Пояснительная записка к ВКР (1209213), страница 3
Текст из файла (страница 3)
– запрос персонального идентификатора и пароля пользователя при загрузке;
– блокирования входа в систему пользователя при попытках НСД;
– ведение журнала регистрации входов в систему;
– ведение журнала регистрации изменения настроек электронного замка и т.п.
– контроль целостности файлов жесткого диска;
– контроль целостности физических секторов жесткого диска;
– аппаратная защита от загрузки с внешних носителей (с гибкого диска и CD-ROM диска);
– синхронизация базы данных (БД) Электронного замка “Соболь” и БД системы защиты;
– формирование последовательности случайных чисел с помощью встроенного физического датчика случайных чисел.
Система «Соболь» может применяться как автономное устройство обеспечения защиты автономного компьютера, а также рабочей станции или сервера. Так же может применяться как устройство, обеспечения защиты в составе системы Secret Net, или использоваться как с подсистемой контроля целостности и запрета загрузки со съемных носителей, так и без нее.
При вводе комплекса в эксплуатацию администратору необходимо:
– настроить общие параметры комплекса;
– зарегистрировать пользователей комплекса;
– настроить параметры работы пользователей;
– настроить механизм контроля целостности.
Рисунок 2.1 содержит наглядное представление окна настройки параметров при регистрации пользователей.
Рисунок 2.1 – Форма настройки параметров ПАК «Соболь»
2.1.2 Система защиты информации «Страж NT»
Система защиты информации от несанкционированного доступа Страж NТ представляет собой программный комплекс средств защиты информации (СЗИ) с использованием аппаратных идентификаторов. СЗИ от НСД Страж NТ предназначена для комплексной защиты информационных ресурсов от несанкционированного доступа и функционирует в среде 32-х и 64-разрядных операционных систем Microsoft Windows.
Наиболее значимыми атрибутами защиты в СЗИ являются список контроля доступа, гриф секретности и другие. Доступ к защищаемым ресурсам контролируется системой защиты. Ресурсы подлежащие защите:
– локальные диски;
– каталоги;
– файлы;
– порты ввода-вывода;
– порты принтера;
– CD-ROM.
СЗИ Страж NT состоит из таких модулей, как модуль доверенной загрузки, ядро защиты, утилиты администратора (Программа установки и снятия СЗИ, Администратор ресурсов и Менеджер пользователей) и файлы настроек.
В системе защиты Страж NT реализована модель защиты информации, состоящая из девяти основных подсистем, а именно:
– подсистема доверенной загрузки;
– подсистема идентификации и аутентификации;
– подсистема разграничения доступа;
– подсистема контроля потоков информации;
– подсистема управление запуском программ;
– подсистема управления защитой;
– подсистема регистрации событий;
– подсистема контроля целостности;
– подсистема стирания памяти.
В данной система реализованы дискреционный и мандатный принципы контроля доступа, что позволяет проводить гибкую настройку всей системы защиты.
В СЗИ Страж может осуществляться контроля целостности по следующим направлениям:
– загрузка – осуществляется контроль целостности только файлов, находящихся на системном диске компьютера. Процесс контроля целостности осуществляется автоматически при загрузке системы. При нарушении целостности предпринимаются такие действия системы защиты, как регистрация факта нарушения целостности в журнале контроля целостности или полная остановка системы с последующим требованием входа только администратора безопасности;
– автомат – осуществляет контроль целостности любых файлов в системе. Процесс контроля осуществляется автоматически при загрузке системы. При нарушении целостности осуществляется только регистрация факта нарушения целостности в соответствующем журнале;
– открытие – осуществление процесса контроля целостности во время открытии файла. При нарушении целостности файла происходит ошибка открытия файла.
В Страж NT реализован механизм дополнительной регистрации событий. Все события (открытие файла, удаление файла, печать файла, установка атрибутов файла, запуск программ и другие) заносятся в журнал аудита доступа к ресурсам. Для таких событий регистрируется информация о дате и времени события, тип события, реквизиты пользователя осуществившего доступ, имя объекта доступа (имя ресурса), типы запрашиваемого доступа (чтение, изменение, удаление), результат запроса. Для событий, возникающих при нарушении целостности ресурсов, регистрируется информация о дате и времени обнаружения нарушения целостности, тип нарушения целостности и имя объекта (имя ресурса).
2.1.3 Программно-аппаратная система защиты информации «Secret Net»
Программно-аппаратная система защиты информации Secret Net предназначена для обеспечения информационной безопасности как в локальной сети, так и на автономных рабочих станциях.
Система Secret Net решает задачи единого управление безопасностью, контроля за изменениями в информационной системе и оповещения о них администратора безопасности, централизованное ведение системных журналов (сбор, хранение и обработка).
Система защиты информации Secret Net представлена автономным и сетевым вариантами.
Автономный вариант состоит из клиентской части Secret Net и предназначен для обеспечения защиты автономных компьютеров или рабочих станций и серверов сети.
Сетевой вариант - состоит из клиентской части, подсистемы управления и сервера безопасности. Это позволяет реализовать защиту, как всех компьютеров сети, так и рабочих станций обрабатывающих и хранящих информацию ограниченного доступа. Наличие сервера безопасности и подсистемы управления, позволяет обеспечить централизованное управление рабочими станциями и контроль их работы. Система Secret Net построена на архитектуре клиент-сервер, которая обеспечивает централизованное хранение и обработка настроек системы защиты и распределяет работу компонентов, отвечающих за информационную безопасность.
Система защиты информации Secret Net обеспечивает:
– идентификацию пользователей аппаратными средствами (Touch Memory, Proximity Card);
– мандатный доступ пользователей к данным;
– дискреционное управление доступом к конкретным файлам (на локальных и удаленных дисках) в соответствии со степенью конфиденциальности сведений и уровнем допуска пользователя;
– возможность подключения и использования криптографических средств защиты, а так же организация обмена данными между рабочими станциями в криптографической защищенном виде;
– централизованное управление доступом пользователей к общим ресурсам локальной сети;
– контроль работы пользователей;
– оповещение администратора безопасности о событиях НСД;
– централизованная обработка журналов аудита (сбор и анализ);
– контроль целостности прикладных программ.
На рисунке 2.2 представлен интерфейс системы защиты информации Secret Net при настройке свойств пользователя.
Рисунок 2.2 – Окно настройки свойств пользователей в системе защиты информации Secret Net
Окно настройки свойств пользователя содержит следующие вкладки:
– «Идентификатор» – содержит средства управления персональными идентификаторами пользователя;
– «Криптоключ» – содержит средства управления ключами для усиленной аутентификации пользователя;
– «Доступ» – содержит средства управления параметрами полномочного доступа и входа в систему;
– «ПАК «Соболь»» – содержит средства управления доступом пользователя к компьютерам с установленными комплексами "Соболь". Группа присутствует только для доменных пользователей в сетевом режиме функционирования;
– «Сервис» – содержит средства управления ключами централизованного управления ПАК "Соболь" и интеграцией системы Secret Net с программным средством TrustAccess.
Для более подробного ознакомления с методами настройки параметров и методами их определения работнику, разрабатывающему технических проект на создание системы защиты информации, необходимо ознакомится с документацией по администрированию средства защиты информации Secret Net. Руководство по администрированию средства защиты информации Secret Net состоит более чем из трех глав. Для администрирования средства защиты необходимо изучить более 230 страниц.
Рисунок 2.3 демонстрирует окно управления параметрами безопасности в системе защиты информации Secret Net. В диалоговом окне содержатся такие вкладки как:
– «Действие»;
– «Пользователи»;
– «Сервис».
Так же на вкладке содержится информация об именах пользователей, описание, уровень доступа для каждого пользователя, его идентификатор и ключ.
Рисунок 2.3 – Окно программы управления пользователями в системе защиты информации Secret Net
2.1.4 Система «Dallas lock»
Система «Dallas lock» предназначена для предупреждения и предотвращения несанкционированного доступа к ресурсам компьютера и разграничения полномочий пользователей.
Средство защиты информации (СЗИ) Dallas Lock обеспечивает следующие возможности:
– запрет доступа посторонних лиц к ресурсам компьютера и разграничение полномочий пользователей при работе на компьютере;
– средством аутентификации пользователей являются электронные идентификаторы Touch Memory или карты Proximity, благодаря чему реализован высокий уровень защиты;
– запрос идентификатора при входе на рабочую станцию инициируется до загрузки операционной системы, после чего происходит загрузка ОС с жёсткого диска при предъявления зарегистрированного идентификатора и ввода личного пароля, исключая таким образом возможность загрузки с внешних носителей;
– число зарегистрированных пользователей на каждом защищенном компьютере ограничивается только размером свободного дискового пространства, акт же существует возможность регистрации одного пользователя на нескольких рабочих станциях с разными правами и полномочиями.
Администрирование системы «Dallas lock» является непростой задачей, которая требует опыта и компетентности администратора безопасности.
Подсистема администрирования. Включает в себя:
– подсистему локального администрирования. Обеспечивает возможности по управлению средствами защиты информации от НСД, аудиту и настройке параметров, просмотру, фильтрации и очистке журналов. Обеспечивает отображение пунктов в контекстном меню объектов, необходимых для назначения прав доступа к объектам файловой системы, вызова функции принудительной зачистки объектов файловой системы, преобразования;
– подсистему удаленного администрирования. Позволяет выполнять настройку системы защиты с удалённого компьютера;
– подсистему централизованного управления.
Подсистема управления доступом включает в себя:
– подсистему аппаратной идентификации. Осуществляет работу с различными типами аппаратных идентификаторов;
– подсистему доступа к файловой системе, реестру и устройствам, в составе которой:
– модуль доверенной загрузки уровня загрузочной записи.
Подсистема регистрации и учета включает в себя:
– подсистему аудита. Обеспечивает ведение аудита и хранение информации восьми категорий событий в журналах;
– подсистему печати. Обеспечивает разграничение доступа к печати, добавление штампа на документы, сохранение их теневых копий, регистрацию событий печати.
Подсистема идентификации и аутентификации.
Обеспечивает идентификацию и аутентификацию локальных, доменных, терминальных и удаленных пользователей на этапе входа в операционную систему
Рисунок 2.4 представляет внешний вид окна настройки параметров учетных записей в системе «Dallas lock».
Рисунок 2.4 – Окно администрирования учетных записей система «Dallas lock»
Рисунок 2.5 представляет внешний вид окна администрирования параметров прав пользователей в системе «Dallas lock». Окно администрирования содержит такие вкладки как:
– «Права пользователя»;
– «Управление доступом»;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
