Byte/RE ИТ-издание

Новая версия DeviceLock с поддержкой теневого копирования

На прошедшей в сентябре выставке InfoSecurity 2006 компания «Смарт Лайн» (http://www.smartline.ru) представила новую версию своего основного продукта — DeviceLock 6.0. Развитие продукта, впервые выпущенного в 1996 г., шло по следующим основным направлениям: расширение возможностей аудита использования устройств и включение в него мощной системы “теневого” копирования; авторизация не только устройств, но и носителей информации на основе данных, находящихся на них.

Новая версия программы состоит из трех частей: агента DeviceLock Service, сервера DeviceLock Enterprise Server и консолей управления DeviceLock Management Console, Group Policy Manager и Enterprise Manager. Ядро системы — агент, устанавливаемый на каждый контролируемый компьютер. Консоли управления требуются для удаленного управления агентами и сервером DeviceLock. Сервер выступает как дополнительный элемент, используемый для централизованного сбора и хранения данных теневого копирования и журналов. В больших сетях может устанавливаться несколько экземпляров серверов для распределения нагрузки между ними.

Photo

Для работы DeviceLock Enterprise Server необходим Microsoft SQL Server, где будет храниться собираемая информация. Он может работать как на одном компьютере с DeviceLock Enterprise Server, так и на отдельном, однако ради максимальной производительности рекомендуется разносить серверы по разным системам. Организация работы с SQL-сервером зависит от размера локальной сети. Для небольшой сети достаточно одного экземпляра SQL и сервера DeviceLock. Для средней сети возможна установка нескольких комплектов серверов. Этот вариант рекомендуется в тех случаях, когда пропускная способность каналов между отдельными участками сети невысока. В больших сетях, где имеется мощный SQL-сервер, можно установить несколько серверов DeviceLock, подключаемых к одному SQL-серверу.

Новшество в DeviceLock 6.0 — система “теневого” копирования, призванная устранить существенную проблему в области информационной безопасности. Журнал аудита позволяет администратору отслеживать все действия пользователя, в том числе и копирование файлов, однако сами файлы после копирования на носитель могут быть уничтожены или переименованы, и администратор безопасности уже не сможет сказать, была ли информация в них разрешенной для копирования или нет. При теневом копировании все файлы и данные сохраняются в базе SQL Server, недоступной для пользователя. Лишь администратор, имеющий соответствующие права, может получить к ним доступ и проанализировать.

Система устроена таким образом, что сервер DeviceLock Enterprise Server лишь обрабатывает поступающие данные и дает возможность их просмотра, а непосредственно передачу сохраненных при теневом копировании данных обеспечивает локальный агент DeviceLock. В базовой конфигурации DeviceLock предполагается, что данные на локальном компьютере получает и кэширует агент, и он же с определенной периодичностью копирует их на сервер. После успешного завершения копирования локальная копия сохраненных данных удаляется. Время выгрузки данных на сервер определяется согласно алгоритму, в котором учитывается время появления данных для закачки, нагрузка на сеть и на сервер.

Для теневого копирования требуется дополнительная настройка агента — необходимо определить раздел на диске, где будут сохраняться данные, и задать его объем в процентах от общего размера логического диска, где будет размещаться этот раздел. Раздел, в который копируются файлы и данные на локальном компьютере, недоступен пользователю, но контролируется администратором через модуль управления агентом. В качестве дополнительного параметра предусмотрено ограничение на наполнение этого раздела — при достижении предельных значений копирование данных в этот раздел прекращается. Дополнительно можно запретить любое копирование данных на контролируемые устройства в том случае, если теневое копирование невозможно. При возникновении такой ситуации лишь администратор может очистить хранилище, тем самым разрешив дальнейшую работу на компьютере. Возможно также автоматическое удаление старых файлов, помещенных в это хранилище. Кроме того, в настройках аудита необходимо указать, копирование на какие носители будет подвергаться контролю и фиксироваться, — можно включить протоколирование всех заданий на копирование для гибких дисков, CD/DVD-ROM, последовательных и параллельных портов, съемных носителей.

Агент DeviceLock Service может работать сразу с несколькими SQL-серверами, что позволяет балансировать нагрузку и создавать отказоустойчивые конфигурации. Для этого в настройках агента необходимо прописать либо IP-адреса, либо имена серверов. После запуска программа произвольным образом выбирает один из серверов и отправляет данные на него. Однако существует и возможность принудительной выгрузки данных на сервер через консоль управления.

Для сохранения информации в базе данных предусмотрены два режима — либо вся информация записывается непосредственно в базу данных, либо сохраненные в режиме “теневого” копирования данные помещаются на диск в виде файлов, а в базе хранятся ссылки на них. Во втором варианте проще выполнять поиск файлов по контексту.

Второе новшество в DeviceLock 6.0 — функция авторизации носителей информации. Авторизованные носители формируют так называемый белый список медианосителей, который позволяет идентифицировать носители на основе записанных на них данных и разрешить их использование, даже если соответствующий интерфейс заблокирован. Впрочем, использование будет неполным, поскольку на основе белого списка пользователю предоставляется доступ только на чтение, но не на запись. Изменение данных на носителе приводит к изменению его уникального идентификатора, следовательно, этот носитель уже не будет распознаваться как разрешенный (авторизованный). Белый список авторизованных носителей можно экспортировать и устанавливать на любой пользовательский компьютер.

Из других изменений можно отметить модификацию интерфейса — он стал более удобным. Заметно обновлена документация. Появилась возможность выводить для пользователей сообщения о том, когда истекает период возможного использования для устройств, разрешенных через функцию временного белого списка. Упростился процесс установки программы.

Вам также могут понравиться