- •«Страж nt»
- •2003 Аннотация
- •Содержание
- •1. Назначение программы 4
- •2. Условия применения 9
- •3. Описание задачи 12
- •4. Входные и выходные данные 51
- •Назначение программы
- •Условия применения
- •Описание задачи
- •Обзор подсистемы защиты информации операционных систем, основанных на технологииNt
- •Описание компонентов системы защиты информацииСтраж nt
- •Описание механизмов защиты
- •Идентификация и аутентификация
- •Дискреционный принцип контроля доступа
- •Мандатный принцип контроля доступа
- •Контроль потоков информации
- •Управление запуском программ
- •Контроль dos приложений
- •Управление защитой
- •Регистрация
- •Контроль целостности
- •Стирание памяти
- •Изоляция модулей
- •Маркировка документов
- •Защита ввода и вывода на отчуждаемый носитель информации
- •Сопоставление пользователя с устройством
- •Взаимодействие пользователя с сзи
- •Надежное восстановление
- •Целостность сзи
- •Тестирование сзи
- •Входные и выходные данные
- •Перечень сокращений
Контроль потоков информации
Контроль потоков информации основывается на мандатном принципе контроля доступа и описывается правилами записи информации на отчуждаемые носители и ее вывода в порты ввода-вывода. В соответствии с мандатными ПРД на каждое устройство чтения отчуждаемых носителей и каждый порт ввода-вывода устанавливается гриф секретности. По умолчанию гриф секретности имеет значение несекретно. Изменить гриф секретности устройств ввода-вывода может только администратор безопасности и только в режиме администрирования. Гриф секретности устройства ввода-вывода определяет максимальный гриф секретности информации, которую разрешено выводить на указанное устройство. Это означает, что при запросе на запись файла или папки текущий допуск программы, осуществляющей запрос, должен быть не выше грифа секретности устройства ввода-вывода, в противном случае доступ запрещен.
В СЗИ Страж NT реализованы два метода контроля отчуждаемых носителей информации. В одно и тоже время может применяться только один из методов. По умолчанию при установке системы устанавливается первый метод контроля. Изменить метод контроля можно либо при установке системы защиты, либо при настройке в процессе эксплуатации.
Первый метод основан на ведении журнала учета носителей информации и разрешении работы только с зарегистрированными отчуждаемыми носителями. При постановке нового носителя на учет на него заводится карточка, в которой прописывается учетный номер, тип, гриф носителя, а также имя ответственного пользователя. В последующем на компьютере разрешается работа только с зарегистрированными носителями информации. При попытке прочитать носитель, не учтенный описанным образом, выдается сообщение об отказе в доступе. Кроме того, при обращении к зарегистрированному носителю анализируется его гриф секретности, и действуют правила мандатного контроля доступа. Программа может читать зарегистрированный носитель, если текущий допуск программы больше или равен грифу носителя. Программа может записывать информацию на зарегистрированный носитель, если текущий допуск программы меньше или равен грифу носителя. Данный метод поддерживает следующие типы носителей:
Гибкий магнитный диск;
CD-ROM, DVD-ROM и т.д.;
Магнитооптический диск;
Съемный магнитный диск (кроме жестких дисков, установленных в Mobil Rack);
Ленточный накопитель;
USB флэш-диск и другие аналогичные устройства.
Второй метод предназначен только для защиты гибких магнитных дисков и применяется, когда первый метод отключен. Данный метод реализуется путем записи на гибкий магнитный диск специальной метки, содержащей гриф информации, записанной на носитель. По умолчанию гибкий магнитный диск имеет гриф несекретно. При записи на диск информации программой, имеющей текущий допуск секретно или сов.секретно, на диск записывается специальная метка, соответствующая текущему допуску программы. Например, программа с текущим допуском секретно осуществляет запись на гибкий магнитный диск. Этот диск помечается, как секретный. После этого прочитать или записать информацию на этот диск сможет только программа, имеющая текущий допуск секретно или сов.секретно. Если программа с текущим допусков сов.секретно осуществит на него запись, то диск будет помечен, как сов.секретный, и не сможет быть прочитан программой с текущим допуском секретно. Метка гибкого магнитного диска не защищает информацию от прочтения на других, не защищенных СЗИ Страж NT компьютерах, но запрещает снижение грифа информации путем записи ее на диск и последующего считывания программой с более низким текущим допуском. Для удаления метки с гибкого магнитного диска он должен быть отформатирован.
СЗИ Страж NT контролирует перенос информации с использованием папки обмена. При помещении информации в папку обмена, ей присваивается текущий гриф, равный текущему допуску программы, выполняющей запись. При попытке чтения информации из папки обмена, сравнивается текущий гриф папки обмена и текущий допуск программы. Программа может прочитать информацию из папки обмена, если текущий гриф папки обмена не выше текущего допуска программы.
В рамках подсистемы контроля потоков информации реализован механизм, предотвращающий повышение текущего допуска прикладной программы при наличии файлов, открытых данной программой на запись. Система защиты для каждого процесса в системе создает счетчик открытых на запись файлов. При открытии файла на запись счетчик увеличивается, при закрытии уменьшается. Счетчик не меняет своего значения, если гриф секретности файла имеет значение без проверки. Если на момент повышения текущего допуска программы счетчик открытых на запись файлов не равен нулю, то текущий допуск не будет повышен, а пользователю выдается сообщение о наличии открытых на запись файлов. В том случае, если прикладная программа всегда открывает на запись некоторые служебные файлы и требуется повысить ее текущий допуск, то необходимо воспользоваться одной из перечисленных ниже возможностей:
Установить на служебные файлы гриф без проверки. При этом необходимо исключить возможность записи защищаемой информации в эти файлы;
Установить один из предусмотренных параметров запроса текущего допуска программы при старте;
Использовать специальную переменную процесса @GuardNT@ для установки текущего допуска программы.