Учебное пособие по ИБ (Лекции по информационной безопасности), страница 21

Общие сведения о средствах защитыинформации от НСД (средствобезопасной аутентификации «eToken»,электронный замок «Соболь», системы«Страж-NT», «Secret Net», «eLock»,«Dallas lock», «Аккорд», «Спектр-Z» идругие).1.3. Электронный замок «Соболь».Система защиты электронный замок«Соболь»«Соболь»«Соболь – PCI»СЗИ предназначено дляпредотвращения доступа постороннихлиц к информации, хранящейся наПЭВМ, и регистрации попыток доступа кПЭВМ. Электронный замок «Соболь»разработан научно-инженернымпредприятием «ИНФОРМЗАЩИТА»Состав «Соболь»•-печатная плата (контроллер «Соболь»/«Соболь-PCI») с установленной наней микросхемой ПЗУ, содержащей расширение BIOS, и другими аппаратнымисредствами, необходимыми для выполнения функций системы;•-программное обеспечение, поставляемое на дискетах;•-набор аксессуаров, предназначенных для взаимодействия пользователя ссистемой - считыватель Touch Memory, 2 идентификатора DS-1992, Интерфейсдля блокировки загрузки с FDD, Интерфейс для блокировки загрузки с CD-ROM;документация (руководство пользователя и администратора).169Электронный замок «Соболь» обеспечивает:•регистрацию пользователей компьютера;•запрос персонального идентификатора и пароля пользователяпри загрузке компьютера;•возможность блокирования входа в системузарегистрированного пользователя;•ведение журнала, в котором производится регистрация входовпользователей, настроек электронного замка и т.п.;•контроль целостности файлов на жестком диске;•контроль целостности физических секторов жесткого диска;•аппаратную защиту от несанкционированной загрузкиоперационной системы с гибкого диска и CD-ROM диска;•синхронизацию базы данных Электронного замка “Соболь” иБД системы защиты;•формирование последовательности случайных чисел спомощью встроенного физического датчика случайных чисел (ФДСЧ).Установка электронного замка «Соболь»- производится установка программного обеспечения инастройка подсистемы контроля целостности (если этонеобходимо);- плата Электронный замок переключается в режиминициализации и помещается в свободный разъем системнойшины ISA/PCI компьютера;- выполняется процедура инициализации системыЭлектронный замок;- плата Электронный замок переключается в режимобычной работы и помещается в компьютер.

При этом, еслиэто необходимо, производится подключение интерфейсныхкабелей, обеспечивающих работу подсистемы запретазагрузки со съемных носителей, к устройствам чтения гибкихдисков и CD ROM дисков и к плате Электронный замок.170Варианты применения системы «Соболь» итребования к оборудованию и ПОКак автономное устройство, обеспечивающее защиту автономногокомпьютера, а также рабочей станции или сервера, входящих всостав локальной вычислительной сетиКакустройство,обеспечивающеезащитуавтономногокомпьютера, рабочей станции сети или сервера в составе системыSecret Net.Как с использованием подсистем контроля целостности и запретазагрузки со съемных носителей, так и без них.Система Электронный замок может быть установлена только на компьютеры,оснащенные процессорами семейства INTEL X86 (или совместимыми сними), начиная с процессора i386 и выше.Операционные системы: MS DOS версий 5.0-6.22;операционные системы семейства Windows’9x (Windows 95, OSR2, Windows 98) сфайловой системой FAT16 или FAT32;ОС Windows NT версий 3.51 и 4.0 с файловой системой NTFS, Windows 2000.Особенности установки ПО системы «Соболь»Программа установки создает каталог C:\SOBOL (если он не создан),копирует файлы программного обеспечения в этот каталог иформирует шаблоны контроля целостности.

В шаблоны контроляцелостности по умолчанию включаются следующие файлы и сектора:из корневого каталога диска C: файлы MSDOS.SYS, IO.SYS, COMMAND.COM;•все файлы подкаталога SYSTEM из каталога ОС Windows, имеющиерасширения *.SYS, *.DRV, *.VXD;•сектора - MASTER BOOT RECORD, BOOT SECTOR, PARTITION TABLE.При установке на компьютер, работающий под управлением операционнойсистемы Windows NT, в шаблоны контроля целостности по умолчаниювключаются следующие файлы и сектора:•из корневого каталога диска C: файлы NTLDR, BOOT.INI,NTDETECT.COM;•все файлы подкаталогов SYSTEM32 и DRIVERS из каталога ОС WindowsNT, имеющие расширения *.SYS, *.DRV;•сектора - MASTER BOOT RECORD, BOOT SECTOR, PARTITION TABLE.171Подготовка платы замка “Соболь”к работеПри подготовке платы Электронный замок к работеопределяются следующие основные параметры ееработы:1.

Адрес порта ввода/вывода, который будетиспользоваться при считывании информации изпамяти персонального идентификатора и записиинформации в эту память;2. Адрес ROM BIOS, начиная с которого в памятикомпьютера будет размещаться расширение BIOS,содержащееся в ПЗУ платы.Администрирование электронного замка "Соболь"1. Идентификация и аутентификация пользователей.2. Регистрация попыток доступа к ПЭВМ.•••••Факт входа пользователя;Введение неправильного пароля;Предъявление не зарегистрированного идентификатора пользователя;Превышение числа попыток входа в систему;Другие события.3. Контроль целостности программной среды4.

Запрет загрузки со съемных носителейАдминистрирование электронного замка «Соболь» выполняетсяв строгом соответствии с поставляемыми руководствами:••••Электронный замок «Соболь». Руководство пользователя (14л).Электронный замок «Соболь». Руководство администратора (84л).Программно-аппаратный комплекс «Соболь-PCI». Руководствопользователя (15л).Программно-аппаратный комплекс «Соболь-PCI». Руководствоадминистратора (77л).172Администрирование электронного замка "Соболь"Экранные формыСЗИ от НСД«Соболь»Преимущества электронного замка «Соболь»•Самая низкая по сравнению с аналогичными продуктамицена – порядка 150 долларов «Соболь» для стандарта ISA ипорядка 200 долларов «Соболь-PCI»;•Датчик случайных чисел, соответствующий требованиямФАПСИ.•Простота установки, настройки и администрирования.•Современная элементная база, обеспечивающая высокуюнадежность и долговечность.•Возможность установки в любой IBM-совместимыйперсональный компьютер, имеющий свободный разъемстандарта ISA или PCI.173Вопрос занятия:1.

Общие сведения о средствах защитыинформации от НСД (средствобезопасной аутентификации «eToken»,электронный замок «Соболь», системы«Страж-NT», «Secret Net», «eLock»,«Dallas lock», «Аккорд», «Спектр-Z» идругие).1.4. Программная система защитыинформации от НСД СТРАЖ NT/2000МДЗ.Назначение СЗИ от НСД “Страж NT/2000 МДЗ”Страж NT/2000 МДЗ – специализированный программный комплексдля обеспечения безопасности информации, хранимой и обрабатываемойна ПК, построенных на Intel-платформе в среде операционных систем (ОС)Microsoft Windows NT 4.0 (Server, Workstation) и Microsoft Windows 2000(Server, Professional).Минимальные требования к ПК для установкиСЗИ Страж NT/2000 МДЗ :-•••••процессор Pentium 200 MHz или выше;BIOS -– Award Modular BIOS версии 6.00;объем оперативной памяти – не менее 32 Mb;свободное место на жестком диске – не менее 3 Mb;привод для работы с 3,5” НГМД 1,44 Mb или привод CD-ROM;монитор не хуже VGAманипулятор типа «мышь»;свободный USB-порт.174Ресурсы СЗИ “Страж NT/2000 МДЗ”Атрибутами защиты в СЗИ являются - список контролядоступа, гриф секретности и другие.Доступ к защищаемым ресурсам контролируется системойзащиты.

Защищаемыми ресурсами в СЗИ Страж NT/2000 МДЗявляются:•локальные диски; •каталоги;•файлы;•порты ввода-вывода;•порты принтера; •НГМД, D-ROM и другие устройства.СЗИ Страж NT/2000 МДЗ включает в себя следующие модули:модуль доверенной загрузки,ядро защиты,утилиты администратора (Программа установки и снятияСЗИ, Администратор ресурсов и Менеджер пользователей)файлы настроек.Модель защиты информации “Страж NT/2000 МДЗ”В СЗИ В Страж NT/2000 МДЗ реализована модель защитыинформации, представляющая собой совокупность 9 основныхподсистем:••••••••доверенной загрузки;идентификации и аутентификации;разграничения доступа;контроля потоков информации;управление запуском программ;управления защитой;регистрации;контроля целостности;стирания памяти.В СЗИ Страж NT/2000 МДЗ реализованы дискреционный и мандатныйпринципы контроля доступа.175СЗИ от НСД “Страж NT/2000 МДЗ”Общие мандатные правила разграничения доступа :1)Пользователь получает доступ к ресурсу по чтению в том случае,если текущий допуск прикладной программы, осуществляющей доступ,не ниже грифа секретности данного ресурса.

В противном случае ресурсдля прикладной программы будет недоступен на чтение и невидим.2)Пользователь получает доступ к ресурсу по чтению и записи в томслучае, если текущий допуск прикладной программы, осуществляющейдоступ, равен грифу секретности данного ресурса.3)Пользователь получает доступ к ресурсу на добавление данных втом случае, если текущий допуск прикладной программы,осуществляющей доступ, не выше грифа секретности данного ресурса.При этом защищаемый ресурс невиден для пользователя.4) При создании нового ресурса ему присваивается гриф секретности,равный текущему допуску прикладной программы.Создание системы защиты и установка “Страж”Создание системы защиты информации требует выполнения следующихобязательных шагов:•разработка политики безопасности АС;•подготовка компьютера к установке СЗИ;•процесс установки СЗИ Страж NT/2000 МДЗ;•первоначальная загрузка операционной системы.Установка состоит из ряда последовательных операций:•запуск программы установки;•ввод лицензионного номера системы защиты;•копирование файлов системы защиты на жесткий диск;•автоматический запуск утилиты WinFlash для работы с BIOS;•настройка компьютера;•ввод пароля и создание персонального идентификатораадминистратора безопасности;•запись в Flash память образа BIOS с модулем довереннойзагрузки;•завершение программы установки и перезагрузка компьютера.176СЗИ от НСД “Страж NT/2000 МДЗ”Экранные формы СЗИ от НСД «Страж»Настройка СЗИ от НСД “Страж NT/2000 МДЗ”Состоит:•формирование спискапользователей иназначение им полномочий;•определение владельцевзащищаемых ресурсов;определение мандатныхправ;•определениедискреционных ПРД назащищаемые ресурсы;•формирование замкнутойпрограммной средыпользователей;•настройка средстврегистрации;•настройка средствконтроля целостностизащищаемых ресурсов.177Администратор ресурсов «Страж NT/2000 »Изменение грифа секретности ресурсов «Страж »set @GuardNT@=k"%SystemDrive%\Program Files\MicrosoftOffice\Office\winword.exe"178Контроль целостности ресурсов в «Страж NT/2000 »В СЗИ Страж предусмотрены следующие типы контроля целостности:•загрузка – предназначен для контроля целостности только системныхфайлов, т.е.

файлов, находящихся на системном диске компьютера.Контроль целостности осуществляется автоматически при загрузкесистемы. При нарушении целостности для данного типа могут бытьпредприняты следующие действия: регистрация о нарушении целостностив журнале контроля целостности или останов системы с разрешениемдальнейшего входа только администратору безопасности.•автомат – предназначен для контроля целостности любых файлов всистеме. Контроль целостности осуществляется автоматически призагрузке системы. При нарушении целостности для данного типа можетбыть установлена только регистрация о нарушении целостности в журналеконтроля целостности;•открытие – контроль целостности осуществляется при открытии файлана чтение. При нарушении целостности файла происходит ошибкаоткрытия файла с кодом «ошибка контрольной суммы».Аудит в «Страж NT/2000 »В Страж NT/2000 МДЗ реализована дополнительная регистрация :открытие файла; удаление файла; печать файла;установка атрибутов файла;запуск программы; и другие.Для таких событий регистрируется следующая информация:дата и время события; тип события;•реквизиты пользователя, осуществлявшего доступ;•имя объекта доступа (имя ресурса);•типы запрашиваемого доступа;•результат запроса (попытка в случае отказа).Для событий, возникающих при нарушении целостности ресурсов,регистрируется следующая информация:•дата и время обнаружения нарушения целостности;•тип нарушения целостности;•имя объекта (имя ресурса).179Вопрос занятия:1.

Общие сведения о средствах защитыинформации от НСД (средствобезопасной аутентификации «eToken»,электронный замок «Соболь», системы«Страж-NT», «Secret Net», «eLock»,«Dallas lock», «Аккорд», «Спектр-Z» идругие).1.5. Программно-аппаратная системазащиты информации от НСД «SecretNet».СЗИ от НСД «Secret Net»Программно-аппаратная система защиты информациисемейства Secret Net 4.0 и Secret Net 2000 предназначены дляобеспечения информационной безопасности как в локальной сетипредприятия, так и на автономных рабочих станциях.Система Secret Net 4.0 обеспечивает решение следующих задач:•единое управление безопасностью в гетерогенных системах;•возможность управления безопасностью в бизнес-терминах;•контроль за изменениями, происходящими в ИС, и оповещение оних администратора безопасности;•централизованный сбор, хранение и обработка системныхжурналов;Система защиты информации Secret Net выпускается в автономноми сетевом вариантах.180Варианты использования СЗИ от НСД «Secret Net»Автономный вариант - состоит только из клиентской части Secret Netи предназначен для обеспечения защиты автономных компьютеров илирабочих станций и серверов сети, содержащих важную информацию.Сетевой вариант - состоит из клиентской части, подсистемыуправления, сервера безопасности и позволяет реализовать защиту, каквсех компьютеров сети, так и только тех рабочих станций и серверов,которые хранят и обрабатывают важную информацию.