Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Система Secret Net 9x располагает рядом механизмов разграничения доступа пользователей к ресурсам компьютера, что позволяет организовать эффективную совместную работу пользователей и обеспечить надежную защиту ресурсов компьютера от несанкционированного доступа.
Внимание! Управление доступом пользователей к дискам, каталогам и файлам с использованием системы атрибутов Secret Net 9x подробно описано в Главе 6.
Удаленный контроль
Средства централизованного управления системой Secret Net позволяют удаленно контролировать другие компьютеры, на которых установлено клиентское программное обеспечение. В свою очередь средствами локального управления Secret Net 9x можно запретить или разрешить контроль с другого компьютера. Сделать это может пользователь, которому средствами централизованного управления предоставлена привилегия "Разрешить изменение режима удаленного управления".
Подробное описание средств удаленного контроля содержится в документе "Система защиты Secret Net. Подсистема управления. Руководство по администрированию. Книга вторая", содержащем сведения о работе с программой "Монитор".
Для настройки параметров:
1. Вызовите на экран окно управления общими параметрами.
2.Активизируйте диалог “Режимы” (см. Рис.39).
3.В группе полей "Удаленный контроль" установите отметку в поле:
•"Запрещен" – чтобы запретить просмотр с другого компьютера содержимого экрана данного компьютера;
•"Разрешен просмотр экрана" – чтобы разрешить просмотр содержимого экрана данного компьютера.
4.Нажмите кнопку "ОК".
Полномочное управление доступом
Система Secret Net 9x включает в свой состав средства, позволяющие организовать полномочное управление доступом пользователей к ресурсам файловой системы компьютера.
Примечание. Включение, настройка и отключение режима полномочного управления доступом может осуществляться как средствами локального управления, так и средствами централизованного управления системой Secret Net.
При организации полномочного управления доступом для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации, определяющий его права на доступ к конфиденциальным данным. Всем каталогам, находящимся на локальных и подключенных сетевых дисках компьютера, назначается категория конфиденциальности. Категории конфиденциальности соответствует уровень доступа к конфиденциальной информации, устанавливаемый для пользователей компьютера.
Наименование категорий конфиденциальности, которые можно присвоить ресурсам, содержится в файле CATEGORY.DAT. Файл SLIST.DAT содержит список каталогов, которым присвоена категория конфиденциальности “Конфиденциально”, файл SSLIST.DAT - список каталогов, которым присвоена категория конфиденциальности “Строго конфиденциально”. Эти файлы создаются при установке системы Secret Net 9x на компьютер и размещаются в каталоге C:\-SNET-.
59
Secret Net 4.0. Руководство по администрированию
Для изменения содержания конфигурационных файлов:
1. Вызовите на экран окно управления общими параметрами Secret Net 9x. 2. Активизируйте диалог “Дополнительно”:
Перечень и краткое описание конфигурационных файлов, общих для всех пользователей компьютера
Рис.38 Диалог "Дополнительно"
3.Чтобы посмотреть или изменить содержание любого конфигурационного файла, выполните одно из следующих действий:
•подведите курсор мыши к строке таблицы, содержащей имя файла, и дважды нажмите левую кнопку мыши;
•выберите строку с именем этого файла и нажмите кнопку "Редактировать".
На экране появится окно текстового редактора SnEdit, в котором будет открыт выбранный для изменения конфигурационный файл.
4.Отредактируйте нужным образом содержание файла.
Примечание.
•Порядок редактирования текста в редакторе SnEdit соответствует порядку, принятому в большинстве текстовых редакторов Windows.
•Файл CATEGORY.DAT (наименование категорий конфиденциальности) доступен только для просмотра. Редактирование файла осуществляется средствами централизованного управления системой Secret Net.
При редактировании файлов SLIST.DAT или SSLIST.DAT:
•добавьте имена каталогов (включая полный путь к ним), которым требуется присвоить соответствующую категорию конфиденциальности;
•удалите строки с именами каталогов, открыв тем самым доступ к ним для пользователей, не имеющих допуска к конфиденциальной информации.
Примечание. Содержание файлов SLIST.DAT и SSLIST.DAT может быть изменено автоматически системой защиты. Это происходит при определении категории конфиденциальности дисков и каталогов штатными средствами управления (см. стр.63).
5.Завершив редактирование, сохраните внесенные изменения и закройте окно редактора SnEdit.
6.Закройте окно управления общими параметрами с сохранением изменений.
60
Глава 5. Настройка механизмов управления доступом и защиты ресурсов
Включение и настройка режима
Включение и настройка режима полномочного управления доступом осуществляется в окне управления общими параметрами системы защиты.
Для настройки режима полномочного управления доступом:
1. Вызовите на экран окно управления общими параметрами. 2. Активизируйте диалог “Режимы”:
Установите отметку в |
|
|
|
|
этом поле, чтобы |
|
|
|
|
включить режим |
|
|
|
|
полномочного |
|
|
|
|
управления доступом |
|
|
|
|
|
|
|
|
Укажите |
|
|
|
|
необходимые |
Данная группа полей |
|
|
|
значения |
|
|
|
параметров |
|
позволяет установить |
|
Нажмите эту кнопку, |
||
режим удаленного |
|
|||
контроля |
|
чтобы посмотреть |
||
|
|
шаблоны грифа |
||
|
|
|||
|
|
конфиденциальности |
||
|
|
Рис.39 Диалог "Режимы" (настройка общих параметров) |
Включение |
3. Поставьте отметку в поле “Полномочное управление доступом”. |
|
полномочного |
|
При установке отметки поля выключателей, с помощью которых осуществляется |
управления |
|
|
доступом |
|
дополнительная настройка режима, становятся доступными для изменений. |
|
|
Внимание! Включение и выключение режима полномочного управления дос- |
|
|
тупом осуществляется без перезагрузки компьютера. |
Контрольпотоков 4. Установите отметку в поле “Контроль потоков данных”, чтобы разрешить систе- данных ме защиты контролировать потоки данных приложений, работающих с конфи-
денциальной информацией.
Контроль буфера обмена
Пояснение. Контроль потоков конфиденциальных данных осуществляется следующим образом. Если в приложении, например MS Word, был открыт конфиденциальный файл, то этому приложению, вплоть до его завершения, запрещается открывать на запись или создавать файлы в каталогах, категория конфиденциальности которых ниже, чем у открытого ранее конфиденциального файла. Любым приложениям запрещается копировать (сохранять) файлы в каталоги с более низким уровнем конфиденциальности.
5.Если требуется контролировать передачу конфиденциальной информации через буфер обмена (Clipboard) из одного приложения в другое, поставьте отметку в поле “Контроль буфера обмена”.
Пояснение. При установке этого режима вставка конфиденциальных данных из буфера обмена в документ более низкого уровня конфиденциальности запрещается. Документу, в который копируется конфиденциальная информация, и приложению, в котором открыт документ, автоматически присваивается уровень конфиденциальности данных из буфера обмена. Этот документ не может быть сохранен в каталоги с более низким уровнем конфиденциальности.
61
Secret Net 4.0. Руководство по администрированию
Контроль печати 6. Установите отметку в поле "Контроль печати"10, для включения режима, обеспечивающего:
•печать конфиденциальных документов только средствами редактора MS Word (версии 8.0 и выше) или редактора SnetWPad, входящего в комплект поставки системы Secret Net 9x;
См. также. Печать документов с грифом конфиденциальности на стр.147.
•вывод грифа конфиденциальности на каждой странице печатаемого документа.
7.Чтобы посмотреть шаблоны грифа конфиденциальности, нажмите кнопку "Гриф", которая станет активной при установке отметки в поле "Контроль печати".
На экране появится окно редактора MS Word, в котором будет открыт специальный файл шаблонов грифа конфиденциальности с именем STAMP.RTF, содержащийся в каталоге C:\-SNET-. Посмотрев интересующую Вас информацию, закройте текстовый редактор MS Word.
Примечание. Изменение шаблонов грифа конфиденциальности осуществляется средствами централизованного управления системой Secret Net.
8.Закройте окно управления общими параметрами с сохранением изменений.
Просмотр информации о правах пользователя
Внимание! Управление допуском пользователей к конфиденциальным данным и предоставление им привилегий группы "Категории конфиденциальности ресурсов" осуществляется средствами централизованного управления Secret Net. См. документ “Система защиты Secret Net. Подсистема управления. Руководство по администрированию. Книга первая”.
Для просмотра информации:
1. Вызовите на экран окно управления свойствами пользователя.
Поле “Уровень допуска” в группе полей "Общие сведения" отображает уровень допуска пользователя (сотрудника, сопоставленного данному пользователю) к конфиденциальным данным.
Это поле может содержать одно из трех возможных значений, соответствующих трем категориям конфиденциальности информации.
•Отсутствует - у пользователя нет допуска к конфиденциальной информации;
•Конфиденциально - пользователь имеет допуск к информации, хранящейся в каталогах, которые отмечены как конфиденциальные;
•Строго конфиденциально - пользователь имеет допуск к информации, хранящейся в каталогах, которые отмечены как конфиденциальные и строго конфиденциальные.
Эти названия уровня допуска предлагаются системой по умолчанию и могут быть изменены средствами централизованного управления.
2.Активизируйте диалог “Привилегии”.
3.В списке "Привилегии на администрирование системы" откройте группу привилегий "Категории конфиденциальности ресурсов" (см. Табл.25).
См. также. Запрет вывода конфиденциальной информации на дискеты в Табл.18 на стр.139.
10 Если отметка не установлена – для печати конфиденциальных документов могут использоваться любые приложения.
62