Dallas Lock

Dallas Lock — система защиты информации от несанкционированного доступа в процессе её хранения и обработки. Представляет собой программный комплекс средств защиты информации в автоматизированных системах.

Разработкой и созданием продуктов линейки Dallas Lock занимается Центр защиты информации ООО «Конфидент»^[1] г. Санкт-Петербург с 1992 года.

C 1992 года система защиты информации (СЗИ) Dallas Lock прошла эволюционный путь развития от простого замка на включение компьютера, работающего под управлением MS-DOS^[2], до распределённой системы, удовлетворяющей современным требованиям. Именно благодаря замку на включение ПК с ключом iButton (также известен под названием Dallas Key или Touch Memory), который работает с использованием технологии микросхем 1-Wire, разработанной корпорацией Dallas Semiconductor, СЗИ получила своё название Dallas Lock.

СЗИ Dallas Lock развивалась одновременно со средствами вычислительной техники и требованиям законодательства по защите информации.

С распространением локальных вычислительных сетей СЗИ наполнилась средствами централизованного управления и удалённого администрирования.

СЗИ Dallas Lock обеспечивает защиту стационарных, портативных и мобильных компьютеров как автономных, так и в составе локальной вычислительной сети, от несанкционированного доступа к информации.

Использование Dallas Lock в проектах по защите информации ограниченного доступа (конфиденциальная информация, в том числе персональные данные, и сведения, составляющие государственную тайну) позволяет привести автоматизированные системы, государственные информационные системы и обработку персональных данных в соответствие требованиям законов Российской Федерации, стандартов и руководящих документов.

СЗИ Dallas Lock позволяет, при некоторых типовых условиях, уменьшить вероятность угроз персональным данным на 50 %^[3].

Язык программирования C++.

СЗИ Dallas Lock входит в Государственный реестр сертифицированных средств защиты информации ФСТЭК России и может быть использована при создании автоматизированных систем классов 1Б, 1В, 1Г, 1Д , 2А, 2Б, 3А, 3Б^{[документ 1]}, для обеспечения 1 уровня защищенности (УЗ1) персональных данных^{[документ 2]} и в государственных информационных системах 1 класса защищённости^{[документ 3]}.

СЗИ Dallas Lock может быть установлена на любые компьютеры, работающие под управлением ОС Windows, Linux. До версии системы 8.0 Dallas Lock поддерживает 32-битные версии операционных систем, начиная с версии Dallas Lock 8.0 (сборка 195) — 32- и 64-битные.

1. Защита компьютеров без централизованного управления — защита небольшого количества рабочих станций и серверов. Администрирование защищённого ПК как локально, так и удалённо.
2. Защита компьютеров с централизованным управлением в сетях (не требуется наличие Active Directory) с помощью модуля «Сервер безопасности Dallas Lock», либо с помощью Единого центра управления (Возможно использование Active Directory). Объединение нескольких серверов безопасности с помощью модуля «Менеджер серверов безопасности Dallas Lock».

СЗИ Dallas Lock позволяет в качестве средства опознавания пользователей использовать аппаратные электронные идентификаторы:

• USB-Flash-накопители (флешки),
• электронные ключи Touch Memory (iButton),
• USB-ключи и смарт-карты Aladdin eToken,
• USB-ключи Рутокен,
• USB-ключи и смарт-карты JaCarta.

1. СЗИ Dallas Lock запрещает посторонним лицам доступ к ресурсам ПК и позволяет разграничить права зарегистрированных в СЗИ пользователей при работе на компьютере. Разграничения касаются прав доступа к объектам файловой системы (дискам, папкам и файлам под файловой системой FAT или NTFS) и подключаемым устройствам. Для облегчения администрирования возможно объединение пользователей в группы.
2. Для решения проблемы «простых паролей» СЗИ имеет гибкие настройки сложности паролей. Кроме того, в последних версиях системы имеется механизм генерации паролей, соответствующих всем установленным параметрам сложности.
3. В СЗИ имеется возможность ограничения доступа пользователей к ПК по дате и времени.
4. Используются два принципа контроля доступа к объектам файловой системы и подключаемым устройствам:
   • дискреционный,
   • мандатный (начиная с версии 8.0 — только для редакции «С»).
5. СЗИ позволяет настраивать замкнутую программную среду — режим, в котором пользователь может запускать только программы, определенные администратором.
6. Для облегчения настройки замкнутой программной среды и мандатного доступа существуют механизмы:
   • «мягкий режим» — режим, в котором, при обращении к ресурсу, доступ к которому запрещён, доступ всё равно разрешается, но в журнал событий заносится сообщение об ошибке;
   • «режим обучения» — режим, в котором при обращении к ресурсу, доступ к которому запрещён, на этот ресурс автоматически назначаются выбранные администратором права;
   • «неактивный режим» — режим, в котором возможно полное отключение подсистем СЗИ.
7. В СЗИ Dallas Lock реализована подсистема контроля целостности параметров компьютера, которая обеспечивает контроль целостности файловой системы, программно-аппаратной среды и реестра при загрузке компьютера, по расписанию, через заданные интервалы времени, а также блокировку загрузки компьютера при выявлении изменений. Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94.
8. СЗИ Dallas Lock включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
9. В СЗИ реализовано ведение 6 электронных журналов регистрации событий, в которых фиксируются действия пользователей. Для облегчения работы с журналами есть возможность фильтрации и экспорта записей.
10. Подсистема печати позволяет на каждом распечатанном с данного компьютера документе добавлять штамп, разграничивать доступ к печати и сохранять теневые копии документов, отправляемых на печать.
11. Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход Dallas Lock, предусмотрена функция преобразования в «прозрачном» режиме. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск подключен к другому компьютеру.
12. Для защиты данных при хранении их на внешних носителях либо при передаче по различным каналам связи есть возможность преобразования данных в файл-контейнер. В качестве ключа преобразования используется пароль и, при необходимости, аппаратный идентификатор. Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера.
13. В СЗИ реализована функция преобразования сменных накопителей с использованием ключа преобразования.
14. В СЗИ реализована возможность централизованного управления — объединение защищенных компьютеров в «Домен безопасности» с помощью модуля «Сервер безопасности Dallas Lock». Возможно централизованное управление политиками безопасности, просмотр состояний, сбор журналов, создание/удаление/редактирование параметров пользователей. Для распределенных конфигураций информационной сети с помощью модуля «Менеджер серверов безопасности Dallas Lock» существует возможность объединить несколько серверов безопасности в «Лес безопасности». Ситуации несанкционированного доступа на клиентских рабочих станциях отслеживаются и сопровождаются сигнализацией на сервере безопасности. Реализован механизм удалённой установки системы на компьютеры средствами сервера безопасности или групповых политик Active Directory.
15. Реализован механизм создания различных отчетов с возможностью вывода на печать.
16. При необходимости переноса настроек Dallas Lock существует возможность создания файла конфигурации, который будет содержать уже установленные параметры.
17. СЗИ может заменить стандартный проводник на собственную оболочку.
18. Есть возможность удаленного управления при отсутствии модуля «Сервер безопасности Dallas Lock» — осуществляется подключение с помощью дополнительного модуля «Сетевой администратор». Управлять можно только одним АРМом в один момент времени.
19. В СЗИ реализована возможность блокировки АРМа при отключении аппаратного идентификатора.
20. При сбое СЗИ предусмотрена возможность аварийного удаления Dallas Lock с помощью диска с дистрибутивом.

Основным недостатком можно считать возникновение ошибок на уровне ядра ОС , что сказывается на стабильности работы серверов. Так же, отсутствие возможности работы с системой средствами командной строки для создания сценариев автоматизации некоторых процедур.

• Официальный сайт Dallas Lock
• Официальный Telegram-канал Dallas Lock Official
• Dallas Lock на проекте WIKISEC (энциклопедия по безопасности информации).
• Разработка частной модели угроз по данным аудита информационной безопасности Журнал «Information Security/Информационная безопасность» № 4, 2010 г., электронная версия печатного издания.
• Актуальные вопросы выбора сертифицированных систем защиты информации от несанкционированного доступа Журнал «Директор по безопасности» № 4, 2012 г., электронная версия печатного издания.
• Интервью менеджеров компании-разработчика Dallas Lock изданию CNews

Статьи

• Средства защиты информации и где дёготь Аналитическая статья с Хабрахабр.
• Люблю безопасность до безобразности Аналитическая статья. Блог специалиста по информационной безопасности.
• Система защиты информации «Dallas Lock» (недоступная ссылка) статья на deHack.ru (портал об информационной безопасности и защите информации).

• Защита персональных данных
• Информационная безопасность