Please update your Flash Player to view content.
 8 июля состоялся выход международной версии Archicad 24!
    Zlock

    altНазначение

    Проблема инсайдеров и защита от внутренних угроз

    Важнейшей проблемой, стоящей перед руководством и службой безопасности любой компании, является проблема внутренних угроз информационной безопасности. Особенную актуальность эта проблема приобрела в связи с появлением и повсеместным распространением всевозможных мобильных накопителей информации, подключаемых через USB порты - таких как flash-диски, винчестеры с USB-интерфейсом, MP3-проигрыватели с жестким диском, фотокамеры, мобильные телефоны и т.д. Злоумышленнику не составит труда незаметно пронести на территорию предприятия компактный носитель и скопировать на него всю интересующую его информацию.

    Отключение всех USB портов на уровне BIOS или операционной системы не всегда бывает приемлемым, потому что практически все современные периферийные устройства подключаются через USB порты, и отключитьUSB порты – значит отказаться от их использования.

    Наиболее оптимальное решение проблемы внутренних угроз – применение специальной системы контроля доступа пользователей к портам, контроллерам и внешним устройствам. Такая система позволяет надежно защитить конфиденциальную информацию от утечки, не ограничивая при этом использования разрешенных устройств.

    Назначение системы Zlock


    Система Zlock предназначена для разграничения доступа к устройствам, как внешним, так и стационарно установленным на рабочих станциях сети. Для каждого типа устройств Zlock предполагает возможность гибкой настройки прав доступа на основе списков контроля доступа (ACL). Для каждого физического или логического устройства и для каждого пользователя или группы пользователей из Active Directory можно разрешить либо полный доступ, либо только чтение, либо запретить доступ.

    Внедрение Zlock позволит существенно затруднить деятельность инсайдеров и свести к минимуму риск утечки информации с использованием мобильных устройств.

    Описание возможностей системы Zlock


    Политики доступа

    Управление доступом к устройствам в Zlock осуществляется на базе политик доступа. Политика доступа – это логическое понятие, связывающее описание одного или нескольких устройств (классов устройств) и прав доступа к ним.

    Права доступа для политик могут быть следующими:

    •    Запрет доступа для всех пользователей;
    •    Разрешение полного доступа для всех пользователей;
    •    Доступ только на чтение для всех пользователей;
    •    Индивидуальное назначение прав доступа для конкретных пользователей или групп на базе ACL аналогично с доступом к папке или файлу в Windows.

    Администратор может создавать любое количество политик для удобного и гибкого управления доступом к устройствам для различных пользователей. Каждой политике назначается приоритет, который используется для разрешения конфликта, если одно и тоже устройство соответствует больше чем одной политике.

    У политики может быть расписание – предусмотрены ежедневные, еженедельные и ежемесячные политики, которые действуют только в заданные дни и часы. Кроме этого существуют одноразовые политики, которые действуют до отключения устройства или до выхода пользователя из сети.

    Политики могут быть сохранены в файл и восстановлены из файла.

    Существует специальный вид политики – политика по умолчанию, в которой задается, что делать с устройствами, не описанными в других политиках.

    Типы управляемых устройств


    Подключаемые USB-устройства могут идентифицироваться по любым признакам, таким как класс устройства, код производителя, код устройства, серийный номер и т.д. Это позволяет назначать разные права доступа к устройствам одного класса, например, запретить использование flash-дисков, но при этом разрешить использование принтеров и сканеров.

    Типы устройств, управляемых системой Zlock:

    •    Внешние устройства, подключаемые по USB. В политике можно задать не только конкретное устройство, но и тип устройства по классу, производителю, серийному номеру устройства и т.д. Например: все накопители, все электронные идентификаторы производства Rainbow Technologies, USB-flash диск с серийным номером 12345678SR78.
    •    Прочие устройства: жесткие диски, дисководы, CD-DVD ROM, порты COM, LPT, PCMCIA, модемы, контроллеры i-Link (IEEE 1394), и т.д.
    •    Любые физические или логические устройства, имеющие символическое имя.

    Каталог устройств

    Для удобства работы с описаниями устройств Zlock предоставляет возможность организации каталога устройств. Каталог устройств – это файл, в котором хранятся описания любых устройств, и администратор может создавать политики доступа на основе информации из каталога, когда сами устройства отсутствуют или отключены.

    Каталог устройств формируется из описаний устройств, которые подключены к рабочей станции администратора или к любому удаленному компьютеру. Существует возможность автоматического сканирования всех рабочих станций сети для сбора описаний всех устройств, подключенных в этот момент для последующего добавления в каталог, что значительно облегчает последующее управление правами доступа к этим устройствам.


    Администрирование

    Управление системой Zlock осуществляется централизованно, с использованием единой системы администрирования Zconsole – все функции по установке и настройке клиентских модулей осуществляются удаленно, с рабочей станции администратора, с учетом структуры сети, определенной Active Directory.

    Система Zlock позволяет организовать разграничение доступа администраторов к функциям консоли управления. Например, один сотрудник осуществляет администрирование системы с полным доступом ко всем функциям, а другой – только функции аудита и анализ журнала с запретом доступа на изменение настроек.

    С помощью системы администрирования Zconsole можно удаленно выполнять следующие операции с клиентскими рабочими станциями:

    •    Установка и удаление системы на выбранные компьютеры сети. В случае каких-либо проблем при установке существует возможность просмотра сообщений об ошибках для каждого компьютера.
    •    Создание и редактирование политик доступа.
    •    Распространение по сети и синхронизация политик доступа при их создании, редактировании и удалении.
    •    Распространение по сети настроек системы.

    Кроме этого, в Zlock реализована возможность отправки администратору пользовательских запросов на доступ к какому-либо устройству, и создания на основе таких запросов одноразовых или постоянно действующих политик.

    Для упрощения процесса развертывания Zlock в нем реализована возможность применения заранее заданных настроек и политик доступа непосредственно при установке системы на рабочие станции пользователей.

    Мониторинг и обработка событий

    В Zlock существует уникальная возможность мониторинга клиентских рабочих станций. Данная функция предусматривает периодический опрос рабочих станций, на которых установлена клиентская часть Zlock, и выдачу предупреждений администратору в случаях несанкционированного отключения клиентского модуля, а также изменения настроек или политик доступа - это дает возможность службе безопасности оперативно реагировать на несанкционированные действия пользователей и принимать соответствующие меры.

    Реакция на эти события, а также на события подключений и отключений устройств и доступа к файлам на контролируемых устройствах может настраиваться с помощью подключаемых сценариев (скриптов) на языках VBscript или Jscript. С использованием таких скриптов можно выполнять любые действия: посылать уведомления по электронной почте, запускать или останавливать приложения, и т.д.

    Ведение и анализ журнала

    Система Zlock реализует расширенный функционал по ведению и анализу журнала событий. В журнал записываются все существенные события – подключение и отключение устройств, а также все операции по чтению, записи, удалению и переименованию файлов на контролируемых устройствах.

    В качестве журнала может использоваться EventLog или файл в формате TXT или XML, при этом журнал может располагаться на локальном компьютере или на сервере. Существует возможность формирования имени файла для журнала с использованием параметров, таких как дата, имя пользователя, имя компьютера и т.д.

    В состав Zlock входит средство для анализа журналов, которое обеспечивает  формирование запросов любых видов и вывод результатов в формате HTML. Кроме этого, использование для журнала универсального формата XML позволяет воспользоваться любыми существующими на рынке средствами анализа и конструкторами отчетов.

    Архитектура


    Система Zlock состоит из двух частей:

    •    модуль администрирования;
    •    клиентский модуль.

    Оба модуля могут быть установлены на одном компьютере.
     
    Модуль администрирования предназначен для управления работой системы, и может выполнять следующие функции:

    •    Удаленное управление рабочими станциями, в том числе установка и удаление клиентского модуля Zlock по сети
    •    Создание и настройка политик доступа к аппаратным ресурсам, с возможностью их распространения на все компьютеры в сети
    •    Удаленное конфигурирование клиентских модулей Zlock
    •    Просмотр и анализ XML-журнала
    •    Мониторинг состояния клиентских модулей

    Модуль администрирования выполнен в виде плагина к единой консоли управления продуктами компании SecurIT - Zconsole, и взаимодействует с клиентской частью через механизм удаленного управления Zremote. Аутентификация модуля администрирования реализована на базе механизма Windows NTLM/Kerberos.

    Для работы модуля администрирования по сети необходим аппаратный лицензионный ключ. Лицензионный ключ определяет максимальное количество клиентских мест, которыми можно управлять удаленно.

    Клиентский модуль устанавливается на каждую защищаемую системой Zlock рабочую станцию и обеспечивает разграничение доступа к портам и устройствам этой станции.

    Данный модуль выполняет следующие функции:

    •    Разрешение или блокирование доступа пользователей к устройствам в соответствии с заданными политиками.
    •    Запись в журнал событий подключения и отключения устройств, операций с файловой системой и изменения конфигурации Zlock.
    •    Взаимодействие с модулями администрирования и мониторинга.

    Клиентский модуль состоит из двух компонент:
    •    Драйвер применения политик доступа к устройствам, далее называемый драйвером Zlock.
    •    Сервис управления драйвером и обработки событий Zservice, предназначенный для удаленного управления и мониторинга системы Zlock.

     
    ПО по вендорам