- •Содержание
- •Лекция 1. Предмет и задачи программно-аппаратной защиты информации
- •3. Основные понятия
- •Лекция 2. Средства, методы и протоколы идентификации
- •Лекция 3. Средства, методы и протоколы аутентификация
- •Лекция 4. Средства, методы и протоколы авторизации Лекция 5. Мандатное управление доступом
- •Лекция 6. Избирательное управление доступом
- •Лекция 7. Управление доступом на основе ролей
- •Лекция 8. Классификация ids
- •2 Классификация ids
- •Лекция 9. Архитектура ids
- •Контрольные вопросы:
- •Лекция 10. Стандарты в области ids
- •Лекция 11. Виды аудита безопасности
- •Лекция 12. Этапы проведения аудита
- •Лекция 13. Оценка уровня безопасности информационных систем
- •Лекция 14. Назначение и возможности сзи от нсд, требования, предъявляемые к ним
- •1. Общие положения
- •2. Термины и определения
- •3. Требования к уровню контроля 3.1. Перечень требований
- •3.2. Требования к четвертому уровню контроля
- •3.2.1.Контроль состава и содержания документации
- •3.2.2. Контроль исходного состояния по
- •3.3.4. Динамический анализ исходных текстов программ
- •3.3.5. Отчетность
- •3.4. Требования ко второму уровню контроля
- •3.4.1.Контроль состава и содержания документации
- •3.4.2.Контроль исходного состояния по
- •3.4.3. Статический анализ исходных текстов программ
- •3.4.4. Динамический анализ исходных текстов программ
- •3.4.5 Отчетность
- •3.5. Требования к первому уровню контроля
- •Лекция 16. Применение сзи от нсд «Страж-nt».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Создание замкнутой программной среды
- •7. Контроль целостности
- •8. Организация учета съемных носителей информации
- •9. Регистрация событий
- •Лекция 17. Применение сзи от нсд ««Dallas Loc».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Обеспечение замкнутости программной среды
- •7. Контроль целостности
- •8. Регистрация событий
- •9. Печать штампа
- •10. Гарантированное удаление данных
- •11. Реализация запрета загрузки пэвм в обход сзи
- •Лекция 18. Применение сзи от нсд ««Secret net».
- •2. Запуск и регистрация в системе защиты
- •3. Реализация дискреционной модели разграничения доступа
- •4. Реализация мандатной модели разграничения доступа
- •5. Режим замкнутой программной среды
- •6. Контроль целостности
- •7. Регистрация событий
- •8. Печать штампа
- •9. Настройка механизма шифрования
- •Лекция 19. Применение сзи от нсд «пак Соболь, «Cisco pix» и «Cisco Asa»
8. Печать штампа
СЗИ «Secret Net 5.0-C» позволяет создавать штамп на конфиденциальных документах, отправляемых на печать при использовании редактора MS Word и таблиц Excel. В процессе печати СЗИ дополняет колонтитулы печатаемого документа рядом полей. Перечень заполняемых полей формируется в файле шаблоне STAMP.RTF, находящемся в каталоге «C:\Program Files\Infosec\ SecretNet5\Client».
Особенностью работы СЗИ «Secret Net 5.0-C» с конфиденциальными документами программ MS Word и Excel является создание временных технологических файлов в каталоге «C:\Documents and Settings\%имя_пользователя%\Local Settings\Temp». В связи с тем, что при открытии конфиденциальных документов программа MS Word получает соответствующую метку конфиденциальности, то создаваемые временные файлы также должны получать соответствующие метки полномочного доступа. В соответствии с правилами полномочного доступа, каталог «C:\Documents and Settings\%имя_пользователя%\Local Settings\Temp», в котором совдаются временные файлы, должен иметь метку конфиденциальности не ниже открываемых документов. Для этого необходимо в параметре HKLM\SYSTEM\ CurrentControlSet\Services\SnMC5xx\Params\SourceRedirect реестра ОС Windows добавить строку «\Local Settings\Temp».
Работа с конфиденциальными документами в режиме печати должна быть начата с включения параметра «Полномочное управление доступом: Режим контроля печати конфиденциальных документов» в оснастке «Локальные политики безопасности» «Настройки подсистем»
Если параметр «Полномочное управление доступом: Режим контроля печати конфиденциальных документов» установлен и компьютер перезагружен, то нажатием кнопки «Редактировать» («Локальная политика безопасности» «Параметры Secret Net» «Настройки подсистем» «Полномочное управление доступом: Гриф конфиденциальности для Microsoft Word») может быть запущена программа MS Word в режиме редактирования файла STAMP.RTF. Перейдя в режим редактирования колонтитулов, можно изменить содержание штампа, добавив в него требуемые поля. В шаблоне предусмотрено два варианта штампа, выбор варианта производится в процессе работы с документом при помощи панели инструментов «Грифы Secret Net».
Часть полей в штампе заполняется автоматически, а часть требует заполнения пользователем в процессе вывода конфиденциального документа на печать.
Для включения механизма гарантированного уничтожения данных необходимо в оснастке «Локальные политики безопасности» ⇒«Параметры Secret Net» ⇒ «Настройки подсистем» изменить параметры «Затирание данных: Количество циклов затирания конфиденциальной информации», «Затирание данных: Количество циклов затирания на локальных дисках» и «Затирание данных: Количество циклов затирания на сменных носителях», указав в них ненулевое значение. Количество циклов затирания может варьироваться от 1 до 10.
9. Настройка механизма шифрования
В системе используется классический подход к организации криптозащиты данных, при котором информация зашифровывается на основе симметричных ключей, а те в свою очередь зашифровываются открытыми ключами пользователей и хранятся в заголовках зашифрованных файлов. Открытые ключи пользователей хранятся в локальной базе данных «Secret Net 5.0-C», закрытые ключи – в его персональном идентификаторе. Доступ к зашифрованным файлам могут иметь несколько пользователей, если их заголовок содержит ключ шифрования данных, зашифрованный несколькими персональными ключами.
В системе «Secret Net 5.0-C» управление шифрованием файлов и доступ к зашифрованным файлам осуществляются на уровне каталогов. Зашифрованные файлы располагаются только в шифрованных каталогах. Шифрованные каталоги могут содержать нешифрованные файлы и подкаталоги. Для пользователей, обладающих доступом к зашифрованным файлам, подсистема автоматически (на лету) расшифровывает содержимое зашифрованного файла при его чтении и автоматически зашифровывает содержимое файла при его сохранении. Рассшифрование файла, находящегося в шифрованном каталоге, переводит его в открытое состояние, оставляя его в том же каталоге. Расшифрование каталога переводит в открытое состояние все находящиеся в нем зашифрованные файлы.
Пользователь, не имеющий доступа к шифрованному каталогу, может только просматривать его содержимое. Порядок работы с нешифрованными файлами, находящимися в таком каталоге, не отличается от обычного порядка работы с открытым каталогом. При этом пользователь не имеет доступа к содержимому зашифрованных файлов в каталоге и не может копировать, перемещать и удалять зашифрованные файлы.
Пользователи, имеющие доступ к шифрованному каталогу, получают разные права в зависимости от той роли, которую они играют в системе:
a. роль владельца ресурса, которым является пользователь, создавший шифрованный каталог (создавать шифрованные каталоги может пользователь, обладающий на данном компьютере привилегией «Создание шифрованного ресурса»);
b. роль пользователя ресурса, имеющего право доступа к зашифрованным файлам чужого шифрованного каталога.
Для того чтобы пользователи компьютера могли защищать свои файлы, используя механизм шифрования, и имели возможность работать с зашифрованными файлами других пользователей, администратор безопасности должен выполнить в системе следующие настройки:
a. предоставить пользователям привилегию на создание шифрованных ресурсов;
b. присвоить пользователям персональные идентификаторы;
c. выдать пользователям криптографические ключи;
d. настроить параметры смены криптографических ключей;
e. настроить регистрацию событий, связанных с работой механизма шифрования.
После выполнения указанных процедур необходимо довести до сведения пользователей порядок работы с зашифрованными ресурсами.
В «Secret Net 5.0-C» используются 2 привилегии, связанные с шифрованием файлов. Привилегия «Создание шифрованного ресурса» позволяет создавать каталоги для хранения зашифрованных файлов. После установки «Secret Net 5.0-C» эта привилегия по умолчанию предоставляется двум стандартным группам пользователей: «Администраторы» и «Пользователи». Привилегия «Удаление шифрованного ресурса при отсутствии ключа» позволяет удалять зашифрованные файлы и каталоги без их расшифрования и по умолчанию предоставляется группе «Администраторы».
Предоставление привилегий осуществляется в оснастке «Локальная политика безопасности» ⇒ «Параметры Secret Net» Привилегии». При этом в правой части окна появится список привилегий «Secret Net 5.0-C». Здесь необходимо вызвать контекстное меню для строки «Шифрование файлов: Создание шифрованного ресурса», выбрать в нем команду «Свойства» и добавить пользователей, которым необходимо разрешить шифрование данных. Таким же образом следует поступить с привилегией «Удаление шифрованного ресурса при отсутствии ключа».
Персональный идентификатор – отдельное аппаратное устройство, предназначенное для хранения персональных данных, которые необходимы для идентификации и аутентификации пользователя. В идентификаторе так же хранятся криптографические ключи пользователя. Для хранения криптографических ключей также могут использоваться сменные носители, такие как дискеты, Flash-карты, USB Flash-накопители и т. п.
Персональный идентификатор выдается пользователю компьютера администратором безопасности. Идентификаторы должны быть присвоены и выданы каждому пользователю, работающему с шифрованными ресурсами. Один и тот же персональный идентификатор не может быть выдан нескольким пользователям. В то же время администратор может выдать пользователю несколько персональных идентификаторов для работы на одном или нескольких компьютерах с установленной системой «Secret Net 5.0-C».
Работа с персональными идентификаторами осуществляется из окна настройки свойств пользователя на вкладке «Secret Net 5.0-C» в режиме «Идентификатор» и предполагает выполнение следующих операций:
a. просмотр сведений об идентификаторах;
b. инициализация идентификатора;
c. присвоение идентификатора;
d. отмена присвоения идентификатора;
e. включение (отключение) режима хранения пароля в идентификаторе;
f. включение (отключение) режима интеграции с программно-аппаратным комплексом «Соболь»;
g. запись (удаление) закрытых ключей;
h. проверка принадлежности.
Все основные операции с персональными идентификаторами, за исключением инициализации и проверки принадлежности, выполняются применительно к конкретному пользователю.
При первом обращении к диску-идентификатору в окне «предъявите идентификатор» происходит подготовка к размещению на нем персональных данных (в частности, форматирование дискеты). При повторном – появляется запрос на присвоение персонального идентификатора, где следует выбрать требуемые поля «включить режим хранения пароля» и «записать в идентификатор закрытый ключ пользователя». Если идентификатор предполагается использовать только для организации криптографической защиты, то следует активизировать только последнее поле. При нажатии клавиши «Далее» система инициализирует соответствующему пользователю персональный ключ и поместит его в идентификатор. Информация о присвоенных идентификаторах будет теперь отображаться в окне настройки свойств пользователя на вкладке «Secret Net 5.0-C».
Для проведения аудита, связанного с работой механизма шифрования, необходимо выполнить настройку регистрации событий. Для этого следует указать, какие события категории «Шифрование файлов» должны регистрироваться в журнале безопасности «Secret Net 5.0-C».
Выполнение различных операций с зашифрованными ресурсами можно осуществлять только после того, как в систему будут загружены пользовательские ключи. Для загрузки ключей необходимо вызвать контекстное меню пиктограммы «Secret Net 5.0-C», находящееся в системной области панели задач Windows, и активировать команду «Загрузить ключи. В диалоговом окне «Загрузка ключей» отображается список идентификаторов, предъявленных системе в данный момент. Наименование идентификатора включает в себя тип идентификатора и его серийный номер. При разрыве контакта между считывающим устройством и персональным идентификатором соответствующая идентификатору строка удаляется из списка.
При использовании в качестве идентификаторов iButton или eToken возможные действия пользователя и реакция на них системы зависят от состояния выключателя «Использовать первый предъявленный идентификатор». Если поле выключателя содержит соответствующую отметку, то после предъявления персонального идентификатора произойдет чтение ключевой информации из этого идентификатора в память компьютера.
Если одновременно предъявлено более одного идентификатора, то указанное выше действие с ключевой информацией будет выполнено для одного из них. Если поле выключателя не содержит отметки, то после предъявления персонального идентификатора в списке идентификаторов отображается наименование персонального идентификатора. При этом чтение ключевой информации не выполняется. Для чтения ключевой информации, не разрывая контакт между считывающим устройством и персональным идентификатором, выберите в списке нужную строку и нажмите кнопку «ОК». Если в систему загружены ключи, то пиктограмма «Secret Net 5.0-C» дополняется знаком замка, а во всплывающем окне появляется краткая информация о загруженных ключах.
В системе «Secret Net 5.0-C» под созданием шифрованного каталога подразумевается включение режима шифрования файлов в этом каталоге. При этом сам каталог должен уже существовать в файловой системе. Включать режим шифрования имеют право пользователи, обладающие привилегией «Создание шифрованного ресурса», которая предоставляется администратором. Включение режима шифрования осуществляется в окне «Secret Net» свойств выбранного каталога в поле «Шифровать содержимое папки». После чего в списке пользователей, которым разрешен доступ к шифрованному каталогу, появится строка с именем текущего пользователя. При необходимости список пользователей может быть отредактирован. Если рабочий каталог уже содержит подкаталоги и файлы, на экране появится диалог, позволяющий зашифровать имеющиеся в каталоге объекты.
Контрольные вопросы:
Общие сведения
Запуск и регистрация в системе защиты
Реализация дискреционной модели разграничения доступа
Реализация мандатной модели разграничения доступа
Режим замкнутой программной среды
Контроль целостности
Регистрация событий
Печать штампа
Настройка механизма шифрования