Автор работы: Пользователь скрыл имя, 09 Апреля 2014 в 20:34, курсовая работа
Актуальность проблемы защиты конфиденциальной информации в вычислительных сетях не нуждается в обосновании. Сейчас, когда документооборот и информационные потоки всё больше уходят в область электронной сферы, как никогда остро стоит вопрос о создании комплексной, централизованной и всеобъемлющей системы контроля над информацией, циркулирующей внутри локальных сетей предприятий.
Спрос рождает предложение, и на рынке появились конкурирующие системы. Вопрос выбора конкретной системы становится нетривиальной задачей в силу сложности и объёмности каждого программного продукта. Требуется комплексный сравнительный анализ.
1 Вступление 3
2 Программное средство «Блокхост-сеть». Описание 4
1.1. Краткое описание 4
1.2. Функции 4
1.3. Технические характеристики среды выполнения 5
1.4. Структура системы 5
1.5. Достоинства 6
1.6. Сведения производителя 7
1.7. Нормативная информация 7
3 Программное средство «Dallas Lock». Описание 9
3.1. Краткое описание 9
3.2. Функции 9
3.3. Технические характеристики среды выполнения 10
3.4. Структура системы 11
3.5. Достоинства 13
3.6. Сведения производителя 14
3.7. Нормативная информация 14
4 Таблица характеристик 15
5 Сравнительный анализ 17
5.1. Дистрибуция и установка 17
5.2. Документация 18
5.3. Общие характеристики 19
5.4. Возможности 22
6 Результаты сравнения и выводы 36
• обеспечивает проверку целостности СЗИ НСД, объектов файловой системы и компьютера;
• драйвер осуществляет полную проверку правомочности и корректности администрирования СЗИ НСД.
С драйвером защиты взаимодействуют следующие защитные подсистемы:
2. Подсистема управления доступом. Включает в себя:
• подсистему входов. Обеспечивает идентификацию и аутентификацию локальных, доменных, терминальных и удаленных пользователей на этапе входа в операционную систему;
• подсистему аппаратной идентификации. Осуществляет работу с различными типами аппаратных идентификаторов;
• подсистему дискреционного доступа;
• подсистему мандатного доступа.
3. Подсистема регистрации и учета. Включает:
• подсистему аудита. Обеспечивает ведение аудита и хранение информации 6-ти категорий событий в журналах;
• подсистему очистки остаточной информации.
4. Подсистема контроля целостности. Обеспечивает целостность программ и данных, периодическое тестирование СЗИ НСД, наличие средств восстановления СЗИ НСД, контроль целостности программно-аппаратной среды.
5. Модуль доверенной загрузки. Является опционным модулем, включается по команде администратора и может быть не активированным. Активный модуль отрабатывает до начала загрузки ОС. Обеспечивает начальную авторизацию, запуск подсистемы прозрачного преобразования.
6. Подсистема внедрения в интерфейс windows explorer («проводник»). Обеспечивает отображение пунктов в контекстном меню объектов, необходимых для назначение прав доступа к объектам ФС, вызова функции принудительной зачистки объектов ФС, создания кодированных файлов-контейнеров.
7. Подсистема локального администрирования. Обеспечивает все возможности по управлению СЗИ НСД, аудиту и настройке СЗИ НСД, просмотру, фильтрации и очистке журналов.
8. Подсистема удаленного администрирования. Позволяет выполнять настройку системы защиты с удалённого компьютера.
9. Подсистема преобразования информации. Обеспечивает кодирование и декодирование данных в файлах-контейнерах.
10. Подсистема печати. Обеспечивает разграничение доступа к печати, добавление штампа на документы, сохранение их теневых копий, регистрацию событий печати в подсистеме аудита.
11. Подсистема прозрачного преобразования дисков. Позволяет осуществить преобразование информации, хранящейся на локальных дисках, что предотвращает доступ к данным, расположенным на жёстких дисках, в обход СЗИ НСД Dallas Lock 8.0.
12. Подсистема централизованного управления. Включает в себя основные компоненты:
• модуль «Сервер безопасности». Позволяет объединять защищенные компьютеры в домен безопасности для централизованного управления;
• модуль «Менеджер серверов безопасности». Позволяет объединить несколько Серверов безопасности в единую логическую единицу «Лес безопасности». С помощью этого модуля становиться возможным централизованный сбор журналов со всех Серверов безопасности и применение политик.
Производитель продукта - ООО «КОНФИДЕНТ».
На различные виды услуг, предоставляемых в пакете, производителем заявлены следующие цены:
СЗИ от НСД Dallas Lock (дистрибутив и право на использование) |
6 000 руб. |
|
10 - 24 шт. |
5 700 руб. |
|
25 - 49 шт. |
5 400 руб. |
|
50 - 99 шт. |
4 900 руб. |
|
100 - 249 шт. |
4 300 руб. |
|
250 - 999 шт. |
3 600 руб. |
|
от 1000 шт. |
3 300 руб. |
|
Dallas Lock Activator (аппаратный USB-ключ) |
3 000 руб. |
|
Обновление с предыдущей версии до версии Dallas Lock |
4 500 руб. |
Программный продукт обладает всеми необходимыми сертификатами, позволяющими использовать его для защиты:
Далее приведена таблица, в которой собраны все значимые для анализа характеристики систем. По каждой приведён краткий вывод, более подробный анализ приведён ниже.
Характеристика |
Dallas-Lock |
БлокХостСеть |
Дистрибуция и установка | ||
Доступность дистрибутивов |
Высокая |
Стандартная |
Простота установки |
Средняя |
Высокая |
Ограничения при установке |
Есть |
Нет |
Простота удаления |
Высокая |
Высокая |
Документация | ||
Наличие документации |
Есть |
Есть |
Полнота документации |
Высокая |
Очень высокая |
Доступность документации |
Высокая |
Высокая |
Общие характеристики | ||
Наивысший уровень секретности |
1Б |
1В |
Допустимые ИС |
ЛВС и рабочие станции |
ЛВС и рабочие станции |
Собственная безопасность |
Очень высокая |
Высокая |
Сертификация |
Требуемая |
Требуемая |
Простота интерфейса |
Очень высокая |
Средняя |
Ценовые характеристики |
Хорошие |
Приемлемые |
Возможности | ||
Дискреционный контроль |
Есть, удобный функционал |
Есть |
Мандатный контроль |
Есть |
Есть |
Контроль запуска процессов |
Есть, удобный функционал |
Есть |
Механизм замкнутой программной среды |
Есть, функционал объединён с контролем запуска процессов |
Есть, функционал альтернативен контролю запуска процессов |
Контроль целостности |
Есть, очень широкий функционал |
Есть, скудный функционал |
Контроль внешних устройств |
Есть |
Есть |
Использование электронных идентификаторов |
Есть, широкий выбор типов идентификаторов |
Есть |
Контроль печати |
Есть |
Есть, тонкая настройка, широкий функционал |
Журналирование |
Есть, широкий функционал |
Есть, широкий функционал |
Таблица 1. Характеристики сравниваемых систем
Доступность дистрибутивов
В обоих случаях продемонстрирована высокая доступность дистрибутивов демо-версий для ознакомления. Дистрибутивы доступны для скачивания при обращении на сайт разработчика. Тем не менее, в случае БХС, для получения дистрибутива необходимо заполнить форму запроса. После заполнения ссылка на скачивание отправляется на e-mail автоматически и без какого-либо промедления, что ставит под сомнение сам факт обработки выданных данных заявителя. Кроме того, использования электронной почты (в том числе, бесплатной) в качестве посредника при предоставлении дистрибутива – потенциально проблемное усложнение процесса. Логичнее предоставление прямой ссылки с сайта разработчика, как в случае DL.
Предпочтение: Dallas-Lock.
Простота установки
Установка обоих программных продуктов не содержит проблемных моментов. Обе системы устанавливаются с использованием автоматизированных инсталляторов, количество предоставляемых настроек при установке минимально (однако, в случае БХС несколько больше). В обоих случаях после установки требуется перезагрузка системы. После перезагрузки предполагается введение пароля администратора. При этом, в случае установки DL не указывается, требуется ли ввести пароль администратора системы или указанный при установке пароль администратора серверной части DL, что может послужить причиной затруднений персонала при первом запуске системы с установленным программным продуктом.
Также, установка БХС происходит значительно быстрее (более чем в 2 раза).
Предпочтение: БлокХостСеть.
Ограничения при установке
В процессе установки программного продукта Dallas-Lock предъявляется следующее требование: операционная система должна быть инсталлирована на диск С. В случае, если в организации имеется большой штат компьютеров с операционными системами, установленными на разделы с другой стандартной меткой, это может послужить источником проблем (даже в случае прямой замены метки диска такая операция может вызвать проблемы с обратной совместимостью прочих установленных программных продуктов).
Предпочтение: БлокХостСеть.
Простота удаления
Оба программных продукта обладают максимально дружественным интерфейсом деинсталляции.
Предпочтение: невозможно определить.
Общее предпочтение: БлокХостСеть. Развёрнутые параметры инсталляции, скорость и большая интуитивная понятность – преимущества БХС.
Наличие документации
Оба программных продукта обладают развёрнутой документацией. Задокументированы все стадии использования продукта различными пользователями: администратором, пользователем, описаны процессы установки и удаления.
Предпочтение: невозможно определить.
Полнота документации
БХС обладает более развёрнутой, подробной и интуитивно понятной документацией. Структура ближе к процессу использования, располагая конкретным вопросом по применению программного средства, того или иного его узла, проще найти ответ, ориентируясь только по содержанию. Гораздо больше иллюстраций со снимками экрана, что упрощает чтение документации.
Предпочтение: БлокХостСеть.
Доступность документации
Документация обоих программных продуктов доступна с сайта разработчика. В случае БХС процесс поиска ресурсов документации несколько более сложный, однако, это незначительный недостаток, так как для нахождения всех нужных ресурсов так или иначе требуется не более пяти минут.
Предпочтение: невозможно определить.
Общее предпочтение: БлокХостСеть. Определяющим фактором, помимо собственно наличия, является простота и понятность документации. В этом пункте БХС предпочтительнее.
Наивысший уровень секретности
Dallas-Lock имеет верхнюю планку на уровне 1Б (совершенно секретно).
БлокХостСеть позволяет защищать информацию до класса 1В (секретно).
Предпочтение: Dallas-Lock.
Допустимые информационные системы
Оба программных продукта могут применяться в системах одного класса – локальных сетях с доменной структурой, либо на отдельных рабочих станциях. Максимальные масштабы сетей не отличаются.
Предпочтение: невозможно определить.
Собственная безопасность
При экспериментах с программной средой БлокХостСеть было обнаружено, что при наличии на рабочей станции второй операционной системы, установленной на другой раздел, возможно удаление программного продукта внештатным методом – правкой реестра, ручной заменой драйверов, удалением программных файлов. Процесс крайне трудоёмкий, однако позволяет получать контроль над защищённой системой и может быть расценен как эксплойт, пусть и маловероятный. В случае с Dallas-Lock подобные операции привели к неработоспособности системы, на которую был установлен программный продукт. В то же время, оба продукта имеют достаточно высокий уровень «защиты от дурака» - простыми способами повредить их или деинсталлировать не представляется возможным.