Клиенты
  • Тез Тур Таиланд
  

Внутренняя безопасность (обзор Zlock)

Михаил Брод, SoftKey.info 10.09.2010

Обеспечение внутренней безопасности всегда было и остается в числе наиболее приоритетных направлений в деятельности любой компании. Решается эта задача различными способами, одним из которых является контроль за доступом сотрудников к устройствам, через которые можно вывести конфиденциальную информацию на внешние носители или распечатать ее. Отследить, а тем более предупредить такие попытки можно либо полным запретом использования таких устройств, что порой просто невозможно, либо автоматическим постоянным контролем за подобными действиями.

Решение этой задачи возможно с помощью специальных систем, одну из которых разработала компания SECURIT. Называется она Zlock. Эта система предназначена для разграничения доступа к различным устройствам и ресурсам компьютера, для которых могут назначаться различные правила. Хотя разнообразие правил невелико, их вполне достаточно для обеспечения работы пользователей. Администратор системы может предоставить или запретить доступ к определенным устройствам всех пользователей, предоставить право только на чтение либо определить индивидуальные права на основе списков контроля доступа.

Программа определяет права доступа к таким устройствам, как последовательные и параллельные порты, дисководы гибких дисков и CD/DVD-ROM, USB-устройства и PCMCIA-адаптеры, принтеры, сетевые карты и иные. Система выполнена по клиент-серверной технологии, что позволяет осуществлять централизованное управление доступом к различным устройствам с одного рабочего места для всех устройств, подключаемых к компьютерам корпоративной сети.

Серверная часть системы — это консоль управления Zconsole. Это единая система управления для всех решений компании. Для управления клиентскими модулями системы Zlock разработан специальный модуль управления, выполненный в виде плагина к этой консоли. Для обеспечения связи консоли управления и клиентских модулей используется специальный внутренний протокол. Для подключения к клиентским модулям в консоли управления выполняется настройка доступа — адрес компьютера и порт, по которому модуль администратора будет получать доступ к клиенту, а также имя пользователя, необходимое для осуществления подключения.

Клиентский модуль предназначен для реализации политик доступа, назначенных для контролируемого компьютера, для просмотра списка подключенных устройств с описанием примененной политики и текущими правами доступа, для ведения журналов доступа к устройствам, журналирования доступа к файлам, для теневого копирования, а также для создания запросов на получение временного доступа к тому или иному устройству. Для установки модуля требуется иметь права не ниже локального администратора. С другой стороны, если пользователь имеет такие права, то он может отключить модуль, что влечет за собой отключение ограничений на доступ к подключенным устройствам. Хотя сервер постоянно ведет мониторинг работы клиентских модулей, для обеспечения надежной защиты устройств необходимо ограничивать права локальных пользователей.

Хотя задач, которые выполняет клиентский модуль, довольно много, основная работа и управление правами доступа осуществляются с помощью серверной части системы. Рассмотрим, какие задачи и каким образом ею решаются.

Первая задача - поиск компьютеров, подключенных к контролируемой сети, и установка клиентских модулей. При этом неважно, входят ли компьютеры в домен или в рабочую группу. Все они добавляются в список устройств, на которых не установлена защита (раздел "Без приложений"). При установке на них модуля Zlock они переходят в раздел, соответствующий версии установленного модуля. Сам процесс установки может выполняться либо через консоль Zconsole, либо c помощью стандартных средств управления доменом.

После установки клиентских модулей Zlock становятся доступны следующие функции:

  • удаленная настройка политик доступа к устройствам для каждой рабочей станции в сети;
  • распространение политик доступа к устройствам и настроек Zlock с одной рабочей станции на другую рабочую станцию в сети;
  • настройка параметров доступа, обработки событий Zlock и теневого копирования;
  • мониторинг состояния системы Zlock.

Вторая задача - настроить политики доступа к устройствам. Каждая политика - это набор правил, описывающих условия и возможность доступа к различным устройствам, в том числе с определением времени действия правила по часам и дням недели. Можно создать политики постоянные, временные и разовые, которые будут действовать до отключения устройства или до выхода пользователя из сети. Для удобства политики могут быть сохранены в виде файла и при необходимости восстановлены из него.

Политик может быть несколько, каждая из которых должна иметь свой приоритет. Если права доступа к одному и тому же устройству включены в несколько политик, применяться будет та, у которой приоритет выше. В случае если устройство не включено ни в одну из политик, для доступа к нему будут применяться правила, включенные в политику, используемую по умолчанию и имеющую низший приоритет. Как правило, в этой политике всем пользователям предоставлен полный доступ ко всем устройствам.

Что определяется в системе как устройство? Под устройством может пониматься тип устройств — например, USB-устройство. А к нему могут быть отнесены все накопители с этим интерфейсом. Либо это устройства, определяемые по своему протоколу, названию, производителю, серийному номеру. Используя различные способы определения устройств, можно запретить доступ к флеш-дискам, подключаемым через USB-порт, и разрешить при этом использование USB-ключей (для последних обязательно требуется предоставление полного доступа системному пользователю - SYSTEM).

Устройства можно описать и включить в каталог, который можно использовать для определения прав доступа, даже если выбранное устройство еще ни разу не подключалось к компьютеру либо не подключено в данный момент. В каталог можно добавить все ранее подключавшиеся к компьютерам устройства за счет сканирования реестров и получения информации об устройствах.

Большинство устройств обнаруживаются и добавляются в политику автоматически, если они подключены к компьютеру или о них имеется информация в реестре. Но ряд устройств необходимо добавлять самостоятельно. К примеру, у меня потребовалось добавить в политику картридер, который не относится к USB-устройствам.

Есть и некоторые особенности контроля доступа. В частности, для сетевых устройств. Если для всех сетевых устройств назначен полный доступ всем пользователям (значение по умолчанию), модуль, отвечающий за контроль сети, не запущен. При этом сетевые карты в списке подключенных устройств отсутствуют.

Используя предустановленные политики, пользователю иногда требуется получить доступ к запрещенному для него устройству. Такое разрешение может дать только администратор. Поэтому пользователь с помощью установленного на его компьютере модуля Zlock может создать запрос и отправить его по электронной почте либо позвонить по телефону и продиктовать сформированный код запроса. Администратор, получив запрос, может его обработать и, в случае если доступ будет разрешен, сформировать код доступа. При его формировании он может указать расписание доступа (на один раз, до отключения устройства, до перезагрузки). После наступления указанного события политика доступа к запрошенному устройству будет автоматически удалена.

Предварительная подготовка наборов правил (политик) дает возможность установки их на удаленные компьютеры одновременно с установкой клиентского модуля. Если политика была распространена на несколько рабочих станций, то при ее изменении Zlock предложит распространить (синхронизировать) произведенные изменения на эти рабочие станции. Изменения будут распространены только на те станции, с которыми на текущий момент будет установлено соединение.

Правила доступа к устройствам включают в себя и дополнительные возможности. К ним относятся журналирование операций и теневое копирование файлов. Журналирование помогает вести учет всех обращений к файлам на контролируемых носителях и типов обращений — производится только чтение файлов либо копирование, перемещение или удаление. Результаты журналирования сохраняются либо на локальном компьютере, либо в базе MS SQL, либо на сервере журналов.

Более жесткий контроль за использованием съемных и иных устройств осуществляется с помощью опции теневого копирования. Оно предназначено для контроля информации, которая записывается на внешние носители. При включенной опции теневого копирования файл перед записью на сменный носитель сначала копируется в локальное хранилище на локальном жестком диске и лишь потом — на указанный носитель. При теневом копировании файлов, записываемых на диск, параллельно с записью создается образ диска, а после завершения записи файлы из образа копируются в локальное хранилище. Из локального хранилища файлы по установленному расписанию переносятся на сервер, где фиксируются для возможного анализа.

Можно контролировать и использование принтеров — для них также действует опция теневого копирования. При включении этой опции данные, направляемые на печать, сохраняются в локальном хранилище в виде файлов с изображением. В дальнейшем из локального хранилища файлы переносятся на сервер, и все данные фиксируются для последующего анализа на сервере журналов.

Сервер системы может вести постоянный мониторинг работы клиентских модулей (по умолчанию опция выключена). Через определенные промежутки времени этот модуль собирает информацию с локальных резидентных модулей и выявляет появление таких ситуаций, как изменение конфигурации Zlock, изменение конфигурации обработки уведомлений, настроек безопасности. При наступлении любой из вышеописанных ситуаций модуль мониторинга производит действия, заранее заданные настройками. Текущий статус мониторинга всегда доступен в консоли управления.

Таким образом, обеспечивается контроль за использованием периферийных и иных устройств, выполняется защита от несанкционированного копирования информации, предоставляется возможность проведения анализа работы с файлами сотрудников организации.

А вот другая программа — Zgate — обеспечивает возможность контроля и анализа сетевого трафика по всевозможным протоколам. Но о ней мы расскажем в следующей статье.


Новый функционал
Отмена

												
														
																				
							
							
							
							
в формате +7 (987) 654-32-10
обзор удалить