Конявская Текхнология доверенного сеанса связи ДСС и средство 2015
.pdfинформации), если пользователи будут работать в терминальном режиме с виртуальным терминальным сервером?
10. Какие собственные функции ПСКЗИ ШИПКА Вы знаете? Какие из них используются администратором, а какие – пользо-
вателем?
11.Через какие внешние (по отношению к ПСКЗИ ШИПКА) приложения можно использовать основную функциональность ПСКЗИ ШИПКА?
12.Какие программно-аппаратные комплексы используют ШИПКУ в своем составе?
Какие из них построены на базе ПСКЗИ ШИПКА (в каких из них ПСКЗИ ШИПКА выступает в качестве аппаратной базы комплекса)?
13.Какова архитектура ПАК «Центр-Т»?
Какие компоненты в него входят и как они взаимосвязаны? Перечислите управляющий персонал, задействованный в работе
с «Центр-Т», и основные его функции в части работы с комплексом:
-на стадии ввода в действие системы,
-на стадии эксплуатации системы.
14.Как Вы поняли основное назначение ПАК Privacy?
15.В чем состоит основная особенность работы с криптографическими ключами с применением ПАК Privacy?
16.В чем отличия и что общего у ПАК «Центр-Т» и СОДС
«МАРШ!»?
17.В чем заключается концептуальная основа понятия «доверенный сеанс связи»? В чем основные отличия этой концепции от концепции доверенной вычислительной среды?
111
18.В чем заключается архитектурное отличие устройства «МАРШ!» от «токена с памятью» и какой защитный эффект обеспечивает это отличие?
19.В чем заключается принципиальное решение задачи защищенной работы с USB-накопителями в линейке «Секрет» и за счет каких аппаратных ресурсов служебных носителей «Секрет» оно реализуется?
Почему невозможна реализация данного подхода на произвольно взятой флешке за счет дополнения ее каким-либо программным обеспечением?
20.От каких параметров системы зависит предпочтительность выбора одного из продуктов линейки «Секрет»?
21.По каким параметрам «Секрет Особого Назначения» определяет «свои» и «чужие» компьютеры?
Каким образом нужно учитывать это при администрировании компьютеров, которые зарегистрированы в «Секретах Особого Назначения»?
22.Попробуйте сформулировать наблюдение: как концепция РКБ реализована в каждом из изученных Вами продуктов.
112
Примеры ответов на вопросы выходного контроля по всему циклу обучения
Ответы приводятся именно в качестве примеров. От обучающихся необходимо получить, в первую очередь, полные ответы, добиваться точного совпадения не нужно.
Однако после написания этой работы необходимо провести анализ результатов, сообщить обучающимся, на какие вопросы они не ответили или ответили неверно, в чем именно они ошибаются, как ответить на эти вопросы правильно.
В случае, если невозможно отвести на это учебный час, анализ работ необходимо оформить в электронном виде и разослать обучающимся с правильными ответами и рекомендациями дополнительной литературы по разделам, которые они плохо усвоили.
1. Что означает термин «резидентный компонент безопасности»? Перечислите ключевые характеристики РКБ.
Резидентный компонент безопасности – это встроенный в вычислительную систему объект, способный контролировать целостность среды путем сравнения ее параметров с эталонными.
Ключевые характеристики РКБ – это устройство памяти:
-с очень высоким уровнем защищенности;
-примитивное (иначе обеспечение его собственной защищенности эквивалентно задаче защиты компьютера, который он защищает);
-встроенное в контролируемую систему;
-независимое от контролируемой системы (функционирующее автономно);
-перестраиваемое (возможность функционирования в режиме управления, когда допустимо изменение политик (только специальным привилегированным пользователем) и в пользовательском режиме, когда изменение политик невозможно и осуществляется только контроль их выполнения).
2. Что означает термин «доверенная загрузка ОС»? Какие функции «Аккорд-АМДЗ» обеспечивают выполнение доверенной загрузки ОС?
113
Доверенная загрузка – это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.
Режим доверенной загрузки обеспечивается выполнением следующих функций:
-применение аппаратных персональных идентификаторов пользователей;
-применение парольного механизма для аутентификации пользователей;
-блокировка загрузки операционной системы с любых съемных носителей;
-контроль целостности технических средств компьютера, программных средств (файлов системного и прикладного ПО), разделов и ключей системного реестра (для ОС Windows);
-поддержка контроля целостности для операционных систем, использующих любую из файловых систем: FAT 12, FAT 16, FAT 32, NTFS, HPFS, FreeBSD, Ext2/Ext3 FS, Sol86FS, QNXFS, MINIX
без установки дополнительных модулей в составе ОС.
3. В каких случаях достаточно применения «Аккорд-АМДЗ», а в каких необходимо использование ПАК СЗИ НСД «Аккорд-Win32» или «Аккорд-Win64»?
Сфункциональной точки зрения основной критерий – режим работы (однопользовательский, многопользовательский, с равными правами доступа пользователей или с различными). Если требуются только функции доверенной загрузки, то используем только «Аккорд-АМДЗ», если требуется разграничение доступа пользователей и процессов внутри доверенно загруженной ОС, то используем ПАК.
ПАК СЗИ НСД «Аккорд-Win32» – если применяется 32разрядная ОС Windows, ПАК СЗИ НСД «Аккорд-Win64» – если 64разрядная.
Снормативной точки зрения основной критерий выбора – необходимый класс защищенности СВТ по требованиям РД.
114
4. В чем принципиальное отличие системы управления «Ак- корд-РАУ» от системы управления СУЦУ?
1)В СУЦУ есть единая база пользователей, идентификаторов и USB-устройств (в отличие от отдельных баз для каждой рабочей станции в «Аккорд-РАУ»).
2)СУЦУ оперирует понятием «технологические участки», для которых можно назначить отдельных администраторов ИБ, управляющих конкретными участками и не имеющих доступа к другим.
3)СУЦУ оперирует понятием «Роли», в отличие от «Групп компьютеров» в «Аккорд-РАУ».
4)В СУЦУ есть встроенные роли управляющего персонала, между которыми разделены полномочия по управлению системой.
5)В СУЦУ реализована возможность управления подконтрольными объектами по децентрализованной схеме (в случае перебоев работы сети или отсутствия сетевого соединения в принципе).
6)В СУЦУ реализована интеграция с Tivoli.
5. Каковы принципиальные различия между локальными и терминальными версиями комплексов СЗИ НСД «Аккорд-Win32» и «Аккорд-Win64»?
TSE обеспечивает защиту системы терминального доступа и является многозадачной и многопользовательской системой. Одновременно для разных пользователей выполняются разные политики доступа к ресурсам СТД.
6. В каких случаях, кроме использования в системе терминального доступа, необходимо устанавливать ПАК СЗИ НСД «АккордWin32» TSE и «Аккорд-Win64» TSE?
При администрировании компьютера через службу «Удаленного рабочего стола».
7. В чем состоят ключевые архитектурные отличия ПАК «Ак- корд-В.» от других комплексов семейства «Аккорд»?
В отличие от остальных комплексов, где контролируется старт системы и этим обеспечивается неизменность среды и корректность исполнения программ, в том числе программ, обеспечивающих безопасность, старт виртуальной машины состоит из этапов, протекающих на разных элементах виртуальной инфраструктуры,
115
которые включают в себя: vCenter, ESX/ESXi-серверы, сами ВМ, представляющие собой набор файлов, содержащих описание оборудования, BIOS, описание параметров виртуального диска с данными самой ВМ.
Таким образом, процедура доверенной загрузки «растянута» на все эти элементы старта, обеспечивая в итоге доверенную загрузку ВМ как непрерывный процесс от старта vCenter, каждый следующий этап которого использует в качестве входных данных данные, проконтролированные на предыдущем шаге.
8. В чем состоят ключевые архитектурные и концептуальные отличия ПАК «Аккорд-В.» от vGate?
Воснове этих продуктов лежат две разные идеологии защиты виртуальных инфраструктур: «управление ролями» (vGate) и «контролируемая среда» («Аккорд-В.»). В одном случае это акцент на управлении потоками, подходящий для организации работы в рамках четко заданных ролей внутри компании. В другом – доверенный старт проверенной системы, в результате которого загружается доверенная среда, все компоненты которой, включая и средства защиты, функционируют корректно и контролируемо.
Воснове vGate лежит управление информационными потоками, позволяющее разграничивать доступ к конфиденциальным ресурсам. Реализуется это следующим образом: все запросы пускаются через специально добавленный в систему сервер авторизации, который фильтрует нежелательные запросы, тем самым выступая в роли межсетевого экрана. Управление доступом «внутри» инфраструктуры производится путем назначения меток элементам инфраструктуры и ее пользователям. Кроме того, производится проверка контрольных сумм файла конфигурации виртуальной машины (ВМ), файла ее БИОС и главной загрузочной записи.
Воснове «Аккорд-В.» лежит «растягивание» контроля старта, реализованного в ПАК СЗИ НСД «Аккорд» – на «растянутый» старт инфраструктуры виртуализации: контролируется старт vCenter, старт ESX-сервера, при старте ВМ проводится контроль ее оборудования, БИОС и критичных файлов внутри ВМ, в том числе файлов подсистемы разграничения доступа, далее в каждой ВМ для каждого пользователя создается изолированная программная среда.
116
Контроллеры «Аккорд», используемые в комплексе, могут контролировать файлы ESXi.
9. В чем будут заключаться принципиальные, на Ваш взгляд, особенности архитектуры системы (включая подсистему защиты информации), если пользователи будут работать в терминальном режиме с виртуальным терминальным сервером?
На ВМ будет развернуто терминальное ПО Microsoft или Citrix и конечные пользователи будут работать с терминальных клиентов по протоколам RDP или ICA, возможно, даже не зная, что терминальный сервер, с которым они работают, виртуальный.
В подсистеме защиты информации будет следующая особенность – на терминальных клиентах будет установлено ПО «АккордТК», взаимодействующее с «Аккорд-TC» из состава «АккордWin64» или «Аккорд-Win32 VE».
Для корректной работы понадобятся лицензии на терминальное подключение к «Аккорд TSE» на виртуальных терминальных серверах.
10. Какие собственные функции ПСКЗИ ШИПКА Вы знаете? Какие из них используются администратором, а какие – пользо-
вателем?
Настройка параметров авторизации Инициализация и форматирование, разблокировка Генерация ключей
Генерация сертификатов, в том числе самоподписанных, а также запросов на сертификаты
Шифрование и подпись на ключах Шифрование и подпись на сертификатах Защищенный вход в ОС Windows
Защищенное хранение паролей и пасс-карт (функция «Помощник авторизации»)
Первая – администратором, остальные – пользователем. Администратор тоже может участвовать в настройке системы
защищенного входа в ОС, так как пользователю это может быть сложно, а также потому, что настройка этой системы (в отличие от ее использования далее) требует прав администратора ОС.
117
11. Через какие внешние (по отношению к ПСКЗИ ШИПКА) приложения можно использовать основную функциональность ПСКЗИ ШИПКА?
Почтовые программы Outlook и Outlook Express, The Bat!, через различные приложения, использующие криптопровайдеры и/или смарт-карты (программные СКЗИ, домен и пр.), УЦ «Автограф»,
ПАК Privacy.
12. Какие программно-аппаратные комплексы используют ШИПКУ в своем составе?
Какие из них построены на базе ПСКЗИ ШИПКА (в каких из них ПСКЗИ ШИПКА выступает в качестве аппаратной базы комплекса)?
УЦ «Автограф», ПАК Privacy, ПАК «Аккорд», УАПК «Аккорд- У», ПАК «Аккорд-В.», ПАК «Центр-Т».
В ПАК Privacy и ПАК «Центр-Т» ПСКЗИ ШИПКА является аппаратной базой комплекса.
13. Какова архитектура ПАК «Центр-Т»?
Какие компоненты в него входят и как они взаимосвязаны? Перечислите управляющий персонал, задействованный в работе
с «Центр-Т», и основные его функции в части работы с комплексом:
-на стадии ввода в действие системы,
-на стадии эксплуатации системы.
Состав:
1.АРМ администратора «Центра» (ШИПКА администратора «Центра» (ШИПКА-А))
2.Сервер хранения и сетевой загрузки (СХСЗ) (ШИПКА сервера хранения и сетевой загрузки (ШИПКА-С))
3.ШИПКА администратора СХСЗ
4.ШИПКА АИБ СХСЗ
5.Клиентские ШИПКИ (ШИПКИ-К)
На ШИПКЕ-А – образ АРМ «Центр» со всеми необходимыми инструментами для формирования шаблонов и сборки образов, а
118
также для инициализации ШИПОК-С и ШИПОК-К, лицензия на АРМ «Центр».
На ШИПКЕ-С – образ СХСЗ со всеми необходимыми инструментами для работы сервера, лицензия на сервер, лицензия на ШИПКИ-К.
Персонал:
1.Администратор «Центра» (АИБ):
-запускает АРМ,
-инициализирует ШИПКУ-А,
-генерирует пару ключей подписи, закрытый ключ (ЗК) которой будет использоваться для подписи образов,
-экспортирует открытый ключ (ОК) пары на ШИПКИ-С и ШИПКИ-К,
-собирает образы,
-подписывает их на ЗК пары,
-формирует начальные наборы образов на диски ШИПОК-С (перед их рассылкой администраторам СХСЗ),
-рассылает обновленные образы (по почте или другим регламентированным способом) на СХСЗ и, в случае замены ключевой пары, новый ОК,
-инициализирует ШИПКИ-К, импортирует в них образ начальной загрузки (ОНЗ) и ОК,
-инициализирует ШИПКИ-С.
2.Администратор ИБ СХСЗ (АИБ):
-запускает СХСЗ,
-назначает ШИПКИ АИБ СХСЗ и администратора СХСЗ,
-проверяет легальность полученных от «Центра» образов (верна ли подпись АИБ «Центра»),
-сопоставляет серийные номера ШИПОК образам пользовате-
лей,
-сопоставляет образы пользователям,
-записывает на диск ШИПКИ-С полученные с АРМ администратора «Центра» обновленные образы,
-управляет образами на ШИПКЕ-С,
-администрирует журналы,
-при замене ключевой пары импортирует полученный от АИБ «Центра» ОК в ШИПКИ-С и ШИПКИ-К.
119
3.Администратор СХСЗ (не АИБ):
-запускает СХСЗ с ШИПКИ-С,
-просматривает журналы событий,
-администрирует базу данных пользователей в ШИПКЕ-С.
Порядок действий при развертывании системы:
1. АИБ «Центра»
1)запускает ПО «Центр» с ШИПКА-А,
2)инициализирует ШИПКУ-А, вырабатывает себе свой PIN,
3)генерирует ключевую пару,
4)экспортирует открытый ключ (ОК) в файл,
5)инициализирует ШИПКИ-С (+ вырабатывает PIN по умолча-
нию),
6)импортирует в них ОК,
7)инициализирует ШИПКИ-К (+ вырабатывает PIN по умолча-
нию),
8)записывает в ШИПКИ-К образ начальной загрузки (ОНЗ) и
ОК,
9)формирует и подписывает с помощью ШИПКИ-А образы на закрытом ключе (ЗК) сгенерированной пары,
10)образы записывает на ШИПКИ-С.
2.ШИПКИ-С и ШИПКИ-К доставляются на место функционирования СХСЗ.
3.АИБ СХСЗ:
1)меняет PIN-код ШИПКИ-С,
2)создает на СХСЗ администратора и АИБ, назначает им ШИПКИ,
3)меняет PIN-код своей ШИПКИ.
4. Администратор СХСЗ:
1)меняет PIN-код своей ШИПКИ-К,
2)создает пользователей,
3)записывает на ШИПКУ-К сетевые настройки и конфигура-
ции,
4)раздает ШИПКИ-К пользователям,
5)передает АИБ СХСЗ с листочком с инвентарными и серийными номерами ШИПОК и фамилиями пользователей.
5. АИБ СХСЗ:
1)сопоставляет пользователям ШИПКИ-К,
120