Secret Net 2000. Руководство по администрированию

Механизмы разграничения доступа

Для организации эффективной совместной работы пользователей и обеспечения надежной защиты ресурсов компьютера от несанкционированного доступа (НСД) в системе Secret Net 2000 используются механизмы управления доступом:

•Механизм избирательного управления доступом.

•Механизм полномочного управления доступом.

•Механизм замкнутой программной среды.

В Secret Net 2000 защищаемыми ресурсами являются:

•Ресурсы файловой системы: локальные логические диски, подключенные сетевые диски и размещающиеся на них каталоги и файлы.

•Аппаратные ресурсы: локальные и сетевые принтеры, коммуникационные порты, физические диски, дисководы, приводы CD-ROM.

•Ресурсы операционной системы: системные файлы, ключи системного реестра, системное время, диалоги настройки параметров системы.

Механизм избирательного управления доступом

Система защиты Secret Net 2000 использует для избирательного (дискреционного) управления доступом стандартный механизм Windows 2000, дополненный средствами разграничения доступа к дискам и портам. Подробные сведения о настройке механизма избирательного управления доступом содержатся в документации, входящей в комплект поставки ОС Windows 2000.

Механизм полномочного управления доступом

Механизм полномочного управления доступом предназначен для разграничения доступа пользователей к ресурсам компьютера и сетевым ресурсам на основании полномочного (мандатного) принципа разграничения доступа, а также для контроля потоков конфиденциальной информации в системе.

Механизм замкнутой программной среды

Механизм замкнутой программной среды позволяет ограничить доступ пользователей к исполняемым файлам списком тех программ, которые действительно необходимы ему для выполнения своих служебных обязанностей.

Полномочное управление доступом

При организации полномочного управления доступом для каждого пользователя компьютера устанавливается определенный уровень допуска к конфиденциальной информации. Каталогам и файлам, находящимся на локальных и подключенных сетевых дисках с файловой системой NTFS, присваивается категория конфиденциальности.

Названия категорий. Средствами централизованного управления можно изменить названия категорий конфиденциальности. См. Главу 7 в документе "Система защиты Secret Net. Подсистема управления. Руководствопоадминистрированию. Книга1".

При попытке доступа пользователя (программы, запущенной пользователем) к конфиденциальному ресурсу сопоставляется категория конфиденциальности ресурса и уровень допуска пользователя к конфиденциальной информации. Если пользователь не превышает свой уровень допуска, доступ к конфиденциальному ресурсу разрешается, иначе доступ блокируется.

68

Глава 6. Настройка механизмов управления доступом и защиты ресурсов

Управление режимом работы

Для настройки режима полномочного управления доступом:

1. Откройте окно управления общими параметрами и выберите диалог "Дополнительно":

Рис. 25. Диалог "Дополнительно"

2.Установите отметку в поле выключателя "Полномочное управление доступом" для включения режима полномочного управления. После этого другие поля, относящиеся к полномочному управлению, будут доступны для редактирования. Укажите параметры работы механизма полномочного управления доступом:

•Контроль потоков данных. Установите отметку в этом поле, если необходимо включить режим контроля потоков конфиденциальной информации.

Пояснение. Любым приложениям запрещается копировать (сохранять) файлы в каталоги с более низким уровнем конфиденциальности, чем у исходного файла. Сохраняемому файлу автоматически присваивается уровень конфиденциальности файла-источника.

•Контроль буфера обмена. Установите отметку в этом поле, если требуется контролировать передачу конфиденциальной информации через буфер обмена (Clipboard) из одного приложения в другое.

Пояснение. Неконфиденциальному файлу, в который копируется конфиденциальная информация через буфер обмена, автоматически присваивается уровень конфиденциальности этой информации. Этот файл не может быть сохранен в каталоги с более низким уровнем конфиденциальности.

•Запрет доступа при невозможности получить уровень допуска пользо-

вателя. Установите отметку в этом поле, чтобы удаленный пользователь, зарегистрированный на компьютере, мог войти на компьютер, но получал допуск только к неконфиденциальной информации, а незарегистрированный – вообще не получал допуск к компьютеру.

69

Secret Net 2000. Руководство по администрированию

•Контроль печати. Если установить отметку в этом поле, то для печати конфиденциальных документов разрешено будет использовать только редактор MS Word (версии 8.0 и выше). При печати конфиденциальных документов в начало каждой страницы будет добавляться гриф конфиденциальности, а факт печати будет регистрироваться системой защиты.

3.Завершив настройку, нажмите на кнопку "OK" или "Применить".

Временное отключение. Для отключения режима полномочного управления достаточно убрать отметку из поля "Полномочное управление доступом". При этом все остальные настройки механизма останутся без изменений. Для повторного включения механизма достаточно вновь установить отметку в этом поле. После включения или отключения механизма требуется перезагрузить компьютер.

Просмотр уровня допуска пользователя

Управление уровнем допуска пользователей к конфиденциальной информации осуществляется средствами централизованного управления системы Secret Net.

Примечание. У локальных пользователей можно не только просматривать информацию об уровне допуска, ноиизменятьего.

Для просмотра уровня допуска пользователя:

1. В программе "Проводник" выберите интересующего вас пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Доступ":

В этом поле отображается уровень допуска пользователя к конфиденциальной информации

Отметка, установленная в этом поле разрешает вывод конфиденциальной информации на дискеты

Рис. 26. Диалог "Доступ"

2.Просмотрите интересующие значения параметров.

В поле "Уровень допуска" отображается уровень допуска пользователя к конфиденциальным данным, который может принимать следующие значения:

70

Глава 6. Настройка механизмов управления доступом и защиты ресурсов

Уровень допуска предлагается системой по умолчанию. Как уже говорилось ранее, уровень можетбытьизмененсредствамицентрализованногоуправления.

Отметка, установленная в поле "Вывод конфиденциальной информации на дискеты" разрешает пользователю сохранять конфиденциальные документы на съемных носителях. Эта настройка управляет возможностью сохранять конфиденциальные документы в неконфиденциальные каталоги, даже если включен режим контроля потоков данных и буфера обмена (см. стр. 69).

3. Завершив просмотр, нажмите на кнопку "OK" или "Отмена".

Указание категории конфиденциальности ресурса

Для изменения категории конфиденциальности ресурса необходимо, чтобы:

•был включен режим полномочного управления доступом (см. стр. 69);

•ресурс находился на диске с файловой системой NTFS;

•текущий пользователь имел права на доступ к ресурсу и на изменения прав доступа, а также обладал привилегией на управление категориями конфиденциальности (см. Табл. 13 на стр. 127).

Управление осуществляется с использованием программы "Проводник".

Для присвоения ресурсу категории конфиденциальности:

1. В окне программы "Проводник" выберите интересующий вас ресурс (локальный диск, каталог, файл), вызовите окно редактирования свойств и перейдите к диа-

логу "Secret Net":

В этом поле отображается имя текущего пользователя

В этом поле отображается уровень допуска этого пользователя к конфиденциальной информации

В этом поле отображается категория конфиденциальности ресурса.

Выберите нужное значение

Рис. 27. Диалог "Secret Net"

2.Установите категорию конфиденциальности ресурса, выбрав значение из раскрывающегося списка "Категория".

3.Нажмите на кнопку "OK" в диалоге "Свойства".

71