Горбатов Аттестационные испытания автоматизированных систем от 2014

кой ОС невозможно, поэтому мы не будем рассматривать этот пункт.

Доступ к устройствам. Этот параметр будет рассмотрен в одной из предстоящих лабораторных работ настоящего практикума.

Атрибуты доступа. При выборе параметра «Атрибуты доступа» открывается окно (рис. 9.12), в котором «Гл. администратор» может установить набор функций администрирования, доступных «подчиненным» администраторам.

Рис. 9.12. Выбор атрибутов доступа администратора к функциям управления

Надо заметить, что в правилах настройки СЗИ «Аккорд-АМДЗ» нет ограничений на число пользователей, зарегистрированных в той, или иной группе. Существует только лимит на общее количество записей (128) в базе данных пользователей.

Результаты ИА. В разделе «Результаты ИА» устанавливается, какая информация о пользователе, полученная в результате процесса идентификации/аутентификации, будет передаваться из контроллера в программную подсистему разграничения доступа (если таковая установлена на компьютере). Для успешного выполнения процедуры «Автологин», т.е. когда пользователь авторизуется на аппаратном уровне, а программная часть автоматически подгружает его профиль доступа, необходимо включить первые пять флагов «Результатов ИА». Установки по умолчанию (рис. 9.13) предполагают использование только контроллера АМДЗ.

221

Рис. 9.13. Результаты ИА

Выход из программы администрирования выполняется по клавише <Esc>, когда Вы находитесь в главном меню. После этого на экране снова появляется стартовое меню администратора. Администратор может выбрать вариант загрузки или перезагрузить компьютер. При корректном входе в систему зарегистрированным идентификатором пользователя меню не выводится, а выполняется обычная загрузка установленной операционной системы.

При необходимости получения информации по остальным функциям комплекса обращаться к руководству администратора комплекса «Аккорд-АМДЗ» (Руководство администратора

(11443195.4012-006 90 04)).

Назначение и краткая характеристика комплекса

«Соболь» v.2.0

Комплекс «Соболь» предназначен для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера.

Комплекс «Соболь» обеспечивает:

• регистрацию пользователей и назначение им персональных идентификаторов и паролей для входа в систему;

222

•идентификацию и аутентификацию пользователей при их входе в систему;

•управление параметрами процедуры идентификации пользователя, такими как число неудачных попыток входа, ограничение времени на вход в систему и др.;

•регистрацию событий, имеющих отношение к безопасности системы;

•контроль целостности файлов на жестком диске;

•контроль целостности физических секторов жесткого диска;

•защиту от несанкционированной загрузки операционной системы со съемных носителей – дискет, CD-ROM, ZIP-устройств, магнитооптических дисков, USB-устройств и др.;

•блокировку компьютера при условии, что после включения компьютера управление не передано расширению BIOS комплекса «Соболь»;

•диагностику состояния основных компонентов комплекса – датчика случайных чисел, энергонезависимой памяти, считывателя персональных идентификаторов iButton (TM);

•возможность совместной работы с системами защиты семейства Secret Net и АПКШ «Континент».

Действие комплекса «Соболь» состоит в проверке полномочий пользователя на вход в систему. Если предъявлены необходимые атрибуты – персональный идентификатор и пароль, пользователь получает право на вход. При их отсутствии вход в систему данного пользователя запрещается.

Пояснение. Пользователь получает допуск к компьютеру после регистрации его в списке пользователей комплекса «Соболь». Регистрация пользователей осуществляется администратором и состоит в присвоении пользователю имени, персонального идентификатора и назначении пароля.

Регистрация администратора осуществляется при инициализации комплекса.

Комплекс «Соболь» включает в свой состав следующие защитные подсистемы и механизмы:

•механизм идентификации/аутентификации пользователей;

•подсистема контроля целостности;

•подсистема запрета загрузки ОС со съемных носителей;

223

•механизм сторожевого таймера;

•механизм регистрации событий, имеющих отношение к безопасности системы.

Установка ПАК «Соболь» v.2.0

Установка программного обеспечения и подготовка к ини-

циализации комплекса. Программное обеспечение комплекса «Соболь» рекомендуется устанавливать до установки в компьютер платы комплекса.

Поместите установочный компакт-диск в привод CD-ROM и запустите на исполнение файл Setup.exe. При появлении на экране сообщения, предупреждающего об отсутствии в компьютере платы комплекса «Соболь», нажмите клавишу <Enter> для продолжения установки.

Программа установки выполнит подготовку к установке. После завершения подготовительных действий на экране появится стартовый диалог программы установки. Нажмите кнопку <Далее > для продолжения установки. На экране появится диалог с текстом лицензионного соглашения. Отметьте поле «Я принимаю условия лицензионного соглашения» и нажмите кнопку <Далее >. На экране появится диалог выбора каталога для размещения файлов. Нажмите кнопку <Далее>.

В некоторых случаях на экране может появиться диалог со списком программ, использующих в данный момент системные файлы, которые должна обновить программа установки.

•Для обновления системных файлов без перезагрузки компьютера закройте перечисленные в списке программы, а затем нажмите в диалоге на кнопку «Повторить».

•Для немедленного продолжения установки нажмите на кнопку «Пропустить», но в этом случае по завершении установки вам, скорее всего, будет предложено перезагрузить компьютер.

Затем программа установки регистрирует в системе драйвер платы комплекса «Соболь» и формирует шаблоны для контроля целостности. После успешного выполнения процедуры установки на экране появится завершающий диалог программы установки. Нажмите кнопку «Готово».

224

Для инициализации комплекса проделайте следующее:

1.Переключите плату комплекса «Соболь» в режим инициализации. Для этого снимите перемычки, установленные на разъемах платы J0-J1 (рис. 9.14).

2.Выключите компьютер.

3.Вскройте корпус системного блока.

4.Выберите свободный слот системной шины PCI (разъем для плат расширения) и аккуратно вставьте в него плату комплекса «Соболь».

5.Подключите к плате считыватель.

6.Закройте корпус системного блока.

Рис. 9.14. Расположение разъемов на плате комплекса «Соболь»

Инициализация и настройка общих параметров, регистрация администратора. Процедура инициализации. Включить пи-

тание компьютера. На экране появится окно (рис. 9.15), если после включения питания компьютера управление не было передано модулю расширения BIOS комплекса, то окно на экране не появится.

225

Рис. 9.15 Окно инициализации

В этом случае необходимо в BIOS Setup разрешить загрузку операционной системы с модулей расширения BIOS сетевых плат.

Совет. Прежде чем приступить к инициализации рекомендуется проверить работоспособность комплекса «Соболь». Для этого выберите в меню команду «Диагностика платы» и нажмите клавишу <Enter>. В появившемся на экране меню выберите команду «Выполнить все тесты» и нажмите клавишу <Enter>. После успешного завершения всех тестовых процедур нажмите клавишу <Esc>.

После активации в меню администратора команды «Диагностика платы» на экране появится следующее меню (рис. 9.16)

Рис. 9.16. Окно диагностики платы

Команды этого меню запускают процедуры проверки компонентов комплекса.

226

По завершении каждой процедуры на экран выводится окно с сообщением о ее результате.

Тест NVRAM памяти. Этот тест проверяет работоспособность энергонезависимой памяти комплекса «Соболь» − NVRAM памяти. В ходе проверки осуществляются попытки доступа на чтение и запись для каждого сегмента двух банков NVRAM памяти комплекса.

Процедура проверки не приводит к потере данных, хранящихся в NVRAM памяти, но только при соблюдении следующего запрета − во время выполнения проверки запрещается проводить перезагрузку компьютера и отключать питание.

Тест датчика случайных чисел. Этот тест проверяет работо-

способность аппаратного датчика случайных чисел комплекса «Соболь». Тестирование заключается в проверке равномерности распределения случайных чисел, генерируемых датчиком. Процедура выполняется в три прохода, что позволяет повысить надежность получаемых результатов.

Тест считывателя iButton. Этот тест проверяет правильность обмена данными между считывателем персональных идентификаторов iButton, подключенным к плате комплекса «Соболь», и идентификатором iButton, предъявляемым во время проверки.

Процедура проверки не приводит к потере данных, хранящихся в идентификаторе.

Последовательное выполнение всех тестов. При использова-

нии этой процедуры обратите внимание на особенность выполнения теста считывателя iButton − запрос персонального идентификатора на экран не выводится. Поэтому следует персональный идентификатор, предназначенный для проверки, заблаговременно привести в соприкосновение со считывателем, если этого не сделать, то выдастся сообщение об ошибке (рис. 9.17).

Рис. 9.17. Ошибка чтения идентификатора. Идентификатор не был заблаговременно помещен в считыватель

227

Ошибки при диагностике

Причина: произошла ошибка при обмене данными с указанным банком NVRAM памяти комплекса «Соболь». В первом случае ошибка вызвана нарушением механизма обмена данными с памятью, во втором − несовпадением записанных и прочитанных данных.

Действия: повторите проверку NVRAM памяти. При многократном повторении данного результата обратитесь в службу технической поддержки поставщика комплекса.

Причина: указанное число раз проверка равномерности распределения случайных чисел, генерируемых датчиком случайных чисел комплекса «Соболь», завершилась неудачей.

Действие: повторите проверку датчика случайных чисел. При многократном повторении данного результата обратитесь в службу технической поддержки поставщика комплекса.

Причина: произошла ошибка при обмене данными между предъявленным персональным идентификатором и считывателем. Возможно, испорчен идентификатор или неисправен считыватель.

Действие: повторите тест, предъявив другой идентификатор. Если тест завершился без ошибок − считыватель исправен. Выполните форматирование предъявленного ранее идентификатора и повторите тест. Если ошибка устойчиво повторяется − идентификатор не исправен, обратитесь в службу технической поддержки поставщика комплекса.

228

Причина: при последовательном выполнении всех тестов во время проверки считывателя iButton не был предъявлен персональный идентификатор.

Действие: приведите персональный идентификатор в соприкосновение со считывателем и повторите процедуру или выполните проверку считывателя iButton отдельно от остальных проверок.

Настройка общих параметров

После выполнения команды «Инициализации платы» появляется окно «Общие параметры системы» (рис. 9.18).

Рис. 9.18. Общие параметры системы

Внимание! Если не найден каталог установки ПО комплекса «Соболь» (обычно C:\Sobol) или в этом каталоге отсутствуют файлы шаблонов для контроля целостности ненулевой длины

(bootfile.nam, bootfile.chk, bootsect.nam, bootsect.chk), параметру

«Контроль целостности файлов и секторов» присваивается значение «Нет». При попытке изменить значение этого параметра на экране появится окно для ввода пути к каталогу с файлами шаблонов. Если путь к каталогу был изменен при установке ПО комплекса «Соболь», введите этот путь и нажмите клавишу <Enter>. Учитывайте, что для каталогов, размещающихся на дисках с файловой системой FAT12, FAT16 и FAT32, длинные имена (более 8 символов) надо указывать в краткой форме, например «progra~1». Узнать краткую форму записи имени можно с помощью команды DIR или

229

менеджеров файлов, например Total Commander. При обнаружении заданного каталога и находящихся в нем файлов шаблонов для контроля целостности параметр примет значение «Да», иначе значение параметра не изменится.

«Версия криптографической схемы», настройка которой выполняется только при инициализации комплекса «Соболь», является обязательной.

Внимание! Администратор, обслуживающий несколько комплексов «Соболь», должен на всех обслуживаемых комплексах установить одинаковую версию криптографической схемы.

Установите для параметра «Версия криптографической схемы» значение:

•«2.0» − если не требуется обеспечивать совместимость с предыдущими версиями комплекса, рекомендуется выбирать это значение параметра.

Пояснение. В этом случае невозможна повторная регистрация администратора и пользователей данного комплекса «Соболь» на комплексах предыдущих версий. Также невозможна повторная регистрация администратора и пользователей комплексов предыдущих версий на данном комплексе «Соболь»;

•«1.0» − чтобы обеспечить совместимость с предыдущими версиями комплекса.

Остальные параметры системы не требуют пояснения, так как их назначение очевидно из их названия.

Выполнив настройку параметров, нажмите клавишу <Esc> для сохранения изменений и продолжения процедуры инициализации. Начнется тестирование правильности работы датчика случайных чисел (ДСЧ).

Если тестирование ДСЧ завершилось с ошибкой, в строке сообщений появится сообщение об этом. Для продолжения работы

требуется перезагрузить компьютер − нажмите любую клавишу. В строке сообщений появится дополнительное сообщение о необходимости перезагрузки. Нажмите еще раз любую клавишу. Компьютер будет перезагружен.

Совет. Для перезагрузки компьютера используйте также ком-

бинацию клавиш <Alt>+<Ctrl>+<Del>.

Если тестирование ДСЧ завершено успешно (получен положительный результат), инициализация комплекса будет продолжена.

230