RU2443017C1 - System of data protection from unauthorized access to the data that constitutes national security information - Google Patents
System of data protection from unauthorized access to the data that constitutes national security information Download PDFInfo
- Publication number
- RU2443017C1 RU2443017C1 RU2010131860/08A RU2010131860A RU2443017C1 RU 2443017 C1 RU2443017 C1 RU 2443017C1 RU 2010131860/08 A RU2010131860/08 A RU 2010131860/08A RU 2010131860 A RU2010131860 A RU 2010131860A RU 2443017 C1 RU2443017 C1 RU 2443017C1
- Authority
- RU
- Russia
- Prior art keywords
- security
- information
- control
- user
- access
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
Изобретение относится к защите от несанкционированного доступа к информации, хранимой как на локальных компьютерах (автоматизированных рабочих местах пользователей или функциональных серверах), так и в вычислительной сети в целом, и может быть использовано в автоматизированных системах обработки информации, содержащей сведения, составляющие государственную тайну.The invention relates to protection against unauthorized access to information stored both on local computers (automated workstations of users or functional servers) and on the computer network as a whole, and can be used in automated information processing systems containing information constituting a state secret.
Современные автоматизированные системы создают на базе вычислительной сети, в которой все компьютеры домена - автоматизированные рабочие места пользователей, функциональные серверы и сервер-контроллер домена - соединены друг с другом по сетевой магистрали.Modern automated systems are created on the basis of a computer network in which all domain computers — user workstations, functional servers, and a domain controller server — are connected to each other via a network backbone.
Для комплексной защиты информации, содержащей сведения, составляющие государственную тайну, в автоматизированных системах необходимо обеспечить безопасность информации, хранящейся как на каждом локальном компьютере (автоматизированном рабочем месте пользователя или функциональном сервере), так и в вычислительной сети в целом.For the comprehensive protection of information containing information constituting a state secret in automated systems, it is necessary to ensure the security of information stored both on each local computer (user's automated workstation or functional server) and on the computer network as a whole.
Безопасность информации, содержащей сведения, составляющие государственную тайну, обеспечивают путем санкционированного доступа каждого пользователя в автоматизированной системе к разрешенным локальным и/или сетевым ресурсам - файлам, дискам, приложениям, принтерам.The security of information containing information constituting a state secret is ensured by authorized access of each user in an automated system to authorized local and / or network resources - files, disks, applications, printers.
Известно устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, содержащее систему защиты информации пользователя от несанкционированного доступа, которая подключена к шине управления и обмена данными одного локального компьютера (автоматизированного рабочего места пользователя) [1].A device for protecting against unauthorized access to information stored in a personal computer, containing a system for protecting user information from unauthorized access, which is connected to the control bus and data exchange of one local computer (user's workstation) [1].
Известное устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, обеспечивает защиту от несанкционированного доступа к локальным ресурсам автоматизированной системы путем выполнения идентификации и аутентификации пользователей, реализующих проверку их идентификационных данных и наличия прав доступа к персональной ЭВМ (автоматизированному рабочему месту пользователя).The known device for protecting against unauthorized access to information stored in a personal computer provides protection against unauthorized access to local resources of an automated system by performing identification and authentication of users realizing verification of their identification data and the availability of access rights to a personal computer (user's workstation).
Идентификацию и аутентификацию осуществляют при каждом входе пользователя в систему. Для этого при включении или перезагрузке персональной ЭВМ программа расширения BIOS из состава программного обеспечения устройства защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, перехватывает управление начальной загрузкой персональной ЭВМ и осуществляет идентификацию пользователя путем считывания с внешнего носителя информации имени (регистрационного номера) пользователя и сверки его с контрольной информацией, записанной заранее в регистрационные файлы и определяющей права доступа каждого пользователя к ресурсам персональной ЭВМ.Identification and authentication is carried out at each user login. To do this, when you turn on or restart the personal computer, the BIOS expansion program from the software for protecting against unauthorized access to information stored in the personal computer intercepts the boot control of the personal computer and authenticates the user by reading the user’s name (registration number) from an external storage medium and reconciling it with the control information recorded in advance in the registration files and determining the access rights of each user Vatel to a personal computer resources.
Затем указанная программа расширения BIOS осуществляет аутентификацию пользователя путем сверки введенного пользователем с клавиатуры персональной ЭВМ пароля с контрольной информацией, записанной заранее в регистрационные файлы, и осуществляет проверку целостности контролируемых объектов (файлов и/или загрузочных секторов жесткого диска) для данного пользователя.Then, the specified BIOS expansion program authenticates the user by checking the password entered by the user from the keyboard of the personal computer with the control information recorded in advance in the registration files, and checks the integrity of the monitored objects (files and / or boot sectors of the hard disk) for this user.
После этого программа расширения BIOS передает управление штатным программно-аппаратным средствам персональной ЭВМ для завершения загрузки BIOS, загрузки операционной системы с жесткого диска персональной ЭВМ и выполнения модифицированных системных файлов CONFIG.SYS и AUTOEXEC.BAT, в результате выполнения которых запускается резидентный программный модуль из состава программного обеспечения устройства защиты от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, хранимой в персональной ЭВМ, контролирующий права пользователя на запуск различных программ в соответствии с регистрационными данными пользователя, записанными на жесткий диск персональной ЭВМ, и стартовая для данного пользователя программа.After that, the BIOS expansion program transfers control to the standard firmware of the personal computer to complete the BIOS boot, load the operating system from the hard disk of the personal computer, and execute the modified system files CONFIG.SYS and AUTOEXEC.BAT, as a result of which the resident program module from software protection against unauthorized access to information containing information constituting a state secret stored in a personal computer, oliruyuschy user rights to run a variety of programs in accordance with the registration user data recorded on the hard drive of a personal computer, and starting for the user program.
Однако известное устройство защиты от несанкционированного доступа к информации, хранимой в персональной ЭВМ, не обеспечивает защиту от несанкционированного доступа к сетевым ресурсам автоматизированной системы.However, the known device for protecting against unauthorized access to information stored in a personal computer does not provide protection against unauthorized access to network resources of an automated system.
Наиболее близкой к предлагаемой является система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержащая множество систем защиты информации пользователя от несанкционированного доступа, каждая из которых подключена к шине управления и обмена данными одного из множества автоматизированных рабочих мест пользователей или функциональных серверов в компьютерной сети, которые соединены друг с другом и с сервером-контроллером домена по сетевой магистрали [2].Closest to the proposed is a system for protecting information from unauthorized access to information containing information constituting a state secret, containing many systems for protecting user information from unauthorized access, each of which is connected to the control and data exchange bus of one of the many automated workstations of users or functional servers in a computer network that are connected to each other and to the server-domain controller on a network backbone [2].
Известная система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, в автоматизированной системе реализуется программно при установке на компьютеры домена (автоматизированные рабочие места пользователей или функциональные серверы в вычислительной сети) базовой операционной системы Windows XP Professional, а на сервер-контроллер домена - базовой операционной системы Windows 2000 Server или выше.The well-known system for protecting information from unauthorized access to information containing information constituting a state secret in the automated system is implemented programmatically when installing on the domain computers (user workstations or functional servers in the computer network) the base operating system Windows XP Professional, and on the server domain controller - the base operating system of Windows 2000 Server or higher.
Известная система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, обеспечивает защиту от несанкционированного доступа к сетевым ресурсам автоматизированной системы путем выполнения аутентификации и авторизации пользователей.The well-known system for protecting information from unauthorized access to information containing information constituting a state secret provides protection against unauthorized access to network resources of an automated system by performing authentication and authorization of users.
При аутентификации пользователь может войти в автоматизированную систему со своего автоматизированного рабочего места (клиентского компьютера) по своему имени и единому паролю или смарт-карте и получить доступ к другим компьютерам домена (автоматизированным рабочим местам пользователей или функциональным серверам) и всем сетевым ресурсам.During authentication, a user can enter the automated system from his workstation (client computer) using his name and a single password or smart card and gain access to other domain computers (workstations of users or functional servers) and all network resources.
Используя базовые операционные системы в вычислительной сети с активным каталогом (Active Directory), можно управлять безопасностью информации с помощью параметров политики групп.Using the base operating systems in a computer network with an active directory (Active Directory), you can control the security of information using the group policy settings.
При авторизации пользователей применение списков управления доступом (access control list, ACL) и прав доступа NTFS гарантирует, что пользователь получит доступ только к разрешенным ему ресурсам, например файлам, дискам (в том числе сетевым), приложениям, принтерам.When authorizing users, the use of access control lists (ACLs) and NTFS access rights ensures that the user only gets access to resources that are allowed to him, such as files, disks (including network drives), applications, and printers.
Известная система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, с помощью групп безопасности, прав пользователей и прав доступа позволяет одновременно управлять безопасностью информации как на уровне сетевых ресурсов, так и на уровне файлов, папок и прав отдельных пользователей.The well-known system for protecting information from unauthorized access to information containing state secret information using security groups, user rights and access rights allows you to simultaneously manage information security both at the level of network resources and at the level of files, folders and individual user rights.
Однако известная система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, обеспечивает защиту от несанкционированного доступа к сетевым ресурсам автоматизированной системы лишь на основе использования дискреционных правил разграничения доступа.However, the well-known system for protecting information from unauthorized access to information containing information constituting a state secret provides protection against unauthorized access to network resources of an automated system only through the use of discretionary rules for distinguishing access.
Технический результат состоит в повышении защищенности информации, содержащей сведения, составляющие государственную тайну, от несанкционированного доступа в автоматизированной системе на основе совместного использования дискреционных и мандатных правил разграничения доступа.The technical result consists in increasing the security of information containing information constituting a state secret from unauthorized access in an automated system based on the joint use of discretionary and mandatory rules for restricting access.
Для достижения указанного технического результата в систему защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержащую множество систем защиты информации пользователя от несанкционированного доступа, каждая из которых подключена к шине управления и обмена данными одного из множества автоматизированных рабочих мест пользователей или функциональных серверов в компьютерной сети, которые соединены друг с другом и с сервером-контроллером домена по сетевой магистрали, введены сервер безопасности и база данных безопасности, которые подключены к шине управления и обмена данными сервера-контроллера домена, а так же по крайней мере одно автоматизированное рабочее место администратора безопасности информации и подключенную к его шине управления и обмена данными систему защиты информации администратора от несанкционированного доступа, каждая система защиты информации пользователя от несанкционированного доступа содержит агент безопасности и систему разграничения доступа пользователя, соединенные с шиной управления и обмена данными соответствующего автоматизированного рабочего места пользователя или функционального сервера, а система защиты информации администратора от несанкционированного доступа содержит агент-администратор безопасности и систему разграничения доступа администратора безопасности, соединенные с шиной управления и обмена данными соответствующего автоматизированного рабочего места администратора безопасности информации, при этом автоматизированные рабочие места и функциональные серверы, сервер-контроллер домена и автоматизированное рабочее место администратора безопасности информации содержат установленные на них аппаратно-программные модули доверенной загрузки, устройства криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства криптографической защиты информации, передаваемой по протоколу IP, которые подключены к шинам управления и обмена данными соответствующих автоматизированных рабочих мест и функциональных серверов, сервер-контроллера домена и автоматизированного рабочего места администратора безопасности, все устройства криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства криптографической защиты информации, передаваемой по протоколу IP, соединены друг с другом по сетевой магистрали, причем по крайней мере одно автоматизированное рабочее место содержит установленные на него и подключенные к его шине управления и обмена данными аппаратно-программный модуль доверенной загрузки, осуществляющий шифрование носителей информации, подключаемых по интерфейсу USB, и аппаратно-программный модуль доверенной загрузки, вырабатывающий и проверяющий электронную цифровую подпись.To achieve the specified technical result, a system for protecting information from unauthorized access to information containing state secret information containing many systems for protecting user information from unauthorized access, each of which is connected to the control and data exchange bus of one of the many automated workstations of users or functional servers in a computer network that are connected to each other and to a domain controller server via a network master In addition, a security server and a security database have been introduced, which are connected to the control and data exchange bus of the domain controller server, as well as at least one workstation of the information security administrator and the system of protecting the administrator information from the information management and data exchange bus unauthorized access, each system of protecting user information from unauthorized access contains a security agent and a system for restricting user access, connected connected to the control bus and data exchange of the corresponding workstation of the user or functional server, and the system for protecting administrator information from unauthorized access contains a security administrator-agent and a security administrator access control system connected to the control bus and data exchange of the corresponding workstation of the information security administrator while automated workstations and functional servers, server-con the domain scooter and the workstation of the information security administrator contain the hardware-software modules of trusted download installed on them, devices for cryptographic protection of information transmitted over a local area network via Ethernet, and devices for cryptographic protection of information transmitted over IP, which are connected to control buses and data exchange of relevant workstations and functional servers, domain controller server and automata of the security administrator’s workstation, all cryptographic protection devices for information transmitted over the local area network via Ethernet, and cryptographic protection devices for information transmitted over IP, are connected to each other via a network backbone, and at least one automated workstation contains installed on it and the hardware-software module of trusted loading connected to its bus for control and data exchange, encrypting storage media Connected via the USB interface, and hardware-software module trusted boot generating and checking digital signatures.
Предлагаемая система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, обеспечивает защиту информации в автоматизированной системе на уровне операционной системы, на сетевом уровне и на уровне приложений путем выполнения идентификации и аутентификации пользователей и устройств, реализации как дискреционных, так и мандатных правил разграничения доступа, регистрации событий защиты (аудит), контроля целостности программных файлов и данных, защиты от ввода/вывода на отчуждаемый носитель, а также обеспечения работы в замкнутой программной среде, что и обеспечивает положительный технический результат - повышение защищенности информации, содержащей сведения, составляющие государственную тайну, от несанкционированного доступа на основе совместного использования дискреционных и мандатных правил разграничения доступа.The proposed system for protecting information from unauthorized access to information containing information constituting a state secret provides information protection in an automated system at the operating system, network and application levels by identifying and authenticating users and devices, implementing both discretionary and credential rules for access control, registration of protection events (audit), integrity control of program files and data, protection against input / output and alienated media, as well as providing work in closed software environment that provides a positive technical result - increasing information security containing information constituting state secrets, from unauthorized access on the basis of sharing and discretionary mandates, rules of access control.
На фиг.1 представлена структурная схема системы защиты информации от не санкционированного доступа к информации, содержащей сведения, составляющие государственную тайну.Figure 1 presents a structural diagram of a system for protecting information from unauthorized access to information containing information constituting a state secret.
Система защиты информации от не санкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержит множество систем 1 защиты информации пользователя от не санкционированного доступа, множество имеющих шину 2 управления и обмена данными автоматизированных рабочих мест 3 и функциональных серверов 4 в компьютерной сети, которые соединены друг с другом по сетевой магистрали 5, к которой подключен сервер-контроллер 6 домена, а так же сервер 7 безопасности и базу 8 данных сервера безопасности, которые подключены к шине 9 управления и обмена данными сервера-контроллера 6 домена.The system for protecting information from unauthorized access to information containing state secret information contains many systems 1 for protecting user information from unauthorized access, many having workstations 3 for managing and exchanging data for workstations 3 and functional servers 4 in a computer network, which connected to each other via a network highway 5, to which a server-controller 6 of the domain is connected, as well as a security server 7 and a security server database 8, which are lyucheny bus exchange control 9 and a domain controller server 6 data.
Кроме того, система защиты информации от не санкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержит по крайней мере одно подключенное к сетевой магистрали 5 автоматизированное рабочее место 10 администратора безопасности информации, имеющее внутреннюю шину 11 управления и обмена данными, и по крайней мере одну систему 12 защиты информации администратора.In addition, the system for protecting information from unauthorized access to information containing information constituting a state secret contains at least one automated workstation 10 of the information security administrator having an internal bus 11 for managing and exchanging data connected to the network backbone 5, and at least at least one administrator information protection system 12.
Каждая система 1 защиты информации пользователя от не санкционированного доступа содержит агент 13 безопасности и систему 14 разграничения доступа пользователя, соединенные с шиной 2 управления и обмена данными соответствующего автоматизированного рабочего места 1 или функционального сервера 4, а система 12 защиты информации администратора от не санкционированного доступа содержит агент-администратор 15 безопасности и систему 16 разграничения доступа администратора безопасности, соединенные с шиной 11 управления и обмена данными соответствующего автоматизированного рабочего места 10 администратора безопасности информации.Each system 1 for protecting user information from unauthorized access contains a security agent 13 and a user access control system 14 connected to the control and communication bus 2 of the corresponding workstation 1 or functional server 4, and the system 12 for protecting administrator information from unauthorized access contains security agent administrator 15 and security administrator access control system 16 connected to control and data exchange bus 11, respectively Tweeter workstation 10 administrator information security.
При этом автоматизированные рабочие места 3 и функциональные серверы 4, сервер-контроллер 6 домена и автоматизированные рабочие места 10 администраторов безопасности информации содержат установленные на них аппаратно-программные модули 17 доверенной загрузки, а также устройства 20 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства 21 криптографической защиты информации, передаваемой по протоколу IP, которые подключены соответственно к шинам 2 управления и обмена данными автоматизированных рабочих мест 3 и функциональных серверов 4, к шине 9 управления и обмена данными сервера-контроллера 6 домена и к шинам 11 управления и обмена данными автоматизированных рабочих мест 10 администраторов безопасности информации. Все устройства 20 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства 21 криптографической защиты информации, передаваемой по протоколу IP, соединены друг с другом по сетевой магистрали 5.At the same time, automated workstations 3 and functional servers 4, a server-controller 6 of the domain, and automated workstations 10 of information security administrators contain hardware and software modules 17 for trusted download, as well as devices 20 for cryptographic protection of information transmitted over a local area network via Ethernet protocol, and the device 21 cryptographic protection of information transmitted over IP, which are connected respectively to the bus 2 control and data exchange auto atizirovannyh jobs 3 and 4 functional server, to the bus 9 and the exchange control domain controller server 6 and data buses 11 to control and exchange data of workstations 10 information security administrators. All devices 20 cryptographic protection of information transmitted over a local area network via Ethernet, and device 21 cryptographic protection of information transmitted over IP, are connected to each other via a network highway 5.
Кроме того, по крайней мере одно автоматизированное рабочее место 3 содержит установленные на него и подключенные к его шине 2 управления и обмена данными аппаратно-программный модуль 18 доверенной загрузки, осуществляющий шифрование носителей информации, подключаемых по интерфейсу USB, и аппаратно-программный модуль 19 доверенной загрузки, вырабатывающий и проверяющий электронную цифровую подпись.In addition, at least one workstation 3 contains installed on it and connected to its bus 2 control and data exchange hardware-software module 18 trusted boot, encrypting storage media connected via USB, and hardware-software module 19 trusted downloads that generate and verify an electronic digital signature.
Сетевая магистраль 5 имеет, по крайней мере один разрыв, с каждой стороны которого включено по одному средству 22 криптографической защиты информации, передаваемой по открытым каналам связи через неконтролируемую территорию 23.The network backbone 5 has at least one gap, on each side of which is included one means 22 of cryptographic protection of information transmitted via open communication channels through an uncontrolled territory 23.
В состав системы защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, могут быть включены несколько автоматизированных рабочих мест 10 администраторов безопасности информации и несколько соответственно соединенных с их шинами 11 управления и обмена данными агентов-администраторов 15 безопасности. В этом случае каждый из администраторов безопасности информации может оперативно контролировать работу пользователей в сети. При необходимости контроля работы администраторов безопасности с шинами 11 управления и обмена данными соответствующих автоматизированных рабочих мест 10 администраторов безопасности информации соединяют соответствующие агенты 13 безопасности.The system of protecting information from unauthorized access to information containing state secret information can include several workstations of 10 information security administrators and several security agents and administrators 15 connected to their buses 11 for managing and exchanging data. In this case, each of the information security administrators can quickly monitor the operation of users on the network. If it is necessary to control the work of security administrators with the control and communication buses 11 of the corresponding workstations 10, information security administrators connect the corresponding security agents 13.
Работает предлагаемая система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, следующим образом.The proposed system for protecting information from unauthorized access to information containing information constituting a state secret works as follows.
Входящие в состав систем 1 защиты информации пользователя от несанкционированного доступа агенты 13 безопасности, входящие в состав систем 12 защиты информации администратора от несанкционированного доступа агенты-администраторы 15 безопасности, а также подключенные к шине 9 управления и обмена данными сервера-контроллера 6 домена сервер 7 безопасности и база 8 данных безопасности образуют систему контроля и управления профилями.The security agents 13 that are part of systems 1 to protect user information from unauthorized access, the security agents 15 that are part of systems 12 to protect administrator information from unauthorized access, as well as the security server 7 connected to the control and data exchange bus 9 of server-controller 6 of the domain server 7 and security database 8 forms a system for monitoring and managing profiles.
Входящие в состав систем 1 защиты информации пользователя от несанкционированного доступа системы 14 разграничения доступа пользователя, а также входящие в состав систем 12 защиты информации администратора от несанкционированного доступа системы 16 разграничения доступа администратора безопасности образуют систему разграничения доступа.Included in systems 1 for protecting user information from unauthorized access, systems 14 for restricting user access, as well as systems for protecting information for administrators against unauthorized access, systems 16 for restricting access for the security administrator form a system for restricting access.
Система контроля и управления профилями выполняет следующие функции: управление профилями безопасности пользователей, групп пользователей и компьютеров; разграничение доступа пользователей к функциям программы "Проводник" (команда "Выполнить", панель управления, панель задач в меню "Пуск", настройка дисплея и т.д.); определение списка разрешенных для запуска приложений (обеспечение замкнутой программной среды) путем формирования пользовательского меню в программе "Проводник" и контроль запуска несанкционированных приложений; контроль состояния компьютеров в сети, сбор статистики работы (время старта, время непрерывной работы); контроль сеанса работы интерактивных пользователей и сетевых пользователей, получивших доступ к разделяемым ресурсам; протоколирование действий администратора безопасности информации и пользователей; разграничение полномочий администраторов безопасности информации на автоматизированных рабочих местах 10 администраторов безопасности информации (оператор, администратор); оповещение администратора безопасности информации о попытках несанкционированного доступа, нарушениях работы комплексной системы защиты информации от несанкционированного доступа и других критических ситуациях в сети.The system of control and management of profiles performs the following functions: management of security profiles of users, user groups and computers; differentiation of user access to the functions of the Explorer program (Run command, control panel, taskbar in the Start menu, display settings, etc.); determining the list of applications allowed to run (providing a closed software environment) by forming a user menu in the Explorer program and controlling the launch of unauthorized applications; monitoring the status of computers on the network, collecting work statistics (start time, continuous operation time); control of the session of interactive users and network users who gained access to shared resources; logging the actions of the information security administrator and users; differentiation of powers of information security administrators at workstations of 10 information security administrators (operator, administrator); notification of the security administrator of information about unauthorized access attempts, violations of the integrated system for protecting information from unauthorized access and other critical network situations.
Система контроля и управления профилями реализует функции по разграничению доступа к приложениям (программам), запускаемым на автоматизированных рабочих местах 3 и функциональных серверах 4, регистрации событий защиты (аудит), контролю целостности программных файлов и данных, защите от ввода/вывода на отчуждаемый носитель.The profile control and management system implements the functions of differentiating access to applications (programs) launched on workstations 3 and functional servers 4, recording security events (auditing), monitoring the integrity of program files and data, and protecting against input / output to an alienable medium.
Входными данными для системы контроля и управления профилями являются: информация о составе зарегистрированных пользователей в центральной базе 8 данных безопасности автоматизированной системы (на контроллере домена), записи в системных журналах и журналах безопасности автоматизированном рабочем месте 3 пользователя или функциональном сервере 4 и команды администратора безопасности информации.The input data for the control and profile management system are: information on the composition of registered users in the central database 8 of the security data of the automated system (on the domain controller), entries in the system and security logs of the user's workstation 3 or the functional server 4, and information security administrator commands .
Выходными данными системы контроля и управления профилями являются протоколы действий администраторов на автоматизированных рабочих местах 10 администраторов безопасности информации и событий - попыток несанкционированного доступа к информации, контроля целостности, работы с внешними носителями в автоматизированной системе, информация о состоянии компьютеров, служб, приложений и настройках политики безопасности.The outputs of the control and profile management system are protocols of actions of administrators at workstations 10 security administrators of information and events - attempts of unauthorized access to information, integrity control, work with external media in an automated system, information about the status of computers, services, applications and policy settings security.
Система контроля и управления профилями использует объектную идеологию, т.е. вся структура компьютерной сети и управляющая информация представлена в виде объектов управления. Все устройства оперируют с объектами управления (объектами SMS). Все объекты управления хранятся в базе 8 данных сервера безопасности.The profile control and management system uses an object ideology, i.e. the entire structure of the computer network and control information is presented as control objects. All devices operate with control objects (SMS objects). All management objects are stored in database 8 of the security server.
База 8 данных сервера безопасности содержит основной корневой объект управления, который содержит в себе такие объекты управления, как домены или рабочие группы базовой операционной системы, содержащие в свою очередь такие объекты, как компьютеры, пользовательские приложения, профили пользователей, профили групп пользователей, профили безопасности и устройства (дисководы, порты и т.д.).The security server database 8 contains the main root management object, which contains such management objects as domains or workgroups of the base operating system, which in turn contain such objects as computers, user applications, user profiles, user group profiles, security profiles and devices (drives, ports, etc.).
Каждый объект управления характеризуют основные атрибуты и свой специфический набор дополнительных атрибутов, методов доступа и управления этим объектом управления.Each control object is characterized by basic attributes and its own specific set of additional attributes, access and control methods for this control object.
Сервер 7 безопасности обеспечивает синхронизацию объектов управления с агентами 13 безопасности, агентами-администраторами 15 безопасности и другими серверами 7 безопасности: установление логических соединений с агентами 13 безопасности и агентами-администраторами 15 безопасности, проверку наличия логических соединений с агентами 13 безопасности и агентами-администраторами 15 безопасности, прием и обработку запросов от агента-администратора 15 безопасности на добавление/исключение объектов управления в базе данных профилей и модификацию их атрибутов, прием и обработку запросов от агентов 13 безопасности на получение профиля пользователя и составе доступных ему приложений, формирование ответов на эти запросы, прием и обработку сообщений от агентов 13 безопасности и агентов-администраторов 15 безопасности, при появлении событий -попыток несанкционированного доступа к информации в системных журналах агентов 13 безопасности, ведение протокола действий администраторов безопасности на автоматизированных рабочих местах 10 администраторов безопасности информации в части контроля и управления профилями.Security server 7 provides synchronization of management objects with security agents 13, security administrative agents 15 and other security servers 7: establishing logical connections with security agents 13 and security agents 15, checking for logical connections with security agents 13 and administrative agents 15 security, receiving and processing requests from the administrator agent 15 security for adding / excluding management objects in the profile database and modification their attributes, receiving and processing requests from security agents 13 to obtain a user profile and the composition of applications available to him, generating responses to these requests, receiving and processing messages from security agents 13 and security agent-administrators 15, when events-attempts of unauthorized access to information in the system logs of security agents 13, maintaining a protocol of actions of security administrators at workstations 10 security administrators of information regarding Olya and profile management.
Между сервером 7 безопасности, агентами 13 безопасности и агентами-администраторами 15 безопасности устанавливаются логические соединения. Каждое установленное логическое соединение имеет свой идентификатор, что позволяет серверу 7 безопасности определять, с какими агентами 13 безопасности или агентами-администраторами 15 безопасности производится обмен информацией. При успешном установлении соединения ему присваивается идентификатор, а агентам 13 безопасности или агентам-администраторам 15 безопасности посылается соответствующее сообщениеBetween the security server 7, the security agents 13 and the security administrative agents 15, logical connections are established. Each established logical connection has its own identifier, which allows the security server 7 to determine with which security agents 13 or security administrative agents 15 the information is exchanged. Upon successful connection, an identifier is assigned to it, and a corresponding message is sent to security agents 13 or security administrative administrators 15
Сервер 7 безопасности производит проверку наличия логических соединений с агентами 13 безопасности и агентами-администраторами 15 безопасности по таймеру. Запрос на разрыв соединения с сервером 7 безопасности посылают агенты 13 безопасности или агенты-администраторы 15 безопасности. При этом соединение удаляется из базы 8 данных сервера безопасности.The security server 7 checks for logical connections with the security agents 13 and the security administrative agents 15 by timer. A request to disconnect from the security server 7 is sent by the security agents 13 or the security administrators 15. In this case, the connection is deleted from the database 8 of the security server.
После установления соединения сервер 7 безопасности, агенты 13 безопасности и агенты-администраторы 15 безопасности обмениваются сообщениями, содержащими запросы и ответы.After the connection is established, the security server 7, the security agents 13 and the security administrative agents 15 exchange messages containing requests and responses.
Агенты 13 безопасности посылают серверу 7 безопасности следующие типы запросов: информация о базовой операционной системе, на разрыв соединения, на проверку соединения, на перечисление приложений пользователя, на получение профиля пользователя, на обработку события на компьютере, на получение устройств компьютера, на получение списка файлов для проверки. При этом агентами 13 безопасности передается информация о компьютере, текущем пользователе и событиях, а сервер 7 безопасности передает агентам 13 безопасности информацию о профилях, о составе приложений, проверяемых файлов и устройств.Security agents 13 send the following types of requests to security server 7: information about the underlying operating system, to disconnect, to check the connection, to list user applications, to receive a user profile, to process an event on a computer, to receive computer devices, to get a list of files for check. In this case, the security agents 13 transmit information about the computer, the current user and events, and the security server 7 transfers information to the security agents 13 about profiles, about the composition of applications, scanned files and devices.
Агенты-администраторы 15 безопасности посылают серверу 7 безопасности следующие типы запросов: на регистрацию соединения, на перечисление доменов, на добавление домена, на удаление домена, на перечисление компьютеров домена, на добавление компьютера, на удаление компьютера, на перечисление приложений домена, на добавление приложения, на удаление приложения, на перечисление пользователей домена, на добавление пользователя, на удаление пользователя, на изменение состояния компьютера в базе, на изменение свойств пользователя, на изменение свойств компьютера, на изменение свойств домена, на изменение свойств приложения, на удаленное управление компьютером, на перечисление групп пользователей, на добавление группы пользователей, на удаление группы пользователей, на изменение свойств группы пользователей, на запись протокола работы администратора, на чтение протокола работы администратора, на получение списка запущенных приложений, на завершение приложения, на очистку протокола работы администратора, на очистку тревоги, на установку свойств группе пользователей, на чтение протокола событий, на перечисление профилей безопасности, на добавление профиля безопасности, на удаление профиля безопасности, на изменение свойств профиля безопасности, на перечисление устройств, на изменение свойств устройства, на добавление устройства, на удаление устройства, на изменение списка файлов для проверки, на очистку протокола событий, на получение свойств ГМД (флеш-памяти, ЛД), на чтение архива, протокола событий, на чтение архива протокола работы.Security administrative agents 15 send the following types of requests to security server 7: to register a connection, to transfer domains, to add a domain, to remove a domain, to list computers of a domain, to add a computer, to delete a computer, to list domain applications, to add an application , to delete an application, to transfer domain users, to add a user, to delete a user, to change the state of a computer in the database, to change user properties, to change computer properties, to change the properties of a domain, to change the properties of an application, to remotely control a computer, to list user groups, to add a user group, to delete a user group, to change the properties of a user group, to write an administrator’s log of work, to read an administrator’s log of work , to get a list of running applications, to terminate an application, to clear the administrator’s protocol, to clear an alarm, to set properties for a group of users, to read e event protocol, for listing security profiles, for adding a security profile, for deleting a security profile, for changing the properties of a security profile, for listing devices, for changing device properties, for adding a device, for deleting a device, for changing the list of files for checking, for cleaning up the event log, to obtain the properties of the HDD (flash memory, LD), to read the archive, the protocol of events, to read the archive of the protocol of work.
Сервер 7 безопасности производит опрос состояния агентов 13 безопасности (о составе запущенных приложений, текущем пользователе), а также осуществляет перезагрузку, выключение компьютеров, выход из системы, запуск/останов приложений.The security server 7 polls the status of the security agents 13 (on the composition of running applications, the current user), and also performs reboot, shutdown computers, log off, start / stop applications.
Сервер 7 безопасности передает агенту-администратору 15 безопасности запросы о состоянии компьютеров агентов безопасности, составе запущенных приложений, запуске приложения и о происшедших событиях.The security server 7 sends requests to the security agent-administrator 15 about the status of the computers of the security agents, the composition of the running applications, the launch of the application, and events that have occurred.
Агент 13 безопасности выполняет следующие функции: контроль состояния автоматизированном рабочем месте пользователя или функциональном сервере, контроль состояния сеанса интерактивного пользователя, настройку рабочей среды пользователя и установление ограничений, слежение за состоянием приложений и процессов, слежение за содержимым системных журналов, выполнение команд от имени администратора безопасности (перезагрузку, запуск/останов приложений, блокировку системы).Security agent 13 performs the following functions: monitoring the state of the user's workstation or functional server, monitoring the session state of the interactive user, setting up the user's working environment and setting restrictions, monitoring the status of applications and processes, monitoring the contents of system logs, executing commands on behalf of the security administrator (reboot, start / stop applications, system lock).
Агент 13 безопасности устанавливает соединение (регистрацию) с сервером 7 безопасности и затем периодически отправляет серверу 7 безопасности запрос на проверку наличия соединения и обрабатывает ответ. Взаимодействие с сервером 7 безопасности после установления логического соединения осуществляется на основе запрос-ответного механизма.The security agent 13 establishes a connection (registration) with the security server 7 and then periodically sends the security server 7 a request to check for a connection and processes the response. Interaction with the security server 7 after establishing a logical connection is based on a request-response mechanism.
Агент 13 безопасности отвечает за контроль событий - попыток несанкционированного доступа к информации, сбор статистической информации (имя пользователя, время начала и завершения сеанса работы пользователя, время включения и выключения компьютера и т.д.), информации о состоянии задач и запущенных процессов, контроль целостности файлов на автоматизированном рабочем месте пользователя или функциональном сервере.Security agent 13 is responsible for monitoring events - attempts of unauthorized access to information, collecting statistical information (username, start and end time of a user’s work session, turn on and turn off a computer, etc.), information about the status of tasks and running processes, control file integrity on the user's workstation or functional server.
Агент 13 безопасности выполняет управляющие команды, поступившие от агента-администратора 15 через сервер 7 безопасности по сети, и передает серверу 7 безопасности информацию о компьютере, о текущем пользователе, профилях, составе приложений, результатах контроля целостности проверяемых файлов и о событиях - попытках несанкционированного доступа к информации.Security agent 13 executes control commands received from administrator agent 15 through the security server 7 over the network and transmits information about the computer, the current user, profiles, application composition, the results of the integrity control of the scanned files and about events - unauthorized access attempts to the security server 7 to information.
Агент 13 безопасности после установления логического соединения с сервером 7 безопасности получает от него сообщение с системной политикой компьютера. Серверу 7 безопасности передается информация о типе базовой операционной системы.Security agent 13 after establishing a logical connection with security server 7 receives from him a message with the computer system policy. Security server 7 receives information about the type of base operating system.
При входе пользователя в систему агент 13 безопасности передает серверу 7 безопасности информацию о пользователе (имя пользователя, время начала сеанса). Сервер 7 безопасности передает информацию о системной политике для пользователя. При установке системной политики компьютера и пользователя агент 13 безопасности изменяет значения в реестре.When a user logs on to the system, the security agent 13 transmits the user information (user name, session start time) to the security server 7. The security server 7 transmits system policy information to the user. When you install the system policy of the computer and the user, the security agent 13 changes the values in the registry.
Далее агент 13 безопасности формирует и посылает серверу 7 безопасности запросы на перечисление приложений пользователя, на получение профиля, на получение устройств компьютера и списка файлов для проверки. К приложениям пользователя относятся основные исполняемые модули, запускаемые через меню "Пуск", и вспомогательные исполняемые модули, запускаемые из основных приложений. Ответы от сервера 7 безопасности обрабатываются агентом 13 безопасности, производится установка профиля пользователя в реестре, состава ему доступных основных приложений в меню "Пуск" и состава вспомогательных приложений, запускаемых из основных приложений.Next, the security agent 13 generates and sends to the security server 7 requests for listing user applications, for obtaining a profile, for receiving computer devices and a list of files for verification. User applications include the main executable modules launched through the Start menu, and auxiliary executable modules launched from the main applications. Responses from the security server 7 are processed by the security agent 13, the user profile is installed in the registry, the composition of the main applications available to him in the Start menu, and the composition of the auxiliary applications launched from the main applications.
Агент 13 безопасности производит контроль целостности путем вычисления контрольных сумм файлов системы защиты информации, системных и пользовательских файлов и сравнение их с соответствующими эталонными значениями. Функция контроля целостности позволяет обнаруживать любое изменение (удаление, добавление, замену) данных файла и файловой структуры в целом. Контроль целостности производится путем вычисления имитовставки. При изменении контрольных сумм файлов или отсутствии какого либо файла формируется сообщение для сервера 7 безопасности о нарушении целостности.Security agent 13 performs integrity monitoring by calculating checksums of information protection system files, system and user files and comparing them with the corresponding reference values. The integrity control function allows you to detect any change (deletion, addition, replacement) of the file data and the file structure as a whole. Integrity control is performed by calculating the insert. When changing the checksums of the files or the absence of any file, a message is generated for the security server 7 about integrity violation.
Агент 13 безопасности осуществляет контроль над процессами, работающими в системе. Производится сбор информации о файлах-процессах, поиск окон процессов и передача информации о процессах серверу 7 безопасности. Осуществляется запуск и остановка процессов по запросу от сервера 7 безопасности, формируемому в свою очередь по команде агента-администратора 15 безопасности.Security agent 13 monitors the processes running in the system. Information about process files is collected, process windows are searched, and process information is transmitted to security server 7. The processes start and stop upon request from the security server 7, which is formed in turn by the command of the security administrator-administrator 15.
Агент 13 безопасности осуществляет контроль за системными событиями путем слежения за содержимым системных журналов и при появлении событий - попыток несанкционированного доступа к информации и других критических событий, передает сообщения об их возникновении серверу 7 безопасности.Security agent 13 monitors system events by monitoring the contents of system logs and, when events occur, attempts to unauthorized access to information and other critical events, transmit messages about their occurrence to security server 7.
Агент 13 безопасности выполняет контроль запуска всех приложений и определяет, относится основное или вспомогательное приложение к числу разрешенных для запуска. Если нет, то приложение не запускается, а серверу 7 безопасности передается сообщение о событии - попытке несанкционированного доступа к информации.Security agent 13 controls the launch of all applications and determines whether the primary or secondary application is allowed to run. If not, then the application does not start, and a message about the event is sent to the security server 7 - an attempt to unauthorized access to information.
Кроме того, агент 13 безопасности производит контроль сообщений о начале работы системы разграничения доступа. При успешном начале работы системы разграничения доступа в реестре сохраняются соответствующие настройки. В противном случае осуществляется восстановление настроек системы разграничения доступа в реестре и перезапуск компьютера. Если восстановление не приводит к успешному запуску системы разграничения доступа, то создается запись для администратора о неуспешном восстановлении системы и блокируется инициализация агента 13 безопасности.In addition, the security agent 13 monitors messages about the start of the access control system. Upon successful start of the access control system, the corresponding settings are saved in the registry. Otherwise, the settings of the access control system in the registry are restored and the computer is restarted. If the recovery does not lead to a successful start of the access control system, an administrator record is created about the failed system recovery and the initialization of the security agent 13 is blocked.
Агент 13 безопасности выполняет контроль установки внешних носителей информации по сообщениям от монитора файловой системы (drivemon.sys) о монтировании тома. Далее агент 13 безопасности формирует запрос о профиле безопасности (дескрипторе) устройства серверу 7 безопасности. После получения профиля безопасности система разграничения доступа производит контроль доступа пользователя, работающего на компьютере, к устройству. При разрешении доступа осуществляются операции с внешним носителем информации. После этого доступ к устройству закрывается. При копировании на носитель факт копирования передается серверу 7 безопасности. Сервер 7 безопасности передает факты выполнения операций с носителем информации, в том числе события - попытки несанкционированного доступа к информации, на автоматизированных рабочих местах 10 администраторов безопасности информации в журнал регистрации.Security agent 13 monitors the installation of external storage media according to messages from the file system monitor (drivemon.sys) about mounting the volume. Next, the security agent 13 generates a request for the security profile (descriptor) of the device to the security server 7. After receiving the security profile, the access control system performs access control of the user working on the computer to the device. When access is granted, operations with an external storage medium are carried out. After that, access to the device is closed. When copying to media, the fact of copying is transmitted to the security server 7. The security server 7 transmits facts of operations with the storage medium, including events - attempts of unauthorized access to information at the workstations of 10 information security administrators in the registration log.
Агент-администратор 15 безопасности выполняет следующие функции: ведение базы данных сервера безопасности (создание, изменение, удаление объектов), мониторинг состояния объектов (компьютеров, приложений), управление компьютером и сеансами работы пользователей, протоколирование действий администраторов и операторов, вывод на экран и печать протоколов действий администраторов и операторов.Security agent-administrator 15 performs the following functions: maintaining a security server database (creating, changing, deleting objects), monitoring the status of objects (computers, applications), managing a computer and user sessions, logging the actions of administrators and operators, displaying and printing protocols of actions of administrators and operators.
Агент-администратор 15 безопасности является основным модулем для осуществления управляющих функций, задания основных параметров и мониторинга событий в сети.Security agent-administrator 15 is the main module for implementing control functions, setting basic parameters and monitoring events in the network.
Агент-администратор 15 безопасности взаимодействует с сервером 7 безопасности. В обмене участвует управляющая и настроечная информация о задачах, процессах и событиях на автоматизированных рабочих местах 3 пользователей или функциональных серверах 4.Security manager agent 15 interacts with security server 7. The exchange involves management and configuration information about tasks, processes and events at workstations of 3 users or functional servers 4.
Отображение информации и интерфейс с пользователем осуществляются в графическом виде.The display of information and the user interface are carried out in graphical form.
При включении агента-администратора 15 безопасности производится инициализация процесса установления соединения (регистрации) с сервером 7 безопасности. Агент-администратор 15 безопасности формирует запрос на регистрацию (установление) соединения с сервером 7 безопасности и обрабатывает ответ. Периодически агент-администратор 15 безопасности отправляет серверу 7 безопасности запрос на проверку наличия соединения и обрабатывает ответ. Взаимодействие агента-администратора 15 безопасности с сервером 7 безопасности после установления логического соединения, в основном, осуществляется на основе запрос-ответного механизма.When you enable the security agent-administrator 15, the process of establishing a connection (registration) with the security server 7 is initialized. Security administrator agent 15 generates a request for registration (establishment) of a connection with security server 7 and processes the response. Periodically, the security agent administrator 15 sends a request to the server 7 to check for a connection and processes the response. The interaction of the security agent-administrator 15 with the security server 7 after establishing a logical connection is mainly carried out on the basis of a request-response mechanism.
Агент-администратор 15 реализует следующие группы функций.The administrative agent 15 implements the following groups of functions.
Группа функций по работе с объектами базы 8 данных сервера безопасности позволяет агенту-администратору 15 формировать запросы для сервера 7 безопасности на получение списка объектов, на добавление, удаление и изменение свойств объектов (доменов, компьютеров, пользователей, групп пользователей, приложений, профилей безопасности). Запросы формируются по команде администратора безопасности посредством графического интерфейса и обрабатываются полученные ответы. В оперативной памяти хранится информация о составе и состоянии управляемых объектов, их атрибутов и параметров, аналогичная информации в базе 8 данных сервера безопасности. При получении ответа от сервера 7 безопасности изменяется состояние базы данных в оперативной памяти автоматизированного рабочего места 10 администратора безопасности информации. Хранение объектов в оперативной памяти позволяет повысить быстродействие операций по графическому отображению состояния объектов. Например, для компьютера к этой группе функций относятся: запросы/ответы на получение списка компьютеров домена, на добавление компьютера, удаление компьютера, изменение свойств компьютера.The group of functions for working with objects of the database 8 of the security server database allows the administrative agent 15 to generate requests for the security server 7 to receive a list of objects, to add, delete, and change the properties of objects (domains, computers, users, user groups, applications, security profiles) . Requests are generated by the command of the security administrator through the graphical interface and the responses received are processed. The RAM stores information on the composition and status of managed objects, their attributes and parameters, similar to information in the database 8 of the security server data. Upon receipt of a response from the security server 7, the state of the database in the random access memory of the workstation 10 of the information security administrator changes. Storing objects in RAM allows you to increase the speed of operations for graphically displaying the state of objects. For example, for a computer, this group of functions includes: requests / responses for obtaining a list of domain computers, for adding a computer, deleting a computer, changing computer properties.
Группа функций по работе с протоколом (журналом) событий позволяет обрабатывать запросы/ответы на просмотр и очистку протокола событий, на получение архива протокола событий.The group of functions for working with the protocol (log) of events allows you to process requests / responses to view and clear the protocol of events, to receive an archive of the protocol of events.
Группа функций по работе с протоколом (журналом) работы администратора безопасности информации позволяет обрабатывать запросы/ответы на просмотр и очистку протокола работы администратора безопасности информации, на получение архива протокола работы администратора безопасности информации.The group of functions for working with the protocol (log) of the work of the information security administrator allows you to process requests / responses to view and clear the protocol of the information security manager, to receive the archive of the protocol of the information security administrator.
Группа функций по управлению компьютером обеспечивает формирование запросов серверу 7 безопасности и обработку ответов на получение информации, списке запущенных приложений, удаленную перезагрузку, выключение компьютера или выход из системы, удаленный запуск приложения, формирование запросов на удаленное завершения приложения, на получение информации о текущем пользователе компьютера.A group of computer management functions provides the generation of requests to the security server 7 and processing responses to information, the list of running applications, remote reboot, shutting down the computer or logging off, remote application launch, generating requests to remotely terminate the application, and receiving information about the current computer user .
Группа функций по обработке запросов от сервера 7 безопасности о состоянии объектов обеспечивает обработку и отображение информации о изменении состояния компьютеров, запуске приложений пользователями, событиях - попытках несанкционированного доступа к информации.A group of functions for processing requests from the security server 7 about the state of objects provides the processing and display of information about changes in the status of computers, users launching applications, events - attempts to unauthorized access to information.
Группа функций по контролю целостности предназначена для формирования запросов серверу 7 безопасности и обработку ответов на получение или изменение списка файлов для проверки контрольных сумм для компьютеров домена.The integrity control function group is designed to formulate requests to the security server 7 and process responses to receive or modify the list of files to check checksums for domain computers.
Система разграничения доступа является дополнением встроенной в базовую операционную систему системы безопасности мандатной моделью доступа, подразумевающей наличие для каждого субъекта и объекта доступа иерархических атрибутов (грифа секретности) и неиерархических атрибутов (категорий доступа).The access control system is an addition to the mandatory access model built into the basic operating system of the security system, which implies the existence of hierarchical attributes (secrecy stamp) and non-hierarchical attributes (access categories) for each subject and access object.
Основным принципом работы системы безопасности базовой операционной системы является сосредоточение центральных процедур проверки прав доступа в мониторе безопасности, являющемся составной частью ядра базовой операционной системы. Функции монитора безопасности вызываются менеджером объектов базовой операционной системы при обращении к любому системному объекту с целью подтверждения полномочий обращающегося субъекта. При этом в монитор безопасности передается вся информация, необходимая для анализа атрибутов безопасности субъекта и объекта доступа.The basic principle of the security system of the base operating system is the concentration of central procedures for checking access rights in the security monitor, which is an integral part of the core of the base operating system. The security monitor functions are called by the object manager of the base operating system when accessing any system object in order to confirm the authority of the contacting entity. In this case, all the information necessary for the analysis of the security attributes of the subject and access object is transmitted to the security monitor.
Основным методом изменения системы безопасности базовой операционной системы в предлагаемой системе разграничения доступа является перехват функции проверки прав доступа в мониторе безопасности и дополнение описателей безопасности объектов и субъектов доступа мандатными атрибутами без нарушения внутренней структуры описателей. При этом сопоставление описателя объекту, его хранение и ограничение доступа к нему реализуется стандартными функциями базовой операционной системы.The main method for changing the security system of the base operating system in the proposed access control system is to intercept the function of checking access rights in the security monitor and add security descriptors for objects and access subjects with mandatory attributes without violating the internal structure of descriptors. In this case, the descriptor is compared to the object, its storage and access restriction to it are realized by standard functions of the base operating system.
В описатель безопасности субъекта доступа (маркер доступа, Token) мандатные атрибуты заносятся на этапе регистрации пользователя в системе и находятся в специально отмеченных элементах списка групп, к которым принадлежит пользователь. Эти атрибуты состоят из грифа секретности, представляемого предопределенным при создании системы идентификатором безопасности (SID), и нескольких категорий доступа, каждая из которых представляется идентификатором безопасности определенных в агентстве безопасности групп пользователей (такие идентификаторы уникальны для каждого агентства). Хранение этой информации производится в базе 8 данных системы безопасности базовой операционной системы, при этом каждому пользователю системы соответствует несколько записей в базе данных:In the security descriptor of the access subject (access token, Token), credentials are entered at the stage of user registration in the system and are located in specially marked elements of the list of groups to which the user belongs. These attributes consist of a privacy stamp represented by a security identifier (SID) predefined when creating the system, and several access categories, each of which is represented by the security identifier of user groups defined in the security agency (such identifiers are unique for each agency). This information is stored in the database 8 of the security system of the base operating system, while each user of the system has several entries in the database:
базовая запись, содержащая стандартные атрибуты пользователя в базовой операционной системе, и по одной записи для каждого грифа секретности, к работе с которым допущен пользователь, содержащей список категорий для соответствующего грифа и пользователя.a base record containing standard user attributes in the base operating system, and one record for each privacy stamp, which the user is allowed to work with, containing a list of categories for the corresponding signature stamp and user.
В описателе безопасности (дескрипторе защиты) объекта доступа (Security Descriptor) мандатные атрибуты заносятся в дискреционный список доступа (Discretionary Access Control List, DACL) в виде специально отмеченных элементов (Access Control Element, АСЕ), при этом идентификаторы безопасности этих элементов соответствуют описанным выше. Хранение описателей безопасности объектов доступа возлагается на системы 14 разграничения доступа пользователей и на систему 16 разграничения доступа администратора безопасности.In the security descriptor (security descriptor) of the access object (Security Descriptor), credential attributes are entered in the Discretionary Access Control List (DACL) in the form of specially marked elements (Access Control Element, ACE), while the security identifiers of these elements correspond to those described above . The storage of security descriptors of access objects is assigned to the system 14 for restricting user access and the system 16 for restricting access for the security administrator.
Система разграничения доступа реализует алгоритм проверки прав доступа, созданный на базе стандартного алгоритма монитора безопасности и дополненный проверкой мандатных атрибутов объекта и субъекта.The access control system implements an access control verification algorithm created on the basis of the standard security monitor algorithm and supplemented by checking the credential attributes of the object and subject.
Обработка мандатных атрибутов субъекта и объекта осуществляется по следующим правилам:The processing of the mandatory attributes of the subject and object is carried out according to the following rules:
Субъект имеет доступ к объекту, если все перечисленные в описателе безопасности (дескрипторе защиты) объекта категории доступа входят в маркер доступа субъекта.The subject has access to the object if all the access categories listed in the security descriptor (security descriptor) of the object are included in the subject's access token.
Субъект имеет доступ по чтению и изменению объекта, если гриф секретности объекта имеет значение не более грифа секретности субъекта.The subject has access to read and change the object, if the secrecy of the object has a value of no more than the secrecy of the subject.
Если гриф секретности объекта больше грифа секретности субъекта и объект является контейнерным (содержит другие объекты), субъект имеет доступ на добавление в объект подобъектов.If the secrecy of an object is greater than the secrecy of the subject and the object is containerized (contains other objects), the subject has access to add subobjects to the object.
Если доступ разрешен в соответствии только с мандатными правилами разграничения доступа, но не разрешен по дискреционным (или наоборот), доступ запрещается.If access is allowed in accordance only with the mandatory rules for restricting access, but is not allowed for discretionary (or vice versa), access is denied.
Аппаратно-программные модули 17 доверенной загрузки, аппаратно-программные модули 18 доверенной загрузки, осуществляющие шифрование носителей информации, подключаемых по интерфейсу USB, и аппаратно-программные модули 19 доверенной загрузки, вырабатывающие и проверяющие электронную цифровую подпись, обеспечивают контроль целостности файловой системы автоматизированных рабочих мест 3 и функциональных серверов 4, а так же порядок загрузки программного обеспечения на них в соответствии с выбранным уровнем доступа к информации.Hardware and software modules 17 for trusted download, hardware and software modules 18 for trusted download, encrypting USB-connected storage media and hardware and software modules 19 for trusted loading, generating and verifying electronic digital signature, provide control of the integrity of the file system of automated workstations 3 and functional servers 4, as well as the procedure for downloading software to them in accordance with the selected level of access to information.
Устройства 20 криптографической защиты информации, передаваемой по локальной вычислительной сети по протоколу Ethernet, и устройства 21 криптографической защиты информации, передаваемой по протоколу IP, обеспечивают шифрование информации, передаваемой по сетевой магистрали 5 между автоматизированными рабочими местами 3, функциональными серверами 4, сервером-контроллером 6 домена и автоматизированными рабочими местами 10 администраторов безопасности информации.Devices 20 for cryptographic protection of information transmitted over a local area network via Ethernet, and devices 21 for cryptographic protection of information transmitted over IP, provide encryption of information transmitted over a network highway 5 between workstations 3, functional servers 4, server-controller 6 domain and workstations of 10 information security administrators.
Средство 22 криптографической защиты информации, передаваемой по открытым каналам связи, обеспечивает шифрование информации при передаче ее через участки, выходящие за пределы контролируемой зоны.Means 22 cryptographic protection of information transmitted over open communication channels, provides encryption of information when it is transmitted through areas outside the controlled zone.
При использовании предлагаемой системы защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, достигается повышение защищенности информации от несанкционированного доступа в автоматизированной системе на основе совместного использования дискреционных и мандатных правил разграничения доступа.When using the proposed system for protecting information from unauthorized access to information containing information constituting a state secret, an increase is achieved in the security of information from unauthorized access in an automated system based on the joint use of discretionary and mandatory access delimitation rules.
ЛитератураLiterature
1. RU 2263950 С2 (Бородакий Ю.В., Добродеев А.Ю., Свиридюк Ю.П., Терешкин Н.Л.), 10.11.2005.1. RU 2263950 C2 (Borodaky Yu.V., Dobrodeev A.Yu., Sviridyuk Yu.P., Tereshkin N.L.), 10.11.2005.
2. Безопасность в Windows XP. - www.hardtek.m/sistem/winxp_security.shtml.2. Security in Windows XP. - www.hardtek.m / sistem / winxp_security.shtml.
Claims (1)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2010131860/08A RU2443017C1 (en) | 2010-07-30 | 2010-07-30 | System of data protection from unauthorized access to the data that constitutes national security information |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2010131860/08A RU2443017C1 (en) | 2010-07-30 | 2010-07-30 | System of data protection from unauthorized access to the data that constitutes national security information |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2443017C1 true RU2443017C1 (en) | 2012-02-20 |
Family
ID=45854695
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2010131860/08A RU2443017C1 (en) | 2010-07-30 | 2010-07-30 | System of data protection from unauthorized access to the data that constitutes national security information |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2443017C1 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2538288C2 (en) * | 2013-02-06 | 2015-01-10 | Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" | Method of loading secure data storage with computer |
| US9720481B2 (en) | 2012-09-14 | 2017-08-01 | Siemens Aktiengesellschaft | Energy-saving mode for a rail system signaling system |
| CN112487404A (en) * | 2020-12-15 | 2021-03-12 | 中国科学院微小卫星创新研究院 | Computer security audit system and method |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2227318C2 (en) * | 2001-06-18 | 2004-04-20 | Мальцев Юрий Ильич | Method and device for protecting information against unauthorized access (alternatives) |
| US6772332B1 (en) * | 1994-10-12 | 2004-08-03 | Secure Computing Corporation | System and method for providing secure internetwork services via an assured pipeline |
| RU2263950C2 (en) * | 2003-11-28 | 2005-11-10 | Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" | Device for preventing unsanctioned access to information, stored on personal computer |
| JP2007259223A (en) * | 2006-03-24 | 2007-10-04 | Fujitsu Ltd | Defense system and method against illegal access on network, and program therefor |
| RU2321055C2 (en) * | 2006-05-12 | 2008-03-27 | Общество с ограниченной ответственностью Фирма "Анкад" | Device for protecting information from unsanctioned access for computers of informational and computing systems |
| RU2334272C1 (en) * | 2007-02-13 | 2008-09-20 | ГОУ ВПО "Саратовский государственный университет имени Н.Г. Чернышевского" | Device protecting against unauthorised access to information |
| JP4412489B2 (en) * | 2005-03-31 | 2010-02-10 | 日本電気株式会社 | Defense policy creation system and method for unauthorized access and program thereof |
-
2010
- 2010-07-30 RU RU2010131860/08A patent/RU2443017C1/en not_active IP Right Cessation
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6772332B1 (en) * | 1994-10-12 | 2004-08-03 | Secure Computing Corporation | System and method for providing secure internetwork services via an assured pipeline |
| RU2227318C2 (en) * | 2001-06-18 | 2004-04-20 | Мальцев Юрий Ильич | Method and device for protecting information against unauthorized access (alternatives) |
| RU2263950C2 (en) * | 2003-11-28 | 2005-11-10 | Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" | Device for preventing unsanctioned access to information, stored on personal computer |
| JP4412489B2 (en) * | 2005-03-31 | 2010-02-10 | 日本電気株式会社 | Defense policy creation system and method for unauthorized access and program thereof |
| JP2007259223A (en) * | 2006-03-24 | 2007-10-04 | Fujitsu Ltd | Defense system and method against illegal access on network, and program therefor |
| RU2321055C2 (en) * | 2006-05-12 | 2008-03-27 | Общество с ограниченной ответственностью Фирма "Анкад" | Device for protecting information from unsanctioned access for computers of informational and computing systems |
| RU2334272C1 (en) * | 2007-02-13 | 2008-09-20 | ГОУ ВПО "Саратовский государственный университет имени Н.Г. Чернышевского" | Device protecting against unauthorised access to information |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9720481B2 (en) | 2012-09-14 | 2017-08-01 | Siemens Aktiengesellschaft | Energy-saving mode for a rail system signaling system |
| RU2636993C2 (en) * | 2012-09-14 | 2017-11-29 | Сименс Акциенгезелльшафт | Energy saving mode for railroad alarm system |
| RU2538288C2 (en) * | 2013-02-06 | 2015-01-10 | Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" | Method of loading secure data storage with computer |
| CN112487404A (en) * | 2020-12-15 | 2021-03-12 | 中国科学院微小卫星创新研究院 | Computer security audit system and method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10063594B2 (en) | Network access control with compliance policy check | |
| EP2345977B1 (en) | Client computer for protecting confidential file, server computer therefor, method therefor, and computer program | |
| US8261320B1 (en) | Systems and methods for securely managing access to data | |
| US9367697B1 (en) | Data security with a security module | |
| DE60002893T2 (en) | COMPUTER PLATFORMS AND THEIR OPERATING METHOD | |
| US10211977B1 (en) | Secure management of information using a security module | |
| US9288199B1 (en) | Network access control with compliance policy check | |
| CN102948114A (en) | Single-use authentication methods for accessing encrypted data | |
| JP2013532854A (en) | Control of platform resources using domain authentication | |
| CN1981277A (en) | Quarantine system | |
| CN109936555A (en) | A kind of date storage method based on cloud platform, apparatus and system | |
| RU2434283C1 (en) | System for protecting information containing state secrets from unauthorised access | |
| CN102667792B (en) | For the method and apparatus of the file of the file server of access security | |
| RU2443017C1 (en) | System of data protection from unauthorized access to the data that constitutes national security information | |
| CN111488597B (en) | Safety audit system suitable for cross-network safety area | |
| CN117389974A (en) | File secure sharing method based on super fusion system | |
| Bickel et al. | Guide to Securing Microsoft Windows XP | |
| RU2444057C1 (en) | System for preventing unauthorised access to confidential information and information containing personal details | |
| KR101445708B1 (en) | Security System and Terminal Therefor, and Security Method | |
| RU2504835C1 (en) | System for protecting information containing state secrets from unauthorised access | |
| RU2571372C1 (en) | System for protecting information containing state secrets from unauthorised access | |
| US20210334084A1 (en) | Systems and methods for secure maintenance device for cyber-physical systems | |
| RU2648942C1 (en) | System of protection of information from unauthorized access | |
| RU2504834C1 (en) | System for protecting information containing state secrets from unauthorised access | |
| KR20100067383A (en) | Server security system and server security method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PC43 | Official registration of the transfer of the exclusive right without contract for inventions |
Effective date: 20140515 |
|
| MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20170731 |