#1 2022.03.16 12:17:10
0
В СЗИ «Страж NT» реализована смешанная разрешительно-запретительная модель защиты информации с жестким администрированием. Система защиты представляет собой совокупность следующих основных подсистем:
• идентификации и аутентификации;
• разграничения доступа;
• контроля потоков информации;
• управление запуском программ;
• управления защитой;
• регистрации событий;
• маркировки документов;
• контроля целостности;
• стирания памяти;
• учета носителей информации;
• преобразования информации на отчуждаемых носителях;
• контроля устройств;
• тестирования системы защиты.
Подсистема идентификации и аутентификации обеспечивает опознание пользователей при входе в компьютер по персональному идентификатору и подтверждение подлинности путем запроса с клавиатуры личного пароля. Данная подсистема также обеспечивает блокировку экрана компьютера и идентификацию пользователя после такой блокировки.
Подсистема разграничения доступа реализует дискреционный и мандатный принципы контроля доступа пользователей к защищаемым ресурсам. Функционирование данной подсистемы основано на присвоении защищаемым объектам атрибутов защиты. К атрибутам защиты ресурса, имеющим отношение к разграничению доступа, относятся:
• идентификатор безопасности владельца ресурса;
• список контроля доступа;
• режим запуска (для исполняемых файлов);
• метка конфиденциальности (гриф для неисполняемого файла или допуск для исполняемого файла).
Дискреционный принцип основан на сопоставлении полномочий пользователей и списков контроля доступа ресурсов (логических дисков, папок, файлов, принтеров).
Мандатный принцип контроля доступа реализован путем сопоставления при запросе на доступ к ресурсу меток конфиденциальности пользователя, прикладной программы и защищаемого ресурса.
Подсистема контроля потоков информации предназначена для управления операциями над ресурсами, имеющими различные метки конфиденциальности.
Подсистема запуска программ предназначена для обеспечения целостности и замкнутости программной среды и реализована путем разрешения для исполняемых файлов режима запуска. Если режим запуска программы не разрешен, то файл не является исполняемым и не может быть запущен пользователем ни при каких условиях.
Подсистема управления защитой включает в себя следующие программы администрирования системы защиты:
Подсистема регистрации обеспечивает регистрацию запросов на доступ к ресурсам компьютера и возможность выборочного ознакомления с регистрационной информацией и ее распечатки.
Подсистема маркировки документов обеспечивает автоматическое проставление учетных признаков в документах, выдаваемых на печать, а также регистрации фактов печати документов.
Подсистема контроля целостности предназначена для настройки и периодической проверки параметров целостности системы защиты, программного обеспечения и постоянных информационных массивов.
Подсистема стирания памяти реализует механизм заполнения нулями выделяемых программам областей оперативной памяти и стирания файлов на диске по команде удаления. В рамках данной подсистемы также реализовано стирание файла подкачки страниц по завершении сеанса работы.
Подсистема учета носителей информации позволяет управлять доступом к носителям информации в соответствии с разрешениями и параметрами, прописанными в журнале учета носителей.
Подсистема преобразования информации на отчуждаемых носителях позволяет включить дополнительную защиту для съемных носителей с помощью режима прозрачного преобразования всей информации на носителе.
Подсистема контроля устройств позволяет формировать необходимую конфигурацию устройств для пользователей в соответствии с установленными разрешениями.
Подсистема тестирования системы защиты предназначена для комплексного тестирования основных механизмов системы защиты, как на локальном компьютере, так и на удаленном, с использованием локальной вычислительной сети.
• идентификации и аутентификации;
• разграничения доступа;
• контроля потоков информации;
• управление запуском программ;
• управления защитой;
• регистрации событий;
• маркировки документов;
• контроля целостности;
• стирания памяти;
• учета носителей информации;
• преобразования информации на отчуждаемых носителях;
• контроля устройств;
• тестирования системы защиты.
Подсистема идентификации и аутентификации обеспечивает опознание пользователей при входе в компьютер по персональному идентификатору и подтверждение подлинности путем запроса с клавиатуры личного пароля. Данная подсистема также обеспечивает блокировку экрана компьютера и идентификацию пользователя после такой блокировки.
Подсистема разграничения доступа реализует дискреционный и мандатный принципы контроля доступа пользователей к защищаемым ресурсам. Функционирование данной подсистемы основано на присвоении защищаемым объектам атрибутов защиты. К атрибутам защиты ресурса, имеющим отношение к разграничению доступа, относятся:
• идентификатор безопасности владельца ресурса;
• список контроля доступа;
• режим запуска (для исполняемых файлов);
• метка конфиденциальности (гриф для неисполняемого файла или допуск для исполняемого файла).
Дискреционный принцип основан на сопоставлении полномочий пользователей и списков контроля доступа ресурсов (логических дисков, папок, файлов, принтеров).
Мандатный принцип контроля доступа реализован путем сопоставления при запросе на доступ к ресурсу меток конфиденциальности пользователя, прикладной программы и защищаемого ресурса.
Подсистема контроля потоков информации предназначена для управления операциями над ресурсами, имеющими различные метки конфиденциальности.
Подсистема запуска программ предназначена для обеспечения целостности и замкнутости программной среды и реализована путем разрешения для исполняемых файлов режима запуска. Если режим запуска программы не разрешен, то файл не является исполняемым и не может быть запущен пользователем ни при каких условиях.
Подсистема управления защитой включает в себя следующие программы администрирования системы защиты:
Подсистема регистрации обеспечивает регистрацию запросов на доступ к ресурсам компьютера и возможность выборочного ознакомления с регистрационной информацией и ее распечатки.
Подсистема маркировки документов обеспечивает автоматическое проставление учетных признаков в документах, выдаваемых на печать, а также регистрации фактов печати документов.
Подсистема контроля целостности предназначена для настройки и периодической проверки параметров целостности системы защиты, программного обеспечения и постоянных информационных массивов.
Подсистема стирания памяти реализует механизм заполнения нулями выделяемых программам областей оперативной памяти и стирания файлов на диске по команде удаления. В рамках данной подсистемы также реализовано стирание файла подкачки страниц по завершении сеанса работы.
Подсистема учета носителей информации позволяет управлять доступом к носителям информации в соответствии с разрешениями и параметрами, прописанными в журнале учета носителей.
Подсистема преобразования информации на отчуждаемых носителях позволяет включить дополнительную защиту для съемных носителей с помощью режима прозрачного преобразования всей информации на носителе.
Подсистема контроля устройств позволяет формировать необходимую конфигурацию устройств для пользователей в соответствии с установленными разрешениями.
Подсистема тестирования системы защиты предназначена для комплексного тестирования основных механизмов системы защиты, как на локальном компьютере, так и на удаленном, с использованием локальной вычислительной сети.
Отредактировано: Panda 2022.03.16 12:17:29