Лабораторный практикум по НСД 2013
.pdf291
DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users;
CREATE USER martin IDENTIFIED BY martin DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp QUOTA 10m ON users;
CREATE USER miller IDENTIFIED BY miller DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER james IDENTIFIED BY james DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER turner IDENTIFIED BY turner DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER ward IDENTIFIED BY ward DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER ford IDENTIFIED BY ford DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users;
CREATE USER adams IDENTIFIED BY adams DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER smith IDENTIFIED BY smith DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
--выдадим созданным пользователям обычные привилегии
GRANT create session, resource TO king,jones,clark,blake,
allen,martin,miller,james,turner,ward,ford,adams,smith;
--выдадим пользователям привилегии для работы с таблицей «Official»
GRANT select, update, insert, delete
ON scott.official TO king,jones,clark,blake, allen,martin,miller,james,turner,ward,ford,adams,smith;
Назначение меток пользователям
connect lbacsys/lbacsys@orcl
292
--устанавливаем метки пользователям
BEGIN sa_user_admin.set_user_labels
('OFFICIAL_POLICY','KING','HS:FIN,ISS,TRG:GD'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','CLARK','S:FIN:NO'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','JONES','S:ISS:NO'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','BLAKE','S:TRG:NO'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','MILLER','P:FIN:E'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','SCOTT','C:ISS:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','FORD','C:ISS:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','WARD','C:TRG:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','ALLEN','C:TRG:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','MARTIN','C:TRG:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','TURNER','C:TRG:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','ADAMS','P:ISS:E'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','SMITH','P:ISS:E'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','JAMES','P:TRG:E');
END;
/
Назначение меток строкам таблицы «Official»
--сначала отключим политику, чтобы пользователь «Scott» мог изменять строки таблицы «Official»
connect lbacsys/lbacsys@orcl BEGIN
sa_sysdba.disable_policy('official_policy'); END;
/
--теперь пользователь «Scott» (в его схеме находится таблица «Official») устанавливает метки строкам таблицs «Official»
293
connect scott/scott@orcl
UPDATE scott.official SET scott_col=100
WHERE empno= (SELECT empno FROM scott.emp WHERE ename='KING'); UPDATE scott.official
SET scott_col=200
WHERe empno= (SELECT empno FROM scott.emp WHERE ename='CLARK'); UPDATE scott.official
SET scott_col=300
WHERE empno= (SELECT empno FROM scott.emp WHERE ename='JONES'); UPDATE scott.official
SET scott_col=400
WHERE empno= (SELECT empno FROM scott.emp WHERE ename='BLAKE'); UPDATE scott.official
SET scott_col=800
WHERE empno= (SELECT empno FROM scott.emp WHERE ename='MILLER'); UPDATE scott.official
SET scott_col=600
WHERE empno= (SELECT empno FROM scott.emp WHERE ename='FORD'); UPDATE scott.official
SET scott_col=700
WHERE empno IN (SELECT empno FROM scott.emp WHERE ename='WARD'OR ename='ALLEN' OR ename='TURNER' OR ename='MARTIN');
UPDATE scott.official SET scott_col=900
WHERE empno IN (SELECT empno FROM scott.emp WHERE ename='ADAMS' OR ename='SMITH');
UPDATE scott.official SET scott_col=1000
WHERE empno= (SELECT empno FROM scott.emp WHERE ename='JAMES');
--актуализируем политику
connect lbacsys/lbacsys@orcl BEGIN
sa_sysdba.enable_policy('official_policy'); END;
/
Проверка всех настроек – демонстрация OLS в работе
connect king/king@orcl
SELECT * FROM scott.official;
--KING может видеть все строки
294
INSERT INTO scott.official (id,dolzh) VALUES (16,'ministr');
--вставленная строка имеет ту же метку в cтолбце SCOTT_COL, что и пользователь KING
SELECT * FROM scott.official;
DELETE FROM scott.official WHERE id=16;
connect FORD/FORD@orcl
SELECT * FROM scott.official;
--ford может видеть только информацию о старших экспертах и экспертах отдела исследований
INSERT INTO scott.official (id,dolzh) VALUES (16,'spec');
--вставленная строка имеет ту же метку в cтолбце SCOTT_COL, что и пользователь FORD
SELECT * FROM scott.official;
DELETE FROM scott.official WHERE id=16; connect martin/martin@orcl
select * from scott.official;
--martin может видеть информацию о всех старших экспертах отдела торговли и об экспертах отдела торговли
INSERT INTO scott.official (id,dolzh) VALUES (16,'spec');
--вставленная строка имеет ту же метку в cтолбце SCOTT_COL, что и юзер FORD
SELECT * FROM scott.official;
DELETE FROM scott.official WHERE id=16;
--аналогично WARD, ALLEN,TURNER могут видеть информацию о всех старших экспертах отдела торговли и об экспертах отдела торговли
connect ward/ward@orcl SELECT * FROM scott.official;
connect james/james@orcl
--james увидит только две строки экспертов отдела торговли
SELECT * FROM scott.official; connect adams/adams@orcl
SELECT * FROM scott.official;
--adams, как и SMITH увидят только две строки экспертов отдела исследований connect smith/smith@orcl
SELECT * FROM scott.official;
Сдача лабораторной работы
Заключается в реализации студентом мандатного контроля доступа (только по обязательным компонентам) на индивидуальной предметной области. Студент сам определяет «родительскую» таблицу, в которой для трех строк символьного столбца с неповторяющимися значениями создает пользователей, а политику разграничения полномочий формирует для какой-либо «дочерней» таблицы, т.е. таб-
295
лицы, в которой в качестве Foreign Key присутствует Primary Key родительской таблицы.
Тестовые задания к лабораторной работе № 13
Входной контроль
1.Что является мандатом пользователя при его доступе к строкам таблицы базы данных, для которой выполнена настройка мандатного метода доступа?
a)Назначаемая пользователю совокупность соответствующих системных привилегий;
b)Назначаемая пользователю совокупность соответствующих ролей;
c)Назначаемый пользователю соответствующий профиль;
d)Назначаемые пользователям соответствующие метки доступа;
e)Правильных ответов нет.
2.Укажите верн(ое/ые) продолжени(е/я) фразы: для того, чтобы воспользоваться возможностью мандатного метода доступа, нужно:
a)Завести пользователя «ols»;
b)Завести при установке программного обеспечения СУБД Oracle нужные компоненты;
c)Наделить администратора базы данных привилегией «Create OLS…»;
d)Завести необходимые структуры в БД;
e)Правильных ответов нет.
3.Среди нижеприводимых строк укажите компонент(ы) метки доступа, регламентирующей доступ к строкам таблицы.
a)Компонент уровня секретности;
b)Уровень аудита;
c)Компонент уровня/категории данных;
d)Компонент уровня безопасности группы;
e)Правильных ответов нет.
4.Пользователь с какой учетной записью должен запускать скрипт «catols.sql» для обеспечения возможности использования Oracle Label Securi-
ty?
a)system;
b)sys;
c)dbsnmp;
d)sysman;
e)Правильных ответов нет.
5.Укажите цифру, равную числу максимального количества компонент метки строк таблиц и пользователей, которое может быть использовано при реализации Oracle Label Security.
296
a)1;
b)2;
c)3;
d)4;
e)Правильных ответов нет.
6.Какой программой надо воспользоваться для создания компонентов
Oracle, необходимых для использования Oracle Label Security?
a)Database Configuration Assistant;
b)Database Upgrade Assistant;
c)Oracle Universal Installer;
d)Policy Manager;
e)Правильных ответов нет.
7.Пользователь LBACSYS был установлен неудачно (он не может создавать политику OLS). Среди нижеприводимых строк укажите верную строку с действиями по переустановке этого пользователя.
a)Пользователь sys перезапускает скрипт создания пользователя lbacsys;
b)Пользователь sys выполняет команду «drop user lbacsys», а потом запускает вновь скрипт создания пользователя «lbacsys»;
c)Пользователь sys переустанавливает базу данных, а потом запускает вновь скрипт создания пользователя «lbacsys»;
d)Пользователь sys запускает скрипт catnools.sql, а потом запускает вновь скрипт создания пользователя «lbacsys»;
e)Правильных ответов нет.
Выходной контроль
1. Укажите, с помощью какого модуля реализуется связывание вариантов меток безопасности с пользователями в технологиях Oracle Label
Security?
a)dbms_rls;
b)sa_label_admin;
c)dbms_session;
d)sa_user_admin;
e)dbms_fga;
f)sa_sysdba;
g)Правильных ответов нет.
2.С помощью какого модуля определяются (создаются) уровни доступа пользователей к информации, отделения и группы, к которым принадлежат пользователи, и увязываются с политикой безопасности, создаваемой при реализации Oracle Label Security?
a)sa_sysdba;
297
b)dbms_session;
c)dbms_rls;
d)sa_components;
e)dbms_fga;
f)Правильных ответов нет.
3.Укажите, с помощью каких модулей создаются варианты (многомерных) меток безопасности в технологиях Oracle Label Security?
a)dbms_rls;
b)sa_label_admin;
c)dbms_session;
d)sa_user_admin;
e)dbms_fga;
f)sa_sysdba;
g)Правильных ответов нет.
4.Что необходимо сделать для того, чтобы оператором «update» назначить OLS метки уже существующим строкам таблицы, для которой выполнены все предварительные OLS настройки?
a)Создать копию этой таблицы;
b)Назначить «update any table» привилегию «хозяину» этой таблицы;
c)Включить OLS политику безопасности для этой таблицы;
d)Отключить OLS политику безопасности для этой таблицы;
e)Выполнить команду «set serveroutput on»;
f)Правильных ответов нет.
5.С помощью какой утилиты Oracle можно реализовывать и настраивать
OLS?
a)Enterprise Manager Console;
b)Oracle Security Manager;
c)Oracle Directory Manager;
d)Policy Manager;
e)Wallet Manager;
f)Правильных ответов нет.
6.Каким пользователем надо соединяться с утилитой реализации и настройки OLS?
a)sys as sysdba;
b)system;
c)«хозяином» таблицы, для которой реализуется и настраивается OLS;
d)dbsnmp;
e)ordsys;
f)Правильных ответов нет.
7.Какой пользователь создается в ходе последовательных этапов установки
OLS?
a)olsuser;
298
b)adminols;
c)sysols;
d)systemols;
e)olscreator;
f)Правильных ответов нет.
299
4.6.6. ЛАБОРАТОРНАЯ РАБОТА № 14: ПРОВЕРКА НАСТРОЕК МЕХАНИЗМОВ КОНТРОЛЯ ДОСТУПА СПЕЦИАЛИЗИРОВАННЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НСД СЕТЕВЫХ СРЕДСТВ
И ПЭВМ
Цель: Получение практических навыков работы с программной частью комплекса доверенной загрузки «Аккорд-NT/2000» v.3.0. Проверка настроек мандатного и дискреционного механизмов доступа, а так же прав пользователей, работающих в системе.
Сценарий проведения работы
1)Установка программной части комплекса.
2)Создание пользователей, синхронизация программной и аппаратной
частей.
3)Реализация дискреционного механизма разграничения доступа.
4)Активизация подсистемы управления доступом.
5)Проверка настроек дискреционного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР».
6)Реализация мандатного механизма разграничения доступа.
7)Проверка настроек мандатного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР».
8)Работа с сетевыми ресурсами.
9)Создание отчета по проделанной работе.
Аппаратно-программный комплекс доверенной загрузки
Этапы установки комплекса
Установка программно-аппаратного комплекса СЗИ НСД «АккордNT/2000» v.3.0 включает три основных этапа:
1)Установку в ПЭВМ (РС) аппаратной части комплекса ‒ комплекса СЗИ НСД «Аккорд-АМДЗ» его настройку с учетом конфигурации технических и программных средств ПЭВМ (РС), в том числе, регистрацию администратора безопасности информации (или нескольких администраторов) и пользователей.
2)Установку в составе ОС драйвера для устройства «Аккорд-АМДЗ». Для PCI контроллеров установка драйвера выполняется стандартным образом, только размещение указывается в папке Drivers/Windows на дистрибутивном носителе, который входит в состав комплекса «Аккорд-NT/2000». Процедура установки драйвера для ISA контроллера описана в файле readme.1st в этой же папке.
300
3)Установку на жесткий диск ПЭВМ (РС) специального программного обеспечения разграничения доступа с дистрибутивного носителя.
4)Назначение правил разграничения доступа (ПРД) для пользователей ПЭВМ (РС) в соответствии с политикой информационной безопасности, принятой в организации и активизацию подсистемы разграничения доступа с помощью программы настройки комплекса (ACSETUP.EXE).
Установка комплекса СЗИ НСД «Аккорд-АМДЗ»
Установка и настройка аппаратной части СЗИ НСД «Аккорд-АМДЗ» из состава комплекса «Аккорд-NT/2000» v.3.0 производится точно таким же образом как описано в ЛР № 11 настоящего ТЛП.
Установка СПО разграничения доступа «Аккорд-NT/2000» на жесткий диск ПЭВМ (РС).
Установка СПО на жесткий диск ПЭВМ осуществляется в следующей последовательности:
1)После установки «Аккорд-АМДЗ» загрузить ОС с правами Администратора. Установить драйвер нового устройства из папки \Drivers\Windows, которая находится на компакт-диске, поставляемом в составе комплекса. Установку драйвера выполнять в зависимости от типа контроллера АМДЗ и типа ОС. Рекомендации см. в файле readme.1st из той же папки.
2)Запустить находящуюся на диске программу SETUP.EXE из папки
ACNT2000.
3)Выбрать диск и каталог для установки ПО комплекса. По умолчанию установка выполняется в папку C:\Accord.NT, но администратор может выбрать другие варианты. Программа создаст на заданном логическом диске папку С:\ACCORD.NT (или имя, заданное администратором) со всеми необходимыми подкаталогами и скопирует туда программное обеспечение. В подкаталог DOC копируется комплект эксплуатационной документации. На данном этапе в составе ОС не производится никаких изменений, кроме создания каталогов или файлов на жестком диске.
Для нормальной работы комплекса необходимо после установки ПО на жесткий диск скопировать в папку Accord.NT лицензионный файл Accord.key, который поставляется на отдельном носителе.
4)Перезагрузить ПЭВМ (РС) и запустить редактор прав доступа ‒ программу ACED32.EXE из каталога С:\ACCORD.NT для синхронизации файла ПРД подсистемы разграничения доступа комплекса «Аккорд-NT/2000» со списком пользователей, который находится в контроллере комплекса «Аккорд-АМДЗ».