Файловый архив студентов. Файловый архив студентов.
1260 вузов, 4603 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уфимский Государственный Авиационный Технический Университет
Предмет:
Защита информации
Файл:
Secret Net 2000 Local / Secret Net 2000 - Admin Guide / Secret Net 2000 - Admin Guide.pdf
Скачиваний:
95
Добавлен:
02.05.2014
Размер:
4.7 Mб
Скачать
►Содержание►

Secret Net 2000. Автономный вариант. Руководство по администрированию

Механизмы разграничения доступа

Для организации эффективной совместной работы пользователей и обеспечения надежной защиты ресурсов компьютера от несанкционированного доступа (НСД) в системе Secret Net 2000 используются механизмы управления доступом:

Механизм избирательного управления доступом.

Механизм полномочного управления доступом.

Механизм замкнутой программной среды.

В Secret Net 2000 защищаемыми ресурсами являются:

Ресурсы файловой системы: локальные логические диски и размещающиеся на них каталоги и файлы.

Аппаратные ресурсы: локальные принтеры, коммуникационные порты, физические диски, дисководы, приводы CD-ROM.

Ресурсы операционной системы: системные файлы, ключи системного реестра, системное время, диалоги настройки параметров системы.

Механизм избирательного управления доступом

Система защиты Secret Net 2000 использует для избирательного (дискреционного) управления доступом стандартный механизм Windows 2000, дополненный средствами разграничения доступа к дискам и портам. Подробные сведения о настройке механизма избирательного управления доступом содержатся в документации, входящей в комплект поставки ОС Windows 2000.

Механизм полномочного управления доступом

Механизм полномочного управления доступом предназначен для разграничения доступа пользователей к ресурсам компьютера на основании полномочного (мандатного) принципа разграничения доступа, а также для контроля потоков конфиденциальной информации в системе.

Механизм замкнутой программной среды

Механизм замкнутой программной среды позволяет ограничить доступ пользователей к исполняемым файлам списком тех программ, которые действительно необходимы им для выполнения своих служебных обязанностей.

Полномочное управление доступом

При организации полномочного управления доступом для каждого пользователя компьютера устанавливается определенный уровень допуска к конфиденциальной информации. Каталогам и файлам, находящимся на дисках компьютера с файловой системой NTFS, присваивается категория конфиденциальности.

При попытке доступа пользователя (программы, запущенной пользователем) к конфиденциальному ресурсу сопоставляется категория конфиденциальности ресурса и уровень допуска пользователя к конфиденциальной информации. Если пользователь не превышает свой уровень допуска, доступ к конфиденциальному ресурсу разрешается, иначе доступ блокируется.

Управление режимом работы

Описываемая ниже процедура позволяет включить на компьютере механизм полномочного доступа и настроить его параметры.

82

Глава 7. Настройка механизмов управления доступом и защиты ресурсов

Для выбора режима полномочного управления доступом:

1. Откройтеокнонастройкиобщихпараметровиперейдитекдиалогу"Дополнительно":

Установите отметку в этом поле, чтобы включить режим полномочного

управления доступом

Укажите параметры работы механизма полномочного управления доступом

Рис. 33. Диалог "Дополнительно"

2.Установите отметку в поле выключателя "Полномочное управление доступом" для включения этого механизма. После этого другие поля, относящиеся к полномочному управлению, будут доступны для редактирования. Укажите параметры работы механизма полномочного управления доступом:

Контроль потоков данных. Установите отметку в этом поле, если необходимо включить режим контроля потоков конфиденциальной информации.

Пояснение. Любым приложениям запрещается копировать (сохранять) файлы в каталоги более низкой категории конфиденциальности, чем у исходного файла. Сохраняемому файлу автоматически присваивается категория конфиденциальности файла-источника.

Контроль буфера обмена. Установите отметку в этом поле, если требуется контролировать передачу конфиденциальной информации через буфер обмена (Clipboard) из одного приложения в другое. Поле доступно, если включен контроль потоков данных.

Пояснение. Неконфиденциальному файлу, в который копируется конфиденциальная информация через буфер обмена, автоматически присваивается категория конфиденциальности этой информации. Этот файл нельзя сохранить в каталоге более низкой категории.

Запрет доступа при невозможности получить уровень допуска пользо-

вателя. Отметьте это поле, если требуется контролировать доступ удаленных пользователей к компьютеру.

Пояснение. Пользователю, зарегистрированному в БД Secret Net NT, разрешается подключаться к компьютеру по сети и работать с ресурсами компьютера. Незарегистрированному пользователю запрещается удаленный доступ к ресурсам компьютера.

Контроль печати. Если установить отметку в этом поле, то для печати конфиденциальных документов будет разрешено использовать только редактор MS Word (версии 8.0 и выше). И только в этом случае при печати конфиден-

83

Secret Net 2000. Автономный вариант. Руководство по администрированию

циальных документов из MS Word в документ будет добавляться гриф конфиденциальности, а факт печати будет регистрироваться системой защиты.

3. Завершив настройку, нажмите кнопку "OK" или "Применить".

Временное отключение. Для отключения полномочного управления достаточно убрать отметку из поля "Полномочное управление доступом". При этом все остальные настройки механизма останутся без изменений. Для повторного включения механизма достаточно вновь установить отметку в этом поле. После включения или отключения механизма требуется перезагрузить компьютер.

Управление уровнем допуска пользователя

Уровень допуска к конфиденциальной информации устанавливается для каждого пользователя индивидуально. Перед тем как приступить к настройке убедитесь, что на компьютере включен механизм полномочного управления доступом.

Для управления уровнем допуска пользователя:

1. В программе "Проводник" выберите интересующего вас пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Доступ":

Выберите уровень допуска пользователя к конфиденциальной информации

Установите отметку в этом поле, чтобы разрешить вывод конфиденциальной информации на дискеты

Рис. 34. Диалог "Доступ"

2.Установите необходимые значения параметров:

В поле "Уровень допуска" выберите уровень допуска пользователя к конфиденциальным данным, который может принимать следующие значения:

Уровень допуска:

Права доступа:

Отсутствует

Нет доступа к конфиденциальной информации

Конфиденциальный

Имеется доступ к файлам с категорией "конфиденциальные"

Строго

Имеется доступ к файлам с категорией "конфиденциальные"

конфиденциальный

и "строго конфиденциальные"

Установите отметку в поле "Вывод конфиденциальной информации на дискеты", если необходимо разрешить пользователю сохранять конфиденциальные документы на сменных носителях.

84

Глава 7. Настройка механизмов управления доступом и защиты ресурсов

Пояснение. При предоставлении этой возможности пользователь также сможет сохранять конфиденциальные документы в неконфиденциальные каталоги, даже если включен режим контроля потоков данных (см. стр. 82). Однако при выполнении таких операций в журнале безопасностивсегдарегистрируетсясобытие"Выводконфиденциальнойинформации".

3. Нажмите кнопку "OK".

Управление категорией конфиденциальности ресурса

Для изменения уровня конфиденциальности ресурса необходимо, чтобы:

был включен механизм полномочного управления доступом (см. стр. 82);

ресурс находился на диске с файловой системой NTFS;

текущий пользователь имел права на доступ к ресурсу и на изменения прав доступа, а также обладал привилегией на управление категориями конфиденциальности (см. Табл. 12 на стр. 127). Предоставление привилегий описано выше на стр. 47.

Управление категориями конфиденциальности ресурса осуществляется с использованием программы "Проводник". Если заранее продумать схему хранения файлов, создав необходимую структуру каталогов для документов разной категории конфиденциальности, и разместить в них соответствующие файлы, то, присваивая категории конфиденциальности каталогам, можно автоматически присвоить эту же категорию и входящим в каталог файлам. Присвоить категорию конфиденциальности также можно и отдельным файлам или сразу группе файлов. После того как каталогам и файлам присвоены категории конфиденциальности, начинают действовать ограничения на сохранение и копирование конфиденциальной информации (см. стр.86).

Для указания категории конфиденциальности ресурса:

1. В окне программы "Проводник" выберите интересующий вас ресурс (диск, каталог, файл), вызовите окно редактирования свойств иперейдите к диалогу "Secret Net".

Совет. Для выбора нескольких файлов используйте совместно с мышью клавишу <Shift> (для выделения объектов, идущих подряд) или <Ctrl> (для выборочного выделения).

В этом поле отображается имя текущего пользователя

В этом поле отображается уровень допуска пользователя к конфиденциальной информации

В этом поле отображается категория конфиденциальности ресурса.

Выберите нужное значение

Рис. 35. Диалог "Secret Net"

85

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности