Система защиты информации от несанкционированного доступа на основе программно-аппаратного комплекса "Secret Net 5.0"


Министерство образования и науки Российской Федерации


НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ







А.А. ПОМЕШКИН, И.В. КОРОТКИХ




СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА НА ОСНОВЕ ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА «SECRET NET 5.0»


Учебно-методическое пособие
















НОВОСИБИРСК

2012

УДК 004.056.53(075.8)
     П551





Рецензенты:
канд. техн. наук, доцент А.П. Бацула, канд. техн. наук, доцент В. Е. Хиценко



Работа выполнена на кафедре защиты информации и утверждена Редакционно-издательским советом университета в качестве учебно-методического пособия




            Помешкин А.А.


П551 Система защиты информации от несанкционированного доступа на основе программно-аппаратного комплекса «SECRET NET 5.0»: учеб.-метод. пособие / А.А. Помешкин, И.В. Коротких. -Новосибирск: Изд-во НГТУ, 20121. - 47 с.

        ISBN978-5-7782-1990-8

          Пособие содержит теоретическую часть и лабораторную работу. Предназначено для студентов IV курса очной формы обучения специальности 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем» по дисциплине «Программно-аппаратные средства обеспечения информационной безопасности».




УДК 004.056.53(075.8)







ISBN 978-5-7782-1990-8

                © Помешкин А.А., Коротких И.В., 2012 © Новосибирский государственный

технический университет, 2012

ОГЛАВЛЕНИЕ


1. ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ О «SECRET NET 5.0».................
  1.1. Назначение системы....................................
  1.2. Архитектура системы...................................
  1.3. Защитные механизмы....................................
    1.3.1. Механизм защиты входа в систему...................
    1.3.2. Механизмы разграничения доступа и защиты ресурсов.
  1.4. Механизмы контроля и регистрации......................
  1.5. Принципы управления в «Secret Net 5.0»................
2. ОСОБЕННОСТИ УСТАНОВКИ И НАСТРОЙКИ «SECRET NET 5.0»
3. ТРЕБОВАНИЯ РУКОВОДЯЩИХ ДОКУМЕНТОВ ПО ЗАЩИТЕ
  ОТНСД......................................................
  ЛАБОРАТОРНАЯ РАБОТА........................................
  1. Методика выполнения работы..............................
  2. Ход работы..............................................
3. ТЕСТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ....................
  3.1. Тестирование подсистемы управления доступом...........
  3.2. Тестирование подсистемы регистрации и учета...........
  3.3. Тестирование подсистемы обеспечения целостности.......
  ТРЕБОВАНИЯ К СОСТАВЛЕНИЮ ОТЧЕТА............................
4. КОНТРОЛЬНЫЕ ВОПРОСЫ.......................................
  СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ.............................

..4
..4
.. ^5
..7
..7
..9
15
17
18

20
23
23
24
30
31
35
36
46
46
46

                1. ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ О «SECRET NET 5.0»




            1.1. НАЗНАЧЕНИЕ СИСТЕМЫ


   Система защиты информации (СЗИ) «Secret Net 5.0», разработанная компанией «Код Безопасности», служит программно-аппаратным средством защиты от несанкционированного доступа к информации. Автономный вариант системы «Secret Net 5.0» функционирует под управлением операционных систем (ОС) семейства Microsoft Windows. СЗИ дополняет ядро безопасности операционной системы, при этом полностью закрывая «дыры» в ее защите, добавляя собственные механизмы защиты и предоставляя удобное управление всеми настройками безопасности. Компьютер с установленной системой может работать автономно (без подключения к сети), в одноранговой сети или в сети с доменной организацией.
   Таким образом, защитные средства компьютера включают в себя три компонента:
   • средства безопасности ОС Windows;
   • программные средства «Secret Net 5.0»;
   • аппаратные средства «Secret Net 5.0».
   Сфера применения этой системы:
   •   доступ к информации на компьютерах только сотрудникам фирмы;
   •   наличие на компьютерах лишь необходимой для работы сотрудникам информации;
   •   исключение передачи конфиденциальной информации конкурентам;
   •   возможность использовать конфиденциальную информацию лишь сотрудникам фирмы;
   •   возможность в любой момент времени ознакомиться с историей работы сотрудника на компьютере;
   •   облегчение аттестационного процесса автоматизированной системы организации.


4

            1.2. АРХИТЕКТУРА СИСТЕМЫ



   Общую архитектуру системы можно представить в виде следующей структуры (рис. 1).

Рмс. 1

   На данной схеме приведена обобщенная структура системы защиты «Secret Net 5.0», а также представлены основные элементы и их взаимосвязи.
   Из схемы видно, что «Secret Net 5.0» включает следующие компоненты и подсистемы:
   • ядро системы защиты (1);
   • подсистему регистрации (2);
   • подсистему управления (3);
   • подсистему криптографической защиты (4);
   • базу данных системы защиты (5);
   • защитные подсистемы (9, 10, 11, 12, 14);
   • подсистему контроля входа (16).
   Ядро системы защиты 1 представляет собой программу, которая автоматически запускается на защищаемом компьютере при его включении и функционирует на протяжении всего времени его работы.


5

   Подсистема регистрации 2 является одним из элементов ядра системы и предназначена для управления регистрацией в журнале «Secret Net 5.0» событий, связанных с работой системы защиты. Эта информация поступает от отдельных подсистем, которые следят за происходящими в информационной среде событиями. Остальные события, происходящие на компьютере, регистрируются стандартными средствами ОС Windows и хранятся в ее журналах.
   Подсистема управления 3 предоставляет средства для настройки защитных механизмов системы. Эти средства позволяют:
   •    управлять объектами защиты (устройствами, файлами, каталогами);
   •    управлять пользователями, настройками защитных механизмов и сохранять относящиеся к ним данные в базе данных «Secret Net 5.0» (5);
   • получать информацию из базы данных «Secret Net 5.0»;
   • формировать задания на контроль целостности;
   •    обрабатывать и представлять информацию из журналов «Secret Net 5.0» и Windows.
   База данных (БД) «Secret Net 5.0» 5 предназначена для хранения информации о настройках системы защиты, необходимых для работы защищаемого компьютера. БД «Secret Net 5.0» размещается в реестре ОС Windows и специальных файлах.
   Защитные подсистемы реализованы с применением драйверов-фильтров, через которые проходят все обращения пользователя к ресурсам. При обращении пользователя к ресурсам компьютера (файлам или устройствам) драйверы-фильтры перехватывают это обращение. Затем управление переходит к драйверам защитных подсистем, которые выполняют профильные действия, соответствующие цели обращения пользователя к ресурсу.
   Подсистема контроля входа 16 совместно с ОС Windows обеспечивает идентификацию и аутентификацию (в том числе и аутентификацию в усиленном режиме с использованием электронной цифровой подписи) пользователя при входе его в систему. Подсистема включает в себя модуль идентификации пользователя, а также может содержать средства аппаратной поддержки, если они установлены на компьютере, и программу-драйвер, с помощью которой осуществляется управление аппаратными средствами.

6

            1.3. ЗАЩИТНЫЕ МЕХАНИЗМЫ


   Защитные механизмы - это программные и аппаратные средства, предназначенные для защиты локальных ресурсов компьютера. Защитные механизмы устанавливаются в составе компонента СЗИ «Secret Net 5.0» на каждый защищаемый компьютер сети.
   Каждый из применяемых защитных механизмов ориентирован на решение определенных задач.
   С помощью программных и аппаратных средств СЗИ «Secret Net 5.0» реализуются следующие защитные механизмы.


1.3.1. МЕХАНИЗМ ЗАЩИТЫ ВХОДА В СИСТЕМУ

   Защита от несанкционированного входа предназначена для предотвращения доступа посторонних лиц к защищенному компьютеру. К этой группе средств относятся:
   • программные и аппаратные средства идентификации;
   • функции блокировки компьютера;
   •   аппаратные средства защиты от загрузки ОС со съемных носителей.
   Идентификация пользователя выполняется при каждом входе пользователя в систему. При загрузке компьютера система «Secret Net 5.0» запрашивает у пользователя его идентификатор и пароль. Затем проверяет, был ли зарегистрирован в системе пользователь с таким именем и правильно ли указан его пароль. В качестве идентификаторов могут использоваться уникальные имена и уникальные номера аппаратных устройств идентификации (персональных идентификаторов). Если пароль указан неверно, в журнале «Secret Net 5.0» регистрируется соответствующее событие. При определенном числе неверных попыток ввода пароля учетная запись пользователя блокируется средствами ОС Windows.
   Механизм временной блокировки компьютера предназначен для предотвращения использования компьютера посторонними лицами. Для выполнения этой функции используются собственный механизм «Secret Net 5.0» и стандартный механизм ОС Windows.
   Для настройки данного защитного механизма необходимо выполнить следующее.
   •   Правой кнопкой мыши производим нажатие по ярлыку «Мой компьютер» на рабочем столе и из появившегося подменю переходим в раздел «Управление» (рис. 2).


7

Рис. 2

   •    Затем в разделе «Локальные пользователи и группы» двойным нажатием по любой учетной записи вызываем меню «Свойства» и переходим к вкладке «Secret Net» (рис. 3).

Рис. 3

   •    В появившемся подменю можно присвоить выбранной учетной записи персональный электронный идентификатор, который в дальнейшем будет необходим для успешного входа пользователя в операционную систему.


8

1.3.2. МЕХАНИЗМЫ РАЗГРАНИЧЕНИЯ ДОСТУПА И ЗАЩИТЫ РЕСУРСОВ



            Механизм полномочного разграничения доступа к объектам файловой системы предназначен:


   •   для разграничения доступа пользователей к конфиденциальным документам;
   •   для контроля потоков конфиденциальной информации в системе;
   •    для контроля вывода конфиденциальной информации на внешние устройства;
   •   для контроля печати конфиденциальных документов.
   Механизм полномочного разграничения доступа обеспечивает управление доступом пользователей к конфиденциальной информации, хранящейся в файлах на локальных и подключенных сетевых дисках с файловой системой NTFS и NTFS5. Доступ осуществляется в соответствии с категорией конфиденциальности, присвоенной информации и уровнем допуска пользователя к конфиденциальной информации.
   Для каждого пользователя компьютера устанавливается некоторый уровень допуска к конфиденциальной информации. Файлам и каталогам назначается категория конфиденциальности, которая определяется расширенным атрибутом файла или каталога.
   Для настройки данного защитного механизма необходимо выполнить следующее.
   •    Для изменения параметров избирательного разграничения доступа необходимо зайти в меню «Пуск», затем перейти к списку установленных программ и выбрать «Secret Net 5.0» (рис. 4).

Рмс. 4

9

   •    В появившемся меню зайти в подраздел «Локальная политика безопасности». В левом столбце находим параметры «Secret Net», а затем открываем настройки подсистем (рис. 5).

Лис. 5

   •   Далее мы видим, что в правом столбце появился перечень политик и параметров безопасности (рис. 6). Группа политик с названиями «Полномочное управление доступом: ...» обеспечивает управление доступом пользователей к конфиденциальной информации, хранящейся в файлах на локальных и подключенных сетевых дисках. Гибкость настроек параметров данных политик полномочного разграничения доступа позволяет в полной мере обеспечить разграничение доступа к конфиденциальной информации, контроль ее вывода на внешние устройства и контроль печати, а также вести контроль потоков конфиденциальной информации в системе.

Рис. 6

10

   Механизм замкнутой программной среды позволяет сформировать для любого пользователя компьютера программную среду, определив индивидуальный перечень программ, разрешенных для запуска. Перечень программ, разрешенных для запуска, может быть как задан индивидуально для каждого пользователя, так и определен на уровне групп пользователей.
   Для настройки данного защитного механизма необходимо выполнить следующее.
   •   Для активации и настройки замкнутой программной среды необходимо зайти в меню «Пуск», далее перейти к списку установленных программ и выбрать «Secret Net 5.0».
   •   В появившемся меню зайти в подраздел «Контроль программ и данных» (рис. 7). Чтобы создать замкнутую программную среду, надо зайти в меню «Файл» и выбрать пункт «Новая модель данных» (рис. 8).

Р7С. 7

Рис. 8

11