- •Оглавление
- •Введение
- •Назначение системы Secret Net
- •Технология управления информационной безопасностью
- •Варианты применения системы
- •Общая архитектура и компоненты
- •Состав серверной части
- •Подсистема управления
- •Состав клиентской части
- •Агент сервера безопасности
- •Локальная база данных системы защиты
- •Подсистема идентификации
- •Подсистема контроля целостности
- •Подсистема полномочного управления доступом
- •Подсистема криптографической защиты информации
- •Компонента защиты от загрузки
- •Взаимодействие серверной и клиентской частей
- •Основные средства защиты
- •Защита от несанкционированного входа в систему
- •Механизм идентификации и аутентификации пользователей
- •Функция временной блокировки компьютера
- •Функция программной защиты от загрузки с гибкого диска
- •Аппаратные средства внешней защиты
- •Управление доступом пользователей к ресурсам
- •Объекты управления и защиты
- •Механизмы разграничения доступа
- •Механизм избирательного управления доступом
- •Механизм полномочного управления доступом
- •Механизм замкнутой программной среды
- •Криптографическая защита информации
- •Криптографическая защита файлов
- •Криптографические ключи
- •Условия применения криптографической защиты
- •Средства контроля работы системы защиты
- •Механизм регистрации событий
- •Механизм контроля целостности
- •Основные понятия и термины
Secret Net
Система защиты Secret Net
Версия 4.0
Принципы построения и применения
УВАЛ. 00300-07 91
2 |
Система защиты Secret Net |
© НИП “ИНФОРМЗАЩИТА”, 2002. Все права защищены.
Все авторские права на эксплуатационную документацию защищены.
Этот документ входит в комплект поставки программного обеспечения, и на него распространяются все условия лицензионного соглашения. Без специального письменного разрешения НИП “ИНФОРМЗАЩИТА” этот документ или его часть в печатном или электронном виде не могут быть подвергнуты копированию и передаче третьим лицам с коммерческой целью.
Информация, содержащаяся в этом документе, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны НИП “ИНФОРМЗАЩИТА”.
Научно-инженерное предприятие
“ИНФОРМЗАЩИТА”
Почтовый адрес: 127018, Москва, а/я 55
Телефон: (7-095) 937-33-85 Факс: (7-095) 219-31-88 e-mail: hotline@infosec.ru
Web: http: // www.infosec.ru
Принципы построения и применения |
3 |
Оглавление
ВВЕДЕНИЕ |
......................................................................................................................... |
4 |
ГЛАВА 1. ................................................. |
НАЗНАЧЕНИЕ СИСТЕМЫ SECRET NET |
5 |
ГЛАВА 2. |
ТЕХНОЛОГИЯ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ |
|
.................................................................................. |
БЕЗОПАСНОСТЬЮ |
7 |
ГЛАВА 3. ................................................ |
ВАРИАНТЫ ПРИМЕНЕНИЯ СИСТЕМЫ |
8 |
ГЛАВА 4. ........................................... |
ОБЩАЯ АРХИТЕКТУРА И КОМПОНЕНТЫ |
9 |
4.1. ................................................................................... |
Состав серверной части |
10 |
4.2. ................................................................................... |
Подсистема управления |
12 |
4.3. ................................................................................ |
Состав клиентской части |
14 |
4.3.1. .......................................................................................... |
Агент сервера безопасности |
15 |
4.3.2. ..................................................................... |
Локальная база данных системы защиты |
16 |
4.3.3. .......................................................................................... |
Подсистема идентификации |
16 |
4.3.4. ............................................................................... |
Подсистема контроля целостности |
17 |
4.3.5. ....................................................... |
Подсистема полномочного управления доступом |
18 |
4.3.6. ............................................... |
Подсистема криптографической защиты информации |
19 |
4.3.7. ................................................................................... |
Компонента защиты от загрузки |
20 |
4.4. ....................................... |
Взаимодействие серверной и клиентской частей |
20 |
ГЛАВА 5. ..................................................... |
ОСНОВНЫЕ СРЕДСТВА ЗАЩИТЫ |
23 |
5.1. ................................... |
Защита от несанкционированного входа в систему |
23 |
5.1.1. ................................... |
Механизм идентификации и аутентификации пользователей |
24 |
5.1.2. ............................................................. |
Функция временной блокировки компьютера |
25 |
5.1.3. ..................................... |
Функция программной защиты от загрузки с гибкого диска |
25 |
5.1.4. ........................................................................ |
Аппаратные средства внешней защиты |
25 |
5.2. ....................................... |
Управление доступом пользователей к ресурсам |
26 |
5.2.1. ...................................................................................... |
Объекты управления и защиты |
26 |
5.2.2. .............................................................................. |
Механизмы разграничения доступа |
27 |
5.2.3. ....................................................... |
Механизм избирательного управления доступом |
28 |
5.2.4. .......................................................... |
Механизм полномочного управления доступом |
28 |
5.2.5. ................................................................... |
Механизм замкнутой программной среды |
30 |
5.3. ................................................... |
Криптографическая защита информации |
30 |
5.3.1. ......................... |
Криптографическая защита информационного содержания файлов |
30 |
5.3.2. ............................................................................................ |
Криптографические ключи |
31 |
5.3.3. ...................................................... |
Условия применения криптографической защиты |
31 |
5.4. .............................................. |
Средства контроля работы системы защиты |
31 |
5.4.1. ................................................................................... |
Механизм регистрации событий |
32 |
5.4.2. .................................................................................. |
Механизм контроля целостности |
32 |
ПРИЛОЖЕНИЕ .........................................A. ОСНОВНЫЕ ПОНЯТИЯ И ТЕРМИНЫ |
33 |
4 |
Система защиты Secret Net |
Введение
Документ предназначен для администратора системы защиты Secret Net (далее по тексту - система Secret Net). В нем приведены сведения о назначении и вариантах применения системы защиты, об архитектуре и общих принципах функционирования программного обеспечения, а также сведения об используемых механизмах и средствах защиты.
Сведения, необходимые администратору для управления системой защиты, содержатся в документах “Система защиты Secret Net. Подсистема управления.
Руководство по администрированию”.
Сведения, необходимые администратору для установки сервера безопасности системы Secret Net, содержатся в документе “Система защиты Secret Net. Сервер безопасности. Руководство по установке и эксплуатации”.
Принципы построения и применения |
5 |
ГЛАВА 1. Назначение системы Secret Net
Система Secret Net предназначена для организации защиты информации в гетерогенных локальных вычислительных сетях, построенных на основе операционных систем Windows NT, Windows 2000, Windows’9x и MP-RAS. Она позволяет организовать эффективную защиту информации, циркулирующей в автоматизированной информационной системе предприятия (организации).
Система Secret Net не подменяет собой защитные механизмы операционных систем, а дополняет их в части защиты рабочих станций и серверов сети, позволяя тем самым повысить защищенность всей автоматизированной информационной системы (автоматизированной системы обработки информации) в целом. Иначе говоря, система Secret Net является специализированным программно-техническим продуктом, дополняющим операционные системы функциями защиты от несанкционированного доступа (НСД) к различным ресурсам рабочих станций и серверов сети, который позволяет централизованно управлять этой защитой в рамках автоматизированной информационной системы предприятия.
Система защиты Secret Net представляет собой реализацию новой технологии управления информационной безопасностью и позволяет:
•решать различные задачи по обеспечению информационной безопасности (сбор оперативных данных, контроль доступа в помещения и т.д.) в рамках единой системы управления безопасностью организации;
•реально объединить в единую систему различные средства обеспечения безопасности - средства криптографической защиты, средства анализа защищенности и оповещения о сетевых атаках, средства защиты от НСД;
•оперативно получать актуальную информацию о реальном состоянии защищенности информационной системы и оценивать ее соответствие требованиям, существующим в организации;
•значительно упростить управление доступом сотрудников организации к ресурсам информационной системы за счет унификации номенклатуры управляемых объектов и прав доступа.
Интеграцияподсистем |
Эффективное |
|
обеспечения |
управлениедоступом |
|
безопасностив |
кресурсам |
Оперативныйконтроль |
организации |
информационной |
|
Комплексное |
системы |
реальной |
|
защищенности |
|
использованиесредств |
информационных |
|
защитыинформациив |
ресурсов |
|
организации |
|
|
6 |
Система защиты Secret Net |
Дополнительно к стандартным механизмам защиты, реализованным в ОС
Windows’9x, Windows NT, Windows 2000 и MP-RAS система Secret Net обеспечивает:
•Опознавание (идентификацию) пользователей при помощи специальных аппаратных средств (Touch Memory, eToken, Smart Card). Возможна организация криптографической аутентификации пользователя сервером безопасности.
•Избирательное (дискреционное) управление доступом средствами Secret Net 9x. Дополнительно к средствам избирательного управления доступом ОС Windows NT
и Windows 2000 системы Secret Net NT и Secret Net 2000 обеспечивают избирательное управление доступом к локальным логическим дискам и портам.
•Полномочное (мандатное) разграничение доступа к файлам (на локальных и сетевых дисках) в соответствии со степенью конфиденциальности содержащихся в них сведений и уровнем допуска пользователя.
•Возможность подключения и использования средств криптографической защиты данных, передаваемых по сети, и данных, хранимых в файлах на внешних носителях (жесткие и гибкие магнитные диски и т.д.). Обмен данными между всеми или отдельными рабочими станциями сети может осуществляться в криптографически защищенном виде.
•Централизованное оперативное управление доступом пользователей к совместно используемым ресурсам, как в одноранговой, так и в доменной сети.
•Оперативный контроль работы пользователей сети. Оповещение администратора безопасности о событиях несанкционированного доступа. Централизованный сбор и анализ содержимого журналов регистрации.
•Контроль целостности программ, используемых ОС и пользователем.
|
|
Средствааппаратнойи |
|
|
криптографической |
|
|
аутентификации |
|
Централизованное |
|
Полномочное(мандатное) |
оперативноеуправление |
|
доступом |
|
|
управлениедоступомк |
|
|
конфиденциальной |
|
|
информации |
|
|
|
|
Оперативныйконтроль |
Криптографическаязащита |
работыпользователей |
|
|
||
передаваемыхпосетии |
Контрольцелостности |
|
хранимыхнадискахданных |
||
|
|
программ |