- •«Страж nt»
- •2003 Аннотация
- •Содержание
- •1. Назначение программы 4
- •2. Условия применения 9
- •3. Описание задачи 12
- •4. Входные и выходные данные 51
- •Назначение программы
- •Условия применения
- •Описание задачи
- •Обзор подсистемы защиты информации операционных систем, основанных на технологииNt
- •Описание компонентов системы защиты информацииСтраж nt
- •Описание механизмов защиты
- •Идентификация и аутентификация
- •Дискреционный принцип контроля доступа
- •Мандатный принцип контроля доступа
- •Контроль потоков информации
- •Управление запуском программ
- •Контроль dos приложений
- •Управление защитой
- •Регистрация
- •Контроль целостности
- •Стирание памяти
- •Изоляция модулей
- •Маркировка документов
- •Защита ввода и вывода на отчуждаемый носитель информации
- •Сопоставление пользователя с устройством
- •Взаимодействие пользователя с сзи
- •Надежное восстановление
- •Целостность сзи
- •Тестирование сзи
- •Входные и выходные данные
- •Перечень сокращений
Изоляция модулей
Операционная система Windows NT содержит встроенные механизмы, предотвращающие доступ одних процессов к оперативной памяти других процессов. Данные механизмы основаны на системе виртуальной памяти и поддерживается как на аппаратном уровне средствами процессора, так и на уровне ядра Windows NT.
Маркировка документов
При выводе защищаемой информации на печатающее устройство в начале и конце документа должны проставляться штамп № 1 и заполняться его реквизиты в соответствии с Инструкцией №0126-87 (п.577).
СЗИ Страж NT позволяет ограничивать вывод защищаемой информации на печатающие устройства путем назначения последним списка контроля доступа, а также назначения грифа секретности на порты принтера. Встроенными в Windows NT механизмами обеспечивается регистрации выдачи документов на печать при помощи системных списков контроля доступа, а также протоколирования сообщений очереди печати.
Защита ввода и вывода на отчуждаемый носитель информации
Данные механизмы описаны в пункте 3.3.4 Контроль потоков информации настоящего документа.
Сопоставление пользователя с устройством
Данные механизмы описаны в пунктах 3.3.1 Идентификация и аутентификация и 3.3.4 Контроль потоков информации настоящего документа.
Взаимодействие пользователя с сзи
СЗИ Страж NТ представляет собой программный комплекс, состоящий из отдельных модулей, каждый из которых выполняет четко определенные функции. Назначение модулей системы защиты описано в разделе 1 Назначение программы настоящего документа.
Интерфейс пользователя и СЗИ четко определен и описан. Вход пользователя в систему по шагам описан в пункте 3.3.1 настоящего документа. К другим элементам интерфейса относятся установление текущего допуска прикладных программ, а также сообщения о событиях безопасности, выдаваемые на экран при работе пользователя.
Надежное восстановление
В СЗИ Страж NT предусмотрен механизм восстановления параметров разграничения доступа при сбоях и отказах оборудования. С этой целью ведется две копии базы данных, в которой хранятся настройки системы защиты. Вторая копия базы данных обновляется каждый раз при завершении работы пользователей. Если при входе в систему первая копия базы данных оказывается разрушенной, то система защиты автоматически использует вторую копию и при этом восстанавливает первую.
Целостность сзи
Для осуществления периодического контроля целостности системы защиты информации при настройке системы защиты устанавливаются параметры автоматического контроля целостности при входе в систему на все модули системы защиты. При нарушении целостности модулей системы защиты работа пользователей блокируется, и вход в систему становится возможным только для администратора защиты.
Все модули системы защиты выполняются в отдельной части оперативной памяти компьютера, что обеспечивается встроенными в Windows NT механизмами поддержки виртуальной памяти.
Тестирование сзи
Для осуществления периодического тестирования функций и механизмов системы защиты информации предназначена программа Тестирование системы защиты. Данная программа позволяет проводить автоматическое тестирование следующих механизмов защиты:
Дискреционных правил разграничения доступа;
Мандатных правил разграничения доступа;
Защиты ввода-вывода на отчуждаемый носитель;
Контроля целостности.
При тестировании функций защиты ввода-вывода на отчуждаемый носитель проверяется работа дискреционных и мандатных правил разграничения доступа, а также запись меток конфиденциальности на гибких магнитных дисках. Для тестирования данной функции необходимо, чтобы в дисковод была установлена отформатированная дискета.
Программа тестирования может осуществлять тестирование СЗИ как на локальном компьютере, так и на любом доступном сетевом компьютере, на котором установлена СЗИ Страж NT данной версии. На удаленных компьютерах функция тестирования защиты ввода-вывода на отчуждаемый носитель недоступна.
Результаты тестирования системы защиты оформляются в виде отчета, который может быть сохранен на диске или распечатан.