Добавил:

ivanov666 Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Национальный исследовательский ядерный университет (МИФИ)

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Лабораторный практикум по НСД 2013

.pdf

Скачиваний:

Добавлен:

12.11.2022

Размер:

9.94 Mб

Скачать

☆

<<< < Предыдущая 22 23 24 25 26 27 28 29 30 31 32 3334 / 4734 35 36 37 38 39 40 41 42 43 44 45 46 > Следующая >>>

331

Рис. 16.78. Редактирование списка категорий доступа.

Сделайте четыре категории доступа: Общедоступно, Конфиденциально, Секретно, Совершенно секретно.

Вариант № 1.

Установите уровни доступа для пользователей:

∙«user» – Секретно («С»).

∙«user1» – Общедоступно («-»).

В скобках приведены обозначения, которые используют «Ревизор 1 ХР» и «Ревизор 2 ХР».

Установите уровни доступа для объектов следующим образом (табл.16.19): Таблица 16.19.

	Папка	Уровень доступа
	Local disk C	Общедоступно («-»)
	Test	Конфиденциально («Д»)
	Test1	Общедоступно («-»)
Вариант № 2.

Установите уровни доступа для пользователей:

∙«user» – Конфиденциально («Д»).

∙«user1» – Секретно («С»).

Таблица 16.20.

Папка	Уровень доступа
Local disk C	Конфиденциально («Д»)
Test	Секретно («С»)
Test1	Конфиденциально («Д»)

Проверка настроек мандатного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР».

С помощью программы «Ревизор 1 ХР» создайте проект разграничения доступа согласно одному из вариантов описанных выше.

332

Запустите «Ревизор 2 ХР». Перейдите к построению плана тестирования.

Обязательно исключить из плана тестирования системные файлы.

В параметрах построения плана тестирования (рис.16.79) необходимо поставить флаг на параметре «Проверка полномочного режима управления доступом».

Рис. 16.79. Параметры настройки плана тестирования.

При тестировании систем с полномочным управлением доступом необходимо учитывать следующие положения:

∙В случае обращения к файлу, гриф секретности (уровень доступа) которого выше степени секретности программы, степень секретности программы повышается до грифа секретности файла.

∙Программа не может осуществлять запись в файлы, гриф секретности которых ниже, чем степень секретности программы.

∙Невозможно копирование файлов в каталоги, гриф секретности которых ниже грифа секретности файлов.

∙В некоторых системах защиты информации файл при копировании наследует гриф секретности от каталога, в который он копируется.

Из этого возникают следующие сложности, приводящие к невозможности полноценного тестирования файлов с разными уровнями секретности:

Резервное копирование. Каталог, предназначенный для резервного копирования файлов, должен иметь наибольший из грифов секретности копируемых файлов. Если файлы наследуют гриф секретности от каталога, в который они копируются, то автоматическое восстановление файлов, чей гриф секретности был ниже, чем у каталога резервного копирования, будет невозможно.

333

Запись в протокол тестирования. «Ревизор 2 ХР» в ходе тестирования осуществляет запись о выполняемых операциях в протокол тестирования. Для того чтобы запись была возможна, необходимо, чтобы файл протокола имел наибольший из грифов секретности тестируемых файлов.

Тестирование. При тестировании, получив некоторый уровень секретности, «Ревизор 2 ХР» не сможет осуществить запись данных в файлы с более низким уровнем секретности. Будет зафиксировано отсутствие доступа на запись и добавление данных к этим файлам.

Для разрешения этих проблем в программе есть возможность тестирования объектов с одинаковыми грифами секретности. Отбор таких объектов осуществляется при автоматическом построении плана путем указания требуемого грифа секретности. При выполнении тестирования каталог, предназначенный для резервного копирования файлов и файл протокола тестирования должны иметь тот же гриф секретности, что и тестируемые файлы.

Выбрать объекты с определенным грифом, в зависимости от варианта лабораторной работы и провести тестирование.

Работа с сетевыми ресурсами.

Для выполнения данного пункта лабораторной работы необходимо объединиться в пары. После чего на одном рабочем месте создать сетевой объект (каталог, файл, программа) с именем «Test» (можно использовать ранее созданный каталог «Test» или «Test1»). Для того чтобы открыть доступ к данному объекту надо нажать правой клавишей мыши на нем. Появиться окно свойств объекта. Перейти по вкладке «Доступ» и установить флаг на поле «Открыть общий доступ к этой папке» (рис.16.80).

Рис. 16.80. Настройка общего доступа к объекту.

334

Теперь с помощью программы ACED32.EXE выполнить разграничения доступа к этой папке для пользователей «user» и «user1», используя дискреционную модель, следующим образом (табл.16.21):

Таблица 16.21.

Объект / Пользователь	Test
user	R,W
user1	R,D,A

С помощью программы «Ревизор 2 ХР» провести тестирование АРМ.

Создание отчета по проделанной работе.

1В отчете указать, как проводилась подготовка АРМ для проведения лабораторной работы.

2Подробно описать настройку программы «Ревизор «2 ХР» для проведения тестирования.

3В качестве полученных результатов приложить html файлы тестирования

исделать выводы о настройках механизмов разграничения.

Тестовые задания к лабораторной работе № 14

Входной контроль

1.Цель типовой лабораторной работы?

a)Получение практических навыков работы с программной частью комплекса «Аккорд»;

b)Проверка настроек механизмов контроля доступа;

c)Организация защиты автоматического рабочего места.

2.Что такое ACRUN.SYS?

a)Ядро системы, реализующее функции монитора разграничения доступа;

b)Ядро системы, обеспечивающее статический и динамический контроль целостности;

c)Оба вышеприведенных ответа;

d)Нет верного.

3.Какие процедуры реализует модуль ACGINA.DLL?

a)Процедура шифрования;

b)Процедура автологина;

c)Процедура идентификации;

d)Процедура аутентификации.

4.Что произойдет, если в контроллере АМДЗ в разделе «результаты I/A» установлены первые четыре флага?

335

a)При логине в ОС требуется ввод пароля;

b)При логине в ОС не требуется ввод пароля;

c)При логине в ОС требуется прислонить идентификатор и ввести пароль.

5.За что отвечает поле «Синхронизация в окне настройки комплекса (Про-

грамма ACSETUP.EXE)?

a)За синхронизацию баз контроллера АМДЗ и программы ACED32.EXE;

b)За синхронизацию баз редактора ПРД (ACED32.EXE) и ОС;

c)Оба вышеприведенных;

d)Нет верного.

6.Определение дискреционного механизма разграничения доступа?

a)Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту;

b)Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности;

c)Нет верного.

7.Определение мандатного механизма разграничения доступа?

c)Нет верного.

8.Какие атрибуты доступа предоставляет «Аккорд NT -2000»?

a)M, W;

b)r;

c)U;

d)C;

e)Нет таких атрибутов.

9.При реализации дискреционного механизма КЗИ должен контролировать доступ…

a)Наименованных субъектов к наименованным объектам;

b)Наименованных субъектов к файлам;

c)Наименованных субъектов к ОС;

d)Нет верного.

10.Механизм, реализующий дискреционный принцип контроля доступа должен предусматривать возможности…

336

a)Санкционированное изменение ПРД;

b)Санкционированное изменение списка пользователей;

c)Санкционированное изменение списка защищенных объектов;

d)Все вышеприведенные.

11.Для реализации мандатного метода должны…

a)Сопоставляться классификации метки субъектов и объектов;

b)Назначаться классификационные уровни;

c)Оба вышеприведенные.

12.В КСЗ должен быть реализован диспетчер доступа (при работе мандатного механизма). Что такое диспетчер доступа?

a)Средство, осуществляющее перехват всех обращений пользователей;

b)Средство, осуществляющее разграничение доступа в соответствии с принципом разграничения;

c)Средство, контролирующее не только единичный доступ пользователя, но и потоки информации.

13.Сколько уровней доступа предоставляет СПО «Аккорд-NT/2000»?

a)0-5;

b)0-3;

c)0-8;

d)0-7.

14.Возможно ли копирование объектов при реализации мандатного механизма разграничения доступа из объекта высокого уровня доступа в более низкий?

a)Да;

b)Нет;

c)Только, если действия производит администратор.

15.Назначение программы ACED32.EXE?

a)Редактирование атрибутов доступа пользователей;

b)Программа, активизирующая средство защиты;

c)Контроль целостности файлов;

d)Нет верного.

Выходной контроль

1.Каким образом можно выбирать механизм разграничения доступа?

a)Файл accord.ini;

b)Файл access.ini;

c)Программа ACSETUP.EXE;

d)Программа ACED32.EXE.

2.Что нужно сделать, чтобы сделать объект невидимым для пользователя?

a)Включить объект в список и не назначать атрибутов доступа;

337

b)Назначить атрибут X;

c)Снять атрибут V;

d)Нет верного.

3.Чем отличаются разграничения доступа к сетевым объектам и локальным?

a)Ничем;

b)Для сетевых объектов необходимо прописывать полный путь;

c)Дополнительной настройкой.

4.Что означает атрибут «S»?

a)Не наследуются права доступа на все подкаталоги;

b)Наследуются права доступа;

c)Права доступа наследуются только на один уровень.

5.Что означает атрибут «O»?

a)Разрешение перехода в каталог;

b)Переименование каталога;

c)Эмуляция разрешения на запись;

d)Видимость объекта для пользовательских программ.

6.Для каталога установлен атрибут «S», а для файлов в этом каталоге явно прописаны правила разграничения доступа, что произойдет?

a)Для файлов будут действовать явно установленные права доступа;

b)Будут действовать ПРД для каталога;

c)Возникнет противоречивая ситуация.

7.Каким групповым обозначением можно пользоваться при настройках атрибутов доступа к объектам в программе ACED32.EXE?

a)*.[расширение объекта];

b)!.[расширение объекта];

c)**.[расширение объекта];

d)&.[расширение объекта].

8.Что означает, что объект в списке всех объектов программы ACED32.EXE выделен черным цветом?

a)Наличие объекта в списке – отсутствует. Атрибут наследования – Нет дос-

тупа;

b)Наличие объекта в списке – присутствует. Атрибут наследования – Нет доступа;