Общая информация
В современных условиях во многих компаниях есть пользователи, использующие корпоративные служебные данные, когда сетевое подключение отсутствует. Например, торговые представители, страховые агенты и региональные инспекторы, находясь в рабочих поездках, все чаще работают на корпоративных портативных компьютерах вне сети. Защита конфиденциальной информации на таких мобильных компьютерах является одним из основных приоритетов для многих организаций.
DeviceLock обеспечивает надежную защиту уязвимых корпоративных данных при отсутствии доступа к корпоративной среде. Можно контролировать доступ пользователей к устройствам и протоколам, а также обеспечить теневое копирование данных, записанных или переданных пользователем по сети, в различных сценариях автономной работы. DeviceLock также обеспечивает большую гибкость управления, т.к. позволяет настраивать политики безопасности для разных режимов работы (оперативного и автономного) для одних и тех же пользователей или групп.
Политики для оперативного режима применяются для пользователей, когда клиентский компьютер подключен к корпоративной сети, или к указанным серверам DeviceLock Enterprise Server, или к контроллеру домена Active Directory. Политики для автономного режима применяются для пользователей, когда клиентский компьютер отключен от корпоративной сети, или от указанных серверов DeviceLock Enterprise Server, или от контроллера домена Active Directory.
Чтобы настроить применение разных политик DeviceLock для оперативного и автономного режимов работы, необходимо задать настройки соответствующих профилей:
•Обычный профиль - Настройки этого профиля применяются на компьютерах, находящихся в сети.
•Офлайн-профиль - Настройки этого профиля применяются на компьютерах, работающих автономно (например, когда пользователи во время рабочих поездок используют корпоративные компьютеры вне сети).
Если настройки офлайн-профиля не заданы, в автономном режиме применяются настройки обычного профиля.
Различные настройки каждого из этих профилей можно задать для параметров “Разрешения”, “Аудит, Теневое копирование и Алерты”, “Белый список USB-устройств”, “Белый список носителей”, “Белый список” (для протоколов), “Контентно-зависимые правила”, “Базовый IP-файрвол” и “Настройки безопасности”. Управлять настройками офлайн-профиля можно из консоли DeviceLock Management Console, DeviceLock Service Settings Editor или DeviceLock Group Policy Manager.
В следующих сценариях представлены примеры использования разных политик DeviceLock для оперативного и автономного режима работы в целях обеспечения лучшей защиты корпоративных данных.
•Сценарий 1. Предположим, в организации есть группа пользователей “Финансы”. Как администратор, вы можете предоставить членам этой группы доступ на запись файлов на следующие устройства: “Съемные устройства”, “Оптический привод”, “USB-порт” и “Гибкий диск”, когда они находятся в оперативном режиме (в сети). При этом действия пользователей в сети будут регистрироваться в журнале аудита, любые скопированные файлы будут сохраняться в журнале теневого копирования; журналы аудита и теневого копирования будут посылаться на сервер DeviceLock Enterprise Server. В автономном режиме работы пользователям группы “Финансы” будет запрещен доступ на запись файлов.
Такие политики безопасности позволяют контролировать действия пользователей группы “Финансы” в режиме реального времени. Анализируя данные журналов аудита и теневого копирования на сервере DeviceLock Enterprise Server, вы можете надлежащим образом и своевременно отреагировать на появление угрозы утечки данных. Пользователь не сможет воспользоваться временным отключением компьютера от сети, чтобы за это время скопировать важные данные на устройство, избежать отправки теневых копий на сервер DeviceLock Enterprise Server и, таким образом, скрыть от службы безопасности кражу данных.
•Сценарий 2. Представьте себе пользователя по имени Мария, торгового представителя крупной компании, имеющую портативный компьютер и часто работающую вне офиса. Ей необходимо предоставлять бизнес-партнерам файлы с результатами ее работы. В этой ситуации вы можете предоставить Марии доступ на запись определенных файлов на следующие устройства: “Съемные устройства”, “Оптический привод”, “USB-порт” и “Гибкий диск”, и при этом включить теневое копирование для автономного режима работы. В оперативном режиме работы Марии будет запрещен доступ на запись файлов.
Такие политики безопасности обеспечат большую гибкость в управлении учетными записями пользователей внутри организации, в то же время повышая уровень безопасности корпоративных данных.