- •Оглавление
- •Введение
- •Назначение системы Secret Net
- •Технология управления информационной безопасностью
- •Варианты применения системы
- •Общая архитектура и компоненты
- •Состав серверной части
- •Подсистема управления
- •Состав клиентской части
- •Агент сервера безопасности
- •Локальная база данных системы защиты
- •Подсистема идентификации
- •Подсистема контроля целостности
- •Подсистема полномочного управления доступом
- •Подсистема криптографической защиты информации
- •Компонента защиты от загрузки
- •Взаимодействие серверной и клиентской частей
- •Основные средства защиты
- •Защита от несанкционированного входа в систему
- •Механизм идентификации и аутентификации пользователей
- •Функция временной блокировки компьютера
- •Функция программной защиты от загрузки с гибкого диска
- •Аппаратные средства внешней защиты
- •Управление доступом пользователей к ресурсам
- •Объекты управления и защиты
- •Механизмы разграничения доступа
- •Механизм избирательного управления доступом
- •Механизм полномочного управления доступом
- •Механизм замкнутой программной среды
- •Криптографическая защита информации
- •Криптографическая защита файлов
- •Криптографические ключи
- •Условия применения криптографической защиты
- •Средства контроля работы системы защиты
- •Механизм регистрации событий
- •Механизм контроля целостности
- •Основные понятия и термины
30 |
Система защиты Secret Net |
5.2.5.Механизм замкнутой программной среды
Всистеме защиты существуют средства, позволяющие без использования системы атрибутов ограничить доступ пользователей к исполняемым файлам и ограничить их круг только теми программами, которые действительно необходимы ему для выполнения своих служебных обязанностей. Для этой цели применяется механизм замкнутой программной среды, когда пользователю определяется перечень программ, разрешенных для запуска.
Пользователь получает |
|
|
доступ только к файлу, |
|
|
входящему в список |
|
Программы, |
разрешенных для |
|
|
запуска программ |
Ресурс |
разрешенные |
|
|
для запуска |
Пользователь |
|
|
Пользователь не сможет запустить программы, не входящие в этот список, в том числе и с гибких дисков, даже если они ему доступны.
5.3.Криптографическая защита информации
Для повышения защищенности информации в системе Secret Net дополнительно предусмотрена возможность использования средств криптографической защиты. С их помощью шифруется информационное содержание файлов и информация, передаваемая по локальной вычислительной сети.
5.3.1. Криптографическая защита файлов
Криптографическая защита информационного содержания файлов осуществляется компонентой шифрования файлов. При этом используется двухуровневая ключевая схема, состоящая из ключей шифрования каталогов и ключей шифрования файлов.
Ключи шифрования каталогов создаются сервером безопасности в ЦБД при создании совместно используемого каталога и/или установки для него признака шифрования данных, и удаляются из ЦБД при удалении сведений о совместно используемом каталоге. При создании ключа шифрования каталога используются возможности криптографического ядра по генерации случайных чисел. Смена ключа шифрования каталога не предусмотрена. Ключи каталога хранятся в ЦБД в зашифрованном виде.
Шифрование файлов, содержащихся в каталогах, производится специальным драйвером шифрования. Для каждого файла генерируется ключ шифрования файла, на котором шифруется содержимое файла по алгоритму ГОСТ 28147-89 в режиме гаммирования. В начало каждого файла помещается специальный заголовок, содержащий:
•ключ шифрования файла, зашифрованный на ключе шифрования каталога (ГОСТ 28147-89, режим гаммирования);