Главная » Музыка

Пак аккорд nt 2000

Обновлено
Содержание
  1. Защита терминальных серверов с помощью ПАК СЗИ Аккорд NT/2000 V3.0
  2. АККОРД-NT/2000
  3. АККОРД-NT/2000
  4. АККОРД-NT/2000
  5. АККОРД-NT/2000
  6. Аккорд-NT/2000 V.3.0 REVISION 4. что нового
  7. Мандатный механизм разграничения доступа с контролем процессов.
  8. Маркировка и учет документов выводимых на печать.
  9. Разное.

Защита терминальных серверов с помощью ПАК СЗИ Аккорд NT/2000 V3.0

Макейчик Ю. С., Россия, Москва, ОКБ САПР

В последнее время сфере банковских инфраструктур, бизнес решений и т.д. стали пользоваться популярностью терминальные решения. В системах построенных на этой технологии имеется ряд уязвимостей. Так как протоколы взаимодействия терминалов и серверов потенциально уязвимы, несмотря на широкое использование в них методов криптографии. Шифрование трафика взаимодействия обеспечивает конфиденциальность передаваемых данных, но не гарантирует подлинность участников обмена клиент/сервер. Это позволяет машине злоумышленника на этапе инициализации криптосессии вклиниться посредником в криптозащищённый канал, т. е это атаки типа MITM (Man In The Middle). Для осуществления атаки можно использовать методы DNS spoofing, ARP poisioning, и т.д. Кроме того, в последнее время стало популярно использовать в качестве терминальных клиентов — достаточно «интеллектуальные» устройства, так называемые «толстые клиенты». Устройства этого класса, как правило, имеют винчестеры, USB-порты, другие механизмы передачи информации. Поэтому к задаче обеспечения подлинности участников обмена (терминал/ сервер), подключается задача защиты конечных станций (терминалов). В связи с этим, фирмой ОКБ САПР была разработана и выпущена новая версия ПАК Аккорд NT/2000 v3.0.

Данный ПАК предназначен для разграничения доступа пользователей как к локальной станции/терминалу, так и к терминальным серверам. Комплекс работает на всей ветке ОС Microsoft NT +, на терминальных серверах построенных на базе ОС Windows 2000 Advanced Server, семейства Windows 2003 серверов, и ПО Citrix Metaframe XP, работающему на этих ОС. Он позволяет осуществлять защитные функции терминальных подключений реализуемых на протоколах RDP и ICA.

Читайте также:  Быстрые ноты для аккордеона

К функциям классической версии ПАК Аккорд NT/2000 V2.0 добавлены возможности усиленной аутентификации терминальных станций, аппаратной идентификации пользователей подключающихся к терминальному серверу и разграничения доступа терминальных сессий.

В качестве аппаратных идентификаторов можно использовать TM-идентификаторы подключаемые на любую плату семейства «Аккорд». Если в терминальном клиенте нет возможности использовать PCI плату, то можно воспользоваться ПСКЗИ «ШИПКА», подключаемым к USB-порту.

Вне зависимости от того, установлен комплекс на рабочей станции, на терминальном клиенте или на терминальном сервере, он осуществляет:

На аппаратном уровне (контроллер АМДЗ) до загрузки ОС:

  • идентификацию и аутентификацию пользователей с использованием индивидуального не копируемого электронного идентификатора (touch-memory, smart card);
  • проверку целостности аппаратуры, системных областей жесткого диска, файлов, ключей реестра;
  • блокировку загрузка со съёмных носителей информации для обычных пользователей;
  • работу со всеми популярными файловыми системами, такими как: FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD, Ext2*fs, Solaris;
  • ведение в памяти контроллера журнала, фиксирующего протекание процедур идентификации/аутентификации пользователя и контроля целостности;
  • создание расписания работы пользователей на неделю с точностью в 30 минут;
  • возможность физической блокировки 2 устройств;

На программном уровне комплекс осуществляет разграничение прав доступа для пользвателей:

  • защиту от НСД к ПЭВМ, включая идентификацию пользователя по уникальному TM-идентификатору или устройству ШИПКА и аутентификацию с учётом необходимой длины пароля и времени его жизни, ограничением доступа субъекта к компьютеру;
  • блокировку экрана и клавиатуры в тех случаях, когда могут реализовываться угрозы информационной безопасности, с возможностью разблокировки только с помощью TM-идентификатора (ШИПКИ) пользователя;
  • разграничение доступа к ресурсам ПЭВМ (к локальным и сетевым дискам, каталогам, файлам, контроль обращения к реестру, драйверам устройств, USB-устройствам) с применением дискреционного и (или) мандатного контроля доступа.

Эти защитные функции комплекса обеспечиваются использованием функционально полной структуры атрибутов доступа к объекту, таких как:

Операции с файлами:

1. R — разрешение на открытие файлов только для чтения.
2. W — разрешение на открытие файлов для записи.
3. C — разрешение на создание файлов на диске.
4. D — разрешение на удаление файлов.
5. N — разрешение на переименование файлов.
6. V — видимость файлов.
7. O — эмуляция разрешения на запись информации в файл.

Операции с каталогом:

1. M — создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
2. Е — удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
3. G — разрешение перехода в этот каталог.
4. n — переименование каталога.

1. Х — разрешение на запуск программ.

1. r — регистрируются все операции чтения файлов из этого каталога в журнале.
2. w — регистрируются все операции записи файлов из этого каталога в журнале.

  • Контроля целостности критичных с точки зрения информационной безопасности программ и данных (дисциплины защиты от несанкционированных модификаций), в том числе файлов операционной системы;
  • Динамического контроля целостности процессов (задач) в оперативной памяти ПЭВМ. Тем самым обеспечивается защита от программных вирусов и закладок;
  • Автоматической идентификации в системе Windows NT+ пользователей, прошедших проверку в АМДЗ (включая локальный и терминальный вход). При таком подходе исключается процедура двойной идентификации пользователей и загрузка Windows под именем пользователя, отличным от имени прошедшего идентификацию в АМДЗ;
  • Ведением подробного журнала работы пользователей во время всего сеанса функционирования ОС.

Комплекс в данное время прошёл сертификационные испытания по 3-ему классу СЗИ, 2-му классу НДВ и может применяться на объектах информатизации второй категории.

Автор: Макейчик Ю. С.

Дата публикации: 01.01.2006

Библиографическая ссылка: Макейчик Ю. С. Защита терминальных серверов с помощью ПАК СЗИ Аккорд NT/2000 V3.0 // Комплексная защита информации. Сборник материалов X Международной конференции 4–7 апреля 2006 года, Суздаль. Минск, 2006 С. 123–124.

Источник

АККОРД-NT/2000

АККОРД-NT/2000

1.защиту от несанкционированного доступа к ПЭВМ;

2.идентификацию/ аутентификацию пользователей до загрузки операционной системы с последующей передачей результатов успешной идентификации/аутентификации в операционную систему;

3.аппаратный контроль целостности системных файлов и критичных разделов реестра;

4.доверенную загрузку ОС;

5.контроль целостности программ и данных, их защиту от несанкционированных модификаций;

6.создание индивидуальной для каждого пользователя изолированной рабочей программной среды;

7.запрет запуска неразрешенных программ;

8.разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;

9.разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;

10.автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса;

11.усиленная аутентификация терминальных станций с помощью контроллера Аккорд или ПСКЗИ ШИПКА;

12.идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА);

14.управление терминальными сессиями;

15.контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет протоколировать вывод документов на печать и маркировать эти документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

Комплексная защита терминальной сессии обеспечивается тогда и только тогда, когда пользователь может работать только с защищенного терминала и только с защищенным терминальным сервером. Для этого в момент создания терминальной сессии со стороны терминального сервера необходимо аутентифицировать не только пользователя, но и терминал, а со стороны терминала необходимо убедиться в том, что терминальный сервер действительно тот, с которым должен работать пользователь. Это возможно только при наличии активных СЗИ и на терминале, и на сервере.

Стало быть, для защиты терминальной сессии необходимо установить комплекс не только на терминальный сервер, но и на терминалы.

В предлагаемой системе защиты терминальных сессий комплексы Аккорд, установленные на терминальных серверах и на пользовательских терминалах, взаимодействуют в рамках виртуальных каналов, построенных на протоколах RDP и ICA. Это позволяет использовать уже установленную связь между сервером и терминалом, а не устанавливать новую.

При этом состав полномочий пользователя инвариантен как к протоколу подключения, так и к типу терминального сервера (Microsoft или Citrix).

В течение всего сеанса работы пользователя ведется подробный журнал событий, в котором фиксируются все действия пользователя на терминальном сервере.

Программное обеспечение комплексов позволяет администратору безопасности информации описать любую не противоречивую политику безопасности на основе наиболее полного набора атрибутов (табл. 1):

Операции с файлами

разрешение на открытие файлов только для чтения

Источник

АККОРД-NT/2000

АККОРД-NT/2000

1.защиту от несанкционированного доступа к ПЭВМ;

2.идентификацию/ аутентификацию пользователей до загрузки операционной системы с последующей передачей результатов успешной идентификации/аутентификации в операционную систему;

3.аппаратный контроль целостности системных файлов и критичных разделов реестра;

4.доверенную загрузку ОС;

5.контроль целостности программ и данных, их защиту от несанкционированных модификаций;

6.создание индивидуальной для каждого пользователя изолированной рабочей программной среды;

7.запрет запуска неразрешенных программ;

8.разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;

9.разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;

10.автоматическое ведение протокола регистрируемых событий в энергонезависимой памяти аппаратной части комплекса;

11.усиленная аутентификация терминальных станций с помощью контроллера Аккорд или ПСКЗИ ШИПКА;

12.идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА);

14.управление терминальными сессиями;

15.контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет протоколировать вывод документов на печать и маркировать эти документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

Комплексная защита терминальной сессии обеспечивается тогда и только тогда, когда пользователь может работать только с защищенного терминала и только с защищенным терминальным сервером. Для этого в момент создания терминальной сессии со стороны терминального сервера необходимо аутентифицировать не только пользователя, но и терминал, а со стороны терминала необходимо убедиться в том, что терминальный сервер действительно тот, с которым должен работать пользователь. Это возможно только при наличии активных СЗИ и на терминале, и на сервере.

Стало быть, для защиты терминальной сессии необходимо установить комплекс не только на терминальный сервер, но и на терминалы.

В предлагаемой системе защиты терминальных сессий комплексы Аккорд, установленные на терминальных серверах и на пользовательских терминалах, взаимодействуют в рамках виртуальных каналов, построенных на протоколах RDP и ICA. Это позволяет использовать уже установленную связь между сервером и терминалом, а не устанавливать новую.

При этом состав полномочий пользователя инвариантен как к протоколу подключения, так и к типу терминального сервера (Microsoft или Citrix).

В течение всего сеанса работы пользователя ведется подробный журнал событий, в котором фиксируются все действия пользователя на терминальном сервере.

Программное обеспечение комплексов позволяет администратору безопасности информации описать любую не противоречивую политику безопасности на основе наиболее полного набора атрибутов (табл. 1):

Операции с файлами

разрешение на открытие файлов только для чтения

Источник

Аккорд-NT/2000 V.3.0 REVISION 4. что нового

В 2006 году был разработан и сертифицирован ПАК СЗИ НСД Аккорд-NT/2000 v.3.0, позволяющий разграничить доступ пользователей к локальным станциям/терминалам и к терминальным серверам на основании дискреционной и (или) мандатной политик безопасности. В феврале 2007 года была выпущена и сертифицирована новая версия Аккорд-NT/2000 v.3.0 revision 2. В результате эксплуатации данной версии и по многочисленным просьбам пользователей в этом году появилась новая (4-я) редакция ПАК содержащая много нововведений. На некоторых (наиболее существенных) из них мы и остановимся.

Мандатный механизм разграничения доступа с контролем процессов.

  • В новой версии администратор безопасности информации (АБИ) может назначать пользователям возможность понизить гриф процесса при попытке его запуска. При этом на экран будет выведено меню, в котором пользователь сможет указать гриф процесса, или же требуемый гриф процесса можно указать в переменной среды окружения (в этом случае процесс автоматически получит указанный гриф допуска). Это позволяет единожды прописывать в ПРД процесс, с помощью которого пользователь сможет получать доступ к документам (файлам) разной категории, указав гриф непосредственно при запуске процесса. Конечно же, доступ к документам разной категории осуществляется не одновременно.
  • При запуске процесса возможно автоматически изменять значение переменных среды окружения, таких как: TEMP, TMP, USERPROFILE и т. д. Это гарантирует, что временные файлы, создаваемые программами при своей работе, будут храниться в каталогах соответствующего грифа доступа.
  • Появился механизм, позволяющий автоматически настраивать ПРД для сложных пакетов программного обеспечения. К таким пакетам относятся Microsoft Office 2003/2008, Adоbe Photoshop и т.д. Дело в том, что при работе такие пакеты создают и модифицируют рабочие файлы в одном и том же каталоге. Так как мандатная политика запрещает понижать гриф документов (файлов), значит, невозможна модификация файлов, у которых гриф доступа ниже грифа допуска процесса. Некоторые СЗИ решают данную проблему вводя для ресурса понятие ‘Негрифованный’, т. е ресурс к которому процессы любого грифа получают полный доступ. Мы считаем, что это совершенно некорректный способ решения проблемы, вводящий принципиальную ‘дыру’ в защищаемую систему. В Аккорд-NT/2000 v.3.0.4 эта проблема решена следующим образом. Введено понятие ‘Общий ресурс’. Для объектов имеющих такой гриф, автоматически создаётся множество объектов разных грифов доступа. При работе процесса, который обращается к объекту с грифом ‘Общий ресурс’, все операции ввода/вывода автоматически перенаправляются к объекту, имеющему такой же уровень доступа, как и уровень допуска процесса. В результате работы такого механизма, модификация и создание объектов осуществляется только в каталогах соответствующей категории, что гарантирует отсутствие утечки информации.

Маркировка и учет документов выводимых на печать.

  • Устанавливать документы какого уровня доступа будут маркироваться;
  • На каких принтерах маркировка не будет осуществляться;
  • Нужно ли печатать гриф документа;
  • Нужно ли печатать имя документа;
  • Нужно ли печатать дату и время печати;
  • Нужно ли печатать имя компьютера и имя пользователя, осуществившего печать документа;
  • Нужно ли печатать имя принтера, на который производилась печать;
  • Задавать и печатать учётный номер документа;
  • Задавать и печатать название автоматизированной системы, из которой производилась печать;
  • Задать размер шрифта маркирующих знаков, а также их расположение на листе.

Конечно же, вся информация о печати документов сохраняется в специальном журнале, доступ к которому имеет АБИ.

Разное.

Кратко перечислим другие нововведения:

  • Возможность отключения/включения реле при работе спец. процессов;
  • Очистка файлов, только начиная с заданного грифа доступа;
  • Запрет загрузки компьютера в ‘Безопасном режиме’;
  • Создание резервной копии базы ПРД с возможностью её восстановления;
  • В статическом списке контроля целостности появилось понятие ‘контейнер’. Это каталоги или ключи реестра, в которых контролируется удаление или модификация существующих объектов, а также появление новых объектов;

В заключение стоит сказать, что мы постарались сделать востребованный и хорошо зарекомендовавший себя продукт более простым в администрировании, что позволит службе безопасности информации ещё более продуктивно решать задачи защиты от НСД к ЭВМ и информационным ресурсам. Комплекс прошёл сертификационные испытания по 3-ему классу СЗИ, 2-му классу НДВ и может применяться на объектах информатизации второй категории.

Автор: Макейчик Ю. С.

Дата публикации: 01.01.2008

Библиографическая ссылка: Макейчик Ю. С. Аккорд-NT/2000 V.3.0 REVISION 4. что нового // Комплексная защита информации. Сборник материалов XII Международной конференции (13–16 мая 2008 г., Ярославль (Россия)). М., 2008. С. 134–135.

Источник

Оцените статью
© 2023 Все о музыке. Песни с аккордами и нотами.