Комплекс сзи нсд аккорд nt 2000
Обновлено: 27.12.2024
В связи с существенным увеличением производительности компьютеров всё более популярным становится использование операционных систем, базирующихся на технологии Windows NT. Эта технология давно зарекомендовала себя как более надёжная, отказоустойчивая и защищённая, в отличие от потребительских версий Windows (Windows 95 - Windows Millennium).
Тем не менее, у операционных систем семейства Windows NT есть некоторые недостатки с точки зрения безопасности:
- возможность загрузки со съёмных носителей информации (дискеты, CD-ROM, ZIP-драйвы и др.); это может повлечь несанкционированный доступ к конфиденциальным данным или привнесение вредоносных закладок;
- система разграничения доступа работает только на файловой системе NTFS, т. е. если на рабочей станции загружается несколько операционных систем (например, Windows 98 и Windows 2000), то доступ к дискам (файлам) Windows 98 может получить любой пользователь;
- достаточно трудное администрирование подсистемы безопасности, особенно для пользователей ранее работавших с серией Windows 9x/Me.
Для устранения вышеуказанных недостатков ОКБ САПР разработало СЗИ программно-аппаратный комплекс Accord V2.0 для Windows NT/2000 (далее Accord NT). Данный комплекс состоит из контроллера АМДЗ (с функциями электронного замка) и ПО разграничения доступа. Accord NT функционирует под управлением операционных систем Windows NT, Windows 2000 и Windows XP.
Защитные функции аппаратного контроллера АМДЗ:
- идентификация и аутентификация пользователей до загрузки операционной системы с использованием индивидуального некопируемого электронного идентификатора (touch-memory, smart card);
- проверка целостности аппаратуры, системных областей жесткого диска, файлов, ключей реестра, и дальнейшая загрузка ОС (только после успешного прохождения этой проверки);
- работа с файловььми системами FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD, Ext2fs;
- ведение журнала (в памяти контроллера), отражающего весь процесс процедур идентификации/аутентификации пользователя и нарушений контроля целостности;
- создание расписания работы пользователей на неделю с точностью в 30 минут;
- возможность физической блокировки двух устройств;
- блокировка загрузки со съёмных носителей информации для обычных пользователей.
Защитные функции ПО разграничения доступа реализуются применением:
- дисциплины защиты от НСД к ПЭВМ, включая идентификацию пользователя по уникальному ТМ-идентификатору и аутентификацию с учётом необходимой длины пароля и времени его жизни, ограничением доступа субъекта к компьютеру;
- процедур блокирования экрана и клавиатуры в случаях, в которых могут реализовываться угрозы информационной безопасности, разблокировка возможна только с помощью ТМ-идентификатора пользователя;
- дисциплины разграничения доступа к ресурсам ПЭВМ с применением дискреционной и (или) мандатной политик безопасности;
- возможности разграничения доступа для локальных и сетевых дисков, каталогов, файлов, контроля обращения к реестру и драйверам устройств;
- функционально-полной структуры следующих атрибутов доступа к объекту:
R - разрешение на открытие файлов только для чтения;
W - разрешение на открытие файлов для записи;
С - разрешение на создание файлов на диске;
D - разрешение на удаление файлов;
N - разрешение на переименование файлов;
V - видимость файлов;
О - эмуляция разрешения на запись информации в файл;
М - создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут);
Е - удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут);
G - разрешение перехода в этот каталог;
n - переименование каталога;
X - разрешение на запуск программ;
r - регистрируются все операции чтения файлов из этого каталога в журнале;
w - регистрируются все операции записи файлов из этого каталога в журнале;
Здесь стоит отметить, что применение единого интерфейса администрирования, а также одинаковых правил разграничения доступа для Windows 9x/Me и Windows NT-ХР существенно упрощает процедуру настройки комплекса и создания единой политики безопасности защиты (особенно для администраторов, ранее использовавших Accord для семейства Windows 9х).
Использование функций синхронизации баз данных, позволяет создавать и/или редактировать записи пользователей и назначать им правила разграничения доступа, используя только одну программу. Далее база автоматически синхронизируются с базой пользователей АМДЗ и учётными записями пользователей Windows NT. Ведение детального журнала работы пользователей и применение развитых средств просмотра и анализа журналов, позволяют быстро проанализировать обращение пользователя (его программ) к ресурсам ПЭВМ, а так же проанализировать попытки НСД. Использование процедур удалённого управления и администрирования позволяет с рабочего места администратора безопасности информации управлять рабочими станциями, а также администрировать пользователей на рабочих станциях.
В целом можно сказать, что "Аккорд V2.0 для Windows NT/2000" - это чрезвычайно эффективный сертифицированный комплекс технических и программных средств. Его использование позволяет надёжно защитить информацию как на выделенном компьютере, так и на компьютере, входящем в домен Windows NT/2000.
1. Конявский В.А. Управление защитой информации на базе СЗИ НСД "Аккорд". - М.: Радио и связь, 1999, - 325 с.
2. Проект документа "Концепция защиты общих информационных ресурсов и информационно-телекоммуникационной инфраструктуры Союзного государства". ГНИИИ ПТЗИ Гостехкомиссии России, 2002.
3. Проект документа "Специальные требования и рекомендации по защите информации в помещениях и технических средствах". ГНИИИПТЗИ Гостехкомиссии России, 2002.
Автор: Макейчик Ю. С.
Дата публикации: 01.01.2003
Библиографическая ссылка: Макейчик Ю. С. Об изделии «Аккорд v2.0 для Windows NT/2000» // Комплексная защита информации. 25–27 февраля 2003 года, Раубичи. Минск, 2003. С. 114–115.
Читайте также: