Принципы построения и применения |
33 |
Приложение A. Основные понятия и термины
U
UEL (User Executive List) Список программ, доступных для запуска пользователем в режиме замкнутой программной среды. Каждому пользователю присвоен свой UEL. См. Замкнутая программная среда.
А
Авторизация |
См. Аутентификация. |
|
|
|
Авторизованный |
Субъект, которому предоставлены соответствующие права доступа к |
|||
субъект доступа |
объектам системы (полномочия). |
|
|
|
Администратор |
Лицо или группа лиц, ответственных за обеспечение безопасности |
|||
безопасности |
системы, за реализацию и непрерывность соблюдения установленных |
|||
|
административных мер защиты и осуществляющих постоянную |
|||
|
организационную |
поддержку |
функционирования |
применяемых |
|
физических и технических средств защиты. |
|
||
Аудит |
Совокупность мер, связанных с регистрацией, анализом и |
|||
|
документированием событий, относящихся к работе системы. |
|
||
Аутентификация |
Проверка регистрационной информации о пользователе. |
|
||
Б |
|
|
|
|
|
|
|||
Безопасность |
Защищенность информации от нежелательного (для соответствующих |
|||
информации |
субъектов информационных отношений) ее разглашения (нарушения |
|||
конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.
Безопасность
информационной
системы
Защищенность ИС от несанкционированного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, незаконной модификации или разрушения ее компонентов.
В
Владелец Владелец файла, каталога или другого объекта полностью контролирует их и может изменять права доступа к ним. По умолчанию владельцем файла является создавший его пользователь. Нельзя передавать файл или каталог кому-либо во владение, однако владелец файла может предоставить комулибо право вступить во владение.
Встроенные группы Группы, по умолчанию поддерживаемые операционной системой. Встроенные группы получают разные наборы прав и разрешений. Чтобы обеспечить пользователя требуемым набором возможностей, следует включить его в подходящую встроенную группу.
34 |
Система защиты Secret Net |
Г
Группа пользователей Набор прав на доступ к ресурсам, приписываемый сразу нескольким пользователям.
Д
Дополнительные защитные подсистемы
Доступ к ресурсу
Ж
В состав системы Secret Net входят дополнительные защитные подсистемы, такие как подсистема полномочного (мандатного) управления доступом, подсистема шифрования файлов.
Получение субъектом разрешения манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом.
Журнал |
Файл с информацией о зарегистрированных системой событиях, например, |
|
попытках регистрации в системе или попытках использования ресурсов. |
З |
|
|
|
Задача |
Сложный, составной объект управления системы Secret Net, информация о |
|
котором хранится в ЦБД системы защиты. Механизм исполнения задачи |
|
обеспечивает разграничение доступа сотрудников к ресурсам |
|
информационной системы, в зависимости от решаемых ими задач. |
Замкнутая среда |
Режим работы системы защиты, при котором для каждого пользователя |
|
определяется перечень доступных ему программ, файлов и аппаратных |
|
ресурсов. Совокупность этих ресурсов и образует замкнутую среду работы |
|
пользователя. Относительно замкнутой среды применяется жесткий или |
|
мягкий режимы ее контроля. При жестком режиме запрещается |
|
использование ресурсов за границами замкнутой среды. При мягком режиме |
|
это можно сделать, но каждое такое событие обязательно фиксируется |
|
системой защиты. |
Защита |
Обеспечениецелостности, конфиденциальности, доступностиинформации. |
К
Ключ шифрования
Контрольная сумма
Конфиденциальность
информации
Бинарная последовательность, сохраняемая с соблюдением секретности и предназначенная для выполнения операций шифрования.
Числовое значение, вычисляемое по специальному алгоритму и используемое для контроля целостности информации.
Характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих к доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней. Объективные предпосылки подобного ограничения доступности информации заключены в необходимости защиты законных интересов некоторых субъектов информационных отношений.
Принципы построения и применения |
|
|
35 |
||
Криптографическая |
Операция шифрования, расшифрования, генерации ключа шифрования или |
||||
операция |
случайного значения, установки или проверки ЭЦП. |
|
|||
Криптопровайдер |
Стандартная |
функциональная |
часть |
операционной |
системы, |
|
обеспечивающая выполнение криптографических функций. |
|
|||
Криптоядро Набор драйверов уровня ядра ОС, предназначенный для реализации криптографических алгоритмов.
Л
Личный ключевой носитель
На личном ключевом носителе сотрудника хранятся: служебный ключ сотрудника, личный ключ сотрудника, сертификаты открытых ключей сотрудника, личный ключ подписи сотрудника. Он необходим для организации доступа субъекта к шифрованной информации, хранящейся в системе, а также для дополнительной идентификации субъекта.
М
Механизм контроля целостности
Механизм регистрации событий
Защитные средства для своевременного обнаружения модификации ресурсов системы. Обеспечивают правильное функционирование системы защиты и целостность обрабатываемой информации.
Механизм, обеспечивающий с помощью специальных средств контроля получение, регистрацию в журнале и последующий анализ информации о работе системы защиты. Анализ собранной информации позволяет выявить причины и наметить способы исправления ситуации.
Н
НДС |
См. Несанкционированный доступ. |
Несанкционированное |
Действие субъекта в нарушение установленных в системе правил |
действие |
обработки информации. |
Несанкционированный |
Доступ пользователя к ресурсу в нарушение установленных в системе |
доступ (НСД) |
правил разграничения доступа. |
|
|
О |
|
|
|
Обратная |
Процесс, предназначенный для корректировки содержимого ЦБД системы |
синхронизация |
защиты в соответствии с изменениями ЛБД, произведенными |
|
децентрализовано на клиенте сервера безопасности. |
Объект |
Пассивный компонент системы, единица ресурса автоматизированной |
|
системы (устройство, диск, каталог, файл и т.п.), доступ к которому |
|
регламентируется правилами разграничения доступа. |
Основной контроллер домена
Компьютер в домене Windows NT, осуществляющий проверку подлинности при входах в домен и поддерживающий базу данных домена. Основной контроллер отслеживает изменения в учетных записях всех компьютеров в домене. Домен может иметь только один основной контроллер.
П
Пакет контроля |
Содержит информацию о местоположении контролируемых объектов и |
целостности |
эталонные значения контролируемых параметров каждого из них. |
36 |
Система защиты Secret Net |
Пароль
Персональный
идентификатор
пользователя
Политика аудита
Политика
информационной
безопасности
Полномочный доступ
Права
Правила разграничения доступа
Привилегия
Прямая синхронизация
Уникальная строка символов, вводимая для аутентификации доступа при регистрации. Пароль служит для предотвращения несанкционированного доступа.
Средство аппаратной поддержки системы защиты, предназначенное для идентификации пользователя. Носителями персональной ключевой информации в системе Secret Net являются дискеты и электронные идентификаторы (например, Touch Memory или eToken).
Политика, определяющая для серверов или рабочих станций тип событий защиты, фиксируемых в журналах регистрации.
Документально зафиксированная совокупность принципов, правил и рекомендаций определяющих порядок организации защиты информации.
Разграничение доступа к информационным ресурсам, в соответствии со степенью конфиденциальности содержащихся в них сведений и уровнем допуска пользователей к секретной информации.
Правила, ассоциированные с определенным объектом, устанавливающие, какие пользователи имеют доступ к объекту и каким образом.
Совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.
Предоставляемая пользователю возможность выполнить определенное действие в системе. Привилегия имеет приоритет перед правами.
Изменение (синхронизация) данных в ЛБД соответствующего клиента сервера безопасности при изменении администратором каких-либо данных, хранящихся в ЦБД системы защиты и связанных с защитными функциями данного клиента.
Р
Разграничение доступа к ресурсам АС
Разрешение на доступ
Разрешения на общий ресурс
Реестр Windows
Предоставление субъекту доступа к объектам в строгом соответствии с установленными правилами.
Правило, сопоставленное объекту (обычно, каталогу, файлу или принтеру), которое определяет, какие пользователи могут получить доступ к объекту и каким способом. См. также: права пользователя.
Разрешения, определяющие доступ пользователей к общему ресурсу в сети.
Иерархическая база данных, являющаяся центральным хранилищем сведений о конфигурации компьютера.
Принципы построения и применения |
37 |
Резервный контроллер домена
Ресурс
В домене Windows NT резервным контроллером домена называют компьютер, на котором выполняется Windows NT Server и который получает копию база данных каталогов домена, содержащую все сведения об учетных записях и политике защиты для домена. Для данной копии периодически и автоматически выполняется синхронизация с основной копией, находящейся на основном контроллере домена. Резервный контроллер домена также выполняет проверку подлинности при входах пользователей и по мере необходимости может быть назначен основным контроллером домена. В одном домене может существовать несколько резервных контроллеров домена. См. также: выделенный сервер; основной контроллер домена.
Любой компонент компьютера или сети, например, диск, принтер или память, который может быть выделен выполняющейся программе или процессу или совместно использоваться в локальной сети.
С
Семантическое сжатие |
Специальное преобразование, позволяющее объединить последовательность |
||
|
событийводнособытие, имеющеесодержательныйсмысл. |
||
Сервер |
В широком смысле, любой компьютер, поддерживающий общие ресурсы |
||
|
для сетевых пользователей. |
|
|
Сервер безопасности |
Подсистема системы защиты Secret Net. Располагается на выделенном |
||
|
компьютере. Обеспечивает хранение данных в центральной базе данных |
||
|
(ЦБД) системы защиты, а также обслуживание запросов, поступающих от |
||
|
подсистемы управления и клиентов системы защиты. |
||
Субъект Активный компонент системы |
(пользователь, |
процесс, программа), |
|
|
действия которого регламентируются правилами разграничения доступа. |
||
Схема управления |
Совокупность полномочий и |
прав субъектов |
операционной среды |
доступом |
(пользователей и групп пользователей), правил их установки, изменения и |
||
распространения.
Т
Технические (аппаратнопрограммные) средства защиты
Тип пространства имен
Различные электронные устройства и специальные программы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты информации (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
Описание, определяющее тип рабочих станций, управление которыми осуществляется с помощью объектов, входящих в пространство имен данного типа. Например, все объекты управления (пользователи, группы пользователей, компьютеры), входящие в состав пространства имен Windows NT, определяют работу пользователей, на рабочих станциях, входящих в домен Windows NT.
У
Уровень привилегий Уровень привилегий пользователя определяет действия, которые пользователь может выполнять в системе.
38 |
Система защиты Secret Net |
Ф
Файловая система
Файловая система FAT
Файловая система NTFS
ФГСЧ
Физический генератор случайных чисел (ФГСЧ)
Общая структура, определяющая в операционной системе наименование, сохранение и размещение файлов. Различными типами файловых систем являются системы NTFS и FAT.
Таблица или список, поддерживаемые некоторыми операционными системами для регистрации состояния различных сегментов диска, используемых для хранения файлов. Используется также название “таблица FAT”.
Обладающая дополнительными возможностями файловая система, разработанная для использования с операционной системой Windows NT, которая поддерживает восстановление файловой системы, носители с большим объемом памяти, длинные имена файлов, а также различные возможности подсистемы POSIX. Обеспечивается также поддержка объектно-ориентированных приложений, поскольку все файлы рассматриваются как объекты с определяемыми пользователем атрибутами и системными атрибутами.
См. Физический генератор случайных чисел.
Средство, использующееся для повышения качества генерируемых ключей шифрования. Для этого сервер безопасности оборудуется платой ЭЗ “Соболь”, содержащей физический генератор случайных чисел.
Ц
Целостность Свойство информации, заключающееся в ее существовании в информации неискаженном виде (неизменном по отношению к некоторому
фиксированному ее состоянию).
Ш
Шаблон настроек Набор параметров и их значений, позволяющий управлять свойствами объектов системы защиты. Хранится в ЦБД системы защиты. Шаблоны настроек свойств объекта нужны для того, чтобы упростить процедуру определения свойств конкретного объекта.
Шифрование Способ защиты данных от несанкционированного просмотра или использования, применяющийся при передаче или сохранении данных на портативных магнитных носителях.
Э
ЭЦП Электронная цифровая подпись
Я