Zlock — возможности

Система Zlock компании Zecurion позволяет обеспечить надежную защиту данных компании от утечек на внешних носителях путем разграничения доступа к любым внешним устройствам и портам рабочих станций.

Политики доступа

Разграничение доступа к внешним устройствам в Zlock осуществляется на основе политик доступа. Политика доступа — это логическое понятие, которое связывает описание устройств и прав доступа к ним.

Права доступа могут иметь следующий вид:

• полный доступ;
• доступ только на чтение;
• запрет доступа.

Права доступа могут применяться как для всех, так и иметь индивидуальные настройки для пользователей или групп пользователей на основе ACL (аналогично разграничению прав доступа к папкам или файлам в Windows).

Политики доступа можно настраивать по типам файлов для ограничения операций с документами определенного формата (для USB-устройств). Zlock поддерживает более 500 наиболее распространённых в корпоративной среде форматов файлов, в том числе Microsoft Office и OpenOffice.org.

При настройке политик по содержимому передаваемых документов существует возможность открыть полный доступ к устройствам, ограничив запись, чтение или печать файлов, содержащих конфиденциальную информацию (для USB-устройств и принтеров).

Политики могут иметь временной интервал или быть одноразовыми. Это позволяет, например, давать разные права доступа в рабочее и нерабочее время либо разрешить однократный доступ к устройству (доступ прекратится, как только пользователь извлечет устройство).

В системе Zlock существует особый вид политики — это «политика по умолчанию». Она описывает права доступа к устройствам, которые по тем или иным причинам не попадают под действия других политик. Например, можно с помощью такой политики по умолчанию запретить использовать все USB-устройства, а с помощью обычной политики — разрешить использовать какое-то определенное устройство.

Дополнительно в Zlock реализована возможность задавать специальные политики доступа, которые применяются в зависимости от того, подключен ли компьютер к сети непосредственно, подключен через VPN или работает автономно. Это расширяет возможности по управлению доступом к устройствам и позволяет, например, автоматически заблокировать доступ ко всем внешним устройствами на ноутбуке, как только он отключается от корпоративной сети.

При этом в Zlock у каждой политики есть свой приоритет, который позволяет определить, какие права доступа будут применяться, если одно устройство описывается сразу в нескольких политиках и имеет там разные права доступа.

Поддерживаемые устройства

Система Zlock позволяет разграничивать доступ к следующим видам устройств:

• любые USB-устройства — flash-накопители, цифровые камеры и аудиоплееры, карманные компьютеры и т. д.;
• локальные и сетевые принтеры;
• внутренние устройства — контроллеры Wi-Fi, Bluetooth, IrDA, сетевые карты и модемы, FDD-, CD- и DVD-дисководы, жесткие диски;
• порты LPT, COM и IEEE 1394;
• любые устройства, имеющие символическое имя.

В Zlock есть возможность создать каталог устройств, который будет хранить всю информацию об устройствах сети и позволит создавать политики на основе этих данных.

Zlock может использовать такую информацию об устройстве, как внутренний серийный номер, класс устройства, производитель, а также ряд дополнительных параметров, которые позволяют идентифицировать конкретное устройство или класс устройств.

Контентный анализ

При записи документов на USB-устройства, чтении с них и печати на принтерах Zlock может анализировать содержимое файлов, обнаруживать в них конфиденциальные данные и блокировать действия пользователя в случае выявления нарушений политик безопасности.

Для обнаружения конфиденциальной информации в файлах применяется гибридный анализ — комплекс технологий детектирования данных разного типа:

• Технология MorphoLogic с использованием морфологического анализа и стемминга — позволяет исследовать текст динамических и вновь созданных документов с учетом различных грамматических словоформ.
• Шаблоны регулярных выражений — особенно эффективны при поиске конфиденциальной информации, имеющей фиксированную структуру, в частности, персональных данных.
• Поиск по словарям — позволяет обнаруживать данные, относящиеся к определенным категориям, существенным для организаций разного рода деятельности.
• Анализ замаскированного текста и транслита.

Удаленное управление

Удаленное управление системой Zlock осуществляется через единую консоль для решений Zecurion. C помощью нее администратор может устанавливать клиентские части, создавать и распространять политики Zlock, производить мониторинг рабочих станций, просматривать логи и данные теневого копирования.

При необходимости установка клиентских частей на рабочие места пользователей может производиться без перезагрузки компьютеров, что позволяет ускорить внедрение и сделать его незаметным для пользователей.

В системе Zlock существует возможность разграничения доступа к функциям управления для администраторов. Это позволяет, в частности, разделить функции администратора безопасности, который осуществляет весь комплекс действий по управлению системой, и аудитора, который имеет право только на просмотр собранных системой событий и данных теневого копирования.

В Zlock для обычных пользователей предусмотрена возможность послать администратору запрос на доступ к определенному устройству. На основе запроса администратор безопасности может создать политику, разрешающую доступ к устройству. Это обеспечивает максимально оперативное реагирование на запросы пользователей и простоту адаптации политики безопасности к нуждам бизнес-процессов.

Взаимодействие с Active Directory

В Zlock реализована тесная интеграция с Active Directory. Она заключается в возможности загрузки доменной структуры и списка компьютеров корпоративной сети в Zlock. Это позволяет увеличить удобство использования системы и повысить возможности по масштабируемости.

Развертывание и управление Zlock можно осуществлять не только из консоли управления Zlock, но и с помощью групповых политик (group policy) Active Directory.

Через групповые политики можно выполнять установку, удаление и обновление Zlock, а также распространение политик доступа и настроек системы.

Данная возможность позволяет упростить внедрение и использование системы в крупных корпоративных сетях. Кроме этого расширяются возможности по администрированию Zlock в компаниях с разделенными службами информационных технологий и информационной безопасности — сотруднику службы безопасности необязательно иметь привилегии локального администратора на компьютерах пользователей, поскольку внедрение и управление системой осуществляется средствами домена.

Мониторинг

В Zlock существует возможность мониторинга клиентских рабочих станций. Данная функция предусматривает периодический опрос клиентских модулей Zlock и выдачу предупреждений в случае попытки несанкционированного отключения Zlock на рабочей станции, изменения настроек или политик доступа.

Реакция на эти события может настраиваться с помощью подключаемых сценариев (скриптов) на языках VBscript или Jscript. С использованием таких сценариев можно выполнять любые действия — посылать уведомления по электронной почте, запускать или останавливать приложения, и т. д.

Сбор событий и их анализ

Система Zlock реализует расширенный функционал по ведению и анализу журнала событий. В журнал записываются все существенные события, в том числе:

• подключение и отключение устройств;
• изменение политик доступа;
• операции с файлами (чтение, запись, удаление и переименование файлов) на контролируемых устройствах.

В состав Zlock входит средство для анализа журналов, которое обеспечивает формирование запросов любых видов и вывод результатов в формате HTML. Кроме этого, использование для журнала универсальных форматов хранения данных позволяет воспользоваться любыми сторонними средствами анализа и построения отчетов.

Предоставление доступа к устройствам по телефону

В Zlock реализована возможность разрешить пользователям доступ к устройствам, используя лишь телефонную связь с администратором Zlock. Это необходимо в тех случаях, когда пользователю нужно срочно получить доступ к определенному устройству или группе устройств, а он находится не в корпоративной сети. В такой ситуации сотрудник компании и администратор просто обмениваются секретными кодами, в результате чего создаются и применяются новые политики доступа.

При этом администратор Zlock может создать как постоянно действующую, так и временную политику, которая перестанет действовать после отключения устройства, завершения сеанса Windows или по истечении заданного времени. Это позволит более оперативно реагировать на запросы пользователей в безотлагательных ситуациях и соблюдать разумный баланс между безопасностью и бизнесом.

Архив (теневое копирование)

В Zlock существует возможность автоматически выполнять архивирование (теневое копирование,— shadow copy) файлов, которые пользователи записывают на внешние накопители. Это позволяет контролировать ситуацию даже в том случае, если пользователю разрешена запись на внешние устройства, поскольку администратор безопасности всегда будет точно знать, какую информацию сотрудник записывает на внешние накопители.

Вся информация, записываемая пользователем на внешний носитель, незаметно для него копируется в защищенное хранилище на локальной машине и потом переносится на сервер. Функция теневого копирования создает точные копии файлов, которые пользователь записывают на устройства, и расширяет возможности аудита, позволяя проводить расследование возможных инцидентов.

Теневое копирование может отслеживать информацию только для определенных пользователей, групп пользователей и носителей, которые подпадают под действие конкретной политики доступа Zlock. Это делает теневое копирование высокоточным инструментом, применение которого позволяет службе безопасности предприятия получать только ту информацию, которая ей нужна.

Дополнительно в Zlock реализовано теневое копирование распечатываемых документов. Это дает возможность контролировать действия пользователей даже в том случае, если им разрешено использование принтеров, но необходимо точно знать, что, где и когда они печатали. В теневой копии сохраняется вся служебная информация и сам распечатанный документ в формате PDF.

Сервер журналирования

В Zlock есть возможность сохранять журналируемые события на сервер журналирования. Он позволяет быстрее и надежнее собирать, хранить и обрабатывать журналы событий Zlock.

Клиентские модули Zlock записывают все происходящие события на сервер журналирования, при этом, если он недоступен, информация о событиях временно хранится на клиенте. Когда соединение с сервером восстанавливается, эта информация пересылается на сервер.

Сервер журналов может записывать информацию о событиях в базу данных Microsoft SQL Server, Oracle Database или в XML-файлы. Использование для хранения событий Microsoft SQL Server или Oracle Database позволяет обеспечить более высокую надежность и производительность.

Zlock Enterprise Management Server

Zlock EMS предназначен для централизованного хранения и распространения политик и настроек Zlock. Синхронизация с Zlock Enterprise Management Server происходит с заданной администратором периодичностью и включает в себя проверку текущих политик и настроек агентов и их обновление в случае необходимости. Синхронизация происходит по защищенному каналу и может распространяться как на всю сеть, так и на определенные домены, группы или компьютеры.

Контроль целостности Zlock

В Zlock имеется возможность контроля целостности файлов и настроек Zlock. Если какие-либо компоненты Zlock были несанкционированно модифицированы, возможность входа в систему будет лишь у администратора. Это позволит защитить Zlock от изменений со стороны пользователей и вредоносных программ.

Анонсы

Zecurion и HeadHunter исследовали защиту данных в российских компаниях

Zecurion расширяет бизнес в новом офисе