Аккорд-NT/2000 V.3.0 REVISION 4. что нового

В 2006 году был разработан и сертифицирован ПАК СЗИ НСД Аккорд-NT/2000 v.3.0, позволяющий разграничить доступ пользователей к локальным станциям/терминалам и к терминальным серверам на основании дискреционной и (или) мандатной политик безопасности. В феврале 2007 года была выпущена и сертифицирована новая версия Аккорд-NT/2000 v.3.0 revision 2. В результате эксплуатации данной версии и по многочисленным просьбам пользователей в этом году появилась новая (4-я) редакция ПАК содержащая много нововведений. На некоторых (наиболее существенных) из них мы и остановимся.

Мандатный механизм разграничения доступа с контролем процессов.

• В новой версии администратор безопасности информации (АБИ) может назначать пользователям возможность понизить гриф процесса при попытке его запуска. При этом на экран будет выведено меню, в котором пользователь сможет указать гриф процесса, или же требуемый гриф процесса можно указать в переменной среды окружения (в этом случае процесс автоматически получит указанный гриф допуска). Это позволяет единожды прописывать в ПРД процесс, с помощью которого пользователь сможет получать доступ к документам (файлам) разной категории, указав гриф непосредственно при запуске процесса. Конечно же, доступ к документам разной категории осуществляется не одновременно.
• При запуске процесса возможно автоматически изменять значение переменных среды окружения, таких как: TEMP, TMP, USERPROFILE и т. д. Это гарантирует, что временные файлы, создаваемые программами при своей работе, будут храниться в каталогах соответствующего грифа доступа.
• Появился механизм, позволяющий автоматически настраивать ПРД для сложных пакетов программного обеспечения. К таким пакетам относятся Microsoft Office 2003/2008, Adоbe Photoshop и т.д. Дело в том, что при работе такие пакеты создают и модифицируют рабочие файлы в одном и том же каталоге. Так как мандатная политика запрещает понижать гриф документов (файлов), значит, невозможна модификация файлов, у которых гриф доступа ниже грифа допуска процесса. Некоторые СЗИ решают данную проблему вводя для ресурса понятие 'Негрифованный', т. е ресурс к которому процессы любого грифа получают полный доступ. Мы считаем, что это совершенно некорректный способ решения проблемы, вводящий принципиальную 'дыру' в защищаемую систему. В Аккорд-NT/2000 v.3.0.4 эта проблема решена следующим образом. Введено понятие 'Общий ресурс'. Для объектов имеющих такой гриф, автоматически создаётся множество объектов разных грифов доступа. При работе процесса, который обращается к объекту с грифом 'Общий ресурс', все операции ввода/вывода автоматически перенаправляются к объекту, имеющему такой же уровень доступа, как и уровень допуска процесса. В результате работы такого механизма, модификация и создание объектов осуществляется только в каталогах соответствующей категории, что гарантирует отсутствие утечки информации.
  

Маркировка и учет документов выводимых на печать.

• Устанавливать документы какого уровня доступа будут маркироваться;
• На каких принтерах маркировка не будет осуществляться;
• Нужно ли печатать гриф документа;
• Нужно ли печатать имя документа;
• Нужно ли печатать дату и время печати;
• Нужно ли печатать имя компьютера и имя пользователя, осуществившего печать документа;
• Нужно ли печатать имя принтера, на который производилась печать;
• Задавать и печатать учётный номер документа;
• Задавать и печатать название автоматизированной системы, из которой производилась печать;
• Задать размер шрифта маркирующих знаков, а также их расположение на листе.

Конечно же, вся информация о печати документов сохраняется в специальном журнале, доступ к которому имеет АБИ.

Разное.

Кратко перечислим другие нововведения:

• Возможность отключения/включения реле при работе спец. процессов;
• Очистка файлов, только начиная с заданного грифа доступа;
• Запрет загрузки компьютера в ‘Безопасном режиме';
• Создание резервной копии базы ПРД с возможностью её восстановления;
• В статическом списке контроля целостности появилось понятие ‘контейнер'. Это каталоги или ключи реестра, в которых контролируется удаление или модификация существующих объектов, а также появление новых объектов;

В заключение стоит сказать, что мы постарались сделать востребованный и хорошо зарекомендовавший себя продукт более простым в администрировании, что позволит службе безопасности информации ещё более продуктивно решать задачи защиты от НСД к ЭВМ и информационным ресурсам. Комплекс прошёл сертификационные испытания по 3-ему классу СЗИ, 2-му классу НДВ и может применяться на объектах информатизации второй категории.

Автор: Макейчик Ю. С.

Дата публикации: 01.01.2008

Библиографическая ссылка: Макейчик Ю. С. Аккорд-NT/2000 V.3.0 REVISION 4. что нового // Комплексная защита информации. Сборник материалов XII Международной конференции (13–16 мая 2008 г., Ярославль (Россия)). М., 2008. С. 134–135.

---