Secret Net 4.0. Автономный вариант. Руководство по администрированию
Система Secret Net 9x располагает рядом механизмов разграничения доступа пользователей к ресурсам компьютера, что позволяет организовать эффективную совместную работу пользователей и обеспечить надежную защиту ресурсов компьютера от несанкционированного доступа.
Внимание! Управление доступом пользователей к дискам, каталогам и файлам с использованием системы атрибутов Secret Net 9x подробно описано в Главе 6.
Полномочное управление доступом .
Система Secret Net 9x включает в свой состав средства, позволяющие организовать полномочное управление доступом пользователей к ресурсам файловой системы компьютера.
При организации полномочного управления доступом для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Всем каталогам, находящимся на локальных и подключенных сетевых дисках компьютера, назначается категория конфиденциальности. Категории конфиденциальности соответствует уровень доступа к конфиденциальной информации, устанавливаемый для пользователей компьютера.
Наименование категорий конфиденциальности, которые можно присвоить ресурсам, содержится в файле CATEGORY.DAT. Файл SLIST.DAT содержит список каталогов, которым присвоена категория конфиденциальности “Конфиденциально”, файл SSLIST.DAT - список каталогов, которым присвоена категория конфиденциальности “Строго конфиденциально”. Эти файлы создаются при установке системы Secret Net 9x на компьютер и размещаются в каталоге C:\-SNET-.
Порядок настройки:
|
Этап Шаг |
Процедура |
Описание |
|
||
|
|
|||||
|
Настройка общих параметров |
|
|
|
|
|
|
1. Включите и настройте режим. |
|
см. ниже |
|
||
|
2. |
Откорректируйте шаблоны грифа конфиденциальности, если это |
стр. 155 |
|
||
|
|
необходимо. |
|
|
|
|
|
3. |
Отредактируйте содержание конфигурационного файла |
стр. 71 |
|
||
|
|
CATEGORY.DAT, если это необходимо. |
|
|
|
|
|
Настройка свойств пользователя |
|
|
|
|
|
|
4. |
Предоставьте пользователям права, необходимые для работы в режиме стр. 68 |
|
|||
|
|
полномочного управления доступом. |
|
|
|
|
|
5. |
Ознакомьте каждого пользователя с предоставленными правами и |
стр. 72 |
|
||
|
|
правилами работы с конфиденциальными документами. |
|
|
|
|
|
Управление доступом к ресурсам |
|
|
|
|
|
|
6. |
Отредактируйте содержание конфигурационных файлов SLIST.DAT и |
стр. 71 |
|
||
|
|
SSLIST.DAT, если это необходимо. |
|
|
|
|
|
7. |
Присвойте дискам и каталогам категории конфиденциальности. |
стр. 69 |
|
||
|
|
|
|
|
|
|
Включение и настройка режима
Включение и настройка режима полномочного управления доступом осуществляется в окне управления общими параметрами системы защиты.
66
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Для настройки режима:
1. Вызовите на экран окно управления общими параметрами. 2. Активизируйте диалог “Режимы”:
Установите отметку в этом поле, чтобы включить режим полномочного управления доступом
Нажмите эту кнопку для изменения или просмотра шаблонов грифа конфиденциальности
|
|
Рис.30 Диалог "Режимы" (настройка общих параметров) |
Включение |
3. Поставьте отметку в поле “Полномочное управление доступом”. |
|
полномочного |
|
При установке отметки поля выключателей, с помощью которых осуществляется |
управления |
|
|
доступом |
|
дополнительная настройка режима, становятся доступными для изменений. |
|
|
Внимание! Включение и выключение режима полномочного управления доступом осуществ- |
|
|
ляется без перезагрузки компьютера. |
Контрольпотоков 4. Установите отметку в поле “Контроль потоков данных”, чтобы разрешить систе- данных ме защиты контролировать потоки данных приложений, работающих с конфи-
денциальной информацией.
Контроль буфера обмена
Контроль печати
Пояснение. Контроль потоков конфиденциальных данных осуществляется следующим образом. Если в приложении, например MS Word, был открыт конфиденциальный файл, то этому приложению, вплоть до его завершения, запрещается открывать на запись или создавать файлы в каталогах, категория конфиденциальности которых ниже, чем у открытого ранее конфиденциального файла. Любым приложениям запрещается копировать (сохранять) файлы в каталоги более низкой категории конфиденциальности, чем у исходных файлов.
5.Если требуется контролировать передачу конфиденциальной информации через буфер обмена (Clipboard) из одного приложения в другое, поставьте отметку в поле “Контроль буфера обмена”.
Пояснение. При включении этого режима вставка конфиденциальных данных из буфера обмена в документ более низкого уровня конфиденциальности запрещается, а в журнале безопасности регистрируется событие НСД "Запрет вывода конфиденциальных данных".
6.Установите отметку в поле "Контроль печати"10 для включения режима, обеспечивающего:
•печать конфиденциальных документов только средствами редактора MS Word (версии 8.0 и выше) или редактора SnetWPad, входящего в комплект поставки системы Secret Net 9x;
10 Если отметка не установлена – для печати конфиденциальных документов могут использоваться любые приложения.
67
Secret Net 4.0. Автономный вариант. Руководство по администрированию
См. также. Печать документов с грифом конфиденциальности на стр.155.
•вывод грифа конфиденциальности на каждой странице печатаемого документа.
7.Для изменения шаблона грифа конфиденциальности, нажмите кнопку "Гриф". На экране появится окно редактора MS Word, в котором будет открыт специальный файл шаблона грифа конфиденциальности с именем STAMP.RTF, содержащийся в каталоге C:\-SNET-.
Отредактируйте и сохраните шаблон грифа конфиденциальности. Закройте текстовый редактор MS Word. Порядок редактирования шаблона грифа конфиденциальности подробно описан в приложении на стр.155.
8.Нажмите кнопку "ОК" в окне управления общими параметрами.
Предоставление прав пользователю
Как уже говорилось выше, для каждого пользователя компьютера необходимо установить некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Кроме того, в связи с тем, что присваивать дискам и каталогам категорию конфиденциальности может только администратор безопасности компьютера или пользователь, который обладает соответствующей привилегией на администрирование системы защиты, необходимо предоставить пользователям, которые будут управлять доступом других пользователей к конфиденциальным данным, необходимые привилегии.
Для определения уровня допуска пользователя:
1. Вызовите на экран окно управления свойствами пользователя (см. Рис.25).
2.Чтобы установить для пользователя уровень допуска к конфиденциальным дан-
ным, нажмите кнопку 
в поле "Уровень допуска" и выберите из открывшегося списка11 одно из трех возможных значений, соответствующих трем категориям конфиденциальности информации.
•Отсутствует - у пользователя нет допуска к конфиденциальной информации;
•Конфиденциально - пользователь имеет допуск к информации, хранящейся в каталогах, которые отмечены как конфиденциальные;
•Строго конфиденциально - пользователь имеет допуск к информации, хранящейся в каталогах, которые отмечены как конфиденциальные и строго конфиденциальные.
Эти названия уровня допуска предлагаются системой по умолчанию и могут быть изменены при редактировании файла CATEGORY.DAT (см. ниже).
3.Активизируйте диалог "Запреты" (см. Рис.37 на стр.85).
4.Если требуется запретить выводить (копировать) конфиденциальную информацию на дискеты, поставьте отметку в поле “Запрет вывода конфиденциальной информации на дискеты”.
5.Нажмите кнопку “ОК”.
Для предоставления привилегии пользователю:
1. Вызовите на экран окно управления свойствами пользователя. 2. Активизируйте диалог “Привилегии”.
11Поле доступно для изменения только тогда, когда система Secret Net 9х переведена в режим полномочного управлениядоступом.
68
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
3.В группе "Привилегии на администрирование системы" откройте группу привилегий "Категории конфиденциальности ресурсов".
4.Предоставьте пользователю необходимую привилегию (см. Табл.21).
5.Нажмите кнопку “ОК”.
Определение категории конфиденциальности дисков и каталогов
Управление категориями конфиденциальности локальных и сетевых дисков, а также каталогов, расположенных на этих дисках, осуществляется с помощью программы "Проводник".
При включении режима полномочного управления доступом:
•в диалоге управления атрибутами Secret Net 9x локальных дисков, каталогов и файлов становится доступной группа "Категория конфиденциальности";
•в контекстном меню подключенных сетевых дисков, а также каталогов и файлов, расположенных на этих дисках, становится доступной команда "Secret Net", вызывающая диалог, с помощью которого осуществляется управление категориями конфиденциальности сетевых ресурсов.
Внимание! Присваивать дискам и каталогам категорию конфиденциальности может только администратор безопасности компьютера или пользователь, который обладает соответствующей привилегией на администрирование системы защиты (см. Табл.21).
После того как ресурсу присвоена категория конфиденциальности, доступ к содержащимся в нем каталогам и файлам смогут осуществить только те пользователи, для которых определен соответствующий уровень допуска к конфиденциальной информации. Например, если для пользователя определен уровень допуска “Конфиденциально”, а диску присвоена категория “Строго конфиденциально”, пользователю будет отказано в доступе к каталогам и файлам этого диска.
Внимание!
•Категория конфиденциальности может быть присвоена каталогу даже в том случае, если у него отсутствует владелец.
•Если каталогу присвоена категория "Конфиденциально" или “Строго конфиденциально”, система защиты запрещает несанкционированный доступ к нему даже при включенном "мягком" режиме для атрибутов.
•При включенном режиме полномочного управления доступом запрещается присваивать категорию конфиденциальности каталогу C:\-SNET-, а также системному диску и системным ката-
логам ОС Windows (WINDOWS, SYSTEM).
Для присвоения ресурсу категории конфиденциальности:
1. В окне программы Проводник вызовите контекстное меню для ярлыка диска или каталога и активизируйте в нем команду "Secret Net".
Совет. Если требуется присвоить категорию конфиденциальности нескольким ресурсам, предварительно выберите их, используя клавиши <Ctrl> или <Shift>, вызовите контекстное меню для выделенной области и активизируйте команду "Secret Net".
При выборе для управления сетевых ресурсов на экране появится диалог, показанный ниже. Диалог управления локальными ресурсами соответствует Рис.13 на стр.30.
69
Secret Net 4.0. Автономный вариант. Руководство по администрированию
Используйте эти кнопки для выбора категории конфиденциальности ресурса
Данное поле отображает название категории конфиденциальности, присвоенной ресурсу
Рис.31 Диалог Secret Net 9x (сетевой диск)
Система Secret Net 9x поддерживает три категории конфиденциальности данных: “Отсутствует”, “Конфиденциально”, “Строго конфиденциально”.
Эти названия категорий предлагаются системой по умолчанию и могут быть изменены при редактировании файла CATEGORY.DAT (см. ниже).
Устанавливаемая для ресурса категория конфиденциальности присваивается как самому диску или каталогу, так и содержащимся в нем каталогам и файлам.
Примечание. При просмотре или изменении атрибутов для нескольких ресурсов, значение категории конфиденциальности “Не определена” указывает на то, что выбранным ресурсам назначены разные категории конфиденциальности. При изменении этого значения всем выбранным ресурсам будет присвоена одинаковая категория конфиденциальности.
В нашем примере диску [L:], присвоена категория конфиденциальности “Отсутствует”, т.е. сам диск и содержащиеся на нем каталоги и файлы доступны для пользователей, не имеющих допуска к конфиденциальной информации.
2.Выберите категорию конфиденциальности диска или каталога.
Внимание! Категория конфиденциальности файла определяется категорией конфиденциальности, присвоенной каталогу, в котором содержится файл.
3.Нажмите кнопку “ОК”.
При попытке присвоить категорию конфиденциальности системному диску, на экране появится предупреждающее сообщение:
•Нажмите кнопку "Отмена", чтобы отказаться от присвоения ресурсу категории конфиденциальности.
Внимание! Запрещается присваивать категорию конфиденциальности системным дискам и системным каталогам ОС Windows (WINDOWS, SYSTEM).
•Нажмите кнопку "ОК" для подтверждения своего решения.
70
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Дополнительные возможности управления
Категории конфиденциальности ресурсов, а также их названия, можно изменить, отредактировав соответствующим образом конфигурационные файлы системы защиты. Файл SLIST.DAT содержит список каталогов, которым присвоена категория конфиденциальности “Конфиденциально”, файл SSLIST.DAT - список каталогов, которым присвоена категория конфиденциальности “Строго конфиденциально”. Файл CATEGORY.DAT – наименования категорий конфиденциальности.
Примечание. Содержание файлов SLIST.DAT и SSLIST.DAT корректируется автоматически при изменении категорий конфиденциальности дисков и каталогов штатными средствами управления
(см. стр.69).
Для редактирования конфигурационных файлов:
1. Вызовите на экран окно управления общими параметрами Secret Net 9x. 2. Активизируйте диалог “Дополнительно”:
Перечень и краткое описание конфигурационных файлов, общих для всех пользователей компьютера
Рис.32 Диалог "Дополнительно"
3.Чтобы посмотреть или изменить содержание любого конфигурационного файла, выполните одно из следующих действий:
•подведите курсор мыши к строке таблицы, содержащей имя файла, и дважды нажмите левую кнопку мыши;
•выберите строку с именем этого файла и нажмите кнопку "Редактировать".
На экране появится окно текстового редактора SnEdit, в котором будет открыт выбранный для изменения конфигурационный файл:
Рис.33 Окно редактора SnEdit (файл CATEGORY.DAT) 4. Отредактируйте нужным образом содержание этого файла.
71