- •Введение
- •Варианты применения и состав системы защиты
- •Назначение
- •Варианты применения
- •Состав системы
- •Ядро системы защиты
- •База данных системы защиты
- •Подсистема идентификации пользователя
- •Подсистема контроля целостности
- •Подсистема управления
- •Криптографическое ядро
- •Компонента защиты от загрузки ОС со съемных носителей
- •Общие принципы организации защиты компьютера
- •Общие сведения
- •Объекты системы Secret Net 9х
- •Пользователи
- •Группы пользователей
- •Ресурсы компьютера
- •Внешняя защита компьютера
- •Механизм идентификации и аутентификации пользователей
- •Механизм временной блокировки компьютера
- •Механизм программной защиты от загрузки ОС со съемных носителей
- •Аппаратные средства внешней защиты
- •Механизмы управления доступом и защиты ресурсов
- •Разграничение доступа к ресурсам
- •Механизм избирательного управления доступом
- •Механизм полномочного управления доступом
- •Механизм замкнутой программной среды
- •Дополнительные механизмы защиты
- •Автоматическое уничтожение содержимого файлов при их удалении
- •Механизм регистрации событий
- •Механизм контроля целостности
- •Общий порядок взаимодействия средств защиты
- •Приложение
- •Привилегии пользователя
- •Привилегии на работу с системой
- •Привилегии на администрирование системы
- •Права доступа пользователя
- •Терминологический справочник
- •Предметный указатель
Глава 2 Общие принципы организации защиты компьютера
позволяет подключить сертифицированные криптографические библиотеки, в том числе сторонних производителей.
Объекты системы Secret Net 9х
Все объекты системы Secret Net 9х подразделяются на два типа:
•объекты, с помощью которых осуществляется управление средствами защиты компьютера, или объекты управления;
•объекты, защищаемые средствами системы Secret Net 9х, или защищаемые объекты.
ОбъектыSecretNet9x
Объекты |
Пользователи |
|
|
||
управления |
Группы пользователей |
|
|
||
Защищаемые |
Ресурсы компьютера |
|
объекты |
||
|
Объектами управления в системе Secret Net 9х являются пользователи и группы пользователей. Защищаемыми объектами – ресурсы компьютера.
Пользователи
В системе Secret Net 9х каждому реальному пользователю компьютера ставится в соответствие объект системы защиты - “Пользователь”. Свойства этого объекта определяют статус реального пользователя компьютера в системе защиты и его права на доступ к ресурсам компьютера. Одновременно на компьютере может быть зарегистрировано не более 1019 пользователей.
Примечание. Управление работой пользователя компьютера осуществляется путем изменения свойств соответствующего ему объекта управления “Пользователь”.
Привилегии пользователя
Статус пользователя в системе Secret Net 9х определяется предоставленными этому пользователю привилегиями. Привилегии пользователя делятся на две группы:
•привилегии на работу с системой, разрешающие пользователю превышать свои права на доступ к ресурсам компьютера и игнорировать некоторые другие ограничения работы на компьютере;
•привилегии на администрирование системы защиты, позволяющие пользо-
вателю управлять работой системы защиты, т.е. выполнять функции администрирования.
Примечание. Привилегии пользователя имеют высший приоритет, при определении его прав доступа. Например, если пользователь не имеет прав доступа к како- му-либо ресурсу, но предоставленные ему привилегии разрешают это, доступ к ресурсу будет разрешен.
17
Secret Net 9x Описание применения
Привилегии на Привилегии на работу с системой расширяют права доступа пользователя к ресурсам работу с системой файловой системы: локальным дискам, каталогам, файлам, а также к аппаратным
ресурсам и ресурсам операционной системы.
Привилегии на работу с системой |
|
||
"Без ограничений |
"Видимость…" |
"Безатрибутовна…" |
|
по настройкам" |
|
||
|
|
|
|
Аппаратные |
|
|
Диски |
ресурсы |
Ресурсыфайловойсистемы |
Каталоги |
|
|
|||
РесурсыОС |
|
|
Файлы |
|
|
|
Привилегиина администрирование системы
•Предоставив пользователю любую из привилегий "Видимость…", администратор тем самым разрешает во всех программах, отображающих ресурсы файловой системы (например - Проводник), показывать пользователю имена логических дисков, каталогов или файлов, доступ к которым ему запрещен.
•Привилегии "Без атрибутов на…" отменяют для пользователя действие атрибутов доступа и владения, установленных на локальных дисках, каталогах или файлах. При этом пользователь наделяется правами полного доступа к этим ресурсам.
•Привилегия "Без ограничений по настройкам" разрешает игнорировать определенные ограничения при работе пользователя с ресурсами файловой системы, аппаратными ресурсами и ресурсами операционной системы.
В Secret Net 9х привилегии на администрирование системы защиты определяют статус пользователя. В зависимости от предоставленных привилегий на администрирование, каждый пользователь может быть отнесен к одной из трех категорий:
•администратор безопасности (администратор) - пользователь, наделенный всеми привилегиями на администрирование системы защиты;
•привилегированный пользователь - пользователь, наделенный некоторыми привилегиями на администрирование системы защиты;
•рядовой пользователь - пользователь, не имеющий привилегий на администрирование системы защиты.
18
Глава 2 Общие принципы организации защиты компьютера |
||
Управление системой |
|
Управлениепользователями |
Secret Net 9x |
Привилегии на |
игруппамипользователей |
Настройка параметров |
Изменение параметров |
|
Secret Net 9x |
администрирован |
своей работы |
Управление системным |
ие системы |
Изменениепараметров |
журналом |
|
работыдругихпользователей |
Управлениеатрибутами |
|
Управление конфиден- |
Secret Net 9x дляресурсов |
|
циальной информацией |
Рядовой |
|
|
пользователь |
Администратор |
|
Привилегированный |
безопасности |
|
|
||
пользователь |
|
|
Наделяя пользователя соответствующими привилегиями на администрирование, ад- |
||
министратор безопасности может разрешить ему выполнять следующие действия по |
||
управлению работой системы защиты: |
|
•управлять работой пользователей и групп пользователей (создавать, удалять и переименовывать пользователей и группы пользователей; управлять составом групп; изменять свойства пользователей);
•управлять атрибутами системы защиты (изменять атрибуты своих, общих и чужих ресурсов);
•управлять параметрами настройки системы защиты;
•просматривать, удалять и выводить на печать записи системного журнала;
•переустанавливать, удалять и отключать систему защиты.
Подробное описание привилегий пользователя на администрирование системы защиты приведено в приложении (см. Табл.5).
Права пользователя на доступ к ресурсам компьютера
Каждый пользователь системы Secret Net 9х наделяется определенными правами на доступ к ресурсам компьютера. Эти права определяются:
•атрибутами доступа и владения, присвоенными ресурсам файловой системы;
•категориями конфиденциальности, присвоенными ресурсам файловой системы, а также уровнем допуска к конфиденциальной информации, установленным для пользователя (при включенном режиме полномочного управления доступом);
•установленными ограничениями прав доступа пользователя к ресурсам операционной системы и аппаратным ресурсам;
•списком программ, разрешенных пользователю для запуска (если для пользователя активизирован механизм замкнутой программной среды);
•списком программ, запуск которых запрещен всем пользователям компьютера, вне зависимости от предоставленных им привилегий.
19