Горбатов Аттестационные испытания автоматизированных систем от 2014
.pdf• проверить фиксацию попыток НСД в журнале событий.
4.Создание отчета о проделанной работе
Вотчете указать в краткой форме как организована защита АРМ, привести результаты проверочных испытаний, на основе которых сделать вывод об организации контроля доступа к АРМ. Также при составлении отчета воспользоваться системным журналом (для расшифровки аббревиатур используемых в журнале воспользоваться документацией комплекса «Руководство администра-
тора» (11443195.4012-006 90 04)).
5.Установка и настройка комплекса «Соболь»v.2.0
Чтобы установить комплекс «Соболь», не требуется производить дополнительных действий, как в случае с комплексом «Аккорд» − достаточно придерживаться инструкций, описанных в соответствующем пункте настоящего ТЛП. Установить комплекс. Зарегистрировать администратор. Выполнить пункты 3–5.
Тестовые задания к работе 9
Входной контроль
1.Что такое «Аккорд АМДЗ»?
a)контроллер аппаратной части;
b)считывающее устройство для идентификатора;
c)аппаратный модуль доверенной загрузки.
2.Что такое ACDOS?
a)утилита для очистки памяти контроллера;
b)внутренняя операционная система контроллера «Аккорд АМДЗ»;
c)программа администратора для управления пользователями.
3.Почему после начальной инициализации комплекса «Аккорд АМДЗ» в строке команд недоступны пункты «Контр» и «Журнал»?
a)нет зарегистрированных пользователей;
241
b)пользователи не имеют доступ к этим пунктам;
c)установлен запрет на использование этих пунктов.
4. Кто такой пользователь «SUPERVISOR»?
a)системный пользователь комплекса «Аккорд АМДЗ»;
b)главный администратор безопасности комплекса «Аккорд АМДЗ»;
c)администратор.
5. Что такое идентификация?
a)присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
b)процесс определения пользователей системы;
c)проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
6. Что такое аутентификация?
a)присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
b)процесс определения пользователей системы;
c)проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
7. Для чего предназначен комплекс «Соболь»?
a)для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера;
b)для того чтобы усилить защиту ПЭВМ, на котором уже установлен комплекс «Аккорд АМДЗ»;
c)для обеспечения контроля целостности;
d)для создания изолированной среды пользователей.
8.Для чего служат разъемы J0-J1 на плате комплекса «Соболь»?
a)для выбора режима инициализации;
b)для подключения внешнего считывателя;
c)для подключения внутреннего считывателя.
9.Что необходимо сделать, в случае, когда управление не передается в модуль расширения BIOS комплекса «Соболь»?
a)необходимо в BIOS Setup разрешить загрузку операционной системы модулей расширения BIOS сетевых плат;
242
b)переустановить плату;
c)провести диагностику платы и выявить, почему плата не работает.
10. Что такое повторная регистрация администратора/ пользователя?
a)регистрация, при которой администратор/пользователь сможет иметь доступ в систему на нескольких компьютерах;
b)обычная регистрация для обновления служебной информации хранящейся в идентификаторе;
c)такого типа регистрации не существует.
Выходной контроль
1.Какой командой очищается память контроллера «Аккорд АМДЗ»?
a)Clrmem.exe;
b)IP5x.exe;
c)MClr.exe;
d)IP5.exe.
2.В каком случае необходимо генерировать секретный ключ для пользователей, на АРМ которых установлен комплекс «Аккорд»?
a)каждый раз при регистрации пользователя;
b)только, если проводится первичная регистрация;
c)если пользователь забыл пароль или потерял идентификатор.
3.Какие действия необходимо выполнить администратору, если возникли ошибки в контрольной сумме BIOS? («Аккорд АМДЗ»)?
a)исключить меняющиеся параметры;
b)провести обновление контрольных сумм;
c)выполнить оба вышеприведенных пункта.
4.Можно ли установить настройки пользователя независимо от настроек группы, к которой он принадлежит?
a)да;
b)нет;
c)только, если эта группа администраторов.
243
5.Что происходит при корректном входе пользователя в систему?
a)выполняется загрузка установленной операционной системы;
b)появляется меню пользователя;
c)выполняется загрузка изолированной программной среды пользователя.
6.Какие компоненты проверяются при диагностике платы «Соболь»?
a)тест энергонезависимой памяти;
b)тест считывателя iButton;
c)тест ДСЧ;
d)тест разъемов J0-J1;
e)тест разъемов подключения внешних носителей.
7.Какие действия предпринимаются комплексом «Соболь»,
вслучае ввода неверного пароля пользователем, больше допустимого значения установленного администратором?
a)блокировка учетной записи пользователя;
b)блокировка АРМ;
c)перезагрузка АРМ.
8.Какие атрибуты присваиваются новому пользователю при регистрации?
a)имя;
b)идентификатор;
c)аутентификатор и пароль;
d)все вышеприведенные.
9.За что отвечает параметр «Текущий статус пользовате-
ля»?
a)управляет блокировкой доступа пользователя в систему;
b)показывает, заблокирован ли вход пользователя или нет, а также причину блокировки;
c)показывает, заблокирован вход пользователя или нет.
10.Что необходимо делать, чтобы перевести комплекс «Соболь» в рабочий режим?
a)установить перемычки J0-J1;
b)установить перемычку J0;
c)установить перемычку J1.
244
Работа 10
ПРОВЕРКА НАСТРОЕК РАЗРЕШИТЕЛЬНОЙ СИСТЕМЫ ДОСТУПА К ФАЙЛОВЫМ СИСТЕМАМ
С ИСПОЛЬЗОВАНИЕМ СПЕЦИАЛИЗИРОВАННЫХ ТЕСТИРУЮЩИХ СРЕДСТВ И ШТАТНЫХ СРЕДСТВ ИЗ СОСТАВА ОС
Цель: получение практических навыков по проведению аттестации объекта информатизации, с помощью сертифицированного программного обеспечения. Разграничение доступа с помощью стандартных средств ОС Windows XP. Предотвращение попыток НСД. Изучение программ «Ревизор 1 ХР», «Ревизор 2 ХР». Разграничение доступа к объектам АРМ.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1.Создание проекта разграничения доступа (ПРД).
2.Настройка автоматизированного рабочего места (АРМ) в соответствии с созданным проектом при помощи стандартных средств из состава Windows XР.
3.Проведение тестирования АРМ на соответствие с ПРД, анализ отчета.
4.Моделирование несоответствия реальной модели разграничения доступа реализованной на АРМ с ПРД. Повторное тестирование АРМ, анализ отчета.
5.Подготовка отчета для сдачи лабораторной работы.
ОСНОВНЫЕ ВОЗМОЖНОСТИ ПРОГРАММНЫХ СРЕДСТВ КОНТРОЛЯ СИСТЕМЫ РАЗГРАНИЧЕНИЯ ДОСТУПА
Работа с программным средством «Ревизор 1 ХР»
«Ревизор 1 XP» предназначен для создания и редактирования модели системы разграничения доступа (СРД). В дальнейшем модель СРД будет называться проектом разграничения доступа (ПРД). При этом программой выполняются следующие функции:
245
1.Автоматическое сканирование локальных логических дисков, а также доступных сетевых папок. Выбор ресурсов для сканирования осуществляется администратором АРМ.
2.Автоматическое считывание установленных прав доступа файловой системы NTFS (для АРМ под управлением ОС семейства
Windows NT).
3.Построение по результатам сканирования дерева ресурсов, соответствующего структуре ресурсов АРМ и ЛВС.
4.Автоматическое получение списка локальных и доменных пользователей (для АРМ под управлением ОС семейства Windows NT).
5.Ручная регистрация в ПРД пользователей и установка их уровней допуска.
6.Установка прав доступа пользователей к объектам доступа, а также грифов секретности объектов доступа.
7.Отображение всей информации, содержащейся в ПРД, в удобной форме.
8.Создание отчетов на основе информации о субъектах и объектах доступа.
Программа выполняется администратором АРМ.
Условия применения
Требования к техническим средствам. Рекомендуемая конфигурация ПЭВМ АРМ:
•процессор – Intel Pentium и выше;
•ОЗУ – 64 МБ;
•на ЖМД не менее 40 Мбайт дискового пространства;
•видеоадаптер – SVGA.
При улучшении конфигурации ПЭВМ «Ревизор 1 XP» выполняется быстрее.
Требования к программному обеспечению. «Ревизор 1
ХР» работает под управлением ОС Windows 95, 98, Me, NT 4, 2000, XP и Server 2003. Дополнительных требований к программному обеспечению не предъявляется.
246
Входные и выходные данные
Входные данные:
•Структура ресурсов АРМ и ЛВС. При выполнении сканирования «Ревизор 1 XP» получает информацию об этой структуре и сохраняет ее в ПРД.
•Установленные права доступа файловой системы NTFS.
•Списки локальных и доменных пользователей системы.
•Информация о разрешительной системе. Вносится администратором при обработке ПРД.
Выходные данные:
•ПРД. Физически ПРД сохраняется в виде файла с расширением ARX.
•Отчеты на основе информации, содержащейся в ПРД, в фор-
мате HTML.
Функции программы
Сканирование ресурсов. В ходе сканирования «Ревизор 1 XP» получает информацию о структуре ресурсов АРМ (ЛВС) и сохраняет ее в памяти ПЭВМ.
Считывание прав доступа NTFS. В ходе сканирования дисков с файловой системой NTFS «Ревизор 1 XP» считывает установленные права доступа и преобразует их в формат, используемый для представления прав доступа в ПРД. Эта функция доступна при запуске программы под управлением ОС семейства Windows NT.
Построение дерева ресурсов. По результатам сканирования «Ревизор 1 XP» автоматически строит иерархическую структуру, соответствующую структуре ресурсов АРМ.
Получение списка локальных и доменных пользователей. «Реви-
зор 1 ХР» получает списки учетных записей пользователей, зарегистрированных как непосредственно на АРМ, так и на контроллере домена (в случае, если АРМ входит в состав домена). Эти пользователи регистрируются в ПРД наравне с другими субъектами доступа. Эта функция доступна при запуске программы под управлением ОС семейства Windows NT.
Создание и удаление пользователей. «Ревизор 1 ХР» позволяет вручную добавлять и удалять пользователей ПРД. При создании
247
администратор указывает, какие права доступа получит создаваемый пользователь: либо права доступа по умолчанию, либо права доступа текущего пользователя. При удалении пользователя все установленные для него права доступа теряются.
Моделирование разрешительной системы. При моделировании разрешительной системы администратор устанавливает грифы секретности на объекты доступа, а также настраивает права доступа для созданных пользователей.
Создание отчетов на основе информации о субъектах и объ-
ектах доступа. «Ревизор 1 ХР» формирует отчеты в формате HTML на основе информации, содержащейся в ПРД.
Выполнение программы
Для установки «Ревизор 1 ХР» нужно скопировать главный исполняемый файл Revizor1XP.exe в любой каталог на жестком диске. Никаких дополнительных действий по установке не требуется.
Вызов «Ревизор 1 ХР» осуществляется выполнением главного исполняемого файла Revizor1ХР.exe. Окно программы (рис. 10.1) имеет следующие элементы:
•строка меню;
•панель инструментов;
•дерево каталогов;
•список содержимого каталогов;
•список пользователей;
•строка состояния.
Меню дублирует все функции, доступные с панели инструментов. На панели инструментов расположены следующие кнопки:
–создание нового проекта;
–открытие проекта;
–сохранение проекта;
–включение/выключение режима наследования разрешений. Если этот режим включен, изменения прав доступа к каталогу будут распространяться на его содержимое;
–создание нового пользователя;
–удаление пользователя;
–создание отчета.
248
Рис. 10.1. Главное окно программы
Помимо этого, из меню могут быть дополнительно вызваны следующие функции:
•«Сохранить как» − сохранить текущий проект под другим именем.
•«Сведения о проекте» − отображение дополнительной информации о проекте, такой как количество пользователей, количество файлов, и прочей.
Кнопки панели инструментов имеют всплывающие подсказки, появляющиеся при задержке курсора мыши над ними.
Если команда, соответствующая кнопке недоступна, кнопка также недоступна и отображается в сером цвете.
Дерево каталогов отображает структуру каталогов, полученную
врезультате сканирования. При выборе какого-нибудь каталога его содержимое отображается в правой части окна программы (в списке содержимого каталога).
Список содержимого каталога отображает список объектов, находящихся в выбранном каталоге, а также права доступа («+» озна-
249
чает наличие доступа, «−» − отсутствие) и грифы секретности для них. При двойном щелчке на каталоге (или объекте, который имеет дочерние объекты) осуществляется переход в каталог.
Список пользователей отображает зарегистрированных в проекте пользователей, а также их уровни допуска.
Строка состояния отображает информацию о текущей выполняемой операции.
Создание нового ПРД
Для создания нового ПРД используется кнопка 
на панели инструментов или соответствующий пункт меню. После нажатия на эту кнопку на экране появляется окно настройки параметров создаваемого ПРД (рис.10.2).
Рис. 10.2. Окно создания нового ПРД
Данное окно содержит список доступных для сканирования ресурсов. В список ресурсов изначально включаются имеющиеся на компьютере логические диски. Также в него могут быть добавлены общие сетевые папки. Для этого надо вызвать окно обзора сети с
250