32434

Secret Net5.0-C, архитектура СЗИ НСД, состав семейства, администрирование системы и пользователей, организация разграничения доступа, контроль целостности, аудит

Реферат

Информатика, кибернетика и программирование

0C архитектура СЗИ НСД состав семейства администрирование системы и пользователей организация разграничения доступа контроль целостности аудит.Разграничение доступа и зашиты ресурсов.Разграничение доступа к устройствам компьютера. Механизм разграничения доступа к устройствам РДУ предназначен для разграничения доступа к устройствам с целью предотвращения несанкционированной утечки информации с защищаемого компьютера.

Русский

2013-09-04

4.13 MB

41 чел.

Secret Net5.0-C, архитектура СЗИ НСД, состав семейства, администрирование системы и пользователей, организация разграничения доступа, контроль целостности, аудит.

Secret Net5.0-C – предназначена для защиты от НСД к информационным ресурсам компьютера, функционирующих на платформах операционных систем(ОС) MS Windows 2000/XP/2003. Компьютер с установленной системой может работать автономно (без подключения к сети), в одноранговой сети или в сети с доменной организацией.

Secret Net5.0-C не подменяет стандартные защитные механизмы ОС Windows ,и не ограничивает возможность их использования, а расширяет их за счет дополнительных программ и аппаратных средств, Secret Net5.0-C использует компоненты ОС Windows:

1.Средства идентификации и аутентификации

2.Средства избирательного управления доступом

3.Механизм временной блокировки компьютера

4.Журнал безопасности Windows 

5.Локальную БД ОС Windows (SAM).

Secret Net5.0-C дополняет данные компоненты своими защитными механизмами, повышая защищенность всей автоматизированной ИС предприятия в целом. К их числу можно отнести механизмы:

1.Контроль входа в систему с использованием аппаратных средств.

2.Разграничение доступа и зашиты ресурсов.

3.Полномочного разграничения.

4.Доступ к объектам файловой системы.

5.Замкнутой программной среды.

6.Шифрование файлов.

7.Разграничение доступа к устройствам компьютера.

8.Затирание информации, удаляемой с дисков компьютера.

9.Контроля и регистрации.

 1. механизм функционального контроля

 2. механизм регистрации событий безопасности

 3. механизм контроля целостности

 4. механизм контроля аппаратной конфигурации компьютера

Структура Secret Net5.0-C:

Ядро системы защиты – программа, которая автоматически запускается на защищенном компьютере при его включении.

Подсистема регистрации  - входит в состав ядра и предназначена для управления регистрацией в журнале секрет нет событий, связанных с работой системы защиты.

Подсистема управления – предоставляет средства для настройки защитных механизмов системы.

БД Секрет НЕТ – предназначена для хранения информации о настройках системы защиты.

Общая структура организации модулей защитных подсистем:

Какие аппаратные идентификаторы используются в Секрет НЕТ?

iButton и eToken.

 При обращении пользователя к ресурсам компьютера (файлам или устройствам) драйверы-фильтры перехватывают это сообщение. Далее управление переходит к драйверам защитных подсистем, которые выполняют профильные действия, соответствующие цели обращения пользователя к ресурсу.

 Подсистема контроля входа ОС Windows обеспечивает идентификацию и аутентификацию пользователя при входе его в систему. Подсистема включает в себя модуль идентификации пользователя, а также может содержать средства аппаратной поддержки и программу-драйвер для управления ими.

 Механизм разграничения доступа к устройствам (РДУ) предназначен для разграничения доступа к устройствам с целью предотвращения несанкционированной утечки информации с защищаемого компьютера.

 Механизм полномочного разграничения доступа обеспечивает осуществление доступа в соответствии с категорией конфиденциальности, присвоенной информации, и уровнем доступа пользователя к конфиденциальной информации.

 Механизм замкнутой программной среды позволяет сформировать для любого пользователя компьютера программную среду определив индивидуальный перечень разрешенных программ.

 Затирание информации на дисках необходимо для предотвращения восстановления и повторного использования удаляемой информации.

 Механизм контроля целостности осуществляет слежение за неизменностью контролируемых объектов с целью защиты их от модификации.

 В Secret Net5.0-C имеется возможность использование пяти вариантов аппаратной поддержки системы – четырёх сертифицированных и пятого дополнительного, несертифицированного.

 

Что может использоваться для хранения криптографических ключей?

Сменные носители, дискеты, Flash карты, USB Flash накопители ит.д.

Какие имеются режимы аутентификации?

Стандартный, смешанный,  только по идентификатору.

Что из себя представляет усиленная аутентификация?

Основан на дополнительной проверки при входе пользователя в систему подлинности его ЛК, хранящегося в электронном идентификаторе.

Когда происходит блокировка компьютера?

Происходит при нарушении:

- функциональной целостности Секрет НЕТ.

- аппаратной конфигурации компьютера.

- целостности контролируемых объектов.

Разблокировать компьютер может только администратор.

Приведите используемую в системе классификацию типов ресурсов.

Все ресурсы компьютера в Секрет НЕТ делятся на 3 типа:

- ресурсы файловой системы

- аппаратные ресурсы

- ресурсы ОС.

Какие механизмы разграничения доступа пользователей к ресурсам включает в себя Секрет НЕТ?

1) механизм избирательного разграничения доступа

2) механизм полномочного разграничения доступа

3) механизм замкнутой программной среды

Для чего предназначен механизм полномочного разграничения доступа?

Применяется только к ресурсам файловой системы.

Какие имеются категории конфиденциальности? Можно ли менять их число?

По умолчанию используются 3 категории:  «неконфиденциально», «конфиденциально», «строго конфиденциально».

Как реализованы шаблоны грифов конфиденциальности для MS Word?

Реализованы  в виде rtf-файла. Внутри файла шаблоны Грифа1 и Грифа2 отделены друг от друга разрывом раздела. Изменение и добавление новых шаблонов грифа в rtf-файл выполняет администратор безопасности.

Как функционируют механизмы ЗПС (замкнутой программной среды)?

Доступ ограничивается теми программами, которые необходимы пользователям для работы.

Т.е. Механизм ЗПС позволяет сформировать для любого пользователя компьютера программную среду, определив индивидуальный перечень разрешенных программ.

ЗПС предназначен для ограничения доступа пользователей к исполняемым файлам.

Механизм ЗПС обеспечивает:

- политику «запрещено всё, что явно не разрешено».

- предотвращение запуска одноименных программ со сменных или сетевых дисков за счет указания полных путей к файлам.

- запрет модификации или подмены существующих программ.

- автоматизированную процедуру построения списка разрешенных для запуска программ.

Назовите режимы функционирования ЗПС.

Мягкий и жесткий. Мягкий нужен для настройки механизма, жесткий – это основной штатный режим работы.

В «мягком» режиме пользователю разрешается запускать любые программы. Если при этом пользователь запускает программы, не входящие в перечень разрешенных, в журнале Секрет НЕТ регистрируются соответствующие события НСД.

В «жестком» режиме допускается запуск только разрешенных программ. Запуск других программ блокируется, а в журнале Секрет НЕТ регистрируются события НСД.

Какие привилегии связаны с шифрованием файлов?

Пользователь должен иметь привилегию «Шифрование файлов: Создание шифрованного ресурса». Администратор с привилегией «Шифрование файлов: Удаление шифрованного ресурса при отсутствии ключа», может удалить любой шифрованный ресурс не имея ключа доступа к нему.

Как генерируются и хранятся ключи пользователей?

ОК пользователей хранятся в локальной БД Секрет НЕТ, ЛК – в персональном идентификаторе пользователя.

Пары ключей ресурсов SKr, PKr  и пользователей SKu, PKu генерируются в соответствие с ГОСТ 3410-2001. Ключи шифрования ресурса Kr и файла Kf генерируются с помощью датчика случайных чисел в соответствие с ГОСТ 28147-89.

Какие алгоритмы используются в подсистеме шифрования файлов?

Для ключей, хранящихся в зашифрованном виде, используется режим гаммирования с обратной связью ГОСТа 28147-89. Для хранения ключей шифрования могут использоваться идентификаторы iButton, eToken, дискеты и сменные носители.

Как происходит шифрование файла?

  1. генерируется ЛК и ОК ресурса SKr,PKr и ключ шифрования ресурса Kr.

  2. по ЛК пользователя SKu и ОК ресурса PKr  с помощью алгоритма Диффи-Хеллмана вычисляется сессионный ключ SKur.

  3. в создаваемый файл !Res.key сохраняются ОК ресурса PKr, зашифрованный на ключе SKur ключ шифрования в ЛК ресурса (Kr)SKur  и  (SKr)SKur

  4. из файла !Res.key считывается ОК ресурса PKr.

  5. по нему и ЛК пользователя SKu с помощью алгоритма Диффи-Хеллмана вычисляется сессионный ключ SKur.

  6.  с его помощью расшифровывается (Kr)SKur  определяют ключ шифрования ресурса Kr.

  7. генерируется ключ шифрования файла Kf, на котором шифруется содержимое файла. На ключе шифрования ресурса Kr зашифровывается ключ шифрования файла (Kf)Kr и помещается в отдельный служебный файл.

Как происходит расшифровка файла?

1) из файла !Res.key считывается ОК ресурса PKr.

2) на основе ОК ресурса PKr и ЛК пользователя SKu вычисляется сессионный ключ SKur.

3) с его помощью из (Kr)SKur вычисляется ключ шифрования ресурса Kr.

4) из служебного файла считывается (Kr)Kr и расшифровывается Kf, с помощью которого расшифровывается содержимое файла.

5) при последующем сохранении файла происходит его зашифрование на Kf.   

Как предоставляется доступ к шифрованному файлу другому пользователю?

1) владелец ресурса в свойствах каталога выбирает в списке имя пользователя, которому будет разрешен доступ к ресурсу.

2) на основании ЛК владельца SKu и ОК ресурса PKu из файла !Res.key вычисляется сессионный клюя SKur, с помощью которого расшифровываются ключи SKu и Kr.

3) вычисляется значение сессионного ключа для нового пользователя ресурса SKu2r на основании ЛК ресурса SKu и ОК нового пользователя PKu2.

4) ключи SKr и Kr зашифровываются на сессионном ключе нового пользователя и сохраняются в файле !Res.key в виде дополнительного управляющего блока.

5) ключ SKr записывается только в том случае, если новому пользователю дано право на управление ресурсом.

Какие объекты и какие их параметры могут контролироваться на целостность?

Объекты контроля могут быть файла, каталоги, элементы системного ресурса и секторы дисков.

Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. Для каждого объекта рассчитываются эталонные значения контролируемых парметров.

30. Что такое модель данных?

Модель данных — это абстрактное, самодостаточное, логическое определение объектов, операторов и прочих элементов, в совокупности составляющих абстрактную машину доступа к данным, с которой взаимодействует пользователь.

В модели используются 5 категорий объектов:

1. ресурсы 2.группа ресурсов 3.задачи 4.задания 5.субъекты активности

Какие алгоритмы могут использоваться для контроля целостности?

CRC7, ЭЦП, ХЭШ, имитовставка, полное совпадение.

Какие используются методы контроля конфигурации аппаратуры, что контролируется?

Используются 2 метода контроля конфигурации:

1)Статический -  при загрузке компьютера и входе пользователя подсистема получает информацию об актуальной аппаратной конфигурации и сравнивает ее с эталонной.

2)Динамический – драйвер фильтр устройств отслеживает подключения или изъятие устройств.

Контролируется:

1)процессоры,ОЗУ

2)физические и логические диски

3)последовательные и параллельные порты

4)сетевые адаптеры

5)ПАК «Соболь», Секрет НЕТ Touch Memory Card

6)устройства, подключаемые к шинам USB, PCMCI и IEEE 1394

Что такое функциональный контроль?

Предусмотрен контроль целостности самой защиты, который называется функциональный контроль и предназначен для обеспечения гарантии того, что к моменту входа пользователь в ОС загружены и функционируют все ключевые компоненты Секрет НЕТ.

Какие возможности программы просмотра журналов?

Она позволяет:

1.осуществлять выбор необходимого журнала(штатный журнал ОС или журнал Секрет НЕТ).

2.получить подробную информацию о каком-либо событии.

3.осуществить фильтрацию.

4.сортировать записи

5.осуществить поиск необходимых записей.

6.преобразовать все или выбранные записи журнала в файл формата mbd,evt.

Какие имеются способы сортировки и фильтрации?

Способы сортировки: оперативно и по заданным параметрам.

Способы фильтрации: оперативно и заданным параметрам.

Фильтрация: при оперативной фильтрации из загруженных записей журнала можно оперативно отобразить для просмотра записи о событиях, имеющих определенный тип и зарегестрированных  в течении некоторого промежутка времени.

Какие форматы файлов поддерживаются при экспорте журналов?

mbd и evt.

Secret NET. Средства разграничения доступа. Понятие дискреционного и мандатного доступа. Их реализация в Secret NET. Привилегии пользователей. Управление в Secret NET/

Механизмы разграничения доступа и защиты ресурсов.

Все ресурсы компьютера в SecretNet делятся на 3 типа

- ресурсы файловой системы

- аппаратные ресурсы

- ресурсы ОС

SecretNet включает несколько механизмов разграничения доступа пользователей к ресурсам компьютера :

- механизм избирательного разграничения доступа

- механизм полномочного разграничения доступа

- механизм замкнутой программной среды.

Механизм полномочного разграничения доступа и механизм замкнутой программной среды применяются только к ресурсам файловой системы

Дискреционное разграничение доступа.

Для дискреционного разграничения доступа к ресурсам файловой системы, системному реестру и системным средствам управления компьютером используются стандартные механизмы ОС Windows XP. Для разграничения доступа к дискам, портам и другим устройствам используются средства SecretNet - механизм разграничения доступа к устройствам. Все устройства подключаемые к защищенным ПК делятся на 5 групп: локальные,USB,PCMCI,IEEE1394,SD. Группы включаются в себя классы, а те уже сами устройства.

Разграничение доступа пользователей к устройствам выполняется на основании списков устройств, формируемых механизмом контроля аппаратной конфигурации. При установке SecretNet  -устанавливаются и права доступа к устройствам по умолчанию. Они предоставляют полный доступ трем стандартным группам пользователей - Система, Администраторы, Все. к устройствам компьютера - т.е всем пользователям разрешен доступ без ограничения ко всем устройствам подключенным к компьютеру на момент установки ПО.

Права доступа складываются из разрешения и запретов на выполнение определенных операций. Набор операций зависит от типа устройства.

Механизм разграничения доступа к устройствам может работать в следующих режимах:

Жесткий - несанкционированные операции пользователя запрещаются.

мягкий - несанкционированный доступ разрешается, но регистрируется

отключение - доступ к устройствам не контролируется и не регистрируется.

Если в процессе работы в системе появляется новое устройство, система защиты определяет его и относит к соответствующей группе (классу). Доступ пользователей к этому устройству устанавливается автоматически в соответствии с правилами действующими для группы или класса устройства. в рамках локальной политики права доступа для каждого объекта определяются в соответствии с правилами наследования  от групп к классам, от классов к устройствам.

Администрирование

Средства управления Secret Net - для локальный и доменных пользователей встроены в стандартную оснастку "Управление компьютером" группы "Администрирование" панели управления, доступной через опцию "Управление компьютером", группы программ Secret Net с их помощью можно управлять:

1.персональными идентификаторами пользователей.

2.криптографическими ключами пользователей

3.уровнем допуска пользователей к конфиденциальной информации.

Для настройки параметров для доменного пользователя работающего на данном компьютере, необходимо его зарегистрировать в ПО. далее присвоить ему персональные идентификаторы

Привилегии  пользователей

В  механизме  полномочного  разграничения  доступа  используются 3  привилегии

пользователя:

  1.  Управление категориями конфиденциальности  :

Пользователь может изменять (повышать и понижать) категорию конфиденциальности как файла, так и каталога в рамках своего уровня доступа. Пользователь может изменять значение параметра автоматического наследования категории конфиденциальности у каталогов

  1.  Печать конфиденциальных документов :

Используется для разрешения пользователю выводить на принтер конфиденциальные документы. Привилегия применяется при включенном режиме

контроля печати конфиденциальных документов.

  1.  Вывод конфиденциальной информации  :

Пользователю разрешается выводить конфиденциальную информацию на внешние носители.

Привилегия "Управление категориями конфиденциальности" предоставляется пользователям,  уполномоченным  изменять  категории  конфиденциальности  ресурсов (файлов  и каталогов). Привилегия может быть предоставлена пользователю только в том случае, если ему установлен уровень допуска "конфиденциально" или "строго конфиденциально". Пользователь, не имеющий данной привилегии, может только повышать категорию конфиденциальности файла в пределах уровня конфиденциальности сессии.  Привилегии "Печать  конфиденциальных  документов"  и "Вывод  конфиденциальной информации"  используются  соответственно  в  режимах  контроля  печати  и  вывода конфиденциальной информации на внешние носители

Так же  как и  уровни допуска, привилегии предоставляются доменным пользователям — средствами централизованного управления, а локальным — средствами локального управления.

После установки Secret Net 5.0 пользователи по умолчанию привилегий не имеют.


 

А также другие работы, которые могут Вас заинтересовать

22969. Структура і архітектура мікропроцесора КР580ВМ80 (8080) 2.99 MB
  Найважливішим елементом у схемі мікропроцесора є мабуть арифметикологічний пристрій АЛП який здійснює обробку інформації. Інформація яка підлягає обробці операнди потрапляє до АЛП з внутрішньої шини даних розрядність якої складає у даного мікропроцесора вісім розрядів. Його можна записати до одного з робочих регістрів РР мікропроцесора: регістрів BCDE.
22970. Як працює мікропроцесор 1.86 MB
  Машинний цикл є процедура звернення процесора до пам’яті чи зовнішнього пристрою для запису читання або обробки інформації. Так наприклад двобайтова команда MVI B A9 тобто записати число А9 у регістр В виконується за два машинні цикли: Звернення до пам’яті за адресою що міститься у лічильнику команд. Пам’ять виставляє на ШД код команди MVI B = 06 H = 0000 0110 B. У другому машинному циклі цей другий байт видобувається з пам’яті і заноситься до робочого регістру В.
22971. Системний контролер.Керуючий пристрій. Мікропрогамування 2.88 MB
  Мікропрогамування Як вже йшлося вище слово стану видається мікропроцесором у першому такті кожного машинного циклу і триває тільки один такт. Тому слово стану повинно десь зберігатися напротязі усього циклу. Роль такого хранителя слова стану виконує спеціальний пристрій що є обов’язковою частиною мікропроцесорної системи і має назву системного контролера. Другою функцією системного контролера є перетворення коду слова стану в керуючі сигнали котрі безпосередньо подаються вже на основну пам’ять або зовнішні пристрої і керують їх роботою.
22972. Системи числення, які застосовуються у мікропроцесорній техніці 713.5 KB
  Так наприклад число 371 може бути розкладено по степенях числа 10 таким чином: 371=3х1027х1011х100 = 300701 Двійкова система числення У електроннообчислювальній техніці зручніше користуватися двійковою системою числення в основі якої лежить число 2. Так наприклад число 1001 є 4 бітовим числом а розглянутий нами вище двійковий еквівалент числа 37110 тобто 101110011 дев’ятибітовим числом. Для цього багаторозрядне двійкове число розбивається на тетради кожна з яких містить по чотири розряди двійкового числа.
22973. Мікропрцесори та малі електронно-обчислювальнні машини (ЕОМ) 1.85 MB
  Будова і принцип дії центральної частини малої ЕОМ Кожна мала електронно обчислювальна машина ЕОМ містить два блоки процесор і основну пам’ять рис. У блоці основної пам’яті зберігається оброблювана інформація і програми за якими вона обробляється. Процес розв’язання будь якої задачі на ЕОМ складається з послідовності елементарних дій котрі може виконувати процесор а саме операції вибірки інформації з пам’яті або запису до неї арифметичні та логічні операції операції порівняння тощо. На кожному кроці обробки інформації процесор...
22974. Робота з зовнішніми пристроями. Паралельний інтерфейс. 6.59 MB
  Але зручніше скористатися спеціальною ВІС паралельним програмованим адаптером ППА типу КР580ВВ55А в міжнародних позначеннях 8255А. ППА спроможний обслуговувати 3 зовнішні пристрої через три свої порти АВ і С кожний по 8 розрядів. вибір кристалу =1 ППА відключений = 0 ППА задіяний. Комбінація що відповідає DРКС означає запис в РКС регістр керуючого слова інструкції про те що має робити ППА.
22975. Послідовний інтерфейс 3.66 MB
  Всі ці функції може виконувати спеціальна ВІС що входить до мікропроцесорного комплекту КР580 і має назву Універсальний Синхронно Асинхронний Програмований Прийомопередавач УСАПП типу КР580ВВ51. УСАПП типу КР580ВВ51 в значній мірі є автономним у своїй роботі. Все інше робить сам УСАПП. При видачі даних МП звертається до УСАПП як до зовнішнього пристрою.
22976. Організація пам’яті мікропроцесорної системи 11.06 MB
  Функції виводів цього ОЗП позначено на рис. R визначає напрямок руху інформації чи то запис до ОЗП чи то читання з нього. ОЗП типу КР541РУ2 Це статичний ОЗП на ТТЛ логіці.
22977. Мікропроцесор КР1810ВМ86 (8086) 6.05 MB
  Але у порівнянні з МП80 він має такі істотні відміни: при збереженні тієї ж nМОН технології була досягнута вища ступінь інтеграції і на кристалі 55 х 55 мм розташовано біля 30 тисяч транзисторів; зменшено інерційність логічних елементів і тактову частоту підвищено до 5 8 МГц; завдяки цьому продуктивність мікропроцесора збільшилась на порядок; розширено розрядність шини даних до 16 розрядів; розширено розрядність шини адреси до 20 розрядів таким чином забезпечено можливість адресувати пам’ять до 1 Мбайт; розширено у кілька разів...