Анализ системы защиты данных "Dallas Lock"

ФЕДЕРАЛЬНОЕ  АГЕНТСТВО  ПО  ОБРАЗОВАНИЮ

Государственное образовательное учреждение высшего  профессионального образования

«Санкт-Петербургский  государственный политехнический  университет»

ИНСТИТУТ  МЕНЕДЖМЕНТА И ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

(филиал) Санкт-Петербургского государственного политехнического университета в           г. Череповце

(ИМИТ СПбГПУ)

 

 

 

 

 

 

 

 

 

 

Реферат

Тема: «Анализ системы защиты данных «Dallas Lock»»

Дисциплина: «Обеспечение безопасности информации в бухгалтерских  системах»

 

 

 

 

Выполнил студент группы О. 581                            Тревогин А. В.          

Преподаватель                     

       

  «_____» _____________ 2012г.

      ___________      _______________

отметка о зачете    подпись преподавателя

           

 

 

 

 

 

 

 

 

г. Череповец

2012г

Назначение  и состав системы защиты

Назначение

Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа. СЗИ Dallas Lock 7.7 может быть установлена на компьютеры, работающие под управлением следующих ОС: Windows ХР (Service Pack не ниже 3), Windows Server 2003 (SP не ниже 2), Windows Vista (SP не ниже 2), Windows Server 2008 (SP не ниже 2), Windows 7. Dallas Lock 7.7 поддерживает только 32-х битные версии операционных систем.

Система Dallas Lock 7.7 представляет собой программное  средство защиты от несанкционированного доступа к информационным ресурсам компьютеров с возможностью подключения аппаратных идентификаторов.

СЗИ НСД Dallas Lock 7.7 обеспечивает:

• Защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через локальный, сетевой и терминальный входы.
• Разграничение полномочий пользователей по доступу к файловой системе и другим ресурсам компьютера. Разграничения касаются всех пользователей – локальных, сетевых, доменных, терминальных.

Возможности

СЗИ Dallas Lock 7.7 предоставляет  следующие возможности:

1. СЗИ запрещает посторонним лицам доступ к ресурсам ПЭВМ и позволяет разграничить права пользователей при работе на компьютере (постороннее лицо, в данном контексте – человек, не имеющий своей учётной записи на данном компьютере). Разграничения касаются прав доступа к объектам файловой системы, а именно дисков, папок и файлов под ФС FAT и NTFS. Разграничения действуют на доступ к сети, сменным накопителям, аппаратным ресурсам. Для облегчения администрирования возможно объединение пользователей в группы. Контролируются права доступа для локальных, сетевых и терминальных пользователей.
2. В качестве средства идентификации пользователей служат индивидуальные пароли пользователей и, при необходимости, аппаратные идентификаторы:

• Touch Memory (iButton);

• eToken Pro/Java от фирмы “Aladdin Knowledge Systems”;
• Rutoken, Rutoken ЭЦП.

Аппаратная идентификация  не является обязательной.

3. Запрос пароля и аппаратных идентификаторов при входе на ПЭВМ производится до загрузки ОС. Загрузка операционной системы с жесткого диска осуществляется только после ввода личного пароля, предъявления аппаратных идентификаторов и их проверки в СЗИ.
4. Для решения проблемы «простых паролей» система имеет гибкие настройки сложности паролей. Можно задать минимальную длину пароля, необходимость обязательного наличия в пароле цифр, специальных символов, строчных и прописных букв, степень отличия нового пароля от старого.
5. Возможно ограничение доступа пользователей к ПЭВМ по дате и времени. При этом можно назначить дату начала и окончания работы и, соответственно, время начала и окончания работы с точностью до минуты для каждого дня в неделе. Проверка допустимости даты и времени для локального пользователя также происходит до начала загрузки ОС. В случае если у пользователя заканчивается допустимое время работы, за 5 минут до окончания выдается предупреждение, а после происходит автоматическое завершение сеанса работы. Для того, что бы такие ограничения были эффективны изменять текущие дату и время могут только пользователи, у которых есть соответствующие права.
6. Возможна блокировка клавиатуры на время загрузки компьютера. Это позволяет избежать выбора альтернативных вариантов загрузки ОС (“Безопасный режим” и т.д.).
7. Возможно ограничение круга доступных для пользователя объектов файловой системы (дисков, папок и файлов под FAT и NTFS). Применяется полностью независимый от ОС механизм.

Используются два принципа контроля доступа:

• дискреционный - обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списками пользователей (групп) и их правами доступа. В соответствии с содержимым списка вычисляются права на доступ к объекту для каждого пользователя (открытие, запись, чтение, удаление, переименование, запуск, копирование);
• мандатный - каждому пользователю присваивается уровень доступа и некоторым объектам файловой системы тоже присваивается уровень доступа (по умолчанию, все объекты имеют уровень доступа «открытые данные», но он может быть поднят до любого уровня из 50-ти доступных). Пользователь будет иметь доступ к объектам, уровень доступа которых не превышает его собственный.

8. В СЗИ реализована система контроля целостности параметров компьютера. Она обеспечивает:

• контроль целостности программно-аппаратной среды компьютера;
• контроль целостности файлов и папок при загрузке компьютера;
• контроль целостности файлов при доступе;
• контроль целостности ресурсов ФС по расписанию;
• периодический контроль целостности ФС через заданные интервалы времени;
• блокировку загрузки компьютера при выявлении изменений;
• блокировку запуска программ при выявлении изменений.

Для контроля целостности  используются контрольные суммы, вычисленные  по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.

9. СЗИ Dallas Lock 7.7 включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.

Подсистема позволяет:

• очищать освобождаемую память;
• очищать файл подкачки виртуальной памяти;
• очищать освобождаемое дисковое пространство;
• очищать определенные папки при выходе пользователя из системы;
• принудительно зачищать определённые файлы и папки, используя соответствующий пункт в контекстном меню проводника (windows explorer).

10. В СЗИ реализовано ведение 6 электронных журналов, в которых фиксируются действия пользователей это:

• журнал входов. В журнал заносятся все входы (или попытки входов с указанием причины отказа) и выходы пользователей ПЭВМ, включая как локальные, так и сетевые, в том числе терминальные входы и входы для удаленного администрирования;
• журнал доступа к ресурсам. В журнал заносятся обращения к объектам файловой системы, для которых назначен аудит. Можно гибко настраивать для каждого объекта, какие события нужно заносить в журнал, а какие нет;
• журнал запуска процессов. В журнал заносятся события запуска и завершения процессов;
• журнал управления политиками безопасности. В журнал заносятся все события связанные с изменением конфигурации СЗИ. Так же в этот журнал заносятся события запуска/завершения модулей администрирования и события запуска/завершения работы Dallas Lock;
• журнал управления учетными записями. В журнал заносятся все события связанные с созданием или удалением пользователей, изменением их параметров;
• журнал печати. В журнал заносятся все события, связанные с распечаткой документов на локальных или сетевых принтерах.

Для облегчения работы с журналами  есть возможность фильтрации записей  по определенному признаку и экспортирования  журналов в различные форматы. При  переполнении журнала, его содержимое автоматически компрессируется и помещается в специальную папку, доступ к которой есть, в том числе, и через средства удалённого администрирования. Этим обеспечивается непрерывность ведения журналов.

11. Подсистема перехвата событий печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп. Формат и поля штампа могут гибко настраиваться.
12. Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход СЗИ, предусмотрена функция преобразования в «прозрачном» режиме. Данные могут преобразовываться с использованием одного из двух алгоритмов: XOR32 или ГОСТ 28147-89. Информация преобразуется при записи и декодируется при чтении с носителя. При работе процесс преобразования незаметен для пользователя. Возможен выбор дисков, которые будут преобразованы и размеры преобразуемых областей. После того как диск преобразован, получить доступ к информации, хранящейся на нем, без знания пароля для входа в СЗИ невозможно. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск будет подключен к другому компьютеру.
13. Для защиты данных при хранении их на внешних носителях либо при передаче по различным каналам связи есть возможность преобразования данных в файл-контейнер. В качестве ключа преобразования используется пароль и при необходимости, аппаратный идентификатор. «Распаковать» такой контейнер можно на любом компьютере с Dallas Lock 7.7 с использованием пароля и аппаратного идентификатора, используемых при преобразовании. Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера, например, сертифицированного «КриптоПро».
14. Для предотвращения утечки информации через сменные накопители (такие как USB-Flash Drive, дискета, внешний жёсткий диск) система позволяет разграничивать доступ как к отдельным типам накопителей, так и к конкретным устройствам. Кроме того, система позволяет управлять доступом к последовательным (COM) и параллельным (LPT) портам компьютера.
15. Система позволяет настраивать замкнутую программную среду (режим, в котором пользователь может запускать только программы, определенные администратором).
16. Возможна установка СЗИ на портативные компьютеры (ноутбуки).
17. Возможна установка СЗИ на компьютеры, работающие в составе домена (как на клиентские ПК, так и на контроллер домена).
18. Возможна установка на сервере терминального доступа.
19. Система позволяет просматривать экранные снимки удаленного компьютера. Для осуществления этого пользователь должен обладать особыми правами. Снимки могут быть сохранены в файлы и просмотрены в дальнейшем.
20. При использовании  нескольких СЗИ в ЛВС, возможно удалённое администрирование. Средствами удалённого администрирования возможно изменение политик безопасности, создание и удаление пользователей, назначение прав доступа к объектам файловой системы, просмотр журналов и управление аудитом. Процесс удалённого администрирования визуально не отличается от локального администрирования.
21. При использовании нескольких СЗИ в ЛВС, возможно централизованное управление ими. Это осуществляется с использованием специального модуля - Сервер безопасности. Этот модуль должен быть установлен на отдельный компьютер, защищенный СЗИ Dallas Lock 7.7. Остальные компьютеры, введённые под контроль данного Сервера безопасности, станут его клиентами и образуют домен безопасности. С Сервера безопасности станет возможным централизованное управление политиками безопасности, просмотр состояния, автоматический сбор журналов, создание/удаление/редактирование параметров пользователей и другие операции по настройке и управлению клиентами. Так же, Сервер безопасности позволяет производить удалённую установку СЗИ Dallas Lock 7.7 на другие компьютеры в ЛВС. Кроме того, с помощью модуля Менеджер серверов безопасности есть возможность объединить несколько Серверов безопасности в Лес безопасности (ЛБ).
22. Dallas Lock 7.7 содержит подсистему самодиагностики основного функционала СЗИ.
23. Для удобства администрирования системы, возможно задание списка расширений файлов, работа с которыми будет блокирована. Это позволит, к примеру, запретить сотрудникам работу с файлами, не имеющими отношения к их профессиональным обязанностями (mp3, avi и т.д.)
24. Для проверки соответствия настроек СЗИ есть возможность создания отчетов по назначенным правам на объекты файловой системы. В данном отчете будут описаны все ресурсы, на которые назначены права Dallas Lock с учетом наследования прав. Данный отчет может быть создан по завершению настройки СЗИ и, в последствии, результаты этого отчета могут быть сверены с текущими настройками СЗИ в любой момент, путем сверки сохраненной версии отчета и создания отчета в момент проведения проверки.
25. Предусматривается ведение двух копий  программных средств защиты информации, их периодическое обновление и контроль работоспособности.
26. Для увеличения степени защищённости возможно назначение дополнительных паролей на выполнение операций по администрированию СЗИ. Все операции разделены на несколько групп (управление пользователями, управление политиками, управление доступом, и т.д.) и для каждой группы возможно назначение своего индивидуального пароля. Запрос пароля будет производиться непосредственно перед выполнением операции. Возможно задание временного интервала, в течение которого один и тот же пароль не будет запрашиваться повторно.
27. При необходимости переноса настроек Dallas Lock 7.7 (политики, пользователи, группы, права доступа к ресурсам ФС и т.д.) на другие компьютеры, либо для сохранения настроек при переустановке системы, существует возможность создания файла конфигурации, который будет содержать выбранные администратором параметры. Файлы конфигурации могут быть применены либо в процессе установки СЗИ, либо на уже защищенную ПЭВМ.
28. Для облегчения настройки таких возможностей, как «Замкнутая программная среда» и «Мандатный доступ», существует:

• «мягкий режим» – режим, в котором, при обращении к ресурсу, доступ к которому запрещён, доступ всё равно разрешается, но в журнал доступа заносится сообщение об ошибке;

• «режим обучения» - в этом режиме, при обращении к ресурсу, доступ к которому запрещён, на этот ресурс автоматически назначаются выбранные администратором права.

Отличительной особенностью системы Dallas Lock 7.7 является возможность гибкого управления набором защитных средств системы. Пользователь, имеющий право администрирования, может активизировать на компьютере различные комбинации защитных механизмов системы, выбирая из них только необходимые и устанавливая соответствующие режимы их работы. Dallas Lock 7.7 отличается удобным и современным интерфейсом и высокой надёжностью.

Состав системы

Система защиты Dallas Lock 7.7 состоит из следующих подсистем:

1. Драйвер защиты. Является ядром системы защиты и выполняет основные функции СЗИ. Обеспечивает мандатный и дискреционный режимы контроля доступа к объектам файловой системы. Обеспечивает доступ к журналам, параметрам пользователей и параметрам СЗИ в соответствии с правами пользователей. Обеспечивает работу механизма делегирования полномочий. Обеспечивает проверку целостности СЗИ, объектов файловой системы и компьютера. Драйвер осуществляет полную проверку правомочности и корректности администрирования СЗИ, независимо от проверок, осуществляемых в подсистеме администрирования СЗИ.
2. Загрузчик. Отрабатывает до начала загрузки ОС. Обеспечивает начальную идентификацию и аутентификацию пользователей, проверку целостности системы защиты, объектов файловой системы и параметров компьютера (BIOS, CMOS, MBR, Boot-sector), запуск подсистемы прозрачного преобразования.
3. Подсистема локального администрирования. Обеспечивает все возможности по управлению СЗИ, аудиту и настройке СЗИ, просмотру, фильтрации и очистке журналов.
4. Подсистема удаленного администрирования. Позволяет выполнять настройку системы защиты с удалённого компьютера.
5. Модуль Сервер безопасности. Позволяет объединять защищенные компьютеры в домен безопасности для централизованного управления.
6. Модуль Менеджер серверов безопасности. Позволяет объединить несколько Серверов безопасности в единую логическую единицу «Лес безопасности». С помощью этого модуля становиться возможным централизованный сбор журналов со всех Серверов безопасности и применение политик.
7. Подсистема идентификации и аутентификации. Обеспечивает идентификацию и аутентификацию локальных, доменных, терминальных и удаленных пользователей на этапе входа в операционную систему.
8. Подсистема прозрачного преобразования жесткого диска. Единицей преобразуемой информации является сектор жесткого диска. Подсистема позволяет настраивать размер преобразуемой части жесткого диска и алгоритм преобразования.