DeviceLock - новые возможностиАвтор: Михаил Брод
Опубликовано: 29.04.2008
Источник: SoftKey.info  Если в поле зрения попадает интересная и полезная программа, поневоле начинаешь отслеживать процесс ее дальнейшего развития. Так случилось и с программой DeviceLock, с которой впервые познакомился несколько лет назад. Уже в то время ее возможности и стабильность работы были весьма достойными, но разработчики не желали почивать на лаврах и продолжали развивать программу. Как результат - постоянно повышающийся интерес пользователей, значительное расширение рынка и появление новых и новых возможностей.
Вот и в последней версии - 6.3 - появились уникальные возможности, которые пока еще не реализованы в программах-конкурентах. И в первую очередь - это контроль мобильных телефонов и расширенный контроль принтеров.
С развитием техники все больше и больше сотрудников в различных компаниях начинают использовать для работы мобильные устройства. Запрещать? Не выход - при запрете возникает определенная стагнация в развитии компании, следовательно - отставание от конкурентов. Разрешать? Да, конечно, но при этом обеспечить контроль за данными, которые могут быть переданы на эти мобильные устройства или получены с них.
Новая версия расширила список контролируемых мобильных устройств. Помимо КПК, работающих под управлением Windows Mobile, теперь такой же контроль возможен и за устройствами, работающими под управлением ОС Palm OS. Что же доступно для контроля (а также теневого копирования и аудита)? Фактически под контроль становятся все типы данных, которые могут быть переданы как с КПК, так и на него. Таким образом, при использовании любых программ, обеспечивающих связь КПК и компьютера, можно разрешить или запретить обмен данными календаря, контактов, почтовых сообщений и в том числе связанных с ними файлов, заметок и задач. Безусловно, такому же контролю подвергается и любой обмен обычными или мультимедийными файлами. Для устройств, работающих под управлением Palm OS, помимо файлов отдельно могут быть настроены права доступа для обмена документами.
В настройках программы отдельным пунктом меню настройки прав доступа выделены некатегоризированные файлы. Таким образом, программа может контролировать перенос любой информации между мобильным устройством и компьютером. А в случае если перенос разрешен, может быть установлена опция теневого копирования, что позволяет контролировать информацию, которую приносят или передают на внешнее мобильное устройство. И здесь нужно отметить еще то, что мобильное устройство может контролироваться при любом варианте подключения к компьютеру - USB, COM, IrDA, Bluetooth, WiFi.
К сожалению, не удалось проверить, как будет работать DeviceLock при подключении телефонов, работающих не в среде Windows Mobile или ОС Palm OS, например при использовании программы Oxygen Phone Manager. Понятно, что отслеживать работу через определенный порт DeviceLock будет, но будет ли при этом возможность ограничивать обмен в рамках определенной информации или нет - проверить не удалось.
Еще одна новинка программы - расширение возможностей контроля печати. В новой версии добавлены контроль, аудит и теневое копирование как для локальных, так и для сетевых принтеров, а помимо этого - исключить из числа "подозреваемых" виртуальные принтеры и не отслеживать их работу. (Это свойство настраивается через диалог Security Settings - Access control for virtual printers. Отключив данный параметр, вы можете запретить DeviceLock контролировать и протоколировать отправку документов на виртуальные принтеры, т. е. принтеры, которые печатают не на реальном физическом устройстве, а, например, перенаправляют печать в файл. А таких ситуаций, когда используются виртуальные принтеры, немало - это и формирование платежных документов со штрихкодом, и преобразование текстового файла в формат PDF в ряде иных случаев. Если отслеживать и сохранять в базе результаты и этих работ, то объем ненужной для контроля информации существенно увеличивается.
Сохраненные во время теневого копирования копии напечатанных документов в дальнейшем можно просмотреть с помощью встроенного в программу DeviceLock инструментария.
Программа прекрасно устанавливается на различные операционные системы. Не удивительно, что под XP никаких проблем с установкой нет. Но так же легко программа устанавливается и под Vista, в том числе при установленном обновлении SP1. При этом программа поддерживает как 32-, так и 64-битные платформы. Во время установки DeviceLock Service автоматически добавляет себя в список исключений для стандартного брандмауэра операционной системы на Windows XP/Server 2003/Vista.
Изменения, о которых говорилось выше, - это новинки последней, самой свежей версии. Но с момента публикации предыдущей статьи об этом продукте прошло уже более года, поэтому нелишним будет вкратце рассказать и о других расширениях функциональности, появившихся за этот период.
В последние версии программы была добавлена возможность поддержки съемных устройств, зашифрованных внешними продуктами (PGP Whole Disk Encryption ), а также USB-флешки Lexar SAFE PSD, у которых поддерживается аппаратное шифрование. При обнаружении таких устройств DeviceLock может применять к ним специальные политики, заключающиеся в том, что данные, записываемые на эти диски, должны быть в обязательном порядке зашифрованы. Эта возможность может быть отключена путем выполнения настроек (снятия флага Integration) соответствующих продуктов. Несколько позже была добавлена и интеграция с продуктом TrueCrypt, предназначенным для прозрачного шифрования дисков.
Защита от утечки данных программой DeviceLock ведется не только путем контроля за переносом данных на съемные носители, принтеры и иные устройства, но и путем предотвращения снятия информации за счет использования PS/2-кейлоггеров. Программа искажает данные, и они, если имеется такой кейлоггер, передаются ему в искаженном виде. Правда, все больше и больше используется клавиатур, подключенных к компьютеру не через порт PS/2, а через USB.
Еще в версии 6.1, выпущенной в феврале 2007 года, появился новый модуль - DeviceLock Enterprise Server, предназначенный для централизованного сбора и хранения данных
теневого копирования и журналов аудита. Для хранения данных используется MS SQL Server. Но это было только начало. В следующих версиях (и мы это видим в последней) были добавлены новые возможности. Во-первых, для снижения нагрузки на сеть применили потоковое сжатие данных аудита и теневого копирования, пересылаемых с сервисов на сервер.
Во-вторых, разработчики научили сервер автоматически извлекать файлы из образов CD/DVD в журнале теневого копирования. При определенных настройках все файлы из этих образов извлекаются и сохраняются в базе данных индивидуально.
Затем на DeviceLock Enterprise Server была возложена и новая задача - централизованный мониторинг, призванный контролировать текущее состояние агентов на удаленных компьютерах. Этот процесс выполняется путем периодического опроса, результаты опросов сохраняются в журнале мониторинга. Но и это не все - сохраненные данные сервер периодически сравнивает с эталонными политиками и все отклонения также записывает в журнал мониторинга. Есть возможность автоматической замены текущих политик безопасности на эталонные. В конечном итоге это снижает нагрузку на администратора безопасности и позволяет пресекать попытки изменить установленные политики.
И попутно. Настройки программы - параметры безопасности, аудита и теневого копирования - можно задать во внешнем файла формата XML, который далее может использоваться в процессе "тихой" установки сервисов на рабочие места.
В версии прошлого года, о которой была опубликована статья на нашем сайте, было довольно затруднительно (хотя и возможно) корректно настроить права доступа к USB-устройствам, если они вносились в "белый" список таких устройств или временный "белый" список. В новых версиях стало возможным отключать контроль по типу устройств (например, Removable), если они могут контролироваться также и на уровне интерфейса. А для устройств, вносимых во временный "белый" список, контроль по типу снимается автоматически. И небольшое изменение при работе со временным "белым" списком. Добавлена возможность разрешения работы с устройством, внесенным в этот список, до конца работы сессии текущего пользователя.
Остальные доработки, постоянно появляющиеся в новых версиях, не являются столь существенными с точки зрения использования программы, хотя, безусловно, и улучшают возможности ее использования. Но поговорим еще об одном моменте, связанном с этой программой.
Защита информации - задача, которая волнует и бизнес-структуры, и государственные учреждения. Неудивительно, что программа пользуется большим спросом в самых различных структурах, оказываясь при этом во многом соответствующей требованиям, предъявляемым к средствам защиты информации в этих структурах. Один из примеров - соответствие продукта DeviceLock требованиям стандарта Банка России по ИТ-безопасности. Использование DeviceLock позволяет организовать в корпоративной среде соответствие двум весьма важным требованиям стандарта - защиту от инсайдеров и полный контроль доступа к ИТ-системе во всех точках, где сотрудники могут с ней взаимодействовать.
Программа обеспечивает создание защищенных ИТ-систем не только в соответствии с требованиями, предъявляемыми российскими структурами. В полной мере она соответствует и международным документам. Примером может служить закон HIPAA, согласно которому все медицинские учреждения США обязаны обеспечивать конфиденциальность своей информации (это же требование относится и к страховым организациям). А платежные карты? Это и конфиденциальная, и финансовая информация, также требующая обеспечения сохранности. И в этом случае DeviceLock в полном объеме соответствует требованиям стандарта PCI DSS.
Такое же соответствие возможностей программы можно проследить и по отношению к требованиям Закона о персональных данных, которые в последние месяцы получили конкретное развитие в рамках развивающих документов.
DeviceLock - это программа, которая удачно вписывается в ИТ-системы, обеспечивая, с одной стороны, надежную защиту циркулирующей в ней информации, с другой стороны - доступная для ее развертыванию в корпоративной сети силами собственных специалистов.
|
