Механизмы системы защиты Страж NT

#1 2022.03.16 12:17:10

0

В СЗИ «Страж NT» реализована смешанная разрешительно-запретительная модель защиты информации с жестким администрированием. Система защиты представляет собой совокупность следующих основных подсистем:
• идентификации и аутентификации;
• разграничения доступа;
• контроля потоков информации;
• управление запуском программ;
• управления защитой;
• регистрации событий;
• маркировки документов;
• контроля целостности;
• стирания памяти;
• учета носителей информации;
• преобразования информации на отчуждаемых носителях;
• контроля устройств;
• тестирования системы защиты.

Подсистема идентификации и аутентификации обеспечивает опознание пользователей при входе в компьютер по персональному идентификатору и подтверждение подлинности путем запроса с клавиатуры личного пароля. Данная подсистема также обеспечивает блокировку экрана компьютера и идентификацию пользователя после такой блокировки.

Подсистема разграничения доступа реализует дискреционный и мандатный принципы контроля доступа пользователей к защищаемым ресурсам. Функционирование данной подсистемы основано на присвоении защищаемым объектам атрибутов защиты. К атрибутам защиты ресурса, имеющим отношение к разграничению доступа, относятся:
• идентификатор безопасности владельца ресурса;
• список контроля доступа;
• режим запуска (для исполняемых файлов);
• метка конфиденциальности (гриф для неисполняемого файла или допуск для исполняемого файла).

Дискреционный принцип основан на сопоставлении полномочий пользователей и списков контроля доступа ресурсов (логических дисков, папок, файлов, принтеров).

Мандатный принцип контроля доступа реализован путем сопоставления при запросе на доступ к ресурсу меток конфиденциальности пользователя, прикладной программы и защищаемого ресурса.

Подсистема контроля потоков информации предназначена для управления операциями над ресурсами, имеющими различные метки конфиденциальности.

Подсистема запуска программ предназначена для обеспечения целостности и замкнутости программной среды и реализована путем разрешения для исполняемых файлов режима запуска. Если режим запуска программы не разрешен, то файл не является исполняемым и не может быть запущен пользователем ни при каких условиях.

Подсистема управления защитой включает в себя следующие программы администрирования системы защиты:

Img


Подсистема регистрации обеспечивает регистрацию запросов на доступ к ресурсам компьютера и возможность выборочного ознакомления с регистрационной информацией и ее распечатки.

Подсистема маркировки документов обеспечивает автоматическое проставление учетных признаков в документах, выдаваемых на печать, а также регистрации фактов печати документов.

Подсистема контроля целостности предназначена для настройки и периодической проверки параметров целостности системы защиты, программного обеспечения и постоянных информационных массивов.

Подсистема стирания памяти реализует механизм заполнения нулями выделяемых программам областей оперативной памяти и стирания файлов на диске по команде удаления. В рамках данной подсистемы также реализовано стирание файла подкачки страниц по завершении сеанса работы.

Подсистема учета носителей информации позволяет управлять доступом к носителям информации в соответствии с разрешениями и параметрами, прописанными в журнале учета носителей.

Подсистема преобразования информации на отчуждаемых носителях позволяет включить дополнительную защиту для съемных носителей с помощью режима прозрачного преобразования всей информации на носителе.

Подсистема контроля устройств позволяет формировать необходимую конфигурацию устройств для пользователей в соответствии с установленными разрешениями.

Подсистема тестирования системы защиты предназначена для комплексного тестирования основных механизмов системы защиты, как на локальном компьютере, так и на удаленном, с использованием локальной вычислительной сети.
Отредактировано: Panda 2022.03.16 12:17:29