Dallas Lock 8.0-K - система защиты конфиденциальной информации, в процессе её хранения и обработки, от несанкционированного доступа.

Представляет собой программный комплекс средств защиты информации в автоматизированных системах и в информационных системах, осуществляющих обработку персональных данных.

Система защиты Dallas Lock 8.0-K может быть установлена на любые компьютеры, работающие под управлением следующих ОС:

• Windows ХР (SP 3) (32-bit),
• Windows Server 2003 (R2) (32-bit),
• Windows Vista (SP2) (32-bit и 64-bit),
• Windows Server 2008 (SP 2) (32-bit и 64-bit),
• Windows Server 2008 R2 (64-bit),
• Windows 7 (32-bit и 64-bit).

Dallas Lock 8.0-K позволяет в качестве средств опознавания пользователей использовать аппаратные электронные идентификаторы. Поддерживаются USB-флэш-накопители, ключи Touch Memory, смарт-карты eToken и USB-брелоки eToken, ruToken и ruToken ЭЦП.

СЗИ от НСД Dallas Lock 8.0-K обеспечивает:

1. Защиту конфиденциальной информации от несанкционированного доступа стационарных и портативных компьютеров как автономных, так и в составе ЛВС, через локальный, сетевой и терминальный входы.
2. Дискреционный принцип разграничения доступа к информационным ресурсам в соответствии со списками пользователей и их правами доступа (матрица доступа).
3. Аудит действий пользователей – санкционированных и без соответствующих прав; ведение журналов регистрации событий.
4. Контроль целостности файловой системы и программно-аппаратной среды.
5. Объединение защищенных ПК для централизованного управления механизмами безопасности.
6. Приведение АС в соответствие законодательству РФ по защите информации.

СЗИ НСД Dallas Lock 8.0-K является усовершенствованным продуктом и содержит ряд преимуществ по сравнению с предыдущими версиями Dallas Lock, среди которых:

1. Поддержка современных ОС, в том числе 64-х битных.
2. Отсутствие необходимости активировать систему, что значительно упрощает внедрение. Достаточным является инсталляция системы, которая происходит только по уникальному коду диска.
3. Полностью переработанный, инновационный интерфейс.
4. Улучшенная работа с доменными пользователями. Реализован механизм регистрации доменных учетных записей пользователей системы с использованием масок, по символу «*». В контексте системы защиты символ «*» имеет значение «все». Таким образом, уже нет необходимости регистрировать каждого отдельного доменного пользователя в системе защиты, что позволяет кардинально упростить внедрение и настройку системы. Так же это избавляет от проблем, связанных с необходимостью синхронизации данной СЗИ и контроллера домена при появлении новых пользователей в домене. При желании можно использовать «классическую схему» работы с пользователями, которая была реализована в Dallas Lock 7.7, когда каждому пользователю домена соответствует своя учетная запись системы защиты.
5. Оптимизированный Сервер Безопасности. Механизм синхронизации с клиентской рабочей станцией качественно переработан, что позволяет на порядок ускорить его работу, снизить загрузку сети и увеличить скорость загрузки клиентских рабочих станций.
6. Консоль Сервера Безопасности отделена от Сервера Безопасности и может быть запущена на любой другой защищенной рабочей станции, находящейся в той же локальной сети. При этом для связи используется защищенный сетевой протокол, который исключает возможность несанкционированного вмешательства.
7. Переработанная модель дискреционного доступа - 5 интуитивно понятных категорий прав для определения доступа к файлам и папкам.
8. Расширенный перечень средств аппаратной (двухфакторной) аутентификации. Добавлена возможность использования в качестве аппаратных идентификаторов USB-Flash дисков (флешек) (идентификация осуществляется по уникальному номеру тома).
9. В новой версии контроль целостности программно-аппаратной среды проверяется по команде администратора, по расписанию, периодически.
10. Отчет по правам и конфигурациям (инвентаризация) имеет более гибкие и удобные настройки. Отчет открывается в отдельном текстовом файле, который можно вывести на печать. Для формирования отчета есть возможность:
    • выбрать его тип: по назначенным правам, список пользователей, политики безопасности или и то и другое;
    • выбрать параметры необходимых ресурсов: общие папки, глобальные права или конкретный ресурс, указав его размещение (путь);
    • и выбрать параметр, определяющий сортировку списков отчета (по ресурсам или пользователям).
11. Реализован механизм генерации сложных паролей. Кнопка генератора паролей находится рядом с полями ввода нового пароля и позволяет сгенерировать пароль, отвечающий всем установленным администратором безопасности параметрам сложности пароля.
12. Кроме традиционных, добавлена новая политика настройки сложности паролей. Это - необходимость отсутствия цифры в первом и последнем символе.
13. Качественно переработан механизм сигнализации. Ситуации несанкционированного доступа на клиентских рабочих станциях отслеживаются и сопровождаются сигнализацией на Сервере безопасности. События НСД заносятся в журнал СБ, на самом же компьютере с установленным СБ воспроизводится звуковой сигнал и выводится всплывающее сообщение на панели задач. В системе реализована настройка оповещений о событиях (выбор событий), а также механизм отправки сообщений о событиях НСД на электронную почту.

Возможности в версии Dallas Lock 8.0-K

Система защиты информации от несанкционированного доступа Dallas Lock 8.0-K предоставляет следующие возможности:

1. В соответствии со своим назначением, система запрещает посторонним лицам доступ к ресурсам ПК и позволяет разграничивать права зарегистрированных в системе защиты пользователей при работе на компьютере. Разграничения касаются прав доступа к объектам файловой системы, доступ к сети, сменным накопителям, аппаратным ресурсам. Для облегчения администрирования возможно объединение пользователей в группы. Контролируются права доступа для локальных, доменных, сетевых и терминальных пользователей.
2. В качестве средства идентификации пользователей служат индивидуальные пароли пользователей и, при необходимости, аппаратные идентификаторы:
   • USB-флэш-накопители (флешки);
   • электронные ключи Touch Memory (iButton);
   • USB-ключи Aladdin eToken Pro/Java;
   • смарт-карты Aladdin eToken PRO/SC;
   • USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП.

Тем самым в системе реализована двухфакторная аутентификация, присущая системам с повышенной защитой. В тоже время аппаратная идентификация обязательной не является.

3. Для решения проблемы «простых паролей» система имеет гибкие настройки сложности паролей. Можно задать минимальную длину пароля, необходимость обязательного наличия в пароле цифр, специальных символов, строчных и прописных букв, степень отличия нового пароля от старого и прочее.

Кроме того, в системе имеется механизм генерации паролей, соответствующих всем установленным параметрам сложности.

4. Одним из основных показателей защищенности системы является наличие дискреционного принципа контроля доступа. Он обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списками пользователей (групп) и их правами доступа (матрица доступа). В соответствии с содержимым списка вычисляются права на доступ к объекту для каждого пользователя (открытие, запись, чтение, удаление, переименование, запуск, копирование и прочие). Причем каждое право может находиться в состоянии «запретить»/«разрешить» на разных уровнях.

Возможно ограничение круга доступных для пользователя объектов файловой системы (дисков, папок и файлов под FAT и NTFS), а также аппаратных устройств. Применяется полностью независимый от ОС механизм определения прав доступа пользователя к ресурсам. Система защиты Dallas Lock анализирует назначенные политики доступа согласно иерархии назначенных параметров на объекты снизу вверх, то есть при попытке пользователя совершить с объектом ФС или программно-аппаратной среды компьютера любую операцию, проверка происходит, начиная с локальных параметров объекта; глобальные параметры проверяются в последнюю очередь. При этом локальные настройки имеют приоритет над глобальными. Приоритеты параметров в системе защиты Dallas Lock 8.0-K следующие:

Тип параметров	Название параметров	Приоритет
Глобальные параметры	«Параметры по умолчанию»	Самый низкий
	«Параметры сменных дисков по умолчанию» «Параметры фиксированных дисков по умолчанию» «Параметры сети по умолчанию»	Средний
	«Параметры FDD-дисков по умолчанию» «Параметры CD-ROM дисков по умолчанию» «Параметры USB-Flash дисков по умолчанию»	Более высокий
Локальные параметры	Параметры папок	Высокий
	Параметры файлов и конкретных аппаратных устройств	Самый высокий

Также и для предотвращения утечки информации с использованием сменных накопителей (таких как USB-Flash Drive, дискета, внешний жесткий диск и других) система позволяет разграничивать доступ, как к отдельным типам накопителей, так и к конкретным экземплярам.

5. Согласно требованиям к показателям защищенности, в СЗИ НСД Dallas Lock 8.0-K реализован механизм контроля целостности параметров компьютера, которая обеспечивает:
   • контроль целостности программно-аппаратной среды при загрузке компьютера;
   • контроль целостности файлов при загрузке компьютера;
   • контроль целостности ресурсов файловой системы и программно-аппаратной среды по расписанию;
   • контроль целостности ресурсов файловой системы и программно-аппаратной среды через заданные интервалы времени (периодический контроль);
   • блокировку загрузки компьютера при выявлении изменений.

Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.

6. СЗИ НСД Dallas Lock 8.0-K включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
7. Согласно требованиям подсистемы регистрации и учета, в СЗИ НСД Dallas Lock 8.0-K реализовано ведение 6-ти журналов регистрации событий, реализованных независимыми от ОС средствами:
   1. Журнал входов. В журнал заносятся все входы (или попытки входов с указанием причины отказа) и выходы пользователей ПК, включая как локальные, так и сетевые, в том числе терминальные входы и входы для удаленного администрирования.
   2. Журнал доступа к ресурсам. В журнал заносятся обращения к объектам файловой системы, для которых назначен аудит. Можно гибко настраивать для каждого объекта, какие события нужно заносить в журнал, а какие – нет.
   3. Журнал запуска процессов. В журнал заносятся события запуска и завершения процессов.
   4. Журнал управления политиками безопасности. В журнал заносятся все события связанные с изменением конфигурации СЗИ. Так же в этот журнал заносятся события запуска/завершения модулей администрирования и события запуска/завершения работы Dallas Lock.
   5. Журнал управления учетными записями. В журнал заносятся все события связанные с созданием или удалением учетных записей, изменением их параметров.
   6. Журнал печати. В журнал заносятся все события, связанные с распечаткой документов на локальных или сетевых принтерах.

   Для облегчения работы с журналами есть возможность фильтрации и экспортирования записей.

8. В системе защиты реализован механизм преобразования информации, который обеспечивает кодирование и декодирование данных в файлах-контейнерах для защиты данных при их хранении на внешних носителях либо при передаче по различным каналам связи. В качестве ключа преобразования используется пароль и по желанию пользователя, аппаратный идентификатор. «Распаковать» такой контейнер можно на любом компьютере, защищенном Dallas Lock 7.7 или Dallas Lock 8.0-К, при условии знания пароля и наличии аппаратного идентификатора, используемых при преобразовании.

Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера, например, сертифицированного «КриптоПро».

9. Система защиты позволяет настраивать «Замкнутую программную среду» (ЗПС) - режим, в котором пользователь может запускать только программы, определенные администратором. Для облегчения настройки ЗПС имеется дополнительный механизм.
10. Также для облегчения настройки ЗПС и не только, существует «мягкий режим» – режим, при работе в котором при обращении к ресурсу, доступ к которому запрещен, доступ все равно разрешается, но в журнал доступа заносится сообщение об ошибке.
11. При использовании защищенных СЗИ НСД Dallas Lock 8.0-K компьютеров в ЛВС возможны удаленный доступ и удаленное администрирование. Средствами удаленного администрирования осуществляется изменение политик безопасности, создание и удаление пользователей, назначение прав доступа к объектам файловой системы, просмотр журналов и управление аудитом и контролем целостности, то есть сам процесс удаленного администрирования визуально ничем не отличается от локального администрирования.

Модуль удаленного администрирования входит в состав всех поставок, его не требуется приобретать отдельно.

12. При использовании нескольких защищенных системой Dallas Lock 8.0-K компьютеров в ЛВС возможно централизованное управление ими. Это осуществимо с использованием специального дополнительного модуля – «Сервер безопасности Dallas Lock» (СБ). Этот модуль должен быть установлен на отдельный компьютер, защищенный системой. Остальные компьютеры, введенные под контроль данного СБ, становятся его клиентами и образуют Домен безопасности. С сервера безопасности возможно централизованное управление политиками безопасности, просмотр состояния, сбор журналов, создание/удаление/редактирование параметров пользователей и другие операции. Кроме того, с помощью еще одного дополнительного модуля централизованного управления «Менеджер серверов безопасности Dallas Lock» есть возможность объединить несколько серверов безопасности в так называемый «Лес безопасности».

Следует отметить, что управление СБ осуществляется программой «Консоль сервера безопасности» (КСБ), которая может быть запущена либо на том же компьютере, что и сама служба СБ, либо на любом другом, имеющем сетевой доступ к серверу безопасности, что делает централизованное управление более удобным. На СБ реализован механизм сигнализации событий НСД на клиентах с возможностью отправки сообщений на почту.

13. Также СЗИ НСД Dallas Lock 8.0-K содержит подсистему самодиагностики, что соответствует требованию Руководящих документов периодического тестирования с помощью тест-программ, имитирующих попытки НСД.

Самодиагностика позволяет выполнить автоматическое тестирование основного функционала системы (создание/удаление пользователя, назначение/снятие параметров доступа к ресурсам и прочее). Самодиагностика позволяет выполнить автоматическое тестирование основного функционала системы (создание/удаление пользователя, назначение/снятие параметров доступа к ресурсам и прочее).

14. Для удобства администрирования системы, возможно задание списка расширений файлов, работа с которыми будет блокирована. Это позволяет, запретить сотрудникам работу с файлами, не имеющими отношения к их профессиональным обязанностям (mp3, avi и прочие).
15. В системе защиты Dallas Lock 8.0-K реализована функция, позволяющая получать отчеты с упорядоченными по выбранному параметру списками пользователей и соответствующими правами на определенные ресурсы системы, - инвентаризация. В данном отчете описываются все ресурсы, на которые назначены права Dallas Lock с учетом наследования прав. Это может быть полезным для проверки соответствия настроек системы. Отчет может быть создан по завершению настроек, и, впоследствии, результаты этого отчета могут быть сверены с текущими настройками системы в любой момент, путем сверки сохраненной версии отчета и создания отчета в момент проведения проверки.
16. В системе защиты реализован механизм создания и сохранения резервной копии файлов Dallas Lock 8.0-K. Функция сохранения резервной копии файлов предназначена для ведения нескольких копий программных компонентов средства защиты информации, с возможностью последующей сверки с файлами, используемыми в системе, обнаружения несоответствий (проверяется не только совпадение размера, но и содержимое файлов) и возможностью восстановления.
17. Для ускорения внедрения СЗИ НСД Dallas Lock 8.0-K в крупных сетях может использоваться механизм удаленной установки средствами сервера безопасности или групповых политик Active Directory.