Система Secret Net. Руководство по администрированию. Книга первая
Полномочное управление доступом к ресурсам
Механизм полномочного управления доступом предназначен для разграничения доступа сотрудников к конфиденциальным ресурсам информационной системы на основании полномочного (мандатного) принципа контроля доступа, а также для контроля потоков конфиденциальной информации в системе.
При организации полномочного управления доступом для каждого сотрудника устанавливается некоторый уровень допуска к конфиденциальной информации. Дискам, каталогам и файлам, находящимся на локальных и подключенных сетевых дисках компьютеров, присваивается категория конфиденциальности.
Сотрудник осуществляет вход на компьютер под именем одного из сопоставленных ему пользователей. Если компьютер работает в режиме полномочного управления доступом, этому пользователю назначается уровень допуска к конфиденциальной информации, установленный для сотрудника. При попытке сотрудника (программы, запущенной сотрудником) осуществить доступ к конфиденциальному ресурсу сопоставляется категория конфиденциальности ресурса и уровень допуска сотрудника. Если сотрудник не превышает свой уровень допуска, доступ к конфиденциальному ресурсу разрешается. Иначе доступ блокируется.
Уровень допуска сотрудника к конфиденциальной информации (и, соответственно, всех сопоставленных сотруднику пользователей) устанавливается только средствами централизованного управления. Включение и настройка режима полномочного управления доступом может осуществляться как средствами централизованного управления отдельно для каждого компьютера, так и средствами локального администрирования компьютеров.
Присвоение ресурсам категорий конфиденциальности осуществляется только средствами локального администрирования компьютера. Право сотрудника присваивать ресурсам категории конфиденциальности определяется уровнем его допуска и дополнительными привилегиями.
Ввод в действие механизма полномочного управления доступом рекомендуется осуществлять в следующем порядке:
1. Определите названия категорий конфиденциальности и настройте шаблоны грифов конфиденциальности.
2.Предоставьте сотрудникам допуск к конфиденциальной информации.
3.Предоставьте необходимые привилегии на администрирование тем сотрудникам, которые будут управлять категориями конфиденциальности ресурсов на компьютерах. Предоставьте этим сотрудникам доступ к соответствующим компьютерам.
4.Включите и настройте режим полномочного управления доступом на тех компьютерах, на которых он будет использоваться.
5.Присвойте конфиденциальным ресурсам этих компьютеров соответствующие категории конфиденциальности.
Настройка названий категорий и шаблонов грифов конфиденциальности
Для настройки параметров:
1. Вызовите окно настройки параметров системы Secret Net и активизируйте закладку “Полномочное управление”.
На экране появится следующий диалог:
150
Глава 7. Управление доступом к ресурсам и защита ресурсов
Укажите названия категорий конфиденциальности, 
принятые в Вашей организации
Для каждого пространства имен имеются отдельные шаблоны грифов конфиденциальности, используемые при печати конфиденциальных документов
Файл шаблонов грифов
Рис. 67. Диалог "Полномочное управление"
2.Укажите в полях "Категория отсутствует", "Конфиденциально" и "Строго конфиденциально" новые названия категорий конфиденциальности, которые будут назначаться файлам и каталогам на компьютерах системы защиты.
Эти названия будут также отображаться в поле "Уровень допуска" свойств сотрудника
(см. Рис. 70 на стр. 154).
3.Выберите пространство имен в группе полей "Шаблоны грифов конфиденциальности документов" и нажмите кнопку "Изменить".
На экране появится окно текстового редактора Microsoft Word для редактирования файла шаблонов грифов конфиденциальности. Отредактируйте шаблон и сохраните изменения. Подробное описание файла шаблонов и правил работы с ним см. ниже.
4.Повторите шаг 3, выполнив настройку шаблонов грифов конфиденциальности для других пространств имен.
5.Нажмите кнопку "OK".
Файл шаблонов грифов является документом в формате RTF (Rich Text Format). Он может содержать несколько грифов конфиденциальности, отделенных друг от друга разрывами раздела (здесь и далее в этом разделе курсивом выделены термины Microsoft Word), таким образом, в одном разделе размещается один гриф конфиденциальности.
Разрыв раздела имеет вид двойной пунктирной линии со словами «Разрыв раздела». Чтобы их увидеть, включите режим отображения служебных символов.
Имена в списке грифов формируются следующим образом: если первый абзац раздела помечен стилем «Заголовок 1» и содержит не только пробелы и символы табуляции, то текст этого абзаца становится именем грифа; иначе именем грифа становится строка вида «Гриф #N», где N – порядковый номер раздела.
Текст грифа конфиденциальности может быть размещен в следующих областях документа:
151
Система Secret Net. Руководство по администрированию. Книга первая
•в верхний колонтитул, сдвигая существующий колонтитул вниз, вставляется текст грифа, помещенный в верхний колонтитул соответствующего раздела файла грифа;
•в нижний колонтитул, сдвигая существующий колонтитул вверх, вставляется текст грифа, помещенный в нижний колонтитул соответствующего раздела файла грифа;
•после самого последнего абзаца документа вставляется текст грифа, находящийся в области текста соответствующего раздела файла грифа (кроме имени грифа).
Текст и форматирование грифа конфиденциальности не фиксированы жестко, но имеется ряд стандартных полей:
•поле «User» – имя пользователя Secret Net;
•поле «UserInfo» – дополнительная информация о пользователе Secret Net;
•поле «Category» – уровень конфиденциальности документа.
Если в тексте файла грифа будут находиться эти стандартные поля, то при вставке грифа в документ они будут приобретать соответствующие фактические значения.
В текст файла грифа можно вставлять и другие (стандартные) поля, поддерживаемые редактором Microsoft Word, например: имя файла документа, дата создания/изменения, номер текущей страницы, общее количество страниц и т.п.
Помимо перечисленных выше стандартных полей пользователь может вставлять в текст файла грифа поля с произвольными именами. Если при вставке файла грифа в документ будут обнаружены нестандартные поля, непосредственно перед печатью в соответствующем диалоге будут запрошены значения для всех обнаруженных нестандартных полей.
Редактирование файла шаблонов грифов конфиденциальности представляется более удобным в режиме затенения полей (выберите команду "Параметры" в меню "Сервис", затем в диалоге "Вид" в поле "затенение полей" укажите значение "Всегда").
Для вставки нестандартного поля в текст файла грифа:
1. В файле шаблонов грифов конфиденциальности документов, открытом в текстовом редакторе MS Word, в меню "Файл" выберите команду "Свойства" и активизируйте закладку "Прочие".
На экране появится следующий диалог:
152
Глава 7. Управление доступом к ресурсам и защита ресурсов
1. Введите название поля |
|
|
|
4. Нажмите кнопку "Добавить" |
|
|
|||
(название может быть |
|
|||
|
||||
|
|
|||
определено как на |
|
|
||
английском, так и на |
|
|
||
русском языке) |
|
|
||
2. Выберите "Текст" |
|
|
|
|
|
|
|
||
3. Введите формальное |
|
|
|
|
значение поля |
|
|
||
(это значение будет |
|
|
||
отображаться в шаблоне, |
|
|
||
а перед печатью |
|
|
||
заменено на фактическое |
|
|
||
значение) |
|
|
||
Рис. 68. Добавление поля в файл шаблонов грифов
2.Добавьте поле в файл шаблонов грифов (см. Рис. 68) и нажмите кнопку "ОК".
3.Установите курсор в нужной области шаблона (в колонтитуле или области текста соответствующего раздела файла грифа) и выберите команду "Поле" в меню "Вставка".
На экране появится следующий диалог:
1. Выберите категорию "Сведения о документе"
2. Выберите поле "DocProperty"
3. Отступив на один пробел от слова «DOCPROPERTY»,
введите в двойных кавычках название поля, добавленного на шаге 2 (см. Рис. 68)
4. Нажмите кнопку "ОК"
Рис. 69. Вставка поля в текст грифа
4.Вставьте поле в текст грифа (см. Рис. 69).
В тексте документа появится затененное поле, формальное значение которого было указано на шаге 2 (см. Рис. 68).
5.Сохраните файл шаблонов и закройте редактор Microsoft Word.
153