Настройка механизмов управления доступом и защиты ресурсов Полномочное управление доступом
При организации полномочного управления доступом для каждого пользователя компьютера устанавливается определенный уровень допуска к конфиденциальной информации. Каталогам и файлам, находящимся на дисках компьютера с файловой системой NTFS, присваивается категория конфиденциальности.
При попытке доступа пользователя (программы, запущенной пользователем) к конфиденциальному ресурсу сопоставляется категория конфиденциальности ресурса и уровень допуска пользователя к конфиденциальной информации. Если пользователь не превышает свой уровень допуска, доступ к конфиденциальному ресурсу разрешается, иначе доступ блокируется.
Для выбора режима полномочного управления доступом:
1. Откройте окно настройки общих параметров и перейдите к диалогу «Дополнительно»:
Рис. 52. Диалог «Дополнительно».
2. Установите отметку в поле выключателя "Полномочное управление доступом" для включения этого механизма. После этого другие поля, относящиеся к полномочному управлению, будут доступны для редактирования. Укажите параметры работы механизма полномочного управления доступом:
- Контроль потоков данных. Установите отметку в этом поле, если необходимо включить режим контроля потоков конфиденциальной информации.
- Контроль буфера обмена. Установите отметку в этом поле, если требуется контролировать передачу конфиденциальной информации через буфер обмена (Clipboard) из одного приложения в другое. Поле доступно, если включен контроль потоков данных.
- Запрет доступа при невозможности получить уровень допуска пользователя. Отметьте это поле, если требуется контролировать доступ удаленных пользователей к компьютеру.
- Контроль печати. Если установить отметку в этом поле, то для печати конфиденциальных документов будет разрешено использовать только редактор MS Word (версии 8.0 и выше). И только в этом случае при печати конфиденциальных документов из MS Word в документ будет добавляться гриф конфиденциальности, а факт печати будет регистрироваться системой защиты. Кроме того, в этом режиме запрещается печать файлов с компакт-дисков. Для печати эти файлы необходимо предварительно скопировать на жесткий диск.
3. Завершив настройку, нажмите кнопку "ОК" или "Применить".
Для управления уровнем допуска пользователя:
1. В программе "Проводник" выберите интересующего вас пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Доступ":
Рис. 53. Диалог "Доступ".
2. Установите необходимые значения параметров:
- В поле "Уровень допуска" выберите уровень допуска пользователя к конфиденциальным данным, который может принимать следующие значения:
Таблица 15 - Уровни допуска.
Уровень допуска |
Права доступа |
Отсутствует |
Нет доступа к конфиденциальной информации |
Конфиденциальный |
Имеется доступ к файлам с категорией "конфиденциальные" |
Строго конфиденциальный |
Имеется доступ к файлам с категорией "конфиденциальные" и "строго конфиденциальные" |
- Установите отметку в поле "Вывод конфиденциальной информации на дискеты", если необходимо разрешить пользователю сохранять конфиденциальные документы на сменных носителях.
3. Нажмите кнопку "ОК".
Управление категорией конфиденциальности ресурса
Для изменения уровня конфиденциальности ресурса необходимо, чтобы:
- был включен механизм полномочного управления доступом;
- ресурс находился на диске с файловой системой NTFS;
- текущий пользователь имел права на доступ к ресурсу и на изменения прав доступа, а также обладал привилегией на управление категориями конфиденциальности.
Управление категориями конфиденциальности ресурса осуществляется с использованием программы "Проводник". Если заранее продумать схему хранения файлов, создав необходимую структуру каталогов для документов разной категории конфиденциальности, и разместить в них соответствующие файлы, то, присваивая категории конфиденциальности каталогам, можно автоматически присвоить эту же категорию и входящим в каталог файлам. Присвоить категорию конфиденциальности также можно и отдельным файлам или сразу группе файлов. После того как каталогам и файлам присвоены категории конфиденциальности, начинают действовать ограничения на сохранение и копирование конфиденциальной информации.
Для указания категории конфиденциальности ресурса:
1. В окне программы "Проводник" выберите интересующий вас ресурс (диск, каталог, файл), вызовите окно редактирования свойств и перейдите к диалогу "Secret Net".
Рис. 54. Диалог "Secret Net".
2. Установите категорию конфиденциальности ресурса, выбрав значение из раскрывающегося списка "Категория".
3. Нажмите кнопку "ОК".
Если в качестве ресурса был выбран каталог, то на экране появится запрос о смене уровня конфиденциальности вложенных файлов и папок:
4. Установите нужные параметры, принимая во внимание, что категория конфиденциальности каталога не может быть ниже, чем у входящих в него файлов.
5. Нажмите кнопку "ОК".
Установленные значения будут сохранены, а диалоговые окна - закрыты.
Настройка шаблонов грифа конфиденциальности.
Каждая организация может подготовить необходимый для нее набор грифов конфиденциальности. Файл шаблонов грифа является документом в формате RTF (Rich Text Format). Он может содержать несколько шаблонов грифа конфиденциальности, отделенных друг от друга разрывами раздела (здесь и далее курсивом выделены термины, принятые в Microsoft Word). Таким образом, в одном разделе размещается один шаблон грифа конфиденциальности.
Разрыв раздела имеет вид двойной пунктирной линии со словами "Разрыв раздела". Чтобы их увидеть, включите режим отображения служебных символов. Для создания нового шаблона грифа создайте новый раздел и введите нужный текст.
В каждом разделе (шаблоне) текст грифа конфиденциальности может размещаться в верхнем колонтитуле, в нижнем колонтитуле, как основной текст раздела. При печати документа:
- текст из верхнего колонтитула шаблона вставляется над верхним колонтитулом документа;
- текст из нижнего колонтитула шаблона вставляется под нижним колонтитулом документа;
•текст (кроме названия грифа) из области основного текста шаблона вставляется после последнего абзаца печатаемого конфиденциального документа.
Названием грифа служит первый абзац раздела, отформатированный стилем "Заголовок 1" и содержащий не только пробелы и символы табуляции. Если название грифа не указано явно, то система использует в качестве названия строку вида «Гриф #М», где N - порядковый номер раздела.
Содержание и форматирование текста грифа конфиденциальности могут быть произвольными.
В шаблон грифа можно вставлять поля, поддерживаемые редактором Microsoft Word, (например: имя файла документа, дату создания или изменения, номер текущей страницы, общее количество страниц), а также поля с произвольными именами. Кроме того, в шаблон грифа можно вставлять 3 стандартных поля:
- поле "User" - имя пользователя Secret Net 2000;
- поле "Userlnfo" - дополнительная информация о пользователе;
- поле "Category" - категория конфиденциальности документа.
Если в шаблоне грифа будут находиться эти стандартные поля, то при вставке грифа в документ они будут приобретать соответствующие фактические значения. Если при вставке грифа в документ будут обнаружены нестандартные поля, непосредственно перед печатью в соответствующем диалоге будут запрошены значения для всех обнаруженных нестандартных полей.
Для настройки шаблонов:
1. Запустите текстовый редактор MS Word и откройте файл STAMP.RTF (при стандартной установке файл содержится в каталоге Program Files\lnfosec\Client).
2. Отредактируйте шаблоны грифа конфиденциальности.
3. Сохраните и закройте файл шаблонов.
Для вставки нестандартного поля в шаблон грифа:
1. В меню "Файл" выберите команду "Свойства" и перейдите к диалогу "Прочие".
2. Добавьте поле в шаблон грифа:
- в поле "Название" введите название поля (допускается ввод как на английском, так и на русском языке);
- в поле "Тип" укажите тип поля "Текст" (другие типы полей системой защиты не обрабатываются);
- введите в поле "Значение" формальное значение поля (это значение будет отображаться в шаблоне, а перед печатью будет заменено фактическим);
- нажмите кнопку "Добавить", а затем - кнопку "ОК".
Рис. 55. Диалог "Прочие" окна свойств документа.
3. Установите курсор в нужной области шаблона грифа (в колонтитуле или области текста) и выберите команду "Поле" в меню "Вставка".
На экране появится диалог:
4. Выполните последовательно следующие действия:
- в списке "Категории" выберите значение "Сведения о документе";
- в списке "Поле" выберите значение "DocProperty";
- отступив на один пробел от слова "DOCPROPERTY", введите в текстовое поле в двойных кавычках название поля, добавленного на шаге 2;
- нажмите кнопку "ОК".
В тексте документа появится затененное поле, формальное значение которого было указано на шаге 2.
5. Сохраните файл шаблонов и закройте редактор Microsoft Word.