Secret Net 9x Описание применения

Управление доступом к аппаратным ресурсам осуществляется пользователем, которому предоставлены соответствующие привилегии на администрирование (см. Табл.5). Обычно таким пользователем является администратор системы защиты.

Управление доступом к ресурсам операционной системы

Средства управления доступом к ресурсам операционной системы обеспечивают ограничение прав доступа пользователей к следующим ресурсам:

•системным файлам CONFIG.SYS и AUTOEXEC.BAT;

•системному времени;

•диалогам настройки параметров ОС Windows.

Для любого пользователя компьютера может быть установлен запрет доступа к любому из указанных ресурсов операционной системы. Если доступ текущего пользователя к ресурсу запрещен (например, запрещен доступ к системному файлу CONFIG.SYS или к диалогу настройки параметров экрана), любые обращения к этому ресурсу будут блокироваться (блокируется доступ к файлу CONFIG.SYS или к диалогу настройки параметров экрана). Проверку прав доступа пользователей к ресурсам операционной системы выполняет диспетчер доступа системы Secret Net 9х.

Управление доступом к ресурсам операционной системы осуществляется пользователем, которому предоставлены необходимые привилегии на администрирование (см. Табл.5). Обычно таким пользователем является администратор системы защиты.

Механизм полномочного управления доступом

Система Secret Net 9х включает в свой состав средства, позволяющие организовать полномочное управление доступом пользователей к ресурсам файловой системы компьютера. При включении соответствующего режима системы защиты решение этой задачи обеспечивает механизм полномочного управления доступом.

При организации полномочного управления доступом для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Локальным дискам, подключенным сетевым дискам и каталогам, находящимся на этих дисках, назначается категория конфиденциальности, которая определяется включением диска или каталога в специальные списки, хранящиеся в файлах SLIST.DAT

и SSLIST.DAT в каталоге C:\-SNET-\.

Внимание! Назначать категорию конфиденциальности дискам и каталогам, а также устанавливать для пользователей уровень допуска к конфиденциальной информации может только тот пользователь компьютера, который наделен соответствующими привилегиями на администрирование системы защиты (см. Табл.5).

32

Глава 3 Механизмы управления доступом и защиты ресурсов

В системе Secret Net 9х используются три категории конфиденциальности информации (в порядке возрастания уровня конфиденциальности):

•"Отсутствует" (информация доступна любому пользователю);

•"Конфиденциально";

•"Строго конфиденциально".

Внимание! Названия категорий конфиденциальности (но не их число) могут быть изменены. Перечень категорий конфиденциальности информации хранится в фай-

ле C:\-SNET-\CATEGORY.DAT.

Разграничение доступа к конфиденциальным ресурсам осуществляется следующим образом. Когда пользователь (программа, запущенная пользователем) осуществляет попытку доступа к конфиденциальному ресурсу, диспетчер доступа Secret Net 9х определяет категорию конфиденциальности данного ресурса, считывая информацию, содержащуюся в файлах SLIST.DAT и SSLIST.DAT. Затем категория конфиденциальности ресурса сопоставляется с уровнем допуска к конфиденциальной информации текущего пользователя.

Если текущий пользователь не превышает свой уровень допуска (например, уровень допуска пользователя - “Конфиденциально”, категория конфиденциальности ресурса - “Нет” или “Конфиденциально”), система защиты санкционирует доступ к ресурсу. Иначе (например, уровень допуска пользователя - “Конфиденциально”, категория конфиденциальности ресурса - “Строго конфиденциально”) система защиты блокирует доступ к ресурсу.

Механизм полномочного управления доступом позволяет контролировать потоки конфиденциальной информации в системе, в том числе, передачу конфиденциальной информации из одного приложения в другое через буфер обмена. В этом случае любым приложениям, работающим с конфиденциальными документами, запрещается копировать (сохранять) конфиденциальные документы или их фрагменты в каталоги более низкой категории конфиденциальности. Кроме того, неконфиденциальному документу, в который копируется конфиденциальная информация через буфер обмена, автоматически присваивается категория конфиденциальности этой информации.

Возможен контроль вывода конфиденциальных документов на печать. В этом случае печать конфиденциальных документов осуществляется только средствами редактора MS Word или специального редактора SNetWPad с выводом грифа конфиденциальности на каждой странице печатаемого документа.

Механизм замкнутой программной среды

В системе Secret Net 9х существуют средства, позволяющие ограничить доступ пользователей к исполняемым файлам. Для этой цели применяется механизм замкнутой программной среды,.

Этот механизм позволяет без использования системы атрибутов ограничить доступ пользователей к исполняемым файлам только теми программами, которые действительно необходимы ему для выполнения своих служебных обязанностей. Список программ (UEL-список), разрешенных и запрещенных для запуска, определяется индивидуально для каждого пользователя и фиксируется в специальном конфигурационном файле (UEL-файле).

Примечание. Список программ может быть сформирован автоматически на основании сведений об используемых программах из системного журнала.

33