Лабораторная работа №11
.pdfМИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение
высшего образования
"Костромской государственный университет"
(КГУ)
Институт «Высшая ИТ-школа» Кафедра защиты информации
Направление 10.03.01 - Информационная безопасность, профиль Организация и технология защиты информации
Лабораторная работа №11
Описание ПО Secret Net 5.0-C и Аккорд-NT/2000
Выполнил______________ |
Владимиров Петр Алексеевич |
|
гр. 22-ИБбо-6 |
Проверил_______________ |
Потафеев Семен Алексеевич |
Кострома 2025
Цель работы: Изучить архитектуру, функциональные возможности и защитные механизмы систем защиты информации Secret Net 5.0-C и Аккорд-
NT/2000, а также ознакомиться с реализуемыми ими механизмами разграничения доступа, контроля целостности, шифрования,
гарантированного удаления и регистрации событий безопасности.
1. Secret Net 5.0-C
1.1. Архитектура и общая характеристика
Secret Net 5.0-C — это сертифицированная отечественная система защиты информации для ОС семейства Windows, реализующая функции мандатного и дискреционного разграничения доступа, регистрацию событий безопасности и механизмы интегральной защиты рабочих станций.
Архитектура включает:
•Клиентские агенты на рабочих станциях;
•Сервер управления политиками безопасности;
•Модули контроля устройств, сетевых подключений и программной
среды;
•Службы регистрации и аудита.
Контролируемые параметры собираются агентом и отправляются на сервер для централизованного анализа. Политики безопасности также распространяются с сервера на клиентов.
1.2. Механизмы разграничения доступа Дискреционное управление доступом (ДРД)
• Управление доступом на основе ACL, прав пользователей, групп и параметров безопасности Windows.
• Ограничение запуска приложений, доступа к файлам, каталогам,
оборудованию.
Мандатное управление доступом (МРД)
•Назначение меток конфиденциальности субъектам и объектам.
•Контроль уровня допуска пользователя.
• Предотвращение несанкционированного чтения/записи между
уровнями.
Контроль внешних устройств
•Запрет использования USB-носителей без регистрации.
•Контроль подключаемого оборудования (картридеры, Bluetooth, Wi-
Fi).
1.3. Применяемые защитные контуры
1.3.1. Защищённая программная среда (ЗПС)
•Контроль целостности системных файлов и компонентов Secret Net.
•Ограничение запуска непроверенного ПО (белые списки).
•Блокирование попыток модификации системных областей.
1.3.2. Контроль целостности
•Хэширование критичных системных файлов.
•Контроль корректности конфигураций ОС.
•Обнаружение изменений и уведомления администратору. 1.3.3. Шифрование
•Использование отечественных криптографических алгоритмов
(ГОСТ).
•Шифрование дисков, разделов и данных на съемных носителях.
•Двухфакторная аутентификация и поддержка смарт-карт.
1.3.4. Гарантированное удаление данных
•Перезапись секторами по алгоритмам ГОСТ Р 50739-95 или РД.
•Уничтожение временных файлов и следов в системных областях. 1.3.5. Регистрация событий безопасности
•Журналирование действий пользователей.
•Фиксация доступа к объектам, запусков программ, подключений устройств.
•Формирование протоколов для ФСТЭК.
•Поддержка экспорта логов на сервер управления.
2. Аккорд-NT/2000
2.1. Архитектура и общая характеристика
Аккорд-NT/2000 — комплексная система защиты информации для ОС
Windows, обеспечивающая мандатное и дискреционное управление доступом,
контроль целостности, защиту от НСД и мониторинг событий безопасности.
Архитектура включает:
•Ядро защиты, встроенное в операционную среду;
•Сервис мандатного контроля доступа;
•Модуль контроля целостности;
•Криптографический модуль (при необходимости);
•Средства мониторинга и логирования.
Система работает на уровне системного ядра, перехватывая критичные операции (открытие файла, запуск процесса, обращение к устройству).
2.2. Механизмы разграничения доступа Мандатное управление доступом
•Жёсткая модель доступа с уровнями конфиденциальности.
•Обязательное сопоставление меток субъектов и объектов.
•Контроль всех потоков информации (файлы, сетевые объекты,
процессы).
Дискреционное управление доступом
•Реализация через штатные механизмы Windows с усиленным контролем.
•Запрет снятия прав безопасности пользователем.
•Ограничение наследования прав.
Разграничение доступа к устройствам и интерфейсам
•Блокировка USB, CD/DVD, сетевых интерфейсов.
•Учет всех операций с носителями.
2.3. Защитные механизмы
2.3.1. Защищенная программная среда (ЗПС)
•Контроль запуска системных и пользовательских процессов.
•Применение политик «белых списков».
•Отслеживание несанкционированных попыток модификации ядра. 2.3.2. Контроль целостности
•Поддержка эталонной базы контрольных сумм.
•Проверка целостности файлов ОС, конфигураций и модулей системы.
•Реакция на нарушения (блокировка, уведомления, запись инцидента). 2.3.3. Шифрование
•Использование ГОСТ-криптографии (при наличии модуля защиты).
•Возможность шифрования файлов и носителей.
2.3.4. Гарантированное удаление данных
•Надёжная перезапись данных на дисках.
•Стирание служебных копий и свободного пространства. 2.3.5. Регистрация событий безопасности
•Логи всех операций пользователей и системных процессов.
•Контроль доступа к файлам, устройствам, сетевым ресурсам.
•Подготовка отчетов для администраторов ИБ.
Вывод
В ходе работы изучены архитектурные решения и механизмы защиты систем Secret Net 5.0-C и Аккорд-NT/2000. Обе системы обеспечивают комплексную защиту рабочих станций, включая мандатное и дискреционное разграничение доступа, контроль целостности, защиту программной среды,
механизмы шифрования, гарантированное удаление данных и регистрацию событий безопасности. Secret Net 5.0-C ориентирована на централизованное управление и масштабируемые корпоративные среды, тогда как Аккорд-
NT/2000 отличается глубокой интеграцией в ядро ОС и более жесткими механизмами мандатного контроля. Изучение этих СЗИ позволяет понять принципы построения защищённых систем и организацию контуров безопасности в соответствии с требованиями ФСТЭК и отечественных стандартов.
