Об изделии "Аккорд v2.0 для Windows NT/2000"

В связи с существенным увеличением производительности компьютеров всё более популярным становится использование операционных систем, базирующихся на технологии Windows NT. Эта технология давно зарекомендовала себя как более надёжная, отказоустойчивая и защищённая, в отличие от потребительских версий Windows (Windows 95 - Windows Millennium).

Тем не менее, у операционных систем семейства Windows NT есть некоторые недостатки с точки зрения безопасности:

• возможность загрузки со съёмных носителей информации (дискеты, CD-ROM, ZIP-драйвы и др.); это может повлечь несанкционированный доступ к конфиденциальным данным или привнесение вредоносных закладок;
• система разграничения доступа работает только на файловой системе NTFS, т. е. если на рабочей станции загружается несколько операционных систем (например, Windows 98 и Windows 2000), то доступ к дискам (файлам) Windows 98 может получить любой пользователь;
• достаточно трудное администрирование подсистемы безопасности, особенно для пользователей ранее работавших с серией Windows 9x/Me.

Для устранения вышеуказанных недостатков ОКБ САПР разработало СЗИ программно-аппаратный комплекс Accord V2.0 для Windows NT/2000 (далее Accord NT). Данный комплекс состоит из контроллера АМДЗ (с функциями электронного замка) и ПО разграничения доступа. Accord NT функционирует под управлением операционных систем Windows NT, Windows 2000 и Windows XP.

Защитные функции аппаратного контроллера АМДЗ:

• идентификация и аутентификация пользователей до загрузки операционной системы с использованием индивидуального некопируемого электронного идентификатора (touch-memory, smart card);
• проверка целостности аппаратуры, системных областей жесткого диска, файлов, ключей реестра, и дальнейшая загрузка ОС (только после успешного прохождения этой проверки);
• работа с файловььми системами FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD, Ext2fs;
• ведение журнала (в памяти контроллера), отражающего весь процесс процедур идентификации/аутентификации пользователя и нарушений контроля целостности;
• создание расписания работы пользователей на неделю с точностью в 30 минут;
• возможность физической блокировки двух устройств;
• блокировка загрузки со съёмных носителей информации для обычных пользователей.

Защитные функции ПО разграничения доступа реализуются применением:

• дисциплины защиты от НСД к ПЭВМ, включая идентификацию пользователя по уникальному ТМ-идентификатору и аутентификацию с учётом необходимой длины пароля и времени его жизни, ограничением доступа субъекта к компьютеру;
• процедур блокирования экрана и клавиатуры в случаях, в которых могут реализовываться угрозы информационной безопасности, разблокировка возможна только с помощью ТМ-идентификатора пользователя;
• дисциплины разграничения доступа к ресурсам ПЭВМ с применением дискреционной и (или) мандатной политик безопасности;
• возможности разграничения доступа для локальных и сетевых дисков, каталогов, файлов, контроля обращения к реестру и драйверам устройств;
• функционально-полной структуры следующих атрибутов доступа к объекту:

  R - разрешение на открытие файлов только для чтения;

  W - разрешение на открытие файлов для записи;

  С - разрешение на создание файлов на диске;

  D - разрешение на удаление файлов;

  N - разрешение на переименование файлов;

  V - видимость файлов;

  О - эмуляция разрешения на запись информации в файл;

  М - создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут);

  Е - удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут);

  G - разрешение перехода в этот каталог;

  n - переименование каталога;

  X - разрешение на запуск программ;

  r - регистрируются все операции чтения файлов из этого каталога в журнале;

  w - регистрируются все операции записи файлов из этого каталога в журнале;

• контроля целостности критичных, с точки зрения информационной безопасности, программ и данных (дисциплины защиты от несанкционированных модификаций), в том числе файлов операционной системы;
• динамического контроля целостности процессов (задач) в оперативной памяти ПЭВМ (тем самым обеспечивается защита от программных вирусов и закладок);
• автоматической идентификации в системе Windows NT пользователей, прошедших проверку в АМДЗ; при таком подходе исключается процедура двойной идентификации пользователей и загрузка Windows под именем пользователя, отличным от имени прошедшего идентификацию в АМДЗ;
• ведением подробного журнала работы пользователя во время всего сеанса функционирования ОС.

Здесь стоит отметить, что применение единого интерфейса администрирования, а также одинаковых правил разграничения доступа для Windows 9x/Me и Windows NT-ХР существенно упрощает процедуру настройки комплекса и создания единой политики безопасности защиты (особенно для администраторов, ранее использовавших Accord для семейства Windows 9х).

Использование функций синхронизации баз данных, позволяет создавать и/или редактировать записи пользователей и назначать им правила разграничения доступа, используя только одну программу. Далее база автоматически синхронизируются с базой пользователей АМДЗ и учётными записями пользователей Windows NT. Ведение детального журнала работы пользователей и применение развитых средств просмотра и анализа журналов, позволяют быстро проанализировать обращение пользователя (его программ) к ресурсам ПЭВМ, а так же проанализировать попытки НСД. Использование процедур удалённого управления и администрирования позволяет с рабочего места администратора безопасности информации управлять рабочими станциями, а также администрировать пользователей на рабочих станциях.

В целом можно сказать, что "Аккорд V2.0 для Windows NT/2000" - это чрезвычайно эффективный сертифицированный комплекс технических и программных средств. Его использование позволяет надёжно защитить информацию как на выделенном компьютере, так и на компьютере, входящем в домен Windows NT/2000.

Литература

1. Конявский В.А. Управление защитой информации на базе СЗИ НСД "Аккорд". - М.: Радио и связь, 1999, - 325 с.

2. Проект документа "Концепция защиты общих информационных ресурсов и информационно-телекоммуникационной инфраструктуры Союзного государства". ГНИИИ ПТЗИ Гостехкомиссии России, 2002.

3. Проект документа "Специальные требования и рекомендации по защите информации в помещениях и технических средствах". ГНИИИПТЗИ Гостехкомиссии России, 2002.

Автор: Макейчик Ю. С.

Дата публикации: 01.01.2003

Библиографическая ссылка: Макейчик Ю. С. Об изделии «Аккорд v2.0 для Windows NT/2000» // Комплексная защита информации. 25–27 февраля 2003 года, Раубичи. Минск, 2003. С. 114–115.

---