Система разграничения прав доступа к аппаратным ресурсам компьютера

Основное назначение системы Zlock – разграничение прав доступа пользователей к внешним устройствам и портам рабочих станций в масштабе предприятия.

Для каждого типа устройств Zlock предполагает возможность гибкой настройки прав доступа на основе списков контроля доступа (ACL). Для каждого физического или логического устройства и для каждого пользователя или группы пользователей из Active Directory можно разрешить либо полный доступ, либо только чтение, либо запретить доступ.

Подключаемые USB-устройства могут идентифицироваться по любым признакам, таким как класс устройства, код производителя, код устройства, серийный номер и т.д. Это позволяет назначать разные права доступа к устройствам одного класса, например, запретить использование flash-дисков, но при этом разрешить использование принтеров и сканеров. Дополнительную гибкость разграничения доступа обеспечивает возможность настройки доступа к устройствам по расписанию.

Для хранения данных обо всех устройствах, используемых в компании, можно использовать каталог устройств Zlock. С помощью него можно назначить права доступа для устройства даже в том случае, если оно отсутствует или физически отключено. Существует возможность автоматизированного сбора информации об устройствах со всех компьютеров сети и запись ее в каталог устройств, что значительно облегчает последующее управление правами доступа к этим устройствам.

Система Zlock предоставляет гибкие возможности по централизованной установке и администрированию клиентских модулей – все функции по установке и настройке клиентских модулей осуществляются удаленно, с рабочей станции администратора, с учетом структуры сети, определенной Active Directory.

Кроме этого, в системе реализована уникальная функция мониторинга клиентских модулей, которая обеспечивает своевременное уведомление администраторов безопасности о подключениях внешних устройств, как запрещенных так и разрешенных, а также о попытках несанкционированной деактивации клиентского модуля и изменения настроек системы. Это дает возможность службе безопасности оперативно реагировать на несанкционированные действия пользователей и принимать соответствующие меры.

Для большего удобства и гибкости реакция на события в Zlock может быть реализована с помощью скриптов, таким образом можно осуществлять уведомление ответственных лиц любым способом – от сообщения по электронной почте до SMS, а также настроить на опеределенные события запуск приложений или выполнение любых других действий.

Все существенные события могут быть записаны в журнал для последующего аудита и анализа действий пользователей. В журнал записываются события не только по подключению и отключению устройств, но и все операции по чтению, записи, удалению и переименованию файлов на контролируемых устройствах. Журнал может размещаться как на рабочем месте пользователя, так и централизованно, на сервере, а встроенный генератор отчетов позволяет создавать запросы любых видов и выдавать результаты в формате HTML.

Дополнительную безопасность обеспечивает функция разграничения доступа к консоли администратора. Это необходимо в случае, если, например, один сотрудник осуществляет администрирование системы и ему нужен полный доступ ко всем функциям, а другой – только функции аудита и анализ журнала – ему можно запретить доступ на изменение настроек.

Для повышения удобства работы с Zlock в системе реализована функция запроса пользователя на доступ к какому-то конкретному устройству. Получив такой запрос, администратор может создать на базе него либо одноразовое, либо постоянно действующее правило доступа.

Внедрение Zlock позволит существенно затруднить деятельность инсайдеров и свести к минимуму риск утечки информации с использованием мобильных устройств.