|
дискреционный - обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списками пользователей (групп) и их правами доступа. В соответствии с содержимым списка вычисляются права на доступ к объекту для каждого пользователя (открытие, запись, чтение, удаление, переименование, запуск, копирование);
мандатный - каждому пользователю присваивается уровень доступа и некоторым объектам файловой системы тоже присваивается уровень доступа (по умолчанию, все объекты имеют уровень доступа «открытые данные», но он может быть поднят до любого уровня из 50-ти доступных). Пользователь будет иметь доступ к объектам, уровень доступа которых не превышает его собственный.
- В СЗИ реализована система контроля целостности параметров компьютера. Она обеспечивает:
контроль целостности программно-аппаратной среды компьютера;
контроль целостности файлов и папок при загрузке компьютера;
контроль целостности файлов при доступе;
контроль целостности ресурсов ФС по расписанию;
периодический контроль целостности ФС через заданные интервалы времени;
блокировку загрузки компьютера при выявлении изменений;
блокировку запуска программ при выявлении изменений.
- Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.
- СЗИ «Dallas Lock 7.7» включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
очищать освобождаемую память;
очищать файл подкачки виртуальной памяти;
очищать освобождаемое дисковое пространство;
очищать определенные папки при выходе пользователя из системы;
принудительно зачищать определённые файлы и папки, используя соответствующий пункт в контекстном меню проводника (windows explorer).
- В СЗИ реализовано ведение 6 электронных журналов, в которых фиксируются действия пользователей это:
журнал входов. В журнал заносятся все входы (или попытки входов с указанием причины отказа) и выходы пользователей ПЭВМ, включая как локальные, так и сетевые, в том числе терминальные входы и входы для удаленного администрирования;
журнал доступа к ресурсам. В журнал заносятся обращения к объектам файловой системы, для которых назначен аудит. Можно гибко настраивать для каждого объекта, какие события нужно заносить в журнал, а какие нет;
журнал запуска процессов. В журнал заносятся события запуска и завершения процессов;
журнал управления политиками безопасности. В журнал заносятся все события связанные с изменением конфигурации СЗИ. Так же в этот журнал заносятся события запуска/завершения модулей администрирования и события запуска/завершения работы "Dallas Lock";
журнал управления учетными записями. В журнал заносятся все события связанные с созданием или удалением пользователей, изменением их параметров;
журнал печати. В журнал заносятся все события, связанные с распечаткой документов на локальных или сетевых принтерах.
- Для облегчения работы с журналами есть возможность фильтрации записей по определенному признаку и экспортирования журналов в различные форматы. При переполнении журнала, его содержимое автоматически компрессируется и помещается в специальную папку, доступ к которой есть, в том числе, и через средства удалённого администрирования. Этим обеспечивается непрерывность ведения журналов.
- Подсистема перехвата событий печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп. Формат и поля штампа могут гибко настраиваться.
- Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход СЗИ, предусмотрена функция преобразования в «прозрачном» режиме. Данные могут преобразовываться с использованием одного из двух алгоритмов: XOR32 или ГОСТ 28147-89. Информация преобразуется при записи и декодируется при чтении с носителя. При работе процесс преобразования незаметен для пользователя. Возможен выбор дисков, которые будут преобразованы и размеры преобразуемых областей. После того как диск преобразован, получить доступ к информации, хранящейся на нем, без знания пароля для входа в СЗИ невозможно. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск будет подключен к другому компьютеру.
- Для защиты данных при хранении их на внешних носителях либо при передаче по различным каналам связи есть возможность преобразования данных в файл-контейнер. В качестве ключа преобразования используется пароль и при необходимости, аппаратный идентификатор. «Распаковать» такой контейнер можно на любом компьютере с «Dallas Lock 7.7» с использованием пароля и аппаратного идентификатора, используемых при преобразовании. Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера, например, сертифицированного «КриптоПро».
- Для предотвращения утечки информации через сменные накопители (такие как USB-Flash Drive, дискета, внешний жёсткий диск) система позволяет разграничивать доступ как к отдельным типам накопителей, так и к конкретным устройствам. Кроме того, система позволяет управлять доступом к последовательным (COM) и параллельным (LPT) портам компьютера.
- Система позволяет настраивать замкнутую программную среду (режим, в котором пользователь может запускать только программы, определенные администратором).
- Возможна установка СЗИ на портативные компьютеры (ноутбуки).
- Возможна установка СЗИ на компьютеры, работающие в составе домена (как на клиентские ПК, так и на контроллер домена).
- Возможна установка на сервере терминального доступа.
- Система позволяет просматривать экранные снимки удаленного компьютера. Для осуществления этого пользователь должен обладать особыми правами. Снимки могут быть сохранены в файлы и просмотрены в дальнейшем.
- При использовании нескольких СЗИ в ЛВС, возможно удалённое администрирование. Средствами удалённого администрирования возможно изменение политик безопасности, создание и удаление пользователей, назначение прав доступа к объектам файловой системы, просмотр журналов и управление аудитом. Процесс удалённого администрирования визуально не отличается от локального администрирования.
- При использовании нескольких СЗИ в ЛВС, возможно централизованное управление ими. Это осуществляется с использованием специального модуля - Сервер безопасности. Этот модуль должен быть установлен на отдельный компьютер, защищенный СЗИ «Dallas Lock 7.7». Остальные компьютеры, введённые под контроль данного Сервера безопасности, станут его клиентами и образуют домен безопасности. С Сервера безопасности станет возможным централизованное управление политиками безопасности, просмотр состояния, автоматический сбор журналов, создание/удаление/редактирование параметров пользователей и другие операции по настройке и управлению клиентами. Так же, Сервер безопасности позволяет производить удалённую установку СЗИ «Dallas Lock 7.7» на другие компьютеры в ЛВС. Кроме того, с помощью модуля Менеджер серверов безопасности есть возможность объединить несколько Cерверов безопасности в Лес безопасности (ЛБ).
- «Dallas Lock 7.7» содержит подсистему самодиагностики основного функционала СЗИ.
- Для удобства администрирования системы, возможно задание списка расширений файлов, работа с которыми будет блокирована. Это позволит, к примеру, запретить сотрудникам работу с файлами, не имеющими отношения к их профессиональным обязанностями (mp3, avi и т.д.)
- Для проверки соответствия настроек СЗИ есть возможность создания отчетов по назначенным правам на объекты файловой системы. В данном отчете будут описаны все ресурсы, на которые назначены права «Dallas Lock» с учетом наследования прав. Данный отчет может быть создан по завершению настройки СЗИ и, в последствии, результаты этого отчета могут быть сверены с текущими настройками СЗИ в любой момент, путем сверки сохраненной версии отчета и создания отчета в момент проведения проверки.
- Предусматривается ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности.
- Для увеличения степени защищённости возможно назначение дополнительных паролей на выполнение операций по администрированию СЗИ. Все операции разделены на несколько групп (управление пользователями, управление политиками, управление доступом, и т.д.) и для каждой группы возможно назначение своего индивидуального пароля. Запрос пароля будет производиться непосредственно перед выполнением операции. Возможно задание временного интервала, в течение которого один и тот же пароль не будет запрашиваться повторно.
- При необходимости переноса настроек «Dallas Lock 7.7» (политики, пользователи, группы, права доступа к ресурсам ФС и т.д.) на другие компьютеры, либо для сохранения настроек при переустановке системы, существует возможность создания файла конфигурации, который будет содержать выбранные администратором параметры. Файлы конфигурации могут быть применены либо в процессе установки СЗИ, либо на уже защищенную ПЭВМ.
- Для облегчения настройки таких возможностей, как «Замкнутая программная среда» и «Мандатный доступ», существует:
|
|
