Сравнительный анализ средств защиты информации от несанкционированного доступа 'БлокХост-Сеть' и 'Dallas-Lock'

Пояснительная записка к курсовой работе

по дисциплине: «Программно-аппаратная защита информации»

Сравнительный анализ средств защиты информации от несанкционированного доступа «БлокХост-Сеть» и «Dallas-Lock»

г.

Оглавление

Вступление

. Программное средство «Блокхост-сеть». Описание

.1 Краткое описание

.2 Функции

.3 Технические характеристики среды выполнения

.4 Структура системы

.5 Достоинства

.6 Сведения производителя

.7 Нормативная информация

. Программное средство «Dallas Lock». Описание

.1 Краткое описание

.2 Функции

.3 Технические характеристики среды выполнения

.4 Структура системы

.5 Достоинства

.6 Сведения производителя

.7 Нормативная информация

. Таблица характеристик

. Сравнительный анализ

.1 Дистрибуция и установка

.2 Документация

.3 Общие характеристики

.4 Возможности

. Результаты сравнения и выводы

Вступление

Актуальность проблемы защиты конфиденциальной информации в вычислительных сетях не нуждается в обосновании. Сейчас, когда документооборот и информационные потоки всё больше уходят в область электронной сферы, как никогда остро стоит вопрос о создании комплексной, централизованной и всеобъемлющей системы контроля над информацией, циркулирующей внутри локальных сетей предприятий.

Спрос рождает предложение, и на рынке появились конкурирующие системы. Вопрос выбора конкретной системы становится нетривиальной задачей в силу сложности и объёмности каждого программного продукта. Требуется комплексный сравнительный анализ.

Данная работа содержит пример проведения такого анализа. Для его выполнения взяты две системы: Dallas-Lock и БлокХостСеть. Они занимают на рынке сходные позиции, имеют в целом сходный функционал и относятся к одной ценовой категории.

В работе подробно описана каждая система, после чего определены критерии сравнения и проведён подробный анализ по каждому критерию. В конце работы сделан вывод о целесообразности использования одной из систем.

Для проведения сравнения выбраны следующие версии ПО:

·       Dallas-Lock 8.0 K;

·       БлокХостСеть К.

Период проведения сравнительного анализа - апрель-май 2013 г.

1. Программное средство «Блокхост-сеть». Описание

.1 Краткое описание

Программное средство «Блокхост-сеть» относится к классу сетевых систем защиты информации. Основная задача системы - защита информации в локальных сетях. Средство не предоставляет функционала для работы в глобальных сетях и ориентировано на защиту информации на предприятии.

1.2 Функции

Программные средства защиты информации, функционирующие в составе СЗИ «Блокхост-сеть», позволяют:

·             обеспечить более надежную защиту входа в систему с помощью аппаратных средств идентификации пользователя;

·             разграничить вход пользователей в систему по времени и дням недели;

·             санкционировать доступ пользователей к ресурсам с помощью дискреционного и мандатного механизмов разграничения доступа;

·             обеспечить контроль информационного обмена с отчуждаемыми физическими носителями информации;

·             обеспечить гарантированное удаление информации;

·             санкционировать работу программ с помощью механизмов разграничения доступа к запуску процессов;

·             осуществлять контроль целостности информации;

·             обеспечить очистку памяти после завершения работы приложений;

·             контролировать вывод информации на печать, осуществлять маркировку документов;

·             осуществлять мониторинг активности пользователей в системе - работу СЗИ в мягком режиме;

·             осуществлять групповое администрирование;

·             разграничить доступ пользователей к сетевым ресурсам;

·             санкционировать доступ пользователей к администрированию СЗИ «Блокхост-сеть»;

·             выполнять оперативный контроль за событиями, связанными с безопасностью защищаемой информации.

1.3 Технические характеристики среды выполнения

Система способна функционировать как на локальном компьютере, так и в LAN. Поддерживаются одноранговые и доменные сети.

Допускается установка СЗИ «Блокхост-сеть» на компьютеры, работающие под управлением операционной системы:

·       Windows 2000 (Service Pack 4);

·       Windows XP (Service Pack 2 и выше);

·       Windows 2003.

В составе программного установленного обеспечения необходимы следующие компоненты:

·       .Net Framework 2.0;

·       драйверы для устройства eToken (при использовании персональных идентификаторов eToken);

·       драйверы для устройства ruToken (при использовании персональных идентификаторов ruToken).

1.4 Структура системы

Структура приведена на рисунке 1.

Рисунок 1. Структура программного средства «Блокхост-сеть»

·       клиентская часть - обеспечивает защиту информации на рабочей станции;

·       серверная часть - обеспечивает централизованное управление средствами системы;

·       аппаратная часть - прикладные аппаратные устройства, обеспечивающие дополнительный функционал системы (сканеры, ключи аутентификации и прочие).

1.5 Достоинства

Производителем заявлены следующие достоинства:

·             надежная защита от несанкционированного доступа локальных / сетевых рабочих станций и серверов;

·             удобный и понятный интерфейс;

·             имеет сертификаты Гостехкомиссии России и сертификаты совместимости ведущих вендоров;

·             может использоваться при создании автоматизированных систем до класса защищённости 1В включительно;

·             может использоваться при защите персональных данных до класса К1 включительно;

·             разумное решение по разумной цене.

1.6 Сведения производителя

Производитель продукта - ООО «Газинформсервис».

На различные виды услуг, предоставляемых в поставляемом пакете, производителем заявлены следующие цены:

Лицензия на использование «Блокхост-сеть» (автономный): 4 600.00 руб.

Установочный комплект «Блокхост-сеть» (автономный): 500.32 руб.

Лицензия на использование сервера «Блокхост-сеть»: 12 450.00 руб.

Лицензия на использование сетевого клиента «Блокхост-сеть»: 5 650.00 руб.

Установочный комплект сетевого клиента «Блокхост-сеть» (сетевой): 600.32 руб.

ruToken 32К: 1 000.00 руб.PRO (Java)/72K: 1 300.00 руб.

Оказание технической поддержки по продукту «Блокхост-Сеть», клиент (1 год на 1 рабочее место): 750.00 руб.

Оказание технической поддержки по продукту «Блокхост-Сеть», сервер (1 год на 1 рабочее место): 1 850.00 руб.Начало формы

Для использования решения для защиты информации на предприятии данные цены относят продукт к категории бюджетных решений.

1.7 Нормативная информация

Система защиты информации «Блокхост-сеть» имеет все необходимые сертификаты ФСТЭК России по 3 классу защищенности, может использоваться при создании автоматизированных систем до класса защищенности 1В включительно, в том числе - информационных систем персональных данных до класса К1 включительно.

. Программное средство «Dallas Lock». Описание

.1 Краткое описание

Система защиты информации от несанкционированного доступа «Dallas Lock 8.0-C» (далее по тексту - DL) предназначена для предотвращения получения защищаемой информации заинтересованными лицами с нарушением установленных норм и правил и обладателями информации с нарушением установленных правил разграничения доступа к защищаемой информации.

Dallas Lock 8.0-C представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.

2.2 Функции

Программные средства защиты информации, функционирующие в составе СЗИ DL, позволяют:

·       управлять доступом к электронным ресурсам;

·       разграничение доступа к внешним накопителям, как по типам, так и по конкретным экземплярам;

·       использовать электронные идентификаторы;

·       контролировать сложность и использование паролей;

·       авторизовать пользователя до загрузки операционной системы;

·       ограничивать круг доступных для пользователя элементов файловой системы

·       осуществлять контроль целостности компонентов системы и параметров компьютера;

·       использовать систему очистки остаточной информации;

·       журналировать события раздельными списками, с контролем времени, пользователя и прочего;

·       добавлять штампы на документы, сохранять теневые копии, разграничивать доступ пользователей к печати;

·       шифровать данные, создавать файлы-контейнеры;

·       осуществлять удалённое администрирование рабочих станций с установленным клиентом;

·       использовать механизм блокировки компьютера;

·       создавать «Замкнутую программную среду»;

·       блокировать доступа к файлам по расширению;

·       осуществлять резервное копирование информации.

.3 Технические характеристики среды выполнения

Система защиты Dallas Lock 8.0-C может быть установлена на персональные компьютеры, портативные и мобильные ПК (ноутбуки и планшетные ПК), сервера (файловые, контроллеры домена, терминального доступа) и виртуальные машины (например, VMware), работающие как в автономном режиме, так и в составе локально-вычислительной сети.

Система защиты Dallas Lock 8.0-C может работать на автономных персональных компьютерах или на компьютерах в составе локальной вычислительной сети.

Система защиты Dallas Lock 8.0-C может работать на любом компьютере, работающем под управлением следующих ОС:

-        Windows XP (SP 3);

         Windows Server 2003 (R2) (SP 2);

         Windows Vista (SP 2);

         Windows Server 2008 (SP 2);

         Windows 7 (SP 1);

         Windows Server 2008 R2 (SP 1);

-        Windows 8;

         Windows Server 2012.

Система защиты Dallas Lock 8.0-C поддерживает 32-х и 64-х битные версии операционных систем .

Dallas Lock 8.0-C позволяет защищать информационные ресурсы рабочего пространства Windows To Go операционной системы Windows 8 на USB-накопителе.

Минимальная и оптимальная конфигурация ПК определяется требованиями к версии операционной системы Windows, на которую установлена система защиты Dallas Lock 8.0-C.

Для размещения файлов системы и ее работы требуется не менее 30 Мбайт пространства на системном разделе жесткого диска.

Для использования Dallas Lock 8.0-C на компьютерах в составе ЛВС необходимо установить сетевой протокол TCP/IP.

Для использования аппаратных идентификаторов требуется наличие в аппаратной части ПК соответствующих портов: USB-порта или COM-порта.

2.4 Структура системы

Система защиты Dallas Lock 8.0 состоит из следующих основных компонентов:

.        Драйвер защиты. Является ядром системы защиты и выполняет основные функции СЗИ НСД.

Драйвер защиты автоматически запускается на защищаемом компьютере при его включении и функционирует на протяжении всего времени работы. Драйвер осуществляет управление подсистемами и модулями системы защиты и обеспечивает их взаимодействие. Драйвер защиты выполняет следующие функции:

•        обеспечивает мандатный и дискреционный режимы контроля доступа к объектам файловой системы;

•        обеспечивает работу механизма делегирования полномочий;

•        обеспечивает проверку целостности СЗИ НСД, объектов файловой системы и компьютера;

•        драйвер осуществляет полную проверку правомочности и корректности администрирования СЗИ НСД.

С драйвером защиты взаимодействуют следующие защитные подсистемы:

.        Подсистема управления доступом. Включает в себя:

•        подсистему входов. Обеспечивает идентификацию и аутентификацию локальных, доменных, терминальных и удаленных пользователей на этапе входа в операционную систему;

•        подсистему аппаратной идентификации. Осуществляет работу с различными типами аппаратных идентификаторов;

•        подсистему дискреционного доступа;

•        подсистему мандатного доступа.

.        Подсистема регистрации и учета. Включает:

•        подсистему аудита. Обеспечивает ведение аудита и хранение информации 6-ти категорий событий в журналах;

•        подсистему очистки остаточной информации.

.        Подсистема контроля целостности. Обеспечивает целостность программ и данных, периодическое тестирование СЗИ НСД, наличие средств восстановления СЗИ НСД, контроль целостности программно-аппаратной среды.

.        Модуль доверенной загрузки. Является опционным модулем, включается по команде администратора и может быть не активированным. Активный модуль отрабатывает до начала загрузки ОС. Обеспечивает начальную авторизацию, запуск подсистемы прозрачного преобразования.

.        Подсистема внедрения в интерфейс windows explorer («проводник»). Обеспечивает отображение пунктов в контекстном меню объектов, необходимых для назначение прав доступа к объектам ФС, вызова функции принудительной зачистки объектов ФС, создания кодированных файлов-контейнеров.

.        Подсистема локального администрирования. Обеспечивает все возможности по управлению СЗИ НСД, аудиту и настройке СЗИ НСД, просмотру, фильтрации и очистке журналов.

.        Подсистема удаленного администрирования. Позволяет выполнять настройку системы защиты с удалённого компьютера.

.        Подсистема преобразования информации. Обеспечивает кодирование и декодирование данных в файлах-контейнерах.

.        Подсистема печати. Обеспечивает разграничение доступа к печати, добавление штампа на документы, сохранение их теневых копий, регистрацию событий печати в подсистеме аудита.

.        Подсистема прозрачного преобразования дисков. Позволяет осуществить преобразование информации, хранящейся на локальных дисках, что предотвращает доступ к данным, расположенным на жёстких дисках, в обход СЗИ НСД Dallas Lock 8.0.

.        Подсистема централизованного управления. Включает в себя основные компоненты:

•        модуль «Сервер безопасности». Позволяет объединять защищенные компьютеры в домен безопасности для централизованного управления;

•        модуль «Менеджер серверов безопасности». Позволяет объединить несколько Серверов безопасности в единую логическую единицу «Лес безопасности». С помощью этого модуля становиться возможным централизованный сбор журналов со всех Серверов безопасности и применение политик.

2.5 Достоинства

·       система полностью сертифицирована;

·       производителем заявлен дружественный интерфейс;

·       простота установки и настройки, использование очевидных и нативных пользователю понятий;

·       высокая надёжность и стабильность системы благодаря встроенной системе резервного копирования собственных файлов;

·       подробная документация;

·       постоянная поддержка разработчиком.

2.6 Сведения производителя

Производитель продукта - ООО «КОНФИДЕНТ».

На различные виды услуг, предоставляемых в пакете, производителем заявлены следующие цены:

2.7 Нормативная информация

Программный продукт обладает всеми необходимыми сертификатами, позволяющими использовать его для защиты:

·             конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно;

·             информационных систем персональных данных до класса К1 включительно.

3. Таблица характеристик

Далее приведена таблица, в которой собраны все значимые для анализа характеристики систем. По каждой приведён краткий вывод, более подробный анализ приведён ниже.

Таблица 1. Характеристики сравниваемых систем

4. Сравнительный анализ

программный защита информация

4.1 Дистрибуция и установка

Доступность дистрибутивов

В обоих случаях продемонстрирована высокая доступность дистрибутивов демо-версий для ознакомления. Дистрибутивы доступны для скачивания при обращении на сайт разработчика. Тем не менее, в случае БХС, для получения дистрибутива необходимо заполнить форму запроса. После заполнения ссылка на скачивание отправляется на e-mail автоматически и без какого-либо промедления, что ставит под сомнение сам факт обработки выданных данных заявителя. Кроме того, использования электронной почты (в том числе, бесплатной) в качестве посредника при предоставлении дистрибутива - потенциально проблемное усложнение процесса. Логичнее предоставление прямой ссылки с сайта разработчика, как в случае DL.

Предпочтение: Dallas-Lock.

Простота установки

Установка обоих программных продуктов не содержит проблемных моментов. Обе системы устанавливаются с использованием автоматизированных инсталляторов, количество предоставляемых настроек при установке минимально (однако, в случае БХС несколько больше). В обоих случаях после установки требуется перезагрузка системы. После перезагрузки предполагается введение пароля администратора. При этом, в случае установки DL не указывается, требуется ли ввести пароль администратора системы или указанный при установке пароль администратора серверной части DL, что может послужить причиной затруднений персонала при первом запуске системы с установленным программным продуктом.

Также, установка БХС происходит значительно быстрее (более чем в 2 раза).

Ограничения при установке

В процессе установки программного продукта Dallas-Lock предъявляется следующее требование: операционная система должна быть инсталлирована на диск С. В случае, если в организации имеется большой штат компьютеров с операционными системами, установленными на разделы с другой стандартной меткой, это может послужить источником проблем (даже в случае прямой замены метки диска такая операция может вызвать проблемы с обратной совместимостью прочих установленных программных продуктов).

Предпочтение: БлокХостСеть.

Простота удаления

Оба программных продукта обладают максимально дружественным интерфейсом деинсталляции.

Предпочтение: невозможно определить.

Общее предпочтение: БлокХостСеть. Развёрнутые параметры инсталляции, скорость и большая интуитивная понятность - преимущества БХС.

4.2 Документация

Наличие документации

Оба программных продукта обладают развёрнутой документацией. Задокументированы все стадии использования продукта различными пользователями: администратором, пользователем, описаны процессы установки и удаления.

Предпочтение: невозможно определить.

Полнота документации

БХС обладает более развёрнутой, подробной и интуитивно понятной документацией. Структура ближе к процессу использования, располагая конкретным вопросом по применению программного средства, того или иного его узла, проще найти ответ, ориентируясь только по содержанию. Гораздо больше иллюстраций со снимками экрана, что упрощает чтение документации.

Предпочтение: БлокХостСеть.

Доступность документации

Документация обоих программных продуктов доступна с сайта разработчика. В случае БХС процесс поиска ресурсов документации несколько более сложный, однако, это незначительный недостаток, так как для нахождения всех нужных ресурсов так или иначе требуется не более пяти минут.

Предпочтение: невозможно определить.

Общее предпочтение: БлокХостСеть. Определяющим фактором, помимо собственно наличия, является простота и понятность документации. В этом пункте БХС предпочтительнее.

4.3 Общие характеристики

Наивысший уровень секретности

Dallas-Lock имеет верхнюю планку на уровне 1Б (совершенно секретно).

БлокХостСеть позволяет защищать информацию до класса 1В (секретно).

Предпочтение: Dallas-Lock.

Допустимые информационные системы

Оба программных продукта могут применяться в системах одного класса - локальных сетях с доменной структурой, либо на отдельных рабочих станциях. Максимальные масштабы сетей не отличаются.

Предпочтение: невозможно определить.

Собственная безопасность

При экспериментах с программной средой БлокХостСеть было обнаружено, что при наличии на рабочей станции второй операционной системы, установленной на другой раздел, возможно удаление программного продукта внештатным методом - правкой реестра, ручной заменой драйверов, удалением программных файлов. Процесс крайне трудоёмкий, однако позволяет получать контроль над защищённой системой и может быть расценен как эксплойт, пусть и маловероятный. В случае с Dallas-Lock подобные операции привели к неработоспособности системы, на которую был установлен программный продукт. В то же время, оба продукта имеют достаточно высокий уровень «защиты от дурака» - простыми способами повредить их или деинсталлировать не представляется возможным.

Предпочтение: Dallas-Lock.

Сертификация

Оба программных продукта обладают всем необходимым набором сертификатов для указанного класса защиты информации.

Предпочтение: невозможно определить.

Простота интерфейса

Dallas-Lock предоставляет значительно более понятный и простой интерфейс пользователя. Встроенные контекстные меню, обилие пояснений и подсказок делают этот продукт дружественным к пользователю. Внешнее различие интерфейсов иллюстрируют рисунки 1 и 2.

Рисунок 1. Пример интерфейса Dallas-Lock

Рисунок 2. Пример интерфейса БлокХостСеть

Предпочтение: Dallas-Lock.

Ценовые характеристики

Dallas-Lock - значительно более дешёвое решение. В среднем цена лицензии для одной рабочей станции примерно в полтора раза меньше, чем у БлокХостСеть, при этом, при возрастающих объёмах клиентской сети использование продукта становится ещё выгоднее.

Предпочтение: Dallas-Lock.

Общее предпочтение: Dallas-Lock. По общим характеристикам DL лидирует с большим отрывом (предпочтение отдано в 4 случаях из шести, при прочих двух равных).

4.4 Возможности

Дискреционный контроль

БлокХостСеть обладает средствами предоставления дискреционного доступа с использованием матричной модели: каждому пользователю предоставляются права на определённые действия с определённым именованным ресурсом файловой системы, будь то файл, каталог или раздел.

Рисунок 3. Матричная система дискреционного доступа в БлокХостСеть

При этом предоставляются права на чтение, запись, также возможен аудит доступа и санкционирование гарантированного удаления.

Dallas-Lock обладает похожей системой разграничения доступа. Так же используется матричная модель. Однако, предоставляется большее количество опций, как то, разрешение на выполнение программ, разрешение на обзор папок без доступа к содержимому. Кроме того, конкретному пользователю можно назначить также права на чтение и изменение разрешений доступа.

Рисунок 4. Система дискреционного доступа в Dallas-Lock

В системе реализован также дискреционный доступ к глобальным параметрам. Реализация доступа независима от файловой системы и может быть применена не только на NTFS.

Предпочтение: Dallas-Lock. Больший функционал и гибкость.

Мандатный контроль

БлокХостСеть реализует мандатный механизм доступа к объектам файловой системы путём присвоения им меток, определяющих их место в иерархии. Мандатная метка устанавливается для пользователя и для ресурса, после чего реализуются определённые правила сравнения меток и определяется возможность доступа пользователя к ресурсу. Чтение и запись функционально разделены.

Dallas-Lock также обеспечивает мандатный контроль по схожей системе.

Оба продукта поддерживают механизм разделяемых папок (логика работы схожа, лишь применяемые термины разнятся). БХС использует термин «Временные папки» для обозначения разделяемых папок.

Рисунок 5. Временные папки в БХС

Dallas-Lock имеет незначительные преимущества в удобстве работы с мандатным доступом, что во многом определяется общей дружелюбностью интерфейса.

Предпочтение: невозможно определить.

Контроль запуска процессов

БлокХостСеть предоставляет контроль запуска процессов с использованием матричной системы. Определённому пользователю предоставляются права на запуск того или иного процесса.

В Dallas-Lock эта опция объединена с дискреционным доступом, что более логично и позволяет использовать одну логику для контроля над ресурсами и исполняемыми файлами.

Предпочтение: Dallas-Lock, функционал схож, DL имеет более удобную систему применения.

Механизм замкнутой программной среды

В Dallas-Lock механизм замкнутой программной среды также реализуется через систему дискреционного доступа, путём глобального запрещения исполнения программ определённому пользователю, а затем разрешения выполнения определённых процессов.

В целом процесс работы с ЗПС идентичен в обеих системах, однако, в Dallas-Lock применяется единый алгоритм, реализованный в рамках дискреционного доступа. В БХС создано разделение дискреционного доступа и ЗПС, хотя, в конечном счёте, второй механизм является частным случаем первого. Такое разделение делает интерфейс менее понятным.

Предпочтение: Dallas-Lock. Схожий функционал при большем удобстве использования в DL.

Контроль целостности

БлокХостСеть реализует механизм контроля целостности путём проверки целостности выбранных файлов раз в установленное время. При этом для каждого добавленного файла возможно так же установить функцию «Аудит» для фиксации событий, связанных с изменением данного файла.

Рисунок 6. Список объектов для контроля целостности в БлокХостСеть

Система DallasLock предоставляет значительно более мощную подсистему контроля целостности. Возможен как контроль определённых объектов файловой системы, так и контроль параметров системы, контроль целостности среды устройств ввода-вывода, служб, драйверов, BIOS, операционной системы в целом. Кроме того, предоставляются возможности настройки алгоритмов контроля (используется механизм хеширования), а также запуска проверки по расписанию с достаточно гибкой системой задания времени запуска.

Рисунок 7. Главный экран подсистемы контроля целостности Dallas-Lock.

Рисунок 8. Список контролируемых файлов в системе Dallas-Lock

Предпочтение: Dallas-Lock. Функционал многократно шире.

Контроль внешних устройств

БлокХостСеть предоставляет систему для разграничения доступа к определённым внешним устройствам для каждого пользователя. То есть, реализуется матричная система. Поддерживаемые устройства: CD, DVD накопители, устройства, подключаемые через USB, COM, LTP порты. При выборе определённого пользователя ему можно назначить право доступа к определённому типу носителей и активировать функцию аудита доступа данного пользователя к данному типу носителей.

Рисунок 9. Контроль доступа к внешним носителям в БлокХостСеть

Также реализована функция контроля доступа к экземплярам USB-носителей информации по его аппаратному идентификатору (рисунок 9).

Система Dallas-Lock позволяет управлять доступом к устройствам, подключенным к определённым портам, так же, как и БлокХостСеть. Имеется система закрытия USB-носителей с детализацией до экземпляра и использованием аппаратных идентификаторов. Закрытие типов носителей осуществляется через настройку дискреционного доступа к глобальным параметрам.

Рисунок 10. Контроль доступа к типам носителей в Dallas-Lock

В целом функционал совпадает с таковым у БХС.

Предпочтение: невозможно определить.

Использование электронных идентификаторов

БлокХостСеть позволяет использовать в качестве электронных идентификаторов eToken, ruToken, USB-накопитель и дискету. При использовании USB-накопителя и дискеты проверка подлинности осуществляется программными средствами БХС.

При существовании пароля, назначенного пользователю, он может быть сохранён на подключенный электронный идентификатор. После этого данный идентификатор может быть использован для входа в систему.

Рисунок 11. Сохранение пароля на электронный носитель

Dallas-Lock предоставляет возможности аппаратной идентификации с использованием следующих устройств: USB-Flash-накопители, электронные ключи Touch Memory (iButton), USB-ключи Aladdin eToken Pro/Java, смарт-карты Aladdin eToken PRO/SC, USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП.

При подключении идентификатора в соответствующий порт он становится виден в системе и может быть назначен определённому пользователю.

Рисунок 12. Настройка средств аппаратной идентификации в Dallas-Lock

Предпочтение: Dallas-Lock. Больший выбор типов идентификаторов при сходном функционале.

Контроль печати

БлокХостСеть предоставляет механизм контроля печати, основанный на разрешении и аудите доступа к принтерам определённых процессов.

Кроме того, система предоставляет возможность добавления стандартных элементов к печатаемым документам.

Рисунок 13. Настройка стандартных колонтитулов для печати в БлокХостСеть

Dallas-Lock позволяет осуществлять контроль печати с использованием мандатного допуска. Пользователи с определённым уровнем доступа могут получать или не получать разрешение пользоваться принтером. Уровень дискретизации до конкретного процесса в данном случае недоступен.

Функционал печати штампов также присутствует. Функционал настройки параметров печатаемого оттиска примерно эквивалентен предоставляемому в БлокХостСеть.

Функция аудита печати доступна из подсистемы журналирования событий.

Предпочтение: БлокХостСеть. Более точная и гибкая настройка контроля доступа, более продвинутая система печати стандартной информации.

Журналирование

БлокХостСеть предоставляет средства аудита с детализацией до конкретной рабочей станции.

Помимо распределённого включения аудита той или иной функции, доступна активация глобального контроля того или иного типа событий в системе, будь то дискреционный доступ к ресурсам, запуск процессов или печать.

Рисунок 14. Вид журнала в БлокХостСеть

Доступен просмотр как журналов, формируемых операционной системой, так и собственных журналов программного продукта.

В Dallas-Lock журналированием занимается подсистема регистрации и учёта. Может быть зарегистрировано любое событие, известное системе. Журнал имеет внешний вид, примерно схожий с таковым в БлокХостСеть.

Также возможно предоставление отдельным пользователям права на просмотр и изменение параметров аудита и журналов событий.

Рисунок 15. Настройка доступа к параметрам аудита в Dallas-Lock

Возможно назначение аудита на конкретный ресурс файловой системы, а также аудит по определённым событиям - чтение, изменение, удаление и т.д.

Все произошедшие события регистрируются в журналах. Возможно применение фильтров по различным параметрам в журналах, кроме того, сами журналы разделены по функциональным признакам.

Рисунок 16. Внешний вид журнала в Dallas-Lock

Предпочтение: невозможно определить. Обе системы обладают развёрнутой системой журналирования. Все необходимые функции предоставлены.

Общее предпочтение: Dallas-Lock. Функционал шире или равен таковому у БлокХостСеть практически во всех случаях. В некоторых отдельных случаях (например, контроль целостности), Dallas-Lock предоставляет несоизмеримо большие возможности.

5. Результаты сравнения и выводы

В двух группах характеристик из четырёх («Дистрибуция и установка» и «Документация») предпочтение отдано продукту БлокХостСеть. В двух других («Общие характеристики» и «Возможности») предпочтение отдано продукту Dallas-Lock.

Несмотря на то, что предпочтение поделены поровну, последние два пункта обладают значительно большей важностью. Кроме того, в том, что касается функционала, Dallas-Lock показал подавляющее преимущество. Также эта система обладает более дружелюбным интерфейсом и производит впечатление более надёжного продукта. Более того, она подходит для защиты информации вплоть до совершенно секретной, в отличие от БлокХостСеть, которая имеет верхний предел на секретной информации.

Наконец, продукт Dallas-Lock более привлекателен по цене.

Общий вывод: к использованию рекомендуется программное средство Dallas-Lock, как более функциональное, дешёвое и надёжное.