Interested Article - Dallas Lock

Dallas Lock — система защиты информации от несанкционированного доступа в процессе её хранения и обработки. Представляет собой программный комплекс средств защиты информации в автоматизированных системах .

Общие сведения о системе

История

Разработкой и созданием продуктов линейки Dallas Lock занимается Центр защиты информации ООО «Конфидент» г. Санкт-Петербург с 1992 года.
C 1992 года система защиты информации (СЗИ) Dallas Lock прошла эволюционный путь развития от простого замка на включение компьютера, работающего под управлением MS-DOS , до распределённой системы, удовлетворяющей современным требованиям. Именно благодаря замку на включение ПК с ключом iButton (также известен под названием Dallas Key или Touch Memory ), который работает с использованием технологии микросхем 1-Wire , разработанной корпорацией Dallas Semiconductor , СЗИ получила своё название Dallas Lock.
СЗИ Dallas Lock развивалась одновременно со средствами вычислительной техники и требованиям законодательства по защите информации .
С распространением локальных вычислительных сетей СЗИ наполнилась средствами централизованного управления и удалённого администрирования.

Назначение

СЗИ Dallas Lock обеспечивает защиту стационарных, портативных и мобильных компьютеров как автономных, так и в составе локальной вычислительной сети , от несанкционированного доступа к информации.
Использование Dallas Lock в проектах по защите информации ограниченного доступа ( конфиденциальная информация , в том числе персональные данные , и сведения, составляющие государственную тайну ) позволяет привести автоматизированные системы , государственные информационные системы и обработку персональных данных в соответствие требованиям законов Российской Федерации, стандартов и руководящих документов.
СЗИ Dallas Lock позволяет, при некоторых типовых условиях, уменьшить вероятность угроз персональным данным на 50 % .

Технические характеристики

Язык программирования C++ .
СЗИ Dallas Lock входит в Государственный реестр сертифицированных средств защиты информации ФСТЭК России и может быть использована при создании автоматизированных систем классов 1Б, 1В, 1Г, 1Д , 2А, 2Б, 3А, 3Б , для обеспечения 1 уровня защищенности (УЗ1) персональных данных и в государственных информационных системах 1 класса защищённости .

Среда функционирования

СЗИ Dallas Lock может быть установлена на любые компьютеры, работающие под управлением ОС Windows , Linux. До версии системы 8.0 Dallas Lock поддерживает 32-битные версии операционных систем, начиная с версии Dallas Lock 8.0 (сборка 195) — 32- и 64-битные .

Варианты использования

  1. Защита компьютеров без централизованного управления — защита небольшого количества рабочих станций и серверов. Администрирование защищённого ПК как локально, так и удалённо.
  2. Защита компьютеров с централизованным управлением в сетях (не требуется наличие Active Directory ) с помощью модуля «Сервер безопасности Dallas Lock», либо с помощью Единого центра управления (Возможно использование Active Directory). Объединение нескольких серверов безопасности с помощью модуля «Менеджер серверов безопасности Dallas Lock».

Использование аппаратных идентификаторов

СЗИ Dallas Lock позволяет в качестве средства опознавания пользователей использовать аппаратные электронные идентификаторы:

Версии

Версия Поддерживаемые операционные системы
1 СЗИ от НСД Dallas Lock 4.1 Windows 95/98
2 СЗИ от НСД Dallas Lock 5.0 Windows NT
3 СЗИ от НСД Dallas Lock 6.0 Windows 95/98/ME
4 СЗИ от НСД Dallas Lock 7.0 Windows 2000/XP/2003 х32
5 СЗИ от НСД Dallas Lock 7.5 Windows 2000/XP/2003 х32
Сервер безопасности Dallas Lock 7.5
6 СЗИ от НСД Dallas Lock 7.7 Windows XP/2003/Vista/2008/7 х32
Сервер безопасности Dallas Lock 7.7
7 СЗИ от НСД Dallas Lock 8.0-K Windows XP/2003/Vista/2008/7/2008 R2/8/2012/8.1/2012 R2 х32/х64
Сервер безопасности Dallas Lock 8.0-K
8 СЗИ от НСД Dallas Lock 8.0-C Windows XP/2003/Vista/2008/7/2008 R2/8/2012/8.1/2012 R2 х32/х64

Linux

Сервер безопасности Dallas Lock 8.0-C
Условные обозначения:
Версия не поддерживается Версия поддерживается Текущая версия

Возможности

  1. СЗИ Dallas Lock запрещает посторонним лицам доступ к ресурсам ПК и позволяет разграничить права зарегистрированных в СЗИ пользователей при работе на компьютере. Разграничения касаются прав доступа к объектам файловой системы (дискам, папкам и файлам под файловой системой FAT или NTFS ) и подключаемым устройствам . Для облегчения администрирования возможно объединение пользователей в группы.
  2. Для решения проблемы «простых паролей » СЗИ имеет гибкие настройки сложности паролей . Кроме того, в последних версиях системы имеется механизм генерации паролей , соответствующих всем установленным параметрам сложности .
  3. В СЗИ имеется возможность ограничения доступа пользователей к ПК по дате и времени.
  4. Используются два принципа контроля доступа к объектам файловой системы и подключаемым устройствам :
  5. СЗИ позволяет настраивать замкнутую программную среду — режим, в котором пользователь может запускать только программы, определенные администратором.
  6. Для облегчения настройки замкнутой программной среды и мандатного доступа существуют механизмы:
    • «мягкий режим» — режим, в котором, при обращении к ресурсу, доступ к которому запрещён, доступ всё равно разрешается, но в журнал событий заносится сообщение об ошибке;
    • «режим обучения» — режим, в котором при обращении к ресурсу, доступ к которому запрещён, на этот ресурс автоматически назначаются выбранные администратором права;
    • «неактивный режим» — режим, в котором возможно полное отключение подсистем СЗИ.
  7. В СЗИ Dallas Lock реализована подсистема контроля целостности параметров компьютера, которая обеспечивает контроль целостности файловой системы, программно-аппаратной среды и реестра при загрузке компьютера, по расписанию, через заданные интервалы времени, а также блокировку загрузки компьютера при выявлении изменений. Для контроля целостности используются контрольные суммы , вычисленные по одному из алгоритмов на выбор: CRC32 , MD5 , ГОСТ Р 34.11-94 .
  8. СЗИ Dallas Lock включает подсистему очистки остаточной информации , которая гарантирует предотвращение восстановления удаленных данных.
  9. В СЗИ реализовано ведение 6 электронных журналов регистрации событий, в которых фиксируются действия пользователей. Для облегчения работы с журналами есть возможность фильтрации и экспорта записей.
  10. Подсистема печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп, разграничивать доступ к печати и сохранять теневые копии документов, отправляемых на печать.
  11. Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках , в обход Dallas Lock, предусмотрена функция преобразования в «прозрачном» режиме. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск подключен к другому компьютеру.
  12. Для защиты данных при хранении их на внешних носителях либо при передаче по различным каналам связи есть возможность преобразования данных в файл -контейнер. В качестве ключа преобразования используется пароль и, при необходимости, аппаратный идентификатор. Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89 , либо подключение внешнего криптопровайдера .
  13. В СЗИ реализована функция преобразования сменных накопителей с использованием ключа преобразования.
  14. В СЗИ реализована возможность централизованного управления — объединение защищенных компьютеров в «Домен безопасности» с помощью модуля «Сервер безопасности Dallas Lock». Возможно централизованное управление политиками безопасности, просмотр состояний, сбор журналов, создание/удаление/редактирование параметров пользователей. Для распределенных конфигураций информационной сети с помощью модуля «Менеджер серверов безопасности Dallas Lock» существует возможность объединить несколько серверов безопасности в «Лес безопасности». Ситуации несанкционированного доступа на клиентских рабочих станциях отслеживаются и сопровождаются сигнализацией на сервере безопасности. Реализован механизм удалённой установки системы на компьютеры средствами сервера безопасности или групповых политик Active Directory .
  15. Реализован механизм создания различных отчетов с возможностью вывода на печать.
  16. При необходимости переноса настроек Dallas Lock существует возможность создания , который будет содержать уже установленные параметры.
  17. СЗИ может заменить стандартный проводник на собственную оболочку.
  18. Есть возможность удаленного управления при отсутствии модуля «Сервер безопасности Dallas Lock» — осуществляется подключение с помощью дополнительного модуля «Сетевой администратор». Управлять можно только одним АРМом в один момент времени.
  19. В СЗИ реализована возможность блокировки АРМа при отключении аппаратного идентификатора.
  20. При сбое СЗИ предусмотрена возможность аварийного удаления Dallas Lock с помощью диска с дистрибутивом.

Недостатки

Основным недостатком можно считать возникновение ошибок на уровне ядра ОС , что сказывается на стабильности работы серверов. Так же, отсутствие возможности работы с системой средствами командной строки для создания сценариев автоматизации некоторых процедур.

Примечания

  1. от 16 июня 2012 на Wayback Machine официальный сайт
  2. А. Ю. Щеглов. Защита компьютерной информации от несанкционированного доступа. Санкт-Петербург, «Наука и техника», 2004 г. стр. 56-57
  3. от 5 июля 2012 на Wayback Machine на официальном сайте МВД РФ

Руководящие документы

  1. от 4 марта 2016 на Wayback Machine Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Официальный сайт ФСТЭК России.
  2. от 21 мая 2013 на Wayback Machine Приказ ФСТЭК России. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных. Официальный сайт ФСТЭК России.
  3. от 22 февраля 2017 на Wayback Machine Приказ ФСТЭК России. Об утверждении Требований о защите информации, не составляющей государственную тайну. Официальный сайт ФСТЭК России.

Ссылки

  • на проекте WIKISEC (энциклопедия по безопасности информации).
  • Журнал «Information Security/Информационная безопасность» № 4, 2010 г., электронная версия печатного издания.
  • Журнал «Директор по безопасности» № 4, 2012 г., электронная версия печатного издания.
Статьи
  • Аналитическая статья с Хабрахабр .
  • Аналитическая статья. Блог специалиста по информационной безопасности.
  • (недоступная ссылка) статья на deHack.ru (портал об информационной безопасности и защите информации).

См. также

Источник —

Same as Dallas Lock