поиск по сайту
Аккорд-NT/2000 v.3.0 revision 4. Что нового.
Макейчик Ю.С., Россия, Москва, ОКБ САПР

Аккорд-NT/2000 v.3.0 revision 4. Что нового.

В 2006 году был разработан и сертифицирован ПАК СЗИ НСД Аккорд-NT/2000 v.3.0, позволяющий разграничить доступ пользователей к локальным станциям/терминалам и к терминальным серверам на основании дискреционной и (или) мандатной политик безопасности. В феврале 2007 года была выпущена и сертифицирована новая версия Аккорд-NT/2000 v.3.0 revision 2. В результате эксплуатации данной версии и по многочисленным просьбам пользователей в этом году появилась новая (4-я) редакция ПАК содержащая много нововведений. На некоторых (наиболее существенных) из них мы и остановимся.

Мандатный механизм разграничения доступа с контролем  процессов.

  • В новой версии администратор безопасности информации (АБИ) может назначать пользователям возможность понизить гриф процесса при попытке его запуска. При этом на экран будет выведено меню, в котором пользователь сможет указать гриф процесса, или же требуемый гриф процесса можно указать в переменной среды окружения (в этом случае процесс автоматически получит указанный гриф допуска). Это позволяет единожды прописывать в ПРД процесс, с помощью которого пользователь сможет получать доступ к документам (файлам) разной категории, указав гриф непосредственно при запуске процесса. Конечно же, доступ к документам разной категории осуществляется не одновременно.
  • При запуске процесса возможно автоматически изменять значение переменных среды окружения, таких как: TEMP, TMP, USERPROFILE и т. д. Это гарантирует, что временные файлы, создаваемые программами при своей работе, будут храниться в каталогах соответствующего грифа доступа.
  • Появился механизм, позволяющий автоматически настраивать ПРД для сложных пакетов программного обеспечения. К таким пакетам относятся Microsoft Office 2003/2008, Adоbe Photoshop и т.д. Дело в том, что при работе такие пакеты создают и модифицируют рабочие файлы в одном и том же каталоге. Так как мандатная политика запрещает понижать гриф документов (файлов), значит, невозможна модификация файлов, у которых гриф доступа ниже грифа допуска процесса. Некоторые СЗИ решают данную проблему вводя для ресурса понятие 'Негрифованный', т. е ресурс к которому процессы любого грифа получают полный доступ. Мы считаем, что это совершенно некорректный способ решения проблемы, вводящий принципиальную 'дыру' в защищаемую систему. В Аккорд-NT/2000 v.3.0.4 эта проблема решена следующим образом. Введено понятие 'Общий ресурс'. Для объектов имеющих такой гриф, автоматически создаётся множество объектов разных грифов доступа. При работе процесса, который обращается к объекту с грифом 'Общий ресурс', все операции ввода/вывода автоматически перенаправляются к объекту, имеющему такой же уровень доступа, как и уровень допуска процесса. В результате работы такого механизма, модификация и создание объектов осуществляется только в каталогах соответствующей категории, что гарантирует отсутствие утечки информации.

Маркировка и учет документов выводимых на печать.

  • Устанавливать документы какого уровня доступа будут маркироваться;
  • На каких принтерах маркировка не будет осуществляться;
  • Нужно ли печатать гриф документа;
  • Нужно ли печатать имя документа;
  • Нужно ли печатать дату и время печати;
  • Нужно ли печатать имя компьютера и имя пользователя, осуществившего печать документа;
  • Нужно ли печатать имя принтера, на который производилась печать;
  • Задавать и печатать учётный номер документа;
  • Задавать и печатать название автоматизированной системы, из которой производилась печать;
  • Задать размер шрифта маркирующих знаков, а также их расположение на листе.

Конечно же, вся информация о печати документов сохраняется в специальном журнале, доступ к которому имеет АБИ.

Разное.

Кратко перечислим другие нововведения:

  • Возможность отключения/включения реле при работе спец. процессов;
  • Очистка файлов, только начиная с заданного грифа доступа;
  • Запрет загрузки компьютера в ‘Безопасном режиме';
  • Создание резервной копии базы ПРД с возможностью её восстановления;
  • В статическом списке контроля целостности появилось понятие ‘контейнер'. Это каталоги или ключи реестра, в которых контролируется удаление или модификация существующих объектов, а также появление новых объектов;

В заключение стоит сказать, что мы постарались сделать востребованный и хорошо зарекомендовавший себя  продукт более простым в администрировании, что позволит службе безопасности информации  ещё более продуктивно решать задачи защиты от НСД к ЭВМ и информационным ресурсам. Комплекс прошёл сертификационные испытания по 3-ему классу СЗИ, 2-му классу НДВ и может применяться на объектах информатизации второй категории.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них