Secret Net 9x Описание применения
Назначение
Система Secret Net 9x (автономный вариант) предназначена для защиты ресурсов компьютера, не подключенного к сети, или рабочей станции локальной сети, работающего под управлением ОС семейства Windows 9x (Windows 95, Windows 95 OSR2, Windows 98). Автономный вариант системы не имеет средств сетевого централизованного управления защитой.
Система Secret Net 9x обеспечивает:
•идентификацию и аутентификацию пользователей при их входе в систему, в том числе с помощью специальных аппаратных средств (iButton, eToken и др.);
•разграничение доступа пользователей к ресурсам компьютера с помощью механизмов избирательного и полномочного управления доступом;
•защиту от проникновения компьютерных вирусов и попыток модификации исполняемых файлов;
•организацию замкнутой программной среды для пользователя, при активизации которой пользователю запрещается запускать программы, не включенные в специальный список;
•контроль целостности программных модулей системы защиты и произвольных списков файлов;
•регистрацию событий, происходящих на компьютере и имеющих отношение к безопасности системы.
Отличительной особенностью системы Secret Net 9х является возможность гибкого управления набором защитных средств системы. Пользователь, имеющий привилегии администратора безопасности, может активизировать на компьютере различные комбинации защитных механизмов системы, выбирая из них только необходимые и устанавливая соответствующие режимы их работы.
Варианты применения
Возможны следующие варианты применения системы Secret Net 9х:
•для защиты информации, хранимой и обрабатываемой на автономном компьютере, работающем под управлением ОС семейства Windows’9x (Windows 95, Windows 95 OSR2, Windows 98);
•для защиты локальных ресурсов рабочей станции локальной вычислительной сети, работающей под управлением ОС семейства Windows’9x (Windows 95, Windows 95 OSR2, Windows 98);
•как комплексное средство защиты локальных ресурсов компьютера или рабочей станции сети, работающей под управлением ОС семейства Windows’9x (Windows 95, Windows 95 OSR2, Windows 98), используемое совместно с Элек-
тронным замком ”Соболь”.
Система защиты информации Secret Net 9х обеспечивает совместную работу с сертифицированными средствами криптографической защиты информации.
Состав системы
Система защиты Secret Net 9х состоит из следующих подсистем и компонент:
•ядро системы защиты;
8
Глава 1. Варианты применения и состав системы защиты |
||||
|
• |
диспетчер доступа; |
|
|
|
• |
подсистема регистрации; |
|
|
• база данных системы защиты (БДСЗ); |
|
|||
• |
подсистема идентификации пользователя; |
|
||
• |
подсистема контроля целостности; |
|
||
• |
подсистема управления; |
|
|
|
• |
криптографическое ядро; |
|
|
|
• компонента защиты от загрузки ОС со съемных носителей. |
||||
Общая схема размещения и взаимодействия компонент и подсистем, входящих в |
||||
состав системы Secret Net 9х, представлена на следующем рисунке: |
||||
|
|
|
Система защиты Secret Net |
|
|
|
Подсистема |
|
Подсистема контроля |
|
|
управления |
База данных системы |
целостности |
|
|
|
защиты (БДСЗ) |
|
|
|
Подсистема |
|
Криптографическое |
|
|
идентификации |
|
|
|
|
пользователя |
Ядро |
ядро |
|
|
|
|
|
|
|
|
системы |
|
|
|
Компонента защиты |
защиты |
|
|
|
от загрузки |
Подсистема |
|
|
|
|
|
|
|
|
|
регистрации |
|
|
|
|
Диспетчер |
|
|
|
|
доступа |
|
Ядро системы защиты |
|
|
|
|
Ядро системы защиты представляет собой программное обеспечение, реализован- |
||||
ное в виде двух драйверов. Один из этих драйверов запускается при включении |
||||
компьютера и функционирует на протяжении всего времени его работы. Этот драй- |
||||
вер обеспечивает защиту данных в режиме эмуляции MS DOS. Второй драйвер за- |
||||
пускается в момент загрузки графической среды ОС Windows 9х, и обеспечивает |
||||
защиту данных при работе в графической среде. |
|
|||
В процессе работы системы защиты ядро:
•обеспечивает взаимодействие компонент и подсистем системы Secret Net 9х;
•осуществляет сбор сведений о состоянии компьютера;
•разграничивает доступ пользователей к ресурсам компьютера;
•осуществляет в системном журнале регистрацию событий, происходящих на компьютере и связанных с безопасностью системы.
Всостав ядра системы защиты входят диспетчер доступа и подсистема регистрации.
9
Secret Net 9x Описание применения
Диспетчер доступа
Диспетчер доступа обеспечивает разграничение доступа пользователей к ресурсам файловой системы, аппаратным ресурсам и ресурсам операционной системы компьютера. Перечень ресурсов, составляющих каждую из этих групп, содержится в Табл.1 на стр.20.
Механизмы разграничения доступа к ресурсам подробно рассматриваются на стр.26.
|
|
Доступ |
|
База данных системы |
Ядро |
пользователя к |
|
ресурсу |
|||
системы |
|||
защиты (БДСЗ) |
|
||
защиты |
|
||
|
|
Подсистема
регистрации
|
Диспетчер доступа |
|
Аппаратные |
НЖМД |
|
Диск |
||
ресурсы |
||
|
||
|
Каталог |
|
Ресурсы ОС |
Файл |
|
|
Диспетчер доступа контролирует все попытки пользователей осуществить доступ к защищаемым ресурсам и оповещает об успешных и неуспешных попытках доступа подсистему регистрации. Когда пользователь (программа, запущенная пользователем) осуществляет попытку выполнить какую-либо операцию над ресурсом, диспетчер доступа запрашивает из БДСЗ информацию о пользователе и проверяет, достаточно ли у пользователя прав для выполнения данной операции. Если пользователь обладает достаточными правами, диспетчер доступа санкционирует выполнение операции. Если же права доступа пользователя к ресурсу не позволяют ему выполнять над ресурсом заданную операцию - диспетчер блокирует выполнение операции.
Подсистема регистрации
Подсистема регистрации осуществляет регистрацию в системном журнале событий, связанных с безопасностью компьютера.
В процессе работы компьютера все события, происходящие в системе и связанные с безопасностью, регистрируются подсистемами и компонентами системы Secret Net 9х. Подсистемы и компоненты оповещают подсистему регистрации о возникновении событий. Эта подсистема обрабатывает все поступающие оповещения, генерирует регистрационные записи и сохраняет их в системном журнале.
Механизм регистрации событий рассматривается на стр.34.
База данных системы защиты
База данных системы защиты (БДСЗ) предназначена для хранения сведений, необходимых для работы защищенного компьютера. В БДСЗ хранится следующая информация:
10
Глава 1. Варианты применения и состав системы защиты
•о пользователях компьютера (имя, полномочия пользователей, права доступа к конфиденциальной информации и т.д.);
•о группах пользователей компьютера (название группы, ее состав и т.д.);
•об общих настройках системы защиты.
Подсистемы системы Secret Net 9х осуществляют доступ к данным, хранящимся в БДСЗ, либо напрямую, либо через ядро системы защиты.
Подсистема идентификации пользователя
Подсистема обеспечивает идентификацию и аутентификацию (см. стр.21) пользователя при его входе в систему. Подсистема включает в себя модуль идентификации пользователя, а также средства аппаратной поддержки системы защиты (например, Secret Net TM Card, Электронный замок “Соболь”), если они установлены на компьютере. Ниже представлена схема размещения и взаимодействия модулей и компонент, входящих в состав этой подсистемы.
Подсистема идентификации пользователя |
|
||
Подсистема контроля |
|
|
|
целостности |
|
|
|
|
Модуль идентификации |
Клавиатура |
|
|
пользователя |
|
|
Ядро |
Средства аппаратной поддержки |
|
|
системы |
|
||
защиты |
системы защиты |
|
|
|
Считыватель |
|
|
|
ЭЗ “Соболь” |
Secret Net TM Card |
|
Модуль идентификации пользователя обеспечивает выполнение процедур идентификации и аутентификации пользователя, осуществляющего вход в систему. Этот модуль запрашивает и получает информацию о входящем в систему пользователе (имя, пароль, персональный идентификатор). Затем сравнивает полученную информацию с информацией о пользователях компьютера, хранящейся в БДСЗ, и разрешает или запрещает вход пользователя в систему. Получение данных из БДСЗ осуществляется средствами ядра системы защиты либо напрямую.
При использовании для идентификации средств аппаратной поддержки системы защиты (см. стр.23), обмен информацией между устройством и модулями системы защиты обеспечивает специальная программа-драйвер. Драйверы средств аппаратной поддержки входят в комплект поставки и устанавливаются на компьютер вместе с системой Secret Net 9х.
Подсистема идентификации пользователя взаимодействует с подсистемой контроля целостности. Если средства аппаратной поддержки не установлены, при загрузке компьютера подсистема контроля целостности проверяет целостность системных файлов. По окончании проверки, в случае, если целостность проверяемых файлов не нарушена, подсистема контроля целостности передает управление подсистеме идентификации пользователя. При установленной аппаратной поддержке, подсистема идентификации пользователя, разрешив вход пользователя в систему, передает управление подсистеме контроля целостности. В случае нарушения целостности файлов загрузка системы может быть запрещена.
11