Система Zlock позволяет обеспечить надежную защиту данных компании от утечек на внешних носителях путем разграничения доступа к любым внешним устройствам и портам компьютера.
Политики доступа
[Для просмотра данной ссылки нужно зарегистрироваться]
Разграничение доступа к внешним устройствам в Zlock осуществляется на основе политик доступа. Политика доступа — это логическое понятие, которое связывает описание устройств и прав доступа к ним.
[Для просмотра данной ссылки нужно зарегистрироваться]
Права доступа могут иметь следующий вид:
* полный доступ;
* доступ только на чтение;
* запрет доступа.
Права доступа могут применяться как для всех, так и иметь индивидуальные настройки для пользователей или групп пользователей на основе ACL (аналогично разграничению прав доступа к папкам или файлам в Windows).
Политики могут иметь временной интервал или быть одноразовыми. Это позволяет, например, давать разные права доступа в рабочее и нерабочее время либо разрешить однократный доступ к устройству (доступ прекратится, как только пользователь извлечет устройство).
В системе Zlock существует особый вид политики — это политика по умолчанию. Она описывает права доступа к устройствам, которые по тем или иным причинам не попадают под действия других политик. Например, можно с помощью такой политики по умолчанию запретить использовать все USB-устройства, а с помощью обычной политики — разрешить использовать какое-то определенное устройство.
При этом в Zlock у каждой политики есть свой приоритет, который позволяет определить, какие права доступа будут применяться, если одно устройство описывается сразу в нескольких политиках и имеет там разные права доступа.
Поддерживаемые устройства
Система Zlock позволяет разграничивать доступ к следующим видам устройств:
* любые USB-устройства — flash-накопители, принтеры, цифровые камеры и аудиоплееры, карманные компьютеры и т. д.;
* внутренние устройства — контроллеры Wi-Fi, Bluetooth, IrDA, сетевые карты и модемы, FDD-, CD- и DVD-дисководы, жесткие диски;
* порты LPT, COM и IEEE1394;
* любые устройства, имеющие символическое имя.
[Для просмотра данной ссылки нужно зарегистрироваться]
В Zlock есть возможность создать каталог устройств, который будет хранить всю информацию об устройствах сети и позволит создавать политики на основе этих данных.
Zlock может использовать такую информацию об устройстве, как внутренний серийный номер, класс устройства, производитель, а также ряд дополнительных параметров, которые позволяют идентифицировать конкретное устройство или класс устройств.
Удаленное управление
Удаленное управление системой Zlock осуществляется через единую консоль для решений SecurIT. C помощью нее администратор может устанавливать клиентские части, создавать и распространять политики Zlock, производить мониторинг рабочих станций, просматривать логи и данные теневого копирования.
При необходимости установка клиентских частей на рабочие места пользователей может производиться без перезагрузки компьютеров, что позволяет ускорить внедрение и сделать его незаметным для пользователей.
В системе Zlock существует возможность разграничения доступа к функциям управления для администраторов. Это позволяет, в частности, разделить функции администратора безопасности, который осуществляет весь комплекс действий по управлению системой, и аудитора, который имеет право только на просмотр собранных системой событий и данных теневого копирования.
В Zlock для обычных пользователей предусмотрена возможность послать администратору запрос на доступ к определенному устройству. На основе запроса администратор безопасности может создать политику, разрешающую доступ к устройству. Это обеспечивает максимально оперативное реагирование на запросы пользователей и простоту адаптации политики безопасности к нуждам бизнес-процессов.
Взаимодействие с Active Directory
В Zlock реализована тесная интеграция с Active Directory. Она заключается в возможности загрузки доменной структуры и списка компьютеров корпоративной сети в Zlock. Это позволяет увеличить удобство использования системы и повысить возможности по масштабируемости.
Развертывание и управление Zlock можно осуществлять не только из консоли управления Zlock, но и с помощью групповых политик (group policy) Active Directory. Через групповые политики можно выполнять установку, удаление и обновление Zlock, а также распространение политик доступа и настроек системы.
Данная возможность позволяет упростить внедрение и использование системы в крупных корпоративных сетях. Кроме этого расширяются возможности по администрированию Zlock в компаниях с разделенными службами информационных технологий и информационной безопасности — сотруднику службы безопасности необязательно иметь привилегии локального администратора на компьютерах пользователей, поскольку внедрение и управление системой осуществляется средствами домена.
Мониторинг
В Zlock существует возможность мониторинга клиентских рабочих станций. Данная функция предусматривает периодический опрос клиентских модулей Zlock и выдачу предупреждений в случае попытки несанкционированного отключения Zlock на рабочей станции, изменения настроек или политик доступа.
Реакция на эти события может настраиваться с помощью подключаемых сценариев (скриптов) на языках VBscript или Jscript. С использованием таких сценариев можно выполнять любые действия — посылать уведомления по электронной почте, запускать или останавливать приложения, и т. д.
Сбор событий и их анализ
Система Zlock реализует расширенный функционал по ведению и анализу журнала событий. В журнал записываются все существенные события, в том числе:
* подключение и отключение устройств;
* изменение политик доступа;
* операции с файлами (чтение, запись, удаление и переименование файлов) на контролируемых устройствах.
В состав Zlock входит средство для анализа журналов, которое обеспечивает формирование запросов любых видов и вывод результатов в формате HTML. Кроме этого, использование для журнала универсальных форматов хранения данных позволяет воспользоваться любыми сторонними средствами анализа и построения отчетов.
Теневое копирование
В Zlock существует возможность автоматически выполнять теневое копирование (shadow copy) файлов, которые пользователи записывают на внешние накопители. Это позволяет контролировать ситуацию даже в том случае, если пользователю разрешена запись на внешние устройства, поскольку администратор безопасности всегда будет точно знать, какую информацию сотрудник записывает на внешние накопители.
Вся информация, записываемая пользователем на внешний носитель, незаметно для него копируется в защищенное хранилище на локальной машине и потом переносится на сервер. Функция теневого копирования создает точные копии файлов, которые пользователь записывают на устройства, и расширяет возможности аудита, позволяя проводить расследование возможных инцидентов.
Теневое копирование может отслеживать информацию только для определенных пользователей, групп пользователей и носителей, которые подпадают под действие конкретной политики доступа Zlock. Это делает теневое копирование высокоточным инструментом, применение которого позволяет службе безопасности предприятия получать только ту информацию, которая ей нужна.
Сервер журналирования
В Zlock есть возможность сохранять журналируемые события на сервер журналирования. Он позволяет быстрее и надежнее собирать, хранить и обрабатывать журналы событий Zlock.
Клиентские модули Zlock записывают все происходящие события на сервер журналирования, при этом, если он недоступен, информация о событиях временно хранится на клиенте. Когда соединение с сервером восстанавливается, эта информация пересылается на сервер.
Сервер журналов может записывать информацию о событиях в базу данных MS SQL или в XML-файлы. Использование для хранения событий системы базы данных MS SQL позволяет обеспечить более высокую надежность и производительность.
26.05.2008, 11:19
Zlock
Линейный вид
