Zbackup - Система защиты информации при резервном копировании
В процессе разработки и внедрения концепции информационной безопасности предприятия проблеме защиты резервных копий довольно часто уделяется недостаточно внимания.
Описание продукта
В настоящее время многие компании используют системы защиты информации на серверах, которые позволяют хранить данные на жестких дисках в зашифрованном виде. Однако очевидно, что нет никакого смысла устанавливать систему защиты на корпоративный сервер, если лента с резервной копией всей информации с этого сервера находится в том же помещении, и доступ к ней никак не ограничен. Злоумышленник, получив доступ к этому носителю, беспрепятственно сможет восстановить информацию, несмотря на то, что эта информация на сервере надежно защищена.
Кроме этого, в программе восстановления после бедствий (disaster recovery) часто прибегают к услугам специальных депозитариев, занимающихся хранением резервных копий информации. То есть, лента с образом информации на сервере хранится не в серверной комнате предприятия, а передается на хранение в депозитарий. Это обеспечивает возможность восстановления информации в случае, например, пожара в серверной комнате и согласуется с практикой хранения резервных копий информации отдельно от ее основного места хранения и обработки.
Во всех этих случаях для гарантии того, что к резервным копиям информации не получит доступ посторонний человек, требуется шифрование информации, записываемой на магнитную ленту.
Такая функциональность обеспечивается системой защиты информации при резервном копировании Zbackup.
Система Zbackup автоматически, в online режиме, зашифровывает данные при их записи на ленту и расшифровывает при чтении с нее. Это позволяет обеспечить невозможность доступа к данным посторонним лицам, не имеющим ключа шифрования.
Ключи шифрования хранятся на смарткарте, защищенной PIN-кодом. Не зная PIN-кода, воспользоваться смарт-картой невозможно. Три попытки неправильного ввода PIN-кода заблокируют карту. Система Zbackup предоставляет возможность удаленного ввода ключей шифрования и администрирования системы с любой рабочей станции локальной сети, или через Интернет, при этом возможность перехвата ключа исключается посредством шифрования сетевого трафика.
Технические характеристики системы Zbackup
- Использование для шифрования данных криптостойких алгоритмов шифрования с длиной ключа от 128 бит;
- Возможность подключения сертифицированного ФАПСИ криптографического модуля "Криптон" производства фирмы "Анкад", или платы "Криптон", реализующих алгоритм шифрования ГОСТ 28147-89 с длиной ключа 256 бит;
- Формирование уникальных ключей шифрования на основе последовательности случайных чисел;
- Возможность подачи сигнала "тревога";
- Интеграция с системой защиты информации Zserver, использование единого интерфейса управления;
- Совместимость со всеми типами стримеров, в том числе с ленточными библиотеками; Совместимость с любым программным обеспечением резервного копирования: BrightStor ARCserve, Veritas Backup Exec и т.д.
Поддерживаемые операционные системы
Microsoft Windows 2000 / 2003
Novell NetWare 5.x / 6.x
Система Zbackup - технические подробности
Zbackup – система защиты информации на стримерах. Система Zbackup ориентирована на средние и крупные компании, использующие для резервного копирования накопители на магнитных лентах. Система Zbackup автоматически, в on-line режиме, зашифровывает данные при их сохранении на ленту и расшифровывает при восстановлении. Это обеспечивает невозможность доступа к данным на ленте посторонним лицам, не имеющим ключа шифрования.
Описание системы
Zbackup не является системой резервного копирования, система Zbackup лишь обеспечивает защиту данных на магнитных лентах, которые записываются в процессе штатной работы ПО резервного копирования, такого как BrightStor™ ARCserve® Backup или Veritas Backup на серверах, причем таких компонент ПО резервного копирования, которые непосредственно взаимодействуют с устройствами резервного копирования. То есть, Zbackup устанавливается на сервера, где работают сервисы поддержки ленты (Tape Engine Service), на рабочие станции с программами - агентами резервеного копирования установка не требуется.
После установки Zbackup в работе программ резервного копирования ничего не меняется, но данные, содержащиеся на зашифрованных лентах, становятся недоступными для простого считывания любыми программами, поскольку лента не содержит открытых данных, данные всегда находятся на ленте в зашифрованном виде, расшифровываются при чтении и зашифровываются при записи.
Шифрование производится на уровне физических секторов, при форматировании лент и записи на них непосредственно самим ПО резервного копирования. Для запуска шифрования достаточно загрузить в систему ключ шифрования и связать его с устройством резервного копирования (стримером). Все эти действия выполняются с помощью программы Zserver Administrator, которая позволяет загружать ключ и активировать шифрование стримера, не только на локальной машине, но и с удаленной консоли (по сети TCP/IP).
Шифрование выполняется специальным системным модулем (драйвером ядра). Ключ шифрования хранится в оперативной памяти и никогда не выгружается на диск.
При попытке чтения зашифрованных лент в программах резервного копирования без ввода соответствующих ключей шифрования, такие ленты будут распознаваться как ленты неизвестного формата или пустые.
Система Zbackup, поддерживает обработку сигнала "Тревога". Сигнал "Тревога" - это событие, после которого все ключи шифрования стираются из памяти, а устройства резервного копирования становятся недоступными до полной перезагрузки сервера, на котором установлен Zbackup. Если на этом же сервере установлен Zserver, то все открытые защищенные диски также блокируются по тому же самому сигналу тревоги.
Для подачи сигнала "тревога" могут использоваться различные устройства - "красные кнопки", радио-брелки , датчики и устройства контроля доступа в помещение. Данный сигнал также может быть подан программным образом.
Интеграция
Система Zbackup очень тесно интегрирована с другим продуктом компании SecurIT – системой Zserver, обеспечивающей защиту информации , хранимой на разделах жесткого или съемного диска сервера . В частности, все администрирование этих систем осуществляется с помощью общей интегрированной консоли Zserver Administrator. Средства подачи сигнала "Тревога" также являются общими для этих систем. Но это не значит, что для установки Zbackup на сервер обязательно требуется установка также и Zserver, эти системы могут работать как по отдельности, так и совместно.
Криптосредства, аппаратные средства хранения ключей шифрования
Система Zbackup, как и Zserver, не содержит встроенных криптосредств, но позволяет подключать внешние. Вся работа с алгоритмами шифрования осуществляется специальным компонентом – криптоядром, которое обеспечивает открытый интерфейс для подключения криптоалгоритмов.
На данный момент криптоядро поддерживает следующие алгоритмы шифрования:
- Внутренний алгоритм с длиной ключа 128 бит (RC5);
- Программный эмулятор платы "Криптон" производства фирмы "Анкад";
- Аппаратная плата шифрования "Криптон" производства фирмы "Анкад", реализующая алгоритм шифрования ГОСТ 2814789 с длиной ключа 256 бит;
Генерация ключей шифрования производится на основе последовательности случайных чисел, которая вырабатывается путем считывания большого объема информации о движении «мыши» пользователем, генерирующим ключ. Ключи шифрования хранятся на микропроцессорных смарт-картах, защищенных PIN-кодом, при повторном трехкратном вводе неправильного PIN-кода смарт-карта блокируется и доступ к ней становится невозможен.
Совместимость
Система Zbackup реализована сразу под двумя семействами операционных систем – Windows 2000/2003 и Novell NetWare 5.x/6.x.
Zbackup совместима со всеми традиционными устройствами резервного копирования на ленту, в том числе с ленточными библиотеками, и с наиболее распространенным программным обеспечением резервного копирования – BrightStor ARCserve, Veritas Backup Exec и т.д.