- •Введение
- •Варианты применения и состав системы защиты
- •Назначение
- •Варианты применения
- •Состав системы
- •Ядро системы защиты
- •База данных системы защиты
- •Подсистема идентификации пользователя
- •Подсистема контроля целостности
- •Подсистема управления
- •Криптографическое ядро
- •Компонента защиты от загрузки ОС со съемных носителей
- •Общие принципы организации защиты компьютера
- •Общие сведения
- •Объекты системы Secret Net 9х
- •Пользователи
- •Группы пользователей
- •Ресурсы компьютера
- •Внешняя защита компьютера
- •Механизм идентификации и аутентификации пользователей
- •Механизм временной блокировки компьютера
- •Механизм программной защиты от загрузки ОС со съемных носителей
- •Аппаратные средства внешней защиты
- •Механизмы управления доступом и защиты ресурсов
- •Разграничение доступа к ресурсам
- •Механизм избирательного управления доступом
- •Механизм полномочного управления доступом
- •Механизм замкнутой программной среды
- •Дополнительные механизмы защиты
- •Автоматическое уничтожение содержимого файлов при их удалении
- •Механизм регистрации событий
- •Механизм контроля целостности
- •Общий порядок взаимодействия средств защиты
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу с системой
- •Привилегии на администрирование системы
- •Права доступа пользователя
- •Терминологический справочник
- •Предметный указатель
Secret Net 9x Описание применения
Подсистема контроля целостности
Подсистема контроля целостности позволяет контролировать неизменность заданных объектов, их существование, атрибуты DOS и атрибуты Secret Net 9х. Для контроля состояния объектов в соответствии с расписанием контроля текущие значения контролируемых параметров объектов сравниваются с ранее полученными эталонными значениями.
Подсистема включает в себя модуль контроля целостности и пакеты контроля целостности. Схема размещения и взаимодействия компонент, входящих в состав подсистемы контроля целостности, представлена ниже на следующем рисунке.
Модуль |
Подсистема контроля целостности |
|
||
идентификации |
НЖМД |
|||
|
|
|||
пользователя |
|
|
Каталог 1 |
|
|
|
|
||
|
Модуль контроля целостности |
Каталог 2 |
||
Ядро |
|
|
Каталог 3 |
|
|
Пакет 1 |
|
||
системы |
Пакеты |
|
||
|
|
|||
защиты |
контроля |
Пакет 2 |
|
|
|
целостности |
Пакет 3 |
|
|
|
|
|
C этой подсистемой взаимодействует ядро системы защиты и модуль идентификации пользователя. Расписание и перечень объектов, целостность которых проверяется при запуске компьютера, считываются подсистемой контроля целостности из БДСЗ.
•Модуль контроля целостности реализует процедуру контроля объектов (файлов, элементов системного реестра и т.д.) в соответствии с заданным расписанием контроля. Модуль получает текущие значения контролируемых параметров, например, вычисляет контрольные суммы для набора проверяемых объектов. Затем сравнивает полученные значения с эталонными значениями, хранящимися в соответствующих пакетах контроля целостности, и оповещает ядро системы защиты о результатах проверки. Модуль контроля целостности также обеспечивает создание пакетов контроля целостности.
Примечание. Для расчета контрольных суммы при контроле содержимого объектов используются следующие алгоритмы: ГОСТ 28147-89 (имитовставка), ГОСТ Р 34-11 (расчет хеш-функций), ГОСТ Р 34-10 (расчет ЭЦП), алгоритм собственной разработки (CRC-7).
•Пакеты контроля целостности содержат информацию о местоположении контролируемых объектов и эталонные значения контролируемых параметров.
Подсистема управления
Подсистема управления обеспечивает администратора диалоговыми процедурами, позволяющими управлять системой защиты. Схема размещения и взаимодействия компонент, входящих в состав этой подсистемы, представлена ниже.
Компоненты подсистемы управления взаимодействуют с ядром системы защиты и осуществляют доступ к данным, хранящимся в БДСЗ, сохраняя в базе данных все изменения, вносимые администратором в настройки системы защиты.
12
Глава 1. Варианты применения и состав системы защиты
Подсистема управления
БДСЗ
|
Компоненты |
|
Компоненты |
|
управления доступом |
||
Ядро |
управления объектами |
|
|
|
|
|
|
системы |
|
|
Image32 |
защиты |
|
|
|
|
Аппаратные |
|
НЖМД |
|
|
Диск |
|
|
ресурсы |
|
|
|
|
Каталог |
|
|
|
|
|
|
Ресурсы ОС |
Explorer |
Файл |
•Компоненты управления объектами обеспечивают администратора диалоговыми средствами настройки, позволяющими управлять объектами системы Secret Net 9х (см. стр.17), в том числе - управлять доступом пользователей к аппаратным ресурсам компьютера и к ресурсам ОС. Эти компоненты встраиваются в графическую оболочку ОС Windows и доступны через программу Проводник
(Explorer) из состава ОС.
•Компоненты управления доступом также являются расширениями графической оболочки ОС Windows. Эти компоненты позволяют управлять из программы Проводник доступом пользователей к ресурсам файловой системы компьютера (дискам, каталогам и файлам) с помощью атрибутов Secret Net 9х (см. стр.26), а также управлять степенью конфиденциальности сведений, хранимых в файлах на локальных и сетевых дисках (см. стр.32).
•Image32 представляет собой специализированную программу, которая обеспечивает администратора удобным интерфейсом, позволяющим управлять доступом пользователей к ресурсам файловой системы компьютера (дискам, каталогам и файлам) с помощью атрибутов Secret Net 9х.
Криптографическое ядро
Криптографическое ядро предназначено для обеспечения унифицированного взаимодействия ядра системы защиты и прикладных программ с модулями криптографических алгоритмов. На сегодняшний день в состав стандартной поставки входят следующие модули криптографических алгоритмов:
•ГОСТ 28147-89 (шифрование и имитовставка);
•ГОСТ Р 34.11 (расчет хеш-функций);
•ГОСТ Р 34.10 (расчет ЭЦП);
•алгоритм собственной разработки (CRC-7).
•программный датчик случайных чисел.
Компонента защиты от загрузки ОС со съемных носителей
Данная компонента предназначена для защиты компьютера от загрузки операционной системы со съемных носителей (гибких дисков или CD-ROM дисков) в обход системы защиты и представляет собой программный модуль, содержащийся в ПЗУ устройств аппаратной поддержки системы Secret Net 9х (см. стр.23). Компонента обеспечивает блокировку загрузки операционной системы со съемных носителей при запуске компьютера (непосредственно перед загрузкой ОС).
13
Secret Net 9x Описание применения
14