ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.12.2023
Просмотров: 205
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
7 Подсистема регистрации и учета
Чтобы настроить параметры аудита, необходимо в основном меню обо- лочки администратора на вкладке «Параметры безопасности» выбрать катего- рию «Аудит». Для настройки аудита доступа к ресурсам недостаточно просто установить этому параметру значение «Включен» в окне редактирования пара-
38 метров безопасности. Необходимо указать, какие именно операции по доступу, к каким именно ресурсам должны быть запротоколированы.
Для того чтобы назначить право аудита пользователю, необходимо вклю- чить пользователя, учетную запись или группу пользователей в список для вы- бранного параметра. Для этого нужно выбрать параметр, нажать кнопку «Свой- ства» и добавить пользователей (или группы), воспользовавшись диалоговыми окнами СЗИ НСД.
Назначьте право аудита пользователю «Нэлли Завьялова».
7.1 Аудит глобальных параметров:
1) выделить глобальный параметр и нажать «Свойства». Откроется окно редактирования параметров – дескриптор объекта. Необходимо выбрать за- кладку «Аудит доступа»;
2) перед выбором событий необходимо включить аудит: отметить флаж- ком поле «Аудит включен»;
3) в зависимости от того, успешное или неудачное событие нужно зареги- стрировать, выставить флажок в полях «Успех» или «Отказ» для операции.
Отмеченные события будут заноситься в журнал ресурсов. Если одно- временно отметить и «Успех» и «Отказ», то в журнал, соответственно, будут заноситься и успешные события и неуспешные.
Отмеченное флажком поле «Полный аудит» позволяет автоматически расставить значения успеха или отказа во всех полях и вести аудит по всем по- зициям.
7.2 Аудит локальных объектов ФС и веток реестра.
Для того чтобы установить событие аудита для конкретного объекта ФС или ветки реестра, необходимо выполнить следующие действия:
1) открыть дескриптор безопасности объекта, используя оболочку адми- нистратора Dallas Lock («Контроль ресурсов» → «Аудит» → «Добавить (ФС)» или «Добавить (Реестр)»), или через контекстное меню объекта (пункт «Права доступа» для объекта ФС);
2) в дескрипторе объекта необходимо открыть закладку «Аудит досту- па»;
3) включить аудит (отметить флажком поле «Аудит включен») и отметить события «Успех» или «Отказ» по выбранным операциям.
39
Объекты, для которых назначен аудит любым из способов, автоматически появляются в списке объектов выбранной категории «Аудит» на вкладке «Кон- троль ресурсов».
Зайдите в систему под пользователем «Нэлли Завьялова» и настройте ау- дит, как показано в пункте 7.3.
Для просмотра содержимого определенного журнала необходимо в обо- лочке администратора на основной вкладке главного меню «Журналы» выбрать категорию, соответствующую одному из представленных в программном обес- печении типов журналов. В каждом журнале фиксируются дата, время, имя пользователя, операция, результат и прочие параметры. Возможно упорядочи- вание элементов списков журнала по необходимому значению, для этого нужно кликнуть на кнопку с названием столбца журнала. Двойной щелчок мышки на любой записи любого журнала открывает окно, содержащее всю информацию, относящуюся к этой записи.
Зайдите в систему под пользователем, который инициализировал про- граммное обеспечение СЗИ НСД Dallas Lock и просмотрите события доступ- ных журналов.
Контрольные вопросы
1. Для чего предназначена система защиты от НСД Dallas Lock? Ее ос- новные функции.
2. Что такое «Сервер безопасности»? Его назначение и реализация в ПО
Dallas Lock.
3. Какие параметры безопасности позволяет конфигурировать ПО Dallas
Lock? Какой вид защиты обеспечивает каждый из этих параметров?
4. Какие виды пользовательских полномочий реализованы в системе Dal- las Lock?
5. Как обеспечивается разграничение доступа посредством дискрецион- ного доступа?
6. Для чего предназначена подсистема обеспечения целостности?
7. Что такое дескриптор? Какие дескрипторы существуют в ПО Dallas
Lock?
8. Какие операции можно реализовать в ПО Dallas Lock над объектами защиты?
40 9. Что такое замкнутая программная среда? Ее основные функции. Спо- собы конфигурирования.
10. Какие журналы по безопасности предусмотрены в ПО Dallas Lock?
Какие параметры фиксируются в каждом из них?
11. Что может видеть пользователь, если ему даны «права на просмотр»?
12. Какие права может делегировать пользователь, если ему разрешено изменение параметров безопасности?
13. Какие пользователи могут быть зарегистрированы в СЗИ НСД Dallas
Lock?
Лабораторная работа 2
Применение СЗИ SECRET NET STUDIO для организации защищен-
ных компьютерных систем
Цель работы: научиться устанавливать средство защиты информации от несанкционированного доступа Secret Net Studio и ознакомиться с возможно- стями СЗИ Secret Net, выполнив настройку параметров безопасности.
Общие сведения
Назначение системы
Система Secret Net Studio предназначена для обеспечения безопасности информационных систем на компьютерах.
При использовании соответствующих подсистем Secret Net Studio обес- печивает:
1) защиту от несанкционированного доступа к информационным ресур- сам компьютеров;
2) контроль устройств, подключаемых к компьютерам;
3) обнаружение вторжений в информационную систему;
4) антивирусную защиту;
5) межсетевое экранирование сетевого трафика;
6) авторизацию сетевых соединений;
Управление функционированием системы Secret Net Studio может осуще- ствляться централизованно или локально.
41
Основные функции
Система Secret Net Studio реализует следующие основные функции:
1. Контроль входа пользователей в систему (идентификация и аутентифи- кация пользователей).
2. Дискреционное разграничение доступа к файловым ресурсам, устрой- ствам, принтерам.
3. Мандатное (полномочное) разграничение доступа к файловым ресур- сам, устройствам, принтерам, сетевым интерфейсам, включая:
− контроль потоков конфиденциальной информации в системе;
− контроль вывода информации на съемные носители.
4. Контроль состояния устройств компьютера с возможностями:
− блокирования компьютера при изменении состояния заданных уст- ройств;
− блокирования подключения запрещенного устройства (устройства из запрещенной группы).
5. Теневое копирование информации, выводимой на внешние носители и на печать.
6. Автоматическая маркировка документов, выводимых на печать.
7. Контроль целостности файловых объектов и реестра.
− создание замкнутой программной среды для пользователей (контроль запуска исполняемых модулей, загрузки динамических библиотек, исполнения скриптов по технологии Active Scripts).
8. Очистка оперативной и внешней памяти при ее перераспределении.
9. Изоляция процессов (выполняемых программ) в оперативной памяти.
10. Защита содержимого локальных жестких дисков при несанкциониро- ванной загрузке операционной системы.
11. Антивирусная защита компьютеров.
12. Обнаружение вторжений.
13. Межсетевое экранирование сетевого трафика.
14. Авторизация сетевых соединений.
Принципы построения
1. Управление ПАК «Соболь» (управление пользователями, контролем целостности, получение событий безопасности).
2. Функциональный контроль ключевых защитных подсистем.
42 3. Регистрация событий безопасности.
4. Централизованное и локальное управление параметрами работы меха- низмов защиты.
5. Централизованное и локальное управление параметрами работы поль- зователей.
6. Мониторинг и оперативное управление защищаемыми компьютерами.
7. Централизованный сбор, хранение и архивирование журналов.
Сервер безопасности реализует возможности централизованного управ- ления клиентами в сетевом режиме функционирования. Данный компонент обеспечивает:
хранение данных централизованного управления:
− координацию работы других компонентов в процессе централизован- ного управления системой;
получение от клиентов и обработку информации о состоянии защи- щаемых компьютеров;
управление пользователями и авторизацией сетевых соединений;
централизованный сбор, хранение и архивирование журналов.
Клиент
Клиент системы Secret Net Studio предназначен для реализации защиты компьютера, на котором установлен данный компонент. Защита реализуется путем применения защитных механизмов, расширяющих и дополняющих сред- ства безопасности ОС Windows. Защитные механизмы – это совокупность на- страиваемых программных средств, входящих в состав клиента и обеспечи- вающих безопасное использование ресурсов.
Клиент может функционировать в следующих режимах:
автономный режим – предусматривает только локальное управление защитными механизмами;
сетевой режим – предусматривает локальное и централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.
Программа управления используется для централизованного управления серверами безопасности и клиентами в сетевом режиме функционирования.
Данный компонент обеспечивает:
43
управление параметрами объектов;
отображение информации о состоянии защищаемых компьютеров и произошедших событиях тревоги;
загрузку журналов событий;
оперативное управление компьютерами.
Порядок выполнения работы
I. Установка СЗИ Secret Net Studio
1. Отключить Интернет
2. Запустить виртуальную машину Win_7 3. На диске С: создать папку /Distrib
4. В данную папку скопировать содержимое папки sn7.7.635.00.dst
5. Запустить SnAutoRun.exe
6. Выбрать Клиентское ПО → Автономный режим
7. Принять лицензионное соглашение → Далее
8. Введите серийный номер клиента с лицензией на использование ком- понента «Secret Net Studio» в автономном режиме функционирования → Далее
9. Защита жесткого диска → ничего не отмечать → Далее
10. Серийный номер терминального доступа → ничего не отмечать →
Далее
11. Папку назначения не изменять
12. Учетная информация компьютера:
Название подразделения: Лаборатория
Название АС: Тестовый комплекс
Рабочее место: фамилия студента
Номер системного блока: 1
13. Начать установку.
Начнется копирование файлов на жесткий диск и регистрация компо-
нентов в системном реестре ОС Windows. Ход процессов копирования и на-
стройки отображается в информационном окне в виде полосы прогресса.
По окончании копирования файлов на экране появится диалоговое окно
"Управление Secret Net Studio". В окне представлены основные сведения о кон-
фигурации системы (серийные номера лицензий, учетная информация, состав
функционирующих механизмов и средств защиты) – сделать скриншот.
14. Перезагрузить виртуальную машину.
44
II. Настройка СЗИ
Для построения модели защищенной компьютерной системы рассмотрим некое предприятие НПО «Альтаир», ведущее разработку проектно- конструкторской документации по различным инженерным направлениям. Не- сколько не связанных между собой групп специалистов ведут разработку само- стоятельных инженерных проектов «Арес-3», «Юпитер-12», «Атлант-4».
Документация проектов представляет собой ряд текстовых и графиче- ских электронных документов, обрабатываемых в единой компьютерной сис- теме и имеющих различный уровень конфиденциальности: «открытые дан- ные», «конфиденциально» и «строго конфиденциально». Уровней конфиден- циальности может быть и больше: «ограниченного доступа», «особо конфи- денциально» и т. д.
Важно! В дальнейшем для обозначения уровней конфиденциальности будем пользоваться терминами «Несекретно», «ДСП», «Секретно».
Руководите предприятием «Альтаир» Вы (в примере используется фами- лия Клинов А.В.). В лабораторной работе указываете Вашу фамилию, Вы имеете максимальный уровень допуска к информации и возможность работы с документацией любого проекта. Экономист (В ЛР любое ФИО, например Юв- ченко А.Н.) работает над проектом «Продажи». Администратор компьютерной системы (администратор безопасности) имеет полный доступ к любым доку- ментам, (В ЛР любое ФИО, например Чистяков А.В) имеет возможность управлять настройками компьютерной системы и реализует на практике поли- тику безопасности предприятия, в части, касающейся информационных техно- логий. Для удобства работы всех пользователей АС в ее состав включена база данных, содержащая нормативно-правовые документы, требования ЕСПД, тех- нические справочники. Администратор следит за состоянием базы данных, своевременно обновляет ее. Руководитель предприятия издает приказы и ука- зания и размещает их в электронном виде в соответствующем каталоге. Со- трудники предприятия могут беспрепятственно знакомиться с содержимым ба- зы данных и распоряжениями руководителя предприятия, копировать необхо- димую им информацию, но вносить изменения в эти каталоги они не имеют право.
Пусть к документации проекта «Юпитер-12» имеют доступ 3 инженера
Свалов А.В., Савин П.А. и Соколов С.Ю., (фамилии придумать свои) имею-
45 щие уровни допуска к секретной, ДСП, и несекретной информации соответст- венно (таблица 1).
Таблица 1 – Уровни допуска сотрудников
Уровень допуска
Сотрудники
несекретно
Соколов С.Ю
ДСП
Савин П.А, Ювченко А.Н. секретно
А.В. Свалов, А.В. Клинов, А.В. Чистяков
Права доступа сотрудников к документации предприятия разрешенного уровня конфиденциальности находят свое отражение в матрице доступа, кото- рая вместе с установленной системой допусков и уровней конфиденциальности информационных ресурсов формализует политику разграничения доступа.
Возможный вариант матрицы приведен в таблице 2, где буквой «П» обо- значен тип доступа полный доступ, буквой «Ч» — только чтение, пробелом —
запрет доступа.
Таблица 2 – Матрица доступа
C:\
Эк он ом ик а \
К
ан цел яр ск и
е то ва ры
(
НС
)
Каталог
«П»
Полный доступ
«Ч»
Только чтение (просмотр содержимого)
«-»
Нет доступа
C:\
Эк он ом ик а \
Пр од аж и
(ДС
П
)
C:\
Пр и
ка зы и
ра сп оряж ени я
C:\
Ба за да н
н ых
(
ко н
су льт ан т пл ю
с)
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Г
раф и
чес ки е до ку ме н
ты
\
Н
есе кр ет н
о
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Г
раф и
чес ки е до ку ме н
ты
\
(ДС
П
)
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Г
раф и
чес ки е до ку ме н
ты
\
Се кр ет н
о
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Те кс то вы е док уме н
ты
\
Н
есе кр ет н
о
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Те кс то вы е док уме н
ты
\
(ДС
П
)
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Те кс то вы е док уме н
ты
\
Се кр ет н
о
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Че рн ов и
ки
\
Со
к
ол
ов
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Че рн ов и
ки
\
Са
в
и
н
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Че рн ов и
ки
\
С
в
ал
ов
Свалов
(инженер)
Чистяков
(администратор)
Соколов
(инженер)
Савин
(инженер)
Ювченко
(экономист)
Клинов
(начальник)
«-»
«-»
«Ч» «Ч»
«П»
«-»
«-»
«П»
«-»
«-»
«П»
«-»
«-»
«-»
«-»
«Ч» «Ч»
«П»
«П»
«-»
«П»
«П»
«-»
«-»
«П»
«-»
«-»
«-»
«Ч» «Ч»
«П»
«П»
«П»
«П»
«П»
«П»
«-»
«-»
«П»
«П» «П» «П» «П»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
«П» «П» «Ч» «Ч»
«-»
«-»
«-»
«-»
«-»
«-»
«-»
«-»
«-»
«П» «П» «П» «Ч»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
В отчет включить скриншоты пунктов 3–6 и обязательно подписать их.
1. Войти в систему с правами администратора.
46 2. Пуск → Программы → Secret Net Studio → Управление компьютером
→ Локальные пользователи → Пользователи → Новый пользователь.
3. Создать учетные записи пользователей (в примере - Клинов, Соколов,
Савин, Свалов, Ювченко). Фамилии произвольно, кроме начальника – это
Вы. Пароли выбрать произвольно.
4. В соответствии с рисунком 6 создать иерархическую структуру катало- гов. Разграничить права доступа пользователей к созданным каталогам в соот- ветствии с таблицей 2.
КС
Приказы и распоряжения
Проекты
Арес-3
Атлант-4
Юпитер-12
Графические документы
ДСП
Несекретно
Секретно
Текстовые документы
ДСП
Несекретно
Секретно
Черновики
Савин
Свалов
Соколов
Канцелярские товары (НС)
Продажи (ДСП)
Экономика
Локальный диск (С:)
База данных (Консультант Плюс)
Рисунок 6 – Структура каталогов
47
Рисунок 7 – Разграничение доступа к файлам
5. Зарегистрироваться пользователем Свалов, убедиться, что каталоги
C:\Экономика\Канцелярские товары\ и C:\Экономика\Продажи для него не- доступны, но доступны для пользователя Ювченко.
Создать в каталоге «C:\Приказы и распоряжения» пользователем Клинов короткий текстовый файл «Приказ1.txt» с приказом об увольнении Соколова.
Убедиться, что Соколов сможет прочитать приказ о своем увольнении, но не сможет изменить его.
Чтобы настроить параметры аудита, необходимо в основном меню обо- лочки администратора на вкладке «Параметры безопасности» выбрать катего- рию «Аудит». Для настройки аудита доступа к ресурсам недостаточно просто установить этому параметру значение «Включен» в окне редактирования пара-
38 метров безопасности. Необходимо указать, какие именно операции по доступу, к каким именно ресурсам должны быть запротоколированы.
Для того чтобы назначить право аудита пользователю, необходимо вклю- чить пользователя, учетную запись или группу пользователей в список для вы- бранного параметра. Для этого нужно выбрать параметр, нажать кнопку «Свой- ства» и добавить пользователей (или группы), воспользовавшись диалоговыми окнами СЗИ НСД.
Назначьте право аудита пользователю «Нэлли Завьялова».
7.1 Аудит глобальных параметров:
1) выделить глобальный параметр и нажать «Свойства». Откроется окно редактирования параметров – дескриптор объекта. Необходимо выбрать за- кладку «Аудит доступа»;
2) перед выбором событий необходимо включить аудит: отметить флаж- ком поле «Аудит включен»;
3) в зависимости от того, успешное или неудачное событие нужно зареги- стрировать, выставить флажок в полях «Успех» или «Отказ» для операции.
Отмеченные события будут заноситься в журнал ресурсов. Если одно- временно отметить и «Успех» и «Отказ», то в журнал, соответственно, будут заноситься и успешные события и неуспешные.
Отмеченное флажком поле «Полный аудит» позволяет автоматически расставить значения успеха или отказа во всех полях и вести аудит по всем по- зициям.
7.2 Аудит локальных объектов ФС и веток реестра.
Для того чтобы установить событие аудита для конкретного объекта ФС или ветки реестра, необходимо выполнить следующие действия:
1) открыть дескриптор безопасности объекта, используя оболочку адми- нистратора Dallas Lock («Контроль ресурсов» → «Аудит» → «Добавить (ФС)» или «Добавить (Реестр)»), или через контекстное меню объекта (пункт «Права доступа» для объекта ФС);
2) в дескрипторе объекта необходимо открыть закладку «Аудит досту- па»;
3) включить аудит (отметить флажком поле «Аудит включен») и отметить события «Успех» или «Отказ» по выбранным операциям.
39
Объекты, для которых назначен аудит любым из способов, автоматически появляются в списке объектов выбранной категории «Аудит» на вкладке «Кон- троль ресурсов».
Зайдите в систему под пользователем «Нэлли Завьялова» и настройте ау- дит, как показано в пункте 7.3.
Для просмотра содержимого определенного журнала необходимо в обо- лочке администратора на основной вкладке главного меню «Журналы» выбрать категорию, соответствующую одному из представленных в программном обес- печении типов журналов. В каждом журнале фиксируются дата, время, имя пользователя, операция, результат и прочие параметры. Возможно упорядочи- вание элементов списков журнала по необходимому значению, для этого нужно кликнуть на кнопку с названием столбца журнала. Двойной щелчок мышки на любой записи любого журнала открывает окно, содержащее всю информацию, относящуюся к этой записи.
Зайдите в систему под пользователем, который инициализировал про- граммное обеспечение СЗИ НСД Dallas Lock и просмотрите события доступ- ных журналов.
Контрольные вопросы
1. Для чего предназначена система защиты от НСД Dallas Lock? Ее ос- новные функции.
2. Что такое «Сервер безопасности»? Его назначение и реализация в ПО
Dallas Lock.
3. Какие параметры безопасности позволяет конфигурировать ПО Dallas
Lock? Какой вид защиты обеспечивает каждый из этих параметров?
4. Какие виды пользовательских полномочий реализованы в системе Dal- las Lock?
5. Как обеспечивается разграничение доступа посредством дискрецион- ного доступа?
6. Для чего предназначена подсистема обеспечения целостности?
7. Что такое дескриптор? Какие дескрипторы существуют в ПО Dallas
Lock?
8. Какие операции можно реализовать в ПО Dallas Lock над объектами защиты?
40 9. Что такое замкнутая программная среда? Ее основные функции. Спо- собы конфигурирования.
10. Какие журналы по безопасности предусмотрены в ПО Dallas Lock?
Какие параметры фиксируются в каждом из них?
11. Что может видеть пользователь, если ему даны «права на просмотр»?
12. Какие права может делегировать пользователь, если ему разрешено изменение параметров безопасности?
13. Какие пользователи могут быть зарегистрированы в СЗИ НСД Dallas
Lock?
Лабораторная работа 2
Применение СЗИ SECRET NET STUDIO для организации защищен-
ных компьютерных систем
Цель работы: научиться устанавливать средство защиты информации от несанкционированного доступа Secret Net Studio и ознакомиться с возможно- стями СЗИ Secret Net, выполнив настройку параметров безопасности.
Общие сведения
Назначение системы
Система Secret Net Studio предназначена для обеспечения безопасности информационных систем на компьютерах.
При использовании соответствующих подсистем Secret Net Studio обес- печивает:
1) защиту от несанкционированного доступа к информационным ресур- сам компьютеров;
2) контроль устройств, подключаемых к компьютерам;
3) обнаружение вторжений в информационную систему;
4) антивирусную защиту;
5) межсетевое экранирование сетевого трафика;
6) авторизацию сетевых соединений;
Управление функционированием системы Secret Net Studio может осуще- ствляться централизованно или локально.
41
Основные функции
Система Secret Net Studio реализует следующие основные функции:
1. Контроль входа пользователей в систему (идентификация и аутентифи- кация пользователей).
2. Дискреционное разграничение доступа к файловым ресурсам, устрой- ствам, принтерам.
3. Мандатное (полномочное) разграничение доступа к файловым ресур- сам, устройствам, принтерам, сетевым интерфейсам, включая:
− контроль потоков конфиденциальной информации в системе;
− контроль вывода информации на съемные носители.
4. Контроль состояния устройств компьютера с возможностями:
− блокирования компьютера при изменении состояния заданных уст- ройств;
− блокирования подключения запрещенного устройства (устройства из запрещенной группы).
5. Теневое копирование информации, выводимой на внешние носители и на печать.
6. Автоматическая маркировка документов, выводимых на печать.
7. Контроль целостности файловых объектов и реестра.
− создание замкнутой программной среды для пользователей (контроль запуска исполняемых модулей, загрузки динамических библиотек, исполнения скриптов по технологии Active Scripts).
8. Очистка оперативной и внешней памяти при ее перераспределении.
9. Изоляция процессов (выполняемых программ) в оперативной памяти.
10. Защита содержимого локальных жестких дисков при несанкциониро- ванной загрузке операционной системы.
11. Антивирусная защита компьютеров.
12. Обнаружение вторжений.
13. Межсетевое экранирование сетевого трафика.
14. Авторизация сетевых соединений.
Принципы построения
1. Управление ПАК «Соболь» (управление пользователями, контролем целостности, получение событий безопасности).
2. Функциональный контроль ключевых защитных подсистем.
42 3. Регистрация событий безопасности.
4. Централизованное и локальное управление параметрами работы меха- низмов защиты.
5. Централизованное и локальное управление параметрами работы поль- зователей.
6. Мониторинг и оперативное управление защищаемыми компьютерами.
7. Централизованный сбор, хранение и архивирование журналов.
Сервер безопасности реализует возможности централизованного управ- ления клиентами в сетевом режиме функционирования. Данный компонент обеспечивает:
хранение данных централизованного управления:
− координацию работы других компонентов в процессе централизован- ного управления системой;
получение от клиентов и обработку информации о состоянии защи- щаемых компьютеров;
управление пользователями и авторизацией сетевых соединений;
централизованный сбор, хранение и архивирование журналов.
Клиент
Клиент системы Secret Net Studio предназначен для реализации защиты компьютера, на котором установлен данный компонент. Защита реализуется путем применения защитных механизмов, расширяющих и дополняющих сред- ства безопасности ОС Windows. Защитные механизмы – это совокупность на- страиваемых программных средств, входящих в состав клиента и обеспечи- вающих безопасное использование ресурсов.
Клиент может функционировать в следующих режимах:
автономный режим – предусматривает только локальное управление защитными механизмами;
сетевой режим – предусматривает локальное и централизованное управление защитными механизмами, а также централизованное получение информации и изменение состояния защищаемых компьютеров.
Программа управления используется для централизованного управления серверами безопасности и клиентами в сетевом режиме функционирования.
Данный компонент обеспечивает:
43
управление параметрами объектов;
отображение информации о состоянии защищаемых компьютеров и произошедших событиях тревоги;
загрузку журналов событий;
оперативное управление компьютерами.
Порядок выполнения работы
I. Установка СЗИ Secret Net Studio
1. Отключить Интернет
2. Запустить виртуальную машину Win_7 3. На диске С: создать папку /Distrib
4. В данную папку скопировать содержимое папки sn7.7.635.00.dst
5. Запустить SnAutoRun.exe
6. Выбрать Клиентское ПО → Автономный режим
7. Принять лицензионное соглашение → Далее
8. Введите серийный номер клиента с лицензией на использование ком- понента «Secret Net Studio» в автономном режиме функционирования → Далее
9. Защита жесткого диска → ничего не отмечать → Далее
10. Серийный номер терминального доступа → ничего не отмечать →
Далее
11. Папку назначения не изменять
12. Учетная информация компьютера:
Название подразделения: Лаборатория
Название АС: Тестовый комплекс
Рабочее место: фамилия студента
Номер системного блока: 1
13. Начать установку.
Начнется копирование файлов на жесткий диск и регистрация компо-
нентов в системном реестре ОС Windows. Ход процессов копирования и на-
стройки отображается в информационном окне в виде полосы прогресса.
По окончании копирования файлов на экране появится диалоговое окно
"Управление Secret Net Studio". В окне представлены основные сведения о кон-
фигурации системы (серийные номера лицензий, учетная информация, состав
функционирующих механизмов и средств защиты) – сделать скриншот.
14. Перезагрузить виртуальную машину.
44
II. Настройка СЗИ
Для построения модели защищенной компьютерной системы рассмотрим некое предприятие НПО «Альтаир», ведущее разработку проектно- конструкторской документации по различным инженерным направлениям. Не- сколько не связанных между собой групп специалистов ведут разработку само- стоятельных инженерных проектов «Арес-3», «Юпитер-12», «Атлант-4».
Документация проектов представляет собой ряд текстовых и графиче- ских электронных документов, обрабатываемых в единой компьютерной сис- теме и имеющих различный уровень конфиденциальности: «открытые дан- ные», «конфиденциально» и «строго конфиденциально». Уровней конфиден- циальности может быть и больше: «ограниченного доступа», «особо конфи- денциально» и т. д.
Важно! В дальнейшем для обозначения уровней конфиденциальности будем пользоваться терминами «Несекретно», «ДСП», «Секретно».
Руководите предприятием «Альтаир» Вы (в примере используется фами- лия Клинов А.В.). В лабораторной работе указываете Вашу фамилию, Вы имеете максимальный уровень допуска к информации и возможность работы с документацией любого проекта. Экономист (В ЛР любое ФИО, например Юв- ченко А.Н.) работает над проектом «Продажи». Администратор компьютерной системы (администратор безопасности) имеет полный доступ к любым доку- ментам, (В ЛР любое ФИО, например Чистяков А.В) имеет возможность управлять настройками компьютерной системы и реализует на практике поли- тику безопасности предприятия, в части, касающейся информационных техно- логий. Для удобства работы всех пользователей АС в ее состав включена база данных, содержащая нормативно-правовые документы, требования ЕСПД, тех- нические справочники. Администратор следит за состоянием базы данных, своевременно обновляет ее. Руководитель предприятия издает приказы и ука- зания и размещает их в электронном виде в соответствующем каталоге. Со- трудники предприятия могут беспрепятственно знакомиться с содержимым ба- зы данных и распоряжениями руководителя предприятия, копировать необхо- димую им информацию, но вносить изменения в эти каталоги они не имеют право.
Пусть к документации проекта «Юпитер-12» имеют доступ 3 инженера
Свалов А.В., Савин П.А. и Соколов С.Ю., (фамилии придумать свои) имею-
45 щие уровни допуска к секретной, ДСП, и несекретной информации соответст- венно (таблица 1).
Таблица 1 – Уровни допуска сотрудников
Уровень допуска
Сотрудники
несекретно
Соколов С.Ю
ДСП
Савин П.А, Ювченко А.Н. секретно
А.В. Свалов, А.В. Клинов, А.В. Чистяков
Права доступа сотрудников к документации предприятия разрешенного уровня конфиденциальности находят свое отражение в матрице доступа, кото- рая вместе с установленной системой допусков и уровней конфиденциальности информационных ресурсов формализует политику разграничения доступа.
Возможный вариант матрицы приведен в таблице 2, где буквой «П» обо- значен тип доступа полный доступ, буквой «Ч» — только чтение, пробелом —
запрет доступа.
Таблица 2 – Матрица доступа
C:\
Эк он ом ик а \
К
ан цел яр ск и
е то ва ры
(
НС
)
Каталог
«П»
Полный доступ
«Ч»
Только чтение (просмотр содержимого)
«-»
Нет доступа
C:\
Эк он ом ик а \
Пр од аж и
(ДС
П
)
C:\
Пр и
ка зы и
ра сп оряж ени я
C:\
Ба за да н
н ых
(
ко н
су льт ан т пл ю
с)
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Г
раф и
чес ки е до ку ме н
ты
\
Н
есе кр ет н
о
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Г
раф и
чес ки е до ку ме н
ты
\
(ДС
П
)
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Г
раф и
чес ки е до ку ме н
ты
\
Се кр ет н
о
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Те кс то вы е док уме н
ты
\
Н
есе кр ет н
о
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Те кс то вы е док уме н
ты
\
(ДС
П
)
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Те кс то вы е док уме н
ты
\
Се кр ет н
о
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Че рн ов и
ки
\
Со
к
ол
ов
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Че рн ов и
ки
\
Са
в
и
н
C:\
Пр ое кт ы
\
Юпи те р
-1 2 \
Че рн ов и
ки
\
С
в
ал
ов
Свалов
(инженер)
Чистяков
(администратор)
Соколов
(инженер)
Савин
(инженер)
Ювченко
(экономист)
Клинов
(начальник)
«-»
«-»
«Ч» «Ч»
«П»
«-»
«-»
«П»
«-»
«-»
«П»
«-»
«-»
«-»
«-»
«Ч» «Ч»
«П»
«П»
«-»
«П»
«П»
«-»
«-»
«П»
«-»
«-»
«-»
«Ч» «Ч»
«П»
«П»
«П»
«П»
«П»
«П»
«-»
«-»
«П»
«П» «П» «П» «П»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
«П» «П» «Ч» «Ч»
«-»
«-»
«-»
«-»
«-»
«-»
«-»
«-»
«-»
«П» «П» «П» «Ч»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
«П»
В отчет включить скриншоты пунктов 3–6 и обязательно подписать их.
1. Войти в систему с правами администратора.
46 2. Пуск → Программы → Secret Net Studio → Управление компьютером
→ Локальные пользователи → Пользователи → Новый пользователь.
3. Создать учетные записи пользователей (в примере - Клинов, Соколов,
Савин, Свалов, Ювченко). Фамилии произвольно, кроме начальника – это
Вы. Пароли выбрать произвольно.
4. В соответствии с рисунком 6 создать иерархическую структуру катало- гов. Разграничить права доступа пользователей к созданным каталогам в соот- ветствии с таблицей 2.
КС
Приказы и распоряжения
Проекты
Арес-3
Атлант-4
Юпитер-12
Графические документы
ДСП
Несекретно
Секретно
Текстовые документы
ДСП
Несекретно
Секретно
Черновики
Савин
Свалов
Соколов
Канцелярские товары (НС)
Продажи (ДСП)
Экономика
Локальный диск (С:)
База данных (Консультант Плюс)
Рисунок 6 – Структура каталогов
47
Рисунок 7 – Разграничение доступа к файлам
5. Зарегистрироваться пользователем Свалов, убедиться, что каталоги
C:\Экономика\Канцелярские товары\ и C:\Экономика\Продажи для него не- доступны, но доступны для пользователя Ювченко.
Создать в каталоге «C:\Приказы и распоряжения» пользователем Клинов короткий текстовый файл «Приказ1.txt» с приказом об увольнении Соколова.
Убедиться, что Соколов сможет прочитать приказ о своем увольнении, но не сможет изменить его.
1 2 3 4 5 6 7 8