|
Возможности:
-
полностью
программная реализация позволяет защищать мобильные ПК (ноутбуки) и
промышленные сервера;
-
возможно
использовать аппаратные идентификаторы (USB eToken, смарт-карты
eToken, Rutoken, Touch Memory) для двухфакторной авторизации;
-
реализованы
мандатный и дискреционный принципы разграничения прав, а также
возможность организации замкнутой программной среды;
-
выделенный
опциональный центр управления позволяет облегчить развертывание и
администрирование системы;
-
менеджер-консоль
для управления несколькими центрами управления позволяют строить
иерархию (лес, домен) безопасности;
-
поддерживаются
современные OC Windows XP/2003/Vista/2008/7;
-
«Dallas Lock 7.7»
позволяет защищать информацию в АС до уровня
1Б включительно и в ИСПДн
до 1 класса включительно.
-
Разграничение прав пользователей и администраторов на
доступ к
локальным и сетевым ресурсам.
-
Разграничение доступа к сменным накопителям (в том
числе
CD-DVD
и
USB
дискам).
-
Организация замкнутой программной среды.
-
Контроль целостности ресурсов
компьютера.
-
Контроль аппаратно-программной
конфигурации.
-
Аудит действий пользователей.
-
Очистка остаточной информации.
-
Защита содержимого дисков путем прозрачного преобразования.
-
Создание кодированных
файлов-контейнеров.
-
Возможность подключения к Серверу Безопасности
Dallas Lock
для
организации централизованного управления.
-
Удаленное
администрирование.
-
Возможность установки на портативные компьютеры (ноутбуки).
-
Отсутствие обязательной аппаратной
части.
-
Работа на сервере терминального
доступа.
СЗИ
Dallas Lock
7.7 блокирует доступ посторонних лиц к ресурсам ПК и позволяет
разграничить права пользователей и администраторов при работе на
компьютере. Контролируются права локальных, сетевых и терминальных
пользователей. Разграничения касаются прав доступа к объектам файловой
системы, доступа к сети, к сменным накопителям и к аппаратным ресурсам.
Для идентификации
пользователей служат индивидуальные пароли и аппаратные идентификаторы
Touch Memory,
eToken,
ruToken
(двухфакторная аутентификация). Аппаратная идентификация не является
обязательной – система может работать в полностью программном режиме.
Запрос пароля и аппаратных
идентификаторов происходит до начала загрузки ОС. Загрузка ОС возможна
только после проверки идентификационных данных пользователя в СЗИ.
Таким образом обеспечивается доверенная загрузка системы.
Разграничение прав доступа
к ресурсам файловой системы реализуется следующими методами:
- Дискреционный -
предоставляет доступ к защищаемым объектам файловой системы на основании
списков контроля доступа. В соответствии с содержимым списков
определяются права доступа для каждого пользователя.
- Мандатный - каждому
пользователю присваивается максимальный уровень мандатного доступа.
Пользователь получает доступ к объектам, мандатный уровень которых не
превышает его текущий уровень.
СЗИ позволяет
контролировать целостность файлов, папок и параметров
аппаратно-программной среды компьютера. Для контроля целостности
используются контрольные суммы, вычисленные по одному из алгоритмов на
выбор: CRC32,
MD5,
ГOCT P34.11-94.
Подсистема аудита
действий пользователей состоит из шести журналов, в которые заносятся
события и результат (с указанием причины, при отказах) попыток входов и
выходов пользователей, события доступа к ресурсам файловой системы,
события запуска процессов, события печати на локальных и сетевых
принтерах, события по администрированию СЗИ. Для облегчения работы с
журналами, реализована возможность фильтрации записей по определенным
признакам и экспорт журналов в формат
MS Excel.
Подсистема очистки
остаточной информации гарантирует невозможность восстановления
удаленных данных.
Возможно очищение освобождаемого дискового пространства, файла подкачки,
освобождаемой памяти и заданных папок при выходе пользователя из
системы. Подсистема может работать в автоматическом режиме, когда
зачищаются все удаляемые данные, либо данные зачищаются по команде
пользователя.
Подсистема перехвата
событий печати позволяет на каждом распечатанном с ПК документе
добавлять штамп. Формат и поля штампа могут гибко настраиваться.
Для защиты от
загрузки компьютера и доступа к информации в обход СЗИ предусмотрена
возможность преобразования содержимого диска в «прозрачном» режиме.
Информация преобразуется при записи и декодируется при чтении с
носителя. При работе процесс преобразования незаметен для пользователя.
После преобразования диска получить доступ к хранящейся на нем
информации невозможно без пароля для входа в СЗИ. Режим «прозрачного»
преобразования диска защищает информацию, даже если жесткий диск будет
подключен к другому компьютеру. Данные могут быть преобразованы по
алгоритмам XOR32
или ГОСТ 28147-89.
СЗИ предоставляет
возможность преобразования отдельных файлов и/или папок. В качестве
ключа преобразования используется пароль и, по желанию пользователя,
аппаратный идентификатор. Преобразованные данные хранятся в
файле-контейнере, который может использоваться для безопасной передачи
данных или хранения информации на отчуждаемом носителе. Доступ к
преобразованным данным можно получить с любого компьютера с СЗИ при
совпадении пароля и аппаратного идентификатора.
Возможно
использование встроенного алгоритма преобразования ГОСТ 28147-89, либо
подключение внешнего сертифицированного
криптопровайдера (например, «КриптоПро»).
Для предотвращения
утечки информации через сменные накопители, предусмотрена
возможность гибкого разграничения доступа к дискетам, оптическим
дискам, USB-Flash
- возможно разграничения доступа по типу накопителя, либо к конкретным
экземплярам.
Система позволяет
настраивать замкнутую программную среду (режим, в котором пользователь
может запускать только программы, определенные администратором).
Для осуществления
централизованного управления защищенными компьютерами в составе ЛВС, в
состав системы входит «Сервер Безопасности» (СБ).
СБ
Dallas Lock
и зарегистрированные на нем компьютеры с
Dallas Lock
образуют «Домен Безопасности». При использовании
СБ возможно централизованное
управление учетными записями пользователей, управление политиками
безопасности, просмотр и автоматический сбор журналов, назначение прав
доступа к ресурсам, управление прозрачным преобразованием и выполнение
команд оперативного управления.
С помощью модуля
«Менеджер серверов безопасности» возможно объединение нескольких
СБ в «Лес Безопасности», с помощью
которого осуществляется централизованное управления несколькими Доменами
Безопасности (получение журналов, управление политиками и учетными
записями пользователей).
Возможна установка
СЗИ на портативные
компьютеры (ноутбуки).
Существует возможность
просматривать экранные снимки удаленных компьютеров. Эти снимки могут
быть сохранены в файлы и просмотрены в дальнейшем.
Возможна установка
СЗИ на компьютеры,
работающие в составе домена (как на клиентские машины, так и на
контроллер домена, таким образом с помощью
Dallas Lock 7.7 можно
защитить всю сеть.
Возможна установка на
сервер терминального доступа.
|
