Реферат по СЗИ DallasLock
.pdfСанкт-ПетербургсгосударсэлектийуниверситетротехническийвенныйЛЭТИ«»
им.В.И.Улья(Ле)новаин
Открытыйфакультет
КафедраАвтоматизированныхСистемОбработкиИнформации
Управления
Рефератподисциплине Методыисредствазащитыинформации
«СИСТЕМАЗАЩИТЫИНФОРМАЦИИ ОТНЕСАНКЦИОНИРОВА ННОГОДОСТУПА
Dallas Lock»
Выполнил:
ст.гр. 9851
МашуковаВ.Ю. ТарасовЕ.С.
Руководитель:
доц. б.каф.АИ ФаткиеваР.Р .
Санкт-Петербург
2013
Введение
Данный реферат позволяет получить общпредставлеобархит,функциональныхектурение возможиприработыностяхципах Системызащитыинформацииотнесанкц онированного доступа «Dallas Lock».
Описанприменениясостоитз |
четырех основных разделов,вкоторыхраскрываютсяосновные |
||
вопросы рименения,структурыфункционирования |
Системызащитыинформацииот |
||
несанкционированногодоступа« |
Dallas Lock».Такжерассматрорганвходныхиваютсязация |
||
выходдансистеменых,конфигурация |
|
техничсред,необходимыхсдлятвкихприменения |
|
системаз |
ащиты. |
|
|
Докбуполезенмд нт дляадминистраторасистемызащиты,руковслужбдителейтделовпо защитеинформации,такжевсехзаинтересовспециалистовобластизащитынных информации.
2
Содержание |
|
|
1. |
НАЗНАЧЕНСИСТЕМЫЗАЩ ТЫ |
....................................................................5 |
|
1.1. Общееописаниесистемы ................................................................................... |
5 |
|
1.2. Регулирование ..................................................................................................... |
5 |
|
1.3. Составсистемы .................................................................................................... |
5 |
|
1.4. Возможности......................................................................................................... |
6 |
|
1.5. Общиепринципыработсистемызащиты ..................................................... |
10 |
|
1.6. Пользователисистемызащиты ........................................................................ |
10 |
2. |
ОПИСАНИЕЗАДАЧИ ............................................................................................ |
12 |
|
2.1. Подсистемавходов ............................................................................................ |
12 |
|
2.2. Механизмыуправлениядоступом .................................................................... |
13 |
|
2.3. Мехзаобъектовщитынизмы ........................................................................... |
16 |
|
2.4. Компонентыцентрализованногоуправления .................................................. |
18 |
3. ВХОДНЫЕИВЫХОДДАННЫЕ .................................................................. |
21 |
|
|
3.1. Входдасистнныезащитымы ................................................................... |
21 |
|
3.2. Выходдансистныезащитымы ................................................................. |
21 |
3
Термины сокращения
Термины« |
компьютер»,ПК»,рабочая« «станция» |
считаютсяэквивалентными,используются |
текстеруковод |
ства. |
|
Доменбезопасности - органедполитикизациянойбезопасностисовокупностьюСервера безопасноиклиентрабочс,анцийработающихтик подуправлениемСБ.
Загрузчик - модульдовереннойзагрузки,отрабатываетмеждувключениемПКдоначала загрузкиОС.
Замкнутаммнаяпрогсреда |
|
– ЗПС - режимработызащищенногоПК,прикоторомдля |
|
|
|
конкретныхпользователейопределяетсясписокдостудляработыныхрограмм. |
|
|
|
|
|
Клиент - компьютер,защищенный |
Dallas Lock,входящийсоставДоменабезопасности. |
|
|
||
Криптопровайдер |
- модуль,позволяющийосуществлятькриптографоперациические |
|
|
|
|
(шифров)операционныхсистние. мах |
|
|
|
|
|
Параметрыбезопасности |
- |
илиполитикибезопасности |
- совокупностьправил |
пообеспечению |
|
безопасностиинформации |
, выраженныенастраиваемыкатегориями |
исистемызащиты. |
|
||
Суперадминистратор - пользователь,подучетнойзаписьюкотороговыполненаустановка |
|
|
|
||
системызащиты. |
|
|
|
|
|
Сокращение |
|
Полнаяформулировка |
|
|
|
ДБ |
Доменбезопасности |
|
|
|
|
КСБ |
Консольсерверабезопасности |
|
|
|
|
ЛВС |
Локальнаявычислительнаясеть |
|
|
|
|
ЛБ |
Лесбезопас |
ности |
|
|
|
МСБ |
Менеджерсерверовбезопасности |
|
|
|
|
OC |
Операционнаясистема |
|
|
|
|
ПК |
Перскомпьютернальный |
|
|
|
|
ПЗУ |
Постоянноезапоминающееустройство, |
энергонезависимаяпамять |
, |
||
|
исподхранльзуямасснемаянизмедванняемых |
|
|
|
|
СБ |
Сервербезопасности |
|
|
|
|
СЗИ НСД |
Системазащитыинформацииотнесанкц онированног |
|
одоступа |
|
|
ФС |
Файловаясистема |
|
|
|
|
ЭЦП |
Электронно – цифроваяподпись |
|
|
|
|
DL |
Dallas Lock |
|
|
|
|
BIOS |
Представляетсобойнаборзаписанныхмикроб(разующихограмм |
|
|
|
|
|
системноепрограммноеобесп), чениеспечивающих |
|
начзальнуюгрузку |
|
|
|
компьютера ипоследзапускоперющий |
ационнойсистемы |
|
|
|
4
1.НАЗНАЧЕНСИСТЕМЫЗАЩ ТЫ
1.1.Общееописаниесистемы
Системазащитыинформацииотнесанкцдоступа«онированного |
Dallas Lock» (далеепотексту |
– |
|
системазащиты,СЗИНСДили |
Dallas |
Lock) предназначенапредотврляполучениящения |
|
защищаемой нформацзаинтересованл ц рушемиустанориовленныхием |
|
|
|
правил иобладателямиинформацииснарушеустаправиловленныхиемразграничения |
|
|
|
доступакзащищаемойинформации. |
|
|
|
Dallas Lock представляетсобойпрограммныйкомплекссредствзащитыинфор |
мациивОС |
|
|
семействаWindows |
свозмпожностьюдключаппаратныхиден.иятификаторов |
|
|
СЗИ НСД Dallas Lock обеспечиваетзащитуинформацииотнесанкцдоступанаПКонированного |
|
||
ЛВСчерезлокальный,сеитеворминальныйвходы.Такжеобеспечиваетразграничен |
|
ие |
|
полномочийпользователей |
доступукфайловойсистемедругимресурсамкомпьютера. |
|
|
Разграничениякасаютсявсехпользователей |
– локальн,сетев,дом,тыерминальныхнных. |
|
|
1.2. Регулирование |
|
|
|
Системаразрноснованиибследующихтана |
|
руководящих документов: |
|
-Руководящийдокумент «Средсвычислительнойтехникива.Защот та несанкцдоступакионировнформ.Покзазателищцнногоотщенности
несанкцдоступакионировнформ»Гостехком( Россииации,нного ссия |
1992); |
- РуководящийдокументЗащи« отнесанкциониров |
анногодоступакинформации.Часть |
1Программное. обеспсредствзащитычениеинформации.Класс |
ификацияпоуровню |
контроляедекларированныхвозможностей |
(ГостехкомРоссии, 1999);ссия |
- ПриказФСТЭКРоссииот05№.0258Обутвержд.2010«положенметониия |
дахи |
способахзащитыинформациив системанныхперсдон»;альных |
|
-Руковдокументдящий «Автоматизированныесистемы.Защитаотнесанкционированного
|
доступакинформации.Классификацияавтоматизированных |
истемитребованияпо |
||
|
защитеинформац |
ии» (ГостехкомРоссии, 1992)ссия. |
|
|
ИспользованиеСЗИНСД |
Dallas Lock |
впроектахпозащитеинформациизволяетпривести |
|
|
автоматизированныесисоотемы законодательствабованиямтствиРоссийской |
|
|
||
Федерации. |
|
|
|
|
СЗИ НСД Dallas Lock |
можетбытьиспользован |
априсозданииавтоматизированных |
системдо |
|
класса1 |
Б1 включительно (для защиты государственной тайны категории «совершсекр» етнно |
) |
||
идлязащитыинформациив системанныхперсдональных |
до1 |
уровня 2 |
||
включительно. |
|
|
|
|
СЗИ НСД Dallas Lock |
служитдлязащитыотнесанкцдоступаирасконирытияованного |
|
||
инфоограниченногомациидоступауровнясоверш« секр». етнно
1.3. Составсистемы
Системазащиты Dallas Lock состоит изследующихоснкомпонентоввных:
1. |
Драйверзащиты. |
Являетсяядромсистемызащиты |
ивыполняетосновныефункции |
СЗИ НСД. |
|
|
|
Драйзащитыавтоматическиерзапускаетсяназащищаемомкомпьютереприеговключ нии |
|
|
|
функционинапротяжвсеговремениуетаботынии.Драйверосущеступравлениеяет |
|
|
|
подсистемамодулясистемызащобеспечиты |
|
ваетихвзаимодействие.Драйверзащиты |
|
выполняетследфу:нкцющиие |
|
|
|
1 РуководящийдокументАвтоматизированные« системы.Защитаотнесанкционированногодоступа |
|
||
информацииКлассификацияавтомасисттризированныхепомбованиязащитеинформации»Го( |
|
стехкомРосс, иссия |
|
1992). |
|
|
|
2 ПостановлПравительстваРФот01ниег.№.11Об.119утве2012Тр«жденебованийкзащ те |
|
||
персодапринихальныхобработкевинформацисистеманныхперсдон».альных
5
• |
обеспечивает мандатныйи |
дискрецрежимонный |
ы контролядоступаобъектам |
|
файловойсистемы; |
|
|
• обеспечивпараметрамдоступкжурн, апользовлами телейтрам |
|
|
|
|
СЗИ НСД всоотве тствиип |
равамипользователей; |
|
• |
обеспечиваработумеханизмаделполномочийтгирования; |
|
|
• |
обеспечиваетпроверкуцелостности |
СЗИ НСД,объектов файловойсистемы |
|
|
компьютера; |
|
|
•драйверосуществляетполнуюпроверкуправомочностикорректности администрирования СЗИ НСД.
Сдрайзащитывзаиеромследующиеодействуютзащитныеподсис: емы
2. Подсистемауправлениядоступом. |
Включаетвсебя |
: |
•подсиствходов.Обеидспмуеаутентификациючиваетлокальных, дом,терминальудаленныхпользователейнэтапеххода операцси;оннуюстему
•подсистемуаппаратнойидентифик.Осуществляетработуциизлчными типамиаппаратныхидентификаторов;
• |
подсистемудискреционногодоступа |
|
; |
|
|
|
|
|
||
• |
подсистему мандадос. тногоупа |
|
|
|
|
|
|
|
||
3. Подсистемарег учетстр. ции |
Включает: |
|
|
|
|
|
||||
• подсистаудита.Обеспму |
ечиваведениет |
аудитахранениеформации |
|
6-ти |
||||||
|
категорийсобытий |
вжурналах |
; |
|
|
|
|
|
|
|
• |
подсистему очисткиостаточнойинформации. |
|
|
|
|
|
|
|||
4. Подсистема контроля целостности. |
Обеспечивцелостностьпрограммд ,нныхет |
|
|
|
||||||
периодическоетестирование |
|
СЗИ НСД,наличиесредвоссттв |
|
|
ановления |
СЗИ НСД, |
||||
контрольцелостностипрограммно |
|
-аппаратнойсреды. |
|
|
|
|
|
|||
5. Модульдовереннойзагрузки |
|
. Являетсяопционныммодулем,включаетсяпо |
|
|
|
|||||
командеадмиможнистраторабытьактивире .Актимодульвныйанным |
|
|
|
|
|
трабатывает |
||||
доначалазагрузкиОС.Обеспечива |
|
|
етначальную |
|
авторизацию,запускподсистемы |
|||||
прозреобразованияачного. |
|
|
|
|
|
|
|
|
||
6. Подсистемавнедренияинтерфейс |
|
windowsпроводник»)Обеспечиваетexplorer. (« |
|
|
||||||
отображениепунктов |
|
вконтмобъектовкстномню |
|
|
, |
необходимыхдля |
назначениеправ |
|||
доступакобъектамФС,вы |
|
зова функции принудзачисткиобъектовтельнойФС,создания |
|
|
|
|||||
кодированныхфайлов |
|
-контейнеров. |
|
|
|
|
|
|
|
|
7. Подсистемалокальногоадминистрирования. |
|
|
|
Обеспечиваетвсевозмпожности |
|
|
||||
управлению СЗИ НСД,аудитунастройке |
|
СЗИ НСД,просм,фильтрацииотручистке |
|
|
||||||
журналов. |
|
|
|
|
|
|
|
|
|
|
8. Подсистеудаленногоадминистрирования. |
|
|
|
Позволяетвыполнятьнастройку |
|
|
||||
системызащитыудалённого |
|
компьютера. |
|
|
|
|
|
|
||
9. Подсистемапреобразованияинформации. |
|
|
|
Обеспечиваеткод рование |
|
|
||||
декодированиеданныхфайлах |
|
-контейнерах. |
|
|
|
|
|
|||
10. Подсиспечати. ема |
|
Обеспечивает |
разграничениедоступакпечати,добавление |
|
|
|||||
штампанадокументы,сохранение |
|
|
ихтеневыхкопий,регистрациюсобытийпечатив |
|
|
|
|
|||
подсистемеаудита |
. |
|
|
|
|
|
|
|
|
|
11. Подсистпрозреобразованияачногомадисков |
|
|
|
. |
Позволяетосуществить |
|||||
преобразовинформ,хра локальныхящниециидийся |
|
|
|
|
сках,что |
предоступтвращает |
||||
кданным,расположеннымнажёсткихдисках,вобСЗИод |
|
|
|
|
|
НСД Dallas Lock 8.0. |
|
|||
12. Подсистемацентрализованногоуправления. |
|
|
|
Включаетвсебяосновные |
|
|
||||
компоненты: |
|
|
|
|
|
|
|
|
|
|
• модульСервер« безопасности»Позволяет. объединятьзащищенныекомпьют р |
|
|
|
|
|
|
ыв |
|||
|
доменбезопасностидляцентралуправления; зованного |
|
|
|
|
|
|
|
||
• модульМенеджер« серверовбезопасности»Позволяет. объединитьнесколько |
|
|
|
|
|
|
|
|||
|
СерверовбезопасностиединуюлогическуюединицуЛес«безопасности»С. |
|
|
|
|
|
|
|
||
|
помощьюэтогомодулястанв зможнымвитьсяцентрализова |
|
|
|
|
нныйсборжу налов |
||||
|
совсехСерверовбезопасносиприменениеполит. к |
|
|
|
|
|
|
|
||
1.4. Возможности |
|
|
|
|
|
|
|
|||
Системазащитыинформации |
|
Dallas Lock предоставляетследующиевозможности: |
|
|
|
|
||||
1. Всоответствиисвоимназначен,системазащ емты |
|
|
|
|
Dallas |
Lock |
запрещает |
|||
постороннимлицамдоступ |
|
|
кресурсамПКипозволяетразгправапользователейничитьпри |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
6 |
рабнакомтеп(осторданномееьютерелиц,в ко т ксте |
|
– челов,неимсвоейющийк |
|
учетнойзаписинаданномкомпьютере)Разграничения. касаютсяправдоступаобъектам |
|
||
файловойсистемы,до |
ступа ксети,сменнымнако, питпаратныме.сурсаДлялямоблегчения |
||
администрировозможнообъединениепользователейгруппыания.Контролируютсяправа |
|
||
доступалокя,домльных,сеитнныхевыхрминальныхпользователей. |
|
||
2. Дляпредотвращенияутечкиинф |
ормациисиспользованисменныхнакопителейм |
||
(такихкакCD |
-диск, USB |
-Flash-диск,внешнийжесткийд прочиеск)системапозволяет |
|
разграничивдоступ,какотдельнымтипамнакопителть,такконкрэкземплярам.йтным |
|
||
3. Система Dallas |
Lock позволяеткаче |
ствесропозндствапользователейвания |
|
системыиспоэлектронныеьзоваиден: ификаторыь |
|
|
|
•USB-флэш-накопители;
•элеключитронныеTouch Memory (iButton);
•USB-ключи Aladdin eToken Pro/Java;
•смарт-карты Aladdin eToken Pro/SC;
•USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП.
Примечание.Аппаратнаяиде являетсятификацияобязательной.
4. Длярешенияпроблемыпрост« паролей»системаимеетхгибкиенастройкиложности паролей.Можнозадатьминимдлипароля,нльнуюеобходимостьобязнательноговличия паролецифр,сп ециальныхсимволов,строчныхпрописныхбукв,степеньотличияновогопар ля отстаиродействияго.кКро,длмегосозданияпарол,соответствующегосем устанонастройкавсистеленнымреализовмеханизмгенерациип .ролей
5. |
Включениеособогомоду |
лядовереннзагрузкипозвавторизоватьйляетпользователя |
|
||
привхонаПКдозагрузкиеОС.Загрузкаоперационнсисжесткмыдискаогой |
|
|
|
||
осущесттолькопосввоособогояетсядаPin |
|
|
-кодазагрузчикаегопроверкиСЗИ |
НСД. |
|
6. |
Возможноограничениекругадо |
студляпользованыхобъекфайловойсистемыеля |
|
||
(дисков,папокфайловподFATиNTFS)Примеполнос. независимыйяеОСтмеханизмсяью. |
|
|
|
||
Используютконтролядвапринципадо:ступа |
|
|
|
|
|
• |
мандатный - каждомупользователюприсваиваетсяуровеньдоступанекот |
|
орым |
||
объектамфайлсистемытожеприсваиваетвойуровеньдоступапо(умолчанию,всея |
|
|
|||
объектыимеютуровеньдос«тупакрытныеда»,нонможетбытьподнятдолюбого |
|
|
|||
уровняиз7 |
-мидоступных)Пользователь. будетиметьдосткобъектам,упровеньдоступа |
|
|
||
котонепревышаетыхегос бственный. |
|
|
|
||
• |
дискреционный - обеспечиваетдоступкзащищаемымобъекаталогамдиска( , , |
|
|||
файлам)всоответспискампользователейтвиигру( )ихправамидоступаматрица( |
|
|
|||
доступа)В.соответствспискасодержвычисляюмым |
|
|
тсяпрнадоступвакобъекту |
||
длякаждогопользователя |
(чтение,запись,выполнениепрочие |
). |
|||
7. |
ВСЗИ |
НСД Dallas |
Lock реализованасистемаконтроляцелостносп раметиров |
|
|
компьютера.Онаобеспечивает: |
|
|
|
|
|
• |
контрольцелостностипрограммно |
-аппаратнойсредыпризагру |
зкомпьютера; |
||
• |
контрольцелостностифайловпризагрузкекомпьютера; |
|
|
||
• |
контрольцелостностиресурсовфайловсистемыпрограммной |
|
-аппаратнойсредыпо |
||
расписанию; |
|
|
|
||
• |
контрольцелостностиресурсовфайловсистемыпрограммной |
|
-аппаратнойсреды |
||
череззаданныеинт |
ервалывременипери( контрольдический); |
|
|
||
• |
блокировку входаОС |
компьютерапривыявлизменииений |
; |
||
• |
контрольцелостностифайловпридоступе. |
|
|
|
|
Дляконтроляцелостностииспользконтрольныеу,вычисленныеммыютсяпоодномуиз |
|
|
|||
алгоритмовнавыбор: |
CRC32, MD5,Г ОСТР34.11 |
-94. |
|
||
8. |
СЗИ НСД Dallas Lock включаетподсиочистаточнойинфемуки,к рмацииторая |
|
|||
гарантируетпредотврвосстановлудаленныхяще.Спиеполитикиц альные |
|
|
|
||
определяютколичесцикловзач: или1,сткипрои3,2 лизачисткаводитьсядля |
|
|
всехили |
||
толькоконфидедан.Зачндциальныхиспространстваковоготкапроизвлибпо дится |
|
|
|
||
командепользоавтоматля,либов реж.Подсистемаимпозвческ: ляет |
|
|
|
||
•очищатьфайлподкачкивиртуальнойпамяти;
•очищатьосвобождаемоедискпр ;воестранство
•принудзачопределённыеительнощатьфайлыипапки,исп льзуяответствующий
7
пунктвконтмепроводникакстномню(windows explorer); |
|
|
|
• предотвращатьвх льзователябезперезагрузки. |
|
|
|
9. ВсистемереализованафункцЗач«дис,коякаткаорая |
|
позволяетполность |
ю |
зачищостаточныеданныевсеготьискаеголир .зделовЭтомбытьжетполезноприснятии |
|
|
|
носучетаитнеобхолейполногоудалеимданбезвозмнстиияыхвосстановленияхжности |
|
|
|
поостаточнойинформации. |
|
|
|
10. ВСЗИ НСД Dallas Lock |
реализовановедениеэ6 |
лектрожур,вкоторыхналовных |
|
фиксируютсядействияпользователей: |
|
|
|
• журналвходов.В заносятсявсеалвходыили(попыткивходовсуказанием |
|
|
|
причиныотказа)выходыпользователей |
|
ПК,включкаклокальные,такисетевыея,том |
|
числетерминальныевходы |
входляудаленногоыадминистрирования; |
|
|
•журналдоступакресурсам.Вжурзаносятсяобращенияалкобъектамфайловой системы,длякоторыхназначенаудит.Можногибконастраиватьдлякаждогообъекта, какиесобытиянужзановжур,ситьакакиен;алет
•журналзапроцессовуска.Вжурзаналсятсязапускабытиязавершения процессов;
•журналуправлполитикамибениязопас.Вжурзанвалособытияе,ятся
связанныеизмеконфенСЗИигурациием |
НСД.Таквэтотжурезансалосятсябытия |
запуска/завершения |
модулейадминистрированиясобытиязапуска/завершенияботы |
Dallas Lock; |
|
• |
журналуправленияучетнымизаписями.Вжурзаносятсявалобытияесвязанные |
|
созданиемилиудалениемпользоват,изменихпараметров;нилейм |
|
|
• |
журналпечати.В заносятсявал |
сесобытия,связраспечаткойнныедокументов |
налокальныхилисетевыхпринтерах. |
|
|
Дляоблегченияработысжурналамиестьвозможностьфильтрациизаписей определенномуиэкспортированиязнакужуразнафличные.Прирматыпер полнении журнала,т акжепокомандеадминист,егодеархатжимоепомещаетсявируетсяра специальнуюпап,доступккоторойесть,втомчисле,череуздаленногоства администриро.Этимобеспечиванепрвеаниярывжурде.нитсяаловость
11. Подсистемаперехватасобыт ийпечатипозволяетнакаждомраспечатанномданного компьютерадокументедобавлятьшт,сохранятьмптеневыекопиираспечатываемыхдокументов, атакжеразграничиватьдоступпользователейкпечати.
12. Длязащитыданныхприхраинавнешнииосителяхли |
боприпередачепо |
|
||
различнымканаласвязиестьвозможностьпреобразованияданныхфайл |
-контейнер.В |
|||
качествеключапреобразованияиспользуетсяпаржеланиюпользователя,аппаратный |
|
|
||
идентифи.Распатакойконоватьрможейналюбомнкермпьюте |
ре,защищенном |
Dallas |
||
Lock (или Dallas |
Lock |
приотсутствииметкиконфиденциальн)приусловиивводаверногости |
|
|
пароинааппаратноголичиияидентификатора,используемыхприпреобраз.Возможновании |
|
|
||
использвстралгорваенпрениоГОСТтмаегобразования28 |
147-89,либоподключение |
|
||
внешнегокриптопровайдера,например,сертифицированногоКриптоПро« ». |
|
|
||
13. ПрииспользнескзащищенныхованлькСЗИих |
НСД Dallas Lock компьютеровЛВС |
|
||
возможноудадминистрированиеленное.Среу ствамиаленногоадминистрирования |
|
|
||
осуществляетсяизменполитбезопасностие,созданредактированиеик, удаление |
|
|
||
пользователей,назначениеправдоступакобъф ктамсистемыйловой,просмотржурналов |
|
, |
||
управлениеаудитомконтролемцелостно.Процессудаленногоадминистрированияти |
|
|
||
визуально неотличается |
тлокальногоадминистрирования. |
|
||
14. ПрииспользнескзащищенныхованлькСЗИих |
НСД Dallas Lock компьютеровЛВС |
|
||
возможноцентрализованноеуправленими.Этоосущиспользованиемствяется |
|
|
||
специальногомодуля |
– «Сервербезопасности |
Dallas Lock»Эт.модолжентдульбытьустановлен |
|
|
наотдельныйкомпьютер,за |
|
щищенныйСЗИ |
НСД Dallas Lockkk bwtb.Остальныекомпьютеры, |
|
введеподкоданногоныетрольС безопрвера,стегоклиентнутсностибрдоазуютмиен |
|
|
||
безопасности.Сервера сности |
|
етвозможнымцентрализованноеуправление |
|
|
политикамибезопа,просостоянияностимо,ав роматическийсборжу, налов |
|
|
||
соз/уда/редактированиелениепараметпольз угиевателейппонастройкерации |
|
|
||
управлениюклиентами.Кро,смегомощьюдул |
|
яМенеджер« серверовбезопасности |
Dallas |
|
Lock»естьвозможностьобъединитьнесколькоСерверовбезопасностиЛесбезопасностиЛБ(). |
|
|
||
15. Всистемезащитыреализованохр ненвторизнформациив ционнойппаратном |
|
|
||
идентификаторе.Определенныенастройкиприназ |
|
наченииидентификаторавпрофилеучетной |
|
|
|
|
|
|
8 |
записиделаютвозмвхпождльзователянзащищенныйымкомпьютертолькопоодному |
|
|
|
||
предъявлениюидентификатора.Сохранениеинфв рмзиливзожноциищищённойпамяти |
|
|
|||
идентификатора,иливоткрытой.Вслучаееслиин |
|
|
формациясохраненавзащищённойпамяти, |
|
|
должензапрашиватьсяPin |
-код. |
|
|
||
16 |
. Возможновключениемеханизкомпьютераблокир вкильзовпри ателей |
|
|
||
отключенназначенногоаппаратнидентификатора. го |
|
|
|
|
|
17 |
. СистемапозволяетнастраиватьЗамкнутую« прог »аммнуюЗПСеду)( |
|
,режим,в |
||
котпоромльзовательможетзапускатьтолькопрограммы,определенныеминистратором. |
|
|
|||
18 |
. Дляудобстваиоблегчениянастройтакихвозможностей,какЗамкнути« программная |
|
|
||
среда»иМанда« дос»,уществуетупный: |
|
|
|
|
|
• |
«мягкийрежим» |
|
– режим,вкотором, |
приобращениикресурсу,достккоторомуп |
|
запрещён,доступвсёравразрешае,новжурндосатлнсоупаяситсяобщение |
|
|
|||
ошибке; |
|
|
|
|
|
• |
«режимобучения» |
|
- вэтомрежиме,приобращениикресурсу,достккоторомуп |
|
|
запрещён,наэтотресурсавтоматиназначески |
аютсявыбранныеадминистраторомправа. |
||||
19 |
. Дляудобстваработы,такжедополнениеЗПСвсистемереализовавозможнаость |
|
|
||
использованиявместостандартнграфическойоболочкип льзователяWindowsспециальной |
|
|
|||
защищеннойоболочкиDallasпрограммы,котLock, |
|
|
ораяотвечаетзасозданиерабочстола, го |
|
|
наличиенемярлыковпрогр,панелиз мдаченюПускм«». |
|
|
|
|
|
20 |
. СЗИ НСД Dallas |
|
Lock содержподссамодиагстемуосновфункционалаостикиого |
|
|
СЗИ НСДтестирование( ). |
|
|
|
|
|
21 |
. Дляудобстваадминист,возерированиямыожно |
данрасширенийсписка |
|||
файл,работаскоторымивбудетблок.Этопорованазапретитьволяетсот аботуудникамс |
|
|
|||
файлами,неимеющимиотношениякихпрофессиообязанностям(mp3,и.д.альным). avi |
|
|
|||
22 |
. ДляпроверкисоотвенасСЗИтствияроек |
|
НСДестьвозможнос |
тьсозданияотчетапо |
|
назначеправамиконфигурацнаобъектыымфайлсистемыямтчетавспискомй |
|
|
|||
установленногоПО:Паспорта« ПО». |
|
|
|
|
|
23 |
. Предусматриваетсявед зервныхниекопийпрог защитыаммныхедств |
|
|
||
информации,ихпериодическобновлениеконтр |
|
|
льработоспос.Атакжевозможностьбности |
|
|
возвратакнастройкампоумолчанию. |
|
|
|
|
|
24 |
. Принеобходимостипереносанастроек |
|
Dallas Lock (политики,пользователи,группы, |
||
правадоступакресурсамФСи..на)другиекомпьютеры,либодляс хранениянастроекпри |
|
|
|||
переустановкеси,существуетвозможнмысоздфайлаконфигниясть,котобурдетыйации |
|
|
|||
содержатьвыбранныеадминистрапараме.Файлыконфитморыоромбытьгупримененырации |
|
|
|||
либовпроцессеустановкиСЗИ |
|
НСД,либонаужезащищенныйсистемойПК. |
|
||
25 |
. Выборзначения |
|
«Числоразре»ансовшенныхпозволяосуществлятьпроверкупри |
|
|
входепольз,сквонасльковамтелявсетментящинтерактивныхсессийдляданного |
|
|
|||
пользователя,есличислобольшеразр шенного |
|
|
– доступзапрещается. |
|
|
9
1.5. Общпринципые |
работысистемызащиты |
|
|
||
Системазащиты |
Dallas Lock обеспечивает многоуровневуюзащитулокальныхресурсов |
|
|
||
компьютера,какввидеавтономрабочейста,такинвсоставеойции |
|
локальнойвычислительной |
|||
сети. |
|
|
|
|
|
Основпризащитнбезопаципыыеинформациисвязаныностинедопустимостью |
|
искапотери |
|||
илиискаженияинформациинесанкционировнепреднамереннымивоздействиями |
|
|
|||
ресурсыавтоматизинформационнойс рованнойпрсте.мыОнидподразумеваютриятия: |
|
|
|||
|
• |
защитуотнесанкцивходанакомпьютернирзащиту( входу);ванного |
|
|
|
|
• разграничениедоступакресурсам. |
|
|
||
Защитаотнесанкционированноговхода |
преднзляакомпьютеращитызначенаот |
|
посторонних |
||
пользователей. |
|
|
|
|
|
Действиезащитыповходусводитсякпроверкеполномочийпользователянавходприпопытк |
|
|
е |
||
загрузкиоперационнойсистемыпопытке |
войти операционную систему. |
ПосвклПКючения |
|||
загрузкаОСосущеповернособогоствляетсялеввода |
Pin-кодамодулядовереннойзагрузки. |
||||
Данныймодульявляетсяопцимобытьнжактивизныме адми.Пниросванлетратором |
|
|
|||
вернойавтоп оисходитизации |
загрузкаоперсистемы.ПослеционнойзагрузкиОСпроисходит |
|
|
||
авторизацияпользователя. |
Припроаверкеториздананыхполциочиянаомочийных |
|
|
||
загрузку ПК,пользовполучапрнавхтсистемуольдтможетработатьстемиресурсами |
|
|
|||
компьютераилис |
ети,доступккотодлянегорымазрешен.Приотсутствиитребуемых |
|
|
||
полномочийвходси |
стемупользователюзапрещается. |
|
|
||
Разграничениедоступакресурсампредназначдоступомуправлляк есурсамфайловойния |
|
|
|||
системызарегистрированныпользователя.С ми |
омощьюсредствразграничениядоступадля |
|
|||
каждогопользоватеустанавопределенныеправаиваютсядоступак ресурсам. ленным |
|
|
|||
Пользоватеразрешаетсяиспоресурсылфайльзоватолькоюсис вемыой |
|
|
рамках, |
||
установленныхдлянегоправ.Приотсутствии |
ковыхдоступкресурсузапрещается. |
|
|
||
Призагрузкекомпьютосуществляидентификациярааут пользователянтификациятся.Также |
|
|
|||
выполняетпроверкацелостностиконтроляобъектовсредствамируемыхмехаконтроляизма |
|
|
|||
цело.Втомслучаетности,еслиимяпользов |
ателяипарольуказаверныо |
|
,предъявленверный |
||
аппаратныйидентификатор |
ицелостностьконтролируемыхобънарушенактов,загрузка |
|
|
||
компьютерапродолжается.Инз компьютерагрузкачепрерывается. |
|
|
|
||
Впроцессеработытекущегопользсресурсамикомпьютвателя |
|
ерадрайверзащиты |
|||
контролидоступпользователякресурсамует.Еслипресвоиправаательышаетдоступа |
|
|
|||
кресурсу,егодействияограничивспособом,заданнымютсяраметраработысистемиы |
|
|
|
||
защиты.Такжесредствамимеханрегсобытийстрациизмаосуще |
|
ствляетсярегистрация |
|||
соответжурналахствующихехобытий,связанныхбезопасноссистемыработойью |
|
|
|
||
пользователянакомпьютере. |
|
|
|
||
Всистеме |
Dallas Lock каждомузарегистрированномупользовназнсоответствующиетелючаютя |
|
|
||
прнадоступвакресурсамфай |
|
ловойсистемыполнонаадмочинсистя емырирование |
|
|
|
защиты. |
|
|
|
|
|
Всиствссуществуетгдаме |
пользователь,условноназываемый |
|
суперадминистратор. |
||
Суперавтомдминистрапользовательновитсятически,ус орсистемуанзащитывивший |
|
|
|||
Dallas |
Lock.Суперадмин |
истратор обладаетвсемиполномочиниямистрирования |
|
|
|
(управлен)системызащвсемиправамитыяподоступукресурсам,причемэтиправа |
|
|
|
||
полномочвдальнейшневозизмя.Супеожнонитьмрегистрируадмв нистраторстеме |
|
|
|||
защитыдругихпользователей. |
Приэтомонможетделегироватьзарегистрированному |
|
|
||
пользовавсеиличастьсвоихп елю |
|
олнаадминистрированиеомочий. |
|
|
|
1.6. Пользователисистемызащиты |
|
|
|||
Всистеме Dallas Lock каждому зарегистрированномупользовназнсоответствующиетелючаютя |
|
|
|||
прнадоступвакр |
есурфайловойсамистемыполнонаадмочинсистя емырирование |
|
|
||
защиты. |
Одинпользовательможетбытьзарегистрированнанескольких |
ПК сра знымиправами |
|||
полномочиями (приусловии, |
что ПК не объединены вДБ) . |
|
|
||
|
|
|
|
|
10 |