32434

Secret Net5.0-C, архитектура СЗИ НСД, состав семейства, администрирование системы и пользователей, организация разграничения доступа, контроль целостности, аудит

Реферат

Информатика, кибернетика и программирование

0C архитектура СЗИ НСД состав семейства администрирование системы и пользователей организация разграничения доступа контроль целостности аудит.Разграничение доступа и зашиты ресурсов.Разграничение доступа к устройствам компьютера. Механизм разграничения доступа к устройствам РДУ предназначен для разграничения доступа к устройствам с целью предотвращения несанкционированной утечки информации с защищаемого компьютера.

Русский

2013-09-04

4.13 MB

41 чел.

Secret Net5.0-C, архитектура СЗИ НСД, состав семейства, администрирование системы и пользователей, организация разграничения доступа, контроль целостности, аудит.

Secret Net5.0-C – предназначена для защиты от НСД к информационным ресурсам компьютера, функционирующих на платформах операционных систем(ОС) MS Windows 2000/XP/2003. Компьютер с установленной системой может работать автономно (без подключения к сети), в одноранговой сети или в сети с доменной организацией.

Secret Net5.0-C не подменяет стандартные защитные механизмы ОС Windows ,и не ограничивает возможность их использования, а расширяет их за счет дополнительных программ и аппаратных средств, Secret Net5.0-C использует компоненты ОС Windows:

1.Средства идентификации и аутентификации

2.Средства избирательного управления доступом

3.Механизм временной блокировки компьютера

4.Журнал безопасности Windows 

5.Локальную БД ОС Windows (SAM).

Secret Net5.0-C дополняет данные компоненты своими защитными механизмами, повышая защищенность всей автоматизированной ИС предприятия в целом. К их числу можно отнести механизмы:

1.Контроль входа в систему с использованием аппаратных средств.

2.Разграничение доступа и зашиты ресурсов.

3.Полномочного разграничения.

4.Доступ к объектам файловой системы.

5.Замкнутой программной среды.

6.Шифрование файлов.

7.Разграничение доступа к устройствам компьютера.

8.Затирание информации, удаляемой с дисков компьютера.

9.Контроля и регистрации.

 1. механизм функционального контроля

 2. механизм регистрации событий безопасности

 3. механизм контроля целостности

 4. механизм контроля аппаратной конфигурации компьютера

Структура Secret Net5.0-C:

Ядро системы защиты – программа, которая автоматически запускается на защищенном компьютере при его включении.

Подсистема регистрации  - входит в состав ядра и предназначена для управления регистрацией в журнале секрет нет событий, связанных с работой системы защиты.

Подсистема управления – предоставляет средства для настройки защитных механизмов системы.

БД Секрет НЕТ – предназначена для хранения информации о настройках системы защиты.

Общая структура организации модулей защитных подсистем:

Какие аппаратные идентификаторы используются в Секрет НЕТ?

iButton и eToken.

 При обращении пользователя к ресурсам компьютера (файлам или устройствам) драйверы-фильтры перехватывают это сообщение. Далее управление переходит к драйверам защитных подсистем, которые выполняют профильные действия, соответствующие цели обращения пользователя к ресурсу.

 Подсистема контроля входа ОС Windows обеспечивает идентификацию и аутентификацию пользователя при входе его в систему. Подсистема включает в себя модуль идентификации пользователя, а также может содержать средства аппаратной поддержки и программу-драйвер для управления ими.

 Механизм разграничения доступа к устройствам (РДУ) предназначен для разграничения доступа к устройствам с целью предотвращения несанкционированной утечки информации с защищаемого компьютера.

 Механизм полномочного разграничения доступа обеспечивает осуществление доступа в соответствии с категорией конфиденциальности, присвоенной информации, и уровнем доступа пользователя к конфиденциальной информации.

 Механизм замкнутой программной среды позволяет сформировать для любого пользователя компьютера программную среду определив индивидуальный перечень разрешенных программ.

 Затирание информации на дисках необходимо для предотвращения восстановления и повторного использования удаляемой информации.

 Механизм контроля целостности осуществляет слежение за неизменностью контролируемых объектов с целью защиты их от модификации.

 В Secret Net5.0-C имеется возможность использование пяти вариантов аппаратной поддержки системы – четырёх сертифицированных и пятого дополнительного, несертифицированного.

 

Что может использоваться для хранения криптографических ключей?

Сменные носители, дискеты, Flash карты, USB Flash накопители ит.д.

Какие имеются режимы аутентификации?

Стандартный, смешанный,  только по идентификатору.

Что из себя представляет усиленная аутентификация?

Основан на дополнительной проверки при входе пользователя в систему подлинности его ЛК, хранящегося в электронном идентификаторе.

Когда происходит блокировка компьютера?

Происходит при нарушении:

- функциональной целостности Секрет НЕТ.

- аппаратной конфигурации компьютера.

- целостности контролируемых объектов.

Разблокировать компьютер может только администратор.

Приведите используемую в системе классификацию типов ресурсов.

Все ресурсы компьютера в Секрет НЕТ делятся на 3 типа:

- ресурсы файловой системы

- аппаратные ресурсы

- ресурсы ОС.

Какие механизмы разграничения доступа пользователей к ресурсам включает в себя Секрет НЕТ?

1) механизм избирательного разграничения доступа

2) механизм полномочного разграничения доступа

3) механизм замкнутой программной среды

Для чего предназначен механизм полномочного разграничения доступа?

Применяется только к ресурсам файловой системы.

Какие имеются категории конфиденциальности? Можно ли менять их число?

По умолчанию используются 3 категории:  «неконфиденциально», «конфиденциально», «строго конфиденциально».

Как реализованы шаблоны грифов конфиденциальности для MS Word?

Реализованы  в виде rtf-файла. Внутри файла шаблоны Грифа1 и Грифа2 отделены друг от друга разрывом раздела. Изменение и добавление новых шаблонов грифа в rtf-файл выполняет администратор безопасности.

Как функционируют механизмы ЗПС (замкнутой программной среды)?

Доступ ограничивается теми программами, которые необходимы пользователям для работы.

Т.е. Механизм ЗПС позволяет сформировать для любого пользователя компьютера программную среду, определив индивидуальный перечень разрешенных программ.

ЗПС предназначен для ограничения доступа пользователей к исполняемым файлам.

Механизм ЗПС обеспечивает:

- политику «запрещено всё, что явно не разрешено».

- предотвращение запуска одноименных программ со сменных или сетевых дисков за счет указания полных путей к файлам.

- запрет модификации или подмены существующих программ.

- автоматизированную процедуру построения списка разрешенных для запуска программ.

Назовите режимы функционирования ЗПС.

Мягкий и жесткий. Мягкий нужен для настройки механизма, жесткий – это основной штатный режим работы.

В «мягком» режиме пользователю разрешается запускать любые программы. Если при этом пользователь запускает программы, не входящие в перечень разрешенных, в журнале Секрет НЕТ регистрируются соответствующие события НСД.

В «жестком» режиме допускается запуск только разрешенных программ. Запуск других программ блокируется, а в журнале Секрет НЕТ регистрируются события НСД.

Какие привилегии связаны с шифрованием файлов?

Пользователь должен иметь привилегию «Шифрование файлов: Создание шифрованного ресурса». Администратор с привилегией «Шифрование файлов: Удаление шифрованного ресурса при отсутствии ключа», может удалить любой шифрованный ресурс не имея ключа доступа к нему.

Как генерируются и хранятся ключи пользователей?

ОК пользователей хранятся в локальной БД Секрет НЕТ, ЛК – в персональном идентификаторе пользователя.

Пары ключей ресурсов SKr, PKr  и пользователей SKu, PKu генерируются в соответствие с ГОСТ 3410-2001. Ключи шифрования ресурса Kr и файла Kf генерируются с помощью датчика случайных чисел в соответствие с ГОСТ 28147-89.

Какие алгоритмы используются в подсистеме шифрования файлов?

Для ключей, хранящихся в зашифрованном виде, используется режим гаммирования с обратной связью ГОСТа 28147-89. Для хранения ключей шифрования могут использоваться идентификаторы iButton, eToken, дискеты и сменные носители.

Как происходит шифрование файла?

  1. генерируется ЛК и ОК ресурса SKr,PKr и ключ шифрования ресурса Kr.

  2. по ЛК пользователя SKu и ОК ресурса PKr  с помощью алгоритма Диффи-Хеллмана вычисляется сессионный ключ SKur.

  3. в создаваемый файл !Res.key сохраняются ОК ресурса PKr, зашифрованный на ключе SKur ключ шифрования в ЛК ресурса (Kr)SKur  и  (SKr)SKur

  4. из файла !Res.key считывается ОК ресурса PKr.

  5. по нему и ЛК пользователя SKu с помощью алгоритма Диффи-Хеллмана вычисляется сессионный ключ SKur.

  6.  с его помощью расшифровывается (Kr)SKur  определяют ключ шифрования ресурса Kr.

  7. генерируется ключ шифрования файла Kf, на котором шифруется содержимое файла. На ключе шифрования ресурса Kr зашифровывается ключ шифрования файла (Kf)Kr и помещается в отдельный служебный файл.

Как происходит расшифровка файла?

1) из файла !Res.key считывается ОК ресурса PKr.

2) на основе ОК ресурса PKr и ЛК пользователя SKu вычисляется сессионный ключ SKur.

3) с его помощью из (Kr)SKur вычисляется ключ шифрования ресурса Kr.

4) из служебного файла считывается (Kr)Kr и расшифровывается Kf, с помощью которого расшифровывается содержимое файла.

5) при последующем сохранении файла происходит его зашифрование на Kf.   

Как предоставляется доступ к шифрованному файлу другому пользователю?

1) владелец ресурса в свойствах каталога выбирает в списке имя пользователя, которому будет разрешен доступ к ресурсу.

2) на основании ЛК владельца SKu и ОК ресурса PKu из файла !Res.key вычисляется сессионный клюя SKur, с помощью которого расшифровываются ключи SKu и Kr.

3) вычисляется значение сессионного ключа для нового пользователя ресурса SKu2r на основании ЛК ресурса SKu и ОК нового пользователя PKu2.

4) ключи SKr и Kr зашифровываются на сессионном ключе нового пользователя и сохраняются в файле !Res.key в виде дополнительного управляющего блока.

5) ключ SKr записывается только в том случае, если новому пользователю дано право на управление ресурсом.

Какие объекты и какие их параметры могут контролироваться на целостность?

Объекты контроля могут быть файла, каталоги, элементы системного ресурса и секторы дисков.

Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. Для каждого объекта рассчитываются эталонные значения контролируемых парметров.

30. Что такое модель данных?

Модель данных — это абстрактное, самодостаточное, логическое определение объектов, операторов и прочих элементов, в совокупности составляющих абстрактную машину доступа к данным, с которой взаимодействует пользователь.

В модели используются 5 категорий объектов:

1. ресурсы 2.группа ресурсов 3.задачи 4.задания 5.субъекты активности

Какие алгоритмы могут использоваться для контроля целостности?

CRC7, ЭЦП, ХЭШ, имитовставка, полное совпадение.

Какие используются методы контроля конфигурации аппаратуры, что контролируется?

Используются 2 метода контроля конфигурации:

1)Статический -  при загрузке компьютера и входе пользователя подсистема получает информацию об актуальной аппаратной конфигурации и сравнивает ее с эталонной.

2)Динамический – драйвер фильтр устройств отслеживает подключения или изъятие устройств.

Контролируется:

1)процессоры,ОЗУ

2)физические и логические диски

3)последовательные и параллельные порты

4)сетевые адаптеры

5)ПАК «Соболь», Секрет НЕТ Touch Memory Card

6)устройства, подключаемые к шинам USB, PCMCI и IEEE 1394

Что такое функциональный контроль?

Предусмотрен контроль целостности самой защиты, который называется функциональный контроль и предназначен для обеспечения гарантии того, что к моменту входа пользователь в ОС загружены и функционируют все ключевые компоненты Секрет НЕТ.

Какие возможности программы просмотра журналов?

Она позволяет:

1.осуществлять выбор необходимого журнала(штатный журнал ОС или журнал Секрет НЕТ).

2.получить подробную информацию о каком-либо событии.

3.осуществить фильтрацию.

4.сортировать записи

5.осуществить поиск необходимых записей.

6.преобразовать все или выбранные записи журнала в файл формата mbd,evt.

Какие имеются способы сортировки и фильтрации?

Способы сортировки: оперативно и по заданным параметрам.

Способы фильтрации: оперативно и заданным параметрам.

Фильтрация: при оперативной фильтрации из загруженных записей журнала можно оперативно отобразить для просмотра записи о событиях, имеющих определенный тип и зарегестрированных  в течении некоторого промежутка времени.

Какие форматы файлов поддерживаются при экспорте журналов?

mbd и evt.

Secret NET. Средства разграничения доступа. Понятие дискреционного и мандатного доступа. Их реализация в Secret NET. Привилегии пользователей. Управление в Secret NET/

Механизмы разграничения доступа и защиты ресурсов.

Все ресурсы компьютера в SecretNet делятся на 3 типа

- ресурсы файловой системы

- аппаратные ресурсы

- ресурсы ОС

SecretNet включает несколько механизмов разграничения доступа пользователей к ресурсам компьютера :

- механизм избирательного разграничения доступа

- механизм полномочного разграничения доступа

- механизм замкнутой программной среды.

Механизм полномочного разграничения доступа и механизм замкнутой программной среды применяются только к ресурсам файловой системы

Дискреционное разграничение доступа.

Для дискреционного разграничения доступа к ресурсам файловой системы, системному реестру и системным средствам управления компьютером используются стандартные механизмы ОС Windows XP. Для разграничения доступа к дискам, портам и другим устройствам используются средства SecretNet - механизм разграничения доступа к устройствам. Все устройства подключаемые к защищенным ПК делятся на 5 групп: локальные,USB,PCMCI,IEEE1394,SD. Группы включаются в себя классы, а те уже сами устройства.

Разграничение доступа пользователей к устройствам выполняется на основании списков устройств, формируемых механизмом контроля аппаратной конфигурации. При установке SecretNet  -устанавливаются и права доступа к устройствам по умолчанию. Они предоставляют полный доступ трем стандартным группам пользователей - Система, Администраторы, Все. к устройствам компьютера - т.е всем пользователям разрешен доступ без ограничения ко всем устройствам подключенным к компьютеру на момент установки ПО.

Права доступа складываются из разрешения и запретов на выполнение определенных операций. Набор операций зависит от типа устройства.

Механизм разграничения доступа к устройствам может работать в следующих режимах:

Жесткий - несанкционированные операции пользователя запрещаются.

мягкий - несанкционированный доступ разрешается, но регистрируется

отключение - доступ к устройствам не контролируется и не регистрируется.

Если в процессе работы в системе появляется новое устройство, система защиты определяет его и относит к соответствующей группе (классу). Доступ пользователей к этому устройству устанавливается автоматически в соответствии с правилами действующими для группы или класса устройства. в рамках локальной политики права доступа для каждого объекта определяются в соответствии с правилами наследования  от групп к классам, от классов к устройствам.

Администрирование

Средства управления Secret Net - для локальный и доменных пользователей встроены в стандартную оснастку "Управление компьютером" группы "Администрирование" панели управления, доступной через опцию "Управление компьютером", группы программ Secret Net с их помощью можно управлять:

1.персональными идентификаторами пользователей.

2.криптографическими ключами пользователей

3.уровнем допуска пользователей к конфиденциальной информации.

Для настройки параметров для доменного пользователя работающего на данном компьютере, необходимо его зарегистрировать в ПО. далее присвоить ему персональные идентификаторы

Привилегии  пользователей

В  механизме  полномочного  разграничения  доступа  используются 3  привилегии

пользователя:

  1.  Управление категориями конфиденциальности  :

Пользователь может изменять (повышать и понижать) категорию конфиденциальности как файла, так и каталога в рамках своего уровня доступа. Пользователь может изменять значение параметра автоматического наследования категории конфиденциальности у каталогов

  1.  Печать конфиденциальных документов :

Используется для разрешения пользователю выводить на принтер конфиденциальные документы. Привилегия применяется при включенном режиме

контроля печати конфиденциальных документов.

  1.  Вывод конфиденциальной информации  :

Пользователю разрешается выводить конфиденциальную информацию на внешние носители.

Привилегия "Управление категориями конфиденциальности" предоставляется пользователям,  уполномоченным  изменять  категории  конфиденциальности  ресурсов (файлов  и каталогов). Привилегия может быть предоставлена пользователю только в том случае, если ему установлен уровень допуска "конфиденциально" или "строго конфиденциально". Пользователь, не имеющий данной привилегии, может только повышать категорию конфиденциальности файла в пределах уровня конфиденциальности сессии.  Привилегии "Печать  конфиденциальных  документов"  и "Вывод  конфиденциальной информации"  используются  соответственно  в  режимах  контроля  печати  и  вывода конфиденциальной информации на внешние носители

Так же  как и  уровни допуска, привилегии предоставляются доменным пользователям — средствами централизованного управления, а локальным — средствами локального управления.

После установки Secret Net 5.0 пользователи по умолчанию привилегий не имеют.


 

А также другие работы, которые могут Вас заинтересовать

63477. ЖИЗНЕННЫЙ ЦИКЛ ИНФОРМАЦИОННЫХ СИСТЕМ 582.5 KB
  Каждый этап заканчивается получением некоторых результатов которые служат в качестве исходных данных для последующего этапа. План составляется на основе статистических данных полученных в предыдущих проектах и личного опыта разработчиков. Если же разрабатывается крупномасштабная система например масштаба...
63478. СЕТЕВАЯ БЕЗОПАСНОСТЬ 151 KB
  Что же угрожает обычному пользователю сети? Для автономной локальной сети, которая не подключена к Интернету, угрозы извне не страшны. Эта оговорка не касается беспроводных сетей, исправно транслирующих данные пользователя, пусть зашифрованные, на большие расстояния.
63481. Сутнісна характеристика потенціалу підприємства 52 KB
  У вітчизняній економічній літературі цей термін трактують як можливості, наявні сили, запаси, засоби, які можуть бути використані, або як рівень потужності у будь-якому відношенні, сукупність засобів, необхідних для чого-небудь.
63483. Формування потенціалу підприємства 218 KB
  Інформація як смстемоутворюючий компонент потенціалу Сутність виробничо-економічної інформації Інформація сукупність відомостей про стан керованої системи та зовнішнього середовища. Збирання та обробка інформації щодо діяльності...
63485. Конкурентоспроможність потенціалу підприємства 47.5 KB
  Конкурентоспроможність потенціалу підприємства – комплексна порівняльна характеристика, яка відображає рівень переважання сукупності показників оцінки можливостей підприємства, що визначають його успіх на певному ринку за певний проміжок часу...