы,  оборота последнего листа Да  Да (за исключением маркера последней страницы) Да  Нет Нет Нет Да
Возможность сформировать список процессов (приложений), для которых маркировка документов средствами СЗИ выполняться не будет Да  Нет Да  Да  Нет Нет Нет
Дискреционное управление доступом
Разграничение доступа пользователей к каталогам и файлам на локальных дисках на основе матрицы доступа субъектов (пользователей, групп) к объектам доступа Да  Да  Да  Да  Да  Да  Да
Контроль доступа к объектам при локальных обращениях Да  Да  Да  Да  Да  Да  Да
Контроль доступа к объектам при сетевых обращениях Нет Да  Да  Да  Да  Да  Да
Независимость действия от встроенного механизма избирательного разграничения доступа ОС Windows (установленные права доступа к файловым объектам в СЗИ не влияют на аналогичные права доступа в ОС Windows и наоборот) Да  Да  Да  Да  Да  Да  Да (для объектов, присутствующих в настройках СЗИ)
Наличие глобальных политик (установка прав по умолчанию на объекты, доступ к которым не был настроен) Нет Да  Да  Да  Да  Да  Да
Контроль доступа к файлам по расширению Нет Да  Да Нет Да  Да  Нет
Мандатное разграничение доступа
Возможность контроля доступа к файлам и папкам Да  Только в
Dallas Lock 8.0
редакции «С»
Да  Да  Да (к создаваемым файлам) Да  Да
Возможность контроля доступа к устройствам Да  Только в
Dallas Lock 8.0
редакции «С»
Да  Да  Нет Да  Да
Возможность контроля доступа к принтерам Да  Только в
Dallas Lock 8.0
редакции «С»
Да  Нет Нет Да  Да
Возможность контроля доступа к сетевым интерфейсам Да  Только в
Dallas Lock 8.0
редакции «С»
Да  Нет Нет Да  Нет
Возможность контроля доступа к реестру Да  Нет Да  Нет Нет Нет Нет
Контроль потоков конфиденциальной информации Да  Да  Да  Нет Нет Нет Да
Возможность одновременной работы с документами разных грифов в одном сеансе (без смены сеанса пользователя) Да  Только в
Dallas Lock 8.0
редакции «С»
Да  Нет Нет Да (чтение и запись для своего грифа и только чтение для грифов низших уровней) Да
Контроль вывода конфиденциальной информации на внешние носители Да  Да  Да  Нет Нет Да  Да
Гарантированное (необратимое) удаление данных
Затирание данных на локальных дисках и сменных носителях Да  Да  Да  Да  Да  Да  Да 
Настройка количества проходов затирания данных Да  Да  Да  Нет Да  Нет Нет
Автоматическая зачистка удаляемых файлов Да  Да  Да  Да  Да  Да  Да 

 

Дополнительные модули защиты

Параметр сравнения Secret Net Studio Dallas Lock Аккорд-Win64 К Блокхост-Сеть КСЗИ Панцирь+ Diamond ACS Страж NT
Персональный межсетевой экран (МЭ)
Фильтрация на сетевом уровне с независимым принятием решений по каждому пакету Да  Да  Нет Да  Да  Нет Нет
Фильтрация пакетов служебных протоколов (ICMP, IGMP и т. д.), необходимых для диагностики и управления работой сетевых устройств Да  Да  Нет Да  Да  Нет Нет
Фильтрация с учетом входного и выходного сетевого интерфейса для проверки подлинности сетевых адресов Да  Да  Нет Да  Да  Нет Нет
Фильтрация на транспортном уровне запросов на установление виртуальных соединений (TCP-сессий) Да  Да  Нет Нет Разграничиваются права доступа к сетевым объектам для субъекта: пользователь, процесс Нет Нет
Фильтрация на прикладном уровне запросов к прикладным сервисам (фильтрация по символьной последовательности в пакетах) Да  Да  Нет Нет Да  Нет Нет
Фильтрация с учетом полей сетевых пакетов Да  Да  Нет Да  Да  Нет Нет
Наличие самотестирования модуля МЭ Нет Да  Нет Нет Нет Нет Нет
Контент-фильтрация для контроля доступа к веб-сайтам Нет Да  Нет Нет Нет Нет Нет
Оперативная и полная блокировка/разрешение всех пакетов по запросу Да Да  Нет Нет Нет Нет Нет
Выполнение групповых операций над правилами МЭ Нет Да  Нет Да Да  Нет Нет
Возможность отключения сжатия трафика вне зависимости от настроек браузера Нет Да  Нет Нет Нет Нет Нет
Сбор и отображение статистической информации о функционировании МЭ Нет Да  Нет Нет Да  Нет Нет
Возможность разделения сетей на доверенные и недоверенные  Нет Да  Нет Нет Да  Нет Нет
Отображение списка текущих сетевых соединений компьютера Нет Да  Нет Нет Да  Нет Нет
Возможность создания нескольких конфигураций настроек МЭ и оперативное переключение между ними Да Да  Нет Да  Нет Нет Нет
Средство обнаружения вторжений уровня хоста (СОВ)
Наличие «тихого» режима работы — маскирование датчиков СОВ Нет Да Нет Нет Нет Нет Нет
Возможность выполнения контроля целостности базы решающих правил СОВ Да Да Нет Нет Нет Нет Нет
Запуск процессов в безопасной среде (песочница) Нет Нет (ожидается в 1Q2019) Нет Нет Нет Нет Нет
Редактируемый уровень тревожности  Нет Да Нет Нет Нет Нет Нет
Возможность использования сигнатурных методов для анализа сетевого трафика Да Да Нет Нет Нет Нет Нет
Возможность использования эвристических методов для анализа сетевого трафика Да Да Нет Нет Нет Нет Нет
Блокирование атак и обнаружение попыток сканирования портов Да Да Нет Нет Нет Нет Нет
Возможность обновления сигнатур сетевых атак и сигнатур анализа журналов ОС и приложений Да Да Нет Нет Нет Нет Нет
Средство антивирусной защиты (САВЗ)
Обнаружение компьютерных вирусов сигнатурным  методом Да Нет Нет Нет Нет Нет Нет
Обнаружение компьютерных вирусов эвристическим методом Нет Нет Нет Нет Нет Нет Нет
Контекстное сканирование Да Нет Нет Нет Нет Нет Нет
Сканирование по расписанию Да Нет Нет Нет Нет Нет Нет
Автоматическая проверка съемных носителей при их подключении к компьютеру Да Нет Нет Нет Нет Нет Нет
Создание списка исключений (файлы, которые исключаются из проверки) Да Нет Нет Нет Нет Нет Нет
Возможность выбора реакции на обнаруженные вредоносные программы Да Нет Нет Нет Нет Нет Нет
Автоматическое обновление базы  Да Нет Нет Нет Нет Нет Нет
Ручное обновление базы Да Нет Нет Нет Нет Нет Нет
Отказоустойчивость и восстановление после сбоев
Встроенные механизмы репликации Нет Да Нет Нет Да Нет Нет
Синхронизация времени между сервером и клиентом Да Да Нет Нет Предотвращается  возможность изменения времени на защищаемых компьютерах Нет Нет
Восстановления после сбоев и отказов  Да Да Да Нет Да Да  Да
Тестирование работы механизма восстановления Нет Да Нет Нет Нет Нет Нет

 

Централизованное управление и отчетность

Параметр сравнения Secret Net Studio Dallas Lock Аккорд-Win64 К Блокхост-Сеть КСЗИ Панцирь+ Diamond ACS Страж NT
Управление и мониторинг СЗИ
Возможность локального управления СЗИ Да  Да Да  Да Да  Да (для автнономной версии) Да
Локальное оповещение пользователя о событиях НСД Да  Да Да  Да Да  Нет Да
Возможность удаленного администрирования средствами клиентской части Нет Да Нет Да Да  Нет Да
Централизованное управление СЗИ Да  Да При интеграции с СУЦУ СЗИ от НСД Да Да  Да  Да
Управление пользователями с Active Directory Да  Нет (ожидается в 1Q2019) Нет Да Да  Да  Да
Возможность управления политиками на уровне организационных подразделений (OU) AD Да  Нет Нет Да Нет Да  Нет
Экспорт/импорт типовых настроек для ускорения развертывания Да  Да  Да  Да Да  Нет Да
Использование групповых политик для пользоваелей Да  Да  Да  Да Да  Да  Нет
Использование групповых политик для АРМ и серверов Да  Да  При интеграции с СУЦУ СЗИ от НСД Да Нет Да  Нет
Удаленный контроль состояния АРМ и серверов Да  Да  При интеграции с СУЦУ СЗИ от НСД Да Да  Да  Да
Оперативное получение событий НСД Да  Да  При интеграции с СУЦУ СЗИ от НСД Да Да  Да  Нет
Разделение событий НСД на просмотренные и новые (квитирование событий) Да  Да  Нет Нет Да  Нет Нет
Возможность автоматического оповещения о событии НСД по электронной почте Да  Да  Нет Нет Нет Да  Нет
Инвентаризация ПО, установленного на рабочей станции Да  Нет (ожидается в 1Q2019) Только при интеграции с модулем «Паспорт ПО» Нет Нет Нет Нет
Создание паспорта АРМ и серверов Да  Нет (ожидается в 1Q2019) Только при интеграции с модулем «Паспорт ПО» Нет Нет Нет Нет
Получение отчета по всем настройкам СЗИ на АРМ и серверах Да  Да  При интеграции с СУЦУ СЗИ от НСД Да Нет Нет Нет
Удаленное управление электронными идентификаторами Да  Да  Нет Да Да  Да  Нет
Возможность развертывания стороннего ПО через консоль СЗИ Нет Нет Нет Нет Да  Нет Нет
Возможность интеграции компьютеров, работающих под управлением ОС GNU/Linux, в общую инфраструктуру управления и мониторинга Да  Да  Нет Нет Нет Да  Нет
Регистрация и учет событий
Группировка записей журнала (полностью совпадающие записи (за исключением времени) группируются в одну запись) Да  Да  Нет Да Да  Да  Да
Настройка функции группировки журнала (определение списка полей, учитываемых при группировке) Да  Да  Да  Да Да  Нет Да
Централизованный сбор журналов СЗИ с АРМ и серверов собственными механизмами Да  Да  При интеграции с СУЦУ СЗИ от НСД Да Да  Да  Нет
Автоматическое архивирование журналов Да  Да  Да  Да Нет Да  Да
Возможность формирования произвольных выборок по журналам Да  Да  Да  Да Да  Нет Да
Возможность фильтрации информации при просмотре журналов Да  Да  Да  Да Да  Нет Да
Возможность поиска информации при просмотре журналов Да  Да  Да  Да Да  Нет Да
Работа с архивами журналов без необходимости их восстановления (загрузки) в СУБД Да  Да  Да  Да Нет Да  Да

 

Возможности интеграции

Параметр сравнения Secret Net Studio Dallas Lock «Аккорд-Win64 К» Блокхост-Сеть КСЗИ «Панцирь+» Diamond ACS Страж NT
Интеграция с каталогами пользователей Active Directory Да Да Да Да Да  Да  Да
Интеграция с сервером ЦУ СЗИ (для автономных СЗИ от НСД) Нет Да  Да (интеграция с СУЦУ СЗИ от НСД) Нет Да  Нет Нет
Возможность интеграции с антивирусными системами (журналами антивирусной активности) Нет Да (через системный журнал ОС Windows) Нет Нет Нет Нет Нет
Интеграция со средствами доверенной загрузки Да (ПАК «Соболь») Да (СДЗ Dallas Lock) Да (ПАК «Аккорд-АМДЗ», ПАК «ИНАФ») Да (АПКДЗ «Блокхост-АМДЗ») Нет Да (Diamond ACS HW) Нет
Интеграция с SIEM из коробки Нет MaxPatrol SIEM, Комрад SIEM 2.0, RuSIEM 5.6.4+ Нет Нет Нет Да, Комрад Нет
Интеграция с другими системами ИБ  Нет Сканер-ВС 5.0+ (компонент "Инспектор" 2.7+) Нет Нет Нет Нет Нет
Наличие открытого API для интеграции с другими системами Да Нет Нет Да Нет Нет Да

 

Лицензирование

Параметр сравнения Secret Net Studio Dallas Lock Аккорд-Win64 К Блокхост-Сеть КСЗИ Панцирь+ Diamond ACS Страж NT
Описание политики лицензирования По числу защищаемых компьютеров/по защитным модулям    По числу защищаемых компьютеров/по защитным модулям    По числу защищаемых компьютеров По числу рабочих мест. Лицензия на использование сервера управления приобретается отдельно По числу рабочих мест. Лицензия на использование сервера управления приобретается отдельно По числу рабочих мест. Лицензия на использование сервера управления приобретается отдельно По числу рабочих мест и серверов
Калькулятор цен Есть Есть (требует регистрации) Закрытый прайс-лист Есть (требует регистрации) Нет Закрытый прайс-лист Есть
Совокупная стоимость бессрочных лицензий (15 клиентов без модуля централизованного управления) 118 775 руб. (Модули Защита от НСД + Контроль устройств, Базовая техподдержка, Установочный комплект СЗИ) 103500 руб. Закрытый прайс-лист 90 525 руб. (Полная защита, вкл. персональный МЭ, и гарантийная техподдержка на 1 год) 90 000 руб. Закрытый прайс-лист 103500 руб.
Совокупная стоимость бессрочных лицензий (100 клиентов + модуль централизованного управления) 710 275 руб. (Модули Защита от НСД + Контроль устройств, Базовая техподдержка, Установочный комплект СЗИ) 680000 руб. Закрытый прайс-лист 457 000 руб. (Иерархия серверов управления, полная защита, вкл. персональный МЭ, и гарантийная техподдержка на 1 год) 555 000 руб. Закрытый прайс-лист 590000 руб.
Совокупная стоимость бессрочных лицензий (500 клиентов + модуль централизованного управления)

2 975 275 руб. (Модули Защита от НСД + Контроль устройств, Базовая техподдержка, Установочный комплект СЗИ)

2200000 руб. Закрытый прайс-лист По запросу По запросу Закрытый прайс-лист 2750000 руб.
Ценовая политика техподдержки (платная,бесплатная) Платная (бесплатная на 1-й год использования (базовая), далее — платная, в зависимости от поставки) Платная (бесплатная на гарантийный период 1 или 3 года в зависимости от поставки) Закрытый прайс-лист Платная (бесплатная на гарантийный период 1 год или в соответствиями с условиями поставки) 1 год бесплатная, последующие — платная Закрытый прайс-лист Бесплатная

 

Выводы

Все производители перечисленных выше СЗИ от НСД активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведенном сравнении СЗИ от НСД мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какое из СЗИ от НСД наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.

Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

Светлана Конявская, заместитель генерального директора, ОКБ САПР

Сергей Левчик, генеральный директор, «Рубинтех»

Сергей Овчинников, директор по маркетингу, «Конфидент»

Татьяна Петрук, руководитель группы бизнес-анализа, «Конфидент»

Андрей Щеглов, генеральный директор, НПП «ИТБ»

Коростелев Павел, руководитель отдела продвижения продуктов, «Код Безопасности»

Григорий Аблогин, менеджер службы маркетинга, «Газинформсервис»

Евгений Медведев, менеджер по маркетингу и PR, ТСС

Полезные ссылки: