Горбатов Аттестационные испытания автоматизированных систем от 2014
.pdf
можно выбрать объект, щелкнув левой кнопкой мыши на имени объекта в дереве объектов, тогда в поле «Имя объекта» отобразится имя выделенного объекта, а в поле «Тип объекта» ‒ его тип (каталог, файл, реестр, съемный диск, принтер).
Рис. 14.15. Окно выбора нового объекта и установки ПРД
Если у выделенного объекта уже установлены ПРД, то будут отмечены соответствующие флаги, если нет, то все флаги атрибутов будут сброшены. При установке ПРД можно воспользоваться клавишами <Сброс>, <Чтение>, <Полный> в нижней части панели. Клавиша <Сброс> снимает все флаги атрибутов доступа. Объект с такими атрибутами становится запрещенным, т.е. недоступным для ВСЕХ программ и процессов, включая и системные. Клавиша <Чтение> устанавливает для выбранного объекта «файл» атрибуты R – открыть для чтения, V – видимость и X – запуск программ. Для объекта «папка» добавляется атрибут G – переход в данную папку и S – наследование. Клавиша <Полный> включает все атрибуты
371
для полного доступа. При работе в ОС Windows может случиться такая ситуация, что объект с набором атрибутов «Чтение» не будет открываться некоторыми программами. Это происходит потому, что многие программы (например, большинство приложений Microsoft Office) по умолчанию открывают файл на чтение/запись. В этом случае придется добавить атрибут O – запись, который имитирует разрешение на запись при открытии файла, но не позволяет модифицировать файл.
Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «Запись» или клавишу <F2>.
По умолчанию доступ к сетевым ресурсам обычному пользователю запрещен (если сетевой каталог не смонтирован заранее, то он отсутствует в списке объектов доступа). Для разрешения доступа нужно явно указать полное сетевое имя ресурса и назначить ему атрибуты. Это относится и к сетевым принтерам, или очередям печати. Если правила доступа к сетевым ресурсам определяются администратором домена (сервера), то можно задать универсальный сетевой ресурс. Для этого в список нужно включить объект \\ (ввести с клавиатуры), установить ему полный доступ и наследование на все подкаталоги.
Внимание! При задании параметров доступа к сетевым ресурсам, необходимо указывать полное сетевое имя ресурса, например: \\SERVER1\VOL2\DOC1\.
Установка доступа к объектам с использованием мандатного метода контроля ПРД
Если в файле accord.ini установлен параметр MandatoryAccess = =Yes, то включается мандатный механизм задания и контроля ПРД. Этот параметр можно изменить с помощью программы настройки комплекса «Аккорд» – ACSETUP.EXE.
В главном окне программы редактора ПРД (рис. 14.16) появляется кнопка «Уровень доступа» на панели инструментов и пункт «Уровень доступа» в меню «Команды».
С помощью этой команды можно установить, или изменить уровень доступа пользователя (рис. 14.17).
Мандатный механизм доступа реализуется по следующему правилу: если уровень доступа пользователя (субъекта) выше или ра-
372
вен метке доступа каталога, файла, сетевого ресурса (объекта), то доступ к объекту предоставляется данному субъекту. Если при этом установлены дискреционные ПРД, то операции, которые пользователь может выполнять с разрешенным объектом, определяются этими ПРД.
Рис. 14.16. Окно редактора ПРД при включенном мандатном контроле
Рис. 14.17. Установка уровня доступа пользователя
373
Для присвоения объектам меток доступа нажмите кнопку на панели инструментов с изображением компьютера, или выберите пункт «Метки мандатного доступа» в меню «Команды». Выводится окно со списком объектов (рис. 14.18).
Рис. 14.18. Установка меток доступа объектов при использовании мандатных ПРД
По умолчанию всем объектам присваивается самый низкий уровень – общедоступно. Для изменения метки доступа установите курсор на нужную строку и нажмите Enter, или мышью кнопку «Редактировать». Откроется окно атрибутов, в котором для объекта можно изменить только два параметра – уровень доступа и наследование прав доступа. Уровень доступа меняется нажатием мышью на кнопку в строке «Уровень доступа» и выбором значения из списка.
Если необходимый Вам объект отсутствует в списке (см. рис. 14.18), нажмите кнопку «Новый» или клавишу <Insert>. На экран выводится расширенное окно «Атрибуты доступа к объектам» (рис. 14.19). Справа в этом окне отображен список всех объектов. Введите в поле «Имя объекта» имя объекта и установите для него необ-
374
ходимые атрибуты. С помощью мыши также можно выбрать объект, щелкнув левой кнопкой мыши на имени объекта, тогда в поле «Имя объекта» отобразится имя выделенного объекта, а в поле «Тип объекта» – его тип (каталог, файл, реестр). В правом нижнем секторе окна доступна функция установки меток доступа объекта. Установите указатель мыши на стрелку в правой части строки «Метка доступа» и нажмите левую кнопку мыши. Появится список, из которого можно выбрать значение метки доступа выбранного объекта. Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «Запись» или клавишу <F2>. Объект, которому не присвоена метка доступа считается недоступным для всех пользователей, кроме администраторов.
Рис. 14.19. Выбор нового объекта и установка для него метки доступа
Атрибут «Наследование прав доступа» действует по тем же правилам, как в дисциплине дискреционного доступа. Правила описания доступа к сетевым ресурсам аналогичны правилам из
375
пункта «Установка доступа к объектам с использованием дискреционного метода ПРД».
Механизм управления мандатным доступом допускает использование восьми уровней доступа. Администратор безопасности с помощью программы настройки комплекса может менять количество используемых в конкретной системе уровней допуска и их названия.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Установка программной части комплекса
Установите СПО на жесткий диск. Описание процесса установки СПО приведено в пункте «Этапы установки комплекса».
Если аппаратная часть комплекса не установлена необходимо установить ее и настроить согласно описанию, приведенному в первой лабораторной работе.
2. Создание пользователей
Запустите программу ACED32.EXE. Предъявите идентификатор администратора ИБ, если идентификация/аутентификация администратора прошла успешно, то выполняется синхронизация базы данных редактора прав доступа с базой данных пользователей, находящейся в ЭНП контроллера «Аккорд-АМДЗ».
Если в аппаратной части был зарегистрирован пользователь «user», то необходимо создать еще одного пользователя «user1». Если нет, то создать двух пользователей «user», «user1». Задать пользователям пароли и личные идентификаторы.
3. Реализация дискреционного механизма разграничения доступа
Запустите программу ACSETUP.EXE, в поле «Механизмы разграничения доступа» установите флаг «Дискреционный».
Подготовьте рабочее место для выполнения задания: используйте шаблоны из лабораторной работе № 10. Создайте папки «Test» и «Test1»на локальном диске C. Добавьте в них папки и файлы согласно шаблону (рис. 14.20).
376
Рис. 14.20. Шаблон для выполнения рабочего задания
Запустите программу ACED32.EXE. Разграничьте доступ пользователям «user» и «user1» согласно вариантам приведенным ниже
(табл. 14.2–14.5).
Вариант № 1
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 14.2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Объект / |
|
Test |
|
Test4 |
|
Test1.* |
|
Test2.* |
Test3.* |
Test5.exe |
|
||
Пользователь |
|
|
|
|
|||||||||
user |
|
R |
|
R,A |
|
R,W,D |
|
R,W,D |
R |
X |
|
||
user1 |
|
R |
|
- |
|
R |
|
R |
R |
- |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 14.3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Объект / |
Test1 |
|
Test1.4 |
Test1.1.* |
Test1.2.* |
|
Test1.3.* |
Test1.5.exe |
|
||||
Пользова- |
|
|
|
||||||||||
тель |
|
|
|
|
|
|
|
|
|
|
|
|
|
user |
|
R |
|
|
R,A |
- |
|
R |
|
R |
X |
|
|
user1 |
R,A |
|
|
R |
|
R,W,D |
|
R,W,D |
|
R,W,D |
X |
|
|
|
|
|
|
|
|
377 |
|
|
|
|
|
|
|
Вариант № 2
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 14.4 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Объект / |
|
Test |
Test4 |
|
Test1.* |
Test2.* |
|
Test3.* |
|
Test5.exe |
|
||||
Пользователь |
|
|
|
|
|||||||||||
user |
|
R,A |
R,D,A |
|
R |
R,W |
|
R |
|
X,D |
|
||||
user1 |
|
R,A |
R,A |
|
R |
R |
|
R,W,D |
|
X |
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 14.5 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Объект / |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Пользова- |
Test1 |
Test1.4 |
Test1.1.* |
Test1.2.* |
|
Test1.3.* |
Test1.5.exe |
|
|||||||
тель |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
user |
R |
|
R |
|
- |
|
R,W |
|
|
R,W |
|
X |
|
||
user1 |
R,A |
|
R |
|
R,W |
|
R,D |
|
- |
- |
|
||||
4. Активизация подсистемы управления доступом
Выполните следующие действия: запустите программу ACSETUP.EXE, перейдите Команды => Инсталлировать или нажмите кнопку на панели задач Инсталляция (рис. 14.21).
Рис. 14.21. Активизация подсистемы управления доступом
После этих действий выполните перезагрузку ПЭВМ (PC).
378
5.Проверка настроек дискреционного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР»
Спомощью программы «Ревизор 1 ХР» создайте проект разграничения доступа согласно одному из вариантов описанных выше. Выполните тестирование с помощью программы «Ревизор 2ХР». Сохраните html отчет.
5.Реализация мандатного механизма разграничения доступа
Для реализации мандатного механизма запустите программу ACSETUP.EXE. В поле «Механизмы разграничения» установите флаг «Мандатный». В пункте меню «Параметры» можно изменить дополнительные параметры и настройки.
Пункт меню «Категории доступа» позволяет редактировать список категорий доступа, который используется в реализации мандатного механизма разграничения доступа (рис. 14.22).
Рис. 14.22. Редактирование списка категорий доступа
Сделайте четыре категории доступа: Общедоступно, Конфиденциально, Секретно, Совершенно секретно.
Вариант № 1. Установите уровни доступа для пользователей:
379
•«user» – Секретно («С»);
•«user1» – Общедоступно («-»).
В скобках приведены обозначения, которые используют «Ревизор 1 ХР» и «Ревизор 2 ХР».
Установите уровни доступа для объектов (табл. 14.6).
Таблица 14.6
Папка |
Уровень доступа |
Local disk C |
Общедоступно («-») |
Test |
Конфиденциально («Д») |
Test1 |
Общедоступно («-») |
Вариант № 2. Установите уровни доступа для пользователей:
•«user» – Конфиденциально («Д»);
•«user1» – Секретно («С»).
Установите уровни доступа для объектов (табл. 14.7).
|
Таблица 14.7 |
|
|
|
|
Папка |
Уровень доступа |
|
Local disk C |
Конфиденциально («Д») |
|
Test |
Секретно («С») |
|
Test1 |
Конфиденциально («Д») |
|
7. Проверка настроек мандатного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР»
С помощью программы «Ревизор 1 ХР» создайте проект разграничения доступа согласно одному из вариантов описанных выше. Запустите «Ревизор 2 ХР». Перейдите к построению плана тестирования.
Обязательно исключить из плана тестирования системные файлы!
В параметрах построения плана тестирования (рис. 14.23) необходимо поставить флаг на параметре «Проверка полномочного режима управления доступом».
При тестировании систем с полномочным управлением доступом необходимо учитывать следующие положения:
380