- •Содержание
- •Лекция 1. Предмет и задачи программно-аппаратной защиты информации
- •3. Основные понятия
- •Лекция 2. Средства, методы и протоколы идентификации
- •Лекция 3. Средства, методы и протоколы аутентификация
- •Лекция 4. Средства, методы и протоколы авторизации Лекция 5. Мандатное управление доступом
- •Лекция 6. Избирательное управление доступом
- •Лекция 7. Управление доступом на основе ролей
- •Лекция 8. Классификация ids
- •2 Классификация ids
- •Лекция 9. Архитектура ids
- •Контрольные вопросы:
- •Лекция 10. Стандарты в области ids
- •Лекция 11. Виды аудита безопасности
- •Лекция 12. Этапы проведения аудита
- •Лекция 13. Оценка уровня безопасности информационных систем
- •Лекция 14. Назначение и возможности сзи от нсд, требования, предъявляемые к ним
- •1. Общие положения
- •2. Термины и определения
- •3. Требования к уровню контроля 3.1. Перечень требований
- •3.2. Требования к четвертому уровню контроля
- •3.2.1.Контроль состава и содержания документации
- •3.2.2. Контроль исходного состояния по
- •3.3.4. Динамический анализ исходных текстов программ
- •3.3.5. Отчетность
- •3.4. Требования ко второму уровню контроля
- •3.4.1.Контроль состава и содержания документации
- •3.4.2.Контроль исходного состояния по
- •3.4.3. Статический анализ исходных текстов программ
- •3.4.4. Динамический анализ исходных текстов программ
- •3.4.5 Отчетность
- •3.5. Требования к первому уровню контроля
- •Лекция 16. Применение сзи от нсд «Страж-nt».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Создание замкнутой программной среды
- •7. Контроль целостности
- •8. Организация учета съемных носителей информации
- •9. Регистрация событий
- •Лекция 17. Применение сзи от нсд ««Dallas Loc».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Обеспечение замкнутости программной среды
- •7. Контроль целостности
- •8. Регистрация событий
- •9. Печать штампа
- •10. Гарантированное удаление данных
- •11. Реализация запрета загрузки пэвм в обход сзи
- •Лекция 18. Применение сзи от нсд ««Secret net».
- •2. Запуск и регистрация в системе защиты
- •3. Реализация дискреционной модели разграничения доступа
- •4. Реализация мандатной модели разграничения доступа
- •5. Режим замкнутой программной среды
- •6. Контроль целостности
- •7. Регистрация событий
- •8. Печать штампа
- •9. Настройка механизма шифрования
- •Лекция 19. Применение сзи от нсд «пак Соболь, «Cisco pix» и «Cisco Asa»
6. Обеспечение замкнутости программной среды
Механизм замкнутой программной среды реализуется в СЗИ «Dallas Lock» путем установки для пользователей глобального запрета на запуск программ и разрешения запуска лишь определенных исполняемых файлов.
Стратегия может быть следующей:
1. Определить, какие исполняемые файлы должны запускаться для нормальной
работы операционной системы;
2. Решить, какие файлы разрешается запускать пользователям для работы;
3. Запретить запуск всех исполняемых файлов для сменных дисков;
4. Запретить запуск всех исполняемых файлов для каждого из фиксированных логических дисков, доступных операционной системе;
5. Установить разрешение на исполнение выбранных файлов для конкретных пользователей или групп пользователей.
Очевидно, что пользователю должно быть запрещено изменение файлов, которые он имеет право запускать на выполнение.
Для установки глобального запрета на запуск программ на сменных носителях необходимо в программе «Администратор DL 7.0» в группе параметров безопасности «Параметры ресурсов» выбрать «Параметры сменных дисков по умолчанию» (рис. 3.36). Диалоговое окно с настройками разрешений аналогично показанному на рис. 3.35. В этом окне необходимо установить запрет на выполнение для группы пользователей «Все», а также разрешить выполнение для группы «Администраторы». В результате все пользователи, за исключением администраторов, не смогут запускать исполняемые файлы, находящиеся на сменных носителях (CD-ROM, дискеты).
Установка запрета на запуск файлов, находящихся на фиксированных носителях, производится через контекстное меню объекта (пункт меню Dallas Lock 7.0»). Запрет запуска при помощи «Администратора DL 7.0» (как в случае со сменными носителями) недопустим, так как он не вступает в силу. Чтобы обеспечить возможность нормальной загрузки и работы операционной системы, необходимо разрешить выполнение файлов, находящихся в каталоге «%SystemRoot%\system32», а также файла «%SystemRoot%\explorer.exe».
7. Контроль целостности
СЗИ «Dallas Lock 7.0» включает в свой состав подсистему проверки целостности. Она запускается до загрузки ОС и обеспечивает проверку целостности BIOS, CMOS и MBR жесткого диска, а также проверку дисков, каталогов и файлов в случае установки соответствующих параметров.
Включение контроля целостности BIOS, CMOS, MBR и загрузочного сектора производится с использованием программы «Администратор DL 7.0» (группа настроек Параметры безопасности ⇒ Контроль целостности ПЭВМ). Чтобы включить контроль целостности для файла или каталога, необходимо в контекстном меню выбрать пункт «Dallas Lock 7.0», и в открывшемся диалоговом окне открыть вкладку «Контроль целостности».
Для расчета контрольной суммы могут использоваться следующие алгоритмы: CRC32, хэш по ГОСТ Р 34.11–94 или хэш MD5. Если для объекта файловой системы задан контроль целостности, то система не позволит изменить этот объект, и он будет доступен только для чтения и выполнения.
Проверка целостности осуществляется при загрузке компьютера до начала загрузки операционной системы. При нарушении целостности хотя бы одного файла, загрузка компьютера блокируется для всех пользователей, кроме администратора безопасности (пользователя Администратор). Возможно возникновение ситуации, когда файл, для которого был установлен контроль целостности, удаляется администратором безопасности (остальные пользователи изменить этот файл не смогут). При попытке сверить контрольную сумму этого файла с эталонной будет принято решение о нарушении целостности, так как файла вообще не будет найдено. В результате загрузка всех пользователей, кроме администратора безопасности, будет заблокирована.
Ситуация является ошибочной, так как администратор не сможет отключить контроль целостности несуществующего файла. Чтобы обойти подобную ситуацию в СЗИ «Dallas Lock» предусмотрена функция пересчета списка дескрипторов. Активизация этой функции производится в программе «Администратор DL 7.0» командой меню Файл ⇒ Перестроить список дескрипторов.