телефоны: +7 (812) 325-1037, +7 (812) 677-9092

СЗИ Dallas Lock 8.0-С

Возможности

СЗИ Dallas Lock 8.0-C – система защиты информации от несанкционированного доступа и от раскрытия информации ограниченного доступа до уровня «совершенно секретно».
Представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.

Соответствие требованиям руководящих документов
(требования безопасности информации ФСТЭК России)

  • «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 3 классу защищенности;
  • «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 2 уровню контроля;
  • «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1997) – по 3 классу защищенности;
  • «Требования к системам обнаружения вторжений» (документ утвержден приказом ФСТЭК России № 638 от 6 декабря 2011 г.) - по 4 классу защиты;
  • «Профиль защиты систем обнаружения вторжений уровня узла четвертого класса защиты» ИТ.СОВ.У4.ПЗ;
  • «Требования к средствам контроля съемных машинных носителей информации» (документ утвержден приказом ФСТЭК России № 87 от 28 июля 2014 г.) – по 2 классу защиты;
  • «Профиль защиты средств контроля подключения съемных машинных носителей информации второго класса защиты» ИТ.СКН.П2.ПЗ.

Назначение

  • создание защищенных автоматизированных систем до класса защищенности 1Б* включительно (Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992));
  • обеспечение 1 уровня защищенности персональных данных (Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»);
  • защита информации в государственных информационных системах 1 класса защищенности (Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»);
  • создании защищенных информационных систем управления производственными и технологическими процессами (АСУ ТП) на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды до 1 класса защищенности включительно (Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»).
  • защита информации в значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории включительно (Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»).

* МЭ для СЗИ Dallas Lock 8.0-C - до 1B включительно, СОВ для СЗИ Dallas Lock 8.0-C - до 1Г включительно.

Обеспечивает

  • защиту информации от несанкционированного доступа на персональных компьютерах, портативных и мобильных компьютерах (ноутбуках и планшетных ПК), серверах (файловых, контроллерах домена и терминального доступа), работающих как автономно, так и в составе ЛВС. Поддерживает виртуальные среды;
  • дискреционный и мандатный принципы разграничения доступа к информационным ресурсам и подключаемым устройствам;
  • аудит действий пользователей – санкционированных и без соответствующих прав, ведение журналов регистрации событий;
  • контроль целостности файловой системы, программно-аппаратной среды и реестра;
  • объединение защищенных ПК для централизованного управления механизмами безопасности;
  • приведение АС, ГИС, АСУ ТП, КИИ и систем обработки ПДн в соответствие законодательству РФ по защите информации.

Используемые аппаратные электронные идентификаторы

  • USB-Flash-накопители;
  • электронные ключи Touch Memory (iButton);
  • USB-ключи и смарт-карты eToken;
  • USB-ключи Рутокен;
  • USB-ключи и смарт-карты JaCarta;
  • карты HID Proximity;
  • USB-ключи и смарт-карты ESMART.

Демо

Для получения демо-версии Dallas Lock 8.0-С необходимо:

1. Заполнить заявку, отсканировать ее и отправить по электронной почте: isc@confident.ru или по факсу: (812) 325-10-37 доб. 322.

2. После одобрения заявки демо-версия продукта будет предоставлена по электронной почте.

Если в течение одного рабочего дня ответ не последовал, необходимо связаться с менеджерами Коммерческого департамента ЦЗИ по телефону: (812) 325-10-37.

Документация

Представленные документы входят в комплект поставки изделия. Информация, размещенная в данном разделе, не может быть частично или полностью скопирована, распространена или передана любым другим способом для коммерческого использования без письменного согласия ООО «Конфидент».
Информация, содержащаяся в представленных документах, может быть изменена разработчиком без специального уведомления.

Описание применения

В документе содержатся общие сведения о назначении Dallas Lock 8.0-С.

Руководство оператора (пользователя)

В документе содержатся сведения, необходимые пользователю для работы на защищенном Dallas Lock 8.0-С компьютере.

Руководство по эксплуатации

В документе содержатся сведения по установке, настройке и эксплуатации Dallas Lock 8.0.

Инструкция по использованию Сервера лицензий

В документе содержатся сведения по установке, настройке и эксплуатации Сервера лицензий Dallas Lock.

Инструкция по использованию SQL-сервера для Сервера безопасности

В документе содержатся сведения по установке, настройке и эксплуатации SQL-сервера для Сервера безопасности Dallas Lock.

Идентификация и аутентификация

Подсистема идентификации и аутентификации

Подсистема идентификации и аутентификации тесно переплетена с подсистемой управления доступом и осуществляет контроль локальных, доменных пользователей на этапе входа в операционную систему. Подсистема реализует следующие возможности:

  • усиленную (двухфакторную) аутентификацию пользователей при помощи аппаратных идентификаторов;
  • проверку учетной записи пользователя на соответствие действующим политикам безопасности (парольным политикам, расписанию работы пользователей);
  • запрет использования парольного интерфейса входа.

Регистрация и учет

Подсистема регистрации и учета

С помощью подсистемы регистрации и учета в СЗИ Dallas Lock 8.0 происходит регистрация событий и их группировка в зависимости от типов событий, подлежащих протоколированию, также задается степень детализации аудита и другие факторы. Подсистема обеспечивает следующие возможности:

  • ведение аудита и хранение информации 11 категорий событий в журналах. При отображении журналов в оболочке администрирования возможно фильтровать записи по настраиваемым параметрам и (или) времени, упорядочивать, группировать, экспортировать и архивировать;
  • разграничение доступа к печати, добавление штампа на документы (с возможностью гибкой настройки штампа), сохранение их теневых копий, регистрацию событий печати.

Управление доступом

Подсистема управления доступом

Подсистема управления доступом реализует собственные механизмы направленные на контроль доступа пользователей в операционную систему и к защищаемым объектам – объектам файловой системы, реестру и устройствам. Используются следующие защитные механизмы:

  • управление учетными записями пользователей;
  • парольные политики, настройки расписания работы пользователей, политики входа;
  • разграничение доступа к локальным защищаемым объектам на основе дискреционного и мандатного принципов разграничения прав доступа;
  • настройку прав доступа к сетевым ресурсам;
  • замкнутую программную среду.
Реализован режим обучения, включаемый по требованию администратора и позволяющий наиболее эффективно и безопасно настроить правила разграничения доступа.

Гарантированная зачистка информации

Подсистема гарантированной зачистки информации

СЗИ Dallas Lock 8.0 включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных. Подсистема позволяет выполнять следующие задачи:

  • затирать всю остаточную информацию при освобождении областей на дисках, т. е. при удалении файлов, или при перемещении файлов, или при уменьшении размеров файлов. Затирание производится записью маскирующей последовательности поверх освобождаемого пространства;
  • затирать всю остаточную информацию в файле подкачки Windows. Затирание проводится записью маскирующей последовательности поверх файла подкачки. Очистка проводится при завершении работы (закрытии файла подкачки) и, если очистка была прервана, при старте системы (открытии файла подкачки);
  • принудительно зачищать конкретную папку/файл;
  • проверять корректное завершение процесса очистки информации;
  • предотвращать возможность завершения сеанса работы одного пользователя и начала работы другого без перезагрузки, что гарантирует освобождение используемых областей оперативной памяти, с помощью параметра «Запрет смены пользователя без перезагрузки».

Преобразование информации

Подсистема преобразования информации

Подсистема преобразования информации реализует дополнительную защиту информации от утечек путем преобразования защищаемых объектов в формат, исключающий несанкционированное ознакомления с такой информацией. Обеспечивает следующие возможности:

  • прозрачное преобразование жесткого диска (уровень загрузочной записи);
  • преобразование сменных накопителей информации;
  • преобразование информации в файл-контейнерах и файл-дисках.

Контроль устройств

Подсистема контроля устройств

Подсистема контроля устройств реализует возможность разграничения доступа к подключаемым на ПК устройствам для определенных пользователей или групп пользователей и ведения аудита событий данного доступа. Подсистема реализует следующие возможности:

  • настройку прав доступа к классам устройств и конкретным экземплярам устройств;
  • контроль целостности программно-аппаратной среды;
  • регистрацию и добавление описания для сменных накопителей.
Содержит механизмы контроля съемных носителей, сертифицированные в соответствии с требованиями к средствам контроля съемных машинных носителей информации, утвержденными Приказом ФСТЭК России № 87 от 28 июля 2014 г., по 4 классу защиты.

Межсетевое экранирование

Подсистема межсетевого экранирования

Межсетевой экран является модулем СЗИ Dallas Lock 8.0 и предназначен для защиты рабочих станций и серверов от несанкционированного доступа посредством осуществления контроля и фильтрации проходящих через сетевые интерфейсы ПК сетевых пакетов в соответствии с заданными правилами.

Модуль осуществляет защиту как физических, так и виртуальных машин и поддерживает работу со всеми основными сетевыми протоколами.

Реализует следующие возможности:

  • фильтрацию сетевого трафика;
  • контроль сетевых соединений;
  • сбор и отображение статистической информации о функционировании МЭ;
  • удаленное и централизованное управление.

* Возможность активации модуля определяется договором поставки и номером лицензии.

Обнаружение и предотвращение вторжений

Система обнаружения и предотвращения вторжений

Система обнаружения и предотвращения вторжений (СОВ) является модулем СЗИ Dallas Lock 8.0 и реализует защиту от попыток неавторизованного доступа в компьютерную систему или сеть, слежения за попытками нарушения безопасности путем анализа поведения (активности) приложений, анализа журналов операционной системы и прикладного ПО.

Защитные механизмы СОВ интегрированы в СЗИ Dallas Lock 8.0, благодаря чему достигается наибольшая эффективность в защите от компьютерных атак, предоставляя уникальный инструмент с единой управляющей оболочкой.

  • Осуществляет эвристический и сигнатурный анализ попыток нарушения безопасности.
  • Позволяет применять гибкие настройки реагирования на попытки нарушения безопасности
    (уведомления, блокировки IP-адреса злоумышленника и т. д.).
  • Использует механизмы обнаружения вторжений на основе анализа служебной информации протоколов сетевого уровня.
  • Выявляет аномалии в действиях пользователя ПК.

* Поставка данного модуля определяется договором поставки.

Контроль целостности

Подсистема контроля целостности

Обеспечивает контроль целостности файловой системы, программно-аппаратной среды и реестра, периодическое тестирование СЗИ, наличие средств восстановления СЗИ, восстановление файлов и веток реестра в случае нарушения их целостности.

Основу механизмов контроля целостности представляет проверка соответствия контролируемого объекта эталонному образцу (контрольным суммам).

Сервер лицензий

Сервер лицензий

Специальный модуль «Сервер лицензий» является расширением СЗИ Dallas Lock 8.0 и представляет собой специализированное серверное приложение, позволяющее упростить управление лицензиями в рамках сети защищенных компьютеров.

Благодаря Серверу лицензий трудозатраты на управление лицензиями терминальных подключений, лицензиями в рамках нескольких Доменов безопасности сводятся к минимуму.

Применяя механизмы репликации Серверов безопасности, динамического распределения лицензий Сервером лицензий, на базе Домена безопасности (Леса безопасности) возможно построить отказоустойчивый кластер, способный выдерживать высокие нагрузки.

Сервер лицензий позволяет упростить конфигурирование информационной системы, защищенной СЗИ за счет того, что:

  • возможность в качестве Сервера безопасности (СБ) или терминального сервера использовать виртуальные машины под управлением гипервизора Hyper-V (данный гипервизор не поддерживает проброс USB-устройств, можно вынести использование аппаратных ключей на физическую машину с установленным Сервером лицензий);
  • исчезает необходимость установки дополнительных драйверов для поддержки аппаратных ключей на СБ или терминальный сервер;
  • исчезает необходимость приобретения и использования нескольких аппаратных ключей, если используется несколько СБ и терминальных серверов;
  • реализуется механизм динамического распределения лицензий на терминальные подключения, что позволяет балансировать нагрузку на серверы;
  • реализовано гибкое перераспределение лицензий на централизованное управление для нескольких СБ, как устанавливаемых отдельно, так и в одном Домене безопасности в качестве дублирующих друг друга (репликация СБ).

* Поставка данного модуля определяется договором поставки.

Менеджер серверов безопасности

Менеджер серверов безопасности

Специальный модуль «Менеджер серверов безопасности» является расширением системы защиты информации, поставляется в виде отдельного модуля и устанавливается на отдельный компьютер, защищенный СЗИ Dallas Lock 8.0.

Предназначен для крупных распределённых сетей, в которых существует потребность создания нескольких Доменов безопасности (ДБ), и позволяет включить под свое управление несколько Серверов безопасности.

Предоставляет следующие возможности:

  • сбор журналов с определенного ДБ, либо со всех ДБ, входящих в данный Лес безопасности;
  • централизованное применение политик безопасности;
  • подключение к Серверу безопасности для удаленного сетевого или централизованного управления.

* Поставка данного модуля определяется договором поставки.

Сервер безопасности

Сервер безопасности

Специальный модуль «Сервер безопасности» является расширением системы защиты информации и устанавливается на отдельный компьютер, защищенный СЗИ Dallas Lock 8.0.

Сервер безопасности позволяет объединять защищаемые компьютеры в Домен безопасности для централизованного и оперативного управления.

Модуль предоставляет следующие возможности:

  • централизованное управление пользователями и группами пользователей на клиентах;
  • централизованное управление политиками безопасности клиентов;
  • централизованный сбор журналов с клиентов;
  • управление доступом к ресурсам файловой системы и к устройствам на клиентах;
  • просмотр состояния отдельных клиентов;
  • объединение клиентов в группы;
  • оповещение о событиях НСД в рамках Домена безопасности.

* Поставка данного модуля определяется договором поставки.

Подсистема развертывания

Подсистема развертывания (установочные модули)

Подсистема развертывания представляет собой набор специальных механизмов, отвечающих за корректную и безопасную установку (обновление) системы защиты информации, а также за установку первичных настроек СЗИ, проверку среды окружения и установку защиты для конфигурационных и служебных файлов СЗИ. Включает в себя механизмы подготовки установочных дистрибутивов при централизованной или удаленной установке СЗИ при помощи Сервера безопасности или групповых политик безопасности (GPO) ОС MS Windows.

Подсистема восстановления после сбоев

Подсистема восстановления после сбоев

Подсистема восстановления после сбоев обеспечивает отказоустойчивость и непрерывность функционирования системы защиты информации путем применения специальных защитных механизмов:

  • контроль целостности объектов файловой системы ОС и СЗИ, программно-аппаратной среды и реестра;
  • периодическое тестирование корректности функционирования СЗИ;
  • восстановление файлов и веток реестра в случае нарушения их целостности (восстановление объектов СЗИ).

Локальная система администрирования

Подсистема администрирования

Подсистема администрирования позволяет настроить систему защиты в соответствии с необходимыми требованиями, управлять работой пользователей, управлять параметрами аудита событий, происходящих в системе, настраивать политики безопасности, просматривать журналы событий и т. д.

Предоставляет интерфейс для полной и тонкой настройки всех защитных механизмов СЗИ. В качестве интерфейса взаимодействия предоставляется локальная или сетевая оболочка администрирования – современная графическая оболочка с интуитивно понятным интерфейсом, позволяющая просматривать и настраивать параметры безопасности СЗИ и рабочей станции в едином приложении.

Драйвер защиты

Программное ядро (драйвер защиты)

Драйвер защиты представляет собой программное ядро системы защиты информации и выполняет следующие основные функции:

  • обеспечивает дискреционный режим контроля доступа к объектам файловой системы, реестру и устройствам;
  • обеспечивает доступ к журналам, параметрам пользователей и параметрам СЗИ в соответствии с правами пользователей;
  • обеспечивает работу механизма делегирования полномочий;
  • обеспечивает проверку целостности СЗИ, объектов ФС, программно-аппаратной среды и реестра;
  • осуществляет полную проверку правомочности и корректности администрирования СЗИ;
  • осуществляет управление подсистемами и модулями системы защиты и обеспечивает их взаимодействие.
Драйвер защиты автоматически запускается на защищаемом компьютере при его включении и функционирует на протяжении всего времени работы. Драйвер осуществляет управление подсистемами и модулями системы защиты и обеспечивает их взаимодействие.

Администрирование

Администрирование

Подсистема администрирования позволяет настроить систему защиты в соответствии с необходимыми требованиями, управлять работой пользователей, управлять параметрами аудита событий, происходящих в системе, настраивать политики безопасности, просматривать журналы событий и т. д.

Предоставляет интерфейс для полной и тонкой настройки всех защитных механизмов СЗИ. В качестве интерфейса взаимодействия предоставляется локальная или сетевая оболочка администрирования – современная графическая оболочка с интуитивно понятным интерфейсом, позволяющая просматривать и настраивать параметры безопасности СЗИ и рабочей станции в едином приложении.

Обновления

При установке и обновлении СЗИ Dallas Lock 8.0-С, прошедшей инспекционный контроль (ИК), происходит запрос кода технической поддержки. Его также можно ввести в процессе работы на установленной СЗИ. При обновлении СЗИ ввод кода технической поддержки обязателен.
Срок действия технической поддержки отслеживается системой, по окончании срока действия происходит оповещение. Код технической поддержки и номер лицензии можно изменить в отдельном окне настройки. Это можно сделать как для локальной СЗИ, так и для клиента Сервера безопасности через Консоль сервера безопасности.
Реализована возможность обновления до версии СЗИ Dallas Lock 8.0-С, прошедшую инспекционный контроль, с предыдущих версий Dallas Lock. Обновление доступно для версий «7.5», «7.7» и более ранних (до прохождения ИК) редакций версии «8.0-С» .
Для клиентов с действующим кодом техподдержки обновление предоставляется бесплатно. Получить обновление можно, обратившись в техподдержку ООО «Конфидент».

Новое в СЗИ Dallas Lock 8.0-C (инспекционный контроль в июле 2017):

Технические характеристики

  • Список поддерживаемых современных ОС дополнен Windows Server 2016 и Windows 10 Creators Update.
  • Реализована интеграция с журналами антивирусной активности, которая позволяет:
    - определять наличие и версию установленного антивируса;
    - анализировать журнал событий антивируса;
    - оповещать об обнаружении вирусных угроз.
  • Функциональность Системы обнаружения вторжений (СОВ) выделена в отдельный модуль СЗИ. Приобретение и активация возможна без Межсетевого экрана Dallas Lock 8.0-С.
  • Функциональность Средства контроля съемных носителей информации (СКН) выделена в отдельный модуль.

Администрирование

  • Список поддерживаемых аппаратных идентификаторов дополнен смарт-картами и USB-ключами ESMART.
  • Возможность использования NFC-меток в качестве средств опознавания пользователей.

Подсистема управления доступом

  • Возможность контроля устройств, подключаемых к терминальному серверу с RDP-клиентов (контроль перенаправления устройств).

Централизованное управление

  • Возможность управления (регистрации) сменными накопителями через консоль СБ.
  • Интеграция с СЗИ НСД Dallas Lock Linux:
    - синхронизация политик безопасности;
    - выгрузка журналов клиентских подключений СЗИ НСД Dallas Lock Linux во внешнюю СУБД (SQL);
    - синхронизация учетных записей пользователей в рамках защищаемого контура;
    - удаленное развертывание и удаление клиентских частей СЗИ НСД Dallas Lock Linux.
  • Интеграция со Средством доверенной загрузки (СДЗ) Dallas Lock:
    - централизованное управление клиентскими подключениями Средства доверенной загрузки из консоли Сервера безопасности;
    - возможность использования времени из часов аппаратной платы для регистрации событий безопасности.
  • Добавлена графическая панель мониторинга защищенности системы (защищаемого контура).
  • Интеграция с SIEM-системами (поддержка «Syslog»):
    - реализована новая политика аудита, позволяющая настроить возможность экспорта событий СЗИ на внешний сервер по протоколу «Syslog».
  • Возможность формирования отчета (на Сервере безопасности) о событиях НСД, произошедших в рамках защищаемого контура.

Новое в СЗИ Dallas Lock 8.0-C (инспекционный контроль в апреле 2016):

Технические характеристики

Список поддерживаемых современных ОС дополнен ОС Windows 10.

  • Отдельный модуль для работы с преобразованными файлами-контейнерами.
    Модуль обеспечивает работу с преобразованными файлами-контейнерами на ПК, где не установлена СЗИ Dallas Lock. Поставка модуля осуществляется по запросу клиента.

Администрирование

Добавлены новые возможности, направленные на упрощение работы по администрированию и сопровождению системы защиты, а также на соответствие новым требованиям и рекомендациям регуляторов в области защиты информации.

  • Проверка наличия обновлений.
    Возможность администратору безопасности организации проверить актуальность текущей версии СЗИ Dallas Lock.
  • Реплицирование серверов безопасности.
    Повышение отказоустойчивости и производительности системы безопасности.
  • Сервер лицензий.
    Реализована возможность совместной работы с сервером лицензий.
  • Расширение механизмов лицензирования.
    Поддержка аппаратного ключа Rutoken в качестве средства хранения лицензирований.

Подсистема управления доступом

  • Настройка расписания работы пользователей.
  • Аппаратная идентификация. Расширен список поддерживаемых аппаратных идентификаторов: в качестве средств опознавания пользователей есть возможность использования карт HID Proxymity.

Аудит

  • Интеграция с SIEM-системами.
    Подсистема аудита Dallas Lock 8.0-C расширена новым параметром, включение которого осуществляет возможность интеграции с SIEM-системами (экспорт по расписанию и/или с периодом журналов СЗИ НСД в журналы ОС).

Новое в СЗИ Dallas Lock 8.0-С (инспекционный контроль в ноябре 2014):

Подсистема управления доступом

  • Учетные записи.
    Реализовано создание учетных записей на основании уже созданной учетной записи пользователя, т. е. для вновь созданной учетной записи копируются все настроенные свойства, но пароль устанавливается индивидуально.
    Заблокированные учетные записи пользователей выделены в отдельную категорию. В списке заблокированных пользователей отображается время блокировки и разблокировки, имеется возможность разблокировать всех или выделенных пользователей.
  • Контроль доступа к принтерам.
    Реализовано разграничение доступа пользователей к принтерам, локальным и сетевым, которые установлены на данном ПК. Разграничение доступно на уровне класса устройств «Принтеры» и на уровне отдельно взятого устройства. Разграничение доступно дискреционным и мандатным принципами. Также доступно ведение аудита доступа к принтерам.
  • Контроль доступа к реестру.
    Реализован контроль доступа к веткам реестра: разграничение доступа мандатным и дискреционным принципами, установка аудита и контроля целостности с учетом или без учета вложенных веток.
    Реализовано восстановление ветки реестра при поврежденной целостности до состояния, когда целостность была установлена.
  • Преобразованные файл-диски.
    Реализован механизм работы на преобразованных файл-дисках.
    Особенностью данного механизма является то, что данные файл-диски могут подключаться (монтироваться и демонтироваться) в ОС Windows как логические диски, иметь свою букву диска и определенный объем. В то же время информация на таком диске будет преобразованной, преобразование же будет происходить параллельно работе на этом диске с учетом выбранного алгоритма преобразования.
  • Работа со сменными накопителями.
    Для удобства администрирования (установки прав доступа, аудита и контроля целостности) сменных накопителей в модулях администрирования в категориях контроля файловой системы выделена категория «Сменные накопители».
    Для удобства мониторинга и контроля большого количества сменных накопителей в организации (например, при использовании более 30-40 идентификаторов в сети) реализована функция присвоения описания сменному накопителю. После присвоения описания оно отображается в списке объектов доступа и журналах вместо серийного номера накопителя.

Централизованное управление

Реализована возможность авторизации в Консоли сервера безопасности для администрирования самого Сервера безопасности с определёнными правами:

  • для возможности осуществлять полную настройку и установку параметров безопасности на СБ;
  • для возможности осуществлять только аудит (просмотр) настроенных параметров безопасности на СБ.

Для удобства администрирования в обновленной версии реализован гибкий механизм наследования настроенных параметров безопасности для клиентов, групп и подгрупп клиентов, в то же время имеется возможность настройки оригинальных параметров для индивидуальных клиентов, групп или подгрупп.

Новое в СЗИ Dallas Lock 8.0-С (инспекционный контроль в мае 2014):

Технические характеристики

Расширена поддержка современных ОС новыми версиями: Windows 8.1 и Windows Server 2012 R2. Доработана корректная поддержка входа в ОС по сертификату смарт-карты, выданному удостоверяющим центром Windows.

  • Терминальный доступ.
    СЗИ Dallas Lock 8.0-С позволяет осуществлять полноценную защиту терминального сервера, предоставляющего вычислительные ресурсы терминальным клиентам. По умолчанию после установки Dallas Lock 8.0-С ограничивает число разрешенных терминальных подключений до двух.
    Обновленная версия Dallas Lock 8.0-С позволяет увеличить количество разрешенных терминальных подключений, для чего используется специальный аппаратный ключ eToken, содержащий значение максимального количества терминальных подключений, который необходимо предъявить на терминальном сервере.

Подсистема управления доступом

  • Сессии-исключения.
    Реализован механизм регистрации сессий программного обеспечения, которые необходимы для корректной работы в режиме совместимости. Зарегистрированные в Dallas Lock 8.0-С сессии называются «сессии-исключения», их список отображается на отдельной вкладке и доступен для редактирования.
  • Аппаратная идентификация.
    Расширен список поддерживаемых аппаратных идентификаторов: в качестве средств опознавания пользователей есть возможность использовать USB-ключи JaCarta: JaCartaGOST и JaCartaPKI.
    Реализована возможность определения принадлежности аппаратного идентификатора. В обновленной версии Dallas Lock 8.0-С аппаратные идентификаторы могут использоваться не только для авторизации пользователя и создания преобразованных файлов-контейнеров, но и при создании ключа преобразования сменных накопителей (см. ниже).
  • Использование модуля доверенной загрузки на планшетных ПК.
    Модуль доверенной загрузки уровня загрузочной записи в обновленной версии Dallas Lock 8.0-С помимо стандартного BIOS корректно отрабатывает на ПК с материнскими платами, поддерживающими UEFI-интерфейс и GPT-разметку жесткого диска.
    Для случаев установки Dallas Lock 8.0-С на планшетный ПК с сенсорным экраном реализована возможность отображения виртуальной клавиатуры для ввода PIN-кода.
    Условием поддержки сенсорного ввода в загрузчике на планшетных ПК является возможность сенсорного ввода в BIOS. В случае непредвиденной активации загрузчика на планшетном компьютере, не поддерживающем сенсорный ввод в BIOS, можно обойти ввод PIN-кода в загрузчике, активировав функцию автоматического входа в загрузчике для определенного PIN-кода через оболочку администратора.
  • Права доступа к сменным накопителям.
    Используется наиболее надежный способ идентификации сменных USB-Flash-накопителей для определения устройства при назначении к нему прав доступа. В списке дескрипторов и журналов формат устройства определяется из названия типа накопителя и его номера.
  • Настройка мандатного доступа в автоматическом режиме.
    Настройка мандатного доступа для корректной работы пользователей с установленным ПО упрощена автоматической настройкой. В автоматическом режиме данная настройка представляет собой применение определенного шаблона мандатного доступа с помощью специальной встроенной утилиты.
  • Дополнительные режимы доступа: неактивный режим.
    Реализован особый механизм контроля доступа к ресурсам – «неактивный режим». Включение и настройка «неактивного режима» приводит к полному отключению подсистем и модулей СЗИ Dallas Lock 8.0.
  • Разграничение доступа к буферу обмена.
    Реализован механизм изолированных процессов, который позволяет исключить возможность копирования информации через буфер обмена при терминальном подключении к удалённому компьютеру.
  • Контроль устройств.
    Реализованы механизмы контроля устройств. Основной задачей функции контроля устройств является возможность разграничения доступа к подключаемым на ПК устройствам для определенных пользователей или групп пользователей и ведения аудита событий данного доступа.
    Разграничение доступа и ведение аудита возможно как для классов устройств, так и для конкретных экземпляров. Список классов фиксирован и одинаков для всех защищённых ПК. Список устройств на каждом ПК индивидуальный и составляется из значений в локальной ОС.
  • Преобразование сменных накопителей.
    В системе защиты Dallas Lock 8.0-С реализована возможность преобразования сменных накопителей. Данная функция представляет собой создание с помощью ключа криптографического преобразования такого накопителя, на котором работа с информацией возможна строго на рабочих станциях, защищенных Dallas Lock 8.0, при условии наличия и совпадения ключа преобразования.
    Дополнительно параметрами безопасности можно определить, какие пользователи с какими правами могут работать с преобразованными накопителями, а какие – нет. Для этого используется механизм глобальных дескрипторов, механизм дискреционного и мандатного доступов.

Аудит

Подсистема аудита Dallas Lock 8.0-С расширена новым параметром, включение которого позволяет вести аудит событий попыток входа на другие компьютеры.
Также с появлением новых механизмов расширен список параметров аудита прав пользователей «Аудит: Просмотр теневых копий распечатываемых документов» и «Аудит: Просмотр теневых копий файлов». При экспорте записей журналов в новой версии Dallas Lock 8.0-С реализована возможность сохранять файлы в форматах XML, HTML.
Реализована поддержка работы Dallas Lock 8.0-С с архивированными журналами от предыдущих сертифицированных версий (Dallas Lock 8.0-С редакции «K» v45, Dallas Lock 8.0-С редакций «K», «C» v131, Dallas Lock 7.7).

  • Создание паспорта аппаратной части ПК.
    Реализована функция, позволяющая пользователю, наделенному соответствующими полномочиями, сформировать отчет со списком и характеристиками установленных на данном компьютере устройств.
  • Теневое копирование.
    Функция теневого копирования обеспечивает копирование информации, которую пользователь записывает на сменные или сетевые накопители, в специальную папку на локальном жестком диске и ее перенос на Сервер безопасности (при централизованном управлении) (для ПК в составе Домена безопасности) для последующего анализа.

Очистка остаточной информации

Проверка очистки информации.
Добавлен параметр «Проверять очистку информации». Его включение означает, что после проведения очистки объектов ФС выполняется проверка того, что очистка действительно осуществлена. В журнале отображается соответствующее событие.

Контроль целостности

  • Восстановление файла в случае нарушения его целостности.
    Файл, у которого установлена целостность (рассчитаны контрольные суммы) и отмечено свойство «Восстановить в случае нарушения», после попытки несанкционированного изменения будет восстановлен до исходного состояния, для которого рассчитана целостность. Восстанавливается содержимое файла и его атрибуты.
  • Контроль целостности папок.
    Контроль целостности для папок устанавливается таким же образом, как и для файлов, с помощью окна прав доступа, вызванного через контекстное меню или оболочку администратора.
    Важной особенностью является наличие при установке целостности папки свойства «Включая вложенные папки»:
    • Если данное свойство не отмечено, то контроль целостности будет распространяться только на содержимое корневой папки. Изменение содержимого вложенных папок к нарушению целостности корневой папки не приведет.
    • Если данное свойство отмечено, то помимо корневой папки, на которую назначен контроль целостности, он будет распространяться и на содержимое внутренних папок.
  • Контроль целостности реестра.
    С помощью политик контроля целостности на вкладке «Параметры безопасности» устанавливается периодичность и расписание контроля целостности для веток реестра.
    После установки целостности в списке контролируемых веток реестра появится новая запись.
    Моменты, когда осуществляется контроль целостности реестра, так же, как и для объектов ФС и программно-аппаратной среды, определяются политиками целостности: «Проверять целостность при загрузке ОС», «Периодический контроль», «Контроль по расписанию». Также контроль целостности реестра осуществляется по команде администратора (в оболочке администратора кнопка «Проверить»).

Централизованное управление

  • Управление клиентами.
    Функциональные возможности Консоли сервера безопасности дополнены централизованной возможностью блокировки пользователей на клиентских ПК и возможностью завершения сеанса работы пользователей на клиентских ПК, а также включением на клиентских ПК «неактивного режима» Dallas Lock 8.0.
    Реализована возможность централизованной настройки считывателей аппаратных идентификаторов на клиентских ПК.
    Полученные с клиентов журналы в обновленном СБ не хранятся по отдельности, а собираются в непрерывные журналы событий по типам. Новые записи присоединяются к предыдущим до их максимального количества.
  • Сигнализация об НСД.
    Список событий несанкционированного доступа, при которых происходит сигнализация на Сервере безопасности, дополнены событиями доступа к устройствам: попытки монтирования и работы при запрете доступа. События сигнализации отображаются в полученных с клиентов журналах и в отдельном окне состояния клиента «События НСД».
    Полученные оповещения о сигнализации об НСД на Сервере безопасности также отображаются и на Менеджере серверов безопасности.
  • Управление ключами преобразования.
    С помощью Сервера безопасности реализована возможность централизованного управления списком ключей преобразования для клиентских ПК: создание, редактирование, удаление ключей, формирование списка ключей для всего Домена безопасности, для группы клиентов и отдельного клиентского ПК.
  • Возможность централизованного обновления версий.
    С помощью механизмов централизованной удаленной установки СЗИ с Сервера безопасности в обновленной версии Dallas Lock 8.0-С появилась возможность централизованного обновления сертифицированных версий.
    В помощь администратору при сканировании через функцию СБ в списке обнаруженных в ЛВС компьютеров помимо имен для защищенных Dallas Lock 8.0-С компьютеров дополнительно определяется версия Dallas Lock 8.0. Дополнить список ПК для обновления теперь также можно, воспользовавшись сохраненным файлом списка клиентов СБ Dallas Lock 7.7.
  • Визуализация сети.
    В возможности Сервера безопасности добавлена визуализация сети, защищаемой Dallas Lock 8.0.
    В отдельной вкладке Консоли сервера безопасности есть возможность просмотреть блок-схему объектов Домена безопасности, сохранить схему в файл, а также выполнить некоторые действия с клиентами СБ (подключиться, синхронизировать и т. д.).



Сертификаты

СЗИ Dallas Lock 8.0-C сертифицирована ФСТЭК России на соответствие 2 уровню контроля отсутствия НДВ, 3 классу защищенности от НСД, 3 классу защищенности МЭ, классу защиты СОВ ИТ.СОВ.У4.ПЗ, классу защиты СКН ИТ.СКН.П2.ПЗ.

СЗИ Dallas Lock 8.0-C сертифицирована Минобороны России на соответствие требованиям к защищенности СВТ от НСД по 3 классу, защищенности МЭ по 3 классу, 2 уровню контроля отсутствия НДВ, РДВ, КИКТ.

Документы в хорошем качестве доступны из Личного кабинета пользователя после авторизации.
Войти в личный кабинет или зарегистрироваться .
Сертификат соответствия ФСТЭК России № 2945 от 16 августа 2013 г. Действителен до 16 августа 2019 г.

Сертификат соответствия Минобороны России № 3902 от 23 марта 2018 г. Действителен до 23 марта 2021 г.

Системные требования

СЗИ Dallas Lock 8.0-С может быть установлена на персональные компьютеры, портативные и мобильные ПК (ноутбуки и планшетные ПК), серверы (файловые, контроллеры домена, терминального доступа) и виртуальные машины (например, VMware), работающие как в автономном режиме, так и в составе локально-вычислительной сети.

Поддерживаемые ОС

  • Windows XP (SP 3) (Professional, Home, Starter);
  • Windows Server 2003 (R2) (SP 2) (Web, Standard, Enterprise, Datacenter);
  • Windows Vista (SP 2) (Ultimate, Enterprise, Business, Home Premium, Home Basic, Starter);
  • Windows Server 2008 (SP 2) (Standard, Enterprise, Datacenter, Web Server 2008, Storage Server 2008);
  • Windows 7 (SP 1) (Ultimate, Enterprise, Professional, Home Premium, Home Basic, Starter);
  • Windows Server 2008 R2 (SP 1) (Foundation, Standard, Web, Enterprise, Datacenter);
  • Windows 8 (Core, Pro, Enterprise);
  • Windows Server 2012 (Foundation, Essentials, Standard, Datacenter);
  • Windows 8.1 (Core, Pro, Enterprise);
  • Windows Server 2012 (R2) (Foundation, Essentials, Standard, Datacenter);
  • Windows 10 (Enterprise, Education, Pro, Home) и Windows 10 Creators Update;
  • Windows Server 2016.

СЗИ Dallas Lock 8.0-С позволяет защищать информационные ресурсы рабочего пространства Windows To Go операционной системы Windows 8 на USB-накопителе.
Минимальная и оптимальная конфигурация ПК определяется требованиями к версии операционной системы Windows, на которую установлена СЗИ Dallas Lock 8.0-С.
Для размещения файлов системы и ее работы требуется не менее 200 Мбайт пространства на системном разделе жесткого диска. Для использования СЗИ Dallas Lock 8.0-С на компьютере в составе ЛВС необходимо настроить сетевой протокол TCP/IP.
Для использования аппаратных идентификаторов требуется наличие в аппаратной части ПК соответствующих портов: USB-порта или COM-порта.