поиск по сайту
Об изделии "Аккорд v2.0 для Windows NT/2000"

Об изделии "Аккорд v2.0 для Windows NT/2000"

Ю.С. Макейчик, Россия, Москва, ОКБ САПР

В связи с существенным увеличением производительности компьютеров всё более популярным становится использование операционных систем, базирующихся на технологии Windows NT. Эта технология давно зарекомендовала себя как более надёжная, отказоустойчивая и защищённая, в отличие от потребительских версий Windows (Windows 95 - Windows Millennium).

Тем не менее, у операционных систем семейства Windows NT есть некоторые недостатки с точки зрения безопасности:

  • возможность загрузки со съёмных носителей информации (дискеты, CD-ROM, ZIP-драйвы и др.); это может повлечь несанкционированный доступ к конфиденциальным данным или привнесение вредоносных закладок;
  • система разграничения доступа работает только на файловой системе NTFS, т. е. если на рабочей станции загружается несколько операционных систем (например, Windows 98 и Windows 2000), то доступ к дискам (файлам) Windows 98 может получить любой пользователь;
  • достаточно трудное администрирование подсистемы безопасности, особенно для пользователей ранее работавших с серией Windows 9x/Me.

Для устранения вышеуказанных недостатков ОКБ САПР разработало СЗИ программно-аппаратный комплекс Accord V2.0 для Windows NT/2000 (далее Accord NT). Данный комплекс состоит из контроллера АМДЗ (с функциями электронного замка) и ПО разграничения доступа. Accord NT функционирует под управлением операционных систем Windows NT, Windows 2000 и Windows XP.

Защитные функции аппаратного контроллера АМДЗ:

  • идентификация и аутентификация пользователей до загрузки операционной системы с использованием индивидуального некопируемого электронного идентификатора (touch-memory, smart card);
  • проверка целостности аппаратуры, системных областей жесткого диска, файлов, ключей реестра, и дальнейшая загрузка ОС (только после успешного прохождения этой проверки);
  • работа с файловььми системами FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD, Ext2fs;
  • ведение журнала (в памяти контроллера), отражающего весь процесс процедур идентификации/аутентификации пользователя и нарушений контроля целостности;
  • создание расписания работы пользователей на неделю с точностью в 30 минут;
  • возможность физической блокировки двух устройств;
  • блокировка загрузки со съёмных носителей информации для обычных пользователей.

Защитные функции ПО разграничения доступа реализуются применением:

  • дисциплины защиты от НСД к ПЭВМ, включая идентификацию пользователя по уникальному ТМ-идентификатору и аутентификацию с учётом необходимой длины пароля и времени его жизни, ограничением доступа субъекта к компьютеру;
  • процедур блокирования экрана и клавиатуры в случаях, в которых могут реализовываться угрозы информационной безопасности, разблокировка возможна только с помощью ТМ-идентификатора пользователя;
  • дисциплины разграничения доступа к ресурсам ПЭВМ с применением дискреционной и (или) мандатной политик безопасности;
  • возможности разграничения доступа для локальных и сетевых дисков, каталогов, файлов, контроля обращения к реестру и драйверам устройств;
  • функционально-полной структуры следующих атрибутов доступа к объекту:

    R - разрешение на открытие файлов только для чтения;

    W - разрешение на открытие файлов для записи;

    С - разрешение на создание файлов на диске;

    D - разрешение на удаление файлов;

    N - разрешение на переименование файлов;

    V - видимость файлов;

    О - эмуляция разрешения на запись информации в файл;

    М - создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут);

    Е - удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут);

    G - разрешение перехода в этот каталог;

    n - переименование каталога;

    X - разрешение на запуск программ;

    r - регистрируются все операции чтения файлов из этого каталога в журнале;

    w - регистрируются все операции записи файлов из этого каталога в журнале;

  • контроля целостности критичных, с точки зрения информационной безопасности, программ и данных (дисциплины защиты от несанкционированных модификаций), в том числе файлов операционной системы;
  • динамического контроля целостности процессов (задач) в оперативной памяти ПЭВМ (тем самым обеспечивается защита от программных вирусов и закладок);
  • автоматической идентификации в системе Windows NT пользователей, прошедших проверку в АМДЗ; при таком подходе исключается процедура двойной идентификации пользователей и загрузка Windows под именем пользователя, отличным от имени прошедшего идентификацию в АМДЗ;
  • ведением подробного журнала работы пользователя во время всего сеанса функционирования ОС.

Здесь стоит отметить, что применение единого интерфейса администрирования, а также одинаковых правил разграничения доступа для Windows 9x/Me и Windows NT-ХР существенно упрощает процедуру настройки комплекса и создания единой политики безопасности защиты (особенно для администраторов, ранее использовавших Accord для семейства Windows 9х).

Использование функций синхронизации баз данных, позволяет создавать и/или редактировать записи пользователей и назначать им правила разграничения доступа, используя только одну программу. Далее база автоматически синхронизируются с базой пользователей АМДЗ и учётными записями пользователей Windows NT. Ведение детального журнала работы пользователей и применение развитых средств просмотра и анализа журналов, позволяют быстро проанализировать обращение пользователя (его программ) к ресурсам ПЭВМ, а так же проанализировать попытки НСД. Использование процедур удалённого управления и администрирования позволяет с рабочего места администратора безопасности информации управлять рабочими станциями, а также администрировать пользователей на рабочих станциях.

В целом можно сказать, что "Аккорд V2.0 для Windows NT/2000" - это чрезвычайно эффективный сертифицированный комплекс технических и программных средств. Его использование позволяет надёжно защитить информацию как на выделенном компьютере, так и на компьютере, входящем в домен Windows NT/2000.

Литература

1. Конявский В.А. Управление защитой информации на базе СЗИ НСД "Аккорд". - М.: Радио и связь, 1999, - 325 с.

2. Проект документа "Концепция защиты общих информационных ресурсов и информационно-телекоммуникационной инфраструктуры Союзного государства". ГНИИИ ПТЗИ Гостехкомиссии России, 2002.

3. Проект документа "Специальные требования и рекомендации по защите информации в помещениях и технических средствах". ГНИИИПТЗИ Гостехкомиссии России, 2002.


ФорумФорум
Форум ОКБ САПР
ОбучениеОбучение
Кафедра «Защита информации» ФРТК МФТИ и собственные курсы стажировок по нашей продукции.