ПАЗИ 1. Место пази в системе кзи
Скачать 1.38 Mb.
|
26.Комплекс ПАЗИ SecretNet.Система Secret Net 5.1 предназначена для защиты от несанкционированного доступа к информационным ресурсам компьютеров. Компьютер с установленной системой может работать автономно (без подключения к сети), в одноранговой сети или в сети с доменной организацией. Система Secret Net 5.1 дополняет своими защитными механизмами стандартные защитные средства операционных систем (ОС) и тем самым повышает защищенность всей автоматизированной информационной системы в целом, обеспечивая решение следующих задач: • управление правами доступа и контроль доступа субъектов к защищаемым информационным, программным и аппаратным ресурсам; • управление доступом к конфиденциальной информации, основанное на категориях конфиденциальности; • идентификация и аутентификация пользователей с использованием электронных идентификаторов; • шифрование файлов, хранящихся на дисках (в текущей реализации шифрование файлов не поддерживается на компьютере под управлением ОС Windows Vista); • контроль целостности данных; • контроль аппаратной конфигурации; • дискреционное управление доступом к устройствам компьютера; • регистрация и учет событий, связанных с информационной безопасностью; • временная блокировка работы компьютеров; • затирание остаточной информации на локальных дисках компьютера. Защитные механизмы системы Secret Net 5.1 Защитные механизмы — это программные и аппаратные средства, предназначенные для защиты локальных ресурсов компьютера и представляющие собой набор дополнительных защитных средств, расширяющих средства безопасности ОС Windows. В системе Secret Net 5.1 реализованы следующие защитные механизмы: 1. Механизм защиты входа в систему. 2. Механизмы разграничения доступа и защиты ресурсов: • механизм полномочного разграничения доступа к объектам файловой системы; • механизм замкнутой программной среды; • механизм шифрования файлов; • механизм разграничения доступа к устройствам компьютера; • механизм затирания информации, удаляемой с дисков компьютера. 3. Механизмы контроля и регистрации: • механизм функционального контроля подсистем; • механизм регистрации событий безопасности; • механизм контроля целостности; • механизм контроля аппаратной конфигурации компьютера. Управление защитными механизмами Управление политиками Администратор безопасности управляет средствами защиты непосредственно на защищаемом компьютере через локальную политику безопасности. Если требуется одинаковым образом настроить несколько компьютеров, необходимо использовать механизмы экспорта/импорта параметров для тиражирования на другие компьютеры параметров системы. Управление в сети с доменной организацией В сети с доменной организацией при регистрации пользователей на компьютере целесообразно использовать уже имеющуюся в сети (домене) информацию о доменных пользователях. При установке системы начальный список доменных пользователей формируется по наличию профилей доменных пользователей, которые уже входили на данный компьютер. После установки управление списком доменных пользователей компьютера выполняет администратор. Сформированный список сохраняется в локальной базе данных (БД) Secret Net 5.1. В системе предусмотрена возможность управления параметрами Secret Net 5.1 для доменных пользователей. Если требуется одинаковым образом настроить параметры для одного и того же доменного пользователя на нескольких компьютерах, необходимо использовать механизмы экспорта/импорта параметров для тиражирования на другие компьютеры параметров пользователя. Ядро системы обеспечивает хранение параметров доменных пользователей в локальной БД Secret Net 5.1. Здесь хранятся все параметры доменных пользователей (параметры полномочного управления, сведения о ключах, идентификаторах), а также идентификационная информация пользователей, получаемая с контроллера домена (SID, имя учетной записи, имя домена). При входе на компьютер доменного пользователя, информация о котором отсутствует в локальной БД, ядро автоматически сохраняет информацию о нем в БД, присваивая параметрам Secret Net 5.1 значения по умолчанию. Основные компоненты. Ядро системы защиты Ядро системы защиты (1) представляет собой программу, которая автоматически запускается на защищаемом компьютере при его включении и функционирует на протяжении всего времени работы компьютера. Ядро системы осуществляет управление подсистемами и компонентами и обеспечивает их взаимодействие. В процессе работы системы защиты ядро выполняет следующие функции: • обеспечивает обмен данными между компонентами системы и обработку команд, поступающих от этих компонентов; • обеспечивает доступ других компонентов системы к информации, хранящейся в базе данных Secret Net 5.1; • обрабатывает информацию, поступающую от компонентов системы защиты, о событиях, происходящих на компьютере и связанных с безопасностью системы, и регистрирует их в журнале Secret Net. Подсистема регистрации (2) является одним из элементов ядра системы и предназначена для управления регистрацией в журнале Secret Net 5.1 событий, связанных с работой системы защиты. Эта информация поступает от отдельных подсистем, которые следят за происходящими в информационной среде событиями. Остальные события, происходящие на компьютере, регистрируются стандартными средствами ОС Windows и хранятся в ее журналах. Перечень событий Secret Net 5.1, подлежащих регистрации, устанавливается администратором с помощью подсистемы управления (3). Для настройки журналов Windows используются средства самой операционной системы. Для просмотра журнала Secret Net 5.1 и журналов Windows используется специальная программа подсистемы управления. С ее помощью можно выполнить просмотр, отбор, сортировку, поиск записей, печать, экспорт журналов в другие форматы. Подсистема управления (3) предоставляет средства для настройки защитных механизмов системы. Эти средства позволяют осуществлять: • управление объектами защиты (устройствами, файлами, каталогами); • управление пользователями, настройками защитных механизмов и сохранение относящихся к ним данных в БД Secret Net 5.1 (5); • получение информации из БД Secret Net 5.1; • формирование заданий на контроль целостности; • обработку и представление информации из журналов. База данных Secret Net 5.1 (5) предназначена для хранения информации о настройках системы защиты, необходимых для работы защищаемого компьютера. БД Secret Net 5.1 размещается в реестре ОС Windows и специальных файлах. Доступ подсистем и компонентов системы защиты к данным, хранящимся в БД Secret Net 5.1, обеспечивается ядром системы защиты (1). Первоначальное заполнение БД выполняется при установке Secret Net 5.1. Для этого используются данные ОС Windows (локальная политика безопасности, состав пользователей и т. д.), и данные, устанавливаемые по умолчанию для Secret Net 5.1 (значения параметров защитных подсистем, некоторые свойства пользователей и т. д.). В дальнейшем информация, содержащаяся в БД, создается и модифицируется подсистемой управления (3). Защитные подсистемы Общая структура организации модулей защитных подсистем: При обращении пользователя к ресурсам компьютера (файлам или устройствам) драйверы-фильтры перехватывают это обращение. Далее управление переходит к драйверам защитных подсистем, которые выполняют профильные действия, соответствующие цели обращения пользователя к ресурсу. Информацию для выполнения действий драйверы защитных подсистем получают через API защитных подсистем. Информация может быть получена драйверами как в процессе инициализации подсистем при загрузке компьютера, так и по запросу защитной подсистемы при обработке обращения пользователя к ресурсу. Загрузку необходимой информации через API защитных подсистем при инициализации и по запросу осуществляет служба ядра Secret Net 5.1, которая также отвечает за хранение этой информации в локальной БД Secret Net 5.1. Подсистема контроля входа Подсистема контроля входа (16) совместно с ОС Windows обеспечивает идентификацию и аутентификацию пользователя при входе его в систему. Подсистема включает в себя модуль идентификации пользователя, а также может содержать средства аппаратной поддержки, если они установлены на компьютере, и программу-драйвер, с помощью которой осуществляется управление аппаратными средствами. Подсистема контроля входа запрашивает и получает информацию о входящем в систему пользователе (имя, пароль, персональный идентификатор пользователя и его закрытый ключ). Затем сравнивает полученную информацию с информацией, хранящейся в БД Secret Net 5.1. Защитные механизмы: Механизм защиты входа в систему Защита от несанкционированного входа предназначена для предотвращения доступа посторонних лиц к защищенному компьютеру. К этой группе средств относятся: • программные и аппаратные средства идентификации; • функции блокировки компьютера; • аппаратные средства защиты от загрузки ОС со съемных носителей. Механизмы разграничения доступа и защиты ресурсов Система Secret Net 5.1 включает в свой состав несколько механизмов разграничения доступа пользователей к ресурсам компьютера: • механизм избирательного разграничения доступа; • механизм полномочного разграничения доступа; • механизм замкнутой программной среды. Механизмы контроля и регистрации Система Secret Net 5.1 включает в свой состав следующие средства, позволяющие контролировать ее работу: • механизм регистрации событий; • механизм контроля целостности; • механизм контроля аппаратной конфигурации компьютера; • механизм функционального контроля подсистем. |