- •Оглавление
- •Введение
- •Назначение системы Secret Net
- •Технология управления информационной безопасностью
- •Варианты применения системы
- •Общая архитектура и компоненты
- •Состав серверной части
- •Подсистема управления
- •Состав клиентской части
- •Агент сервера безопасности
- •Локальная база данных системы защиты
- •Подсистема идентификации
- •Подсистема контроля целостности
- •Подсистема полномочного управления доступом
- •Подсистема криптографической защиты информации
- •Компонента защиты от загрузки
- •Взаимодействие серверной и клиентской частей
- •Основные средства защиты
- •Защита от несанкционированного входа в систему
- •Механизм идентификации и аутентификации пользователей
- •Функция временной блокировки компьютера
- •Функция программной защиты от загрузки с гибкого диска
- •Аппаратные средства внешней защиты
- •Управление доступом пользователей к ресурсам
- •Объекты управления и защиты
- •Механизмы разграничения доступа
- •Механизм избирательного управления доступом
- •Механизм полномочного управления доступом
- •Механизм замкнутой программной среды
- •Криптографическая защита информации
- •Криптографическая защита файлов
- •Криптографические ключи
- •Условия применения криптографической защиты
- •Средства контроля работы системы защиты
- •Механизм регистрации событий
- •Механизм контроля целостности
- •Основные понятия и термины
18 |
Система защиты Secret Net |
целостности оповещает об этом модуль идентификации, который в свою очередь оповещает агента сервера безопасности.
Сервис контроля целостности осуществляет процедуру контроля объектов (файлов, ключей системного реестра и т.д.) в соответствии с заданным расписанием. Сервис вызывает программу расчета, передавая ей задание на получение текущих значений контролируемых параметров для набора объектов, заданного расписанием. Затем, программа расчета осуществляет сравнение вновь полученных значений контролируемых параметров с эталонными значениями, хранящимися в соответствующих пакетах контроля целостности. По окончании этой процедуры модулю идентификации пользователя возвращаются результаты проверки.
Программа расчета предназначена для получения контролируемых параметровпроверяемых объектов, напримерконтрольныхсуммилиатрибутовфайлов, содержащихся в заданном каталоге. Эта программа также обеспечивает создание пакетов контроля целостности, содержащих эталонные значения контролируемых параметров для всех контролируемых объектов и полный путь к каждому из этих объектов. Для расчета контрольных суммы при контроле содержимого объектовиспользуютсяследующиеалгоритмы: ГОСТ28147-89 (имитовставка), ГОСТР 34-11 (расчет хеш-функций), ГОСТ Р 34-10 (расчет ЭЦП), алгоритм собственной разработки (CRC-7).
4.3.5. Подсистема полномочного управления доступом
Подсистема полномочного управления доступом обеспечивает разграничение доступа пользователей к конфиденциальной информации, хранящейся в файлах на локальных и сетевых дисках. Доступ осуществляется в соответствии с категорией конфиденциальности, присвоенной информации, и уровнем допуска пользователя к конфиденциальной информации.
Подсистема полномочного управления доступом |
||||
Агент |
Драйвер полномочного |
Компонента управления |
||
сервера |
управления доступом |
доступом к ресурсам |
||
безопасности |
|
|
|
|
|
НЖМД |
|
|
|
|
Файл 1 |
Explorer |
File Manager |
|
Рабочая станция |
Файл 2 |
|||
|
|
|||
|
Файл 3 |
|
|
Рис.6 Компоненты подсистемы полномочного управления доступом
На Рис.6 представлена схема размещения и взаимодействия компонент, входящих в состав подсистемы полномочного управления доступом, которая включает в себя: драйвер полномочного управления доступом и компоненту управления допуском к ресурсам, которая включается в Explorer или File Manager.
Принципы построения и применения |
19 |
Компонента управления доступом к ресурсам включается в Explorer,
входящий в состав ОС Windows, и позволяет управлять степенью конфиденциальности сведений, хранимых в файлах на локальных и сетевых дисках. Степень конфиденциальности сведений определяется категорией конфиденциальности, которая присваивается ресурсам, содержащим конфиденциальную информацию. Система Secret Net поддерживает три категории конфиденциальности информации: “отсутствует” (информация доступна всем пользователям), “конфиденциально”, “строго конфиденциально”.
Драйвер полномочного управления доступом контролирует доступ пользователей к конфиденциальным ресурсам. Драйвер сравнивает уровень допуска пользователя к конфиденциальной информации и категорию конфиденциальности, присвоенную ресурсу. В том случае, если уровень допуска пользователя не позволяет ему осуществить доступ к ресурсу – доступ блокируется. При этом драйвер полномочного управления доступом оповещает агента сервера безопасности о том, что произошла попытка НСД.
4.3.6. Подсистема криптографической защиты информации
Криптографическая защита используется для шифрования информации, хранящейся в файлах на сетевых и локальных дисках, и шифрования сетевого трафика с целью повышения защищенности конфиденциальной информации.
Криптографическая защита данных в системе Secret Net обеспечивается подсистемой криптографической защиты. Подсистема обеспечивает также вычисление и проверку электронной цифровой подписи (ЭЦП).
Подсистема криптографической защиты позволяет шифровать информационное содержание разделяемых ресурсов (каталогов и файлов). Доступ пользователей к таким ресурсам осуществляется с помощью уникального ключа.
Базовым компонентом криптографической подсистемы является криптоядро, реализующее унифицированный многоплатформенный интерфейс для прикладных программ, обеспечивающий выполнение следующих основных функций:
•получение случайных чисел прикладными программами;
•загрузку ключей от различных прикладных программ;
•формирование контекстов для проведения криптографических операций и выполнение криптографических операций;
•организация временного хранилища данных для обмена между различными программами системы Secret Net.
Криптоядро реализовано в виде драйверов уровня ядра ОС, извлечение ключей шифрования из которого локальными и удаленными прикладными программными модулями невозможно.
Подсистема шифрования файлов обеспечивает “прозрачное” шифрование файлов, хранимых в заданных администратором каталогах. Шифрование файлов осуществляется на уникальном ключе, который зашифрован на ключе каталога. Ключи каталогов хранятся в ЦБД на сервере безопасности и передаются на рабочую станцию после проведения аутентификации и установления защищенного соединения. Шифрование и расшифровывание файлов производится на рабочей станции. По сети содержимое файлов передается в зашифрованном виде.