Сравнительный анализ средств защиты информации от несанкционированного доступа «БлокХост-Сеть» и «Dallas-Lock»

Предпочтение: Dallas-Lock.

 

Сертификация

Оба программных продукта обладают всем необходимым набором сертификатов для указанного класса защиты информации.

Предпочтение: невозможно определить.

 

Простота интерфейса

Dallas-Lock предоставляет значительно более понятный и простой интерфейс пользователя. Встроенные контекстные меню, обилие пояснений и подсказок делают этот продукт дружественным к пользователю. Внешнее различие интерфейсов иллюстрируют рисунки 1 и 2.

Рисунок 1. Пример интерфейса Dallas-Lock.

 

Рисунок 2. Пример интерфейса БлокХостСеть.

 

Предпочтение: Dallas-Lock.

 

Ценовые характеристики

Dallas-Lock – значительно более дешёвое решение. В среднем цена лицензии для одной рабочей станции примерно в полтора раза меньше, чем у БлокХостСеть, при этом, при возрастающих объёмах клиентской сети использование продукта становится ещё выгоднее.

Предпочтение: Dallas-Lock.

 

Общее предпочтение: Dallas-Lock. По общим характеристикам DL лидирует с большим отрывом (предпочтение отдано в 4 случаях из шести, при прочих двух равных).

 

4. Возможности

Дискреционный контроль

БлокХостСеть обладает средствами предоставления дискреционного доступа с использованием матричной модели: каждому пользователю предоставляются права на определённые действия с определённым именованным ресурсом файловой системы, будь то файл, каталог или раздел.

Рисунок 3. Матричная система дискреционного доступа в БлокХостСеть

При этом предоставляются права на чтение, запись, также возможен аудит доступа и санкционирование гарантированного удаления.

Dallas-Lock обладает похожей системой разграничения доступа. Так же используется матричная модель. Однако, предоставляется большее количество опций, как то, разрешение на выполнение программ, разрешение на обзор папок без доступа к содержимому. Кроме того, конкретному пользователю можно назначить также права на чтение и изменение разрешений доступа.

 

Рисунок 4. Система дискреционного доступа в Dallas-Lock

 

В системе реализован также дискреционный доступ к глобальным параметрам. Реализация доступа независима от файловой системы и может быть применена не только на NTFS.

 

Предпочтение: Dallas-Lock. Больший функционал и гибкость.

 

Мандатный контроль

БлокХостСеть реализует мандатный механизм доступа к объектам файловой системы путём присвоения им меток, определяющих их место в иерархии. Мандатная метка устанавливается для пользователя и для ресурса, после чего реализуются определённые правила сравнения меток и определяется возможность доступа пользователя к ресурсу. Чтение и запись функционально разделены.

Dallas-Lock также обеспечивает мандатный контроль по схожей системе.

Оба продукта поддерживают механизм разделяемых папок (логика работы схожа, лишь применяемые термины разнятся). БХС использует термин «Временные папки» для обозначения разделяемых папок.

 

Рисунок 5. Временные папки в БХС

 

Dallas-Lock имеет незначительные преимущества в удобстве работы с мандатным доступом, что во многом определяется общей дружелюбностью интерфейса.

Предпочтение: невозможно определить.

 

Контроль запуска процессов

БлокХостСеть предоставляет контроль запуска процессов с использованием матричной системы. Определённому пользователю предоставляются права на запуск того или иного процесса.

В Dallas-Lock эта опция объединена с дискреционным доступом, что более логично и позволяет использовать одну логику для контроля над ресурсами и исполняемыми файлами.

Предпочтение: Dallas-Lock, функционал схож, DL имеет более удобную систему применения.

 

Механизм замкнутой программной среды

БлокХостСеть предоставляет механизм замкнутой программной среды совместно с механизмом контроля запуска процессов. Это позволяет создавать ограничения на запуск процессов в определённом сеансе пользователя. При этом в один момент времени должна использоваться одна модель – либо контроль запуска процессов по принципу разрешено/запрещено, либо замкнутая программная среда.

В Dallas-Lock механизм замкнутой программной среды также реализуется через систему дискреционного доступа, путём глобального запрещения исполнения программ определённому пользователю, а затем разрешения выполнения определённых процессов.

В целом процесс работы с ЗПС идентичен в обеих системах, однако, в Dallas-Lock применяется единый алгоритм, реализованный в рамках дискреционного доступа. В БХС создано разделение дискреционного доступа и ЗПС, хотя, в конечном счёте, второй механизм является частным случаем первого. Такое разделение делает интерфейс менее понятным.

Предпочтение: Dallas-Lock. Схожий функционал при большем удобстве использования в DL.

 

Контроль целостности

БлокХостСеть реализует механизм контроля целостности путём проверки целостности выбранных файлов раз в установленное время. При этом для каждого добавленного файла возможно так же установить функцию «Аудит» для фиксации событий, связанных с изменением данного файла.

 

Рисунок 6. Список объектов для контроля целостности в БлокХостСеть

 

Система DallasLock предоставляет значительно более мощную подсистему контроля целостности. Возможен как контроль определённых объектов файловой системы, так и контроль параметров системы, контроль целостности среды устройств ввода-вывода, служб, драйверов, BIOS, операционной системы в целом. Кроме того, предоставляются возможности настройки алгоритмов контроля (используется механизм хеширования), а также запуска проверки по расписанию с достаточно гибкой системой задания времени запуска.

 

Рисунок 7. Главный экран подсистемы контроля целостности Dallas-Lock.

 

Рисунок 8. Список контролируемых файлов в системе Dallas-Lock.

 

Предпочтение: Dallas-Lock. Функционал многократно шире.

 

Контроль внешних устройств

БлокХостСеть предоставляет систему для разграничения доступа к определённым внешним устройствам для каждого пользователя. То есть, реализуется матричная система. Поддерживаемые устройства: CD, DVD накопители, устройства, подключаемые через USB, COM, LTP порты. При выборе определённого пользователя ему можно назначить право доступа к определённому типу носителей и активировать функцию аудита доступа данного пользователя к данному типу носителей.

 

Рисунок 9. Контроль доступа к внешним носителям в БлокХостСеть

 

Также реализована функция контроля доступа к экземплярам USB-носителей информации по его аппаратному идентификатору (рисунок 9).

Система Dallas-Lock позволяет управлять доступом к устройствам, подключенным к определённым портам, так же, как и БлокХостСеть. Имеется система закрытия USB-носителей с детализацией до экземпляра и использованием аппаратных идентификаторов. Закрытие типов носителей осуществляется через настройку дискреционного доступа к глобальным параметрам.

Рисунок 10. Контроль доступа к типам носителей в Dallas-Lock.

 

В целом функционал совпадает с таковым у БХС.

Предпочтение: невозможно определить.

 

Использование электронных идентификаторов

БлокХостСеть позволяет использовать в качестве электронных идентификаторов eToken, ruToken, USB-накопитель и дискету. При использовании USB-накопителя и дискеты проверка подлинности осуществляется программными средствами БХС.

При существовании пароля, назначенного пользователю, он может быть сохранён на подключенный электронный идентификатор. После этого данный идентификатор может быть использован для входа в систему.

 

Рисунок 11. Сохранение пароля на электронный носитель

 

Dallas-Lock предоставляет возможности аппаратной идентификации с использованием следующих устройств: USB-Flash-накопители, электронные ключи Touch Memory (iButton), USB-ключи Aladdin eToken Pro/Java, смарт-карты Aladdin eToken PRO/SC, USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП.

При подключении идентификатора в соответствующий порт он становится виден в системе и может быть назначен определённому пользователю.

 

Рисунок 12. Настройка средств аппаратной идентификации в Dallas-Lock

 

Предпочтение: Dallas-Lock. Больший выбор типов идентификаторов при сходном функционале.

 

Контроль печати

БлокХостСеть предоставляет механизм контроля печати, основанный на разрешении и аудите доступа к принтерам определённых процессов.

Кроме того, система предоставляет возможность добавления стандартных элементов к печатаемым документам.

 

Рисунок 13. Настройка стандартных колонтитулов для печати в БлокХостСеть

 

Dallas-Lock позволяет осуществлять контроль печати с использованием мандатного допуска. Пользователи с определённым уровнем доступа могут получать или не получать разрешение пользоваться принтером. Уровень дискретизации до конкретного процесса в данном случае недоступен.

Функционал печати штампов также присутствует. Функционал настройки параметров печатаемого оттиска примерно эквивалентен предоставляемому в БлокХостСеть.

Функция аудита печати доступна из подсистемы журналирования событий.

 

Предпочтение: БлокХостСеть. Более точная и гибкая настройка контроля доступа, более продвинутая система печати стандартной информации.

 

Журналирование

БлокХостСеть предоставляет средства аудита с детализацией до конкретной рабочей станции.

Помимо распределённого включения аудита той или иной функции, доступна активация глобального контроля того или иного типа событий в системе, будь то дискреционный доступ к ресурсам, запуск процессов или печать.

 

Рисунок 14. Вид журнала в БлокХостСеть

 

Доступен просмотр как журналов, формируемых операционной системой, так и собственных журналов программного продукта.

В Dallas-Lock журналированием занимается подсистема регистрации и учёта. Может быть зарегистрировано любое событие, известное системе. Журнал имеет внешний вид, примерно схожий с таковым в БлокХостСеть.

Также возможно предоставление отдельным пользователям права на просмотр и изменение параметров аудита и журналов событий.

 

Рисунок 15. Настройка доступа к параметрам аудита в Dallas-Lock

 

Возможно назначение аудита на конкретный ресурс файловой системы, а также аудит по определённым событиям – чтение, изменение, удаление и т. д.

Все произошедшие события регистрируются в журналах. Возможно применение фильтров по различным параметрам в журналах, кроме того, сами журналы разделены по функциональным признакам.

 

Рисунок 16. Внешний вид журнала в Dallas-Lock.

 

Предпочтение: невозможно определить. Обе системы обладают развёрнутой системой журналирования. Все необходимые функции предоставлены.

 

Общее предпочтение: Dallas-Lock. Функционал шире или равен таковому у БлокХостСеть практически во всех случаях. В некоторых отдельных случаях (например, контроль целостности), Dallas-Lock предоставляет несоизмеримо большие возможности.

 

 

6. Результаты сравнения и выводы

В двух группах характеристик из четырёх («Дистрибуция и установка» и «Документация») предпочтение отдано продукту БлокХостСеть. В двух других («Общие характеристики» и «Возможности») предпочтение отдано продукту Dallas-Lock.

Несмотря на то, что предпочтение поделены поровну, последние два пункта обладают значительно большей важностью. Кроме того, в том, что касается функционала, Dallas-Lock показал подавляющее преимущество. Также эта система обладает более дружелюбным интерфейсом и производит впечатление более надёжного продукта. Более того, она подходит для защиты информации вплоть до совершенно секретной, в отличие от БлокХостСеть, которая имеет верхний предел на секретной информации.

Наконец, продукт Dallas-Lock более привлекателен по цене.

Общий вывод: к использованию рекомендуется программное средство Dallas-Lock, как более функциональное, дешёвое и надёжное.