Управление доступом и контроль целостности программных средств и информации

Для управления доступом к файлам компьютерной (информационной) системы и зашиты от НСД, как правило, используются различные программно-аппаратные комплексы. Они имеют много общего. Рассмотрим сертифицированный Федеральной службой по техническому и экспортному контроля Российской Федерации (ФСТЭК РФ) программно-аппаратный комплекс (ПЛК) Secret Net, разработанный ООО «Код безопасности», одной из ведущих организаций России в области информационной безопасности и технической защиты информации. ПАК Secret Net реализован как в автономном, так и в сетевом (локальные сети) вариантах. Автономный вариант системы защиты информации Secret Net предназначен для защиты ресурсов рабочей станции локальной сети или неподключенного к сети компьютера. ПАК Secret Net функционирует во взаимодействии с разными операционными системами. Вариант ПАК Secret Net — Secret Net Studio, функционирующий в среде операционной системы (ОС) Windows, дополняет стандартные защитные механизмы ОС Windows функциями, обеспечивающими:

  • • идентификацию пользователей при помощи специальных аппаратных средств (iButton, iKey, Smarty, JaCarta, eToken);
  • • дополнительно к избирательному (дискреционному) управлению доступом, реализованному в ОС Windows, полномочное (мандатное) управление доступом пользователей к конфиденциальной информации на локальных и подключенных сетевых дисках, управление доступом к ЗС-модемам, сетевым картам, принтерам и т.п.;
  • • оперативный контроль за работой пользователей компьютера путем регистрации событий, связанных с безопасностью информационной системы.
  • • контроль целостности программ, используемых пользователями и операционной системой;
  • • возможность создания для любого пользователя замкнутой программной среды (списка разрешенных и запрещенных для запуска программ);
  • • защиту процесса загрузки операционной системы.
  • • теневое копирование файлов (документов), выводимых на печать или внешние носители информации, что значительно упрощает процесс расследования инцидентов по утечке информации.

ПАК Secret Net Studio включает в себя следующие компоненты и подсистемы:

  • • ядро системы защиты;
  • • подсистема управления;
  • • подсистема криптографической защиты информации;
  • • база данных системы защиты;
  • • подсистема избирательного управления доступом;
  • • подсистема разграничения доступа к дискам;
  • • подсистема разграничения полномочного доступа;
  • • подсистема замкнутой программной среды;
  • • подсистема контроля целостности;
  • • подсистема контроля входа.

Ядро системы защиты. Ядро системы защиты представляет собой программу, которая автоматически запускается на защищенном компьютере при его включении и функционирует на протяжении всего времени работы компьютера. Ядро системы осуществляет управление подсистемами и компонентами системы защиты и обеспечивает их взаимодействие. В процессе работы системы защиты ядро выполняет следующие функции:

  • • обеспечивает обмен данными между компонентами системы и обработку команд, поступающих от этих компонентов;
  • • обеспечивает доступ других компонентов системы к информации, хранящейся в базе данных системы защиты;
  • • осуществляет сбор сведений о состоянии компьютера;
  • • контролирует доступ пользователя к ресурсам компьютера;
  • • обрабатывает информацию, поступающую от компонентов системы защиты, о событиях, происходящих на компьютере и связанных с безопасностью системы, и осуществляет их регистрацию в журнале безопасности ОС Windows .

Подсистема регистрации. Подсистема регистрации является одним из элементов ядра системы и предназначена для управления регистрацией в журнале безопасности Windows событий, связанных с работой ОС и Secret Net Studio. Эта информация поступает от отдельных подсистем системы защиты, которые следят за происходящими в информационной среде событиями.

Регистрация событий осуществляется системными средствами (ОС Windows) или средствами системы защиты Secret Net. Перечень регистрируемых событий устанавливается администратором с помощью подсистемы управления. Для просмотра журнала используется специальная программа подсистемы управления, обладающая развитыми средствами работы с журналами регистрации.

Подсистема управления. Подсистема управления располагает средствами для настройки защитных механизмов через управление общими параметрами работы компьютера, свойствами пользователей и групп пользователей. В частности она обеспечивает:

  • • отображение и управление состоянием защищаемого компьютера;
  • • управление пользователями, настройками компьютера и сохранение относящихся к ним данных в БД системы зашиты;
  • • получение информации из БД системы защиты;
  • • обработку и представление информации из журнала безопасности ОС Windows.

В состав подсистемы управления входит программа, предназначенная для просмотра журнала безопасности. С сс помощью можно выполнить: просмотр, отбор, сортировку, поиск записей, печать, экспорт журнала в другие форматы.

База данных Secret Net Studio. База данных Secret Net Studio предназначена для хранения сведений, необходимых для работы защищенного компьютера. БД Secret Net Studio размещается в реестре ОС Windows и содержит информацию об общих настройках системы защиты, свойствах пользователей и групп пользователей.

Доступ подсистем и компонентов системы защиты к данным, хранящимся в БД Secret Net, обеспечивается ядром системы защиты. Первоначальное заполнение БД выполняется при установке Secret Net. Для этого используются данные, содержащиеся в БД безопасности Windows (политика безопасности, состав пользователей и групп пользователей и т.д.), данные, устанавливаемые по умолчанию для Secret Net (значения общих параметров, некоторые свойства пользователей, набор шаблонов и т.д.). Синхронизацию данных в БД безопасности Windows и БД Secret Net Studio обеспечивает ядро системы защиты. В дальнейшем информация, содержащаяся в БД, создается и модифицируется подсистемой управления и другими подсистемами.

Подсистема избирательного управления доступом. Подсистема избирательного управления доступом обеспечивает разграничение доступа пользователей к ресурсам файловой системы, аппаратным ресурсам и ресурсам операционной системы компьютера. Для управления доступом к ресурсам файловой системы, системному реестру и системным средствам управления компьютером используются стандартные средства ОС Windows, а непосредственное управление осуществляется с использованием интерфейса Secret Net. Для управления доступом к дискам и портам используются средства Secret Net Studio.

Подсистема полномочного управления доступом. Подсистема полномочного управления доступом обеспечивает разграничение доступа пользователей к конфиденциальной информации, хранящейся в файлах на локальных и сетевых дисках. Доступ осуществляется в соответствии с категорией конфиденциальности, присвоенной информации, и уровнем допуска пользователя к конфиденциальной информации. Подсистема полномочного управления доступом включает в себя драйвер полномочного управления доступом и компонент управления допуском к ресурсам.

Подсистема замкнутой программной среды. Подсистема замкнутой программной среды позволяет сформировать для любого пользователя компьютера программную среду, определив индивидуальный перечень программ, разрешенных для запуска. Драйвер замкнутой программной среды контролирует запуск пользователем программ. Когда пользователь (программа, запущенная пользователем) осуществляет попытку запуска какой-либо программы, драйвер передает диспетчеру доступа, входящему в состав ядра системы защиты, сведения о запускаемой программе. Диспетчер доступа проверяет, включена ли эта программа в персональный список программ, разрешенных для запуска. Если программа содержится в списке, диспетчер доступа передает драйверу разрешающую команду. Если пользователю запрещено запускать данную программу, диспетчер доступа передает драйверу запрещающую команду, и запуск программы блокируется. В этом случае подсистема регистрации фиксирует в журнале безопасности попытку несанкционированного доступа.

Подсистема контроля входа. Подсистема контроля входа обеспечивает идентификацию и аутентификацию пользователя при его входе в систему. Подсистема включает в себя модуль идентификации пользователя, а также может содержать средства аппаратной поддержки, например Secret Net Endpoint Protection или электронный замок «Соболь», если они установлены на компьютере, и программу-драйвер, с помощью которой осуществляется управление аппаратными средствами.

Подсистема контроля входа запрашивает и получает информацию о входящем в систему пользователе (имя, пароль, персональный идентификатор пользователя). Затем сравнивает полученную информацию с информацией, хранящейся в БД системы защиты. Предоставление информации из БД обеспечивает ядро системы защиты. Если в БД отсутствует информация о пользователе, вход пользователя в систему запрещается.

Для целей идентификации и аутентификации могут использоваться аппаратные средства. Для управления ими необходимы специальные программы-драйверы, которые обеспечивают обмен информацией между устройствами аппаратной поддержки и модулями системы зашиты.

Драйверы входят в комплект поставки и устанавливаются на компьютер вместе с системой Secret Net. При загрузке компьютера подсистема контроля целостности проверяет целостность системных файлов. Если целостность файлов не нарушена, подсистема контроля целостности передает управление подсистеме идентификации пользователя. В случае нарушения целостности файлов вход пользователя в систему может быть запрещен.

Подсистема контроля целостности. Подсистема контроля целостности осуществляет слежение за неизменностью контролируемых объектов (файлов, ключей системного реестра и т.д.) с целью защиты их от модификации. Определяется перечень контролируемых объектов. Для каждого из входящих в него объектов рассчитываются эталонные значения контролируемых параметров.

Вычисления контрольных сумм проводятся с использованием хеш-функций (в соответствии с ГОСТ Р 34-10) или по оригинальному (быстрому) алгоритму собственной разработки. Эталонные контрольные суммы и другие значения контролируемых параметров для проверяемых объектов, а также информация о размещении объектов хранятся в пакетах контроля целостности. Целостность объектов контролируется в соответствии с установленным расписанием. Подсистема контроля входа передает подсистеме контроля целостности перечень контролируемых объектов и порядок их контроля при запуске компьютера.

Ядро системы передает подсистеме контроля целостности расписание контроля, составленное администратором с помощью подсистемы управления. В соответствии с расписанием контроля текущие значения контролируемых параметров сравниваются с ранее полученными их эталонными значениями. Если выявляется нарушение целостности объектов, подсистема контроля целостности сообщает об этом диспетчеру доступа.

Защитные механизмы. Система Secret Net дополняет операционную систему Windows рядом защитных средств, которые можно отнести к следующим группам.

I. Средства защиты от несанкционированного доступа в систему.

  • • механизм идентификации и аутентификации пользователей (в том числе с помощью аппаратных средств защиты);
  • • функция временной блокировки компьютера на время паузы в работе пользователя для защиты компьютера от использования посторонним лицом;
  • • аппаратные средства защиты от загрузки ОС с внешнего диска.
  • 2. Средства управления доступом и защиты ресурсов:
    • • разграничение доступа пользователей к ресурсам компьютера с использованием механизмов избирательного и полномочного управления доступом;
    • • создание для любого пользователя замкнутой программной среды (списка разрешенных для запуска программ);
    • • функция затирания удаленных данных на локальных дисках.
  • 3. Средства регистрации и оперативного контроля:
    • • политика регистрации, ведение журнала регистрации событий, имеющих отношение к безопасности системы. Работа с журналом, управление временем хранения и удалением записей;
    • • контроль целостности файлов; управление расписанием контроля и выбор реакции на нарушение целостности;
    • • контроль аппаратной конфигурации компьютера.
  • 4. Средства антивирусной защиты.
  • • защита от вредоносных файлов на рабочих станциях серверах с возможностью сканирования и запуска заданий по расписанию, а также по требованию администратора или пользователя.
  • • обеспечение обновления и централизованной раздачи в локальной сети обновлений баз данных признаков компьютерных вирусов (требуется наличие веб-сервера I IS и доступ к сети Интернет).
  • 5. Механизмы контроля входа в систему. Защита от несанкционированного входа предназначена для предотвращения доступа посторонних пользователей к защищенному компьютеру. К этой группе средств, как уже говорилось, могут быть отнесены:
    • • программные и аппаратные средства идентификации и аутентификации;
    • • функция временной блокировки компьютера;
    • • аппаратные средства защиты от загрузки ОС с внешнего диска.

Идентификация и аутентификация пользователей выполняется

при каждом входе пользователя в систему. При загрузке компьютера система Secret Net Studio запрашивает у пользователя сю идентификатор и пароль. Затем проверяется, был ли зарегистрирован в системе пользователь с таким именем и правильно ли указан его пароль. В качестве идентификаторов могут использоваться: уникальные имена и уникальные номера аппаратных устройств идентификации (персональных идентификаторов). В ПАК Secret Net поддерживается работа с паролями длиной до 16 символов. Если пароль указан неверно, в журнале безопасности регистрируется попытка НСД к компьютеру. При определенном числе неверных попыток ввода пароля происходит блокировка учетной записи пользователя.

Идентификаторы пользователей (имена и номера аппаратных идентификаторов) хранятся в базе данных системы защиты в открытом виде, а пароли пользователей — в кодированном виде.

Средства аппаратной поддержки в системах защиты предназначены для обеспечения работы различных электронных идентификаторов (iButton, iKey, Smarty, JaCarta, eToken), а при использовании электронного замка «Соболь» появляются дополнительные возможности по контролю загрузки ОС со съемных носителей и целостности файлов и секторов дисков до загрузки ОС.

Работу системы защиты с аппаратными средствами обеспечивают специальные программы-драйверы, управляющие обменом информацией между устройством и модулями системы защиты.

В системе Secret Net Studio предусмотрено несколько режимов идентификации и аутентификации с использованием аппаратных средств. Это дает возможность проводить их внедрение поэтапно. При «мягком» режиме работы любой пользователь может войти в систему либо предъявив персональный идентификатор, либо указав свое имя. При «жестком» режиме вход в систему любого пользователя разрешен только при предъявлении персонального идентификатора.

Система Secret Net Studio включает в свой состав средства, позволяющие организовать полномочное (мандатное) управление доступом пользователей к конфиденциальной информации. При организации полномочного управления доступом для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации. Файлам и каталогам, находящимся на локальных дисках компьютера или на подключенных сетевых дисках, назначается категория конфиденциальности, которая определяется специальной меткой, устанавливаемой на файл. Используются три категории конфиденциальности информации: «Нет» (для общедоступной информации), «Конфиденциально», «Строго конфиденциально».

Таким образом, используя в организации ПАК типа Secret Net Studio, можно обеспечить в компьютерной (информационной) системе не только управление доступом к системным файлам, контроль целостности программных средств и информации, но и полноценную защиту информации от несанкционированного доступа.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >