Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
Dallas Lock: различия между версиями
Перейти к навигации
Перейти к поиску
Wikiadmin (обсуждение | вклад) (→Версии) |
Wikiadmin (обсуждение | вклад) |
||
| Строка 31: | Строка 31: | ||
*USB-ключи Рутокен, | *USB-ключи Рутокен, | ||
*USB-ключи и смарт-карты JaCarta. | *USB-ключи и смарт-карты JaCarta. | ||
| + | |||
| + | ==Возможности== | ||
| + | *СЗИ Dallas Lock запрещает посторонним лицам доступ к ресурсам ПК и позволяет разграничить права зарегистрированных в СЗИ пользователей при работе на компьютере. *Разграничения касаются прав доступа к объектам файловой системы (дискам, папкам и файлам под файловой системой FAT или NTFS) и подключаемым устройствам. Для облегчения администрирования возможно объединение пользователей в группы. | ||
| + | *Для решения проблемы «простых паролей» СЗИ имеет гибкие настройки сложности паролей. Кроме того, в последних версиях системы имеется механизм генерации паролей, соответствующих всем установленным параметрам сложности. | ||
| + | *В СЗИ имеется возможность ограничения доступа пользователей к ПК по дате и времени. | ||
| + | *Используются два принципа контроля доступа к объектам файловой системы и подключаемым устройствам: | ||
| + | дискреционный,мандатный (начиная с версии 8.0 — только для редакции «С»). | ||
| + | *СЗИ позволяет настраивать замкнутую программную среду — режим, в котором пользователь может запускать только программы, определенные администратором. | ||
| + | *Для облегчения настройки замкнутой программной среды и мандатного доступа существуют механизмы: | ||
| + | **«мягкий режим» — режим, в котором, при обращении к ресурсу, доступ к которому запрещён, доступ всё равно разрешается, но в журнал событий заносится сообщение об ошибке; | ||
| + | **«режим обучения» — режим, в котором при обращении к ресурсу, доступ к которому запрещён, на этот ресурс автоматически назначаются выбранные администратором права; | ||
| + | **«неактивный режим» — режим, в котором возможно полное отключение подсистем СЗИ. | ||
| + | *В СЗИ Dallas Lock реализована подсистема контроля целостности параметров компьютера, которая обеспечивает контроль целостности файловой системы, программно-аппаратной среды и реестра при загрузке компьютера, по расписанию, через заданные интервалы времени, а также блокировку загрузки компьютера при выявлении изменений. Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94. | ||
| + | *СЗИ Dallas Lock включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных. | ||
| + | *В СЗИ реализовано ведение 6 электронных журналов регистрации событий, в которых фиксируются действия пользователей. Для облегчения работы с журналами есть возможность фильтрации и экспорта записей. | ||
| + | *Подсистема печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп, разграничивать доступ к печати и сохранять теневые копии документов, отправляемых на печать. | ||
| + | *Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход Dallas Lock, предусмотрена функция преобразования в «прозрачном» режиме. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск подключен к другому компьютеру. | ||
| + | *Для защиты данных при хранении их на внешних носителях либо при передаче по различным каналам связи есть возможность преобразования данных в файл-контейнер. В качестве ключа преобразования используется пароль и, при необходимости, аппаратный идентификатор. Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера. | ||
| + | *В СЗИ реализована функция преобразования сменных накопителей с использованием ключа преобразования. | ||
| + | *В СЗИ реализована возможность централизованного управления — объединение защищенных компьютеров в «Домен безопасности» с помощью модуля «Сервер безопасности Dallas Lock». Возможно централизованное управление политиками безопасности, просмотр состояний, сбор журналов, создание/удаление/редактирование параметров пользователей. Для распределенных конфигураций информационной сети с помощью модуля «Менеджер серверов безопасности Dallas Lock» существует возможность объединить несколько серверов безопасности в «Лес безопасности». Ситуации несанкционированного доступа на клиентских рабочих станциях отслеживаются и сопровождаются сигнализацией на сервере безопасности. Реализован механизм удалённой установки системы на компьютеры средствами сервера безопасности или групповых политик Active Directory. | ||
| + | *Реализован механизм создания различных отчетов с возможностью вывода на печать. | ||
| + | *При необходимости переноса настроек Dallas Lock существует возможность создания файла конфигурации, который будет содержать уже установленные параметры. | ||
| + | *СЗИ может заменить стандартный проводник на собственную оболочку. | ||
| + | *Есть возможность удаленного управления при отсутствии модуля «Сервер безопасности Dallas Lock» — осуществляется подключение с помощью дополнительного модуля «Сетевой администратор». Управлять можно только одним АРМом в один момент времени. | ||
| + | *В СЗИ реализована возможность блокировки АРМа при отключении аппаратного идентификатора. | ||
| + | *При сбое СЗИ предусмотрена возможность аварийного удаления Dallas Lock с помощью диска с дистрибутивом. | ||
| + | |||
==Ссылка на продукт== | ==Ссылка на продукт== | ||
[https://www.dallaslock.ru Ссылка] | [https://www.dallaslock.ru Ссылка] | ||
[[Категория:СрЗИ]] | [[Категория:СрЗИ]] | ||
Версия 18:36, 15 марта 2020
Dallas Lock — система защиты информации от несанкционированного доступа в процессе её хранения и обработки. Представляет собой программный комплекс средств защиты информации в автоматизированных системах.
Содержание
Общие сведения о системе
История
Разработкой и созданием продуктов линейки Dallas Lock занимается Центр защиты информации ООО «Конфидент» г. Санкт-Петербург с 1992 года. C 1992 года система защиты информации (СЗИ) Dallas Lock прошла эволюционный путь развития от простого замка на включение компьютера, работающего под управлением MS-DOS, до распределённой системы, удовлетворяющей современным требованиям. Именно благодаря замку на включение ПК с ключом iButton (также известен под названием Dallas Key или Touch Memory), который работает с использованием технологии микросхем 1-Wire, разработанной корпорацией Dallas Semiconductor, СЗИ получила своё название Dallas Lock.
СЗИ Dallas Lock развивалась одновременно со средствами вычислительной техники и требованиям законодательства по защите информации. С распространением локальных вычислительных сетей СЗИ наполнилась средствами централизованного управления и удалённого администрирования.
Назначение
СЗИ Dallas Lock обеспечивает защиту стационарных, портативных и мобильных компьютеров как автономных, так и в составе локальной вычислительной сети, от несанкционированного доступа к информации.
Использование Dallas Lock в проектах по защите информации ограниченного доступа (конфиденциальная информация, в том числе персональные данные, и сведения, составляющие государственную тайну) позволяет привести автоматизированные системы, государственные информационные системы и обработку персональных данных в соответствие требованиям законов Российской Федерации, стандартов и руководящих документов. СЗИ Dallas Lock позволяет, при некоторых типовых условиях, уменьшить вероятность угроз персональным данным на 50 %[3].
Технические характеристики
- Язык программирования C++.
- СЗИ Dallas Lock входит в Государственный реестр сертифицированных средств защиты информации ФСТЭК России и может быть использована при создании автоматизированных систем классов 1Б, 1В, 1Г, 1Д , 2А, 2Б, 3А, 3Б, для обеспечения 1 уровня защищенности (УЗ1) персональных данных и в государственных информационных системах 1 класса защищённости.
Среда функционирования
СЗИ Dallas Lock может быть установлена на любые компьютеры, работающие под управлением ОС Windows, Linux. До версии системы 8.0 Dallas Lock поддерживает 32-битные версии операционных систем, начиная с версии Dallas Lock 8.0 (сборка 195) — 32- и 64-битные.
Варианты использования
- Защита компьютеров без централизованного управления — защита небольшого количества рабочих станций и серверов. Администрирование защищённого ПК как локально, так и удалённо.
- Защита компьютеров с централизованным управлением в сетях (не требуется наличие Active Directory) с помощью модуля «Сервер безопасности Dallas Lock». *Объединение нескольких серверов безопасности с помощью модуля «Менеджер серверов безопасности Dallas Lock».
Использование аппаратных идентификаторов
СЗИ Dallas Lock позволяет в качестве средства опознавания пользователей использовать аппаратные электронные идентификаторы:
- USB-Flash-накопители (флешки),
- электронные ключи Touch Memory (iButton),
- USB-ключи и смарт-карты Aladdin eToken,
- USB-ключи Рутокен,
- USB-ключи и смарт-карты JaCarta.
Возможности
- СЗИ Dallas Lock запрещает посторонним лицам доступ к ресурсам ПК и позволяет разграничить права зарегистрированных в СЗИ пользователей при работе на компьютере. *Разграничения касаются прав доступа к объектам файловой системы (дискам, папкам и файлам под файловой системой FAT или NTFS) и подключаемым устройствам. Для облегчения администрирования возможно объединение пользователей в группы.
- Для решения проблемы «простых паролей» СЗИ имеет гибкие настройки сложности паролей. Кроме того, в последних версиях системы имеется механизм генерации паролей, соответствующих всем установленным параметрам сложности.
- В СЗИ имеется возможность ограничения доступа пользователей к ПК по дате и времени.
- Используются два принципа контроля доступа к объектам файловой системы и подключаемым устройствам:
дискреционный,мандатный (начиная с версии 8.0 — только для редакции «С»).
- СЗИ позволяет настраивать замкнутую программную среду — режим, в котором пользователь может запускать только программы, определенные администратором.
- Для облегчения настройки замкнутой программной среды и мандатного доступа существуют механизмы:
- «мягкий режим» — режим, в котором, при обращении к ресурсу, доступ к которому запрещён, доступ всё равно разрешается, но в журнал событий заносится сообщение об ошибке;
- «режим обучения» — режим, в котором при обращении к ресурсу, доступ к которому запрещён, на этот ресурс автоматически назначаются выбранные администратором права;
- «неактивный режим» — режим, в котором возможно полное отключение подсистем СЗИ.
- В СЗИ Dallas Lock реализована подсистема контроля целостности параметров компьютера, которая обеспечивает контроль целостности файловой системы, программно-аппаратной среды и реестра при загрузке компьютера, по расписанию, через заданные интервалы времени, а также блокировку загрузки компьютера при выявлении изменений. Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.
- СЗИ Dallas Lock включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
- В СЗИ реализовано ведение 6 электронных журналов регистрации событий, в которых фиксируются действия пользователей. Для облегчения работы с журналами есть возможность фильтрации и экспорта записей.
- Подсистема печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп, разграничивать доступ к печати и сохранять теневые копии документов, отправляемых на печать.
- Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход Dallas Lock, предусмотрена функция преобразования в «прозрачном» режиме. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск подключен к другому компьютеру.
- Для защиты данных при хранении их на внешних носителях либо при передаче по различным каналам связи есть возможность преобразования данных в файл-контейнер. В качестве ключа преобразования используется пароль и, при необходимости, аппаратный идентификатор. Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера.
- В СЗИ реализована функция преобразования сменных накопителей с использованием ключа преобразования.
- В СЗИ реализована возможность централизованного управления — объединение защищенных компьютеров в «Домен безопасности» с помощью модуля «Сервер безопасности Dallas Lock». Возможно централизованное управление политиками безопасности, просмотр состояний, сбор журналов, создание/удаление/редактирование параметров пользователей. Для распределенных конфигураций информационной сети с помощью модуля «Менеджер серверов безопасности Dallas Lock» существует возможность объединить несколько серверов безопасности в «Лес безопасности». Ситуации несанкционированного доступа на клиентских рабочих станциях отслеживаются и сопровождаются сигнализацией на сервере безопасности. Реализован механизм удалённой установки системы на компьютеры средствами сервера безопасности или групповых политик Active Directory.
- Реализован механизм создания различных отчетов с возможностью вывода на печать.
- При необходимости переноса настроек Dallas Lock существует возможность создания файла конфигурации, который будет содержать уже установленные параметры.
- СЗИ может заменить стандартный проводник на собственную оболочку.
- Есть возможность удаленного управления при отсутствии модуля «Сервер безопасности Dallas Lock» — осуществляется подключение с помощью дополнительного модуля «Сетевой администратор». Управлять можно только одним АРМом в один момент времени.
- В СЗИ реализована возможность блокировки АРМа при отключении аппаратного идентификатора.
- При сбое СЗИ предусмотрена возможность аварийного удаления Dallas Lock с помощью диска с дистрибутивом.
