Zserver для Linux

Особенности

Функционал системы Zserver для Linux в большинстве случаев аналогичен функционалу Windows-версии системы. Основные отличия в функционировании системы Zserver, связанные с особенностями реализации системы для Linux приведены ниже.

Генерация ключей шифрования

Ключи шифрования создаются пользователем на основе случайной последовательности чисел, которые генерируют различные датчики. После завершения процедуры генерации ключа производится его статистический анализ, позволяющий пользователю оценить, насколько «случаен» ключ шифрования. Сгенерированный ключ можно записать либо на смарт-карту, защищенную PIN-кодом, либо в файл. В Zserver для Linux для генерации ключа возможно использовать следующие датчики или их комбинации:

• Использование параметров движения манипулятора «мышь;
• Использование квантового генератора случайных чисел Quantis;
• Использование шумов микрофона, подключенного к звуковой плате;
• Использование времени прихода пакетов данных на сетевые адаптеры;
• Использование Microsoft Crypto API;
• Ввод случайной последовательности вручную в HEX-редакторе.

Управление настройками в Zconsole

Модуль управления предоставляет возможности гибкого управления настройками. После установления соединения с сервером возможно:

• указать, следует ли перезагружать сервер при получении сигнала тревоги;
• задать настройки реакции системы (журналирование и/или выполнение скриптов) на различные события;
• добавлять пользователей и управлять их правами по удаленной работе через консоль управления и правами подачи сигнала тревоги (при локальной работе на сервере производить управление Zserver может только пользователь root);
• управлять настройками консоли - выбирать, в каких случаях у пользователя запрашивается подтверждение производимого действия, и
• задать формат отображения информации в консоли.

Текущие настройки можно сохранять в файл и загружать их из файла.

Гибкая настройка сигнала тревоги

В Zserver для Linux существует возможность гибкой настройки модуля подачи сигнала тревоги: возможно задать различные способы подачи тревоги с помощью тех или иных датчиков для каждого сервера или нескольких серверов с указанием пользователей, которым предоставлены права подачи сигнала тревоги.

Обработка событий

В Zserver для Linux существует возможность обработки событий для реакции системы на различные события, которые происходят при функционировании системы.

Непосредственно на сервере обрабатываются следующие события:

• изменение настроек обработки событий;
• создание, загрузка, выгрузка ключей шифрования;
• попытки открытия и закрытия разделов и результаты этих попыток;
• зашифровывание и расшифровывание разделов;
• изменение параметров сервера и прав доступа к управлению Zserver.

На рабочих станциях модулем Zalarm обрабатываются следующие события:

• Успешная отправка сигнала «тревога»;
• Невозможность соединиться с сервером для подачи ему сигнала;
• Соединение было выполнено, но сигнал «тревога» не был принят сервером.

В качестве реакции системы на каждое событие можно назначить любое количество действий по выполнению скриптов и журналированию.

Выполнение скриптов

Zconsole позволяет настроить выполнение любой внешней программы (исполняемого файла или файла сценария) при наступлении события. Запуск исполняемого файла задается командной строкой. Администратор системы имеет возможность подключать к системе любые самостоятельно написанные сценарии.

Журналирование

В журнал событий записываются дата и время события, имя сервера, на котором событие происходит, а также имя пользователя, инициировавшего событие.

Запись событий может производиться как в файл (XML либо текстовый в кодировках ANSI или Unicode), так и в системный журнал (syslog) на сервере. Для записи в файл необходимо указать имя файла на сервере и полный путь к нему.

Для просмотра и анализа журнала событий (только в формате XML) служит специальный модуль «Журнал событий», позволяющий отправлять запросы по заранее выбранным условиям и получать записи журнала, соответствующие этим запросам. Результаты запроса отображаются в окне консоли, также их можно сохранить в HTML-формате.

Архитектура

Zserver для Linux состоит из трех основных модулей:

1. Сервер защиты данных;
2. Консоль управления сервером;
3. Модуль подачи сигнала тревога.

Сервер защиты данных

Сервер защиты данных является ядром системы и устанавливается на сервер с защищаемой информацией. Сервер защиты данных осуществляет следующие функции:

• «прозрачное» шифрование данных;
• управление разделами дисков.

После установки системы запускаются системные демоны, которые реализуют операции с сервером по командам, передаваемым с консоли управления, либо непосредственно с консоли сервера через специальные утилиты командной строки.

К компьютеру, на котором установлен данный компонент, должен быть подсоединен лицензионный ключ. Он предназначен для защиты ПО Zserver от несанкционированного тиражирования и подсоединяется к USB-порту того компьютера, где установлен сервер защиты. Лицензионный ключ содержит информацию о конфигурации Zserver, и в его отсутствие система работать не будет.

Консоль управления сервером

Данный модуль устанавливается на любом компьютере, работающем под управлением Windows 2000/XP/2003/Vista/2008 и связанном с сервером защиты через локальную сеть или через Интернет по протоколу TCP/IP. Осуществляет следующие функции:

• Операции с ключами шифрования: генерация ключа, загрузка ключа в оперативную память сервера и его выгрузка, копирование и удаление ключей. Консоль управления является основным инструментом для операций с ключами, однако эти операции можно осуществлять непосредственно на сервере;
• Управление настройками Zserver: реакция сервера на получение сигнала «тревога», обработка событий и формат журнала событий, управление правами пользователей по удаленному управлению Zserver;
• Настройка параметров журналирования событий;
• Настройка удаленного доступа: пользователи и права для работы с сервером.

Модуль подачи сигнала тревоги

Этот модуль может быть размещен на любом компьютере под управлением ОС Windows 2000/XP/2003/Vista/2008. После подачи сигнала «тревога» защищаемые разделы становятся полностью недоступными либо происходит перезагрузка сервера. При этом все ключи шифрования удаляются из оперативной памяти, а доступ к данным на зашифрованных разделах блокируется. Для возобновления нормальной работы с защищенными разделами необходимо перезапустить систему Zserver и повторно загрузить ключи шифрования. Кроме этого, по сигналу «тревога» могут быть запущены подключенные администратором сценарии.

Подача сигнала тревоги может быть инициирована из консоли управления или с помощью следующих датчиков:

• изменением состояния «красной кнопки», то есть она либо замыкается, либо размыкается;
• двойным кликом мыши по значку в панели уведомлений;
• запуском приложения командной строки;
• нажатием заранее заданной «горячей клавиши».

Также для подачи сигнала тревоги может быть использован модуль Phone Alarm.

Подача сигнала происходит последовательно по всему списку серверов, связанных с каждым датчиком. С каждым сервером устанавливается защищенное соединение и по нему передается специальная команда.

Системные требования

• для серверного модуля защиты данных: Linux с ядром 2.6.x., защищаемые разделы могут иметь файловые системы ext2, ext3, vfat, xfs или reiserfs;
• для консоли управления и модуля подачи сигнала тревоги: Windows 2000/XP/2003/Vista/2008 (32-разрядные (x86) и 64-разрядные (x64)).

Требования к аппаратному обеспечению сервера определяются требованиями операционной системы. Zserver не требует дополнительных аппаратных ресурсов, за исключением свободных USB-портов для подключения смарт-карт ридера (на сервере или на компьютере администратора) и лицензионного ключа (на сервере), а также COM-портов на рабочих станциях для подключения «красной кнопки».

Комплект поставки

Комплект Zserver для Linux включает в себя:

• лицензионный ключ для USB-порта;
• дистрибутивный диск;
• PC/SC совместимый смарт-карт ридер для USB-порта
• две смарткарты;
• устройство «красная кнопка» для СОМ-порта;
• руководство администратора.

Анонсы

Zecurion и HeadHunter исследовали защиту данных в российских компаниях

Zecurion расширяет бизнес в новом офисе