- •Содержание
- •Лекция 1. Предмет и задачи программно-аппаратной защиты информации
- •3. Основные понятия
- •Лекция 2. Средства, методы и протоколы идентификации
- •Лекция 3. Средства, методы и протоколы аутентификация
- •Лекция 4. Средства, методы и протоколы авторизации Лекция 5. Мандатное управление доступом
- •Лекция 6. Избирательное управление доступом
- •Лекция 7. Управление доступом на основе ролей
- •Лекция 8. Классификация ids
- •2 Классификация ids
- •Лекция 9. Архитектура ids
- •Контрольные вопросы:
- •Лекция 10. Стандарты в области ids
- •Лекция 11. Виды аудита безопасности
- •Лекция 12. Этапы проведения аудита
- •Лекция 13. Оценка уровня безопасности информационных систем
- •Лекция 14. Назначение и возможности сзи от нсд, требования, предъявляемые к ним
- •1. Общие положения
- •2. Термины и определения
- •3. Требования к уровню контроля 3.1. Перечень требований
- •3.2. Требования к четвертому уровню контроля
- •3.2.1.Контроль состава и содержания документации
- •3.2.2. Контроль исходного состояния по
- •3.3.4. Динамический анализ исходных текстов программ
- •3.3.5. Отчетность
- •3.4. Требования ко второму уровню контроля
- •3.4.1.Контроль состава и содержания документации
- •3.4.2.Контроль исходного состояния по
- •3.4.3. Статический анализ исходных текстов программ
- •3.4.4. Динамический анализ исходных текстов программ
- •3.4.5 Отчетность
- •3.5. Требования к первому уровню контроля
- •Лекция 16. Применение сзи от нсд «Страж-nt».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Создание замкнутой программной среды
- •7. Контроль целостности
- •8. Организация учета съемных носителей информации
- •9. Регистрация событий
- •Лекция 17. Применение сзи от нсд ««Dallas Loc».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Обеспечение замкнутости программной среды
- •7. Контроль целостности
- •8. Регистрация событий
- •9. Печать штампа
- •10. Гарантированное удаление данных
- •11. Реализация запрета загрузки пэвм в обход сзи
- •Лекция 18. Применение сзи от нсд ««Secret net».
- •2. Запуск и регистрация в системе защиты
- •3. Реализация дискреционной модели разграничения доступа
- •4. Реализация мандатной модели разграничения доступа
- •5. Режим замкнутой программной среды
- •6. Контроль целостности
- •7. Регистрация событий
- •8. Печать штампа
- •9. Настройка механизма шифрования
- •Лекция 19. Применение сзи от нсд «пак Соболь, «Cisco pix» и «Cisco Asa»
3. Реализация дискреционной модели разграничения доступа
Дискреционная модель разграничения доступа к файлам и каталогам реализуется в СЗИ «Secret Net 5.0-C» стандартным способом посредством списков доступа ОС Windows 2000/XP/2003.
В тоже время списки NTFS-разрешений дополнены средствами разграничения доступа к дискам и портам. СЗИ позволяет управлять доступом к сменным накопителям (дисковод, привод CD-ROM), логическим дискам и портам ввода/вывода (COM-, LPT-, USB-портам). Режим управления доступа к дискам и портам по умолчанию работает в мягком режиме (режиме накопления информации в журнале). Чтобы перевести его в жесткий режим, необходимо установить параметр «Разграничение доступа к устройствам: Режим работы» (в оснастке «Локальные политики безопасности» ⇒ «Настройки подсистем») в значение «жесткий» .
После включения указанного режима необходимо указать возможность доступа к дискам и портам, изменяя свойства этих устройств в оснастке «Локальные политики безопасности» ⇒ «Устройства».
4. Реализация мандатной модели разграничения доступа
Мандатная модель разграничения доступа в СЗИ «Secret Net 5.0-C» реализована посредством назначения защищаемым ресурсам и каждому пользователю автоматизированной системы специальных меток конфиденциальности и сравнения их при запросах на доступ. В СЗИ «Secret Net 5.0-C» мандатная модель разграничения доступа именуется «Полномочное управление доступом».
Мандатное управление доступом по умолчанию включено. Однако для предотвращения утечки информации из конфиденциальных документов (см. требование 7 к защите компьютерной системы), необходимо установить параметр «Полномочное управление доступом: Режим работы» в активное состояние: «Контроль потоков включен». Данная настройка находится в стандартной оснастке ОС Windows «Локальные политики безопасности» («Пуск» ⇒ «Программы» ⇒ «Secret Net 5»), в ней выбрать «Параметры безопасности» ⇒ «Параметры Secret Net» ⇒ «Настройки подсистем»
При назначении пользователем метки конфиденциальности уже существующему каталогу по желанию пользователя в окне, которое автоматически генерируется системой, можно присвоить такой же уровень доступа ко всем вложенным каталогам и файлам Привилегией засекречивания (повышения метки конфиденциальности) ресурсов обладает любой пользователь в пределах уровня конфиденциальности сессии. Для понижения уровня конфиденциальности ресурсов требуется наличие привилегии «Управление категориями конфиденциальности», которой целесообразно наделять только для администратора системы.
Возможность доступа пользователя к конфиденциальному документу определяется установкой уровня допуска для каждого из пользователей на странице «Доступ» вкладки «Secret Net 5.0-C» окна свойств пользователя. По умолчанию для всех пользователей системы установлен уровень допуска «Неконфиденциально». Правами установки уровня допуска обладает только администратор СЗИ, который в свою очередь может разрешить пользователям управление категориями конфиденциальности создаваемых ими объектов.
После назначения меток конфиденциальности работа с конфиденциальными файлами организуется в соответствии с рядом, предназначенных для защиты информации от утечки (при включенном контроле потоков):
1. Доступ пользователя к файлу разрешается, если уровень конфиденциальности текущего сеанса пользователя не ниже категории конфиденциальности файла.
2. Пользователь, не имеющий доступ к файлу, может просмотреть содержимое конфиденциального каталога, в котором находится файл, но не может открыть файл.
3. Конфиденциальные файлы размещаются в каталогах, имеющих категорию конфиденциальности не ниже категории конфиденциальности файла.
4. Приложению присваивается уровень конфиденциальности соответствующий уровню конфиденциальности текущего сеанса пользователя. Открывать разрешается только файлы, имеющие уровень конфиденциальности не выше уровня конфиденциальности текущего сеанса. При сохранении отредактированного содержимого файла с более низким уровнем конфиденциальности его «метка» повышается до уровня конфиденциальности сеанса.
5. Пользователь, не обладающий привилегией «Управление категориями конфиденциальности», может повысить категорию конфиденциальности файлов не выше уровня конфиденциальности текущего сеанса.
Управление полномочным доступом возможно только при наличии соответствующих разрешений доступа на уровне дискреционной модели, которые могут быть назначены администратором системы, например, с помощью стандартных механизмов ОС MS Windows 2000/XP/2003.
Следует отметить, что в СЗИ съемным носителям нельзя присвоить метку конфиденциальности, поэтому наличие даже полного доступа к накопителям не предоставляет пользователю возможности копирования на них конфиденциальных файлов или их фрагментов. Если принятая в организации технология обработки конфиденциальных документов допускает хранение их на съемных носителях, то пользователю дополнительно должно быть установлена привилегия «Вывод конфиденциальной информации».Хотя такое действие сопровождается выводом окна предупреждения и регистрацией данного действия в журнале, оно приводит к неконтролируемым возможностям по копированию конфиденциальных файлов и, следовательно, может быть применено лишь в исключительных случаях.