#1 2021.11.29 06:02:17
0
СЗИ «Secret Net» содержит средства контроля изменений (механизм контроля целостности) объектов файловой системы и контроля используемого пользователями ПО (механизм замкнутой программной среды). Для их настройки разработчики «Secret Net» предлагают последовательность этапов, описанную ниже. Но, до её рассмотрения нужно пояснить несколько понятий.
Параметры, определяющие работу механизмов контроля целостности и замкнутой программной среды, объединены в рамках единой модели данных. Модель данных представляет собой иерархию объектов и описание связей между ними. В модели используются 5 категорий объектов:
1. Ресурс — описание файла или каталога, переменной реестра или ключа реестра. Однозначно определяет местонахождение контролируемого ресурса и его тип.
2. Группа ресурсов — объединяет несколько описаний ресурсов одного типа (файлы и каталоги или объекты системного реестра). Например, исполняемые файлы или ключи реестра, относящиеся к конкретному приложению.
3. Задача — это набор «групп ресурсов». Например, задача может одновременно включать группу системных файлов и группу объектов системного реестра Windows.
4. Задание — определяет параметры проведения контроля целостности. Например, при использовании замкнутой программной среды может объединять описания исполняемых файлов, разрешённых для запуска определённой группе пользователей.
5. Субъект управления — компьютер и группа, включающая пользователей и компьютеры (при локальном управлении — также и отдельные пользователи). Определяет компьютеры, на которых выполняется контроль целостности в соответствии с назначенными заданиями, и пользователей, которым разрешено запускать программы, указанные заданиями замкнутой программной среды.
Этап 1 — Подготовка к построению модели данных.
На этом этапе проводится анализ размещения ПО и данных на защищаемых компьютерах. Разрабатываются требования к настройке механизмов КЦ и ЗПС. Выполняется размещение необходимого ПО и данных на защищаемых компьютерах.
Этап 2 — Построение фрагмента модели данных по умолчанию.
Работа механизмов КЦ и ЗПС в СЗИ «Secret Net» основывается на специальной «модели данных», описывающей ресурсы компьютера, важные для нормальной работы контроля целостности и замкнутой программной среды.
Данный этап выполняется при формировании новой модели с нуля. При этом в модель данных автоматически добавляются описания ресурсов для важных ресурсов ОС Windows, а также описания ресурсов некоторых прикладных программ.
Этап 3 — Добавление задач в модель данных.
В модель данных добавляются описания задач — прикладного и системного программного обеспечения, наборов файлов данных и других ресурсов, к которым должны применяться КЦ и ЗПС в соответствии с требованиями, разработанными на 1 этапе.
Важно отметить, что задачи и задания в модели данных СЗИ «Secret Net» могут относиться к одному из двух механизмов: к контролю целостности или к замкнутой программной среде.
Этап 4 — Создание заданий и включение в них задач.
В модель данных добавляются все необходимые задания, то есть задаётся информация о том, как применять КЦ и ЗПС к задачам, включённым в каждое отдельное задание.
Этап 5 — Назначение субъектам заданий ЗПС и подготовка ресурсов ЗПС.
На данном этапе каждый пользователь связывается со своим набором заданий — правилами, применяемыми механизмом ЗПС в отношении этого конкретного пользователя.
Для того чтобы исполняемые файлы контролировались механизмом ЗПС, им должен быть присвоен признак «выполняемый». В противном случае, замкнутая программная среда просто не позволит их запускать ещё до проверки каких-либо привилегий пользователя. Процедура «Подготовка ресурсов для ЗПС» как раз выполняется на текущем этапе: она производит сканирование компьютера на наличие исполняемых файлов и присваивает им соответствующий признак.
Этап 6 — Расчёт эталонов.
Для всех заданий рассчитываются эталоны ресурсов. Эталон в данном случае означает некоторый набор значений признаков контролируемого объекта, с помощью которых можно обнаружить изменения, произошедшие с объектом. В качестве признака объекта может выступать контрольная сумма, его имя, размер, путь, дата и время его создания или изменения.
Этап 7 — Включение ЗПС в «жёстком» режиме.
В «жёстком» режиме разрешается запуск только разрешённых программ, библиотек и сценариев. Запуск других ресурсов блокируется, а в журнале СЗИ «Secret Net» регистрируются события НСД.
Этап 8 — Включение механизма КЦ.
Устанавливаются связи заданий контроля целостности с субъектами «компьютер» или «группа компьютеров». С этого момента механизм КЦ начинает действовать в штатном режиме.
Этап 9 — Проверка заданий.
Перед началом эксплуатации механизма КЦ можно выполнить проверку корректности настроек заданий. Проверка заключается в немедленном выполнении задания независимо от установленного расписания.
Выполним поэтапно настройку механизмов КЦ и ЗПС. Этап 1 — подготовка к построению модели данных. По плану, на этом этапе разрабатываются требования к настройке КЦ и ЗПС, включающие в себя: сведения о защищаемых компьютерах (установленное ПО, пользователи и их функциональные обязанности, задачи, решаемые пользователями по служебной необходимости); перечень ресурсов, подлежащих контролю целостности; перечень программ, с которыми разрешено работать разным группам пользователей; задачи (список задач и их краткое описание).
Пусть пользователи смогут работать с ПО так, как указано в таблице 14. В реальных условиях подготовка к использованию СЗИ потребует гораздо более детальных разработки требований и проектирования модели безопасности, но в рамках лабораторной работы остановимся на таком описании.
Таблица 14
Пользователь
ПО
Alpha
FreeCommander, LibreOffice, Paint.Net, Mozilla Thunderbird. ICQ
Bettal, 2
FreeCommander, LibreOffice, Paint.Net. Mozilla Thunderbird
Epselonl, 2, 3
FreeCommander, LibreOffice, Paint.Net
Omega
FreeCommander, LibreOffice, Paint.Net
Переходим к этапу 2. Построение модели данных по умолчанию. В меню «Пуск» в группе СЗИ выберите пункт «Контроль программ и данных». Перед вами появится главное окно программы и окно настройки по умолчанию, представленные на рисунке 127. В последующем будет возможно создать модель заново. Для этого достаточно выбрать в меню «Файл» пункт «Новая модель данных».
Подтвердите предложенные параметры и дождитесь окончания настройки. Сохраните произведённые настройки («Файл — Сохранить» или кнопка с изображением «Дискеты» на панели инструментов). Вы произвели минимальную необходимую настройку механизмов замкнутой программной среды и контроля целостности.
На момент формирования модели на компьютере уже должны быть установлены необходимые программы. Для их добавления в ЗПС можно при создании модели данных выбрать пункт «Добавить другие задачи из списка» и указать соответствующие задачи (см. рис. 128).
Создайте новую модель данных, включив опцию «Предварительная очистка данных». И включите в создаваемую модель все программы, к которым у пользователей должен быть доступ кроме Paint.Net.
Параметры, определяющие работу механизмов контроля целостности и замкнутой программной среды, объединены в рамках единой модели данных. Модель данных представляет собой иерархию объектов и описание связей между ними. В модели используются 5 категорий объектов:
1. Ресурс — описание файла или каталога, переменной реестра или ключа реестра. Однозначно определяет местонахождение контролируемого ресурса и его тип.
2. Группа ресурсов — объединяет несколько описаний ресурсов одного типа (файлы и каталоги или объекты системного реестра). Например, исполняемые файлы или ключи реестра, относящиеся к конкретному приложению.
3. Задача — это набор «групп ресурсов». Например, задача может одновременно включать группу системных файлов и группу объектов системного реестра Windows.
4. Задание — определяет параметры проведения контроля целостности. Например, при использовании замкнутой программной среды может объединять описания исполняемых файлов, разрешённых для запуска определённой группе пользователей.
5. Субъект управления — компьютер и группа, включающая пользователей и компьютеры (при локальном управлении — также и отдельные пользователи). Определяет компьютеры, на которых выполняется контроль целостности в соответствии с назначенными заданиями, и пользователей, которым разрешено запускать программы, указанные заданиями замкнутой программной среды.
Этап 1 — Подготовка к построению модели данных.
На этом этапе проводится анализ размещения ПО и данных на защищаемых компьютерах. Разрабатываются требования к настройке механизмов КЦ и ЗПС. Выполняется размещение необходимого ПО и данных на защищаемых компьютерах.
Этап 2 — Построение фрагмента модели данных по умолчанию.
Работа механизмов КЦ и ЗПС в СЗИ «Secret Net» основывается на специальной «модели данных», описывающей ресурсы компьютера, важные для нормальной работы контроля целостности и замкнутой программной среды.
Данный этап выполняется при формировании новой модели с нуля. При этом в модель данных автоматически добавляются описания ресурсов для важных ресурсов ОС Windows, а также описания ресурсов некоторых прикладных программ.
Этап 3 — Добавление задач в модель данных.
В модель данных добавляются описания задач — прикладного и системного программного обеспечения, наборов файлов данных и других ресурсов, к которым должны применяться КЦ и ЗПС в соответствии с требованиями, разработанными на 1 этапе.
Важно отметить, что задачи и задания в модели данных СЗИ «Secret Net» могут относиться к одному из двух механизмов: к контролю целостности или к замкнутой программной среде.
Этап 4 — Создание заданий и включение в них задач.
В модель данных добавляются все необходимые задания, то есть задаётся информация о том, как применять КЦ и ЗПС к задачам, включённым в каждое отдельное задание.
Этап 5 — Назначение субъектам заданий ЗПС и подготовка ресурсов ЗПС.
На данном этапе каждый пользователь связывается со своим набором заданий — правилами, применяемыми механизмом ЗПС в отношении этого конкретного пользователя.
Для того чтобы исполняемые файлы контролировались механизмом ЗПС, им должен быть присвоен признак «выполняемый». В противном случае, замкнутая программная среда просто не позволит их запускать ещё до проверки каких-либо привилегий пользователя. Процедура «Подготовка ресурсов для ЗПС» как раз выполняется на текущем этапе: она производит сканирование компьютера на наличие исполняемых файлов и присваивает им соответствующий признак.
Этап 6 — Расчёт эталонов.
Для всех заданий рассчитываются эталоны ресурсов. Эталон в данном случае означает некоторый набор значений признаков контролируемого объекта, с помощью которых можно обнаружить изменения, произошедшие с объектом. В качестве признака объекта может выступать контрольная сумма, его имя, размер, путь, дата и время его создания или изменения.
Этап 7 — Включение ЗПС в «жёстком» режиме.
В «жёстком» режиме разрешается запуск только разрешённых программ, библиотек и сценариев. Запуск других ресурсов блокируется, а в журнале СЗИ «Secret Net» регистрируются события НСД.
Этап 8 — Включение механизма КЦ.
Устанавливаются связи заданий контроля целостности с субъектами «компьютер» или «группа компьютеров». С этого момента механизм КЦ начинает действовать в штатном режиме.
Этап 9 — Проверка заданий.
Перед началом эксплуатации механизма КЦ можно выполнить проверку корректности настроек заданий. Проверка заключается в немедленном выполнении задания независимо от установленного расписания.
Выполним поэтапно настройку механизмов КЦ и ЗПС. Этап 1 — подготовка к построению модели данных. По плану, на этом этапе разрабатываются требования к настройке КЦ и ЗПС, включающие в себя: сведения о защищаемых компьютерах (установленное ПО, пользователи и их функциональные обязанности, задачи, решаемые пользователями по служебной необходимости); перечень ресурсов, подлежащих контролю целостности; перечень программ, с которыми разрешено работать разным группам пользователей; задачи (список задач и их краткое описание).
Пусть пользователи смогут работать с ПО так, как указано в таблице 14. В реальных условиях подготовка к использованию СЗИ потребует гораздо более детальных разработки требований и проектирования модели безопасности, но в рамках лабораторной работы остановимся на таком описании.
Таблица 14
Пользователь
ПО
Alpha
FreeCommander, LibreOffice, Paint.Net, Mozilla Thunderbird. ICQ
Bettal, 2
FreeCommander, LibreOffice, Paint.Net. Mozilla Thunderbird
Epselonl, 2, 3
FreeCommander, LibreOffice, Paint.Net
Omega
FreeCommander, LibreOffice, Paint.Net
Переходим к этапу 2. Построение модели данных по умолчанию. В меню «Пуск» в группе СЗИ выберите пункт «Контроль программ и данных». Перед вами появится главное окно программы и окно настройки по умолчанию, представленные на рисунке 127. В последующем будет возможно создать модель заново. Для этого достаточно выбрать в меню «Файл» пункт «Новая модель данных».
Подтвердите предложенные параметры и дождитесь окончания настройки. Сохраните произведённые настройки («Файл — Сохранить» или кнопка с изображением «Дискеты» на панели инструментов). Вы произвели минимальную необходимую настройку механизмов замкнутой программной среды и контроля целостности.
На момент формирования модели на компьютере уже должны быть установлены необходимые программы. Для их добавления в ЗПС можно при создании модели данных выбрать пункт «Добавить другие задачи из списка» и указать соответствующие задачи (см. рис. 128).
Создайте новую модель данных, включив опцию «Предварительная очистка данных». И включите в создаваемую модель все программы, к которым у пользователей должен быть доступ кроме Paint.Net.
Отредактировано: Panda 2022.08.10 08:13:34