Система защиты информации «Dallas Lock»

Система «Dallas lock» предназначена для предупреждения и предотвращения несанкционированного доступа к ресурсам компьютера и разграничения полномочий пользователей.
Последнии версии СЗИ Dallas Lock (Dallas Lock 7.0 и 7.5) могут быть установлены на любом IBM-совместимом компьютере, работающим под управлением операционной системы Windows 2000 (SP4 и выше), Windows XP (SP2) и Windows 2003 Server (SP1 и выше). Обе версии имеют сертификаты соответствия Гостехкомиссией России по третьему классу защищенности от НСД (Dallas Lock 7.0 — Сертификат Соответствия №896, выдан 6 мая 2004г., действителен до 6 мая 2007г., продлен до 11 мая 2010г.; Dallas Lock 7.5 — Сертификат Соответствия №1685, выдан 18 сентября 2008г, действителен до 18 сентября 2011г.).

В комплект поставки Dallas Lock входит набор адаптеров и считывателей (по количеству защищаемых компьютеров), набор идентификаторов (по количеству пользователей), набор дисков с программным обеспечением, активационный USB-ключ для активации программного обеспечения (в другом случае активация проводится по телефону) и комплект документации.

СЗИ Dallas Lock обеспечивает следующие возможности:

Запрет доступа посторонних лиц к ресурсам компьютера и разграничение полномочий пользователей при работе на компьютере
Средством аутентификации пользователей являются электронные идентификаторы Touch Memory или карты Proximity, благодаря чему реализован высокий уровень защиты (число уникальных 48-битовых ключей составляет более 280 триллионов)
Запрос идентификатора при входе на рабочую станцию инициируется до загрузки операционной системы, после чего происходит загрузка ОС с жёсткого диска при предъявления зарегистрированного идентификатора и ввода личного пароля, исключая таким образом возможность загрузки с внешних носителей
Число зарегистрированных пользователей на каждом защищенном компьютере ограничивается только размером свободного дискового пространства, акт же существует возможность регистрации одного пользователя на нескольких ПЭВМ с разными правами и полномочиями

Система Dallas Lock 7.5 предоставляет следующие возможности:

1. Система запрещает посторонними лицам доступ к ресурсам ПЭВМ и позволяет разграничить права пользователей при работе на компьютере (примечание: постороннее лицо, в данном контексте – человек, не имеющий своей учётной записи на данном компьютере). Разграничения касаются прав доступа к объектам файловой системы, а именно дисков, папок и файлов под FAT и NTFS. Так же разграничения действуют на доступ к сети, сменным накопителям, аппаратным ресурсам компьютера и права пользователей по настройке и администрированию СЗИ. Для облегчения администрирования возможно объединение пользователей в группы. Контролируются права доступа для локальных, сетевых и терминальных пользователей.

2. В качестве средства опознавания пользователей служат индивидуальные пароли пользователей и электронные идентификаторы Touch Memory (iButton), либо eToken от фирмы “Aladdin Knowledge Systems”. Аппаратная идентификация не является обязательной.

3. Запрос пароля и аппаратных идентификаторов при входе на ПЭВМ инициируется до загрузки операционной системы. Загрузка операционной системы с жесткого диска осуществляется только после ввода личного пароля, предъявления аппаратных идентификаторов и их проверки в СЗИ.

4. Для решения проблемы «простых паролей» система имеет гибкие настройки сложности паролей. Можно задать минимальную длину пароля, необходимость обязательного наличия в пароле цифр, спец. символов, строчных и прописных букв, степень отличия нового пароля от старого.

5. Возможно ограничение доступа пользователей к ПЭВМ по дате и времени. При этом можно назначить дату начала и окончания работы и, соответственно, время начала и окончания работы с точностью до минуты для каждого дня в неделе. Проверка допустимости даты и времени для локального пользователя также происходит до начала загрузки ОС. В случае если у пользователя заканчивается допустимое время работы, за 5 минут до окончания выдается предупреждение, а после происходит автоматическое завершение сеанса работы. Для того, что бы такие ограничения были эффективны изменять текущие дату и время могут только пользователи, у которых есть соответствующие права.

6. Возможна блокировка клавиатуры на время загрузки компьютера. Это позволяет избежать выбора альтернативных вариантов загрузки ОС (“Safe Mode” и т.д.).

7. Возможно ограничение круга доступных для пользователя объектов файловой системы (дисков, папок и файлов под FAT и NTFS). Применяется полностью независимый от ОС механизм.
Используются два принципа контроля доступа:

дискреционный - обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списками пользователей (групп) и их правами доступа. В соответствии с содержимым списка вычисляются права на доступ к объекту для каждого пользователя (открытие, запись, чтение, удаление, переименование, запуск, копирование).
мандатный - каждому пользователю присваивается уровень доступа (открытий, конфиденциальный, строго конфиденциальный) и некоторым объектам файловой системы тоже присваивается уровень доступа (По-умолчанию, все объекты имеют уровень доступа «открытые данные», но он может быть поднят до конфиденциального или строго конфиденциального). Пользователь будет иметь доступ к объектам, уровень доступа которых не превышает его собственный.

8. В СЗИ реализована система контроля целостности параметров компьютера. Она обеспечивает:

контроль целостности BIOS
контроль целостности Boot сектора
контроль целостности CMOS-памяти компьютера
контроль целостности MBR
контроль целостности файлов и папок при загрузке компьютера
контроль целостности файлов при доступе
блокировку загрузки компьютера при выявлении изменений
блокировку запуска программ при выявлении изменений

Для контроля целостности используются цифровые подписи, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.

9. СЗИ Dallas Lock 7.5 включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
Подсистема позволяет:

очищать освобождаемую память
очищать файл подкачки виртуальной памяти
очищать освобождаемое дисковое пространство (эта возможность работает не только при удалении файлов, но и при их перемещении или уменьшении (происходит «затирка» освобождаемой части)
очищать определенные папки при выходе пользователя из системы
принудительно зачищать определённые файлы и папки, используя соответствующий пункт в контекстном меню проводника (windows explorer)

10. В СЗИ реализовано ведение 5 электронных журналов, в которых фиксируются действия пользователей:

Журнал входов. В журнал заносятся все входы (или попытки входов с указанием причины отказа) и выходы пользователей ПЭВМ, включая как локальные, так и сетевые, в том числе, терминальные входы и входы для удаленного администрирования
Журнал доступа к ресурсам. В журнал заносятся обращения к объектам файловой системы, для которых назначен аудит. Можно гибко настраивать для каждого объекта, какие события нужно заносить в журнал, а какие нет
Журнал управления политиками безопасности. В журнал заносятся все события связанные с изменением конфигурации СЗИ
Журнал управления учетными записями. В журнал заносятся все события связанные с созданием или удалением пользователей, изменением их параметров
Журнал печати. В журнал заносятся все события, связанные с распечаткой документов на локальных или сетевых принтерах

Для облегчения работы с журналами есть возможность фильтрации записей по определенному признаку и экспортирования журналов в формат EXCEL. При переполнении журнала, его содержимое автоматически компрессируется и помещается в специальную папку, доступ к которой есть, в том числе, и через средства удалённого администрирования. Этим обеспечивается непрерывность ведения журналов.

11. Подсистема перехвата событий печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп. Формат и поля штампа могут гибко настраиваться.

12. Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход СЗИ, предусмотрена функция преобразования в «прозрачном» режиме. Данные могут преобразовываться с использованием нескольких алгоритмов - по выбору пользователя (на данный момент реализованы алгоритмы XOR32 и ГОСТ 28147-89). Информация преобразуется при записи и декодируется при чтении с носителя. При работе процесс преобразования незаметен для пользователя. Возможен выбор дисков, которые будут преобразованы и размеры преобразуемых областей. После того, как диск преобразован, получить доступ к информации, хранящейся на нем, без знания пароля для входа в СЗИ невозможно. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск будет подключен к другому компьютеру.

13. Для дополнительной защиты важных данных в отдельных файлах и папках есть возможность их преобразовать. В качестве ключа преобразования используется пароль и, по желанию, аппаратный идентификатор. Преобразованные данные хранятся в файле-контейнере, который может быть безопасно передан по незащищенным сетевым каналам, электронной почте, с помощью сменного накопителя. Для восстановления этих данных будет необходим пароль и аппаратный идентификатор, используемый при преобразовании.

14. Предотвращение утечки информации через периферийные устройства обеспечивается путем управления доступом к последовательным (COM) и параллельным (LPT) портам компьютера и сменным носителям (дисковод, CD-ROM, USB-накопителям).

15. Система позволяет настраивать замкнутую программную среду (режим, в котором пользователь может запускать только программы, определенные администратором).

16. Возможна установка СЗИ на портативные компьютеры (ноутбуки).

17. Возможна установка СЗИ на компьютеры, работающие в составе домена (как на клиентские ПК, так и на контроллер домена).

18. Возможна установка на сервере терминального доступа.

19. Система позволяет просматривать экранные снимки удаленного компьютера. Для осуществления этого пользователь должен обладать особыми правами. Снимки могут быть сохранены в файлы и просмотрены в дальнейшем.

20. При использовании нескольких СЗИ в ЛВС, возможно удалённое администрирование. Средствами удалённого администрирования возможно изменение политик безопасности, создание и удаление пользователей, назначение прав доступа к объектам файловой системы, просмотр журналов и управление аудитом. Процесс удалённого администрирования визуально не отличается от локального администрирования.

21. При использовании нескольких СЗИ в ЛВС, возможно централизованное управление ими. Это осуществляется с использованием специального модуля «Сервер безопасности». Этот модуль должен быть установлен на отдельный компьютер, защищенный СЗИ Dallas Lock 7.5. Этот компьютер станет выделенным рабочим местом администратора безопасности ЛВС. Остальные компьютеры, введённые под контроль данного сервера безопасности, станут его клиентами и образуют домен безопасности. С сервера безопасности станет возможным централизованное управление политиками безопасности, просмотр состояния, автоматический сбор журналов, создание/удаление/редактирование параметров пользователей и другие операции по настройке и управлению клиентами. Кроме того, с помощью модуля «Менеджер серверов безопасности» есть возможность объединить несколько серверов безопасности в лес безопасности (ЛБ).

Отличительной особенностью системы Dallas Lock 7.5 является возможность гибкого управления набором защитных средств системы. Пользователь, имеющий право администрирования, может активизировать на компьютере различные комбинации защитных механизмов системы, выбирая из них только необходимые и устанавливая соответствующие режимы их работы. Так же Dallas Lock 7.5 отличается удобным и современным интерфейсом и высокой надёжностью.

Более подробную информацию Вы сможете получить на сайте компании "Конфидент"