Notebook és asztali PC munkállomásokon tárolt adatok védelme
merevlemeztitkosítással és bejelentkezési hitelesítéssel
A SafeGuard Easy 4.5 adatvédelmi szoftver az Ön számítógépét és az azon tárolt adatokat illetéktelen személy számára hozzáférhetetlenné teszi. A szoftver egyszerű eszközökkel (pl. token) végzi a hitelesítés bonyolult folyamatát, valamint választási lehetőséget biztosít a titkosítás megválasztásánál és beállításánál.
A szoftver főbb jellemzői:
-
merevlemez-titkosítás (szektor szinten is);
-
hozzáférés ellenőrzés és két faktorú hitelesítés az elő-bootolási (PBA) szakaszban (Aladdin eToken támogatás);
-
cserélhető adathordozók titkosítása (floppy, Zip-meghajtó, USB-tároló);
-
a szoftver együttműködik az IBM ESS biztonsági chip infrastruktúrájával, stb.
Biztonsági funkciók
A SafeGuard Easy hatékony védelmet biztosít a merevlemezen vagy floppy lemezen, illetve egyéb médián tárolt bizalmas adatainak. Egyik legnagyobb előnye, hogy a titkosító kulcsot nem tárolja a merevlemezen, hanem a felhasználó által a gép indításakor megadott jelszóból állítja elő. A szoftver nemcsak a merevlemezt titkosítja le, hanem opcionálisan a cserélhető adathordozók (pl. USB-tároló, ZIP meghajtó, floppy) tartalmát is. Ezzel lehetőség nyílik a cégen belüli biztonságos média cserére, anélkül hogy a médiákon szereplő adatokhoz illetéktelen személy hozzájuthatna. Az adathordozók titkosításával a vírus támadások elkerülését is biztosítani tudjuk.
A floppy lemezek és más adattárolók, valamint a merevlemez különböző partícióihoz különböző titkosító algoritmusokat választhatunk ki, pl. AES, Rijndael, XOR, STEALTH, IDEA, BLOWFISH és DES.
Hozzáférés ellenőrzés Pre-Boot Hitelesítéssel
(PBA) és boot védelem
A Pre-Boot Hitelesítés (PBA) a SafeGuard Easy egyik központi biztonsági funkciója közé tartozik.
A PBA segítségével csak a regisztrált SafeGuard Easy felhasználó tud bejelentkezni a rendszerbe.
Ha a merevlemezt titkosítjuk, és egy másik adathordozóról pl. rendszer lemezről, CD-ROM-ról vagy más merevlemezről kísérelünk meg bejelentkezni, a merevlemez továbbra is blokkolódik. Ez valójában azt jelenti, hogy a rendszer elvégzi a bootolást, a titkosított adat kiolvashatatlan marad a merevlemezen. Ha a PBA implementálása a Boot védelemmel együtt történik a munkaállomáson, akkor a külső adathordozóról történő bootolás nem végezhető el a helyes SafeGuard Easy felhasználói adatok megadása nélkül.
További biztonsági funkciók
Aladdin eToken támogatás az elő-bootolási szakaszban
A SafeGuard Easy már úgy is konfigurálható, hogy a felhasználó az Aladdin eToken segítségével jelentkezhessen be. A token természetesen nemcsak az elő-bootolási hitelesítéskor (PBA) használható, hanem operációs rendszerbe történő bejelentkezéshez is, vagy más tanúsítvány-alapú alkalmazásoknál, PKCS#11 vagy CSP szabványoknál egyaránt.
TCPA/TPM támogatás (IBM ESS chip)
A SafeGuard Easy az első merevlemez titkosító termék, mely képes együttműködni az IBM TCG (Trusted Computing Group) biztonsági chip megoldással, mely mára számos notebook integrált része. A biztonsági chip felhasználásával a SafeGuard Easy biztosítani tudja a kliens és az adminisztrációs szerver közötti kapcsolat védelmét, ezen felül a random számok generálását is elvégzi.
Természetesen a SafeGuard Easy Secure Auto Logon (SAL vagy SSO) funkcióit az IBM Felhasználói Ellenőrző Menedzsere is alkalmazhatja, az ESS chip infrastruktúrájába történő optimális integráláshoz.
Hibernálás (Munkafelfüggesztés) támogatása
Ez a funkció leginkább notebook használók számára nyújt nagy biztonságot, akik munkájukat megszakítva, majd később a géphez visszatérve kívánják végezni napi feladataikat anélkül, hogy újra és újra ki- és bekapcsolnák a gépet. Ellentétben a legtöbb merevlemez titkosító szoftverrel, a SafeGuard Easy képes a hibernálási funkciót biztonságilag támogatni, valamint a biztonságos tárolás érdekében titkosítani a generált image adatokat a merevlemezen. Következésképp, a szoftver képes minden állapotban, mindig védelmet biztosítani a felhasználó adatai számára.
Kiterjesztett jelszó szabályok
A SafeGuard Easy korábbi verziói is már nagy számú jelszó szabályt állítottak fel a PBA folyamat során. A szoftver jelenlegi verziója néhány további, pl. konfigurálható tiltott jelszavak listáját, kiterjesztett speciális karakterek szabályát, UID-t, stb. is tartalmazza.
Központi adminisztrációs adatbázis
A konfigurációs fájlok megbízhatóságáért a SafeGuard Easy dedikált központi adminisztrációs szoftverrendszert foglal magába. Ez a rendszer felelős a kernel mentésekért, a konfigurációs adatok és az offline kliensek integrálásáért. A beállítható "Remote Administration" modul segítségével lehetőség nyílik a hálózaton keresztül történő kliens konfigurálására.
Scripting Interfész
A termék a különböző adminisztrációs feladatokhoz automatikus API funkciót tud biztosítani, pl. új felhasználók generálását.
Az adminisztrátorok saját script-et használhatnak (mint pl. VBScript) az ismétlési feladatok automatizálásához, melyet nemcsak felgyorsít, de védelmet nyújt az operációs hibák ellen is.
Biztonságos Wake-On-LAN támogatás
A program a pre-boot hitelesítéssel (PBA) a lehető leghatékonyabb védelmet tudja biztosítani a hackerekkel szemben.
A SafeGuard Easy maximális védelmet biztosít a Wake-On-LAN eljáráskor történő szoftver disztribúció során is.
Biztonságos távoli adminisztráció (Challenge/Response)
Az ügyfélszolgálat segítséget nyújt azoknak a felhasználóknak is, akik elfelejtették jelszavukat.
A Challenge/Response eljárással biztonságos módon történhet meg az új jelszó megadása, mivel nem szükséges hozzá a számítógépes on-line kapcsolat.
Challenge/response PDA segítségével
Azon felhasználók, akik gyakran elfelejtik jelszavukat, a központi ügyfélszolgálat segítségével hozzáférhetnek saját adataikhoz a megfelelő eljárás elvégzését követően. Az eljárás elvégzéséhez elegendő egy PDA (Pocket PC), nincs szükség személyi számítógépre.
Windows alapú telepítési eljárás
A telepítési folyamat, teljesen kompatíbilisen működik a jelenlegi Windows Telepítő szabványokkal (MSI), ezért a SafeGuard Easy könnyedén és hatékonyan telepíthető a Windows hálózaton keresztül.
Integrált boot manager (TwinBoot)
A TwinBoot opció lehetővé teszi a notebook felhasználók részére, két (egy titkosított merevlemez partícióval rendelkező és egy nem titkosított merevlemez partícióval rendelkező) operációs rendszer elkülönítését. Ezért a SafeGuard Easy integrált boot menedzselési funkciót állít rendelkezésre, mellyel a megfelelő jelszó begépelésével kiválasztható, hogy melyikkel szeretne a felhasználó dolgozni.
Már a titkosított adathordozók csoportjába tartozik az USB memória kártya.
A SafeGuard Easy által titkosított eltávolítható adathordozók csoportja kibővült a legújabb Plug and Play memória kártyákkal (USB memória stick), így teljesen biztonságos az adatcsere folyamata.
Továbbá lehetőség nyílik arra is, hogy a floppy vagy más média lemezek titkosítását a felhasználó ideiglenesen ki-és bekapcsolhassa.
Rugalmasabb felhasználói menedzselés a Pre-boot hitelesítés (PBA) alatt.
A Pre-boot hitelesítés alatt számtalan lehetőség áll a felhasználói menedzser rendelkezésére. Például, ha a felhasználó bejelentkezik a programba, a SafeGuard Easy, az adminisztrátor által előre definiált üzenetet küld, mondjuk az eszköz tulajdonosáról, stb.
Rendszerkövetelmény
A program az alábbi paraméterekkel rendelkező gépeken működik:
Operációs rendszerek
-
Windows 2000 Professional
-
Windows 2000 Server
-
Windows 2000 Advanced Server nem támogatott
-
Windows XP Home Edition
-
Windows XP Professional Edition
-
Windows Server 2003 Standard Edition
Támogatott fájl rendszerek
-
FAT-12, FAT-16, FAT-32, HPFS, NTFS és NTFS5
Támogatott memória médiák
-
Merevlemez (IDE, SCSI, soros ATA, PCMCIA, Firewire, USB)
-
Floppy lemezek
-
ZIP/JAZ eltávolítható média
-
USB memory sticks
Hardver követelmények
Merevlemez kapacitás
A program 5 és 15 MB közötti kapacitást kíván meg, a kiválasztott telepítési módtól függően.
A SafeGuard Easy csak annyi követelményt állít a kapacitást illetően, mint amennyit a jelenleg használt operációs rendszer is minimálisan megkíván.
Bár a SafeGuard Easy zökkenőmentesen a háttérben fut a rendszeren, mindenképpen ajánlott a telepítendő gépnek a leírt minimális rendszerkövetelményeknek megfelelnie.
Több merevlemez
A SafeGuard Easy maximum 4 merevlemezt támogat gépenként, maximum 8 partíció/merevlemez alapján. A rendszer figyelmeztetést küld, ha egy nem támogatott partíciótípust talál.
Hitelesítés
A SafeGuard® Easy szoftver megfelelt a Common Criteria irányvonala alapján az EAL1/EAL3 szintű hitelesítési kritériumoknak. Jelenleg az US FIPS 140-1 norma alapján történő hitelesítési eljárás tesztelése alá került a termék.
Technikai adatok
Külsős ellátók
|
A SafeGuard® Easy kompatíbilis minden (MSI) szoftver rendszerrel. Az opcionálisan választható teljesen automata, biometrikus challenge/response segítőszolgálat a VOICE.TRUST Szerveren keresztül.
|
Kiegészítő termékek
|
A SafeGuard® Advanced Security modulok kiegészítő támogatást nyújtanak a chipkártyához, a központi audithoz, a Multi-Desktophoz, az SSO-hoz, a PnP menedzsmenthez, az Alkalmazás Specifikus Hozzáférési Jogokhoz, stb.
SafeGuard® LAN Crypt a Fájl/Mappa titkosításhoz.
SafeGuard® Easy Web Console a challenge/response helpdesk-hez a CryptoServer 2000 Hardver Biztonsági Modul segítségével.
|
Titkosítás
|
AES (256 és 128 bit), Rijandael (256bit), IDEA (128 bit), DES (56 bit), Blowfish-8/16 (256 bit), Stealth-40 (40 bit), XOR (64 bit).
|
Chipkártyák
|
Aladdin eToken Pro a felhasználó azonosításhoz az elő-bootolás szintjén. Az eToken a PKCS#11/CSP interfészen keresztül felhasználhatóvá válik más alkalmazások számára is. Operációs rendszer szinten más chipkártyák is integrálhatók a PKCS#11-en keresztül.
|
TPM modulok
|
A biztonsági chipek elhelyezése meg kell feleljen a Trusted Computing Group-TCG specifikációinak: Géphez történő lemez hozzárendeléshez 1, hitelesítés a felhasználó és az adminisztrátori szerver között, valamint a hardver alapú kulcs generáláshoz. Jelenlegi tesztelése az IBM ESS szerint történik.
|
Hitelesítések
|
Common Criteria EAL1/EAL3 , FIPS 140-1
Aladdin eToken engedélyezés
|
Speciális tulajdonságok
|
Elő-bootolási hitelesítés még az operációs rendszer elindulása előtt
Max. 8 bootolható operációs rendszer partíció kombinációját teszi lehetővé, melyek titkosítása választható opció.
Mobil média titkosítása (ZIP, JAZ, USB memória pen-drive)
Munkavégzés felfüggesztésének, majd folytatásának támogatása
|
Adminisztrálhatóság
|
Központi konfigurálás kialakítható
|
RAM szabad terület
|
16 MB
|
Támogatott biztonságtechnikai eszközök
A SafeGuard Easy különböző azonosítási funkcióihoz alkalmazható eszközöket az alábbi táblázatban foglaljuk össze:
Eszközök
|
eToken
|
CardMan 4040
|
CardMan 31xx
|
Pre-Boot szintű azonosítás
|
X
|
-
|
-
|
Operációs rendszer szintű azonosítás
(PKCS#11 támogatottság)
|
X
|
X
|
X
|
Az eToken a Pre-boot (PBA) szintű hitelesítés mellett az operációs rendszer szintű azonosítást is egyszerűen végzi. A másik notebookhoz alkalmazható eszköz a CardMan 4040 (PCMCIA) chipkártya olvasó, mely csak az operációs rendszer szintű azonosításban segít a felhasználónak, a Pre-Boot azonosításban nem.
Asztali PC/Desktop felhasználás esetén alkalmazható eszköz a CardMan 3111 (Soros), valamint a CardMan 3121 (USB) chipkártya olvasó, melyek szintén csak az operációs rendszer szintű azonosításban segítenek a felhasználónak.