Dallas Lock
Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 21 февраля 2017 года; проверки требуют 12 правок.
| Dallas Lock | |
|---|---|
| Тип | Средство защиты информации |
| Разработчик | ООО "Конфидент" |
| Написана на | C++ |
| Операционные системы | Windows, Linux |
| Последняя версия | 8.0-С / 8.0-К |
| Лицензия | проприетарная |
| Сайт | dallaslock.ru |
Dallas Lock — система защиты информации от несанкционированного доступа в процессе её хранения и обработки. Представляет собой программный комплекс средств защиты информации в автоматизированных системах.
Общие сведения о системе[править | править код]
История[править | править код]
- Разработкой и созданием продуктов линейки Dallas Lock занимается Центр защиты информации ООО «Конфидент»[1] г. Санкт-Петербург с 1992 года.
- C 1992 года система защиты информации (СЗИ) Dallas Lock прошла эволюционный путь развития от простого замка на включение компьютера, работающего под управлением MS-DOS[2], до распределённой системы, удовлетворяющей современным требованиям. Именно благодаря замку на включение ПК с ключом iButton (также известен под названием Dallas Key или Touch Memory), который работает с использованием технологии микросхем 1-Wire, разработанной корпорацией Dallas Semiconductor, СЗИ получила своё название Dallas Lock.
- СЗИ Dallas Lock развивалась одновременно со средствами вычислительной техники и требованиям законодательства по защите информации.
- С распространением локальных вычислительных сетей СЗИ наполнилась средствами централизованного управления и удалённого администрирования.
Назначение[править | править код]
- СЗИ Dallas Lock обеспечивает защиту стационарных, портативных и мобильных компьютеров как автономных, так и в составе локальной вычислительной сети, от несанкционированного доступа к информации.
- Использование Dallas Lock в проектах по защите информации ограниченного доступа (конфиденциальная информация, в том числе персональные данные, и сведения, составляющие государственную тайну) позволяет привести автоматизированные системы, государственные информационные системы и обработку персональных данных в соответствие требованиям законов Российской Федерации, стандартов и руководящих документов.
- СЗИ Dallas Lock позволяет, при некоторых типовых условиях, уменьшить вероятность угроз персональным данным на 50 %[3].
Технические характеристики[править | править код]
- Язык программирования C++.
- СЗИ Dallas Lock входит в Государственный реестр сертифицированных средств защиты информации ФСТЭК России и может быть использована при создании автоматизированных систем классов 1Б, 1В, 1Г, 1Д , 2А, 2Б, 3А, 3Б[документ 1], для обеспечения 1 уровня защищенности (УЗ1) персональных данных[документ 2] и в государственных информационных системах 1 класса защищённости[документ 3].
Среда функционирования[править | править код]
СЗИ Dallas Lock может быть установлена на любые компьютеры, работающие под управлением ОС Windows, Linux. До версии системы 8.0 Dallas Lock поддерживает 32-битные версии операционных систем, начиная с версии Dallas Lock 8.0 (сборка 195) — 32- и 64-битные.
Варианты использования[править | править код]
- Защита компьютеров без централизованного управления — защита небольшого количества рабочих станций и серверов. Администрирование защищённого ПК как локально, так и удалённо.
- Защита компьютеров с централизованным управлением в сетях (не требуется наличие Active Directory) с помощью модуля «Сервер безопасности Dallas Lock», либо с помощью Единого центра управления (Возможно использование Active Directory). Объединение нескольких серверов безопасности с помощью модуля «Менеджер серверов безопасности Dallas Lock».
Использование аппаратных идентификаторов[править | править код]
СЗИ Dallas Lock позволяет в качестве средства опознавания пользователей использовать аппаратные электронные идентификаторы:
- USB-Flash-накопители (флешки),
- электронные ключи Touch Memory (iButton),
- USB-ключи и смарт-карты Aladdin eToken,
- USB-ключи Рутокен,
- USB-ключи и смарт-карты JaCarta.
Версии[править | править код]
| № | Версия | Поддерживаемые операционные системы | |
|---|---|---|---|
| 1 | СЗИ от НСД Dallas Lock 4.1 | Windows 95/98 | |
| 2 | СЗИ от НСД Dallas Lock 5.0 | Windows NT | |
| 3 | СЗИ от НСД Dallas Lock 6.0 | Windows 95/98/ME | |
| 4 | СЗИ от НСД Dallas Lock 7.0 | Windows 2000/XP/2003 х32 | |
| 5 | СЗИ от НСД Dallas Lock 7.5 | Windows 2000/XP/2003 х32 | |
| Сервер безопасности Dallas Lock 7.5 | |||
| 6 | СЗИ от НСД Dallas Lock 7.7 | Windows XP/2003/Vista/2008/7 х32 | |
| Сервер безопасности Dallas Lock 7.7 | |||
| 7 | СЗИ от НСД Dallas Lock 8.0-K | Windows XP/2003/Vista/2008/7/2008 R2/8/2012/8.1/2012 R2 х32/х64 | |
| Сервер безопасности Dallas Lock 8.0-K | |||
| 8 | СЗИ от НСД Dallas Lock 8.0-C | Windows XP/2003/Vista/2008/7/2008 R2/8/2012/8.1/2012 R2 х32/х64
Linux | |
| Сервер безопасности Dallas Lock 8.0-C | |||
| Условные обозначения: | |||
| Версия не поддерживается | Версия поддерживается | Текущая версия | |
Возможности[править | править код]
- СЗИ Dallas Lock запрещает посторонним лицам доступ к ресурсам ПК и позволяет разграничить права зарегистрированных в СЗИ пользователей при работе на компьютере. Разграничения касаются прав доступа к объектам файловой системы (дискам, папкам и файлам под файловой системой FAT или NTFS) и подключаемым устройствам. Для облегчения администрирования возможно объединение пользователей в группы.
- Для решения проблемы «простых паролей» СЗИ имеет гибкие настройки сложности паролей. Кроме того, в последних версиях системы имеется механизм генерации паролей, соответствующих всем установленным параметрам сложности.
- В СЗИ имеется возможность ограничения доступа пользователей к ПК по дате и времени.
- Используются два принципа контроля доступа к объектам файловой системы и подключаемым устройствам:
- дискреционный,
- мандатный (начиная с версии 8.0 — только для редакции «С»).
- СЗИ позволяет настраивать замкнутую программную среду — режим, в котором пользователь может запускать только программы, определенные администратором.
- Для облегчения настройки замкнутой программной среды и мандатного доступа существуют механизмы:
- «мягкий режим» — режим, в котором, при обращении к ресурсу, доступ к которому запрещён, доступ всё равно разрешается, но в журнал событий заносится сообщение об ошибке;
- «режим обучения» — режим, в котором при обращении к ресурсу, доступ к которому запрещён, на этот ресурс автоматически назначаются выбранные администратором права;
- «неактивный режим» — режим, в котором возможно полное отключение подсистем СЗИ.
- В СЗИ Dallas Lock реализована подсистема контроля целостности параметров компьютера, которая обеспечивает контроль целостности файловой системы, программно-аппаратной среды и реестра при загрузке компьютера, по расписанию, через заданные интервалы времени, а также блокировку загрузки компьютера при выявлении изменений. Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.
- СЗИ Dallas Lock включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
- В СЗИ реализовано ведение 6 электронных журналов регистрации событий, в которых фиксируются действия пользователей. Для облегчения работы с журналами есть возможность фильтрации и экспорта записей.
- Подсистема печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп, разграничивать доступ к печати и сохранять теневые копии документов, отправляемых на печать.
- Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход Dallas Lock, предусмотрена функция преобразования в «прозрачном» режиме. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск подключен к другому компьютеру.
- Для защиты данных при хранении их на внешних носителях либо при передаче по различным каналам связи есть возможность преобразования данных в файл-контейнер. В качестве ключа преобразования используется пароль и, при необходимости, аппаратный идентификатор. Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера.
- В СЗИ реализована функция преобразования сменных накопителей с использованием ключа преобразования.
- В СЗИ реализована возможность централизованного управления — объединение защищенных компьютеров в «Домен безопасности» с помощью модуля «Сервер безопасности Dallas Lock». Возможно централизованное управление политиками безопасности, просмотр состояний, сбор журналов, создание/удаление/редактирование параметров пользователей. Для распределенных конфигураций информационной сети с помощью модуля «Менеджер серверов безопасности Dallas Lock» существует возможность объединить несколько серверов безопасности в «Лес безопасности». Ситуации несанкционированного доступа на клиентских рабочих станциях отслеживаются и сопровождаются сигнализацией на сервере безопасности. Реализован механизм удалённой установки системы на компьютеры средствами сервера безопасности или групповых политик Active Directory.
- Реализован механизм создания различных отчетов с возможностью вывода на печать.
- При необходимости переноса настроек Dallas Lock существует возможность создания файла конфигурации, который будет содержать уже установленные параметры.
- СЗИ может заменить стандартный проводник на собственную оболочку.
- Есть возможность удаленного управления при отсутствии модуля «Сервер безопасности Dallas Lock» — осуществляется подключение с помощью дополнительного модуля «Сетевой администратор». Управлять можно только одним АРМом в один момент времени.
- В СЗИ реализована возможность блокировки АРМа при отключении аппаратного идентификатора.
- При сбое СЗИ предусмотрена возможность аварийного удаления Dallas Lock с помощью диска с дистрибутивом.
Недостатки[править | править код]
Основным недостатком можно считать возникновение ошибок на уровне ядра ОС , что сказывается на стабильности работы серверов. Так же, отсутствие возможности работы с системой средствами командной строки для создания сценариев автоматизации некоторых процедур.
Примечания[править | править код]
- ↑ ЦЗИ ООО Конфидент Архивная копия от 16 июня 2012 на Wayback Machine официальный сайт
- ↑ А. Ю. Щеглов. Защита компьютерной информации от несанкционированного доступа. Санкт-Петербург, «Наука и техника», 2004 г. стр. 56-57
- ↑ Сборник Информационные технологии, связь и защита информации МВД России 2011 Архивная копия от 5 июля 2012 на Wayback Machine на официальном сайте МВД РФ
Руководящие документы[править | править код]
- ↑ [1] Архивная копия от 4 марта 2016 на Wayback Machine Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Официальный сайт ФСТЭК России.
- ↑ [2] Архивная копия от 21 мая 2013 на Wayback Machine Приказ ФСТЭК России. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных. Официальный сайт ФСТЭК России.
- ↑ [3] Архивная копия от 22 февраля 2017 на Wayback Machine Приказ ФСТЭК России. Об утверждении Требований о защите информации, не составляющей государственную тайну. Официальный сайт ФСТЭК России.
Ссылки[править | править код]
- Официальный сайт Dallas Lock
- Dallas Lock на проекте WIKISEC (энциклопедия по безопасности информации).
- Разработка частной модели угроз по данным аудита информационной безопасности Журнал «Information Security/Информационная безопасность» № 4, 2010 г., электронная версия печатного издания.
- Актуальные вопросы выбора сертифицированных систем защиты информации от несанкционированного доступа Журнал «Директор по безопасности» № 4, 2012 г., электронная версия печатного издания.
- Интервью менеджеров компании-разработчика Dallas Lock изданию CNews
- Статьи
- Средства защиты информации и где дёготь Аналитическая статья с Хабрахабр.
- Люблю безопасность до безобразности Аналитическая статья. Блог специалиста по информационной безопасности.
- Система защиты информации «Dallas Lock» (недоступная ссылка) статья на deHack.ru (портал об информационной безопасности и защите информации).