Лабораторная работа. LAVR Лаб.раб. № 6. Система защиты информации Secret Net (ИБ) для. Техника Лабораторная работа Система защиты информации Secret Net Цели
Скачать 0.73 Mb.
|
1 2 Главная Техника Лабораторная работа № 6. Система защиты информации «Secret Net» Цели: 1) расширение представлений о программных способах решения задач информационной безопасности; 2) расширение представлений о комплексном подходе к обеспечению информационной безопасности; 3) освоение системы комплексной защиты информации «Secret Net»; 4) получение опыта работы с системами комплексной защиты информации. Задачи: 1) ознакомьтесь с приведённой теорией и описанием СЗИ «Secret Net»; 2) в соответствии с приведёнными далее инструкциями выполните лабораторную работу; 3) продемонстрируйте и прокомментируйте полученные результаты работы; 4) подготовьте ответы на вопросы, приведённые в конце лабораторной работы; 5) ответьте на вопросы преподавателя по лабораторной работе. Теория Системы защиты информации реализуют комплексный подход к защите информационных и аппаратных ресурсов компьютеров и сетей. Они взаимодействуют со средствами защиты информации операционной системы и значительно расширяют их. «Secret Net» в отличие от некоторых других систем, в том числе «Страж NT», обладает неплохим сетевым функционалом и может функционировать в двух режимах: сетевом (с иерархической клиент-серверной структурой с любым количеством уровней) и автономном (устанавливается и действует на одном компьютере). В ходе данной лабораторной работы вы познакомитесь именно с автономным режимом работы. СЗИ, как правило, выделяют 3 основных группы ресурсов: 1) файловые ресурсы (файлы и каталоги на локальных и сетевых дисках); 2) программные ресурсы (различные программы и другие запускаемые файлы); 3) аппаратные ресурсы (устройства, подключённые или потенциально подключаемые к компьютеру). Пользователям нужно не просто предоставить доступ к этим ресурсам, но и управлять им. При том более надёжно и гибко, чем это возможно сделать средствами ОС. СЗИ решают эту задачу: они не замещают ОС, а взаимодействуют с ней, расширяя возможности для управления доступом, повышения защищённости входа в систему, журнализации и решения ряда других задач. СЗИ предоставляет, как правило, более удобные инструменты, чем встроенные средства операционной системы, и расширяет список решаемых в системе задач обеспечения информационной безопасности. Основные защитные функции, реализуемые системой Secret Net 6: 1) контроль входа пользователей в систему; 2) разграничение доступа пользователей к устройствам компьютера; 3) создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера (замкнутой программной среды — ЗПС); 4) разграничение доступа пользователей к конфиденциальным данным; 5) контроль потоков конфиденциальной информации; 6) контроль вывода конфиденциальных данных на печать; 7) контроль целостности защищаемых ресурсов; 8) контроль аппаратной конфигурации компьютера; 9) функциональный контроль ключевых компонентов СЗИ «Secret Net»; 10) уничтожение (безвозвратное удаление) содержимого файлов при их удалении; 11) регистрация событий безопасности в журнале СЗИ «Secret Net»; 12) мониторинг и оперативное управление защищаемыми компьютерами (только в сетевом режиме); 13) централизованный сбор и хранение журналов (только в сетевом режиме); 14) централизованное управление параметрами механизмов защиты (только в сетевом режиме); 15) защита доступа к Active Directory при сетевых обращениях компонентов системы «Secret Net» (только в сетевом режиме). Все эти функции реализуются по средством специальных защитных механизмов данной СЗИ. В зависимости от назначения защитные механизмы можно разделить на следующие группы: 1. Механизмы защиты входа в систему: 1) средства идентификации и аутентификации пользователей; 2) функции блокировки компьютера; 3) аппаратные средства защиты от загрузки ОС со съемных носителей. 2. Механизмы разграничения доступа и защиты ресурсов: 1) механизм полномочного разграничения доступа к объектам файловой системы; 2) механизм замкнутой программной среды; 3) механизм разграничения доступа к устройствам компьютера; 4) механизм затирания информации, удаляемой с дисков компьютера. 3. Механизмы контроля и регистрации: 1) механизм функционального контроля подсистем; 2) механизм регистрации событий безопасности; 3) механизм контроля целостности; 4) механизм контроля аппаратной конфигурации компьютера; 5) механизм контроля печати. Для обеспечения дополнительной защиты входа в СЗИ могут применяться аппаратные ключи, в роли которых могут выступать как специальные устройства (eToken, iKey, Rutoken или iButton), а также обычные флеш- накопители. Функции блокировки компьютера предназначены для защиты компьютера от НСД и может быть включена при простое, по команде пользователя, при обнаружении СЗИ событий, нарушающих заданную политику безопасности, а также в ряде других случаев. В качестве аппаратных средств защиты от загрузки ОС со съёмных носителей относятся ПАКи: специализированные программно-аппаратные комплексы. Речь о них пойдёт в следующих лабораторных работах. В ходе лабораторной работы вы познакомитесь с этими механизмами более подробно. Обратите внимание, что при работе с СЗИ «Secret Net» большинство настроек вступают в силу только при следующем входе пользователя в систему. Поэтому, чтобы проверить действие сделанных изменений нужно в меню «Пуск» выбрать пункт «Выйти из системы». Выполнять перезагрузку виртуальной машины не нужно. Инструкция Сначала определим модель, которую вы будете реализовывать средствами СЗИ. Пусть стоит задача защитить ресурсы компьютера, находящегося в помещении исследовательского отдела. В отделе работают начальник и две исследовательские группы, каждая из которых включает рядовых сотрудников и главу группы. Соответственно должностям в системе должны существовать пользователи, приведённые в таблице 10. Пользователи входят в группы, представленные на рисунке 100. Отдел занимается секретными исследованиями, поэтому исследователи, входящие в одну группу не должны иметь доступ к закрытым документам другой группы. Один из исследователей входит в обе исследовательские группы, соответственно должен входить в обе группы пользователей. Распределение пользователей по группам представлено в таблице 11. Таблица 10 Список пользователей СЗИ Пользователь Должность Alpha Начальник отдела. Bettal, Betta2 Начальники рабочих групп. Epselonl. Epselon2. Epselon3 Исследователи, входящие в рабочие группы. Omega Стажёр. Рис. 100. Группы пользователей и их иерархия Распределение пользователей по группам Пользователь Группы Alpha Inside Bettal AGroup + Inside Betta2 BGroup + Inside Epselonl AGroup + BGroup + Inside Epselon2 AGroup + Inside Epselon3 BGroup + Inside Omega Inside Сотрудники отдела Centavra работают с секретной информацией: глава отдела имеет доступ к сверх секретным документам, главы рабочих групп и исследователи — только к секретным. Но один из исследователей может работать со сверхсекретными документами. Стажёры — это неопытные сотрудники, пришедшие практиковаться в отдел. Они не имеют допуска к секретной информации. Соответствующие их уровни допуска пользователей представлены в таблице 12. Таблица 12 Уровни допуска пользователей Пользователь Уровень доступа Alpha TS (совершенно секретно) Bettal S (секретно) Betta2 s Epselonl TS Epselon2 S Epselon3 s Omega NS (не секретно) В помещении отдела установлены принтеры: у каждой группы исследователей по одному «секретному» и одному «несекретному» принтерам. Секретным будем называть принтер, на котором разрешено печатать секретные документы. Пусть на обычном компьютере, установленном в первой группе исследователей, могут работать пользователи: alpha, bettal, epselonl, epselon2 и omega. Кроме того, существует общий файловый ресурс, разделяемый всеми пользователями, но доступ к элементам которого пользователи получают в соответствии с правилами перечисленным в таблице 13 и своим допуском к секретности. Правила доступа пользователей к общему файловому ресурсу Пользователь Правила Alpha Имеет доступ ко всем файлам и каталогам ресурса Bettal, Betta2 Имеет доступ ко всем файлам своей исследовательской группы Epselonl-3 Имеет доступ ко всем файлам своей исследовательской группы Omega Имеет доступ ко всем файлам. Установка СЗИ Эксплуатация начинается с установки программного продукта. Установка СЗИ «Secret Net» в автономном режиме проста, но всё же есть некоторые детали, на которые стоит обратить внимание: 1) лучше устанавливать СЗИ на «чистые» ОС, то есть на недавно установленные, содержащие минимум ошибок и проблем, возникающих в ходе их эксплуатации; 2) компьютер не должен содержать вирусного или вредоносного ПО; 3) лучше установить необходимое ПО до установки СЗИ; 4) на компьютере обязательно должно быть установлено всё необходимое аппаратное обеспечение, так как эта конфигурация будет принята СЗИ в качестве эталонной и в дальнейшем отличия обнаруженной аппаратной конфигурации от эталонной система будет воспринимать как нарушения информационной безопасности. Теперь можно непосредственно переходить к установке. Подключите установочный носитель с СЗИ «Secret Net» и запустите autorun.exe. Перед вами появится окно, представленное на рисунке 101. Выберите пункт «Клиентское ПО» — это запустит установку программ СЗИ, предназначенных для работы на компьютере пользователя. В следующем окне выберите автономный режим работы (см. рис. 102). Нажмите «Далее» — начнётся установка выбранной версии ПО (см. рис. 103). Рис. 101. Программа автозапуска установочного комплекта СЗИ «Secret Net» Secret Net 6 Режим работы продукта Выберите режим работы продукта Сетевой режим В данном режиме система позволяет осуществлять централизованное управление доменными пользователями, управление параметрами с помощью механизма групповых политик, оперативное управление системой. ? Автономный режим] В данном режиме все настройки системы осуществляются локально. Внимание! Выбор режима работы системы возможен только в процессе установки. Во время установки потребуется ввести серийный номер подходящего типа. Далее > Отмена Рис. 102. Окно выбора режима работы Secret Net 6 Secret Net 6 система защиты информации Platform: Win32 Вас приветствует программа установки Secret Net 6 версии 6.5.333.53 (автономный режим) Программа выполнит установку Secret Net 6 версии 6.5.333.53 (автономный режим) на компьютер. Для продолжения нажмите кнопку ''Далее''. ПРЕДУПРЕЖДЕНИЕ: Данная программа защищена законами об авторских правах и международными соглашениями. 1Далее > j Отмена Рис. 103. Окно мастера установки СЗИ «Secret Net» Следующим шагом мастер установки попросит ввести серийный номер (см. рис. 104). Серийные номера лицензионных версий поставляются вместе с установочными дисками, но в разделе «Демоверсии» на сайте разработчика http://www.securitycode.ru/ после регистрации можно найти бесплатные демонстрационные ключи, которые позволяют использовать полнофункциональную версию программы в течение 175 дней. Рис. 104. Окно ввода регистрационного ключа Подтвердите ввод ключа и выберите папку установки ПО (см. рис. 105). Затем программа попросит заполнить форму «Учётные данные компьютера», представленную на рисунке 106. Заполните поля в соответствии с предложенной моделью подразделения. fj? Secret Net 6 Папка назначения Нажмите кнопку "Далее", чтобы установить в эту папку, Нажмите кнопку "Изменить", чтобы выполнить установку в другую папку. Установка Secret Net 6 в: C:Program FilesSecret NetClient Изменить... < Назад (Далее > j| Отмена Рис. 105. Окно выбора пути установки Рис. 106. Окно ввода учётной информации На следующем шаге откроется окно, представленное на рисунке 107. При включении опции «Выполнить расстановку прав доступа на файлы...» выполняется замена прав доступа. Эта операция усиливает защищённость операционной системы, однако выполнять её рекомендуется только в тех случаях, когда после установки ОС администратор не осуществлял специальную расстановку прав доступа. Рис. 107. Окно настройки дополнительных параметров установки Следует отметить, что на каталог установки СЗИ автоматически устанавливаются особые права доступа, повышающие защищённость самой СЗИ. Включите эту опцию и нажмите кнопку «Далее». После выполнения действий по установке основных компонентов, мастер сообщит об успешном завершении установки программы и дополнительного ПО (см. рис. 108, 109). Рис. 108. Окно завершения установки основных компонентов программы Рис. 109. Окно установки дополнительного ПО После этого появится окно «Управление Secret Net», представленное на рисунке НО. В нём можно просмотреть основные сведения о системе и сделать общие настройки. Просмотрите содержимое вкладок в этом окне. Менять что-либо на данном этапе не будем. Рис. ПО. Окно управления СЗИ Нажмите «ОК» и дождитесь завершения работы программы. Если перезагрузка не началась автоматически, выполните её самостоятельно. При загрузке компьютера вы увидите первые изменения (см. рис. 111). Войдите в систему под учётной записью администратора. © Secret Net 6 Демо-версия [осталось 175 дней] Операционная система Windows Kefrrpapn Нажмите Ctrl-Alt-Delete или предъявите персональный идентификатор. Сочетание клавиш Ctrl-Alt-Del помогает сохранить ваш пароль в безопасности. Нажмите кнопку "Справка" для получения дополнительных сведений. ? Windows Professional ?лравк.з Рис. 111. Модифицированное окно интерактивного входа в систему Создание пользователей и групп Начнём с создания групп и пользователей. СЗИ предоставляет удобный доступ к инструментам управления компьютером через свою группу в меню «Пуск». Откройте инструмент «Управление компьютером», раздел «Локальные пользователи и группы». Перейдите в раздел «Пользователи» (см. рис. 112) и создайте необходимых пользователей в соответствии с моделью, описанной ранее. Затем перейдите в раздел «Группы» и создайте 3 группы, отражающие описанную ранее модель подразделения. Добавьте пользователей в созданные группы в соответствии с описанием организационной структуры. Для поиска пользователей можно в окне «Выбор пользователей» использовать комбинацию поиск, в разделе «Дополнительно». Свойства созданных групп после добавления в них пользователей примут вид, представленный на рисунке 113. 2 Управление компьютером Рис. 112. Окно «Управление компьютером», создание нового пользователя Рис. 113. Свойства созданных групп после добавления пользователей Управление доступом к ресурсам осуществляется одновременно с применением двух подходов: полномочного, при котором сравниваются уровни допуска пользователя или процесса с грифом запрашиваемого объекта, и дискреционного, при котором пользователям и группам пользователей назначаются правила доступа к определённым объектам. Дискреционный подход присутствует в самой ОС и реализуется её собственными средствами. А вот полномочный подход, как правило, реализуется дополнительными средствами, в данном случае — СЗИ. Зададим пользователям уровни допуска, то есть определим максимальную степень секретности документов, к которым они могут получить доступ. Выполним установку уровня доверия для пользователя alpha. Для присвоения уровня допуска пользователю, нужно открыть свойства соответствующего пользователя: «Управление компьютером — Локальные пользователи — Пользователи» и перейти на вкладку «Secret Net» (см. рис. 114). На этой вкладке расположены инструменты управления идентификаторами, ключами и допуском текущего пользователя. Нажмите кнопку «Доступ» в столбце слева — вкладка «Secret Net» примет вид, представленный на рисунке 115. Рис. 114. Свойства пользователя Alpha, вкладка «Secret Net» Рис. 115. Свойства пользователя Alpha, вкладка «Secret Net», уровень доступа В начале лабораторной работы были определены уровни допуска пользователей. В соответствии с ними, пользователь alpha имеет наивысший допуск секретности. В выпадающем списке выберите подходящий уровень допуска (см. рис. 116). При этом стали активны дополнительные опции: 1. «Печать конфиденциальных документов» — разрешить ли пользователю печатать документы с грифом секретности выше NS. 2. «Управление категориями конфиденциальности» — разрешить ли пользователю изменять гриф объектов в пределах своего уровня допуска (то есть, если пользователь имеет достаточный уровень допуска для работы с документом и права на доступ к нему, то он может изменять гриф секретности объекта на гриф, не превышающий текущего уровня допуска пользователя). 3. «Вывод конфиденциальной информации» — разрешить ли пользователю копировать объекты с грифом выше NS на съёмные диски. Дайте все эти привилегии пользователю alpha и настройте допуски других пользователей отдела. И не забудьте указать уровень допуска и привилегии учётной записи администратора! Рис. 116. Присвоение пользователю Alpha наивысшего уровня допуска Создание файловых ресурсов Создайте на жёстком диске компьютера каталог «Centavra» — он будет корневым каталогом для общего файлового ресурса отдела. Затем воссоздайте структуру каталогов, предложенную на рисунке 117. Гриф доступа к объекту задаётся на вкладке «Secret Net» в свойствах этого объекта (см. рис. 118). Опция «Автоматически присваивать новым файлам» означает, что при копировании в данный каталог или создании в нём файлов, файлам будет присваиваться гриф секретности этого каталога. Настройте права доступа и грифы секретности ресурсов в соответствии с предложенной ранее моделью. Добавьте ресурсы на своё усмотрение, чтобы можно было бы проверить работу СЗИ. Group A Group В Рис. 117. Структура каталогов общего файлового ресурса Рис. 118. Присвоение грифа «Не секретно» папке «Отдел А» Работа с идентификаторами Персональный идентификатор— устройство для хранения информации, необходимой при идентификации и аутентификации пользователя. В идентификаторе могут храниться криптографические ключи для усиленной аутентификации пользователя. В качестве идентификаторов могут быть использованы флэшки, дискеты или специальные устройства, напоминающие обычные флэшки или ключи от домофонов. Различные СЗИ могут поддерживать различные типы идентификаторов — информацию об этом стоит смотреть в документации к ним. Для работы с идентификаторами нужно открыть окно свойств пользователя, вкладку «Secret Net» — здесь же вы задавали уровень доступа пользователя. Нажмите кнопку «Идентификатор» на панели слева (см. рис. 119). Рис. 119. Окно «Свойства» пользователя Alpha, вкладка «Secret Net», работа с идентификаторами Присвоение идентификатора пользователю в общем случае состоит из двух этапов: 1. Инициализация — форматирование идентификатора. 2. Присвоение — запись в идентификатор данных, необходимых для его использования, и привязка идентификатора к выбранному пользователю. Первый этап — инициализация. Подключите идентификатор к компьютеру и нажмите «Инициализация». Если вы используете в качестве идентификатора флэш-диск, в появившемся окне нажмите кнопку «Диск» (см. рис. 120). При этом произойдёт сканирование подключённых съёмных носителей и подходящие, по мнению программы, отобразятся в списке. Выберите нужный идентификатор в таблице и нажмите ещё раз «Диск» — статус выбранного идентификатора изменится на «Обработан» (см. рис. 120). Это значит, что выбранное вами устройство готово для дальнейшей работы. Закройте это окно. Рис. 120. Окно со списком подключённых персональных идентификаторов Второй этап — присвоение. Обратите внимание, что каждому пользователю можно присвоить сколько угодно идентификаторов, но каждый идентификатор может быть привязан только к одному пользователю. В окне свойств пользователя нажмите кнопку «Присвоить...» — откроется окно мастера присвоения идентификаторов, представленное на рисунке 121. СЗИ предоставляет возможность хранения пароля учётной записи Windows на идентификаторе, что позволяет входить в систему без ручного ввода пароля: пароль автоматически будет считан при предъявлении идентификатора. Опция «Записать в идентификатор закрытый ключ пользователя» означает, что в идентификаторе будет храниться ключ, используемый при усиленной аутентификации (режиме, при котором для входа в систему запрашивается не только пароль и идентификатор, но специальный криптографический ключ). Присвоение персональных идентификаторов Настройка режимов использования идентификаторов Укажите операции, которые необходимо выполнить для настройки режимов использования персональных идентификаторов, присваиваемых пользователю. J Включить режим хранения пароля У Записать пароль в идентификатор У ^писатьв„идентификатор^^ыт^клю^пользомтеля! j Далее > j Отмена Рис. 121. Окно «Присвоение персональных идентификаторов» Продолжите работу с мастером и присвойте пользователю аппаратный идентификатор. После успешного присвоения, добавленный идентификатор появится в списке идентификаторов пользователя (см. рис. 122). Может случиться так, что у вас окажется несколько идентификаторов и будет неизвестно, какому пользователю каждый из них принадлежит. Для подобных ситуаций «Secret Net» предоставляет функцию проверки принадлежности идентификатора пользователю. Чтобы воспользоваться этой функцией нажмите кнопку «Сервис» на панели слева (см. рис. 123). Рис. 122. Список персональных идентификаторов пользователя Alpha Рис. 123. Окно «Свойства» пользователя Alpha, вкладка «Secret Net», 1 2 |