- •«Страж nt»
- •2003 Аннотация
- •Содержание
- •1. Назначение программы 4
- •2. Условия применения 9
- •3. Описание задачи 12
- •4. Входные и выходные данные 51
- •Назначение программы
- •Условия применения
- •Описание задачи
- •Обзор подсистемы защиты информации операционных систем, основанных на технологииNt
- •Описание компонентов системы защиты информацииСтраж nt
- •Описание механизмов защиты
- •Идентификация и аутентификация
- •Дискреционный принцип контроля доступа
- •Мандатный принцип контроля доступа
- •Контроль потоков информации
- •Управление запуском программ
- •Контроль dos приложений
- •Управление защитой
- •Регистрация
- •Контроль целостности
- •Стирание памяти
- •Изоляция модулей
- •Маркировка документов
- •Защита ввода и вывода на отчуждаемый носитель информации
- •Сопоставление пользователя с устройством
- •Взаимодействие пользователя с сзи
- •Надежное восстановление
- •Целостность сзи
- •Тестирование сзи
- •Входные и выходные данные
- •Перечень сокращений
УИМ.00025-01 31
УТВЕРЖДЕН
УИМ.00025-01 31-ЛУ
Подп. и дата
Инд № дубл
Взам. инв №
Подп. и дата
Инд.
№ подл.
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
«Страж nt»
Версия 2.0
Описание применения
УИМ.00025-01 31
Листов 1
2003 Аннотация
Система защиты информации (СЗИ) от несанкционированного доступа Страж NT версии 2.0 представляет собой специализированный программно-аппаратный комплекс, предназначенный для обеспечения безопасности информации в автоматизированных системах на базе персональных компьютеров.
СЗИ Страж NT версии 2.0 может устанавливаться на однопроцессорных и многопроцессорных компьютерах, построенных на платформе Intel i386, в среде операционных систем фирмы Microsoft Windows NT 4.0,Windows 2000, Windows XP. Далее в документе перечисленные операционные системы будут называться просто Windows NT, при этом необходимо понимать, что имеется в виду операционная система фирмы Microsoft, разработанная по технологии NT.
Настоящий документ предназначен для администраторов безопасности и представляет собой описание применения системы защиты информации Страж NT. В нем приведены сведения о назначении, вариантах и условиях применения СЗИ Страж NT, ее архитектуре и общих принципах функционирования, используемых механизмах защиты, входных и выходных данных, а также требования к прикладному программному обеспечению.
Содержание
Аннотация 2
1. Назначение программы 4
2. Условия применения 9
3. Описание задачи 12
3.1. Обзор подсистемы защиты информации операционных систем, основанных на технологии NT 12
3.2. Описание компонентов системы защиты информации Страж NT 13
3.3. Описание механизмов защиты 15
3.3.1.Идентификация и аутентификация 18
3.3.2.Дискреционный принцип контроля доступа 25
3.3.3.Мандатный принцип контроля доступа 30
3.3.4.Контроль потоков информации 36
3.3.5.Управление запуском программ 38
3.3.6.Контроль DOS приложений 40
3.3.7.Управление защитой 41
3.3.8.Регистрация 43
3.3.9.Контроль целостности 45
3.3.10.Стирание памяти 47
3.3.11.Изоляция модулей 48
3.3.12.Маркировка документов 48
3.3.13.Защита ввода и вывода на отчуждаемый носитель информации 48
3.3.14.Сопоставление пользователя с устройством 48
3.3.15.Взаимодействие пользователя с СЗИ 48
3.3.16.Надежное восстановление 49
3.3.17.Целостность СЗИ 49
3.3.18.Тестирование СЗИ 49
4. Входные и выходные данные 51
Назначение программы
СЗИ Страж NT предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах на базе персональных ЭВМ. СЗИ Страж NТ функционирует в среде операционных систем Windows NT 4.0, Windows 2000, Windows XP и устанавливается как на автономных рабочих местах, так и на рабочих станциях и файл-серверах локальной вычислительной сети. СЗИ Страж NТ представляет собой программно-аппаратный комплекс, состоящий из двух составных частей – ядра защиты и утилит администратора безопасности.
Ядро защиты СЗИ Страж NТ обеспечивает реализацию всех механизмов и функций, обеспечиваемых данной системой. Ядро защиты встраивается в ядро операционной системы Windows, существенно расширяя и усиливая встроенные в нее механизмы защиты. Реализованная в ядре защиты концепция единого диспетчера доступа гарантирует полный контроль доступа к защищаемым ресурсам и носителям информации, независимо от типов носителей и файловых систем. К функциям, реализованным в ядре защиты Страж NT, относятся следующие:
идентификация и аутентификация пользователей при входе в систему по идентификатору и паролю;
блокировка клавиатуры на время загрузки операционной системы (за исключением администратора безопасности);
управление запуском всех системных компонентов, включая драйверы, службы и прикладные программы пользователей;
создание замкнутой программной среды для пользователей;
перехват всех запросов к ресурсам системы и реализация единого диспетчера доступа;
дискреционный контроль доступа к ресурсам системы на основе списков управления доступом;
полнофункциональный мандатный контроль доступа на основе меток конфиденциальности пользователей, защищаемых ресурсов и прикладных программ;
контроль потоков защищаемой информации;
блокировка компьютера при изъятии идентификатора (только для USB-идентификаторов);
автоматическое затирание защищаемых файлов при их удалении;
контроль целостности постоянных информационных массивов и программного обеспечения;
регистрация обращений к защищаемым ресурсам;
регистрация событий входа в систему;
защита папки обмена;
защита ввода-вывода на отчуждаемые носители;
обеспечение интерфейса с пользователем и утилитами администратора безопасности.
В СЗИ Страж NТ предусмотрена возможность работы пользователей (в том числе и администратора безопасности) на различных компьютерах с использованием единого идентификатора и пароля для входа. В качестве идентификатора пользователя в данной версии СЗИ Страж NТ могут применяться стандартная 3,5” дискета, устройства iButton (таблетка), USB – ключи eToken R2, eToken Pro, Guardant.
Утилиты администратора безопасности представляют собой набор программ, предназначенных для установки, настройки, снятия и обслуживания СЗИ Страж NТ. В состав утилит администратора входят: Программа установки, Программа управления СЗИ и Программа тестирования. Все утилиты предназначены только для администратора безопасности и при запуске проверяют наличие у пользователя соответствующих прав.
Программа установки предназначена для установки системы защиты информации Страж NТ на ПЭВМ, настройки системы защиты и снятия ее с удалением всех компонентов. При запуске Программа установки проверяет, установлена ли СЗИ Страж NТ на данной ПЭВМ. Если СЗИ Страж NТ не установлена, то Программа установки предлагает ее установить. В противном случае, т.е. если СЗИ Страж NТ уже установлена, Программа установки предлагает ее снять. При запуске Программы установки с определенными параметрами выполняется изменение настроек системы защиты на конкретной ПЭВМ. К функциям, выполняемым Программой установки, относятся следующие:
копирование всех компонентов системы с установочного носителя на жесткий диск при установке СЗИ Страж NТ;
создание идентификатора администратора безопасности (при первой установке);
включение всех компонентов системы защиты и выполнение первоначальных настроек;
создание при необходимости ярлыков программы управления СЗИ на рабочем столе;
изменения при необходимости настроек системы защиты в процессе эксплуатации;
удаление всех компонентов системы при снятии СЗИ Страж NТ.
Программа управления СЗИ представляет собой основной инструмент администратора безопасности по настройке системы защиты и управления ее функционированием. Программа управления СЗИ устанавливается на каждом защищаемом компьютере и доступна только для администратора безопасности. На уровне меню в Программе управления СЗИ реализованы следующие компоненты:
Администратор ресурсов;
Менеджер пользователей;
Журнал регистрации событий;
Журнал учета носителей информации.
Администратор ресурсов позволяет устанавливать и изменять права доступа к защищаемым ресурсам, формировать замкнутую программную среду, управлять параметрами регистрации обращений к защищаемым ресурсам и контроля целостности, создавать шаблоны настроек для отдельных папок, сохранять их на диске и применять уже готовые шаблоны, а также выполнять отдельные функции программы Проводник. К ресурсам системы, защищаемым СЗИ Страж NТ, относятся следующие:
локальные диски;
папки;
файлы;
порты ввода-вывода;
порты принтера;
дисководы, CD ROMы и другие отчуждаемые устройства.
Используя единые принципы защиты ресурсов, СЗИ Страж NТ позволяет реализовать практически любую политику разграничения доступа. С помощью Администратора ресурсов все настройки выполняются легко и наглядно. В программе предусмотрено подключение и отключение локальных дисков других компьютеров, включенных в локальную сеть. При подключении диска удаленного компьютера на нем становятся доступными практически все функции управления защищаемыми ресурсами. В Администраторе ресурсов реализованы следующие возможности:
удобный оконный интерфейс, подобный программе Проводник;
установка и изменение разрешений на доступ ко всем ресурсам системы, быстрый просмотр разрешений в специальном окне;
разрешение режима запуска исполняемых файлов, установка меток конфиденциальности и параметров аудита ресурсов системы;
назначение и смена владельцев ресурсов;
настройка параметров подсистемы контроля целостности, проверка целостности выбранных файлов, просмотр и обслуживание журнала контроля целостности;
включение и выключение режима администрирования и режима автозапуска;
временный останов системы защиты на текущий сеанс работы;
автоматическое формирование, сохранение на диске, загрузка с диска и применение шаблонов настроек;
выполнение операций с файлами и папками по нажатию правой кнопки мыши подобно программе Проводник.
Менеджер пользователей является инструментом администратора безопасности для создания, удаления пользователей системы, включения их в группы, смены паролей, назначения уровней допуска пользователей к защищаемым ресурсам, а также формирования идентификаторов пользователей. В данной версии СЗИ Страж NТ не реализованы функции создания и удаления групп пользователей, а также изменение свойств пользователей и групп. В данном случае необходимо пользоваться штатными средствами операционной системы.
Журнал регистрации событий предназначен для просмотра событий входа в систему, запуска программ, а также контроля целостности защищаемых ресурсов. Перечисленные события регистрируются в специальных файлах на локальном компьютере и доступны только через данный компонент. Другие события записываются в журнал событий операционной системы и доступны штатными средствами просмотра событий. При просмотре зарегистрированных событий предусмотрена возможность чтения журналов регистрации на любом компьютере, включенном в локальную сеть и защищенном СЗИ Страж NТ.
Журнал учета носителей информации предназначен для постановки на учет и снятия с учета отчуждаемых носителей. При включении режима использования только маркированных носителей информации работа с носителями, не поставленными на учет, будет запрещена. Режим использования только маркированных носителей информации включается по умолчанию при установке системы защиты.
Программа тестирования представляет собой инструмент администратора безопасности, предназначенный для автоматического комплексного тестирования основных функций и механизмов защиты, реализованных в СЗИ Страж NТ, как на локальном компьютере, так и на любом компьютере в составе ЛВС при наличии у администратора соответствующих прав.