Dallas Lock

Dallas Lock — система защиты информации от несанкционированного доступа в процессе её хранения и обработки. Представляет собой программный комплекс средств защиты информации в автоматизированных системах.

Общие сведения о системе

История

Разработкой и созданием продуктов линейки Dallas Lock занимается Центр защиты информации ООО «Конфидент» г. Санкт-Петербург с 1992 года. C 1992 года система защиты информации (СЗИ) Dallas Lock прошла эволюционный путь развития от простого замка на включение компьютера, работающего под управлением MS-DOS, до распределённой системы, удовлетворяющей современным требованиям. Именно благодаря замку на включение ПК с ключом iButton (также известен под названием Dallas Key или Touch Memory), который работает с использованием технологии микросхем 1-Wire, разработанной корпорацией Dallas Semiconductor, СЗИ получила своё название Dallas Lock.

СЗИ Dallas Lock развивалась одновременно со средствами вычислительной техники и требованиям законодательства по защите информации. С распространением локальных вычислительных сетей СЗИ наполнилась средствами централизованного управления и удалённого администрирования.

Назначение

СЗИ Dallas Lock обеспечивает защиту стационарных, портативных и мобильных компьютеров как автономных, так и в составе локальной вычислительной сети, от несанкционированного доступа к информации.

Использование Dallas Lock в проектах по защите информации ограниченного доступа (конфиденциальная информация, в том числе персональные данные, и сведения, составляющие государственную тайну) позволяет привести автоматизированные системы, государственные информационные системы и обработку персональных данных в соответствие требованиям законов Российской Федерации, стандартов и руководящих документов. СЗИ Dallas Lock позволяет, при некоторых типовых условиях, уменьшить вероятность угроз персональным данным на 50 %.

Технические характеристики

• Язык программирования C++.
• СЗИ Dallas Lock входит в Государственный реестр сертифицированных средств защиты информации ФСТЭК России и может быть использована при создании автоматизированных систем классов 1Б, 1В, 1Г, 1Д , 2А, 2Б, 3А, 3Б, для обеспечения 1 уровня защищенности (УЗ1) персональных данных и в государственных информационных системах 1 класса защищённости.

Среда функционирования

СЗИ Dallas Lock может быть установлена на любые компьютеры, работающие под управлением ОС Windows, Linux. До версии системы 8.0 Dallas Lock поддерживает 32-битные версии операционных систем, начиная с версии Dallas Lock 8.0 (сборка 195) — 32- и 64-битные.

Варианты использования

• Защита компьютеров без централизованного управления — защита небольшого количества рабочих станций и серверов. Администрирование защищённого ПК как локально, так и удалённо.
• Защита компьютеров с централизованным управлением в сетях (не требуется наличие Active Directory) с помощью модуля «Сервер безопасности Dallas Lock». *Объединение нескольких серверов безопасности с помощью модуля «Менеджер серверов безопасности Dallas Lock».

Использование аппаратных идентификаторов

СЗИ Dallas Lock позволяет в качестве средства опознавания пользователей использовать аппаратные электронные идентификаторы:

• USB-Flash-накопители (флешки),
• электронные ключи Touch Memory (iButton),
• USB-ключи и смарт-карты Aladdin eToken,
• USB-ключи Рутокен,
• USB-ключи и смарт-карты JaCarta.

Возможности

• СЗИ Dallas Lock запрещает посторонним лицам доступ к ресурсам ПК и позволяет разграничить права зарегистрированных в СЗИ пользователей при работе на компьютере. *Разграничения касаются прав доступа к объектам файловой системы (дискам, папкам и файлам под файловой системой FAT или NTFS) и подключаемым устройствам. Для облегчения администрирования возможно объединение пользователей в группы.
• Для решения проблемы «простых паролей» СЗИ имеет гибкие настройки сложности паролей. Кроме того, в последних версиях системы имеется механизм генерации паролей, соответствующих всем установленным параметрам сложности.
• В СЗИ имеется возможность ограничения доступа пользователей к ПК по дате и времени.
• Используются два принципа контроля доступа к объектам файловой системы и подключаемым устройствам:

дискреционный,мандатный (начиная с версии 8.0 — только для редакции «С»).

• СЗИ позволяет настраивать замкнутую программную среду — режим, в котором пользователь может запускать только программы, определенные администратором.
• Для облегчения настройки замкнутой программной среды и мандатного доступа существуют механизмы:
  • «мягкий режим» — режим, в котором, при обращении к ресурсу, доступ к которому запрещён, доступ всё равно разрешается, но в журнал событий заносится сообщение об ошибке;
  • «режим обучения» — режим, в котором при обращении к ресурсу, доступ к которому запрещён, на этот ресурс автоматически назначаются выбранные администратором права;
  • «неактивный режим» — режим, в котором возможно полное отключение подсистем СЗИ.
• В СЗИ Dallas Lock реализована подсистема контроля целостности параметров компьютера, которая обеспечивает контроль целостности файловой системы, программно-аппаратной среды и реестра при загрузке компьютера, по расписанию, через заданные интервалы времени, а также блокировку загрузки компьютера при выявлении изменений. Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.
• СЗИ Dallas Lock включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
• В СЗИ реализовано ведение 6 электронных журналов регистрации событий, в которых фиксируются действия пользователей. Для облегчения работы с журналами есть возможность фильтрации и экспорта записей.
• Подсистема печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп, разграничивать доступ к печати и сохранять теневые копии документов, отправляемых на печать.
• Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход Dallas Lock, предусмотрена функция преобразования в «прозрачном» режиме. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск подключен к другому компьютеру.
• Для защиты данных при хранении их на внешних носителях либо при передаче по различным каналам связи есть возможность преобразования данных в файл-контейнер. В качестве ключа преобразования используется пароль и, при необходимости, аппаратный идентификатор. Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера.
• В СЗИ реализована функция преобразования сменных накопителей с использованием ключа преобразования.
• В СЗИ реализована возможность централизованного управления — объединение защищенных компьютеров в «Домен безопасности» с помощью модуля «Сервер безопасности Dallas Lock». Возможно централизованное управление политиками безопасности, просмотр состояний, сбор журналов, создание/удаление/редактирование параметров пользователей. Для распределенных конфигураций информационной сети с помощью модуля «Менеджер серверов безопасности Dallas Lock» существует возможность объединить несколько серверов безопасности в «Лес безопасности». Ситуации несанкционированного доступа на клиентских рабочих станциях отслеживаются и сопровождаются сигнализацией на сервере безопасности. Реализован механизм удалённой установки системы на компьютеры средствами сервера безопасности или групповых политик Active Directory.
• Реализован механизм создания различных отчетов с возможностью вывода на печать.
• При необходимости переноса настроек Dallas Lock существует возможность создания файла конфигурации, который будет содержать уже установленные параметры.
• СЗИ может заменить стандартный проводник на собственную оболочку.
• Есть возможность удаленного управления при отсутствии модуля «Сервер безопасности Dallas Lock» — осуществляется подключение с помощью дополнительного модуля «Сетевой администратор». Управлять можно только одним АРМом в один момент времени.
• В СЗИ реализована возможность блокировки АРМа при отключении аппаратного идентификатора.
• При сбое СЗИ предусмотрена возможность аварийного удаления Dallas Lock с помощью диска с дистрибутивом.

Ссылка на продукт

Ссылка