Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Учебное пособие 800434

.pdf
Скачиваний:
7
Добавлен:
01.05.2022
Размер:
2.59 Mб
Скачать

снабжается программно-аппаратным комплексом типа Аккорд, защищающим их локальные ресурсы. Комплекс ―АккордСетьNDS‖ имеет сертификат Гостехкомиссии РФ (№ 262 от 19.08.99г.) на соответствие требованиям РД Гостехкомиссии РФ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" для 4 класса защищенности и "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" для класса защищенности 1В.

17.2. Программный компонент комплекса

"Secret Net"

Система защиты информации Secret Net является программно-аппаратным комплексом, и предназначена для решения следующих задач:

-Защиты корпоративных ресурсов от доступа к ним посторонних лиц с помощью собственных защитных механизмов и встроенных возможностей ОС.

-Централизованного управления информационной безопасностью в гетерогенных сетях.

-Контроля действий пользователей сети и оперативного реагирования на факты и попытки НСД.

Система Secret Net может быть использована для того, чтобы:

-на компьютерах организации была только та информация и только те программы, которые необходимы сотрудникам для работы;

-неблагонадежные сотрудники организации не смогли передать конфиденциальную информацию конкурентам;

-конфиденциальная информация организации была под постоянным контролем – всегда можно узнать, кто и когда к ней обратился;

257

-всегда можно было ознакомиться с историей работы сотрудника на компьютере;

-в незащищенных ОС Windows 95, Windows 98 сделать такую же защиту, как в серверной ОС, не повышая требований к аппаратной части компьютера;

-существенно облегчить работу администратора безопасности;

-всегда можно было выяснить – что происходит на компьютерах сети.

Компоненты Secret Net

Система Secret Net состоит из трех компонент (рис. 44): -клиентская часть; -сервер безопасности; -подсистема управления.

Клиент Secret Net устанавливается на компьютер, содержащий важную информацию. Основное назначение клиента Secret Net – это защита ресурсов компьютера и регистрация событий. Клиенты Secret Net оснащаются средствами аппаратной поддержки (для идентификации пользователей по электронным идентификаторам).

Рис. 44. Структура комплекса Secret Net

258

Сервер безопасности устанавливается на выделенный компьютер или контроллер домена. Сервер безопасности обрабатывает собранную с клиентов Secret Net информацию и хранит данные о состоянии всей системы защиты. Сервер безопасности обеспечивает решение следующих задач:

-Ведение центральной базы данных (ЦБД) системы защиты, которая функционирует под управлением СУБД Oracle 8 Personal Edition и содержит информацию, необходимую для работы системы защиты.

-Сбор информации о происходящих событиях со всех клиентов Secret Net в единый журнал регистрации, ее обработка и передача обработанной информации подсистеме управления.

Подсистема управления – это программа, которая устанавливается на рабочем месте администратора системы и позволяет ему конфигурировать все механизмы защиты клиентов Secret Net, контролировать все события, имеющих отношение к безопасности информационной системы, и реагировать на них. Secret Net позволяет из единого центра управления конфигурировать защитные механизмы клиентов Secret Net и управлять встроенными возможностями операционных систем. При этом осуществляется сбор информации со всех рабочих станций и серверов сети и их централизованная обработка в едином журнале регистрации.

Вцелях разделить полномочия между сотрудниками, участвующими в администрировании системы защиты, в Secret Net предусмотрены «роли» в управлении (табл. 13).

Таблица 13

Роли пользователей Secret Net

Администратор

Использует все компоненты управления

безопасности

системой защиты.

 

 

Помощник

Только устанавливать клиентскую часть

администратора

Secret Net на рабочие станции.

 

 

259

Аудитор

Secret

Использует программу, предназначенную

Net

 

для работы с журналами регистрации.

 

Оператор

Secret

Использует

программу

работы

с

Net

 

журналами

регистрации

и программу

 

 

мониторинга.

 

 

 

 

 

 

 

 

 

Интерфейс подсистемы управления Secret Net (рис. 45) оперирует объектами реальной предметной области «сотрудник», «задача, решаемая сотрудником», «помещение», «подразделение».

Рис. 45. Интерфейс Secret Net

Secret Net предоставляет администратору безопасности развитый набор средств для гибкого конфигурирования системы, позволяющий автоматизировать целый ряд рутинных операций по управлению системой. К ним относится механизм шаблонов, с помощью которого достаточно настроить защиту всего лишь на одном компьютере, затем, при установке клиентской части на новый компьютер, его механизмы защиты будут настроены в соответствии с шаблоном.

260

Механизмы защиты информации

Secret Net дополняет штатные средств ЗИ операционной системы собственными защитными механизмами:

-идентификации и аутентификации пользователя с помощью аппаратных средств;

-избирательного управления доступом; -полномочного управления доступом; -создания замкнутой программной среды;

-контроля целостности системных областей дисков, произвольных списков файлов, каталогов и ключей системного реестра;

-защиты от загрузки других ОС с внешних носителей; -физического удаления информации; -маркировки документов при выводе защищаемой

информации на печать; -защиты ввода и вывода на отчуждаемый физический

носитель информации.

Вход незарегистрированного пользователя в ОС исключается, благодаря использованию аппаратной части для идентификации и аутентификации и блокирования загрузки других ОС с внешних носителей.

Каждый зарегистрированный пользователь может иметь доступ только к тем объектам, к которой он допущен администратором системы. Данные возможности обеспечиваются в Secret Net с помощью механизма избирательного управления доступом (рис. 46).

261

Рис. 46. Механизм избирательного управления доступом

Система разграничения доступа позволяет определять и управлять правами различных категорий пользователей по использованию ресурсов компьютера или сети, которыми являются:

-устройства - диски, принтеры, коммуникационные

порты;

-логические диски, каталоги, файлы;

-исполняемые файлы - программные модули, драйверы и

т.д.

Пользователи по отношению к праву устанавливать и изменять полномочия, а также использовать ресурсы делятся на категории:

-владелец (администратор или любой создавший их пользователь);

262

-группа (несколько пользователей, объединенных равными полномочиями);

-остальные (пользователи не являющиеся владельцами и не входящие в какую-либо группу).

Для каждой категории пользователей ресурса устанавливаются различные нрава доступа или способы использования ресурса. Такими правами являются: право на чтение (R), изменение (W), исполнение (X), прямой доступ программ к секторам диска (1). Эти права могут комбинироваться по определенным правилам.

Атрибутная защита в Secret Net позволяет каждому ресурсу (логическому диску, каталогу, файлу) присвоить вектор атрибутов (защитных свойств), на основании которых производится разрешение или запрещение доступа, а также регистрационные действия.

Secret Net оперирует следующими видами атрибутов: -атрибутами владения (администратор, пользователь);

-атрибутами управления доступом (W,R,X,1);

-дополнительными.

Атрибуты владения Определение. Атрибуты владения содержат информацию

о владельце ресурса, т.е. о том, кто создал ресурс и имеет право на изменение других атрибутов этого ресурса - атрибутов управления доступом.

Атрибуты владения содержат имя пользователя или администратора, а также имя группы владения, в которую входит владелец. Если ресурс не имеет владельца, он считается "общим" (общедоступным).

Особенности формирования атрибутов владения. По отношению к таким ресурсам, как принтеры, коммуникационные порты, физические или логические диски, исполняемые файлы владельцем является администратор.

Если ресурс создавался вновь, то его владельцем становится пользователь, его создавший, при этом остальные атрибуты устанавливаются в соответствии с шаблоном значений из паспорта пользователя по умолчанию.

263

Администратор может изменять и устанавливать атрибуты владения без ограничений, пользователь может устанавливать свои атрибуты владения только на "общие" ресурсы - каталоги и файлы, отказаться от владения ресурсами (сделать их общими) и указать имя группы владения для ресурсов, которыми он владеет.

Атрибуты управления доступом Для ресурсов типа логического диска, каталога, файла

эти атрибуты задают способ использования ресурса, при котором каждой категории пользователя (владелец, группа, остальные) соответствует свой набор атрибутов управления доступом:

-для каталога атрибуты устанавливаются при создании каталога и далее могут быть изменены владельцем или администратором;

-для файлов права доступа также устанавливаются либо автоматически при создании файла, либо устанавливаются или модифицируются владельцем;

-для исполняемых файлов установка прав доступа осуществляется только администратором.

Для таких ресурсов, как принтер (LPTI-LPT4), коммуникационный порт (СОМ 1-COM4), физический диск администратором устанавливается запрет или разрешение обращения к этим ресурсам. В случае обращения к запрещенному ресурсу обращения блокируются.

Кроме атрибутной защиты в Secret Net используются средства ограничения доступа пользователей к исполняемым файлам с помощью создания замкнутой программной среды. Для любого пользователя администратор безопасности может указать список разрешенных к запуску файлов. Механизм замкнутой программной среды может работать в одном из двух режимов: "жестком" и "мягком". Жесткий режим является основным и блокирует НСД, если он возникает, а также регистрирует соответствующие события. Мягкий режим предусмотрен для облегчения настройки системы защиты при се внедрении. В этом режиме НСД

264

регистрируются, но действия не блокируются.

Механизм контроля целостности используется для повышения надежности работы системы защиты и осуществляет проверку целостности следующих объектов:

-системных программ - ядра и исполняемых файлов системы;

-программ замкнутой программной среды; -ключей системного реестра;

-любых других файлов, определенных администратором. Проверка файлов из списка, составленного администратором, может осуществляться при загрузке компьютера или по установленному администратором

расписанию.

Secret Net позволяет также:

-контролировать процесс вывода конфиденциальной информации на внешние носители - при печати конфиденциальной информации, ведется автоматическая маркировка каждой страницы учетными реквизитами, а сам факт печати пользователем конфиденциального документа регистрируется в журнале регистрации Secret Net;

-осуществлять планирование работы пользователей - определять какой пользователь и когда имеет право работать в сети.

Регистрация событий и реагирование на них.

Вся собираемая информация с защищаемых рабочих станций и серверов передается в центральную базу данных. Особенностью системы Secret Net является клиент-серверная архитектура, ее использование позволяет сосредоточить в одном месте все функции управления безопасностью корпоративной сети и повысить живучесть всей системы защиты в целом: выход из строя сервера безопасности не приводит к снижению уровня защищенности. Существуют следующие журналы регистрации (табл. 14).

265

Таблица 14

Журналы регистрации Secret Net

Журнал событий

Регистрируются все события, включая

 

НСД.

 

 

 

 

Журнал НСД

Только события

несанкционированного

 

доступа.

 

Системный

События на сервере безопасности Secret

журнал

Net.

 

 

 

 

Журнал аудита

Регистрируются

действия

 

администраторов различного уровня.

В журнале регистрации фиксируются события с указанием конкретного сотрудника, совершившего операцию, имени ресурса и уровня конфиденциальности информации. В системном журнале могут фиксироваться более 100 видов событий, например: вход и выход пользователей из системы, запуск ОС, события НСД, запуск программ и другие события. Реализовано гибкое управление данным механизмом. Существует возможность определить индивидуальный режим регистрации для каждого пользователя и предельный срок хранения регистрационных записей в системном журнале. Затем эти данные обрабатываются и передаются на консоль управления администратора системы.

Secret Net немедленно сообщает администратору безопасности о фактах и попытках НСД и позволяет планировать реакцию на подобные события. Secret Net позволяет контролировать:

-действия пользователя на рабочей станции сети в реальном режиме времени, блокировать работу пользователя или выключить компьютер;

-управляющие действия администраторов разных уровней (привилегированных пользователей) - Secret Net обнаруживает одновременное воздействие администратора сети и администратора безопасности на один объект

266