02.07.2019
Центр защиты информации

Обзор новых возможностей сертифицированной сборки DALLAS LOCK 8.0-К

Контроль состава программного обеспечения, улучшенное управление привилегированными пользователями, управление учётными записями Active Directory, «песочница» и другие возможности сертифицированной сборки Dallas Lock 8.0-К.


Система защиты информации Dallas Lock 8.0 редакции «К» и входящая в неё среда для безопасного исполнения приложений — «песочница» — успешно прошли процедуру сертификационных испытаний ФСТЭК России. Главные изменения в новейшей сертифицированной сборке Dallas Lock 8.0.565.2 коснулись следующих подсистем:

  • контроль состава программного обеспечения;
  • централизованное управление;
  • межсетевое экранирование;
  • обнаружение и предотвращение вторжений.


Контроль состава программного обеспечения

В составе системы защиты информации теперь есть новый серверный компонент — Сервер конфигураций Dallas Lock, который реализует:

  • контроль за изменением состава программного обеспечения (ПО) на компьютерах пользователей и контроля целостности файлов ПО, установленного на компьютерах и серверах в локальной вычислительной сети;
  • централизованный сбор информации о состоянии программной среды, формирование и утверждение паспортов ПО.

Паспорта ПО представляют собой заверенную информацию и фиксируют эталонное состояние программной среды.

Оболочка администрирования Сервера конфигураций Dallas Lock

Рис.1 Оболочка администрирования Сервера конфигураций Dallas Lock

 

Централизованное управление

Ролевая модель учётных записей Сервера безопасности Dallas Lock существенно доработана. В новой версии продукта появилась возможность полноценного администрирования на уровне группы рабочих станций домена безопасности. Права привилегированных пользователей (администраторов ИБ) внутри домена безопасности Dallas Lock распределяются как по функциональным возможностям, так и по группам (подразделениям). Например, один администратор ИБ управляет сменными накопителями бухгалтерии, а другой — отвечает за межсетевое экранирование в ряде других подразделений. Каждый администратор ИБ использует собственную консоль Сервера безопасности Dallas Lock.

Оболочка администрирования ролевой модели учетных записей

Рис.2 Оболочка администрирования ролевой модели учетных записей


В новой сертифицированной версии Dallas Lock 8.0 реализована тесная интеграция по управлению пользователями и группами Active Directory (AD). Администратор ИБ теперь управляет доменными учётными записями и группами AD непосредственно через консоль Сервера безопасности Dallas Lock. Учётные записи, созданные с помощью стандартной оснастки Windows Server, при необходимости могут не получать реальных привилегий в AD.

Также реализована возможность включения контроллеров домена ОС Windows в Домен безопасности Dallas Lock. Это позволяет собирать журналы с контроллеров домена, защищённых СЗИ, отслеживать попытки НСД, устанавливать политики безопасности унифицированным с другими защищёнными станциями способом.

 

Межсетевое экранирование

Улучшения коснулись и модуля «Межсетевой экран» (МЭ). В частности:

  • появилась возможность «пакетного» управления правилами МЭ, которая позволяет создавать различные шаблоны из правил МЭ и осуществлять переключение между ними;
  • реализован анализ защищаемой среды и автоматическая активация более строгих правил МЭ при отсутствии на защищаемом ПК антивируса, обновлений или при нарушении контроля целостности;
  • добавлено информирование о возможности обновления сигнатур и «черного списка» IP-адресов;
  • оптимизирован режим обучения в части создания правил.

 

Обнаружение и предотвращение вторжений

Центр защиты информации «Конфидент» объявил о выпуске Безопасной среды («песочницы») в июле 2018 года. На сегодняшний день Dallas Lock 8.0-К содержит уже сертифицированный модуль для безопасного исполнения приложений.

«Песочница» входит в состав СОВ Dallas Lock 8.0 и является эмулятором среды функционирования ПО, что позволяет:

  • запускать и выполнять работу ПО в изолированной, защищенной среде без внесения изменений в окружение ОС;
  • осуществлять проверку ПО на опасные действия с целью определения степени доверия к такому ПО;
  • формировать отчет о деятельности ПО.

Кроме того, «песочница» необходима для реализации требований, установленных Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Оболочка администрирования безопасной среды

Рис.3 Оболочка администрирования безопасной среды

 

Графическая форма приложения, запущенного в безопасной среде, выделена цветной рамкой и подписана

Рис.4 Графическая форма приложения, запущенного в безопасной среде, выделена цветной рамкой и подписана


Безопасная среда не требует отдельного лицензирования и поставляется совместно с модулем СОВ Dallas Lock 8.0. Если у заказчика уже есть данный модуль и действующая техническая поддержка, то использование Безопасной среды будет доступно сразу после обновления СЗИ. С подробным описанием «песочницы» можно ознакомиться здесь.


«Новейшая сертифицированная сборка нашего флагманского продукта Dallas Lock 8.0-К приобрела множество действительно полезных функций. 
Изменения коснулись практически всех подсистем», — прокомментировал Егор Кожемяка, директор ЦЗИ ГК «Конфидент». — «В своей работе мы учитываем пожелания заказчиков, требования регуляторов и рынка. На текущий момент Dallas Lock 8.0-К является ведущим СЗИ от НСД в России и продолжает развиваться».  



С полным списком обновлённой функциональности можно ознакомиться на странице Dallas Lock 8.0-К (вкладка «Обновления») на сайте dallaslock.ru. 

Скачать обзор новых возможностей сертифицированной сборки Dallas Lock 8.0-К в формате PDF можно здесь.