- •Кафедра коиб
- •Введение
- •1. Термины и определения.
- •2. Исходные данные.
- •3. Класс автоматизированной системы.
- •3. 1 Определение класса автоматизированной системы.
- •3.2 Требования к классу защищенности 3а.
- •4. Выбор средств защиты информации.
- •5. Secret Net 7
- •6. Настройка подсистемы управления доступом сзи нсд.
- •6.1 Присвоение идентификатора
- •6.2 Настройка режимов использования идентификаторов
- •6.3 Управление ключами для усиленной аутентификации
- •6. 4 Аппаратная идентификация.
- •6.5 Настройка использования устройств и принтеров
- •6.6 Настройка прав доступа к устройствам
- •6.7 Настройка прав пользователей для печати на принтерах
- •6.8 Настройка регистрации событий и аудита операций с устройствами. Изменение перечня регистрируемых событий
- •Заключение
- •Список использованных источников
5. Secret Net 7
Защита входа в систему
Усиленная идентификация и аутентификация пользователей
В Secret Net 7 реализован механизм парольной аутентификации пользователей средствами СЗИ. Таким образом, использование электронных идентификаторов для усиленной аутентификации не является обязательным.
Идентификация и аутентификация пользователя совместно с ОС Windows с помощью программно-аппаратных средств. В качестве устройств для ввода в нее идентификационных признаков могут быть использованы следующие устройства:
iButton;
eToken Pro, eToken PRO Java (USB, смарт-карты);
Rutoken.
Усиленная аутентификация пользователей с использованием аппаратной поддержки ПАК «Соболь» и Secret Net Card.
Защита от загрузки с внешних носителей
Встроенный в СЗИ программный механизм защиты информации на локальных дисках компьютера предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера (например, загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере). Компонент лицензируется отдельно и подключается при необходимости.
Совместно с Secret Net могут быть использованы средства аппаратной поддержки, обеспечивающие защиту компьютера от несанкционированной загрузки с внешних носителей:
программно-аппаратный комплекс «Соболь» (версии 2.1 и 3.0);
Secret Net Card.
С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съмных носителей. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определенного времени после включения питания на плату не было передано управление, она блокирует работу всей системы.
Защита терминальных сессий
Появилась возможность использования либо усиленной аутентификации пользователя с удаленного терминала, либо с использованием собственной аутентификации СЗИ (по логину/паролю, без использования персональных идентификаторов).
Разграничение доступа
Управление доступом пользователей к конфиденциальным данным
Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один из трех уровней конфиденциальности: «Не конфиденциально», «Конфиденциально», «Строго конфиденциально», а каждому пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.
Разграничение доступа к устройствам
Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить либо разрешить пользователям работу с любыми портами/устройствами. Разграничивается доступ к следующим портам/устройствам:
последовательные и параллельные порты;
сменные, логические и оптические диски;
USB-порты.
Поддерживается контроль подключения устройств на шинах USB, PCMCIA, IEEE1394 по типу и серийному номеру, права доступа на эти устройства задаются не только для отдельных пользователей, но и для групп пользователей. Также существует возможность запретить использование сетевых интерфейсов — Ethernet, 1394 FireWire, Bluetooth, IrDA, Wi-Fi.
Разграничение доступа пользователей к принтерам
Контроль печати с возможностью теневого копирования, универсальной настраиваемой маркировки документов и назначения прав доступа и параметров принтеров. Т.е. при печати проверяются права на принтер, соответствие категории принтера категории печатаемого документа и делается теневая копия документа (опционально).
Доверенная информационная среда
Замкнутая программная среда
Для каждого пользователя компьютера формируется определенный перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, «червей» и шпионского ПО, а также использование ПК в качестве игровой приставки.
Контроль целостности
Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.
Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнaружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:
регистрация события в журнале Secret Net;
блокировка компьютера;
восстановление поврежденной/модифицированной информации;
отклонение или принятие изменений.
Контроль аппаратной конфигурации компьютера
Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирование на эти изменения. Предусмотрено два вида реакций:
регистрация события в журнале Secret Net;
блокировка компьютера.
Настройка производится:
для модели, класса или группы устройств;
индивидуально для каждого устройства.
Гарантированное затирание данных
Позволяет избежать утечек конфиденциальной информации при краже или утилизации оборудования. Осуществляется посредством многократной записи случайной информации на место удаляемого файла.
Функциональный контроль
Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС (т.е. к моменту начала работы пользователя) все ключевые компоненты Secret Net загружены и функционируют.
Защита информации в процессе хранения
Контроль печати конфиденциальной информации
Печать осуществляется под контролем системы защиты. При разрешенном выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Регистрация событий вывода документов на печать фиксируется в журнале Secret Net.
Теневое копирование информации
Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации. Теневое копирование поддерживается для устройств следующих видов:
подключаемые сменные диски;
дисководы гибких дисков;
дисководы оптических дисков с функцией записи;
принтеры.
Регистрация событий
Система Secret Net 7 регистрирует все события, происходящие на компьютере: включение/выключение компьютера, вход/выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.
Удобство управления и настроек
Импорт и экспорт параметров
В Secret Net 7 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.
Формирование отчетов
В Secret Net предусмотрено получение различных отчетов о состоянии системы. Отчеты могут содержать сведения: об установленном на компьютерах программном обеспечении; настройках защитных механизмов и перечне защищаемых ресурсов; пользователях системы и настройках их параметров; установленных в системе комплексах «Соболь» и пользователях, имеющих к ним доступ; идентификаторах пользователей и режимах их использования; событиях, зафиксированных в журналах.