Главная » Linux

Линукс защита от нсд

На чтение 6 мин Просмотров 1 Опубликовано
Содержание
  1. Линукс защита от нсд
  2. Разграничение доступа пользователей в ОС Linux. ПАК СЗИ НСД «Аккорд-X» (1/3)
  3. Общие сведения о комплексе

Линукс защита от нсд

Если у вас возникли вопросы, или появилось предложение, напишите нам

Разграничение доступа пользователей в ОС Linux. ПАК СЗИ НСД «Аккорд-X» (1/3)

Общие сведения о комплексе

В данной лекции мы поговорим о разграничении доступа пользователей в ОС Linux с использованием программно-аппаратного комплекса защиты информации от НСД «Аккорд-X» производства компании ОКБ САПР. Мы рассмотрим его назначение и состав, в том числе состав ядра защиты комплекса и состав программ управления защитными функциями комплекса. Затем поговорим о технических требованиях и организационных мерах, необходимых для применения комплекса, а также о том, на чем основаны защитные функции данного комплекса.

Итак, программно-аппаратный комплекс СЗИ от НСД «Аккорд-X» (далее для краткости будем его называть комплекс «Аккорд-X») предназначен для применения на СВТ, функционирующих под управлением ОС Linux с целью обеспечения защиты от несанкционированного доступа к СВТ и АС на их основе при многопользовательском режиме эксплуатации.

Перечень поддерживаемых операционных систем приведен на слайде. Поддерживаются разные версии, разрядности и версии ядра указанных дистрибутивов Linux.

Комплекс «Аккорд-X» включает в себя программные и аппаратные средства. Схема деления комплекса на составные части представлена на слайде. Комплекс состоит из:

  • программно-аппаратного комплекса СЗИ НСД «Аккорд-АМДЗ», который мы подробно рассматривали на прошлых лекциях. Кратко повторю, что в него входит:
    • одноплатный контроллер, устанавливаемый в свободный слот материнской платы СВТ;
    • съемник информации с контактным устройством, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя;
    • персональные идентификаторы пользователя.
    • программные средства – встраиваемое программное обеспечение;
    • служебные (сервисные) программы комплекса.
    • ядра защиты – программ, реализующих защитные функции комплекса;
    • программ управления защитными функциями комплекса (настройки комплекса в соответствии с ПРД);

    В ядро защиты комплекса входят:

    1. монитор разграничения доступа – МРД (модуль ядра Linux acx-core.ko);
    2. подсистема идентификации и аутентификации (PAM-модули pam_acx_local.so и др.);
    3. подсистема контроля печати (фильтр подсистемы печати Linux CUPS — pstops);
    4. модуль реализации статического контроля целостности объектов ОС (acx-integrity-controller).

    Данные модули выполняют основные функции по защите информации от несанкционированного доступа.

    Остальные модули либо являются вспомогательными и обеспечивают функционирование ядра защиты (например, предотвращают формирование БД неправильного формата), либо представляют собой утилиты для удобной настройки и администрирования комплекса. В частности, к средствам администрирования комплекса «Аккорд-X» относятся следующие программы:

    1. утилита настройки комплекса acx-admin;
    2. утилиты установки ПРД пользователей acx-admin user, acx-admin shadow, acx-admin acl;
    3. утилита работы со списком КЦ acx-admin icl;
    4. утилита работы с журналами регистрации событий acx-admin log.

    Указанные средства не входят в ядро защиты комплекса и сами не осуществляют никаких защитных механизмов. Строго говоря, реализация всех указанных функций защиты может осуществляться и без этих средств.

    Для установки комплекса «Аккорд-X» требуется следующий минимальный состав технических и программных средств:

    • СВТ с архитектурой x86, x86_64
    • установленная на СВТ операционная система Linux из перечня поддерживаемых ОС;
    • наличие USB-разъема (в случае использования в качестве идентификатора устройства с USB-интерфейсом или устройств, использующих USB-интерфейс для подключения их считывателей)
    • наличие считывателя смарт-карт (в случае использования смарт-карт в качестве идентификатора);
    • наличие соответствующего свободного слота на материнской плате СВТ для установки контроллера комплекса «Аккорд-АМДЗ» (в зависимости от типа специализированного контроллера).

    При применении комплекса следует помнить, что количество пользователей, регистрируемых на одной СВТ, ограничено объемом энергонезависимой памяти контроллеров «Аккорд-АМДЗ» (подробности этого вопроса мы рассматривали на предыдущих лекциях).

    Теперь рассмотрим организационные меры, необходимые для применения комплекса.

    Для эффективного применения комплекса и для того чтобы поддерживать необходимый уровень защищенности СВТ и информационных ресурсов АС необходимы:

    • наличие администратора безопасности информации (супервизора). Это привилегированный пользователь, имеющий особый статус и абсолютные полномочия. Администратор БИ планирует защиту информации на предприятии, определяет права доступа пользователям в соответствии с утвержденным Планом защиты, организует установку комплекса в СВТ, эксплуатацию и контроль за правильным использованием СВТ с внедренным комплексом «Аккорд», в том числе, учет выданных Идентификаторов, осуществляет периодическое тестирование средств защиты комплекса. Более подробно обязанности администратора БИ по применению комплекса можно прочитать в методических материалах к лекции – «Руководстве администратора».
    • разработка и ведение учетной и объектовой документации (инструкция администратора, инструкции пользователей, журнал учета идентификаторов и отчуждаемых носителей пользователей и др.). Все разработанные учетные и объектовые документы должны быть согласованы, утверждены у руководства и доведены до сотрудников (пользователей). Это необходимо для того, чтобы План защиты организации (предприятия, фирмы и т.д.) и действия Администратора БИ получили юридическую основу;
    • физическая охрана СВТ и его средств, в том числе проведение мероприятий по недопущению изъятия контроллера комплекса;
    • использование в СВТ технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в государственной системе защиты информации (ГСЗИ);
    • периодическое тестирование средств защиты комплекса.

    Теперь поговорим о том, на основе чего реализуются основные защитные функции комплекса.

    Функции защиты комплекса реализуются на основе:

    1. применения персональных идентификаторов пользователей;
    2. применения парольного механизма;
    3. блокировки загрузки операционной системы со съемных носителей информации;
    4. контроля целостности технических средств и программных средств и компонентов (файлов общего, прикладного ПО и данных) СВТ (или АС);
    5. обеспечения режима доверенной загрузки установленных в СВТ операционных систем, использующих любую из файловых систем, поддерживаемых «Аккорд-АМДЗ»;
    6. разграничения доступа к ресурсам СВТ, в том числе, к внешним устройствам, в соответствии с ПРД, установленными администратором безопасности информации, атрибутами доступа и уровнем доступа пользователя;
    7. реализации дискреционного механизма и механизма разграничения доступа на основе иерархических меток и обеспечения управления потоками информации. При этом исключается возможность ее несанкционированного переноса из объектов с меньшим уровнем конфиденциальности в объекты с большим уровнем;
    8. контроля целостности критичных с точки зрения информационной безопасности программ и данных (дисциплины защиты от несанкционированных модификаций). В программной части СЗИ НСД возможна проверка целостности программ и данных по индивидуальному списку для пользователя. Подсистема контроля целостности предусматривает как статический список (проверка выполняется однократно в начале сеанса), так и динамический список, проверка по которому выполняется перед каждой загрузкой контролируемого файла в оперативную память;
    9. создания изолированной программной среды, исключающей внедрение в систему вредоносных или неразрешенных Администратором БИ программ;
    10. очистки оперативной памяти и памяти на внешних носителях;
    11. контроля печати, который позволяет контролировать процессы, документы, принтеры и автоматически маркировать распечатываемые листы специальными пометками, грифами и т.д.;
    12. управления процедурами ввода/вывода на отчуждаемые носители информации;
    13. механизма регистрации действий пользователей в системном журнале, доступ к которому предоставляется только Администратору БИ.

    Итак, в данной лекции мы поговорили о назначении, составе комплекса разграничения доступа «Аккорд-X», рассмотрели технические требования и организационные меры, необходимые для применения этого комплекса и особенности его защитных функций. На следующей лекции мы поговорим о настройке комплекса.

    Спасибо за внимание, до встречи на следующей лекции!

    Источник

    Читайте также:  Связка ключей linux браузер
Оцените статью
© 2023 Posetke
Adblock
detector