- •«Страж nt»
- •2003 Аннотация
- •Содержание
- •1. Назначение программы 4
- •2. Условия применения 9
- •3. Описание задачи 12
- •4. Входные и выходные данные 51
- •Назначение программы
- •Условия применения
- •Описание задачи
- •Обзор подсистемы защиты информации операционных систем, основанных на технологииNt
- •Описание компонентов системы защиты информацииСтраж nt
- •Описание механизмов защиты
- •Идентификация и аутентификация
- •Дискреционный принцип контроля доступа
- •Мандатный принцип контроля доступа
- •Контроль потоков информации
- •Управление запуском программ
- •Контроль dos приложений
- •Управление защитой
- •Регистрация
- •Контроль целостности
- •Стирание памяти
- •Изоляция модулей
- •Маркировка документов
- •Защита ввода и вывода на отчуждаемый носитель информации
- •Сопоставление пользователя с устройством
- •Взаимодействие пользователя с сзи
- •Надежное восстановление
- •Целостность сзи
- •Тестирование сзи
- •Входные и выходные данные
- •Перечень сокращений
Контроль целостности
В системе защиты предусмотрен контроль целостности защищаемых ресурсов. Он предназначен для контролирования целостности таких параметров ресурсов как: размер, дата и время последней модификации и контрольная сумма. Контроль целостности ресурсов может осуществляться на следующих стадиях: загрузка операционной системы, при открытии и принудительный контроль. В случае контроля целостности на стадии загрузки операционной системы при нарушении целостности ресурса возможны следующие варианты поведения системы: регистрация о нарушении целостности в журнале регистрации и останов системы с разрешением дальнейшего входа только администратору безопасности.
СЗИ Страж NT обеспечивает контроль целостности файлов по следующим параметрам:
наличие файла;
контрольная сумма данных, содержащихся в файле. Для контрольного суммирования данных применяется алгоритм вычисления имитовставки ГОСТ 28147-89;
длина файла;
дата и время последней модификации.
При контроле целостности файлов параметры контроля проверяются в последовательности, приведенной выше. При нарушении какого либо параметра фиксируется факт нарушения целостности, и дальнейшая проверка не производится.
В СЗИ Страж NT предусмотрены следующие типы контроля целостности:
загрузка – предназначен для контроля целостности только системных файлов, т.е. файлов, находящихся на системном диске компьютера. Контроль целостности осуществляется автоматически при загрузке системы. При нарушении целостности для данного типа могут быть предприняты следующие действия: регистрация о нарушении целостности в журнале контроля целостности или останов системы с разрешением дальнейшего входа только администратору безопасности.
автомат – предназначен для контроля целостности любых файлов в системе. Контроль целостности осуществляется автоматически при загрузке системы. При нарушении целостности для данного типа может быть установлена только регистрация о нарушении целостности в журнале контроля целостности;
открытие – осуществляется контроль целостности при открытии файла на чтение. При нарушении целостности файла происходит ошибка открытия файла с кодом ошибка контрольной суммы.
Для событий, регистрируемых в журнале контроля целостности при нарушении целостности файлов, записывается следующая информация:
дата и время;
тип нарушения целостности;
имя объекта (имя ресурса).
Зарегистрированная информация хранится в журнале регистрации событий, который доступен только администратору безопасности с помощью программы Управления СЗИ. По информации, записанной в журнале регистрации, можно пересчитать параметры контроля целостности. По мере необходимости журнал регистрации событий можно стирать.
Стирание памяти
В СЗИ Страж NT реализована функция стирания защищаемых файлов на локальных жестких дисках при их удалении. При запросе на удаление файла система защиты анализирует гриф секретности файла. Если гриф секретности файла секретно или сов.секретно, то содержимое файла затирается случайной последовательностью с использованием алгоритма ГОСТ 28147-89, а затем удаляется. Для остальных файлов действуют правила удаления, реализованные в Windows NT.
Для обеспечения затирания файлов, помещаемых в корзину, должен быть установлен режим уничтожения файлов сразу после удаления, не помещая их в корзину.
В СЗИ Страж NT реализован механизм затирания оперативной памяти нулями при выделении страницы по запросу программ, а также включается режим затирания файла подкачки страниц при завершении работы.
При завершении работы происходит стирание идентификационной информации пользователя, считанной с идентификатора пользователя.