Разработкой и созданием продуктов линейки Dallas Lock занимается Центр защиты информации ООО «Конфидент»
г. Санкт-Петербург с 1992 года.
C 1992 года система защиты информации (СЗИ) Dallas Lock прошла эволюционный путь развития от простого замка на включение компьютера, работающего под управлением
MS-DOS
, до распределённой системы, удовлетворяющей современным требованиям. Именно благодаря замку на включение
ПК
с ключом
iButton
(также известен под названием Dallas Key или
Touch Memory
), который работает с использованием технологии микросхем
1-Wire
, разработанной корпорацией
Dallas Semiconductor
, СЗИ получила своё название Dallas Lock.
СЗИ Dallas Lock развивалась одновременно со средствами вычислительной техники и требованиям законодательства по
защите информации
.
С распространением
локальных вычислительных сетей
СЗИ наполнилась средствами централизованного управления и удалённого администрирования.
СЗИ Dallas Lock входит в Государственный реестр сертифицированных средств защиты информации
ФСТЭК
России и может быть использована при создании автоматизированных систем классов 1Б, 1В, 1Г, 1Д , 2А, 2Б, 3А, 3Б
, для обеспечения 1 уровня защищенности (УЗ1)
персональных данных
и в государственных
информационных системах
1 класса защищённости
.
Среда функционирования
СЗИ Dallas Lock может быть установлена на любые компьютеры, работающие под управлением
ОС
Windows
, Linux. До версии системы 8.0 Dallas Lock поддерживает
32-битные
версии операционных систем, начиная с версии Dallas Lock 8.0 (сборка 195) —
32-
и
64-битные
.
Варианты использования
Защита компьютеров без централизованного управления — защита небольшого количества рабочих станций и серверов. Администрирование защищённого ПК как локально, так и удалённо.
Защита компьютеров с централизованным управлением в сетях (не требуется наличие
Active Directory
) с помощью модуля «Сервер безопасности Dallas Lock», либо с помощью Единого центра управления (Возможно использование Active Directory). Объединение нескольких серверов безопасности с помощью модуля «Менеджер серверов безопасности Dallas Lock».
Использование аппаратных идентификаторов
СЗИ Dallas Lock позволяет в качестве средства опознавания пользователей использовать аппаратные электронные идентификаторы:
Windows XP/2003/Vista/2008/7/2008 R2/8/2012/8.1/2012 R2 х32/х64
Сервер безопасности Dallas Lock 8.0-K
8
СЗИ от НСД Dallas Lock 8.0-C
Windows XP/2003/Vista/2008/7/2008 R2/8/2012/8.1/2012 R2 х32/х64
Linux
Сервер безопасности Dallas Lock 8.0-C
Условные обозначения:
Версия не поддерживается
Версия поддерживается
Текущая версия
Возможности
СЗИ Dallas Lock запрещает посторонним лицам доступ к ресурсам
ПК
и позволяет разграничить права зарегистрированных в СЗИ
пользователей
при работе на компьютере. Разграничения касаются прав доступа к объектам
файловой системы
(дискам, папкам и файлам под
файловой системой
FAT
или
NTFS
) и
подключаемым устройствам
. Для облегчения администрирования возможно объединение пользователей в группы.
мандатный
(начиная с версии 8.0 — только для редакции «С»).
СЗИ позволяет настраивать замкнутую программную среду — режим, в котором
пользователь
может запускать только программы, определенные администратором.
Для облегчения настройки замкнутой программной среды и
мандатного доступа
существуют механизмы:
«мягкий режим» — режим, в котором, при обращении к ресурсу, доступ к которому запрещён, доступ всё равно разрешается, но в журнал событий заносится сообщение об ошибке;
«режим обучения» — режим, в котором при обращении к ресурсу, доступ к которому запрещён, на этот ресурс автоматически назначаются выбранные администратором права;
«неактивный режим» — режим, в котором возможно полное отключение подсистем СЗИ.
В СЗИ Dallas Lock реализована подсистема контроля целостности параметров компьютера, которая обеспечивает контроль целостности файловой системы, программно-аппаратной среды и реестра при загрузке компьютера, по расписанию, через заданные интервалы времени, а также блокировку загрузки компьютера при выявлении изменений. Для контроля целостности используются
контрольные суммы
, вычисленные по одному из алгоритмов на выбор:
CRC32
,
MD5
,
ГОСТ Р 34.11-94
.
СЗИ Dallas Lock включает подсистему очистки
остаточной информации
, которая гарантирует предотвращение восстановления удаленных данных.
В СЗИ реализовано ведение 6 электронных журналов регистрации событий, в которых фиксируются действия пользователей. Для облегчения работы с журналами есть возможность фильтрации и экспорта записей.
Подсистема печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп, разграничивать доступ к печати и сохранять теневые копии документов, отправляемых на печать.
Для защиты от загрузки компьютера и доступа к информации, хранящейся на
локальных дисках
, в обход Dallas Lock, предусмотрена функция преобразования в «прозрачном» режиме. Режим «прозрачного» преобразования диска защищает информацию, даже если
жесткий диск
подключен к другому компьютеру.
Для защиты данных при хранении их на внешних носителях либо при передаче по различным
каналам связи
есть возможность преобразования данных в
файл
-контейнер. В качестве ключа преобразования используется пароль и, при необходимости, аппаратный идентификатор. Возможно использование встроенного алгоритма преобразования
ГОСТ 28147-89
, либо подключение внешнего
криптопровайдера
.
В СЗИ реализована функция преобразования сменных накопителей с использованием ключа преобразования.
В СЗИ реализована возможность централизованного управления — объединение защищенных компьютеров в «Домен безопасности» с помощью модуля «Сервер безопасности Dallas Lock». Возможно централизованное управление политиками безопасности, просмотр состояний, сбор журналов, создание/удаление/редактирование параметров пользователей. Для распределенных конфигураций информационной сети с помощью модуля «Менеджер серверов безопасности Dallas Lock» существует возможность объединить несколько серверов безопасности в «Лес безопасности». Ситуации
несанкционированного доступа
на клиентских рабочих станциях отслеживаются и сопровождаются
сигнализацией
на сервере безопасности. Реализован механизм удалённой установки системы на компьютеры средствами сервера безопасности или групповых политик
Active Directory
.
Реализован механизм создания различных отчетов с возможностью вывода на печать.
При необходимости переноса настроек Dallas Lock существует возможность создания
, который будет содержать уже установленные параметры.
СЗИ может заменить стандартный проводник на собственную оболочку.
Есть возможность удаленного управления при отсутствии модуля «Сервер безопасности Dallas Lock» — осуществляется подключение с помощью дополнительного модуля «Сетевой администратор». Управлять можно только одним АРМом в один момент времени.
В СЗИ реализована возможность блокировки АРМа при отключении аппаратного идентификатора.
При сбое СЗИ предусмотрена возможность аварийного удаления Dallas Lock с помощью диска с дистрибутивом.
Недостатки
Основным недостатком можно считать возникновение ошибок на уровне ядра ОС , что сказывается на стабильности работы серверов. Так же, отсутствие возможности работы с системой средствами командной строки для создания сценариев автоматизации некоторых процедур.
от 4 марта 2016 на
Wayback Machine
Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Официальный сайт ФСТЭК России.
от 21 мая 2013 на
Wayback Machine
Приказ ФСТЭК России. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных. Официальный сайт ФСТЭК России.
от 22 февраля 2017 на
Wayback Machine
Приказ ФСТЭК России. Об утверждении Требований о защите информации, не составляющей государственную тайну. Официальный сайт ФСТЭК России.
Ссылки
на проекте WIKISEC (энциклопедия по безопасности информации).
Журнал «Information Security/Информационная безопасность» № 4, 2010 г., электронная версия печатного издания.
Журнал «Директор по безопасности» № 4, 2012 г., электронная версия печатного издания.