- •Государственная система защиты информации
- •Введение
- •Содержание работы администратора би по применению комплекса "аккорд".
- •Планирование применения комплекса.
- •Установка и настройка комплекса "Aккорд".
- •Эксплуатация комплекса.
- •Снятие защиты.
- •Основные механизмы реализации защитных функций в сзи "Аккорд".
- •Требование идентификации и аутентификации.
- •Требование реализации дискреционного механизма разграничения доступа.
- •Требование регистрации событий.
- •Требование целостности ксз.
- •Требование очистки памяти.
- •Некоторые особенности действия атрибутов и подготовки прд.
- •Примеры прд для типовых ситуаций разграничения доступа.
- •Пример 2. Пользователю на диске будут видны и доступны только явно описанные каталоги.
- •Пример 3. Разрешено работать только с файлами и только в выделенном каталоге.
- •Пример 4. Применение атрибутов наследования.
- •Пример 5. То же, но пользователю нельзя удалять файлы.
- •Пример 6. Пользователю предоставляется право с полными полномочиями работать в выделенной директории на диске d:.
- •Пример 7. Конфиденциальное делопроизводство.
- •Пример 8. То же, но пользователь имеет право читать файлы, размещенные в корневом каталоге на диске a:.
- •Пример 9. То же, но пользователь может читать все файлы, размещенные на a:.
- •Пример 10. Установка атрибутов файлов.
- •Пример 11. Установка атрибутов для выделенных программ.
- •Пример 12. Запрет доступа к файлам.
- •Пример 13. Анализ ресурсов.
- •Пример 14. Использование атрибута "o".
- •Пример 15. Описание сетевого ресурса.
- •Пример 16. Созданию изолированной программной среды (ипс) в ос Windows 9х.
- •Пример 17. Конфиденциальное делопроизводство в средеWindows 95/98 иMicrosoft Office.
- •Пример 18. Регистрация вывода документа на печатающее устройство.
- •Управление ас в процессе работы.
- •Правовые аспекты применения комплекса "Аккорд".
- •Приложения Приложение 1. Рекомендации по организации службы информационной безопасности.
- •Приложение 2. Операции, регистрируемые подсистемой регистрации.
Пример 17. Конфиденциальное делопроизводство в средеWindows 95/98 иMicrosoft Office.
Реализация технологии конфиденциального делопроизводства в среде Windows осложняется тем, что операционная система и программы MSOffice в процессе работы создают, используют, удаляют и переименовывают множество временных служебных файлов. При этом основная задача администратора БИ – разрешить пользователю работать с конфиденциальными документами только в выделенных каталогах и исключить возможность сохранения документов в любых иных областях дискового пространства.
ПРД в этом случае могут выглядеть так:
Пользователь: MAIN_USER
Права администратора: Нет
Стартовый каталог: C:\
Задача для запуска: C:\WINDOWS\WIN.COM
Детальность журнала: Низкая
A:\ |
[RWCDNVOMEGX S] |
C:\ |
[RW VO GX 0] |
C:\ACCORD\ |
[RW VO GX S] |
C:\DRWEB\ |
[RW VO GX S] |
C:\ PROGRAM FILES\ |
[RW VO GX S] |
C:\ PROGRAM FILES\MICROSOFT OFFICE\ OFFICE\CUSTOM.BAK |
[RWCDNVO ] |
C:\ PROGRAM FILES\MICROSOFT OFFICE\ OFFICE\CUSTOM.DIC |
[RWCDNVO ] |
C:\ PROGRAM FILES\MICROSOFT OFFICE\ OFFICE\ПАНЕЛЬ~1\OFFICE.TBB |
[RWCDNVO ] |
C:\ PROGRAM FILES\MICROSOFT OFFICE\ ШАБЛОНЫ\~$NORMAL.DOT |
[RWCDNVO ] |
C:\ PROGRAM FILES\MICROSOFT OFFICE\ ШАБЛОНЫ\NORMAL.DOT |
[RWCDNVO ] |
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ PROOF\ MSSP_RU.LEX |
[RWCDNVO X ] |
C:\PROGRAM FILES\ COMMON FILES\ MICROSOFT SHARED\ PROOF\ MSSP2_EN.LEX |
[RWCDNVO X ] |
C:\PROGRAM FILES\MICROSOFT OFFICE\ OFFICE\~$CUSTOM.DIC |
[RWCDNVO ] |
C:\SCANDISK.LOG |
[RWCDNVO ] |
C:\TEMP\ |
[RWCDNVOMEG S] |
C:\WINDOWS\ |
[RW VO GX S] |
C:\WINDOWS\*.INI |
[R VO ] |
C:\WINDOWS\HELP\*.TMP |
[RWCDNVO ] |
C:\WINDOWS\IOS.LOG |
[RWCDNVO ] |
C:\WINDOWS\RECENT\*.LNK |
[RWCDNVO ] |
C:\WINDOWS\REGEDIT.EXE |
[ ] |
C:\WINDOWS\SHELLINEW |
[RWCDNVO X ] |
C:\WINDOWS\SPOOL\PRINTERS\*.SHD |
[RWCDNVO ] |
C:\WINDOWS\SPOOL\PRINTERS\*.SPL |
[RWCDNVO ] |
C:\WINDOWS\SYSTEM.DA0 |
[RWCDNVO ] |
C:\WINDOWS\SYSTEM.DAT |
[RWCDNVO ] |
C:\WINDOWS\SYSTEM\APPWIZ.CPL |
[ ] |
C:\WINDOWS\SYSTEM\INETCPL.CPL |
[ ] |
C:\WINDOWS\SYSTEM\JOY.CPL |
[ ] |
C:\WINDOWS\SYSTEM\MAIN.CPL |
[ ] |
C:\WINDOWS\SYSTEM\MLCFG32.CPL |
[ ] |
C:\WINDOWS\SYSTEM\MMSYS.CPL |
[ ] |
C:\WINDOWS\SYSTEM\MODEM.CPL |
[ ] |
C:\WINDOWS\SYSTEM\NETCPL.CPL |
[ ] |
C:\WINDOWS\SYSTEM\PASSWORD.CPL |
[ ] |
C:\WINDOWS\SYSTEM\SYSDM.CPL |
[ ] |
C:\WINDOWS\SYSTEM\TELEPHON.CPL |
[ ] |
C:\WINDOWS\TEMP\*.TMP |
[RWCDNVO ] |
C:\WINDOWS\TEMP\~$CUSTOM.DIC |
[RWCDNVO ] |
C:\WINDOWS\USER.DA0 |
[RWCDNVO ] |
C:\WINDOWS\USER.DAT |
[RWCDNVO ] |
C:\WINDOWS\VDDASD.DAT |
[RWCDNVO ] |
C:\WINDOWS\WNBOOTNG.STS |
[RWCDNVO ] |
D:\ |
[RW VO G 0] |
D:\SECRET_1\ |
[RWCDNVOMEG S] |
D:\SECRET_2\ |
[RWCDNVOMEG S] |
D:\SECRET_3\ |
[RWCDNVOMEG S] |
Пользователь MAIN_USER имеет право работать со всеми тремя каталогами на диске D:\ и диском A:\. Файлы операционной системы и прикладного ПО находятся на диске C:\. При этом запрещено создание, удаление и переименование любых файлов и каталогов диска C:. Данный пользователь по должностной инструкции может выполнять функции начальника канцелярии.
Для обычного пользователя, который работает с документами только в личном выделенном каталоге на диске D:\ и не имеет доступа к сменным дискетам на диске A:\ ПРД выглядят следующим образом:
Пользователь: USER_1
Права администратора: Нет
Стартовый каталог: C:\
Задача для запуска: C:\WINDOWS\WIN.COM
Детальность журнала: Низкая
A:\ |
[ S] |
C:\ |
[RW VO GX 0] |
C:\ACCORD\ |
[RW VO GX S] |
C:\DRWEB\ |
[RW VO GX S] |
C:\ PROGRAM FILES\ |
[RW VO GX S] |
C:\ PROGRAM FILES\MICROSOFT OFFICE \ OFFICE\ПАНЕЛЬ~1\OFFICE.TBB |
[RWCDNVO ] |
C:\ PROGRAM FILES\MICROSOFT OFFICE \ ШАБЛОНЫ\~$NORMAL.DOT |
[RWCDNVO ] |
C:\ PROGRAM FILES\MICROSOFT OFFICE \ ШАБЛОНЫ\NORMAL.DOT |
[RWCDNVO ] |
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ PROOF\MSSP_RU.LEX |
[RWCDNVO X ] |
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ PROOF\ MSSP2_EN.LEX |
[RWCDNVO X ] |
C:\PROGRAM FILES\MICROSOFT OFFICE\ OFFICE\~$CUSTOM.DIC |
[RWCDNVO ] |
C:\ PROGRAM FILES\MICROSOFT OFFICE\OFFICE\CUSTOM.BAK |
[RWCDNVO ] |
C:\ PROGRAM FILES\MICROSOFT OFFICE\OFFICE\CUSTOM.DIC |
[RWCDNVO ] |
C:\SCANDISK.LOG |
[RWCDNVO ] |
C:\TEMP\ |
[RWCDNVO G S] |
C:\WINDOWS\ |
[RW VO GX S] |
C:\WINDOWS\*.INI |
[R VO ] |
C:\WINDOWS\HELP\*.TMP |
[RWCDNVO ] |
C:\WINDOWS\IOS.LOG |
[RWCDNVO ] |
C:\WINDOWS\MSAPPS\PROOF\~$CUSTOM.DIC |
[RWCDNVO ] |
C:\WINDOWS\MSAPPS\PROOF\CUSTOM.BAK |
[RWCDNVO ] |
C:\WINDOWS\MSAPPS\PROOF\CUSTOM.DIC |
[RWCDNVO ] |
C:\WINDOWS\RECENT\*.LNK |
[RWCDNVO ] |
C:\WINDOWS\REGEDIT.EXE |
[ ] |
C:\WINDOWS\SHELLINEW |
[RWCDNVO X ] |
C:\WINDOWS\SPOOL\PRINTERS\*.SHD |
[RWCDNVO ] |
C:\WINDOWS\SPOOL\PRINTERS\*.SPL |
[RWCDNVO ] |
C:\WINDOWS\SYSTEM.DA0 |
[RWCDNVO ] |
C:\WINDOWS\SYSTEM.DAT |
[RWCDNVO ] |
C:\WINDOWS\SYSTEM\APPWIZ.CPL |
[ ] |
C:\WINDOWS\SYSTEM\INETCPL.CPL |
[ ] |
C:\WINDOWS\SYSTEM\JOY.CPL |
[ ] |
C:\WINDOWS\SYSTEM\MAIN.CPL |
[ ] |
C:\WINDOWS\SYSTEM\MLCFG32.CPL |
[ ] |
C:\WINDOWS\SYSTEM\MMSYS.CPL |
[ ] |
C:\WINDOWS\SYSTEM\MODEM.CPL |
[ ] |
C:\WINDOWS\SYSTEM\NETCPL.CPL |
[ ] |
C:\WINDOWS\SYSTEM\PASSWORD.CPL |
[ ] |
C:\WINDOWS\SYSTEM\SYSDM.CPL |
[ ] |
C:\WINDOWS\SYSTEM\TELEPHON.CPL |
[ ] |
C:\WINDOWS\TEMP\*.TMP |
[RWCDNVO ] |
C:\WINDOWS\TEMP\~$CUSTOM.DIC |
[RWCDNVO ] |
C:\WINDOWS\USER.DA0 |
[RWCDNVO ] |
C:\WINDOWS\USER.DAT |
[RWCDNVO ] |
C:\WINDOWS\VDDASD.DAT |
[RWCDNVO ] |
C:\WINDOWS\WNBOOTNG.STS |
[RWCDNVO ] |
D:\ |
[RW VO G 0] |
D:\SECRET_1\ |
[RWCDNVOMEG S] |
D:\SECRET_2\ |
[RWCDNVOMEG S] |
D:\SECRET_3\ |
[RWCDNVOMEG S] |