Формирование исчерпывающего набора правил разграничения доступа пользователей к объектам 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Формирование исчерпывающего набора правил разграничения доступа пользователей к объектам



Для каждого сервера, относящегося к информационной системе, определяются поименные перечни пользователей, для которых будут созданы (или уже созданы) учетные записи с соответствующими атрибутами доступа к информации и дополнительными полномочиями.

В соответствии с выбранным способом управления доступом формируются детальные правила разграничения доступа для каждого сервера, каталога и пользователя. Описание правил выполняется на языке выбранной модели управления доступом.

Затем необходимо сформировать единый подход к управлению доступом, по меньшей мере, в рамках основных групп пользователей, для упрощения разграничения доступа каждого пользователя.

Правилами разграничения доступа для групп строго очерчивается круг возможностей, которые имеет каждая группа по отношению к доступному подмножеству ресурсов.

Практическую (экспериментальную) часть курсового проекта следует выполняеть в следующей последовательности.

Разработать структуру ресурсов (каталогов) для заданного количества пользователей АС, приведенных в задании.

Разработать и реализовать таблицу разграничения доступа для пользователей в соответствии с их должностным положением и возможностями прав доступа NTFS к каталогам по их смысловому содержанию. Например, каталог «Общие документы» доступен по чтению для группы «Все сотрудники», каталог «Распоряжения начальника отдела» доступен по чтению для группы «Сотруднтки отдела» и имеет полный доступ для начальника отдела, каталог «Донесения Замначальника отдела» доступен по чтению для начальника отдела, по добавлению для замначальника отдела и недоступен для остальных.

Выполнить с помощью анализатора уязвимостей «Ревизор 2 XP» следующие операции:

1) сканирование ресурсов файловой системы АРМ (введенных каталогов, файлов), доступных пользователю АРМ;

2) автоматическое построение по результатам сканирования структуры объектов доступа, для каждого зарегистрированного пользователя;

3) заполнение таблицы полномочий доступа пользователей к объектам доступа (выполнить вывод на экран и копирование в файл, привести в пояснительной записке).

Выполнить исследование защищенности ресурсов.

«Анализатор уязвимостей «Ревизор 2 XP» - средство автоматизации проверки соответствия полномочий, предоставляемых пользователям системой защиты информации аттестуемой АС по доступу к объектам (ресурсам файловой системы ОС и периферийным устройствам, а также к ресурсам АС), полномочиям пользователей, указанным в модели системы разграничения доступа, разработанной средством моделирования «Анализатор уязвимостей «Ревизор 1 XP».

Выполнить с помощью «Анализатора уязвимостей «Ревизор 2 XP» следующие операции:

1) сравнение данных, полученных сканированием структуры объектов доступа с данными, указанными в описании модели СРД пользователей к объектам доступа;

2) проверку установленных в модели СРД АРМ полномочий пользователей по доступу к объектам доступа на соответствие установленным ПРД.

3) проверку реального предоставления пользователям АРМ системой защиты информации полномочий по доступу к объектам доступа в соответствии с установленными моделью СРД полномочиями.

 

Рисунок 5.1 – Модель таблицы разграничения доступа в программе «Ревизор 2 XP»

Планирование проверки реальных полномочий пользователей по отношению к объектам доступа осуществлять только для созданных каталогов. Для этого из плана исключаются все объекты, кроме созданных, по отношению к которым будут выполнены попытки доступа пользователей.

По результатам проверок формируются соответствующие протоколы аттестационных испытаний в виде текстовых файлов, которые приводятся в пояснительной записке.

Рисунок 5.2 – Соответствие полномочий для сотрудника 1

 

Приложение Б

(обязательное)

 

Закрепление вариантов индивидуальных заданий

На курсовое проектирование

(20ХХ-20ХХ учебный год)

 

Таблица Б.1-Варианты заданий

Номер варианта Содержание индивидуаль-ного задания Фамилия и инициалы руководителя Фамилия и инициалы исполнителя Подпись исполнителя в получении задания
         
  141212 ААА Хализев В.Н.    
  241222 БАБ Хализев В.Н.    
  341213 ВБВ Хализев В.Н.    
  151212 ГАГ Хализев В.Н.    
  251213 ДАА Хализев В.Н.    
  351212 ЕББ Хализев В.Н.    
  321112 ЖВВ Хализев В.Н.    
  131113 ЗАГ Хализев В.Н.    
  2311121 ИБА Хализев В.Н.    
  331131 КВБ Хализев В.Н.    
  141211 ЛАВ Хализев В.Н.    
  242111 МБГ Хализев В.Н.    
  242121 НВА Хализев В.Н.    
  342121 ОАБ Хализев В.Н.    
  152121 ПБВ Хализев В.Н.    
  252121 РВГ Хализев В.Н.    
  352121 САБ Хализев В.Н.    
  142213 ТБВ Хализев В.Н.    
  242213 ГВГ Хализев В.Н.    
  342213 ДАБ Хализев В.Н.    
  152213 АББ Хализев В.Н.    

 

 


Приложение В

Таблица В.1-Характеристика средств разграничения доступа

Характеристика средств защиты информации ПАК Аккорд-NT/2000 Secret Net 6 ПАК «Соболь» Страж NT(версия 3.0) Security Studio ПАК «Росомаха»
Идентификация/аутентификация + + + + + +
Идентификация и аутентификация пользователей + + + + + +
Контроль качества паролей +   +   +  
Контроль            
Контроль целостности файловой системы + + + + + +
Контроль целостности произвольных файлов +   +   + +
Контроль целостности системного реестра + + +   + +
Контроль конфигурации компьютера +   +   + +
Регистрация            
Регистрация входа/выхода пользователей + + + + + +
Регистрация доступа к защищаемым ресурсам + + + + + +
Регистрация документов выдаваемых на принтер + + + + + +
Ручное архивирование журналов + + + + + +
Автоматическое архивирование журналов по расписанию + + + + + +
Управление доступом            
Дискреционное + + + + + +
Мандатное, на основе иерархических меток + + + + + +
Мандатное, на основе неиерархических меток + + + + + +
Шифрование каталогов, файлов + + +   +  
Возможность изменения наименований меток конфиденциальности + + + + + +
Создание замкнутой программной среды пользователя + + +   + +
Управление доступом локальных процессов к файлам + + + + + +
Управление доступом локальных процессов к принтеру + + + + + +
Разграничение доступа к внешним носителям, устройствам + + + + + +
Контроль печати            
Фиксация реквизитов выдаваемых документов + + +   + +
Управление сеансом пользователя            
Контроль за запуском и завершением процессов в ОС + + + + + +
Управление процессом загрузки и выгрузки сеанса пользователя + + +   + +
Автоматическая блокировка рабочей станции при неактивности + + +   + +
Автоматическая реакция при НСД            
Оповещение администратора + + + + + +
Блокировка трафика от узла сети (подсети узла сети) + + + + + +
Запуск на узле сети, являющимся источником инцидента, приложения +          
Завершение работы приложения вызвавшего нарушение безопасности +         +
Администрирование            
Независимость ролей Аудитора и Администратора системы + + +     +
Возможность просмотра файловой системы на контролируемых узлах + + + +    
Возможность просмотра приложений + + +     +
Завершение работы приложения + + +     +
Дополнительно            
Наличие средств тестирования работоспособности СЗИ + + + + + +
Выдача предупреждения при начале сеанса пользователя + + + +   +
Возможность резервирования данных пользователей и правил разграничения доступа + + + +    
Возможность установки временных ограничений на работу пользователей +   + +   +
Гарантированная очистка данных на всех носителях после их удаления +     + +  
Возможность использования групповых политик + + + + + +
Наличие сертификата ФСТЭК + + + + +  
Наличие сертификата Мин. Обороны РФ           +
Наличие сертификата ФСБ     +      

 



Поделиться:


Последнее изменение этой страницы: 2017-02-10; просмотров: 468; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 44.202.128.177 (0.021 с.)