1345405

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ
ЯДЕРНЫЙ УНИВЕРСИТЕТ «МИФИ»
В.С. Горбатов, С.В. Дворянкин, А.П. Дураковский,
Р.С. Енгалычев, Т.А. Кондратьева, В.С. Лаврентьев,
В.А. Петров, В.Р. Петров
АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ
ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
ПО ТРЕБОВАНИЯМ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Под общей редакцией Ю.Н. Лаврухина
Допущено УМО по образованию в области информационной
безопасности в качестве учебного пособия для студентов
высших учебных заведений,
обучающихся по направлениям подготовки
и специальностям укрупненной группы 10.00.00 (090000)
«Информационная безопасность»
Москва 2014
УДК 004.056.53(075.8)
ББК 32.973-018.297
А92
Аттестационные испытания автоматизированных систем от несанкционированного доступа по требованиям безопасности информации:
Учебное пособие / В.С. Горбатов, С.В. Дворянкин, А.П. Дураковский,
Р.С. Енгалычев, Т.А. Кондратьева, В.С. Лаврентьев, В.А. Петров, В.Р. Петров;
под общ. ред. Ю.Н. Лаврухина. – М.: НИЯУ МИФИ, 2014. – 560 с.: илл.
Учебное пособие разработано по заданию Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и посвящено получению
практических навыков проведения аттестациионных испытаний автоматизированных систем по требованиям безопасности информации в части защищенности от несанкционированного доступа. Большую помощь в разработке
оказали такие известные в области информационной безопасности организации, как ГНИИИ ПТЗИ ФСТЭК России (г. Воронеж); Центр безопасности
информации МАСКОМ (г. Москва); Центр безопасности информации
(г. Юбилейный).
Представленный в учебном пособии материал соответствует программам
подготовки бакалавров и магистров по направлению подготовки 090900 «Информационная безопасность и специалистов» по специальностям: 090301
«Компьютерная безопасность», 090302 «Информационная безопасность телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем» и 090201 «Противодействие техническим разведкам».
Пособие может быть использовано преподавателями при проведении практических занятий, а также при реализации программ курсов повышения квалификации и переподготовки кадров.
Рецензент д-р техн. наук, проф. А.А. Тарасов
ISBN 978-5-7262-1917-2
 Горбатов В.С., Дворянкин С.В.,
Дураковский А.П., Енгалычев Р.С., Кондратьева Т.А.,
Лаврентьев В.С, Петров В.А., Петров В.Р., 2014
 Национальный исследовательский
ядерный университет «МИФИ», 2014
СОДЕРЖАНИЕ
Введение ....................................................................................................... 5
Аттестация объекта информатизации (ОИ)
по требованиям безопасности информации ...................................... 5
Учебно-лабораторное обеспечение ...................................................... 11
Состав и краткие аннотации лабораторных работ .............................. 13
Учебно-методические рекомендации по выполнению
лабораторных работ .......................................................................... 20
Работа 1. Организация аттестации АС
по требованиям безопасности информации в части защиты
от НСД. Проверка документации ......................................................... 22
Работа 2. Инвентаризация актуального состава
технических и программных средств объекта информатизации
с использованием штатных средств операционной системы
и программного обеспечения ............................................................... 35
Работа 3. Поиск отличий реально полученной
информации от информации, заявленной в исходных данных
на объекте информатизации .................................................................. 80
Поиск уязвимостей в составе и настройках системного
и прикладного программного обеспечения ..................................... 85
Работа 4. Контроль уязвимостей на уровне сети ................................... 85
Работа 5. Контроль уязвимостей на уровне
операционных систем и прикладного ПО ......................................... 116
Работа 6. Контроль уязвимостей на уровне
системы управления базами данных .................................................. 122
Работа 7. Контроль настроек механизмов
обновления системного и прикладного ПО ...................................... 166
Работа 8. Контроль механизмов идентификации
и аутентификации пользователей» при работе со средствами
защиты информации (СЗИ) от НСД «Аккорд» и «Соболь»,
и программными продуктами «НКВД 2.2» и «НКВД 2.3». .............. 172
Контроль прав доступа субъектов к объектам ................................. 206
Работа 9. Проверка организации контроля доступа
к объекту с использованием специализированных средств
доверенной загрузки ............................................................................ 207
Работа 10. Проверка настроек разрешительной
системы доступа к файловым системам с использованием
специализированных тестирующих средств и штатных средств
из состава ОС ....................................................................................... 245
3
Работа 11. Проверка организации контроля доступа
клиент-серверных приложений к объектам баз данных.
Разграничение полномочий пользователей с использованием
ролей и привилегий ............................................................................. 292
Работа 12. Детальный контроль доступа пользователей
к базам данных ..................................................................................... 308
Работа 13. Мандатный контроль доступа пользователей
к информации в базе данных............................................................... 322
Работа 14. Проверка настроек механизмов контроля доступа
специализированных средств защиты информации от НСД
сетевых средств и ПЭВМ..................................................................... 342
Контроль подсистем аудита (регистрации и учета действий
пользователей) .................................................................................... 390
Работа 15. Контроль аудита действий пользователей средствами
разработчика, встроенными средствами СУБД Oracle, аудит
действий пользователя с привилегией «sysdba» ................................ 390
Работа 16. Контроль детального аудита действий пользователей
в СУБД Oracle ....................................................................................... 411
Контроль подсистемы обеспечения целостности ............................. 431
Работа 17. Настройка средств контроля целостности на основе
операций контрольного суммирования .............................................. 431
Работа 18. Контроль настроек и работы антивирусных средств......... 451
Работа 19. Контроль восстановления базы данных при разных
сценариях потери/повреждения файлов, физического
копирования и архивирования данных ............................................... 468
Работа 20. Контроль восстановления базы данных методами
логического копирования ..................................................................... 486
Ответы к тестовым заданиям ................................................................... 504
Приложения. Образцы типовых форм отчетной документации
по аттестационным испытаниям автоматизированных систем
в части защиты от несанкционированного доступа .......................... 509
Приложение 1. Протокол испытаний АС на соответствие
требованиям по защите информации от несанкционированного
доступа .............................................................................................. 509
Приложение 2. Результаты тестирования АС ................................... 515
Приложение 3. Инструкция по проведению антивирусного
контроля АС ..................................................................................... 522
Приложение 4. Инструкция пользователю автоматизированной
системы по работе с секретной информацией .............................. 524
Приложение 5. Инструкция администратору защиты АС ............... 529
Приложение 6. Скрипт для лабораторных работ 11–13 и 15 ........... 534
Список литературы .............................................................................. 553
4
ВВЕДЕНИЕ
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ (ОИ)
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа ‒ «Аттестата соответствия» подтверждается, что объект соответствует требованиям
стандартов или иных нормативно-технических документов по
безопасности информации, утвержденных Федеральной службой
по техническому и экпортному контролю (ФСТЭК) России.
Наличие на объекте информатизации действующего «Аттестата
соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия».
Обязательной аттестации подлежат объекты информатизации,
предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и
может осуществляться по инициативе заказчика или владельца
объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его
соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при
5
специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие),
от утечки или воздействия на нее за счет специальных устройств,
встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню
безопасности информации.
Аттестация проводится органом по аттестации в установленном
законодательством порядке в соответствии с программой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
• анализ исходных данных по аттестуемому объекту информатизации;
• предварительное ознакомление с аттестуемым объектом информатизации;
• проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям
нормативной и методической документации;
• определение (уточнение) угроз безопасности информации и
модели вероятного нарушителя применительно к конкретным условиям функционирования объекта;
• разработка программы и методик проведения аттестационных испытаний и согласование с Заказчиком;
• проверка объекта информатизации на соответствие организационно-техническим требованиям по защите информации;
• определение технических средств и систем, для которых рекомендуется проведение специальных лабораторных испытаний и
специальных проверок (проведение работ осуществляется по решению руководителя организации Заказчика);
• проведение испытаний отдельных средств и систем защиты
информации на аттестуемом объекте информатизации с помощью
специальной контрольной аппаратуры и тестовых средств;
• проведение испытаний отдельных средств и систем защиты
информации в испытательных центрах (лабораториях) по сертифи6
кации средств защиты информации по требованиям безопасности
информации;
• проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
• подготовка отчетной документации по результатам аттестационных испытаний и разработка, при необходимости, предложений по совершенствованию системы защиты информации на объекте информатизации;
• анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации, утверждение заключения по результатам аттестации, оформление «Аттестата соответствия» на объект информатизации.
При проведении аттестационных испытаний ОИ в части защиты от несанкционированного доступа (НСД) помимо общего комплекса работ специалисты-эксперты должны обладать дополнительными углубленными умениями и практическими навыками по
целому ряду направлений работ, причем каждое направление работ
предполагает решение ряда частных задач, требующих от специалиста-эксперта определенных умений и практических навыков, в
том числе по применению специализированных программных
средств.
На рис. В.1 приведена последовательность задач, которые в
дальнейшем рассматриваем в качестве основных учебно-методических задач при подготовке специалиста-эксперта.
В рамках задачи проведения инвентаризации актуального состава технических и программных средств ОИ рассматриваются
следующие подзадачи:
• Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием стандартных средств операционных систем.
• Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием специализированных средств системного сканирования ПЭВМ.
• Проведение инвентаризации состава технических и программных средств локальной вычислительной сети с использованием стандартных средств операционных систем.
7
• Проведение инвентаризации состава технических и про-
граммных средств локальной вычислительной сети с использованием специализированных средств сетевого и системного сканирования ЛВС.
Рис. В.1. Типовые учебно-методические задачи по аттестации объектов
информатизации в части защиты от НСД
• В рамках задачи сверки результатов инвентаризации с представленными исходными данными по составу технических и программных средств ОИ.
• Поиск отличий реально полученной информации от информации, заявленной в исходных данных на ОИ.
В рамках задачи поиска уязвимостей в составе и настройках
системного и прикладного программного обеспечения рассматриваются следующие подзадачи:
• Контроль уязвимостей на уровне сети с использованием
специализированных сетевых сканеров безопасности.
• Контроль уязвимостей на уровне операционных систем и
прикладного ПО с использованием специализированных системных сканеров.
8
•
Контроль уязвимостей на уровне СУБД с использованием
специализированных сканеров баз данных.
• Контроль настроек механизмов обновления системного и
прикладного ПО.
В рамках задачи контроля механизмов идентификации и аутентификации пользователей рассматриваются следующие подзадачи:
• Контроль состава и параметров учетных записей пользователей.
• Контроль настроек параметров парольной политики.
• Проверка стойкости паролей.
В рамках задачи контроля прав доступа субъектов к объектам
рассматриваются следующие подзадачи:
• Проверка организации контроля доступа к объекту с использованием специализированных средств доверенной загрузки.
• Проверка организации контроля доступа к объекту с использованием стандартных средств из состава операционных систем.
• Проверка настроек разрешительной системы доступа субъектов к объектам файловых систем с использованием стандартных
средств из состава операционных систем.
• Проверка настроек разрешительной системы доступа субъектов к объектам файловых систем с использованием специализированных тестирующих средств контроля доступа.
• Проверка организации контроля доступа клиент-серверных
приложений к объектам баз данных.
• Проверка возможностей сетевого удаленного доступа к объектам доступа ОИ изнутри ЛВС с использованием специализированных сетевых тестирующих средств.
• Проверка возможностей сетевого удаленного доступа к объектам доступа ОИ из-за периметра ЛВС с использованием специализированных сетевых тестирующих средств.
• Проверка настроек механизмов контроля доступа специализированных средств защиты информации от несанкционированного
доступа для автономных ПЭВМ.
• Проверка настроек механизмов контроля доступа специализированных сетевых средств защиты информации от несанкционированного доступа.
• Проверка установленных прав и привилегий пользователей
при работе в системе.
9
• Контроль доступа к съемным носителям информации с ис-
пользованием специализированных средств.
• Контроль настроек средств межсетевого экранирования.
• Контроль возможности обхода механизмов доверенной загрузки системы.
В рамках задачи контроля подсистем регистрации и учета (аудита) рассматриваются следующие подзадачи:
• Проверка настроек стандартных параметров аудита операционных систем. Анализ работы подсистем аудита на основе записей
в системных журналах аудита.
• Проверка настроек параметров аудита для коммуникационного оборудования. Анализ работы подсистем аудита коммуникационного оборудования на основе записей в соответствующих
LOG-файлах.
• Проверка настроек параметров аудита специализированных
средств защиты информации от несанкционированного доступа.
Анализ работы подсистем аудита специализированных средств защиты информации от несанкционированного доступа на основе
записей в журналах аудита СЗИ от НСД.
• Проверка параметров аудита стандартных средств СУБД.
• Генерация событий, подлежащих аудиту, с применением
специализированных программных средств.
• Аудит наличия остаточной информации на магнитных носителях и проверка работоспособности механизмов затирания остаточной информации.
• Контроль настроек и журналов аудита специализированных
средств и подсистем обнаружения вторжений.
В рамках задачи контроля подсистемы обеспечения целостности рассматриваются следующие подзадачи:
• Проведение операций контрольного суммирования установленного программного обеспечения и специализированных средств
защиты информации от несанкционированного доступа.
• Проверка настроек и работоспособности механизмов контроля целостности компонентов СЗИ от НСД и программной среды
при загрузке системы и при внесении в них изменений.
• Контроль настроек и работы антивирусных средств.
• Контроль настроек и работоспособности средств резервного
копирования и восстановления информации (стандартные систем10
ные средства, специализированные средства, средства СУБД),
включая:
− контроль организации мест хранения резервных копий данных;
− контроль полноты и достаточности резервных копий данных;
− контроль периодичности резервного копирования;
− контроль настроек параметров доступа к резервным копиям
данных.
УЧЕБНО-ЛАБОРАТОРНОЕ ОБЕСПЕЧЕНИЕ
Лабораторные работы выполняются в специализированной лаборатории «Контроль защищенности ЛВС от несанкционированного доступа» (рис. В.2) учебной группой численностью не более
восьми человек, разделенных на четыре подгруппы по два человека. В лаборатории находятся объединенные в локальную сеть восемь компьютеров и файловый сервер с выходом в Internet.
Рис. В.2. Специализированная лаборатория
«Контроль защищенности ЛВС от несанкционированного доступа»
11
Дистрибутивы программного обеспечения СУБД Oracle10gEE (СУБД Oracle 11gEE). Описания всех лабораторных работ настоящего учебного пособия, связанных с СУБД, ориентированы на использование Oracle10gEE, но подходят также и для версии Oracle 11gEE с единственным отличием пути к директориям
исполняемых файлов, которое будет указано в описаниях лабораторных работ.
Учебные заведения получают лицензию на использование
СУБД Oracle в учебном процессе по программе Oracle Academy
(https://academy.oracle.com/index.html).
СУБД Oracle разных версий многократно для разных версий
ОС представлена в Государственном реестре сертифицированных
средств защиты информации со сроками действия сертификатов по
отдельным версиям до 2015 года.
Учебный стенд :
система: Microsoft Windows XP Professional версия 2002 SP 3;
компьютер Intel(R) Core(TM)2 Duo CPU E6750 2.67 ГГц 1.99 ГБ
ОЗУ;
программное обеспечение: Microsoft Office Стандартный 2007,
Adobe Reader 7.0, Windows Internet Explorer 8, Антивирус Касперского 7.0.
В лаборатории обеспечена возможность получения обучающимися теоретических знаний и практических навыков по следующим
направлениям:
• демонстрация канала утечки информации от несанкционированного доступа в локальных вычислительных сетях на реальных
примерах;
• анализ современных сертифицированных ФСТЭК России
решений по обеспечению защиты информации от утечки за счет
НСД в локальных вычислительных сетях, включая:
‒ программные, аппаратные и программно-аппаратные комплексы защиты от НСД в ЛВС;
‒ межсетевые экраны;
‒ антивирусные программы;
‒ системы уничтожения информации на внешних носителях;
• проектирование и создание комплексной системы защиты
информации от утечки за счет НСД в ЛВС;
12
• организация и проведение контроля защищенности информации от утечки за счет НСД в локальных вычислительных сетях с
использованием современных сертифицированных ФСТЭК России
систем контроля защищенности от НСД.
Проведение контроля осуществляется с помощью сертифицированных ФСТЭК России программных средств по аттестации объектов информатизации (ОИ).
СОСТАВ И КРАТКИЕ АННОТАЦИИ
ЛАБОРАТОРНЫХ РАБОТ
Работа 1. Организация аттестации автоматизированных систем
по требованиям безопасности информации в части защиты от НСД.
Проверка документации.
Назначение: освоение практических навыков проверки первичной документации на АС при подготовке специалистов по защите
информации в области аттестации ОИ по требованиям безопасности информации.
Цель: получение студентами практических навыков проведения
подготовительного этапа аттестационных испытаний по требованиям безопасности информации в части защиты от НСД при проверке соответствия первичной документации на АС требованиям
стандартов и других нормативных документов по защите информации, утвержденных (согласованных) ФСТЭК России или иными
органами государственного управления в пределах их компетенции
от несанкционированного доступа.
Предметная область: объект исследования – исходные данные
и документация, представляемые для проведения аттестации АС в
специализированной лаборатории «Контроль защищенности ЛВС
от несанкционированного доступа».
Методы изучения – экспертно-документальный метод: ознакомление с аттестуемым объектом информатизации и анализ разработанной документации по защите информации на этом объекте.
Средства изучения – учебный стенд.
Работа 2. Инвентаризация актуального состава технических и
программных средств объекта информатизации с использованием
штатных средств операционной системы и программного обеспечения.
13
Назначение: получение практических навыков проведения аттестационных испытаний АС в части защиты от несанкционированного доступа в частности при проведении инвентаризации актуального состава технических и программных средств персонального
компьютера и локальной вычислительной сети (ЛВС) с использованием стандартных и специализированных средств операционной
системы (ОС), а также специализированного программного обеспечения (ПО) «Агент инвентаризации» и «Ревизор Сети 2.0».
Цель: получение студентами практических навыков по проведению аттестации объекта информатизации (АС) в части защиты от
несанкционированного доступа (НСД), с помощью сертифицированного программного обеспечения. Изучение методов проведения
инвентаризации состава АС штатными средствами ОС и специализированными программными средствами.
Предметная область: объект информатизации (исследования)
– Автоматизированное рабочее место (АРМ) с установленной операционной системой Microsoft Windows XР SP3.
Методы изучения – работа со специализированными программами «Агент инвентаризации», «Ревизор Сети 2.0», использование
стандартных средств Windows XР SP3 для проведение инвентаризации состава технических и программных средств отдельного персонального компьютера.
Работа 3. Поиск отличий реально полученной информации от
информации, заявленной в исходных данных на объекте информатизации (сверка результатов инвентаризации с представленными
исходными данными по составу технических и программных
средств).
Назначение: подготовка специалистов по защите информации в
области аттестации объектов информатизации по требованиям
безопасности информации в части защиты от несанкционированного доступа (НСД).
Цель: получение студентами практических навыков проведения
подготовительного этапа аттестационных испытаний по требованиям безопасности информации в части защиты от НСД при проверке отличий реально полученной информации от информации,
заявленной в исходных данных на АС.
Предметная область: объект исследования – исходные данные
и документация, предоставляемые для проведения аттестации АС.
14
Отчеты по инвентаризации технических и программных средств,
предоставляемые для проведения аттестации АС в специализированной лаборатории «Контроль защищенности ЛВС от несанкционированного доступа».
Методы изучения – экспертно-документальный метод: ознакомление с аттестуемым объектом информатизации и анализ разработанной документации по защите информации на этом объекте.
Средства изучения – учебный стенд.
Поиск уязвимостей в составе и настройках системного
и прикладного программного обеспечения
В состав тематики входят четыре лабораторные работы:
Работа 4. Контроль уязвимостей на уровне сети.
Работа 5. Контроль уязвимостей на уровне операционных систем и прикладного ПО.
Работа 6. Контроль уязвимостей на уровне системы управления базами данных.
Работа 7. Контроль настроек механизмов обновления системного и прикладного ПО.
Краткая аннотация к лабораторным работам 4–7.
Назначение: приобретение практических навыков проведения
аттестационных испытаний АС в части защиты от несанкционированного доступа (НСД) при подготовке специалистов по защите
информации в области аттестации объектов информатизации по
требованиям безопасности информации, исследование работоспособности сканера безопасности при поиске уязвимостей в составе и
настройках системного и прикладного программного обеспечения.
Цель: практическое ознакомление студентов с простыми и надежными способами обнаружения путей проникновения несанкционированных доступов в компьютерные сети, и освоение ими
практических навыков проведения исследований работоспособности сканеров безопасности на уровне сети, операционных систем и
прикладного программного обеспечения.
Студенты приобретают опыт анализа работы сканеров безопасности в различных условиях.
Цикл состоит из четырех лабораторных работ, каждая из которых является самостоятельным предметом для изучения, а вместе
15
они являются наглядным пособием для анализа работоспособности
сканеров безопасности.
Первая работа посвящена изучению основ обеспечения защиты
сетей от НСД и принципов работы с сетевыми сканерами безопасности.
Во второй работе анализируется работа сканера безопасности
«Ревизор Сети» на одном компьютере.
В третьей лабораторной работе осуществляется контроль уязвимостей на уровне системы управления базами данных (СУБД) с
использованием специализированных сканеров баз данных.
Целью четвертой работы является получение начальных знаний
по контролю настроек механизмов обновления системного и прикладного программного обеспечения на примере обновления операционной системы.
Значимость работы определяется насущностью проблемы ознакомления и обучения студентов.
Предполагается, что работа может получить дальнейшее развитие по мере появления новых сканеров безопасности с целью получения оперативных данных для обеспечения безопасной работы
системного и прикладного ПО.
Предметная область: объектами исследования являются компьютер, компьютерная сеть, а так же сканер безопасности «Ревизор
Сети».
Методы изучения – работа с нормативной и технической документацией.
Работа 8. Контроль механизмов идентификации и аутентификации пользователей» при работе со средствами защиты информации (СЗИ) от НСД «Аккорд» и «Соболь», а также программными
продуктами «НКВД 2.2» и «НКВД 2.3».
Назначение: Приобретение практических навыков проведения
аттестационных испытаний АС в части защиты от НСД при подготовке специалистов по защите информации в области аттестации
объектов информатизации по требованиям безопасности информации. Изучение методов и способов проверки подсистемы управления доступом при проведении аттестационных испытаний АС.
Приобретение опыта работы со средствами защиты информации
(СЗИ) от НСД «Аккорд» и «Соболь», а также программными про16
дуктами «НКВД 2.2» и «НКВД 2.3». В ходе выполнения лабораторной работы студент решает три задачи:
Задача 1. Работа с учетными записями и журналом регистрации
событий СЗИ «Аккорд» и «Соболь».
Задача 2. Проверка и настройка стойкости паролей в СЗИ «Аккорд» и «Соболь».
Задача 3. Создание и проверка модели прав доступа в программных продуктах «НКВД 2.2» и «НКВД 2.3».
Цель: Освоение методов и способов проверки подсистемы управления доступом при проведении аттестационных испытаний АС.
Предметная область: Объекты исследования – подсистемы
управления доступом.
Методы изучения – работа с СЗИ от НСД «Аккорд» и «Соболь», с их средствами идентификации\аутентификации, настройка
стойкости паролей, а также работа с анализаторами уязвимостей
«НКВД 2.2» и «НКВД 2.3».
Средства изучения – аппаратные и программные СЗИ от НСД.
Контроль прав доступа субъектов к объектам
В состав тематики входит шесть лабораторных работ:
Работа 9. Проверка организации контроля доступа к объекту с
использованием специализированных средств доверенной загрузки.
Работа 10. Проверка настроек разрешительной системы доступа к файловым системам с использованием специализированных
тестирующих средств и штатных средств из состава ОС.
Работа 11. Проверка организации контроля доступа клиентсерверных приложений к объектам баз данных. Разграничение
полномочий пользователей с использованием ролей и привилегий.
Работа 12. Детальный контроль доступа пользователей к базам
данных.
Работа 13. Мандатный контроль доступа пользователей к информации в базе данных
Работа 14. Контроль доступа к съемным носителям информации с использованием специализированных средств.
Краткая аннотация по лабораторным работам 9–14.
Назначение: подготовка специалистов по защите информации в
области аттестации объектов информатизации по требованиям
17
безопасности информации в части защиты от несанкционированного доступа и содержит описание лабораторных работ по теме
«Контроль прав доступа субъектов к объектам».
Цель: получение практических навыков проведения аттестационных испытаний по требованиям безопасности информации в части проверки соответствия АС требованиям стандартов и других
нормативных документов по защите информации, утвержденных
(согласованных) Федеральной службой по техническому и экспортному контролю (ФСТЭК) России или иными органами государственного управления в пределах их компетенции от несанкционированного доступа.
Предметная область: объект исследования – автоматизированное рабочее место на базе ПЭВМ.
Предмет исследования – контроль доступа субъектов к объектам.
Методы изучения – программные продукты «Ревизор 1 ХР» и
«Ревизор 2 ХР», работа с данными программами на автоматизированном рабочем месте и выявление несоответствий с должной моделью разграничения полномочий, изучение программноаппаратных комплексов «Аккорд – NT/2000» (версия 3.0) и «Соболь» (версия 2.0), изучение стандартных средств СУБД (на примере СУБД Oracle) для контроля (разграничения) прав доступа
субъектов к объектам.
Средства изучения – учебный стенд.
Контроль подсистем аудита
(регистрации и учета действий пользователей)
В состав тематики входят две лабораторные работы:
Работа 15. Контроль аудита действий пользователей средствами разработчика, встроенными средствами СУБД Oracle, аудит
действий пользователя с привилегией «sysdba».
Работа 16. Контроль детального аудита действий пользователей в СУБД Oracle.
Краткая аннотация по лабораторным работам 15–16.
Назначение: подготовка специалистов по защите информации в
области аттестации объектов информатизации по требованиям
безопасности информации в части защиты от несанкционированно18
го доступа и содержит описание лабораторных работ по теме
«Контроль подсистем аудита (регистрации и учета действий пользователей)», ознакомление с методами контроля подсистем систем
аудита (регистрации и учета действий пользователей) СУБД Oracle.
Цель: получение практических навыков проведения аттестационных испытаний по требованиям безопасности информации в части проверки соответствия АС требованиям стандартов и других
нормативных документов по защите информации, утвержденных
(согласованных) ФСТЭК России или иными органами государственного управления в пределах их компетенции от НСД и получение практических навыков применения методов контроля подсистем систем аудита (регистрации и учета действий пользователей)
СУБД Oracle.
Предметная область: объект исследования – учебная база данных под управлением СУБД.
Предмет исследования – контроль доступа субъектов к объектам.
Средства изучения – учебный стенд.
Контроль подсистемы обеспечения целостности
В состав тематики входят четыре лабораторные работы:
Работа 17. Настройка средств контроля целостности на основе
операций контрольного суммирования.
Работа 18. Контроль настроек и работы антивирусных средств.
Работа 19. Контроль восстановления базы данных при разных
сценариях потери/повреждения файлов, физического копирования
и архивирования данных.
Работа 20. Контроль восстановления базы данных методами
логического копирования.
Краткая аннотация по лабораторным работам 17–20.
Назначение: проведение лабораторных работ по защите информации в области аттестации объектов информатизации по требованиям безопасности информации, а в частности в области контроля
целостности данных. Ознакомление с контролем подсистемы обеспечения целостности в СУБД Oracle. Описание каждой работы содержит теоретическое введение, методику и порядок выполнения
работы, а так же список контрольных вопросов.
19
Цель: получение практических навыков проведения аттестационных испытаний по требованиям безопасности информации в части проверки соответствия АС требованиям стандартов и других
нормативных документов по защите информации, утвержденных
(согласованных) ФСТЭК России или иными органами государственного управления в пределах их компетенции от несанкционированного доступа. Получение практических навыков контролирования подсистемы обеспечения целостности в СУБД Oracle.
Предметная область: объекты исследования – учебная база
данных под управлением СУБД Oracle, автоматизированные рабочие места на базе ПЭВМ.
Предмет исследования – контроль подсистем обеспечения целостности данных.
Методы изучения – работа с программой «Фикс-2.0.1», работа с
программой «Антивирус Касперского 7.0», подсистемы обеспечения целостности в СУБД Oracle.
Средства изучения – учебный стенд.
УЧЕБНО-МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ВЫПОЛНЕНИЮ ЛАБОРАТОРНЫХ РАБОТ
Подготовительный этап
При подготовке к выполнению конкретной лабораторной работы необходимо:
1. Изучить теоретический материал, посвященный данной лабораторной работе.
2. Подготовить необходимые данные по проведению лабораторной работы с последующим занесением их в отчет.
3. Ответить на список тестовых вопросов для более детального
усвоения материала, который будет приведен в лабораторной работе.
4. Обратиться за консультацией к преподавателю с целью
уточнения каких-либо непонятных моментов по выполнению лабораторной работы.
Этапы выполнения лабораторных работ
1. Пройти инструктаж по технике безопасности, которому необходимо следовать при выполнении лабораторной работы.
20
2. Строго придерживаться рекомендованного сценария выполнения лабораторной работы.
3. Согласовать с преподавателем возможность отклонения порядка выполнения лабораторной работы от рекомендованного сценария.
4. Обращаться (при появлении потребности) за помощью к
преподавателю, проводящему учебные занятия в данной учебной
лаборатории.
Подготовка отчетов по лабораторным работам
При подготовке отчета по лабораторной работе необходимо:
1. Придерживаться рекомендаций указанных в практикуме.
2. Использовать рабочие материалы, полученные в процессе
проведения работы.
3. Выполнить требования стандартов по оформлению отчетов
(ЕСКД, ЕСПД).
4. Показать отчет преподавателю для подтверждения факта выполнения работы.
Контроль знаний
В рамках выполнения лабораторных работ рекомендуются следующие этапы и формы проведения контроля знаний:
1. Входной контроль знаний как допуск к выполнению лабораторных работ на основе тестового задания.
2. Текущий контроль за прохождением отдельных этапов выполнения каждой лабораторной работы.
3. Заключительный контроль на основе защиты отчета по каждой лабораторной работе и ответов на вопросы выходного тестового задания.
21
Работа 1
ОРГАНИЗАЦИЯ АТТЕСТАЦИИ АС
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ЧАСТИ ЗАЩИТЫ ОТ НСД. ПРОВЕРКА ДОКУМЕНТАЦИИ
Цель: освоение студентами практических навыков проведения
подготовительного этапа контроля, а именно:
1) анализ исходных данных по аттестуемому объекту информатизации;
2) предварительное ознакомление с аттестуемым объектом информатизации;
3) проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации
на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Формирование исходных данных для заявки на проведение
аттестации объекта информатизации.
2. Проверка правильности подачи исходных данных.
3. Экспертное обследование рабочего стенда.
4. Составление отчета.
ФОРМИРОВАНИЕ ИСХОДНЫХ ДАННЫХ
ПО ОБЪЕКТУ ИНФОРМАТИЗАЦИИ
Исходные данные (подача заявки) по аттестуемому объекту
информатизации готовятся на основе следующего перечня вопросов.
1. Полное и точное наименование объекта информатизации и
его назначение.
2. Характер (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень секретности
(конфиденциальности) обрабатываемой информации определен (в
соответствии с какими перечнями: государственным, отраслевым,
ведомственным, предприятия).
22
3. Организационная структура объекта информатизации.
4. Перечень помещений, состав комплекса технических средств
(основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует).
5. Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны.
6. Структура программного обеспечения (общесистемного и
прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией.
7. Общая функциональная схема объекта информатизации,
включая схему информационных потоков и режимы обработки защищаемой информации.
8. Наличие и характер взаимодействия с другими объектами
информатизации.
9. Состав и структура системы защиты информации на аттестуемом объекте информатизации.
10. Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий
сертификат, предписание на эксплуатацию.
11. Сведения о разработчиках системы защиты информации,
наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ.
12. Наличие на объекте информатизации (на предприятии, на
котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной
системы, сети, баз данных).
13. Наличие и основные характеристики физической защиты
объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители).
14. Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные
по аттестуемому объекту информатизации, влияющие на безопасность информации.
23
Рассмотрим данный перечень вопросов на примере отдельно
стоящей ПЭВМ.
Легенда:
Заказчик: ОАО «ХХХ», г. Энск, Первое шоссе, д. 11. Помещение с объектом информатизации находится на втором этаже трехэтажного здания. Контроль лиц осуществляется на контрольнопропускном пункте при входе на территорию.
Составление исходных данных для формирования заявки.
1. Объект информатизации ‒ автономное автоматизированное
рабочее место (АРМ) в составе: процессор Intel(R) Core(TM)2 Duo
CPU E6750 2.67 ГГц 1.99 ГБ ОЗУ, монитор Samsung Sync master
740BF), который используется для обработки учебной информации; локальный принтер (HP LaserJet 2100).
2. Объект информатизации ‒ АРМ соответствует классу защищенности 3Б согласно руководящему документу «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Обрабатывается научно-техническая
конфиденциальная информация.
3. Объект информатизации размещается на втором этаже трехэтажного здания в помещении 214 (рис. 1.1).
Рис. 1.1. Схема
помещения 214
24
В состав комплекса технических средств входят (рис. 1.2):
• автономный ПК;
• локальный принтер.
Рис. 1.2. Автономное
автоматизированное
рабочее место
4. Границами контролируемой зоны является забор, расположенный по периметру территории ОАО «ХХХ» (см. рис. 1.1).
5. Структура программного обеспечения дана в табл.1.1.
Таблица 1.1
ПО
ПК
Автономный
Общесистемное
Windows XP SP3
Прикладное
Microsoft Office 2007
Oracle 10g
Антивирус Касперского
Стандартные средства
обработки информации
ПО Аккорд NT/2000
V3.0
Протоколов обмена информации нет, так как рассматривается
автономный ПК.
6. Общая функциональная схема объекта информатизации показана на рис. 1.3.
Рис. 1.3. Общая функциональная схема объекта информатизации
25
7. Защищаемая информация циркулирует внутри данного объекта (автономного ПК) и не взаимодействует с другими объектами
информатизации.
8. На автономном АРМ установлен программно-аппаратный
комплекс средств защиты информации «Аккорд-NT/2000» v.3.0 с
идентификаторами Touch Memory.
9. Программно-аппаратный комплекс средств защиты информации «Аккорд-NT/2000» v.3.0 является сертифицированным
ФСТЭК России. Сертификат ФСТЭК России 1161/1 на комплекс
СЗИ НСД «Аккорд-NT/2000» v.3.0. Выдан 31 марта 2006 г. Переоформлен 30 октября 2012 г. Действителен до 31 марта 2015 г.
10. Система защиты информации разрабатывается штатным
сотрудником кафедры, на которого возлагаются обязанности администрирования и обеспечения безопасности информации данного
ОИ. Сторонних разработчиков нет.
11. Служба безопасности информации отсутствует. Обязанности администрирования и обеспечения информационной безопасности возлагаются на штатного сотрудника кафедры, которой принадлежит данное помещение.
12. Задачи обеспечения информационной безопасности решаются организационными мерами. Перечень организационных мер:
• размещение АРМ в помещениях, исключающих доступ посторонних лиц;
• опечатывание системных блоков АРМ для недопущения внесения изменений в их конфигурацию;
• тщательный подбор персонала, осуществляющего эксплуатацию и обеспечение информационной безопасности АС;
• разработка документации по информационной безопасности.
13. Имеется в наличии предписание на эксплуатацию данного
объекта информатизации, а также перечень основных организационных документов, обеспечивающих информационную безопасность:
• «Перечень информационных ресурсов, подлежащих защите»
классифицирует защищаемую информацию по уровню конфиденциальности и уровню ценности информации (определяемой величиной возможных прямых и косвенных экономических потерь в
случае нарушения ее целостности и несвоевременности представления);
26
• «Инструкция по внесению изменений в списки пользовате-
лей АС и наделению их полномочиями доступа к ресурсам системы». Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно указанной инструкции, которая в свой состав включает также «Список пользователей АС» и «Матрицу доступа сотрудников к
ресурсам ПТК»;
• дополнения к функциональным обязанностям и технологическим инструкциям, устанавливающие требования для пользователей защищенных АРМ, по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мероприятий по обеспечению установленного режима защиты информации могут быть оформлены в виде отдельного документа или отдельных дополнений, входящих в состав «Должностных инструкций сотрудников организации»;
• «Инструкция администратора безопасности» и «Руководство
пользователю АРМ» разрабатываются на основе нормативных документов с учетом принятой политики безопасности;
• «Паспорт объекта автоматизированной системы» разрабатывается на каждый защищенный объект АС, содержит сведения об
аппаратных и программных решениях, применяемых на конкретном объекте АС. В состав программного обеспечения АРМ должно
входить только ПО, предусмотренное в паспортах на соответствующие объекты системы;
• «Инструкция по организации парольной защиты» призвана
регламентировать процессы генерации, смены и прекращения действия паролей пользователей в АС организации, а также контроль
за действиями пользователей и обслуживающего персонала системы при работе с паролями;
• «Инструкция по организации антивирусной защиты» регламентирует организацию защиты АС от воздействия компьютерных
вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС,
за ненадлежащее выполнение требований инструкции;
• «Регламент резервного копирования и план восстановления»
определяет участников процесса резервного копирования, их роли,
содержит список резервируемых ресурсов, описывает порядок соз27
дания и хранения резервных копий, ПО и СЗИ, а также порядок
восстановления информации, ПО и СЗИ в случае необходимости.
Для формирования исходных данных для локальной сети с выходом в Internet требуется проверка наличия дополнительной документация, помимо приведенной выше:
1. Инструкция по использованию ресурсов сети Internet.
2. Инструкция пользователю по работе с сетью Internet.
3. Инструкция администратору безопасности информации при
работе на выделенном рабочем месте по связи с сетью Internet.
4. Инструкция по наполнению WEB-сервера.
5. Направление работ по наполнению WEB-сервера.
МЕТОДИКА И ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ
1. Формирование исходных данных для заявки на проведение
аттестации объекта информатизации.
Сформируйте исходные данные для локально-вычислительной
сети, используя пример, описанный выше в данной лабораторной
работе, и рис. 1.4.
Рис. 1.4. Схема стенда для формирования исходных данных
2. Проверка правильности подачи исходных данных.
Проверьте правильность формирования исходных данных и наличие документации на данный объект информатизации. Для этого
необходимо после выполнения п. 1 обменяться полученными дан28
ными с соседней подгруппой, выполняющей аналогичную работу.
Сделайте соответствующие отметки о правильности формирования
исходных данных.
3. Экспертное обследование рабочего стенда.
Согласно исходным данным другой подгруппы проведите экспертное обследование их объекта информатизации на соответствие
исходных данных реальным.
4. Составление отчета.
На основании проделанной работы необходимо составить отчет, в котором указать, соответствуют ли исходные данные и документация соответствующему объекту информатизации.
5. Учебный стенд ЛВС с выходом в Internet.
Выполните пп. 1–4 с той же легендой для локальновычислительной сети с выходом в Internet (рис. 1.5).
Рис. 1.5. Схема стенда для формирования исходных данных
29
6. Составление отчета.
Составьте аналогичный отчет (см. п. 4) для объекта информатизации (локально-вычислительная сеть с выходом в Internet).
Тестовые задания к лабораторной работе 1
Входной контроль
1. Какой основной документ устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации?
a) «Руководящий документ. Средства вычислительной техники.
Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
b) «Положение по аттестации объектов информатизации по
требованиям безопасности информации»;
c) «Требования к нормативным и методическим документам по
аттестации объектов информатизации»;
d) «Алгоритм аттестации объектов информатизации по требованиям безопасности информации».
2. Сколько групп и классов защищенности АС от НСД к
информации?
a) 2 группы 6 классов;
b) 3 группы 4 класса;
c) 3 группы 9 классов;
d) 4 группы 12 классов.
3. Какие условия включает в себя вторая группа классов
защищенности АС от НСД к информации?
a) АС, в которой работает один пользователь, имеющий доступ
ко всей информации АС с разными уровнями конфиденциальности;
b) многопользовательская АС, в которой одновременно обрабатывается и хранится информация разных уровней конфиденциальности;
c) АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или)
хранимой на носителях различного уровня конфиденциальности;
d) нет верного ответа.
30
4. Какой основной документ необходимо предоставить заявителю для аттестации объекта информатизации?
a) заявка на проведение аттестации объекта информатизации;
b) технические паспорта на объект информатизации;
c) акт обследования объекта информатизации;
d) заявление на проведение аттестационных мероприятий.
5. Организационную структуру системы аттестации объектов информатизации образуют:
a) ФСТЭК России;
b) ФСБ;
c) НУЦ (национальный удостоверяющий центр);
d) органы по аттестации объектов информатизации по требованиям безопасности информации;
e) заявители (заказчики).
6. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
a) подачу и рассмотрение заявки на аттестацию;
b) анализ исходных данных;
c) заключение договоров на аттестацию;
d) классифицирование АС;
e) рассмотрение апелляций.
7. Посредством какого документа подтверждается, что объект информатизации соответствует требованиям стандартов
или иных нормативно-технических документов по безопасности информации?
a) «Аттестат об аккредитации»;
b) «Аттестат соответствия»;
c) «Сертификат соответствия»;
d) «Паспорт объекта информатизации».
8. Какие объекты информатизации подлежат обязательной
аттестации?
a) ОИ, предназначенные для обработки конфиденциальной информации;
b) ОИ, предназначенные для обработки информации, составляющей государственную тайну;
c) ОИ, предназначенные для ведения секретных переговоров;
d) ОИ, обрабатывающие информацию, составляющую коммерческую тайну.
31
9. Что такое НСД?
a) доступ к информации, нарушающий правила разграничения
доступа с использованием штатных средств, предоставляемых
средствами вычислительной техники или автоматизированными
системами;
b) доступ к информации, не соответствующий правилам разграничения доступа, с целью получения конфиденциальной информации всевозможными способами;
c) доступ к информации, с целью получения конфиденциальной
информации, при помощи специализированных средств.
10. На какой срок выдается «Аттестат соответствия»?
a) 5 лет;
b) 2 года;
c) 1 год;
d) 3 года.
Выходной контроль
1. Согласно какому документу определяется класс защищенности АС?
a) «Руководящий документ. Средства вычислительной техники.
Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
b) «Положение по аттестации объектов информатизации по
требованиям безопасности информации»;
c) «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
d) «Средства вычислительной техники. Защита от несанкционированного доступа к информации. ГОСТ Р 50739–95».
2. Степени секретности информации ограниченного доступа?
a) особой важности;
b) особой секретности;
c) секретно;
d) особого доступа;
e) совершенно секретно.
32
3. К техническим средствам относятся:
a) розетки с напряжением 220 В;
b) автономный ПК;
c) принтер (локальный, сетевой);
d) межсетевой экран;
e) нет верного ответа.
4. Контролируемая зона:
a) территория, на которой находится аттестуемый объект информатизации;
b) территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа;
c) территория, на которой проводятся аттестационные испытания;
d) территория объекта, на которой исключено неконтролируемое пребывание лиц, имеющих разовый доступ.
5. Что относится к общесистемному ПО?
a) офисные программы;
b) антивирусные программы;
c) операционные системы;
d) нет верного ответа.
6. Что должно быть указано в предписании на эксплуатацию технического средства?
a) наименование технических средств;
b) схема расположения технических средств;
c) вид обрабатываемой информации;
d) заводские номера каждого технического средства.
7. Какие бывают методы испытаний?
a) визуальные;
b) экспертный анализ;
c) опытная эксплуатация;
d) акустические.
8. К прикладному программному обеспечению относятся:
a) операционные системы;
b) офисные программы;
c) стандартные средства обработки информации;
d) нет верного ответа.
33
9. Что такое аттестация объекта информатизации?
a) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат
соответствия) подтверждается, что объект отвечает требованиям
стандартов или иных нормативно-технических документов по
безопасности информации, утвержденных Гостехкомиссией России;
b) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат
соответствия) подтверждается, что объекту информатизации присвоен класс защищенности;
c) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат
соответствия) подтверждается, что объект информатизации отвечает требованиям безопасности информации от НСД;
d) нет верного ответа.
10. Какие функции осуществляют органы по аттестации?
a) подают заявки на проведение аттестации;
b) организуют обязательную аттестацию объектов информатизации;
c) аттестуют объекты информатизации;
d) выдают «Аттестаты соответствия».
34
Работа 2
ИНВЕНТАРИЗАЦИЯ АКТУАЛЬНОГО СОСТАВА
ТЕХНИЧЕСКИХ И ПРОГРАММНЫХ СРЕДСТВ ОБЪЕКТА
ИНФОРМАТИЗАЦИИ С ИСПОЛЬЗОВАНИЕМ ШТАТНЫХ
СРЕДСТВ ОПЕРАЦИОННОЙ СИСТЕМЫ И ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ
Цель: получение студентами практических навыков по проведению аттестации объекта информатизации (АС) в части защиты от
несанкционированного доступа (НСД), с помощью сертифицированного программного обеспечения. Изучение методов проведения
инвентаризации состава АС штатными средствами ОС и специализированными программными средствами.
ОПИСАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Назначение программы «Агент инвентаризации»
«Агент инвентаризации» предназначен для автоматизированного
сбора информации об аппаратном и программном обеспечении
АРМ. При этом выполняются следующие функции:
• сбор информации об аппаратных и программных средствах в
составе АРМ;
• сохранение полученной информации и возможность просмотра ее в будущем;
• генерация отчетов на основе полученной информации;
• взаимодействие с другими программами (за счет открытого и
документированного формата входных и выходных данных).
Условия применения
Требования к техническим средствам. Рекомендуемая конфигурация ПЭВМ:
• процессор – Intel Pentium и выше;
• ОЗУ – 64 МБ;
• на ЖМД не менее 20 Мбайт дискового пространства;
• видеоадаптер – SVGA.
35
При улучшении конфигурации «Агент инвентаризации» выполняется быстрее.
Требования к программному обеспечению. «Агент инвентаризации» работает под управлением ОС Windows 95, 98, Me, NT 4,
2000, XP и Server 2003. Дополнительных требований к программному обеспечению не предъявляется. При выполнении программы необходимо находиться в системе с правами администратора.
Входные и выходные данные
Входными данными «Агента инвентаризации» являются:
• указываемый пользователем требуемый состав получаемой
информации;
• указываемые пользователем параметры выполнения программы.
Выходными данными «Агента инвентаризации» являются:
• информация об аппаратном и программном обеспечении, полученная в ходе работы программы и сохраненная в файле;
• отчеты на основе информации, полученной в ходе работы
программы (в формате HTML).
Состав и функции программы
Программа состоит из нескольких модулей, каждый их которых
реализован в виде отдельного файла (табл. 2.1).
Сбор системной информации выполняется основным исполняемым модулем. Модуль графического интерфейса используется для
управления запуском основного исполняемого модуля, отображения
результатов работы программы в удобной для пользователя форме и
генерации отчетов.
Выполняемые функции:
• сбор информации о программном и аппаратном обеспечении. Во время работы «Агент инвентаризации» получает информацию о программном и аппаратном обеспечении в составе АРМ, а
также информацию о настройках аппаратного и программного обеспечения. Полученная информация сохраняется в файле для дальнейшего использования.
36
Таблица 2.1
Имя файла
Agent.exe
sysinfo.exe
sysinfo.dll
sysinfo9x.dll
SysInfo.sys
sysinfo1.dat
sysinfo2.dat
Описание
Модуль графического интерфейса для работы с программой
Основной исполняемый модуль
Библиотека функций по сбору информации о системе
(используется при работе программы под управлением
ОС NT 4, 2000, XP и Server 2003)
Библиотека функций по сбору информации о системе
(используется при работе программы под управлением
ОС Windows 95, 98, Me)
Драйвер, используемый для непосредственного доступа к оборудованию (используется при работе программы под управлением ОС NT 4, 2000, XP и Server
2003)
Файлы данных, содержащие информацию, используемую при декодировании идентификаторов PCI устройств
• генерация отчетов. На основе полученной информации
может быть создан отчет в формате HTML. Состав отчета определяется пользователем. Генерация отчетов выполняется с помощью
модуля графического интерфейса;
• взаимодействие с другими программами. Работа основного
исполняемого модуля управляется с помощью параметров командной строки, что позволяет другим программам автоматически запускать его, используя заранее сформированную строку параметров. Формат выходных результатов оптимизирован для загрузки в
базу данных.
Выполнение программы
Для установки «Агента инвентаризации» нужно скопировать
файлы программы в любой каталог на жестком диске. Никаких дополнительных действий по установке не требуется.
Порядок выполнения зависит от поставленной задачи. Для запуска программы из командной строки нужно выполнить файл sysinfo.exe с указанием требуемых параметров работы. Для запуска
37
программы с использованием графического интерфейса используется файл Agent.exe.
Выполнение с использованием графического интерфейса.
Модуль графического интерфейса предназначен для упрощения
взаимодействия между пользователем и основным исполняемым
модулем. Основными функциями модуля графического интерфейса
являются: запуск основного исполняемого модуля для сбора информации, просмотр результатов работы и генерация отчетов.
Также он может быть использован для формирования командной
строки запуска основного исполняемого модуля, если «Агент инвентаризации» применяется как часть программного комплекса.
Главное окно программы (рис. 2.1) имеет следующие элементы:
• строка меню;
• панель инструментов;
• дерево объектов;
• список свойств текущего объекта;
• строка состояния.
Рис. 2.1. Главное окно программы
38
Меню дублирует все функции, доступные с панели инструментов. На панели инструментов расположены следующие кнопки:
– загрузка и просмотр результатов полученных при предыдущих запусках программы;
– сбор системной информации;
– создание отчета.
Кнопки панели инструментов имеют всплывающие подсказки,
появляющиеся при задержке курсора мыши над ними. Если команда, соответствующая кнопке, недоступна, кнопка также недоступна
и отображается в сером цвете.
Вся полученная информация отображается в виде набора объектов, каждый из которых имеет собственный набор свойств. Перечень объектов отображается в дереве объектов (с разбиением по
классам). Справа в списке свойств отображаются свойства текущего (выделенного в дереве) объекта.
Строка состояния отображает информацию о текущей выполняемой операции.
Сбор информации
Для сбора информации о системе используется кнопка
панели инструментов. После ее нажатия на экране появляется диалоговое окно, в котором можно за несколько шагов настроить параметры сбора информации.
Шаг 1. Настройка параметров работы программы (рис. 2.2).
На этом шаге устанавливаются основные параметры, определяющие работу программы. Прежде всего, это имя файла для сохранения результатов (указывается с помощью кнопки ). Также
можно включить режимы «Добавлять описание для идентификаторов классов и свойств» (добавляет параметр /descr к строке запуска
основного исполняемого модуля) и «Подавлять вывод сообщений
об ошибках» (параметр /silent).
Шаг 2. Определение состава получаемой информации (рис. 2.3).
На этом шаге определяется, какая информация должна быть
получена в ходе работы программы. При этом используются групповые параметры. Если требуется детально определить состав получаемой информации, то нужно выделить вариант «Выбрать
вручную».
39
Рис. 2.2. Настройка параметров работы программы
Рис. 2.3. Определение состава получаемой информации
40
Шаг 3. Определение состава получаемой информации (дополнительно) (рис. 2.4).
Этот шаг выполняется, только если был выбран вариант «Выбрать вручную» на предыдущем шаге. Пользователю предоставляется возможность более точно определить состав получаемой информации. Для удобства можно использовать функции «Выделить
все» и «Снять все отметки», доступные через контекстное меню.
Рис. 2.4. Определение состава получаемой информации (дополнительно)
Шаг 4. Настройка параметров фильтрации журналов аудита
(рис. 2.5, 2.6).
Этот шаг выполняется только в том случае, если в ходе работы
программы должна быть получена информация из журналов аудита.
С целью сокращения объема выходных данных, в «Агенте инвентаризации» предусмотрена возможность фильтрации записей
системных журналов событий.
41
Рис. 2.5. Параметры фильтрации журналов событий
Рис. 2.6. Создание правила фильтрации журнала событий
42
Для добавления правила фильтрации надо нажать кнопку «Добавить», после чего на экране появится окно настройки параметров
создаваемого правила. В нем указывается, к какому из полей записи в журнале событий применяется правило, и требуемое значение
поля. В дальнейшем правила фильтрации можно будет удалять и
редактировать.
Анализ полей «Категория», «Источник» и «Описание» проводится с помощью регулярных выражений. Это дает возможность
гибко описывать требования к значению полей. В простейшем случае, если не используются управляющие символы, удовлетворяющими требованию считаются все строки, содержащие заданную
подстроку. Более подробную информацию можно найти в документации по регулярным выражениям.
Если используются несколько условий, то они объединяются
следующим образом: однотипные условия объединяются с помощью логического оператора ИЛИ, затем результаты объединения
однотипных условий объединяются с помощью логического оператора И. Запись признается соответствующей требованиям, если она
удовлетворяет хотя бы одному условию каждого типа.
Шаг 5. Завершение формирования параметров (рис. 2.7).
Рис. 2.7. Завершение подготовки параметров
43
На этом этапе формирование параметров уже завершено, и на
экран выводится командная строка, которая будет использована
при запуске основного исполняемого модуля. Эта строка может
быть скопирована и использована в дальнейшем для запуска основного исполняемого модуля без использования графического интерфейса.
При нажатии кнопки «Готово» выполняется запуск основного
исполняемого модуля и ожидание завершения его работы. Все результаты сохраняются в файл, указанный в шаге 1. После завершения результаты работы отображаются в главном окне программы.
Формирование отчетов
Создание отчета осуществляется с помощью кнопки . После
нажатия этой кнопки на экране появляется окно настройки состава
формируемого отчета. Для удобства можно использовать функции
«Выделить все» и «Снять все отметки», доступные через контекстное меню (рис. 2.8).
Рис. 2.8. Формирование отчета
44
После завершения выбора и нажатия кнопки «ОК» будет запрошено имя файла для сохранения отчета и затем создан отчет.
Программа формирует отчет в формате HTML. Файлы в этом формате могут быть открыты любым Web-браузером (например, Internet Explorer) или импортированы в офисные приложения, такие,
как Microsoft Word.
Выполнение с использованием командной строки
Для запуска «Агента инвентаризации» из командной строки используется файл sysinfo.exe. Команда запуска имеет вид:
sysinfo.exe имя файла [список параметров]
Имя файла – обязательный параметр, в этот файл будут сохранены результаты работы программы.
Список параметров – определяет состав получаемой информации и параметры работы программы. Если никаких параметров не
указано, то программа работает в стандартном режиме и собирает
всю доступную информацию за исключением информации о системных журналах событий.
В списке параметров могут быть использованы значения, перечисленные ниже.
Параметры, определяющие режим работы программы:
/silent – необязательный параметр, использование его запрещает
вывод сообщений об ошибках, возникающих в ходе работы программы (например, сообщение о невозможности записи в выходной файл);
/descr – необязательный параметр, включает режим добавления
текстовых описаний для кодов классов и свойств.
Параметры, определяющие состав получаемой информации:
/iСI – получить общую информацию о компьютере;
/iOS – получить информацию об операционной системе;
/iHF – получить информацию об установленных пакетах обновлений;
/iDM – получить информацию о принадлежности к домену;
/iLI – получить информацию о региональных установках;
/iOM – получить информацию о модулях операционной системы;
/iUL – получить информацию о пользователях;
/iLG – получить информацию о локальных группах;
45
/iGG – получить информацию о глобальных группах;
/iLP – получить информацию о политике блокировки;
/iPP – получить информацию о политике паролей;
/iAS – получить информацию о настройках аудита;
/iSL – получить список служб системы;
/iAL – получить список установленных приложений;
/iSA – получить список автоматически запускаемых приложений;
/iML – получить список модемов;
/iNL – получить список сетевых адаптеров;
/iNC – получить список сетевых компонентов (протоколов,
служб, клиентов);
/iLD – получить информацию о логических дисках;
/iIE – получить настройки браузера;
/iEL – получить содержимое журналов событий;
/iPL – получить информацию о запущенных процессах;
/iPR – получить информацию о принтерах;
/iSH – получить список общих ресурсов;
/iMI – получить информацию о памяти;
/iHD – получить информацию о жестких дисках;
/iHI – получить информацию об устройствах компьютера;
/iSI – получить информацию о сканерах;
/PCI – получить информацию об устройствах на шине PCI.
Групповые параметры получения информации:
/All – получить всю информацию;
/Software – получить всю информацию о программном обеспечении;
/Hardware – получить всю информацию об аппаратном обеспечении;
/Security – получить всю информацию о настройках безопасности;
/Summary – формирование краткого свободного отчета по конфигурации системы. Этот параметр отменяет действие всех прочих
параметров.
Параметры фильтрации содержимого системных журналов
событий:
/logname имя_журнала – выбор записей только из указанного
журнала. В качестве имени журнала может быть указано как ото46
бражаемое имя (Приложение, Система, Безопасность, …), так и
системное имя журнала (application, system, security, …). Данный
параметр может быть использован несколько раз. Например, запуск
программы следующим образом:
sysinfo info.txt /iel /logname system /logname Безопасность
добавит в отчет содержимое журналов «Система» и «Безопасность»;
/eventuser имя_пользователя – выбор записей из журналов событий, относящихся только к указанному пользователю. Имя пользователя может быть указано как непосредственно (например,
«Администратор»), так и с указанием домена («DOMAIN\ Администратор»). Данный параметр может использоваться несколько раз
для выбора записей, относящихся к нескольким различным пользователям;
/catname имя_категории – выбор записей из журнала, поле
«Категория» которых удовлетворяет условию;
/eventid идентификатор_события – выбор из журнала записей
с заданным значением поля «Идентификатор». Значение должно
быть числовым;
/eventcode код_события – выбор из журнала записей с заданным значением поля «Код (ID)». Значение должно быть числовым.
Значения кодов событий являются стандартными. Доступны следующие коды событий (табл. 2.2):
Таблица 2.2
Значение
0
1
2
4
8
16
Описание
Успех
Ошибка
Предупреждение
Уведомление
Аудит успехов
Аудит отказов
/eventsource имя_источника – выбор записей из журнала, поле
«Источник» которых удовлетворяет условию;
/eventdetails дополнительная_информация – выбор записей из
журнала, поле «Описание» которых удовлетворяет условию.
Эти параметры имеют силу, только если в отчет добавляются
журналы событий (использован ключ /iEL, /Security или /All).
47
Примеры применения фильтрации
sysinfo info.txt /iel /logname Безопасность
– вывод в отчет содержимого журнала «Безопасность»;
sysinfo info.txt /iel /catname «Изменение политики»/eventuser
Администратор
– вывод информации обо всех случаях изменения политики безопасности пользователем «Администратор». Следует обратить внимание, что строковые значения, содержащие пробелы, должны
быть заключены в кавычки;
sysinfo info.txt /iel /eventcode 1 /eventcode 16 /eventuser Администратор
– вывод информации о событиях типа «Ошибка (код 1) или «Аудит
отказов» (код 16), связанных с пользователем Администратор;
sysinfo info.txt /iel /eventdetails ошибка /eventdetails отказ
– вывод информации о событиях, содержащих слова «ошибка» или
«отказ» в поле «Описание».
Программа «Ревизор сети 2.0»
Назначение программы. Сетевой сканер «Ревизор Сети»
предназначен для использования администраторами и службами
информационной безопасности вычислительных сетей, а также органами по аттестации объектов информатизации в целях обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP.
Объектами исследования сетевого сканера являются ПЭВМ,
сервера, коммутационное оборудование, межсетевые экраны и другие узлы сети, имеющие IP-адреса.
«Ревизор Сети» позиционируется в качестве одного из элементов создаваемой Центром безопасности информации линейки интегрированных между собой программных продуктов, обеспечивающих комплексное тестирование, анализ и контроль защищенности вычислительных сетей различного уровня и назначения в условиях гетерогенной программной среды.
48
Условия применения. Программа «Ревизор Сети» может быть
установлена только на компьютеры, оснащенные процессорами
семейства INTEL X86 или совместимыми с ними. Требования к
конфигурации компьютеров содержатся в табл. 2.3.
Таблица 2.3
Элемент
Минимально
Рекомендуется
Процессор
Pentium Ш - 500 МГц Pentium IV – 1,6 ГГц
Оперативная память
128 Мб
512 Мб
Жесткий диск
500 Мб
1 Гб
(свободное пространство)
Видеоадаптер
VGA
VGA/SVGA
17 ”
15 ”
Монитор
(800×600 - 256 цве- (1024×768 - 256 цветов)
тов)
Тип операционной системы на ПЭВМ:
• Windows 2000 Professional;
• Windows XP Professional.
Не рекомендуется установка «Ревизора Сети» на ПЭВМ с операционными системами Windows 2000 Server, Windows 2000
Advanced Server или Windows 2003 Server.
Привилегии пользователя программы. При установке и эксплуатации ПО «Ревизор Сети» необходимы привилегии локального администратора компьютера или администратора домена сети.
Требования к сетевому ПО. «Ревизор Сети» версии 2.0 предназначен для использования в сетях Ethernet, функционирующих на
основе протокола TCP/IP. На компьютере должны быть установлены
компоненты операционной системы, обеспечивающие работу с сетевым протоколом TCP/IP.
Дополнительное программное обеспечение. Для обеспечения
работы ПО «Ревизор Сети» необходимо, чтобы на компьютере было установлено следующее дополнительное программное обеспечение:
• Internet Explorer версии 5.0 или выше;
• ПО сервера баз данных Firebird версии 2.0.;
• сетевой драйвер WinPcap версии 3.1;
• драйвер для электронного ключа Guardant.
49
Все вышеуказанное ПО входит в дистрибутивный комплект поставки сетевого сканера.
В ПО «Ревизор Сети» предусмотрена возможность интеграции
с сетевым сканером Nmap, также имеющемся на дистрибутивном
диске и необходимом для проведения некоторых проверок.
Состав «Ревизора Сети» версии 2.0. «Ревизор Сети» версии
2.0 включает:
• основной исполняемый модуль – Scaner3.exe;
• модуль сканирующего ядра – Scaner3Dispatcher.exe;
• модуль визуализации сетевого трафика – MapInfo3.exe;
• модули библиотек с тестирующими проверками;
• модули вспомогательных библиотек;
• ключ авторизации на основе электронного ключа Guardant
для USB или LPT портов.
Основные характеристики. Программа «Ревизор Сети» позволяет проводить тестирование (выполнение заданных наборов проверок) сетевых устройств (узлов) и операционных систем, поддерживающих стек протоколов TCP/IP, функционирующих в составе вычислительных сетей и систем, использующих технологии Ethernet и
Fast Ethernet, и однозначно идентифицирующихся собственным IPадресом.
Функции, выполняемые «Ревизором Сети»:
• «Ревизор Сети» содержит базу данных по доступным проверкам. Регистрация наборов проверок в базе данных «Ревизора
Сети» осуществляется вручную при первом запуске программы в
соответствии с библиотеками проверок, поставляемыми в составе
«Ревизора Сети». Просмотр зарегистрированных проверок осуществляется в интерфейсной части «Ревизора Сети» в виде раскрывающегося графического «дерева» проверок;
• «Ревизор Сети» позволяет осуществлять одновременное параллельное многопоточное тестирование узлов сети;
• «Ревизор Сети» позволяет осуществлять параллельное выполнение взаимнонезависимых проверок;
• запуск «Ревизора Сети» и выполнение проверок возможны
только при наличии установленного на компьютере электронного
ключа авторизации. При отсутствии электронного ключа выполнение программы прекращается;
50
• тестирование осуществляется путем проведения сеанса рабо-
ты в рамках вновь создаваемой или созданной ранее сессии. «Ревизор Сети» позволяет сохранить настройки последнего сеанса, проведенного с сессией, для их использования при следующем сеансе;
• тестирование осуществляется в рамках диапазона IP-адресов,
заданных при создании новой сессии. Количество тестируемых IPадресов не превышает количество, указанное в лицензии при поставке программного продукта, и задается в поставляемом вместе с
программным обеспечением электронном ключе авторизации;
• тестирование осуществляется только для узлов сети, доступных в момент проведения сеанса работы с сессией. Доступность
узлов сети определятся путем запуска любой из поставляемых проверок для определения доступности или их любой совокупности.
Проверки, связанные с определением доступности, автоматически
выделяются в отдельную группу;
• тестирование осуществляется путем создания плана проверок на основе доступных наборов проверок различных категорий,
зарегистрированных в базе данных «Ревизора Сети»;
• проверки, результаты которых необходимы для работы какой-либо из выбираемых (отмечаемых при построении плана) проверок, включаются в план автоматически;
• последовательность выполнения проверок для сформированного плана определяется;
• «Ревизор Сети» позволяет в динамике отображать процесс
выполнения плана проверок в части выполняющихся и закончивших выполнение проверок;
• в ходе сеанса работы с сессией «Ревизор Сети» позволяет в
любой момент времени в графическом виде визуализировать процессы обмена информацией между отдельными узлами сети;
• «Ревизор Сети» позволяет в любой момент времени прервать
выполнение плана проверок;
• все результаты выполненных проверок для каждого сеанса
работы могут быть сохранены в базе данных «Ревизора Сети» и в
дальнейшем просмотрены в интерфейсной части сетевого сканера в
виде соответствующего дерева результатов;
• «Ревизор Сети» позволяет осуществлять объединение узлов
сети в группы по IP-адресам. Каждый узел сети может входить в
любое количество созданных групп;
51
• «Ревизор Сети» позволяет осуществить просмотр отдельных
обобщенных результатов работы для всей совокупности узлов сети,
по группам и по отдельному IP-адресу за любой из проведенных
сеансов работы и за всю сессию;
• «Ревизор Сети» позволяет осуществить формирование отчетов по результатам работы сетевого сканера. Отчеты формируются
для любой совокупности IP-адресов;
• по каждому выполненному плану работы «Ревизор Сети» позволяет осуществить формирование отчетов различной степени детализации, а также в обобщенном виде в части обнаруженных уязвимостей;
• «Ревизор Сети» формирует отчеты в формате HTML и виде
документов Microsoft Word;
• «Ревизор Сети» позволяет проводить обновление базы выполняемых проверок путем регистрации новых библиотек проверок, поставляемых разработчиками программного продукта;
• «Ревизор Сети» имеет полностью русскоязычный интерфейс;
• в процессе работы «Ревизор Сети» позволяет осуществлять
взаимодействие с сетевым сканером Nmap в части идентификации
сервисов, сетевых устройств и типов операционных систем.
«Ревизор Сети» включает наборы проверок по следующим категориям:
• определение доступности узлов проверяемой сети не менее
чем тремя различными методами;
• определение открытых TCP и UDP портов на узлах проверяемой сети;
• верификация типа операционной системы, установленной на
проверяемом узле сети,
• верификация сетевых сервисов;
• определение NetBios-имени проверяемого узла сети;
• определение DNS-имени проверяемого узла сети;
• проверка учетных записей для узлов сети, функционирующих под управлением операционных систем семейства Windows;
• определение наличия и доступности общих сетевых ресурсов
на проверяемых узлах сети;
• сопоставление служб и сервисов, запущенных на узлах сети
портов, назначенных и контролируемых организацией IANA;
52
• проверка известных уязвимостей операционных систем се-
мейства Windows;
• проверка установленных обновлений программного обеспечения операционных систем семейства UNIX;
• проверка известных уязвимостей сервиса FTP;
• проверка известных уязвимостей сервиса RPC;
• проверка известных уязвимостей электронной почты;
• детальный анализ структуры и контента Web-сайта;
• проверка узлов сети на наличие DOS-уязвимости (отказ в обслуживании);
• проверка наличия удаленного доступа к приложениям;
• проверка возможности получения прав удаленного администратора;
• проверка наличия паролей по умолчанию;
• подбор паролей через SMB.
Установка ПО «Ревизор Сети» (рис. 2.9). Дистрибутив «Ревизора Сети» поставляется на диске CD-R. После установки диска в
CD-ROM компьютера на экране появится окно интерфейса программы-установщика (при установленном режиме AutoRun). Если
режим AutoRun не поддерживается, необходимо запустить файл
AutoRun.exe из корневого каталога на CD-R.
Рис. 2.9. Установка ПО «Ревизор Сети»
53
В части отдельных результатов «Ревизор Сети» интегрирован со
сканером Nmap. Комлект Nmap версии 4.20 записан на поставляемом CD-R диске. Данное ПО свободно распространяется в рамках
лицензии производителя (Free Software Foundation, Inc. 59 Temple
Place - Suite 330, Boston, MA 02111-1307, USA, http://insecure.org/).
Установку программного обеспечения рекомендовано выполнять в такой последовательности:
‒ установить сканер Nmap;
‒ установить сервер баз данных Firebird версии 2.0;
‒ установить ПО «Ревизор Сети»;
‒ установить и провести конфигурацию драйвера электронного ключа защиты Guardant.
В процессе установки сканера Nmap рекомендуется выбирать
параметры установки по умолчанию.
При установке ПО сервера баз данных Firebird версии 2.0 и ПО
«Ревизор Сети» пользователю выдаются стандартные диалоги по
принятию лицензионного соглашения и выбору каталогов для установки ПО. В выдаваемых диалогах установщика необходимо выбирать значения параметров, принятые по умолчанию.
В процессе установки драйвера для электронного ключа защиты Guardant сам ключ не должен быть установлен в USB (LPT)
гнездо ПЭВМ. После установки драйвера на экране появится следующее окно (рис. 2.10) :
Рис. 2.10. Установка драйвера
54
Выбрав пункт «Конфигурировать драйвер», можно просмотреть
и изменить настройки драйвера Guardant (рис. 2.11).
Рис. 2.11. Настройки драйвера
ПО Guardant автоматически определяет тип ключа, установленного в текущий момент времени на компьютере. При возникновении каких-либо проблем, связанных с определением ключа защиты, рекомендуется вручную проставить отметку для использования
порта USB в данном окне настройки драйвера.
При запуске «Ревизора Сети» возможно появление сообщения
об ошибке (рис. 2.12). Данное сообщение связано с логикой работы
сервера баз данных Firebird версии 2.0 и не свидетельствует о некорректной работе «Ревизора Сети».
Рис. 2.12. Ошибка
55
При появлении такого сообщения необходимо выполнить следующие операции:
1. Завершить выполнение «Ревизора сети».
2. Через панель управления запустить менеджер Firebird сервера (иконка
Firebird 2.0 Server Manager).
3. В открывшемся окне менеджера сервера (рис. 2.13) нажать
кнопку «Stop», затем появившуюся кнопку «Start» (перезапустить
сервер).
4. Повторно запустить ПО «Ревизор Сети».
Рис. 2.13. Окно менеджера
После выполнения указанной последовательности действий
«Ревизор Сети» должен успешно стартовать.
При первом запуске карты активности «Ревизора Сети» (кнопка
«Карта») возможно появление сообщений «Системе не удается
найти указанный путь» или «Класс не зарегистрирован» (рис. 2.14).
В случае появления такого сообщения необходимо выполнить
следующие действия:
1. Завершить «Ревизор Сети».
2. Запустить
выполняемый
файл
карты
активности
(«MapInfo3.exe») используя средства Windows.
56
3. Завершить выполнение файла MapInfo3.exe.
4. Файл MapInfo3.exe находится в каталоге с установленным
ПО «Ревизора Сети» в подкаталоге «bin»).
Рис. 2.14. Ошибка
После выполнения указанной последовательности действий ПО
карты активности, запускаемое в «Ревизоре Сети» должно стартовать корректно.
Применение «Ревизора Сети»
Запуск программы. Программа «Ревизор Сети» запускается
посредством меню Пуск / Программы рабочего стола Windows или
57
путем клика левой кнопкой мыши на ярлыке «Ревизор Сети», размещенном на рабочем столе после инсталляции ПО.
Запуск программы возможен только при подключенном к USB или LPT порту электронном ключе защиты
из комплекта поставки ПО!
После запуска программы на экране монитора появляется заставка (рис. 2.15).
Рис. 2.15. Запуск программы
При первом запуске программы необходимо зарегистрировать
библиотеки, входящие в состав дистрибутива. Для этого в меню
Файл / Регистрация библиотек выбираются библиотеки с модулями
проверок для дальнейшего использования. Рекомендуется выбрать
все библиотеки.
Далее открывается главное окно программы (рис. 2.16).
58
Рис. 2.16. Главное окно программы
Начало работы с программой. Работа с «Ревизором Сети»
осуществляется в рамках сессии. Под сессией подразумевается совокупность устанавливаемых пользователем параметров проверок,
атрибутов работы программы и результатов проверок.
Пользователю предоставлена возможность экспорта сессии в
файл и импорта сессии из файла. В базе данных может храниться
только текущая сессия, для работы с несколькими сессиями нужно
пользоваться операциями экспорта и импорта.
Установка параметров сессии (рис. 2.17). Основным параметром сессии является рабочий диапазона IP-адресов тестируемой
сети. Его необходимо указать при первом запуске «Ревизора Сети»,
либо при изменении состава тестируемой сети.
Создание новой сессии осуществляется путем выбора пункта
меню Настройки / Параметры сессии. При этом появится окно создания новой сессии.
59
При задании адресов можно через запятую (без пробела) указывать диапазоны нескольких сетей класса С или отдельные IPадреса, например:
192.168.20.1-254,192.168.21.5-70,10.1.1.5,10.1.1.36
Рис. 2.17. Параметры сессии
При желании можно сохранить указанный в сессии диапазон
адресов в текстовом файле или загрузить из текстового файла при
создании новой сессии.
Необходимо помнить, что использование программного продукта осуществляется в рамках лицензии на определенное количество IP-адресов.
Если проводилось сканирование каких-либо узлов сети, то при
создании новой сессии можно видеть информацию о количестве
использованных/неиспользованных IP-адресов, а также перечень
использованных IP-адресов.
При этом в поле «Рабочий диапазон IP-адресов» автоматически
выводится ранее заданное значение диапазона.
При изменении параметров сессии, предыдущая сессия удаляется и создается новая с указанными параметрами. Если предыду60
щая сессия содержит какую-либо важную информацию, ее можно
сохранить в файл.
Сохранение сессии в файл. Сохранение новой сессии осуществляется путем выбора пункта меню Файл/Сохранить сессию. После выбора файла все данные сессии будут сохранены в указанный
файл в XML-формате.
Загрузка сессии из файла. Загрузка новой сессии осуществляется путем выбора пункта меню Файл/Загрузить сессию. После выбора файла сессия будет загружена из указанного файла. Текущая
сессия при этом будет удалена.
Описание режимов работы. Во время сеанса работы пользователь может находиться в одном из следующих основных режимов
работы:
• формирование плана проверки доступности узлов проверяемой сети;
• проверка доступности узлов сети;
• формирования плана проверок для проведения сканирования
сети;
• выполнение сформированных планов проверок;
• просмотр результатов;
• формирование отчетов.
Каждому режиму работы соответствует одно или несколько экранных «окон» в графическом интерфейсе сетевого сканера:
• окно формирования плана проверки доступности узлов сети;
• окно формирования плана проверок для проведения сканирования сети;
• окно отображения динамики выполняемых проверок;
• окно протокола работы и просмотра «дерева» результатов;
• окно просмотра обобщенных результатов работы;
• окно формирования отчетов.
Переход в то или иное окно осуществляется через соответствующие кнопки панели инструментов в левой части экрана или посредством выбора требуемого пункта меню. Наименование текущего окна отображается в строке статуса в нижней части экрана.
Формирование плана проверки доступности узлов сети. Логика работы «Ревизора Сети» построена таким образом, что поль61
зователю предоставлена возможность выполнения проверок только
для доступных в настоящий момент узлов сети.
Таким образом, выполнению проверок предшествует определение доступных для сканирования узлов сети (IP-адресов). После
начала работы с «Ревизором Сети» пользователь автоматически
попадает в окно формирования плана проверок для определения
доступности узлов сети. В этом окне пользователь должен определить, доступность каких узлов нужно определить, а также какие
методы должны при этом использоваться (рис. 2.18).
Рис. 2.18. Определение доступности
Предоставляемые пользователю методы определения доступности узлов сети являются единственными проверками, которые
можно выполнять для любого узла в рамках заданного диапазона
IP-адресов без учета ограничений приобретенной лицензии на ПО.
Все другие проверки выполняются только для определенной совокупности доступных узлов.
62
Проверки определения доступности узлов не зависят
от количества IP-адресов, на которое выдана лицензия, и могут всегда выполняться для любых узлов проверяемой сети.
Формирование плана сканирования сети. Основной задачей
сетевого сканера является выявление потенциальных уязвимых
мест в настройках программного обеспечения узлов проверяемой
сети, отвечающего за обеспечение сетевого взаимодействия. Для
решения данной задачи в «Ревизоре Сети» предусмотрены проверки по различным категориям.
План выполнения проверок формируется в соответствующем
окне формирования плана проверок для сканирования сети. Пользователь отмечает узлы, на которые хочет пустить проверки, выбирает требуемые проверки и формирует план проверок.
Необходимо помнить, что IP-адреса узлов, попавших
однажды в план проверок после нажатия кнопки
«Сформировать план проверок», сразу автоматически
фиксируются как IP-адреса диапазона лицензии, выданной на программный продукт.
Формирование плана проверок в «Ревизоре Сети» осуществляется путем проставления отметки против соответствующей проверки, коррекции (при необходимости) отдельных входных параметров проверок и нажатия кнопки «Добавить проверки в план».
Для удобства формирования плана проверок предусмотрен режим автоматического выделения зависимых проверок. Если это
режим включен, то при выделении проверки автоматически выделяются все другие проверки, результаты которых необходимы для
ее выполнения. Режим автоматического выделения зависимых проверок можно включать и выключать с помощью соответствующей
кнопки ( ) (рис. 2.19).
Выполнение сформированного плана проверок осуществляется
по кнопке «Выполнить план проверок».
Если пользователь пытается сформировать план, включающий
в себя количество IP-адресов большее, чем установлено в лицен63
зии, то в план проверок попадут только те адреса, которые уже
сканировались ранее, или же новые, но по количеству не превышающие соответствующий параметр лицензии.
Рис. 2.19. Сканирование
Таким образом, необходимо внимание при проставлении отметок для узлов, которые необходимо включить в план, чтобы в него
не попали те доступные узлы, сканирование которых не предполагается.
После нажатия на кнопку «Начать сканирование» начинается
процесс сканирования сети.
Выполнение проверок, протокол хода выполнения. После
начала процесса сканирования сети автоматически осуществляется
переход в окно отображения динамики выполняемых проверок.
64
В данном окне можно просмотреть информацию о наименованиях выполняющихся проверок, количестве запущенных проверок
на каждый из IP-адресов, количестве выполненных проверок.
Гистограммы, отображаемые для каждого узла, позволяют оценить информацию по количеству и типам проверок, давших положительный результат и не давших никакого результата.
При нажатии на кнопку «Протокол» панели инструментов в левой части экрана, появляется окно протокола выполнения плана
проверок (рис. 2.20).
Рис. 2.20. Протокол выполнения
В этом окне можно просмотреть информацию о выполненных
проверках, проверках, находящихся в ожидании выполнения и
проверках, обнаруживших уязвимости (давших положительный
результат работы).
Просмотр результатов работы. Результаты работы сетевого
сканера можно просмотреть в соответствующем окне, открываю65
щемся при нажатии кнопки «Результаты» панели инструментов,
или через основное меню программы (рис. 2.21).
Рис. 2.21. Просмотр результатов
«Ревизор Сети» предоставляет следующие режимы просмотра
результатов:
• общая информация об узлах сети (DNS и NetBios имена узлов, предполагаемый тип операционной системы, имя домена);
• информация о найденных уязвимостях;
• информация об открытых TCP и UDP портах;
• информация о пользователях и группах, зарегистрированных
на узле сети;
• информация о доступных сетевых ресурсах;
• подробная информация по узлу.
Для просмотра информации обо всей сети или группе узлов необходимо выделить соответствующую группу в дереве узлов в левой части экрана.
Для просмотра информации о конкретном узле необходимо выделить этот узел.
66
При выборе режима просмотра подробной информации по узлу,
результаты отображаются в виде дерева объектов, при этом свойства выбранного объекта отображаются в нижней части экрана.
Результаты работы привязываются к соответствующему IPадресу узла. Подробная информация может быть особенно полезна
для администраторов систем и технических специалистов.
Формирование отчетов. Данные, полученные в результате выполнения проверок, сохраняются в базе данных «Ревизора Сети» и
могут быть представлены в виде отчетов в формате HTML или
Microsoft Word.
Для формирования отчетов необходимо с помощью панели инструментов или через главное меню программы перейти в соответствующее окно.
Окно формирования отчетов разделено на две части. В левой
части осуществляется выбор узлов (IP-адресов), для которых формируется отчет. В правой части окна осуществляется выбор типа
отчета (общий, детальный и т.д.). При этом существует возможность отметить определенные виды и типы результатов, которые
должны быть помещены в отчет (рис. 2.22).
Рис. 2.22. Формирование отчета
67
Формирование отчета начинается при нажатии на кнопку «Создать отчет» на панели инструментов. В диалоге выбора файла для
сохранения отчета также нужно указать формат отчета (Word или
Html).
При большом количестве результатов сканирования и выбранных для отчета узлов сети возможна некоторая задержка во времени при формировании обобщенных видов отчетов, что обусловлено
процессами обработки информации, содержащейся в базе данных
«Ревизора Сети».
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
Проведение инвентаризации состава технических
и программных средств отдельного персонального
компьютера с использованием стандартных средств
операционной системы
Данная лабораторная работа
выполняется на АРМ под управлением ОС Windows (рис. 2.23).
Для начала выполнения лабораторной работы необходимо выполнить вход в ОС Windows.
Рис. 2.23. Схема стенда
Проведение инвентаризации
при
проведении
инвентаризации
состава технических средств отсостава автономного СВТ
дельного ПК. После загрузки ОС
необходимо произвести запуск диспетчера устройств, для этого:
1. Зайдите в меню «Пуск» => «Панель управления» => «Администрирование» => «Управление компьютером».
2. В появившемся окне выберите «Диспетчер устройств» (рис.
2.24). В появившемся справа списке подключенных устройств, выберите интересующее вас устройство, подробную информацию о
котором можно просмотреть щелкнув по нему два раза левой кнопкой мыши.
3. Полученные данные занесите в сводный отчет по инвентаризации состава ТС ПК в заранее подготовленную таблицу (табл. 2.4).
68
Рис. 2.24. Окно Диспетчера устройств
Таблица 2.4
Сводный отчет по инвентаризации состава ТС ПК
Наименование ТС
Номер версии
Производитель
Всего установлено
Проведение инвентаризации состава программных средств
отдельного ПК. Для определения установленного ПО необходимо
провести следующие действия:
69
1. Зайдите в меню «Пуск» => «Панель управления» => «Установка и удаление программ» (рис. 2.25).
Рис. 2.25. Окно установки удаления программ
2. Просмотрите подробную информацию об установленном ПО;
3. Полученные данные занесите в сводный отчет по инвентаризации состава ПО ПК в виде заранее подготовленной табл. 2.5.
Таблица 2.5
Сводный отчет по инвентаризации состава ПО ПК
Название ПО
Номер версии
Издатель
70
Всего установлено
Проведение инвентаризации состава технических
и программных средств отдельного ПК с использованием
специализированных средств системного сканирования ПЭВМ
В данном пункте лабораторной роботы используется сертифицированное программное обеспечение «Агент инвентаризации».
Выполните установку и запуск ПО согласно пункту «Выполнение программы».
Для сбора информации о системе используется кнопка
панели инструментов. После ее нажатия на экране появляется диалоговое окно, в котором можно за несколько шагов настроить параметры сбора информации.
Шаг 1. Настройка параметров работы программы.
На этом шаге устанавливаются основные параметры, определяющие работу программы. Прежде всего, это имя файла для сохранения результатов (указывается с помощью кнопки ).
Шаг 2. Определение состава получаемой информации (дополнительно).
Пользователю предоставляется возможность более точно определить состав получаемой информации. Выполните действия согласно рис. 2.26 и 2.27.
Шаг 3. Завершение формирования параметров.
На этом этапе формирование параметров уже завершено, и на
экран выводится командная строка, которая будет использована
при запуске основного исполняемого модуля. Эта строка может
быть скопирована и использована в дальнейшем для запуска основного исполняемого модуля без использования графического интерфейса (рис. 2.28).
По нажатию кнопки «Готово» выполняется запуск основного
исполняемого модуля и ожидание завершения его работы. Все результаты сохраняются в файл, указанный в шаге 1. После завершения, результаты работы отображаются в главном окне программы.
Шаг 4. Формирование отчета.
Выполнение данного шага осуществляется согласно пункту
«Формирование отчетов».
В полученном отчете содержится подробная информация об установленных ТС и ПО на данном ПК.
71
Рис. 2.26. Определение состава получаемой информации
Рис. 2.27. Определение состава получаемой информации (дополнительно)
72
Рис. 2.28. Завершение подготовки параметров
Проведение инвентаризации состава технических
и программных средств ЛВС с использованием
специализированных средств сетевого и системного
сканирования ЛВС
Подготовьте к работе стенд в соответствии с методическими
материалами по выполнению работы. Общая функциональная схема стенда дана на рис. 2.29.
Рис. 2.29. Схема стенда при проведении инвентаризации состава ЛВС
73
Выполните установку ПО «Ревизор Сети» согласно пункту
«Установка ПО «Ревизор Сети». После установки запустите программу посредством меню Пуск => Программы рабочего стола
Windows или путем клика левой кнопкой мыши на ярлыке «Ревизор Сети», размещенном на рабочем столе после инсталляции ПО.
Перед запуском программы не забудьте подключить к USB или
LPT-порту электронный ключ защиты. При первом запуске программы необходимо зарегистрировать библиотеки, входящие в состав дистрибутива. Для этого в меню Файл => Регистрация библиотек выбираются библиотеки с модулями проверок для дальнейшего
использования. Выберите все библиотеки.
Далее открывается главное окно программы (рис. 2.30).
Рис. 2.30. Главное окно программы
Установите параметры сессии согласно пункту, описанному
выше, и начните сканирование.
74
Данные, полученные в результате выполнения проверок, сохраняются в базе данных «Ревизора Сети» и могут быть представлены
в виде отчетов в формате HTML или Microsoft Word.
Для формирования отчетов необходимо с помощью панели инструментов или через главное меню программы перейти в соответствующее окно.
Начните формирование отчета, нажав на кнопку «Создать отчет» на панели инструментов. В диалоге выбора файла для сохранения отчета также надо указать формат отчета Html.
Подготовка отчета для сдачи лабораторной работы
1. В отчёте кратко описать выполненные действия.
2. Провести анализ полученных в работе результатов.
3. Полученные результаты (html файлы) оформить в виде протоколов.
Тестовые задания к лабораторной работе 2
Входной контроль
1. «Агент инвентаризации» предназначен:
a) для автоматизированного сбора информации об аппаратном и
программном обеспечении АРМ;
b) для автоматизированного учета компьютерной техники;
c) для учета рабочих станций, оргтехники и других объектов на
предприятии.
2. Основные функции программы «Агент инвентаризации»:
a) сбор информации об аппаратных и программных средствах в
составе АРМ;
b) сохранение полученной информации и возможность просмотра ее в будущем;
c) генерация отчетов на основе полученной информации;
d) нет верного ответа.
3. Входными данными «Агента инвентаризации» являются:
a) документация;
75
b) отчеты на основе информации, полученной в ходе работы
программы (в формате HTML);
c) указываемый пользователем требуемый состав получаемой
информации;
d) нет верного ответа.
4. Выходными данными «Агента инвентаризации» являются:
a) информация об аппаратном и программном обеспечении, полученная в ходе работы программы и сохраненная в файле;
b) указываемые пользователем параметры выполнения программы;
c) информация об ошибках;
d) отчеты на основе информации, полученной в ходе работы
программы (в формате HTML).
5. Основной исполняемый модуль программы «Агент инвентаризации»:
a) Agent.exe;
b) sysinfo.exe;
c) sysinfo.dll;
d) sysinfo9x.dll;
e) SysInfo.sys.
6. Для чего предназначен сетевой сканер «Ревизор Сети
2.0»?
a) для использования администраторами и службами информационной безопасности вычислительных сетей, а также органами по
аттестации объектов информатизации в целях обнаружения уязвимостей установленного сетевого программного и аппаратного
обеспечения, использующего протоколы стека TCP/IP;
b) для организации комплексной защиты физических и виртуальных серверов;
c) для защиты сети от атак неизвестного вида и стабилизации
системы;
d) для фильтрации сообщений электронной почты, поступающей на компьютеры домашних пользователей.
7. Поддержка какого протокола необходима для работы
программы?
76
a) HTTP;
b) UDP;
c) ICMP;
d) TCP/IP.
8. Какое дополнительное программное обеспечение должно
быть установлено на компьютере для обеспечения работы ПО
«Ревизор Сети»?
a) ПО сервера баз данных Firebird версии 2.0.;
b) сетевой драйвер WinPcap версии 3.1;
c) ICQ 2005;
d) драйвер для электронного ключа Guardant.
9. В каком виде «Ревизор Сети» формирует отчеты?
a) HTML;
b) документов Microsoft Word;
c) txt.
10. «Ревизор Сети» включает наборы проверок по следующим категориям:
a) определение доступности узлов проверяемой сети не менее,
чем тремя различными методами;
b) определение открытых TCP и UDP портов на узлах проверяемой сети;
c) верификация типа операционной системы, установленной на
проверяемом узле сети;
d) определение наличия и доступности общих сетевых ресурсов
на проверяемых узлах сети;
e) проверка наличия удаленного доступа к приложениям;
f) нет верного ответа.
Выходной контроль
1. Какой файл отвечает за запуск программы «Агент инвентаризации» из командной строки?
a) sysinfo.exe;
b) sysinfo9x.dll;
c) SysInfo.sys.
77
2. Какой параметр отвечает за получение общей информации о компьютере?
a) /iOS;
b) /iDM;
c) /iGG;
d) /iСI.
3. Какой параметр отвечает за получение информации об
установленных приложениях?
a) /iAL;
b) /iNL;
c) /iNC;
d) /iOM.
4. Какой параметр отвечает за получение полной информации о компьютере?
a) /iAL;
b) /All;
c) /Security.
5. Какие параметры определяют режим работы программы
«Агент инвентаризации»?
a) /silent;
b) /PCI;
c) /Software;
d) /descr.
6. Что необходимо для запуска программы «Ревизор Сети»?
a) электронный ключ Guardant;
b) специальное программное обеспечение;
c) USB флешка;
d) нет верного ответа.
7. Что необходимо зарегистрировать при первом запуске
программы «Ревизор Сети»?
a) пользователя;
b) библиотеки;
c) нет верного ответа.
8. Основные режимы работы программы:
a) формирование плана проверки доступности узлов проверяемой сети;
78
b) проверка доступности узлов сети;
c) формирования плана проверок для проведения сканирования
сети;
d) просмотр результатов;
e) формирование отчетов;
f) нет верного ответа.
9. Для отображения работающих в сети ПЭВМ в «Ревизоре
Сети» используется:
a) карта активности сети;
b) редактор групп;
c) сканер.
10. Основные режимы просмотра результатов работы программы?
a) общая информация об узлах сети;
b) информация об открытых TCP и UDP портах;
c) подробная информация по узлу;
d) нет верного ответа.
79
Работа 3
ПОИСК ОТЛИЧИЙ РЕАЛЬНО ПОЛУЧЕННОЙ ИНФОРМАЦИИ
ОТ ИНФОРМАЦИИ, ЗАЯВЛЕННОЙ В ИСХОДНЫХ ДАННЫХ
НА ОБЪЕКТЕ ИНФОРМАТИЗАЦИИ
Цель: поиск отличий реально полученной информации от информации, заявленной в исходных данных на объекте информатизации. Проведение аттестационных испытаний автоматизированной системы (АС) по требованиям безопасности информации в
части защиты от НСД в соответствии с требованиями нормативной
и методической документации.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
Выполнение данной лабораторной работы возможно только после выполнения работы 1 «Организация аттестации автоматизированных систем по требованиям безопасности информации в части
защиты от НСД. Проверка документации» и работы 2 «Проведение
инвентаризации состава технических и программных средств отдельного персонального компьютера и ЛВС с использованием
стандартных и специализированных средств операционной системы».
Этапы выполнения лабораторной работы:
1. Изучение содержания отчета лабораторной работы «Организация аттестации автоматизированных систем по требованиям
безопасности информации в части защиты от НСД. Проверка документации».
2. Изучение содержания отчетов лабораторной работы «Проведение инвентаризации состава технических и программных средств
отдельного персонального компьютера и ЛВС с использованием
стандартных и специализированных средств операционной системы».
3. Поиск отличий результатов инвентаризации и информации,
заявленной в исходных данных.
4. Составление отчета с указанием отличий реально полученной информации от информации, заявленной в исходных данных
на объекте информатизации.
80
Для проведения аттестации Заказчик должен предъявить органу
по аттестации ряд исходных данных по объекту информатизации.
Для принятия решения об аттестации объекта информатизации, органу по аттестации должны быть представлены исходные данные,
не отличающиеся от реально полученной информации по аттестуемому объекту информатизации в ходе специальных проверок.
1. Изучение содержания отчета работы 1 «Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документации». Для выполнения этого пункта вам понадобится отчет о выполнении лабораторной работы «Организация аттестации автоматизированных систем по требованиям безопасности информации в
части защиты от НСД. Проверка документации». Изучите перечень
исходных данных содержащихся в этом отчете.
2. Изучение содержания отчетов работы 2 «Инвентаризация
актуального состава технических и программных средств объекта информатизации с использованием штатных средств операционной системы и программного обеспечения». Для выполнения этого пункта понадобятся отчеты о выполнении лабораторной
работы «Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера и ЛВС с
использованием стандартных и специализированных средств операционной системы». Изучите результаты инвентаризации, содержащиеся в этом отчете, а именно:
• результаты инвентаризации с помощью специализированных
средств;
• результаты инвентаризации с помощью стандартных
средств.
3. Поиск отличий результатов инвентаризации и информации, заявленной в исходных данных. Для выполнения этого
пункта вам необходимо сверить данные отчетов, которые были
изучены в пп. 1 и 2 данной работы.
4. Составление отчета с указанием отличий реально полученной информации от информации, заявленной в исходных
данных на объекте информатизации. Составьте общий отчет, в
котором укажите отличия (если таковые имеются) результатов инвентаризации и представленных исходных данных на объект информатизации.
81
Тестовые задания к лабораторной работе 3
Входной контроль
1. Что такое аттестация объекта информатизации?
a) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат
соответствия) подтверждается, что объект отвечает требованиям
стандартов или иных нормативно-технических документов по
безопасности информации, утвержденных ФСТЭК России;
b) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат
соответствия) подтверждается, что объекту информатизации присвоен класс защищенности;
c) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат
соответствия) подтверждается, что объект информатизации отвечает требованиям безопасности информации от НСД;
d) нет верного ответа.
2. Сколько групп и классов защищенности АС от НСД к
информации?
a) 2 группы 6 классов;
b) 3 группы 4 класса;
c) 3 группы 9 классов;
d) 4 группы 12 классов.
3. Что такое НСД?
a) доступ к информации, нарушающий правила разграничения
доступа с использованием штатных средств, предоставляемых
средствами вычислительной техники или автоматизированными
системами;
b) доступ к информации, не соответствующий правилам разграничения доступа, с целью получения конфиденциальной информации всевозможными способами;
c) доступ к информации, с целью получения конфиденциальной
информации, при помощи специализированных средств.
4. Какие условия включает в себя третья группа классов
защищенности АС от НСД к информации?
82
a) АС, в которой работает один пользователь, имеющий доступ
ко всей информации АС с разными уровнями конфиденциальности;
b) многопользовательская АС, в которой одновременно обрабатывается и хранится информация разных уровней конфиденциальности;
c) АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или)
хранимой на носителях различного уровня конфиденциальности;
d) нет верного ответа.
5. Какие бывают методы испытаний?
a) визуальные;
b) экспертный анализ;
c) опытная эксплуатация;
d) акустические.
Выходной контроль
1. Степени секретности информации ограниченного доступа?
a) особой важности;
b) особого доступа;
c) секретно;
d) особой секретности;
e) совершенно секретно.
2. К техническим средствам относятся:
a) розетки с напряжением 220 В;
b) автономный ПК;
c) принтер (локальный, сетевой);
d) межсетевой экран.
3. Что относится к общесистемному ПО?
a) офисные программы;
b) антивирусные программы;
c) операционные системы;
d) нет верного ответа.
4. К прикладному программному обеспечению относятся:
a) операционные системы;
b) офисные программы;
83
c) стандартные средства обработки информации;
d) нет верного ответа.
5. Какие данные должны содержаться в отчете об инвентаризации технических средств с использованием стандартных
средств?
a) наименование ТС;
b) номер версии;
c) производитель;
d) серийный номер.
84
ПОИСК УЯЗВИМОСТЕЙ В СОСТАВЕ И НАСТРОЙКАХ
СИСТЕМНОГО И ПРИКЛАДНОГО ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ
В состав тематики входят четыре лабораторные работы (4–7).
Используемое учебно-лабораторное обеспечение
Лабораторное помещение на учебную группу, оснащенное
компьютерным оборудованием с возможностью выхода в сеть
Internet.
Примерный состав оборудования представлен на рис. 4.1.
Рис. 4.1. Состав оборудования для исследования сканеров безопасности
Работа 4
КОНТРОЛЬ УЯЗВИМОСТЕЙ НА УРОВНЕ СЕТИ
Цель: изучение основ обеспечения защиты сетей от несанкционированного доступа и принципов работы с сетевыми сканерами
безопасности.
ВВЕДЕНИЕ
Данная работа позволяет расширить практические навыки студентов в области информационной безопасности.
85
В связи с расширением использования корпоративных сетей и
сети Internet специалисты в этой области все больше осознают необходимость анализа и управления потенциальными рисками безопасности в сетях и системах. Основным источником проблем служат так называемые уязвимости или, как их еще называют, «дыры»
в программном обеспечении. Уязвимости позволяют постороннему
свободно проникать в сеть. Последствия такого вторжения могут
быть разными: от утечки конфиденциальной информации до полной потери данных.
Анализ уязвимостей – это процесс обнаружения, оценки и ранжирования рисков, связанных с системами и устройствами, функционирующими на сетевом и системном уровнях, с целью рационального планирования применения информационных технологий.
Инструменты, реализующие этот процесс, позволяют установить
собственную политику безопасности, автоматизировать анализ
уязвимостей и создать отчеты, которые эффективно связывают информацию об обнаруженных уязвимостях с подробными корректирующими действиями на всех уровнях организации. Основным
средством обнаружения уязвимостей служат сетевые сканеры
безопасности.
Одновременное использование систем анализа защищенности,
функционирующих на сетевом и системном уровнях, обеспечивает
мощнейшую защиту против трех типов уязвимостей, появляющихся от поставщика, администратора и пользователя.
Все риски можно разделить на три категории.
Риски, связанные с ПО, поставляемым поставщиком – включают ошибки, неустановленные обновления (patch'и и hotfix'ы)
операционной системы, уязвимые сервисы и незащищенные конфигурации по умолчанию.
Риски, связанные с действиями администратора – включают
доступные, но неправильно используемые настройки и функции
системы, не отвечающие политике безопасности требования к минимальной длине пароля и несанкционированные изменения в
конфигурации системы.
Риски, связанные с деятельностью пользователя – включают
уклонение от предписаний принятой политики безопасности, т.е.
любые несанкционированные действия.
86
Возможности сетевого сканирования
Сетевой сканер должен быть первым инструментом, используемым в процессе анализа защищенности. Он обеспечивает быстрый обзор уязвимостей самой высокой степени риска, которые требуют немедленного внимания. Анализ уязвимостей при сканировании на сетевом уровне поможет обнаружить очень серьезные уязвимости, такие как неправильно сконфигурированные межсетевые
экраны (МСЭ) или уязвимые Web-сервера в демилитаризованной
зоне (DMZ), которые могут предоставить потенциальную возможность для проникновения хакеров и позволить им скомпрометировать систему защиты организации. Сканирование на сетевом уровне обеспечивает быстрый и детальный анализ сетевой инфраструктуры организации как со стороны внешнего, так и со стороны
внутреннего наблюдателя.
Основные случаи необходимости
проведения мониторинга
1. Установлены не все необходимые патчи на компьютерах
(возможно, когда устанавливался важный патч, какой-то компьютер был недоступен, или на каком-то компьютере недавно переустанавливалась новая операционная система, или в сети появился
ноутбук, принесенный из дома, или был установлен виртуальный
компьютер под VMware Workstation/ Microsoft Virtual PC). В современных суровых условиях даже один непропатченный компьютер (особенно принесенный из дома поработавший в сети ноутбук)
может принести администраторам большие неприятности. Это относится не только к патчам операционных систем, но и других программных продуктов, например, SQL Server.
2. Мониторинг появления новых общих ресурсов, особенно на
клиентских компьютерах. Очень часто такие несанкционированные
сервера становятся источником проблем (поскольку пользователи
обычно не утруждают себя назначением каких-либо разрешений
или аудита) – через них может «уйти» важная информация, или
данные в этом общем ресурсе могут быть стерты другим пользователем (а резервное копирование рабочих станций производится далеко не везде).
87
3. Появление дополнительных служб и открытых портов (особенно относящихся к удаленному администрированию). Это вполне могут быть троянские программы или незащищенные средства
удаленного администрирования. Троянские программы, конечно,
лучше обнаруживать не только при помощи сканеров безопасности, но и при помощи антивирусов.
4. Появление неизвестных администратору пользователей.
Многие сканеры (например, LANGuard) показывают количество
входов в сеть и время последнего входа в сеть для каждого пользователя. При помощи этой возможности иногда можно определить,
когда появился тот или иной пользователь.
5. Ошибки в конфигурации компьютера. Ошибки допускаются
всеми, и иногда в сети организации можно найти сервер Oracle с
паролями привилегированных пользователей, установленными по
умолчанию, или SQL Server, для учетной записи SA которого назначен пустой пароль, или другие продукты с оставленными по
умолчанию паролями. Использовать такие ошибки для получения
полного контроля над системой (а иногда и доменом) совсем несложно, поэтому есть смысл регулярно проверять сеть на предмет
наличия таких проблем в настройках.
Предварительная подготовка
Создание виртуального компьютера с помощью VMware
Workstation. Создание виртуального компьютера необходимо для
того, чтобы использовать для работы не реальный сервер
обеспечивающий работу сети, а виртуальный, работоспособность
которого никак не повлияет на текущую работу сети.
Для создания виртуального компьютера удобно использовать
программу VMware Workstation .
Для этого в главном меню программы надо выбрать file => New
=> New Virtual Machine или нажать Ctrl+N.
Шаг 1.Перед вами появится окно New Virtual Machine Wizard
(рис. 4.2). В меню Virtual Machine Configuration необходимо выбрать Typical => Next.
Шаг 2. Выберите с чего производить установку: с физического
устройства либо iso-файла (рис. 4.3).
88
Рис. 4.2. Главное меню New Virtual Machine Wizard
Рис. 4.3. Выбор устройства
89
Шаг 3. Затем вам предложат выбрать операционную систему
(рис. 4.4). В меню Guest Operating System выбрать Windows Server
2003 Enterprise Edition => Next. Далее вводим ключ к Windows
Server 2003 Enterprise Edition.
Рис. 4.4. Выбор ОС
Шаг 4. Далее вам предложат задать имя виртуального компьютера и его месторасположение. Например, Virtual Machine Name:
WinServ_2003_EE,
Location:
C:\Program
Files\My
Virtual
Machines\WinServ 2003 EE => Next.
Шаг 5. Затем идет выбор «жесткого» диска (рис. 4.5). Выберите
емкость диска, поскольку программа выделяет под диск реальное
количество места на диске. Виртуальный диск следует создать объемом 8.0GB. => Next.
Шаг 6. Далее программа покажет созданный файл, в котором
храниться информация о диске. Finish.
Таким образом, появился новый виртуальный компьютер.
90
Рис. 4.5. Выбор «жесткого» диска
Установка операционной системы на нем абсолютно аналогична реальному компьютеру. Включение и выключение виртуального
компьютера осуществляется кнопками «Power on» (Ctrl+B) и
«Power off» (Ctrl+E) на главной панели.
После установки Windows Server 2003 Enterprise Edition настройте сетевое подключение. Задайте IP-адрес (например, 192.168.1.1) и
маску подсети (например, 255.255.255.0).
«Ревизор Сети» 2.0
Общие сведения. Дистрибутив «Ревизора Сети» поставляется
на диске CD-R. После установки диска в CD-ROM компьютера на
экране появится окно интерфейса программы-установщика (при
установленном режиме AutoRun). Если режим AutoRun не поддерживается, необходимо запустить файл AutoRun.exe из корневого
каталога на CD-R.
91
В части отдельных результатов «Ревизор Сети» интегрирован со
сканером Nmap. Комлект Nmap версии 4.20 записан на поставляемом CD-R диске. Данное ПО свободно распространяется в рамках
лицензии производителя (Free Software Foundation, Inc. 59 Temple
Place - Suite 330, Boston, MA 02111-1307, USA, http://insecure.org/).
Рис. 4.6. Старт программы «Ревизор Сети»
Установку программного обеспечения рекомендовано выполнять в такой последовательности (рис. 4.6):
1) установить сканер Nmap;
2) установить сервер баз данных Firebird версии 2.0;
3) установить ПО «Ревизор Сети»;
4) установить и провести конфигурацию драйвера электронного ключа защиты Guardant.
В процессе установки сканера Nmap рекомендуется выбирать
параметры установки по умолчанию.
При установке ПО сервера баз данных Firebird версии 2.0 и ПО
«Ревизор Сети» пользователю выдаются стандартные диалоги по
принятию лицензионного соглашения и выбору каталогов для установки ПО. В выдаваемых диалогах установщика необходимо выбирать значения параметров, принятые по умолчанию.
92
В процессе установки драйвера для электронного ключа защиты Guardant, сам ключ не должен быть установлен в USB (LPT)
гнездо ПЭВМ.
ПО Guardant автоматически определяет тип ключа, установленного в текущий момент времени на компьютере. При возникновении каких-либо проблем, связанных с определением ключа защиты, рекомендуется вручную проставить отметку для использования
порта USB в данном окне настройки драйвера.
При запуске «Ревизора Сети» возможно появление сообщения
об ошибке (рис. 4.7).
Рис. 4.7. Сообщение об ошибке
Данное сообщение связано с логикой работы сервера баз данных Firebird версии 2.0. и не свидетельствует о некорректной работе «Ревизора Сети». При появлении такого сообщения необходимо
выполнить следующие операции:
1. Завершить
выполнение
«Ревизора Сети».
2. Через панель управления
запустить менеджер Firebird сер-
Рис. 4.8. Окно менеджера сервера
вера (иконка
Firebird 2.0
Server Manager).
3. В открывшемся окне менеджера сервера (рис. 4.8) нажать
кнопку «Stop», затем появившуюся кнопку «Start» (перезапустить
сервер).
4. Повторно запустить ПО
«Ревизор Сети».
93
После выполнения указанных действий «Ревизор Сети» должен
успешно стартовать.
При первом запуске карты активности из-под «Ревизора Сети»,
(кнопка «Карта») возможно появление сообщений «Системе не
удается найти указанный путь» или «Класс не зарегистрирован»
(рис. 4.9)
Рис. 4.9. Возможное сообщение при первом запуске программы
В случае появления такого сообщения необходимо выполнить
следующие действия:
1) завершить «Ревизор Сети»;
2) запустить
выполняемый
файл
карты
активности
(«MapInfo3.exe») используя средства Windows;
3) завершить выполнение файла MapInfo3.exe.
94
Файл MapInfo3.exe находится в каталоге с установленным ПО
«Ревизора Сети» в подкаталоге «bin»).
После выполнения указанных действий ПО карты активности,
запускаемое из-под «Ревизора Сети» должно стартовать корректно.
Запуск программы. Программа «Ревизор Сети» запускается
посредством меню Пуск / Программы рабочего стола Windows или
путем клика левой кнопкой мыши на ярлыке «Ревизор Сети», размещенном на рабочем столе после инсталляции ПО.
Запуск программы возможен только при подключенном
к USB- или LPT-порту электронном ключе защиты из
комплекта поставки ПО!
После запуска программы на экране монитора появляется заставка (см. рис. 4.6).
При первом запуске программы необходимо зарегистрировать
библиотеки, входящие в состав дистрибутива. Для этого в меню
Файл / Регистрация библиотек выбираются библиотеки с модулями проверок для дальнейшего использования. Рекомендуется выбрать все библиотеки.
Далее открывается главное окно программы (рис. 4.10).
Начало работы с программой. Работа с «Ревизором Сети»
осуществляется в рамках сессии. Под сессией подразумевается
совокупность
устанавливаемых
пользователем
параметров
проверок, атрибутов работы программы и результатов проверок.
Пользователю предоставлена возможность экспорта сессии в
файл и импорта сессии из файла. В базе данных может храниться
только текущая сессия, для работы с несколькими сессиями нужно
пользоваться операциями экспорта и импорта.
Установка параметров сессии. Основным параметром сессии
является рабочий диапазона IP-адресов тестируемой сети. Его необходимо указать при первом запуске «Ревизора Сети», либо при
изменении состава тестируемой сети.
Создание новой сессии осуществляется путем выбора пункта
меню Натройки / Параметры сессии. При этом появится окно создания новой сессии (рис. 4.11).
При задании адресов можно через запятую (без пробела) указывать диапазоны нескольких сетей класса С или отдельные IP-адреса,
например: 192.168.20.1-254,192.168.21.5-70,10.1.1.5,10.1.1.36
95
96
Рис. 4.10. Главное окно программы
Рис. 4.11. Выбор сканируемых адресов
При желании можно сохранить указанный в сессии диапазон
адресов в текстовом файле или загрузить из текстового файла при
создании новой сессии.
Необходимо помнить, что использование программного
продукта осуществляется в рамках лицензии на определенное количество IP-адресов.
Если проводилось сканирование каких-либо узлов сети, то при
создании новой сессии можно видеть информацию о количестве
использованных/неиспользованных IP-адресов, а также перечень
использованных IP-адресов.
При этом в поле «Рабочий диапазон IP-адресов» автоматически
выводится ранее заданное значение диапазона.
При изменении параметров сессии, предыдущая сессия удаляется и создается новая с указанными параметрами. Если предыдущая сессия содержит какую-либо важную информацию, ее можно
сохранить в файл.
Сохранение сессии в файл. Сохранение новой сессии осуществляется путем выбора пункта меню Файл/Сохранить сессию. По97
сле выбора файла все данные сессии будут сохранены в указанный
файл в XML-формате.
Загрузка сессии из файла. Загрузка новой сессии осуществляется путем выбора пункта меню Файл/Загрузить сессию. После выбора
файла сессия будет загружена из указанного файла. Текущая сессия
при этом будет удалена.
Проведение сеанса работы с сессией. В общем виде
последовательность операций при использовании «Ревизора Сети»
включает следующие основные этапы:
• проверку доступности узлов сети;
• формирование плана проверок узлов сети;
• проведение проверок согласно сформированному плану;
• просмотр результатов работы проверок и формирование отчетов.
Описание режимов работы. Во время сеанса работы пользователь может находиться в одном из основных режимов работы:
• формирование плана проверки доступности узлов проверяемой сети;
• проверка доступности узлов сети;
• формирования плана проверок для проведения сканирования
сети;
• выполнение сформированных планов проверок;
• просмотр результатов;
• формирование отчетов.
Каждому режиму работы соответствует одно или несколько экранных «окон» в графическом интерфейсе сетевого сканера:
• окно формирования плана проверки доступности узлов сети;
• окно формирования плана проверок для проведения сканирования сети;
• окно отображения динамики выполняемых проверок;
• окно протокола работы и просмотра «дерева» результатов;
• окно просмотра обобщенных результатов работы;
• окно формирования отчетов.
Переход в то или иное окно осуществляется через соответствующие кнопки панели инструментов в левой части экрана или посредством выбора требуемого пункта меню. Наименование текущего
окна отображается в строке статуса в нижней части экрана (рис.
4.12).
98
99
Рис. 4.12. Общий вид экранных «окон» в графическом интерфейсе сетевого сканера
Формирование плана проверки доступности узлов сети
Логика работы «Ревизора Сети» построена таким образом, что
пользователю предоставлена возможность выполнения проверок
только для доступных в настоящий момент узлов сети.
Таким образом, выполнению проверок предшествует определение доступных для сканирования узлов сети (IP-адресов). После
начала работы с «Ревизором Сети» пользователь автоматически
попадает в окно формирования плана проверок для определения
доступности узлов сети. В этом окне пользователь должен определить, доступность каких узлов нужно определить, а также какие
методы должны при этом использоваться.
Предоставляемые пользователю методы определения доступности узлов сети являются единственными проверками, которые
можно выполнять для любого узла в рамках заданного диапазона
IP-адресов без учета ограничений приобретенной лицензии на ПО.
Все другие проверки выполняются только для определенной совокупности доступных узлов.
Формирование плана сканирования сети
Основной задачей сетевого сканера является выявление потенциальных уязвимых мест в настройках программного обеспечения
узлов проверяемой сети, отвечающего за обеспечение сетевого
взаимодействия. Для решения данной задачи в «Ревизоре Сети»
предусмотрены проверки по различным категориям.
План выполнения проверок формируется в соответствующем
окне формирования плана проверок для сканирования сети (рис.
4.13). Пользователь отмечает узлы, на которые хочет пустить проверки, и выбирает требуемые проверки и формирует план проверок.
Необходимо помнить, что IP-адреса узлов, попавших
однажды в план проверок после нажатия кнопки
«Сформировать план проверок», сразу автоматически
фиксируются как IP-адреса диапазона лицензии, выданной на программный продукт.
100
Формирование плана проверок в «Ревизоре Сети» осуществляется путем проставления отметки против соответствующей проверки, коррекции (при необходимости) отдельных входных параметров проверок и нажатия кнопки «Добавить проверки в план».
Для удобства формирования плана проверок предусмотрен режим автоматического выделения зависимых проверок. Если это
режим включен, то при выделении проверки автоматически выделяются все другие проверки, результаты которых необходимы для
ее выполнения. Режим автоматического выделения зависимых проверок можно включать и выключать с помощью соответствующей
кнопки ( ).
Рис. 4.13. Формирование плана проверок
Выполнение сформированного плана проверок осуществляется
по кнопке «Выполнить план проверок».
101
Если пользователь пытается сформировать план, включающий
в себя количество IP-адресов большее, чем установлено в лицензии, то в план проверок попадут только те адреса, которые уже
сканировались ранее, или же новые, но по количеству не превышающие соответствующий параметр лицензии.
Таким образом, необходимо внимание при проставлении отметок для узлов, которые необходимо включить в план, чтобы в него
не попали те доступные узлы, сканирование которых не предполагается.
После нажатия на кнопку «Начать сканирование» начинается
процесс сканирования сети.
Выполнение проверок, протокол хода выполнения
После начала процесса сканирования сети автоматически осуществляется переход в окно отображения динамики выполняемых
проверок (рис. 4.14).
Рис. 4.14. Динамики выполняемых проверок
102
В данном окне можно просмотреть информацию о наименованиях выполняющихся проверок, количестве запущенных проверок
на каждый из IP-адресов, количестве выполненных проверок.
Гистограммы, отображаемые для каждого узла, позволяют оценить информацию по количеству и типам проверок, давших положительный результат и не давших никакого результата.
При нажатии на кнопку «Протокол» панели инструментов в левой части экрана, появляется окно протокола выполнения плана
проверок (рис. 4.15).
Рис. 4.15. Окно протокола выполнения плана проверок
В этом окне можно просмотреть информацию о выполненных
проверках, проверках, находящихся в ожидании выполнения и
проверках, обнаруживших уязвимости (давших положительный
результат работы).
103
Просмотр результатов работы
Результаты работы сетевого сканера можно просмотреть в соответствующем окне, открывающемся при нажатии кнопки «Результаты» панели инструментов, или через основное меню программы (рис. 4.16).
Рис. 4.16. Результаты
«Ревизор Сети» предоставляет следующие режимы просмотра
результатов (рис. 4.17–4.19):
− общая информация об узлах сети (DNS и NetBios имена узла,
предполагаемый тип операционной системы, имя домена);
− информация о найденных уязвимостях;
− информация об открытых TCP и UDP портах;
− информация о пользователях и группах, зарегистрированных
на узле сети;
− информация о доступных сетевых ресурсах;
− подробная информация по узлу.
104
Рис. 4.17. Информация обо всей сети или группе узлов
Рис. 4.18. Информация о конкретном узле
105
Рис. 4.19. Подробная информация
Для просмотра информации обо всей сети или группе узлов необходимо выделить соответствующую группу в дереве узлов в левой части экрана.
Для просмотра информации о конкретном узле необходимо выделить этот узел.
При выборе режима просмотра подробной информации по узлу,
результаты отображаются в виде дерева объектов, при этом свойства выбранного объекта отображаются в нижней части экрана.
Результаты работы привязываются к соответствующему IPадресу узла. Подробная информация может быть особенно полезна
для администраторов систем и технических специалистов.
Формирование отчетов
Данные, полученные в результате выполнения проверок, сохраняются в базе данных «Ревизора Сети» и могут быть представлены
в виде отчетов в формате HTML или Microsoft Word.
106
Для формирования отчетов необходимо с помощью панели инструментов или через главное меню программы перейти в соответствующее окно (рис. 4.20).
Рис. 14.20. Формирование отчета
Окно формирования отчетов разделено на две части. В левой
части осуществляется выбор узлов (IP-адресов), для которых формируется отчет. В правой части окна осуществляется выбор типа
отчета (общий, детальный и т.д.). При этом существует возможность отметить определенные виды и типы результатов, которые
должны быть помещены в отчет.
Формирование отчета начинается при нажатии на кнопку «Создать отчет» на панели инструментов. В диалоге выбора файла для
сохранения отчета также нужно указать формат отчета (Word или
Html).
При большом количестве результатов сканирования и выбранных для отчета узлов сети возможна некоторая задержка во времени при формировании обобщенных видов отчетов, что обусловлено
107
процессами обработки информации, содержащейся в базе данных
«Ревизора Сети».
Подключение одновременно нескольких пользователей
Для того чтобы была возможность подключения к виртуальной
машине сразу нескольких пользователей (студентов), необходимо
установить Remote Administrator 2.2 на виртуальную машину и
машины студентов.
Подключение к виртуальной машине необязательно, но оно дает более наглядное представление о сканировании,
так как в момент тестирования сервер выдает всевозможные замечания о переполнении буфера и др.
Установка происходит
обычным способом. Важно
отметить, что при вводе пароля для Remote Administrator Server не следует ставить
галочку в NT security (рис.
4.21).
Далее необходимо произвести перезагрузку комРис. 4.21. Ввод пароля для Remote
Administrator Server
пьютера (рис. 4.22).
Рис. 4.22. Перезагрузка
После установки необходимо создать новые соединения со всеми клиентскими компьютерами на виртуальном компьютере, а
108
также на клиентских компьютерах с виртуальным Windows Server
2003 Enterprise Edition.
Для создания соединения необходимо в меню «Соединения» выбрать «Подключиться к…» ввести IP-адрес машины, к которой создается подключение, и нажать «Подключиться» (рис. 4.23 и 4.24).
Рис. 4.23. Подключение
Рис. 4.24. Ввод IP-адреса
109
ПОРЯДОК ПРОВЕДЕНЯ РАБОТЫ
Раздел 1. «Ревизор Сети»
Часть 1.
1. Если включен Remote Administrator, то отключите его.
2. Запустите «Ревизор Сети» на своем компьютере.
3. Настройте параметры сессии.
4. Сформируйте план сканирования сети.
5. Выполните план проверки.
6. По окончании сканирования сформируйте отчет и проанализируйте его.
Часть 2.
1. Зайдите на виртуальную машину с помощью программы
Remote Administrator v2.2.
2. Запустите «Ревизор Сети» на своем компьютере.
3. Настройте параметры сессии.
4. Сформируйте план сканирования сети.
5. Выполните план проверки.
6. По окончании сканирования сформируйте отчет и проанализируйте его.
7. Сравните отчеты из первой и второй части.
Раздел 2. Выводы по сканированию
1. Сделайте анализ возможных уязвимостей.
2. Объясните результаты сканирования.
Примечание. В результате выполнения данной лабораторной
работы может быть установлено, что программное обеспечение без
обновлений содержит немалое количество уязвимостей, которые
критическим образом могут сказаться на работе системы. Необходимо отметить, что нельзя с уверенностью сказать, что это все уязвимости в данном продукте. Это только часть уязвимостей, которые уже выявлены. Поскольку уязвимости имеют свойства появляться спонтанно, нет гарантии, что в данном программном обеспечении со временем не найдется еще одна лазейка для хакера. Таким образом, очень важно уделять безопасности должное внимание
и делать соответствующие проверки регулярно, так как проблема
обеспечения безопасности не сводится к разовому аудиту системы.
110
Тестовые задания к лабораторной работе 4
Входной контроль
1. Какой нормативный документ является основополагающим и определяющим в области информационной безопасности в РФ?
a) Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты
информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники;
b) средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации. Утверждены
Решением председателя Гостехкомиссии России от 25 июля 1997
года;
c) концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;
d) все перечисленные.
2. Какие виды вторжений вам известны?
a) маскирование;
b) «лазейка»;
c) отклонение услуги;
d) все перечисленные.
3. Какими требованиями обеспечивается защищенность от
несанкционированного доступа (НСД)?
a) требования к разграничению доступа;
b) требования к учету;
c) требования к гарантиям;
d) всеми перечисленными.
4. Что такое сканер безопасности?
a) аппаратное средство, аналогичное сканеру документов;
b) аппаратное средство, сигнализирующее о физических нарушениях в системе;
c) операционная среда;
d) программное средство для диагностики сети на предмет уязвимостей.
111
5. Что из перечисленного является сканерами безопасности:
a) HP, RStyle;
b) LanGuard, ShadowSecurityScanner, XSpider;
c) AS/400;
d) верный ответ a);
e) верный ответ b);
f) верный ответ c).
6. Что означает ситуация, когда сканирование какого-либо
узла не приводит к какому-либо результату?
a) уязвимости/дыры отсутствуют, узел/система полностью
безопасны;
b) узел не пропускает запросы или блокируются запросы промежуточными средствами защиты;
c) нет верного ответа.
7. Сколько классов защищенности от НСД существует?
a) 5;
b) 7;
c) 9;
d) нет верного ответа.
8. На основании каких документов оценивается класс защищенности СВТ?
a) Положение о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации;
b) Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты
информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники;
c) все перечисленное.
9. Какая процедура является способом проверки качества
функционирования и уровня защищенности автоматизированных систем (АС)?
a) процедура ОТК;
b) процедура аккредитации;
с) процедура аттестации;
d) процедура качества.
10. Что из перечисленного не входит в процедуру аттестации АС: планирование, сбор информации, базовый анализ, де112
тальный анализ, подготовка отчетных документов и аккредитация?
a) планирование;
b) детальный анализ;
с) аккредитация;
d) нет лишнего этапа.
11. Официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов
и норм эффективности защиты информации:
а) аттестация объекта в защищенном исполнении;
b) аттестация объекта;
с) аттестация производства.
12. Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения):
a) целостность сообщения;
b) целостность данных;
с) целостность информации.
Выходной контроль
1. Что, по вашему мнению, входит в структуру итогового
отчета для выдачи заключения:
a) введение и краткое содержание;
b) описание объекта оценки;
c) результаты аттестационных испытаний;
d) мероприятия по устранению недостатков системы защиты;
e) все перечисленное.
2. Для чего необходимо создание виртуального компьютера
при выполнении лабораторной работы?
a) для экономии памяти на рабочем компьютере;
b) для экономии памяти на рабочем сервере;
c) для того, чтобы не мешать работе сети.
3. В какой последовательности рекомендуется устанавливать ПО:
a) не имеет значения;
113
b) сканер Nmap; сервер баз данных Firebird; «Ревизор Сети»;
провести конфигурацию драйвера электронного ключа защиты
Guardant;
c) провести конфигурацию драйвера электронного ключа защиты, установить сервер баз данных, «Ревизор Сети», сканер Nmap.
4. Имеет ли значение количество IP-адресов при использовании программного продукта?
a) не имеет;
b) имеет, если количество IP-адресов больше 3-х;
c) количество IP-адресов устанавливается лицензией.
5. В каком окне можно посмотреть информацию о выполненных проверках?
a) в окне Протокола;
b) в окне результатов;
c) в окне Информации;
d) нет верного ответа.
6. По каким пяти категориям классифицирует найденные
уязвимости сканер X-Spider?
a) замечание, возможное предупреждение, предупреждение, потенциальная опасность, опасность;
b) информация, предупреждение, потенциальная опасность,
опасность, угроза;
c) сигнал, 1-й уровень опасности, 2-й уровень опасности, 3-й
уровень опасности, угроза.
7. Следует ли при вводе пароля для Remote Administrator
Server ставить галочку в NT
security (рис. 4.25)?
a) да, следует;
b) нет, не следует;
c) не имеет значения.
8. Поясните, что является протоколом Secure Sockets Layer
(SSL)?
a) это протокол, который защищает данные, пересылаемые между
Web-браузерами и Web-серверами;
b) это протокол, который гаранРис. 4.25
тирует, что данные, получаемые с
114
узла Web, приходят именно с предполагаемого узла и во время передачи они не были искажены;
c) нет верного ответа;
d) все перечисленные определения.
9. Как переводится термин DoS-атака?
a) атака, которая возможна только в DOS-системе;
b) Denial of Service (отказ в обслуживании);
c) непереводимая аббревиатура.
10. Что такое LDAP?
a) протокол доступа к директориям (каталогам) в архитектуре
клиент-сервер;
b) протокол защиты данных;
c) вредоносный код;
d) нет верного ответа.
11. Какой процесс указан на скриншоте (рис. 4.26)?
Рис. 4.26
a) установка виртуальной машины;
c) отчет;
115
b) сканирование;
d) нет верного ответа.
Работа 5
КОНТРОЛЬ УЯЗВИМОСТЕЙ НА УРОВНЕ
ОПЕРАЦИОННЫХ СИСТЕМ И ПРИКЛАДНОГО ПО
Цель: получение практических навыков анализа работы сканера
безопасности «Ревизор Сети» на уровне закрытия уязвимостей.
ВВЕДЕНИЕ
Интенсивное внедрение сетевых компьютерных технологий во
многие сферы жизни общества обусловило появление сложной и
острой проблемы защиты информации в компьютерных сетях.
Только в глобальной сети Internet ежегодно регистрируется несколько тысяч серьезных нарушений безопасности информации. В
России развернуты и функционируют десятки крупных компьютерных сетей, защита информации в которых также представляет
собой серьезную проблему.
Средства защиты информации разделяются на два класса:
1) средства защиты информации в компьютерах (серверах и рабочих станциях);
2) средства защиты информации, циркулирующей в компьютерной сети.
Одними из самых распространенных программных и программно-аппаратных средств анализа уязвимостей компьютерной
сети являются сканеры безопасности.
Сканеры безопасности подразделяются по типам обнаруживаемых уязвимостей на подгруппы:
1) средства анализа (верификации) алгоритмов программноаппаратного обеспечения;
2) средства поиска уязвимостей программно-аппаратных
средств реализации компьютерной сети на основе анализа исходных текстов и на основе исполняемого кода (в том числе путем
анализа размера и даты файла, проверки времени выполнения кода,
правильности использования памяти, переполнения стека, правильности вызова функций, а также на основе использования системы генерации тестов, дизассемблирования и использования сканеров первой группы, имитации атак);
116
3) средства поиска уязвимостей программно-аппаратных
средств обеспечения функционирования сети (сетевых сервисов и
протоколов), операционной системы и сетевого прикладного программного обеспечения (по параметрам учетных записей, длине и
сроку действия паролей, по правам пользователей на доступ к критичным ресурсам, например, системным файлам, к системному
реестру и др.).
ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ
Раздел 1. «Ревизор Сети»
1. Запустите «Ревизор Сети» на своем компьютере.
2. Настройте параметры сессии. Особое внимание обратите при
вводе IP-адреса вашего компьютера.
3. Сформируйте план сканирования сети.
4. Выполните план проверки.
5. По окончании сканирования сформируйте отчет и проанализируйте его.
Раздел 2. Выводы по сканированию
Обоснуйте результаты сканирования.
Ожидаемые результаты
В результате проведенной лабораторной работы может быть
получен отчет по поискам уязвимостей сканером безопасности
«Ревизор Сети» (табл. 5.1). Исходя из полученных результатов, рекомендуется использовать несколько сканеров безопасности в сети.
Таблица 5.1
Найдено уязвимостей
Серьезные
Уязвимость
Информация
«Ревизор Сети»
1
6
117
Тестовые задания к работе 5
Входной контроль
1. Какие виды угроз вам известны?
a) случайные, преднамеренные, активные, пассивные;
b) военные, стандартные, локальные, глобальные;
c) нет верного ответа.
2. Что представляет собой Доктрина информационной безопасности?
a) свод законов;
b) свод мнений об обеспечении информационной безопасности
в РФ;
c) совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности в РФ.
3. Кто может быть собственником информации?
a) государство;
b) юридическое лицо;
c) физическое лицо;
d) группа физических лиц;
e) все перечисленные;
f) никто из перечисленных.
4. Как на ваш взгляд эффективнее решать проблему?
a) по мере поступления;
b) с опережением;
c) ждать решения других.
5. С чего, по-вашему, должна начинаться безопасность сети?
a) с инвентаризации;
b) с обучения специалистов;
c) с закупки сканеров безопасности.
6. Как быть в ситуации, когда узел настроен так, что он не
пропускает запросы от сканера или они блокируются промежуточными средствами защиты?
a) поменять сканер;
b) установить сканер на узел и контроль сетевого трафика, исходящего из данного узла;
118
c) убрать средства защиты.
7. Данные, получаемые в результате использования шифрования – это:
а) шифровка;
b) шифротекст;
с) шифрация.
8. О какой совокупности идет речь:
-технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа;
-технические, программные и микропрограммные элементы комплекса средств защиты фискальных данных, реализующие функцию управления доступом к фискальной памяти
a) ядро защиты;
b) защита информации;
с) целостность информации.
9. Определите, является ли приведенная структура ГОСТ Р
15971 (Системы обработки информации. Термины и определения) полной:
Блок данных
Данные
Система обработки информации
a) да;
b) нет;
с) ГОСТ является пополняемым.
10. Определите, в состав какого Кодекса входят статьи:
Банковская тайна,
Коммерческая тайна
Служебная тайна
a) уголовный кодекс;
b) гражданский кодекс;
с) таможенный кодекс.
11. Является ли сокрытие должностными лицами фактов и
обстоятельств, создающих угрозу для жизни и здоровья людей,
нормой…
a) Конституции РФ;
b) ГК РФ;
с) УК.
119
12. Что из нижеперечисленного является сканером безопасности?
a) XSpider;
b) Аккорд;
с) ШЕПОТ;
d) LanGuard;
e) ShodowSecurityScanner;
f) «Ревизор сети».
Выходной контроль
1. Каковы типы обнаруживаемых уязвимостей?
a) серьезные, уязвимость, информация;
b) легкие, простые, тяжелые;
c) все перечисленные.
2. Какие типы уязвимостей, по вашему мнению, наиболее
предпочтительней отыскать?
a) уязвимость;
b) информация;
c) серьезные.
3. С чем связано появление сообщения (рис. 5.1)?
a) с логикой работы сервера баз данных Firebird;
b) с логикой работы сканера;
c) ни с чем из перечисленРис. 5.1
ного.
4. Определите, верно ли изложена последовательность этапов при использовании «Ревизора Сети»:
• проверка доступности узлов сети;
• формирование плана проверок узлов сети;
• проведение проверок согласно сформированному плану;
• просмотр результатов работы проверок и формирование
отчетов.
a) частично;
b) нет;
c) да.
120
5. Определите, верны ли основные режимы работы пользователя:
• формирование плана проверки доступности узлов проверяемой сети;
• проверка доступности узлов сети;
• формирования плана проверок для проведения сканирования
сети;
• выполнение сформированных планов проверок;
• просмотр результатов;
• формирование отчетов.
a) да;
b) нет;
c) изложено некорректно.
6. Предоставляет ли «Ревизор Сети» следующие режимы
просмотра результатов:
- общая информация об узлах сети (DNS и NetBios имена узлов,
предполагаемый тип операционной системы, имя домена);
- информация о найденных уязвимостях;
- информация об открытых TCP и UDP портах;
- информация о пользователях и группах, зарегистрированных
на узле сети;
- информация о доступных сетевых ресурсах;
- подробная информация по узлу.
a) нет, никогда;
b) согласно роли пользователя;
с) да.
121
Работа 6
КОНТРОЛЬ УЯЗВИМОСТЕЙ НА УРОВНЕ СИСТЕМЫ
УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ
Цель: получение представления о работе со сканерами баз данных для предотвращения несанкционированных действий с базами
данных, о поиске уязвимостей в составе и настройках прикладного
программного обеспечения (СУБД Oracle) с помощью специально
разработанных средств – сканеров безопасности баз данных.
ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ
1. Установить на учебном стенде сканер безопасности баз данных AppDetectivePro (trial версию, предварительно зарегистрировавшись, с сайта http://info.appsecinc.com/WebsiteAppDEval_Landing Page.html?ldt=Eval&ls=Web%20Referral&lst=Website&ld=AppD
%20Eval).
2. Настроить AppDetectivePro для выявления уязвимостей базы
данных на учебном стенде.
3. Выполнить PenTest (тест по выявлению уязвимостей в обнаруженных базах данных) средствами тестера AppDetectivePro.
4. Выполнить аудит базы данных по вопросам парольной политики, доступа к таблицам, допустимости ролей пользователей и др.
5. Выявить права пользователей (user rights) в базе данных.
6. Сформировать отчеты по результатам выявления уязвимостей базы данных посредством AppDetectivePro.
1. Установка AppDetectivePro
AppDetectivePro сложный и ёмкий продукт. Он включает базу
знаний большого объема (690 Мбайт), в которой содержатся сведения о возможных уязвимостях баз данных под управлением наиболее известных СУБД. База знаний постоянно поддерживается в актуальном состоянии фирмой Application Security ‒ разработчиком
AppDetectivePro.
Перечень
компонентов,
требуемых
для
установки
AppDetectivePro, появляется при запуске программы установки
appdetective_setup.exe и включает восемь элементов:
122
• Microsoft XML Core Services 4.0 SP2;
• Microsoft .NET Framework 2.0 SP1 (x86);
• Microsoft Visual Studio 2005 C++ Redistributable (x86);
• SQL Server 2005 Backwards Compatibility (x86);
• Datable Component 2.3;
• SHATTER knowledgebase 2.4;
• WinPcap (only required foe Windows Vista/non-admin users);
• AppDtectivePro 6.4.
Среди этих компонентов есть WinPcap, в отношении которого
указывается, что его надо устанавливать только для Windows
Vista/non-admin users. Так как на компьютерах учебного стенда установлена Windows XP, checkbox рядом со строкой WinPcap надо
убрать, так как включенный в appdetective_setup.exe WinPcap имеет
версию 4.2, рассчитанный на Widows Vista. Для работы в Windows
XP требуется WinPcap 3.1 (в открытом доступе с сайта
http://www.winpcap.org/archive/). Его и надо установить еще до установки AppDetectivePro. WinPcap – сокращение от Windows Packet
Capture (сбор пакетов Windows).
Для установки AppDetectivePro, помимо WinPcap 3.1, требуется
наличие на компьютере Windows installer 3.1. В случае отсутствия,
его необходимо предварительно установить. Такую установку приходится делать для Microsoft Windows XP [Версия 5.1.2600].
При наличии установленных WinPcap 3.1, Windows installer 3.1
установка AppDetectivePro проходит гладко без особых осложнений. Надо только внимательно смотреть за сообщениями мастера
установки и реагировать соответствующим образом. Реакция заключается, в частности, в согласии с лицензионным соглашением,
в согласии устанавливать очередной компонент, а также (в одном
из сообщений) – в выборе варианта хранения базы знаний: в
ACCESS или в MS SQL. Вариант ACCESS предпочтительней при
работе с trial версией AppDetectivePro во-первых по той причине,
что в этой версии AppDetectivePro позволяет работать только с одним сервером базы данных Oracle и с одной инстанцией, а вовторых, в связи с этим ограничением, высокая относительно
ACCESS производительность MS SQL сервера не потребуется.
123
2. Настройка AppDetectivePro для выявления уязвимостей
базы данных на учебном стенде
Работа со сканером AppDetectivePro начинается с создания сессии. В ходе создания сессии сканер выполняет предварительные
действия по настройке своей работы ‒ логическое группирование
приложений и сканера перед выполнением собственно тестирования. В частности, в базе знаний тестера выделяется группа правил
для тестирования СУБД выбираемого типа, в исполняемых программах тестера осуществляется логическая привязка именно к
этим разделам базы знаний. Завершается создание сессии процессом Discovery – выявлением всех серверов по указанным при формировании сессии IP-адресам и номерам портов.
При запуске сканера (пуск => Все программы => AppSecInc =>
AppDetectivePro => AppDetectivePro) появляется экран (рис. 6.1).
Рис. 6.1. Приглашение к созданию сессии
124
При нажатии кнопки «Next» выполняется переход к экрану с определением возможности прямого указания списка IP-адресов или
выбора их из файла. Выбираем верхнюю радиокнопку (рис. 6.2).
Здесь же заполнена checkbox, заставляющая сканировать порты
даже в том случае, если IP-адрес не «отзывается».
Рис. 6.2. Выбор источника IP-адресов и портов
Далее следует указать конкретный (конкретные) IP-адрес(а), по
которым будет проходить сканирование (рис. 6.3). Здесь же предлагается установить адреса, по которым сканеру не следует обращаться при обнаружении серверов баз данных.
Далее выбираем тип СУБД (рис. 6.4), сканирование баз данных
под управлением которых мы собираемся осуществить.
Так как мы работаем с СУБД Oracle, мы отмечаем соответствующую checkbox. Далее сканер предлагает определить порты, с
которыми он будет работать (рис. 6.5). Здесь мы укажем порты «по
умолчанию». Для Oracle 10g (11g) это, в частности, порт «по умолчанию» 1521, на котором «слушает» listener.
125
Рис. 6.3. Окно для указания диапазона IP-адресов для сканирования
Рис. 6.4. Выбор типа СУБД для сканирования
126
Рис. 6.5. Окно выбора сканируемых портов для ранее указанных IP-адресов
Наконец, нам предлагается ввести название сессии (рис. 6.6),
перечень задач для исполнения сканером (рис. 6.7), после чего сканер начинает свою работу поиска (discovery – открытия) баз под
управлением указанной (указанных) СУБД.
Рис. 6.6. Экран для задания названия сессии
127
Рис. 6.7. Экран со сформированной на выполнение задачей
После завершения процесса «Discavery» (окно выполняемого
процесса показано на рис. 6.8) в левом верхнем углу основного экрана AppDetectivePro рядом с «пикчей» «Network» слева появляется знак «+» (рис. 6.9). Это означает, что процесс «Discavery» обнаружил в сети сервер(ы) баз данных.
Рис. 6.8. Экран, демонстрирующий выполнение процесса «Discavery»
128
Рис. 6.9. Завершение процесса «Discovery»
При нажатии на «плюс» появляются обнаруженные серверы с
указанием IP-адреса, порты для listener (при сканировании Oracle),
базы данных (см. рис. 6.9).
Вариант создания сессии, который мы выше рассмотрели, связан с созданием новой сессии. AppDetectivePro сохраняет созданные сессии, позволяет открывать предыдущие сессии, объединять
предыдущие сессии. На рис. 6.9 видно, что AppDetectivePro обнаружил сервер Oracle 10g. AppDetectivePro при выполнении настоящей лабораторной работы с сервером Oracle 11g обнаружил бы
этот сервер. В соответствии с этим на рисунке был бы показан listener и база данных Oracle 11g.
Выполнение PenTest (тест по выявлению уязвимостей
в обнаруженных базах данных) средствами тестера
AppDetectivePro
Запуск PenTest показан на рис. 6.10.
При запуске PenTest требуется отметить те базы, для которых
предполагается выполнить этот тест (рис. 6.11).
Перед запуском теста тестировщик предупреждается (рис. 6.12)
о том, что в связи с попыткой связи с сервером Oracle по отдельным предустановленным аккаунтам (при установке сервера Oracle
появляется ряд пользователей, пароли которых известны, тестер
проверяет эти пароли и сигнализирует об уязвимости, если эти па129
роли не изменялись). При ответе «Yes» тест начинает свою работу
(рис. 6.13).
Рис. 6.10. Запуск PenTest в тестере AppDetectivePro
Рис. 6.11. Экран с выбором баз данных для тестирования
130
Рис. 6.12. Предупреждение о возможном блокировании некоторых
пользователей Oracle в связи с проверкой их паролей
Рис. 6.13. Фрагмент процесса тестирования (проверяется существование
пользователя BUYER и его пароль по умолчанию)
По завершении PenTest выводится список обнаруженных уязвимостей (рис. 6.14 и 6.15). При выводе курсора на строку с выявленной уязвимостью справа выше списка разворачивается текст с
объяснением этой уязвимости.
131
Рис. 6.14. Выявленная уязвимость: пароль, установленный по умолчанию,
не изменялся
Рис. 6.15. Выявлена уязвимость: не установлен требуемый patch
132
По завершении работы PenTest в графическом виде можно увидеть общий результат его работы (рис. 6.16).
Рис. 6.16. Графическое представление результата работы PenTest
Левый график сообщает, что уровень риска по обнаруженным
уязвимостям самый высокий (из четырех уровней), правый указывает категории уязвимостей (в данном примере их две из возможных девяти категорий).
4. Выполнение аудита базы данных по вопросам парольной
политики, доступа к таблицам, допустимости ролей
пользователей и др.
На рис. 6.17 и 6.18 показаны запуск аудита в тестере и выбор
базы данных для тестирования.
Далее, чтобы запустить аудит, AppDetectivePro предлагает ввести имя пользователя и пароль (рис. 6.19).
133
Рис. 6.17. Запуск аудита в тестере
Рис. 6.18. Выбор базы данных для тестирования
Для того чтобы такой ввод состоялся, надо кликнуть мышкой
на строку «(Username=)(Password=)….».
После чего надо ввести имя пользователя и его пароль (рис.
6.20).
134
Рис. 6.19. Начало процесса аудита предполагает инициировать
ввод имени и пароля (кликнуть мышкой на строку «(Username=)…»
В окне, предлагаемом для ввода имени и пароля, есть кнопка
проверки возможности соединения с базой данных с этими именем
и паролем «Test DB connect». При нажатии этой кнопки появляется
сообщение (рис. 6.21).
После подтверждения возможности соединения с базой данных
надо нажатием «OK» вернуться к окну процесса аудита (рис. 6.22)
для того, чтобы стартовать этот процесс.
После нажатия «Run Audit» инициализируется процесс аудита
(рис. 6.23), выполняется аудит сложности пароля (рис. 6.24), аудит
привилегий по работе со словарем базы данных (рис. 6.25), аудит
объектных привилегий, назначаемых схеме «Public» (рис. 6.26).
По завершении процесса аудита формируется список обнаруженных уязвимостей, а также – информационных сообщений. Список формируется в продолжение того списка, который был создан
после выполнения PenTest.
Список уязвимостей настолько полон, что по нему можно учить
администраторов настройке безопасности базы данных под управлением СУБД Oracle.
135
Рис. 6.20. Предлагаемое для ввода имени
и пароля окно
136
Рис. 6.21. Проверка соединения с базой данных
для введенных аккаунтов
137
Рис. 6.22. Окно запуска процесса аудита
Рис. 6.23. Начало процесса аудита
Рис. 6.24. Фрагмент процесса аудита сложности пароля
138
Рис. 6.25. Фрагмент процесса аудита привилегий для работы со словарем
базы данных
Рис. 6.26. Фрагмент процесса аудита объектных привилегий
схеме «Public»
Первыми в списке появляются сообщения об уязвимостях с высоким уровнем нарушения безопасности. На рис. 6.27 выделена
строка, показывающая, что пользователю ANYA предоставлена
привилегия «Create library». Эта привилегия дает возможность
пользователю дополнять ОС исполняемыми (binary) файлами.
139
Рис. 6.27. Фрагмент сообщений аудита об уязвимости «create library privilege»
Рис. 6.28. Фрагмент сообщений аудита базы данных
(первая строка – сообщение с высоким уровнем уязвимости)
140
На рис. 6.28 следует отметить два сообщения. Первое ‒ с высоким уровнем уязвимости (remote login password file not disabled),
сообщает нам о том, что среди пользователей базы данных может
быть несколько пользователей с привилегией «sysdba», так как параметр «remote_login_passwordfile» файла инициализационных параметров установлен в значение «exclusive». Второе – со средним
уровнем уязвимости, сообщает нам о том, что пользователю ANYA
предоставлена привилегия «ALTER SYSTEM». Здесь же в тексте
выше дается пояснение, в чем состоит уязвимость (возможность
менять системную дату), связанная с использованием этой привилегии.
На рис. 6.29 показана группа выявленных уязвимостей среднего
уровня «Database demonstration objects», связанных с тем, что учетные записи демонстрационных схем имеют пароли по умолчанию,
которые не были изменены после установки СУБД Oracle.
Рис. 6.29. Фрагмент сообщений аудита с выявленными уязвимостями
по учетным записям демонстрационных схем
На рис. 6.30 показана группа выявленных уязвимостей среднего
уровня «Expired Password». С такой уязвимостью пользователи не
допускаются к работе с базой данных без того, чтобы пользователь
поменял свой пароль.
141
Рис. 6.30. Фрагмент сообщений аудита с выявленными уязвимостями
пользователей, пароль которых должен быть изменен
На рис. 6.31 показан фрагмент сообщений аудита с группой выявленных уязвимостей среднего уровня «Overdue password change».
Эта уязвимость сообщает нам о том, что пароль пользователя
слишком долгое время не изменялся, что предоставляло потенциальному взломщику возможность определить его подбором.
На рис. 6.32 показан фрагмент сообщений аудита, в котором
отметим две позиции. Первая (SYS operations not audited) сообщает
о том, что действия пользователя SYS с объектами базы данных
(select, insert и т.д.) не регистрируются. Следующие сообщения говорят о назначении пользователям системных привилегий «напрямую», а не через роль, что значительно усложняет работу администратора.
На рис. 6.33 показан фрагмент сообщений аудита о выявлении
группы пользователей с профилем DEFAULT. Некоторые параметры в профиле DEFAULT не ограничены, что создает дополнительные возможности для потенциального взломщика.
142
Рис. 6.31. Фрагмент сообщений аудита с найденными пользователями,
пароль которых недопустимо долгое время не менялся
Рис. 6.32. Фрагмент сообщений аудита об отсутствии контроля действий
пользователя SYS и о выдаче «напрямую» системных привилегий
ряду пользователей
143
Рис. 6.33. Фрагмент сообщений аудита с выявленной группой пользователей
с профилем DEFAULT
На рис. 6.34 представлен фрагмент сообщений аудита с выявленной уязвимостью (низкого уровня) предоставления предопределенной роли RESOURCE группе пользователей. Эта роль позволяет пользователю создавать таблицы, программные коды.
На рис. 6.35 показан фрагмент сообщений аудита с возможной
уязвимостью низкого уровня, заключающейся в том, что владелец
объекта выдает объектную привилегию на свой объект с правом
передачи этой привилегии другим пользователям. Это право передачи объектной привилегии другим пользователям ставится под
сомнение. Внимание разработчика приложения фиксируется на
этом моменте, чтобы разработчик еще раз проверил правильность
столь важной добавки WITH GRANT OPTION в команду выдачи
объектной привилегии.
На рис. 6.36 показан фрагмент сообщений аудита о предоставлении объектных привилегий пользователям «напрямую», а не через роль, что значительно усложняет работу администратора при
разграничении полномочий пользователей.
144
145
Рис. 6.34. Фрагмент
сообщений аудита
с выявленными пользователями,
получившими предопределенную роль
RESOURCE
146
Рис. 6.35. Фрагмент
сообщений аудита
с выявленными пользователями,
получившими объектную привилегию
с правом передач
и ее другим
пользователям
147
Рис. 6.36. Фрагмент
сообщений аудита
с выявленной группой пользователей,
которым назначены
«прямые», не через
роль объектные привилегии
На рис. 6.37 представлены сообщения аудита о выдаче группе
пользователей системных привилегий с опцией WITH ADMIN
OPTION. Получившие с этой опцией системную привилегию пользователи могут передавать эту привилегию другим пользователям.
Рис. 6.37. Фрагмент сообщений аудита с выявленной группой пользователей
с системной привилегией, которую они могут передавать
другим пользователям
На рис. 6.38 показан фрагмент сообщений аудита с выявленными пользователями, которым предоставлена мощная системная
привилегия с опцией ANY. С этой привилегией пользователи могут
выполнять действия не только в своей, но и в любой схеме.
На рис. 6.39 показан фрагмент информационных сообщений
аудита о выявленных пользователях с заблокированным аккаунтом.
148
149
Рис. 6.38. Фрагмент
сообщений аудита
с выявленной группой
пользователей, имеющих системную привилегию с опцией
ANY
150
Рис. 6.39. Фрагмент
сообщений аудита
о пользователях
с заблокированным
аккаунтом
5. Выявление прав пользователей (user rights) в базе данных
Администратору безопасности полезно иметь общую сводку
прав отдельных или даже всех пользователей базы данных. Права
включают прямые системные и объектные привилегии, эти же привилегии, но даваемые пользователям через роли, наконец, роли,
назначенные пользователям.
Для получения такой информации в AppDetectivePro предусмотрена утилита UserRights (запуск ее показан рис. 6.40).
Рис. 6.40. Запуск утилиты UserRights
Для запуска утилиты предлагается окно выбора сервера (рис.
6.41).
Рис. 6.41. Окно выбора
сервера
151
Затем необходимо в появившемся окне процесса проверки прав
пользователей (рис. 6.42) нажать мышкой на строку
(Username=)(Password=).
Рис. 6.42. Окно процесса проверки прав пользователей
со строкой (Username=)(Password=)
После нажатия на строку «(Username=)(Password=)» появляется
окно для ввода имени пользователя, пароля и типа пользователя
(рис. 6.43).
Рис. 6.43. Окно для аутентификации пользователя
Для проверки соединения справа вверху (см. рис. 6.43) надо
нажать кнопку «Test DB Connect». После чего надо получить подтверждение успешной аутентификации (рис. 6.44).
152
Рис. 6.44. Экран подтверждения аутентификации
После проверки аккаунтов анализируемого пользователя надо
нажать две разные кнопки «OK» и выйти к готовому к запуску окну процесса проверки прав пользователя (рис. 6.45).
Рис. 6.45. Окно процесса проверки прав пользователя (SYS),
готового к запуску
На рис. 6.46 показано промежуточное состояние процесса проверки прав пользователя SYS. В ходе работы в этом окне показывается число учтенных объектов пользователя и общее число этих
объектов (таблиц, представлений, процедур и т.д.).
153
Рис. 6.46. Промежуточное состояние процесса проверки
прав пользователя (SYS)
В ходе работы утилиты User Rights процесс проверки сопровождается появлением окон проверки объектов выбранного пользователя (см. рис. 6.46), всех столбцов (таблиц и представлений) этого пользователя (рис. 6.47), объектных привилегий пользователя
(рис. 6.48), ролей (и входящих в них привилегий), принадлежащих
данному пользователю (рис. 6.49).
Рис. 6.47. Проверка прав пользователя SYS по работе
со столбцами таблиц и представлений
154
Рис. 6.48. Проверка объектных привилегий пользователя SYS
Рис. 6.49. Проверка ролей пользователя SYS
Результат работы утилиты UserRights можно просмотреть в отчетах AppDetectivePro.
6. Формирование отчетов по результатам выявления
уязвимостей базы данных посредством AppDetectivePro
Работа с утилитой «Report» начинается с нажатия на кнопку
«Report» в главном меню AppDetectivePro (рис. 6.50). На рисунке
видна возможность выбора в формировании отчета отдельно для
Audit и PenTest, отдельно для проверки UserRights.
155
156
Рис. 6.50. Запуск утилиты
формирования отчетов
в AppDetectivePro
Ниже на рис. 6.51–6.55 показаны окна, предъявляемые пользователю при формировании отчета для выполненных Audit и
PenTest.
Рис. 6.51. Выбор варианта отчета
Рис. 6.52. Выбор типа отчета
157
Рис. 6.53. Выбор формы отчета
Рис. 6.54. Проверка параметров формируемого отчета перед его выполнением
158
Рис. 6.55. Небольшой фрагмент итогового отчета с выявленными
уязвимостями на основании выполнения Audit и PenTest
На рис. 6.56 и 6.57 показаны возможные варианты выбора отчета, формируемого по результатам выполнения утилиты UserRights.
В отличие от работы утилит Audit и PenTes, результаты которых
видны сразу же после выполнения, результаты работы утилиты
UserRights можно увидеть только здесь, при формировании отчетов.
Рис. 6.56. Выбор варианта отчета по привилегиям пользователей
в базе данных
159
Рис. 6.57. Определение пользователя, отчет по которому на основании работы
утилиты UserRights выдаст утилита Report
Сдача лабораторной работы
Сдача лабораторной работы заключается в следующем:
1. Демонстрация преподавателю на учебном стенде настроек
сканера безопасности баз данных AppDetectivePro.
2. Демонстрация преподавателю отлавливания сканером безопасности AppDetectivePro специально введенных преподавателем
уязвимостей пароля пользователей.
Примеры таких уязвимостей:
а) имя пользователя совпадает с его паролем;
б) пароль пользователя представлен простым словом (‘world’,
‘welcome’, 'database', 'account', 'user', 'password', 'oracle', 'computer',
'abcd');
в) пароль пользователей SYS, SYSTEM не менялся после установки СУБД Oracle.
3. Ответы на вопросы преподавателя по отчету, сформированному сканером безопасности AppDetectivePro при выявлении уязвимостей учебной базы данных.
160
Тестовые задания к работе 6
Входной контроль
1. Укажите верное раскрытие аббревиатуры СУБД.
a) средства Управления Безопасной Деятельностью;
b) совокупность Устройств Борьбы с незаконной Деятельностью;
c) стандарт Управления Безопасностью Данных;
d) система Управления Базой Данных;
e) правильных ответов нет.
2. Укажите верное определение СУБД.
a) совокупность технических средств для контроля работы
пользователей на компьютере;
b) совокупность программных и лингвистических средств общего или специального назначения, обеспечивающих управление
созданием и использованием баз данных;
c) специальным образом организованные файлы под управлением операционной системы;
d) диалоговая программа для приема информации от пользователей;
e) правильных ответов нет.
3. Какие из нижеприводимых строк относятся к основным
функциям СУБД?
a) управление данными во внешней памяти (на дисках);
b) управление данными в оперативной памяти с использованием дискового кэша;
c) журнализация изменений, резервное копирование и восстановление базы данных после сбоев;
d) поддержка языков БД (язык определения данных, язык манипулирования данными);
e) управление транзакциями;
f) правильных ответов нет.
4. Укажите угрозы программной среде СУБД.
a) неавторизованный доступ к СУБД;
b) неавторизованная модификация данных и программ под
управлением СУБД;
161
c) несоответствующий доступ к ресурсам СУБД (ошибочное назначение прав доступа к ресурсу);
d) раскрытие данных;
e) угрозы специфичные для СУБД;
f) правильных ответов нет.
5. Какие основные механизмы в работе сканера безопасности баз данных (как законченного продукта) вы знаете?
a) написание пользователем специальных программных процедур на языке СУБД с включением в них вызовов сканера;
b) создание пользователем специальных таблиц базы данных и
подключение их к базе данных сканера;
c) сканирование;
d) зондирование;
e) правильных ответов нет.
6. Укажите верное определение сканирования сканером
безопасности баз данных.
a) механизм пассивного анализа, с помощью которого сканер
пытается определить наличие уязвимости без фактического подтверждения ее наличия ‒ по косвенным признакам;
b) сканирование – это выявление текущих сессий всех пользователей БД под управлением СУБД;
c) сканирование – это имитация активных действий по «взлому» базы данных;
d) сканирование – это выявление всех запросов к базе данных
привелигированных пользователей за указанный сканером период;
e) правильных ответов нет.
7. Укажите верное определение зондирования сканером
безопасности баз данных.
a) регистрация сканером безопасности всех процессов и программных компонентов СУБД;
b) регистрация сканером безопасности прав пользователей ОС
на файлы и процессы СУБД;
c) механизм активного анализа, который позволяет убедиться,
присутствует или нет на анализируемом узле уязвимость (выполняется путем имитации атаки, использующей проверяемую уязвимость);
162
d) анализ сканером безопасности содержимого словаря базы
данных;
e) правильных ответов нет.
8. Какие методы используются для получения неавторизованного доступа к базе данных под управлением СУБД?
a) общие пароли;
b) угадывание пароля;
c) перехват пароля;
d) шифрование пароля;
e) правильных ответов нет.
9. В чем заключается неавторизованная модификация
данных и программ?
a) шифрование данных;
b) отсутствие механизмов защиты и контроля;
c) ошибочное назначение прав доступа к данным и программам;
d) шифрование программ;
e) правильных ответов нет.
10. В чем заключаются угрозы, специфичные для СУБД?
a) угадывание пароля;
b) отказ в своевременном доступе;
c) получение информации путем логических выводов;
d) агрегирование данных;
e) правильных ответов нет.
Выходной контроль
1. Как вы представляете общую технологию работы сканера
безопасности баз данных AppDetectivePro?
a) сканер ждет обращений к нему от клиентского приложения
СУБД Oracle;
b) сканер ищет уязвимости непосредственно в файлах, реализующих базу данных Oracle;
c) сканер проверяет контрольные суммы программных кодов,
реализующих сервер Oracle;
d) сканер берет на себя функции сервера проверяемой базы
данных;
e) правильных ответов нет.
163
2. Каким результатом должен закончиться процесс
Disvavery в работе сканера AppDetectivePro?
a) выявлением пароля пользователя SYS;
b) выявлением сессий всех пользователей БД под управлением
СУБД;
c) выявлением всех баз данных, работающих в сети с диапазоном указанных IP-адресов;
d) выявлением всех прослушивающих процессов в сети с диапазоном указанных IP-адресов;
e) правильных ответов нет.
3. Укажите некоторые уязвимости, которые выявляют
PenTest в составе AppDetectivePro:
a) пароли, срок действия которых не ограничен;
b) повторяющиеся имена пользователей;
c) повторяющиеся пароли;
d) пользователей, пароли которых установлены по умолчанию;
e) правильных ответов нет.
4. Какие действия должен предпринять администратор базы
данных для устранения выявленных PenTest уязвимостей?
a) пересоздать пользователей, уязвимость паролей которых выявил тестер;
b) поменять квоты памяти пользователей;
c) установить патчи Oracle, отсутствие которых зарегистрировано;
d) переустановить сервер Oracle;
e) правильных ответов нет.
5. Какие категории уязвимостей выявляет утилита аудита в
составе AppDetectivePro?
a) недостаточную сложность пароля;
b) излишние привилегии для работы со словарем базы данных;
c) наличие излишних объектных привилегий в схеме PUBLIC;
d) уязвимости по учетным записям демонстрационных схем;
e) правильных ответов нет.
6. Какие действия должен предпринять администратор базы
данных для устранения выявленных аудитом уязвимостей?
a) переустановить expired пароли;
b) переустановить пароли пользователей, которые длительное
время не менялись;
164
c) установить контроль действий пользователя SYS;
d) отобрать выданные «напрямую» системные привилегии у отдельных пользователей;
e) правильных ответов нет.
7. Что выявляет утилита регистрации прав пользователей в
составе AppDetectivePro?
a) табличные объекты в схемах пользователей;
b) программные объекты в схемах пользователей;
c) роли, назначенные пользователям;
d) объектные привилегии пользователей;
e) правильных ответов нет.
165
Работа 7
КОНТРОЛЬ НАСТРОЕК МЕХАНИЗМОВ ОБНОВЛЕНИЯ
СИСТЕМНОГО И ПРИКЛАДНОГО ПО
Цель: получение начальных знаний по контролю настроек механизмов обновления системного и прикладного программного
обеспечения. Рассмотрение данного вопроса будет происходить на
примере обновления операционной системы.
ПОРЯДОК ПРОВЕДЕНЯ РАБОТЫ
Часть 1. До обновления
Раздел 1. «Ревизор Сети».
1. Запустите «Ревизор Сети» на своем компьютере.
2. Настройте параметры сессии. Особое внимание обратите при
вводе IP-адреса вашего компьютера.
3. Сформируйте план сканирования сети.
4. Выполните план проверки.
5. По окончании сканирования сформируйте отчет и проанализируйте его.
Часть 2. Обновления операционной системы
1. Произведите обновление операционной системы с помощью
приложения Microsoft Update. Это приложение находится в меню
Пуск => Все программы => Microsoft Update.
2. После установки обновления произвести перезагрузку компьютера.
Часть 3. После обновления
Раздел 1. «Ревизор Сети».
1. Запустите «Ревизор Сети» на своем компьютере.
166
2. Настройте параметры сессии. Особое внимание обратите при
вводе IP-адреса вашего компьютера.
3. Сформируйте план сканирования сети.
4. Выполните план проверки.
5. По окончании сканирования сформируйте отчет и проанализируйте его.
Часть 4. Выводы по сканированию
1. Сравните отчеты до обновления операционной системы и
после.
2. Есть ли существенные отличия в них? Если есть, то попробуйте объяснить, чем это вызвано.
Ожидаемые результаты
В процессе лабораторной работы могут быть получены результаты, приведенные в табл.7.1.
Таблица 7.1
Уровень уязвимости
Серьезная
Уязвимость
Информация
До обновлений
системы
2
8
-
После обновлений
системы
3
8
-
Таким образом, после поставленных обновлений система стала
более уязвимой к несанкционированному проникновению. При
этом сканер «Ревизор Сети» нашел больше возможностей для проникновения в систему, чем до обновлений. Очевидно, что обновления обновлениям рознь. И предпочтительней использовать комбинированный способ сканирования сети для определения уязвимостей.
167
Тестовые задания к работе 7
Входной контроль
1. Кем утверждаются руководящие документы ФСТЭК?
a) Государственной технической комиссией при Президенте
Российской Федерации;
b) Правительством России;
c) Президентом России.
2. Что такое «информационная безопасность»?
a) состояние защищенности информационной среды общества,
обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства;
b) состояние защищенности аппаратной среды;
c) все перечисленное;
d) нет верного ответа.
3. Какую информацию из перечисленного не предоставляет
сканер «Ревизор Сети»?
а) общая информация об узлах сети;
b) информация о найденных уязвимостях;
c) информация об открытых TCP и UDP портах;
d) информация о пользователях и группах, зарегистрированных
на узле сети;
e) информация о доступных сетевых ресурсах;
f) подробная информация по узлу;
j) нет информации, не предоставляемой сканером безопасности.
4. Подвязываются ли результаты работы сканера «Ревизор
Сети» к конкретному IP-адресу?
a) всегда;
b) нет;
c) иногда.
5. Какой основной вопрос задается в процессе анализа?
a) Что на выходе?
b) Что на входе?
c) Что должно быть сделано?
6. Какова основная цель аттестации?
а) получение Аттестата соответствия уровню безопасности системы;
168
b) проверка соответствия механизмов безопасности АС предъявляемым к ним требованиям «Единые критерии оценки безопасности ИТ» (Common Criteria for Information Technology Security
Evaluation);
с) получение Протокола аттестационных испытаний.
7. Согласно «Единым критериям» этапы оценки защищенности TOE выделяют два основных этапа проведения оценивания: Оценка базовых Профилей защиты и Анализ Объекта
оценки. Какой из этих этипов включает анализ угроз безопасности?
a) оценка базовых Профилей защиты;
b) анализ Объекта оценки.
8. Принято семь уровней адекватности оценки: EAL1,
EAL2, …, EAL7. Какой из этих уровней предназначен для обнаружения только самых очевидных уязвимостей защиты при
минимальных издержках, а какой представляет верхнюю границу уровней адекватности оценки АС, которую реально достичь на практике?
a) EAL1 – минимальный уровень защиты, EAL7 – максимальный;
b) EAL7 – минимальный уровень защиты, EAL1 – максимальный;
с) уровни принципиально не отличаются в оценке.
9. Является ли уничтожение или повреждение имущества
по неосторожности преступлением против собственности в информационной сфере?
a) да;
b) нет;
с) не всегда.
10. Контрольные испытания:
a) это испытания, проводимые для контроля качества объекта;
b) это испытания, проводимые для контроля формы объекта;
с) это испытания, проводимые для контроля свойств объекта.
11. Лицензия:
a) документ, устанавливающий полномочия физических и юридических лиц в соответствии с настоящим Федеральным законом и
иными правовыми актами для осуществления деятельности в области связи;
169
b) разрешение (право) на осуществление лицензируемого вида
деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю;
c) официальный документ, который разрешает осуществление
на определенных условиях конкретного вида деятельности в течение установленного срока;
d) все перечисленное.
12. Конкретные перечни показателей определяют классы
защищенности СВТ. Допускается ли уменьшение или изменение перечня показателей, соответствующего конкретному
классу защищенности СВТ?
a) допускается;
b) не допускается.
Выходной контроль
1. Верно ли утверждение, что примерами обновлений могут
служить пакеты обновления, обновленные версии программ,
обновления для системы безопасности, драйверы и т.д.?
a) нет;
b) да;
с) не совсем.
2. Какие уязвимости более всего находит «Ревизор Сети»?
a) серьезные;
b) информация;
с) уязвимость.
3. Могут ли поставленные обновления отрицательно повлиять на работу системы?
a) нет, обновления всегда положительно влияют на систему,
уязвимостей становится всегда меньше;
b) может, так как обновления обновлениям рознь;
c) не имеет значения.
4. Что предлагается сделать на этом скрин-шоте (рис. 7.1)?
a) выбрать ОС для установки;
b) закрыть ОС после установки;
c) экран можно пропустить.
170
Рис. 7.1
5. Для чего необходимо создание виртуального компьютера?
a) для экономии памяти на рабочем компьютере;
b) для экономии памяти на рабочем сервере;
c) чтобы не мешать работе сети.
6. Для чего необходимо устанавливать важные и высокоприоритетные обновления?
a) для обеспечения безопасной и надежной работы компьютера;
b) все перечисленное;
с) для защиты от новейших Internet-угроз.
171
Работа 8
КОНТРОЛЬ МЕХАНИЗМОВ ИДЕНТИФИКАЦИИ
И АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ ПРИ РАБОТЕ
СО СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ (СЗИ)
ОТ НСД «АККОРД» И «СОБОЛЬ» И ПРОГРАММНЫМИ
ПРОДУКТАМИ «НКВД 2.2» И «НКВД 2.3»
Цель: освоение методов и способов проверки подсистемы управления доступом при проведении аттестационных испытаний АС.
ВВЕДЕНИЕ
К СЗИ, используемым при выполнении лабораторных работ относятся аппаратный модуль доверенной загрузки «Аккорд» и электронный замок «Соболь».
СЗИ от НСД «Аккорд» (рис. 8.1) – аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК – серверов и
рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.
Рис. 8.1. АМДЗ «Аккорд»
Доверенная загрузка – это загрузка различных операционных
систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения
172
специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового
контроля целостности) и идентификации/аутентификации пользователя.
Электронный замок «Соболь» (рис. 8.2) − аппаратнопрограммное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также
рабочей станции или сервера, входящих в состав локальной вычислительной сети.
Рис. 8.2. Электронный замок «Соболь»
Задача 1. РАБОТА С УЧЕТНЫМИ ЗАПИСЯМИ
И ЖУРНАЛОМ РЕГИСТРАЦИИ
СОБЫТИЙ СЗИ «АККОРД» И «СОБОЛЬ»
Цель: изучение параметров учетных записей и работа с журналом доступа к автоматизированной системе (АС)
Рабочее задание
1. Среди двух доступных идентификаторов найти зарегистрированный в системе.
173
2. Ввести несколько паролей для зарегистрированного ТМидентификатора, среди которых также будут неправильные.
3. Просмотреть системный журнал регистрации событий, найти
все попытки НСД.
Описание используемых средств защиты информации
от несанкционированного доступа СЗИ «Аккорд»
Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа для ПЭВМ «Аккорд» предназначен для применения на IBM-совместимых ПЭВМ в целях их
защиты от несанкционированного доступа (НСД), идентификации,
аутентификации пользователей, регистрации их действий, контроля целостности технических и программных средств, обеспечения
режима доверенной загрузки в различных операционных средах
при многопользовательском режиме эксплуатации ПЭВМ.
Комплекс представляет собой совокупность технических и программных средств, обеспечивающих выполнение основных функций защиты от НСД ПЭВМ на основе:
− применения персональных идентификаторов пользователей;
− парольного механизма; блокировки загрузки операционной
системы со съемных носителей информации;
− контроля целостности технических средств и программных
средств ПЭВМ;
− обеспечения режима доверенной загрузки установленного в
ПЭВМ.
Программная часть комплекса включает средства идентификации и аутентификации, средства контроля целостности технических и программных средств ПЭВМ, средства регистрации действий пользователей, а также средства администрирования (настройки встроенного ПО) и аудита (работы с регистрационным журналом) и размещается в энергонезависимой памяти (ЭНП) контроллера при изготовлении комплекса. Доступ к средствам администрирования и аудита комплекса предоставляется только администратору БИ.
Идентификация и аутентификация пользователей, контроль целостности технических и программных средств ПЭВМ (РС) вы174
полняются контроллером комплекса до загрузки операционной
системы, установленной в ПЭВМ.
Процесс работы оператора (пользователя) на ПЭВМ, защищенной от несанкционированного доступа с использованием комплекса «Аккорд-АМДЗ», можно разделить на три этапа:
1. Выполнение контрольных процедур при запуске ПЭВМ.
2. Работа оператора (пользователя) в соответствии с функциональными обязанностями и правами доступа.
3. Выход из системы.
Контрольные процедуры делятся на обязательные – выполняемые при каждом запуске ПЭВМ и необязательные – устанавливаются администратором БИ при регистрации пользователей в соответствии с их правами по доступу к ПЭВМ, выполняются при наличии определенных условий (установленных администратором
БИ ограничений по доступу).
К обязательным процедурам контроля относятся:
− процедура идентификации оператора (пользователя);
− процедура аутентификации (подтверждение достоверности)
оператора (пользователя);
− контроль целостности аппаратной части ПЭВМ;
− проверка целостности системных областей диска и системных файлов;
− проверка целостности программ и данных.
К необязательным процедурам контроля относятся:
− процедура смены пароля, выполняемая, когда время жизни
пароля превысило установленный администратором БИ интервал
времени;
− проверка ограничения на время входа оператора (пользователя) в систему.
Процедура идентификации оператора (пользователя)
При включении ПЭВМ, защищенной комплексом «АккордАМДЗ», управление загрузкой передается контроллеру комплекса,
при этом вверху экрана выводится сообщение: «Access system
BIOS v…. copyright OKB SAPR …», после чего на экран выводится
сообщение на синем фоне (рис. 8.3).
175
Рис. 8.3. Диалог для идентификации
Окно остается на мониторе до момента контакта ТМидентификатора пользователя и съемника информации. В правом
нижнем углу окна выводится отсчет времени, отведенного пользователю для предъявления своего ТМ-идентификатора. Если за отведенное время ТМ-идентификатор не предъявлен, на экран выводится сообщение на красном фоне «Таймаут». Возобновить процедуру идентификации можно только после перезагрузки ПЭВМ.
В случае если идентификатор пользователя не зарегистрирован
в базе данных программно-аппаратного комплекса СЗИ НСД «Аккорд» (в память ТМ-идентификатора не записан секретный ключ
пользователя), или, если пользователь недостаточно плотно приложил персональный ТМ-идентификатор к контактному устройству съемника информации, то на экран выводится сообщение (на
красном фоне), сопровождаемое звуковым сигналом (рис. 8.4).
Рис. 8.4. Сообщение об ошибке идентификации
Пользователю предлагается повторить процедуру идентификации. При успешном завершении процедуры идентификации оператора (пользователя) происходит выполнение процедуры аутентификации (подтверждения достоверности), для чего на экран монитора выводится запрос на введение пароля пользователя.
Процедура аутентификации
После идентификации оператора (пользователя), при условии,
что ему при регистрации был задан пароль для входа в систему, на
экран выводится сообщение на синем фоне (рис. 8.5).
176
Рис. 8.5. Диалог для аутентификации
По этой команде необходимо набрать свой личный пароль, при
этом буквы пароля выводятся на экран в виде звездочек, и нажать
клавишу <Enter>. Время, отведенное для ввода пароля, отображается в правом нижнем углу сообщения так же, как при запросе персонального ТМ-идентификатора оператора (пользователя).
Если процедура аутентификации успешно завершилась, на экран выводится надпись на зеленом фоне (рис. 8.6).
Рис. 8.6. Сообщение об успешной аутентификации
Контроллер переходит к следующему этапу – проверке целостности аппаратной части ПЭВМ. При неправильно введенном пароле на экран выводится надпись на красном фоне (рис. 8.7).
Рис. 8.7. Сообщение об ошибке аутентификации
Оператору (пользователю) предлагается снова пройти процедуры идентификации и аутентификации (подтверждения достоверности). При троекратном неправильном вводе пароля ПЭВМ блокируется (выводится сообщение на красном фоне «Таймаут»). Продолжить работу можно только после перезагрузки ПЭВМ.
В случае если пользователю не назначен пароль, процедура аутентификации не выполняется и контроллер сразу переходит к
проверке целостности аппаратной части ПЭВМ (при условии успешного выполнения идентификации). Если в процессе идентификации предъявлен идентификатор оператора (пользователя), который инициализирован в СЗИ «Аккорд» (в память ТМидентификатора записан секретный ключ пользователя), но на дан177
ной ПЭВМ этот ТМ-идентификатор не зарегистрирован, то в этом
случае все равно происходит запрос пароля пользователя. После
ввода пароля выводится сообщение «Доступ не разрешен!», а номер ТМ-идентификатора заносится в системный журнал с пометкой «НСД». Такой алгоритм работы СЗИ повышает надежность
защитных функций комплекса – злоумышленник не может определить причину отказа в доступе.
Системный журнал
При загрузке компьютера с установленным комплексом СЗИ
НСД «Аккорд» справами администратора, на экран выводится
стартовое меню (рис. 8.8).
Рис. 8.8. Стартовое меню администратора
В СЗИ «Аккорд-АМДЗ» ведется системный журнал, размещенный в энергонезависимой памяти контроллера. В журнал заносится
информация о сеансах работы пользователей с указанием номера
TM-идентификатора и все попытки несанкционированного доступа
к компьютеру.
В главном меню выберите команду <Журнал> раздела администрирования и нажмите <Enter>. На экран выводится окно системного журнала. В левой колонке выводится дата и время начала сеанса работы, а для остальных событий этого сеанса выводится
только время в виде смещения от начала работы. Во второй колонке выводится наименование выполненной операции. В третьей –
серийный номер ТМ-идентификатора. В четвертой – результат
операции. В самой верхней строке экрана после имени пользователя выводится процент заполнения области памяти контроллера,
178
отведенной под системный журнал (рис. 8.9). Выход из режима
просмотра журнала по клавише <Esc>.
Рис. 8.9. Системный журнал регистрации событий
Наименование и результат операций в системном журнале
В табл. 8.1 приведена сокращенная таблица обозначений в системном журнале, необходимая для выполнения лабораторных работ.
Таблица 8.1
Сокращение
НС
ИА
ОК
ITM
ТТМ
IPSW
TPSW
КА
Название операции
Начало сеанса
Идентификация\аутентификация
Успешное завершение
Незарегистрированный ТМ-идентификатор
Истекло время прикладывания ТМидентификатора к считывателю
Неправильный пароль
Истекло время ввода пароля
Контроль аппаратуры
179
СЗИ «Соболь»
Комплекс «Соболь» предназначен для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера. Комплекс «Соболь» реализует следующие основные функции:
– Идентификация и аутентификация пользователей компьютера
при их входе в систему с помощью персональных электронных
идентификаторов iButton, eToken PRO, iKey 2032, Rutoken S,
Rutoken RF S.
– Защита от несанкционированной загрузки операционной системы со съемных носителей – дискет, оптических дисков, ZIPустройств, магнитооптических дисков, USB-устройств и др.
– Блокировка компьютера при условии, что после его включения управление не передано расширению BIOS комплекса «Соболь».
– Контроль целостности файлов и физических секторов жесткого диска до загрузки операционной системы;
– Контроль работоспособности основных компонентов комплекса – датчика случайных чисел, энергонезависимой памяти,
персональных электронных идентификаторов.
– Регистрация событий, имеющих отношение к безопасности
системы.
– Совместная работа с системами защиты семейства Secret Net,
АПКШ «Континент», средствами защиты информации «Континент-АП» и «КриптоПро CSP».
Комплекс «Соболь» может использоваться в качестве средства
защиты от НСД к конфиденциальной информации, не содержащей
сведения, составляющие государственную тайну, а также к информации, содержащей сведения, составляющие государственную тайну со степенью секретности «совершенно секретно» включительно.
Действие комплекса «Соболь» состоит в проверке полномочий
пользователя на вход в систему. Если предъявлены необходимые
атрибуты – персональный идентификатор и пароль, то пользователь получает право на вход. При их отсутствии вход в систему
данного пользователя запрещается.
В комплексе «Соболь» реализованы следующие основные защитные механизмы:
180
– идентификация и аутентификация пользователей;
– блокировка загрузки ОС со съемных носителей;
– контроль целостности файлов и секторов жесткого диска;
– сторожевой таймер;
– регистрация событий, имеющих отношение к безопасности
системы.
Процедура идентификации оператора (пользователя). Перед
входом в систему отключите от USB-портов компьютера все устройства класса USB Mass Storage Device (flash-накопители, кардридеры, съемные жесткие диски и т. п.).
После включения ПЭВМ на экране появится окно с запросом
персонального идентификатора (рис. 8.10).
Рис. 8.10. Приглашение для идентификации
Если идентификатор предъявлен неправильно, то окно запроса
останется на экране.
Процедура аутентификации. После успешного считывания
информации из идентификатора на экране появится диалог для
ввода пароля: пароль (рис. 8.11). Этот диалог не появится на экране
в том случае, когда пароль имеет нулевую длину (пустой пароль)
или содержится в персональном идентификаторе.
181
Рис. 8.11. Приглашение для аутентификации
Если введенный пароль не соответствует предъявленному
идентификатору, в строке сообщений появится сообщение: «Неверный персональный идентификатор или пароль».
При успешном завершении тестирования на экране появится
информационное окно, подобное рис. 8.12.
Рис. 8.12. Информационное окно пользователя
Системный журнал
После входа в систему под администратором после информационного окна на экране появится меню администратора (рис. 8.13).
Рис. 8.13. Меню администрирования
182
В меню администратора выберите команду «Журнал регистрации событий» и нажмите клавишу <Enter>.
На экране появится окно, фрагмент которого представлен на
рис. 8.14.
Рис. 8.14. Фрагмент журнала регистрации событий
Обозначения в журнале событий приведены в табл.8.2.
Таблица 8.2
1
2
3
4
Время регистрации события (в формате «часы : минуты»)
Дата регистрации события (в формате «день /
месяц / год»)
Имя пользователя, действия которого привели к регистрации события. Для администратора, а также для пользователей, не зарегистрированных на данном компьютере, указывается тип и номер предъявленного при входе
персонального идентификатора. После удаления учетной записи пользователя в записях
журнала, относящихся к его работе, вместо
имени этого пользователя указывается тип и
номер принадлежавшего ему персонального
идентификатора
Описание событий
Записи о событиях, регистрируемых комплексом «Соболь» во
время своей работы, хранятся в журнале регистрации событий, который размещается в специальной области энергонезависимой памяти комплекса. Размер этой области памяти ограничен и позволяет хранить не более 80 записей.
183
При заполнении всей области памяти, отведенной для хранения
журнала, новые записи помещаются на место уже существующих
записей, затирая их. Если журнал полностью заполнен (содержит
80 записей), то следующая запись заменит запись, помещенную в
журнал раньше всех других, т.е. самую старую запись.
Порядок выполнения работы
1. Проверить наличие установленных СЗИ от НСД «Аккорд»
или «Соболь» в зависимости от варианта задания.
2. Установить модель СЗИ от НСД. Указать модель в отчете.
3. Включить питание ПЭВМ.
4. Предъявить системе по запросу оба идентификатора. Выяснить, какой из них не зарегистрирован в системе.
5. Для зарегистрированного идентификатора выяснить, какой из
паролей является верным.
6. Зайти под логином администратора в системный журнал СЗИ
от НСД, зафиксировать неудачные попытки идентификации и аутентификации.
7. Составить отчет, в котором должны содержаться – модель
СЗИ в варианте, метка верного идентификатора, верный пароль,
снимок системного журнала с попытками НСД.
Задача 2. ПРОВЕРКА И НАСТРОЙКА СТОЙКОСТИ
ПАРОЛЕЙ В СЗИ «АККОРД» И «СОБОЛЬ»
Цель: проверка стойкости паролей, установленных в СЗИ от
НСД.
Рабочее задание
1. Войти в систему администрирования СЗИ от НСД от лица
администратора.
2. Убедиться, что настройки паролей отвечают необходимым
требованиям по уровню стойкости – минимум 8 символов, срок
жизни – 30 дней.
3. Установить необходимые настройки, если значения не отвечают заданным требованиям безопасности.
184
Описание используемых средств защиты информации
от несанкционированного доступа
Основная информация о комплексах СЗИ от НСД «Аккорд» и
Соболь» представлена в задаче № 1 данной работы.
Параметры пароля СЗИ «Аккорд»
В меню администрирования (рис. 8.15) для отдельных пользователей можно регулировать следующие параметры пароля:
Рис. 8.15. Меню администрирования – настройки паролей
− Кто может менять пароль – установка этого параметра позволяет пользователю самому менять пароль после истечения времени действия, или смену пароля может осуществлять только администратор.
− Минимальная длина – параметр определяет минимальную
длину пароля.
− Время действия (дни) – определяет период смены пароля.
185
− Попыток для смены – параметр устанавливает число попыток для смены пароля (для выполнения смены пароля необходимо
ввести старый пароль, а затем дважды новый).
Смена пароля
Смена пароля выполняется в случае, когда время «жизни» пароля превысило отведенный интервал времени действия данного
пароля. По решению администратора БИ оператору (пользователю)
может предоставляться право самостоятельной смены пароля. В
случае, когда пользователь не имеет права на смену пароля, то при
вводе просроченного пароля на экран выводится сообщение (рис.
8.16).
Рис. 8.16. Сообщение об истечении срока жизни пароля
Если оператору (пользователю) предоставлено право самостоятельной смены пароля, то при вводе просроченного пароля на экран выводится сообщение (рис. 8.17), где N – количество попыток
для смены пароля, определяемое и устанавливаемое администратором при регистрации оператора (пользователя).
Рис. 8.17. Приглашение на смену пароля
Если длина вводимого пароля меньше заданного администратором количества символов, то выводится сообщение об ошибке.
Не допускается ввод в качестве пароля последовательностей
типа: '123456…' или 'qwerty…'. При вводе подобных последовательностей символов выдается сообщение об ошибке.
186
Параметры пароля СЗИ «Соболь»
После входа в систему под администратором после информационного окна на экране появится меню администратора (рис. 8.18).
Рис. 8.18. Меню
администрирования
После активации в меню администратора команды «Общие параметры системы» на экране появится следующий диалог (рис.
8.19).
Рис. 8.19. Окно общих настроек системы
187
Минимальная длина пароля определяет минимальную длину
пароля пользователя в символах. Пользователю нельзя назначить
пароль, число символов в котором меньше числа, заданного этим
параметром. Параметр может принимать значения от 0 до 16. Если
значение этого параметра равно «0», пользователю можно назначить пустой пароль, разрешив ему входить в систему без указания
пароля (запрос пароля на экране не появится). Если при увеличении значения этого параметра длина паролей некоторых пользователей окажется меньше нового значения параметра, при входе в
систему им будет предложено сменить свой старый пароль, без чего они не смогут загрузить операционную систему.
Максимальный срок действия пароля определяет период времени в днях, на протяжении которого действителен текущий пароль пользователя. Параметр может принимать значения от 0 до
999 дней. Значение «0» означает, что срок действия пароля не ограничен. По истечении заданного периода времени текущий пароль
пользователя перестает быть действительным и при входе в систему пользователю будет предложено сменить свой пароль, без чего
он не сможет загрузить операционную систему.
По истечении времени действия пароля пользователя на экран
выводится сообщение об ошибке (рис. 8.20).
Рис. 8.20. Сообщение об истечении срока жизни пароля
Если установлена настройка для самоличной смены пароля
пользователем, необходимо выполнить процедуру смены пароля.
На экране появится меню пользователя (рис. 8.21).
Рис. 8.21. Меню пользователя
188
После выбора пункта «смена пароля» появится диалог (рис.
8.22).
Рис. 8.22. Запрос старого пароля для смены
После ввода старого пароля на экране появится один из диалогов для ввода нового пароля.
Если включен режим использования случайных паролей – диалог для ввода пароля примет следующий вид (рис. 8.23).
Рис. 8.23. Окно генерации случайного пароля
Если пользователю разрешено самостоятельно менять пароль, и
он введет пароль меньше установленной длины, то выведется сообщение об ошибке (рис. 8.24).
Рис. 8.24. Сообщение об ошибке
189
Порядок выполнения работы
1а. Проверить наличие установленных СЗИ от НСД «Аккорд»
или «Соболь» в зависимости от варианта задания.
1б. Установить модель СЗИ от НСД. Указать модель в отчете.
2. Включить питание ПЭВМ.
3. Предъявить идентификатор администратора, ввести пароль.
4. Зайти в настройки пользователей и проверить настройки парольной политики. Минимальная длина пароля должна быть установлена на восемь символов, срок действия – 30 дней. Если настройки отличаются, установить необходимые.
5. Составить отчет, в котором должны содержаться – модель
СЗИ в варианте, установленные парольные настройки до вмешательства, если таковое проводилось, информация о его совершении
и причина (слишком длинный срок жизни и\или слишком маленькая длина).
Задача 3. СОЗДАНИЕ И ПРОВЕРКА МОДЕЛИ ПРАВ
ДОСТУПА В ПРОГРАММНЫХ ПРОДУКТАХ
«НКВД 2.2» И «НКВД 2.3»
Цель: получение навыков работы с программными продуктами
«НКВД 2.2» и «НКВД 2.3» – средствами автоматизации проверки
соответствия полномочий предоставляемых пользователям системой защиты информации аттестуемой АС по доступу к объектам
доступа АРМ полномочиям пользователей, указанным в модели
системы разграничения доступа (СРД), разработанной на основе
анализатора уязвимостей «НКВД 2.3».
Рабочее задание
1. Создание списка пользователей АРМ в программе «НКВД
2.3».
2. Сканирование объектов доступа АРМ в программе «НКВД
2.3».
3. Определение прав доступа к объектам доступа в программе
«НКВД 2.3».
4. Проверка и анализ в АРМ реальных полномочий пользователя к объектам доступа в программе «НКВД 2.2».
190
Описание используемых анализаторов уязвимостей
Анализатор уязвимостей «НКВД 2.3» – средство автоматизации процесса моделирования системы разграничения доступа
(СРД) в АРМ пользователей к объектам доступа (ресурсам файловой системы и периферийным устройствам АРМ, а также к ресурсам локальной вычислительной сети). Программа предназначена
для администраторов АС (АРМ), отвечающих за безопасность информации в АС (АРМ).
Анализатор уязвимостей «НКВД 2.3» выполняет следующие
функции:
– сканирование ресурсов файловой системы АРМ (логических
дисков, каталогов, файлов), периферийных устройств (принтеров,
НГМД, приводов CD-ROM), а также объектов доступа ЛВС, доступных пользователю АРМ;
– автоматическое построение по результатам сканирования
структуры объектов доступа, применительно к АРМ для каждого
зарегистрированного пользователя;
– вывод на экран АРМ структуры объектов доступа исследуемого АРМ и таблицы полномочий доступа к объектам доступа
АРМ;
– автоматизация операций моделирования СРД АРМ.
Виды полномочий пользователя по доступу к объектам доступа
АРМ:
– чтение (R) объекта доступа;
– запись/изменение (W) объекта доступа;
– удаление (D) объектов доступа;
– запуск (E) исполняемых файлов программ;
– создание(C) новых объектов доступа.
Интерфейс программы состоит из двух рабочих панелей «Пользователи» и «Ресурсы», строки меню, панели инструментов и строки состояния (рис. 8.25).
Главное меню состоит из двух пунктов: «Файл» и «Пользователи». Подменю «Файл» содержит команды:
– Сканировать ресурсы – сканирование выбранных ресурсов;
– Выход – выход из программы.
Подменю «Пользователи» содержит команды:
– Добавить – добавление нового субъекта доступа;
191
– Удалить – удаление существующего субъекта доступа;
– Клонировать – клонирование существующего субъекта доступа.
Рис. 8.25. Интерфейс программы «НКВД 2.3»
Для быстрой работы каждая команда может выполняться указанным сочетанием клавиш.
На панели инструментов для удобства работы продублированы
команды «Добавить пользователя», «Клонировать пользователя»,
«Удалить пользователя», «Сканировать ресурсы» экранными кнопками с всплывающими подсказками об их назначении.
Администратор АС, работающий с «Анализатором уязвимостей
«НКВД 2.3», информируется о ходе работы (процессе сканирования)
с помощью сообщений в строке состояния.
Для каждого пользователя АРМ, администратор АС определяет
имя пользователя. Список из всех имен пользователей АРМ выводится на панели «Пользователи».
Для добавления нового пользователя необходимо выбрать команду «Добавить» и ввести имя пользователя в строке ввода «Имя
пользователя» (рис. 8.26).
192
Рис. 8.26. Диалог добавления пользователя
Для сканирования ресурсов используется команда «Сканировать ресурсы».
Перед сканированием необходимо выполнить настройку – определить набор сканируемых ресурсов. Для этого необходимо выбрать указанную команду и в появившемся диалоговом окне отметить в списке ресурсов требуемые (рис. 8.27):
– Дисководы;
– Локальные диски;
– Диски CD-ROM;
– Сетевые диски;
– Виртуальные диски;
– Сеть;
– Локальные принтеры;
– Сетевые принтеры;
– Неизвестные устройства;
– Все ресурсы.
Рис. 8.27. Выбор ресурсов для сканирования
193
После завершения сканирования и при наличии хотя бы одного
зарегистрированного «Анализатором уязвимости «НКВД 2.3»
пользователя на панели «Ресурсы» выводится структура объектов
доступа, тождественная структуре ресурсов файловой системы
АРМ, а также сетевых ресурсов ЛВС с учетом доступных периферийных устройств.
На панели «Пользователи» приводится перечень всех пользователей, для которых уже определены или будут определяться полномочия доступа к объектам доступа. Для установления, изменения
или просмотра полномочий доступа к ресурсам одного из зарегистрированных пользователей АРМ администратором АС устанавливается курсорная рамка на имени нужного пользователя, после чего
возможно выполнение операций по моделированию СРД АРМ для
данного пользователя.
На панели «Ресурсы» выводится структура объектов доступа,
отображающая структуру ресурсов файловой системы, а также сетевых ресурсов и периферийных устройств, доступ к которым будет определяться. Администратор АС определяет полномочия доступа для каждого пользователя к каждому объекту. При этом могут
быть установлены полномочия на совершение следующих операций с объектами доступа:
– Чтение (R) – полномочие доступа устанавливается для логических дисков, каталогов, файлов.
– Запись (W) – полномочие доступа устанавливается для логических дисков, периферийных устройств, каталогов, файлов.
– Удаление (D) – полномочие доступа устанавливается для логических дисков, периферийных устройств, каталогов, файлов.
– Запуск (E) – полномочие доступа устанавливается для логических дисков, каталогов, файлов с расширениями *.bat, *.exe,
*.com.
– Создание(C) – полномочие доступа устанавливается для логических дисков, каталогов.
Для ускорения процесса построения модели в программе предусмотрена автоматическая функция наследования полномочий
доступа для каталогов и файлов нижнего уровня. При этом при установке требуемых полномочий пользователя по отношению к объекту (установка разрешения или запрета соответствующего полномочия в таблице полномочий) для логического диска или каталога
194
эти полномочия на совершение соответствующих операций распространяются на все каталоги и файлы нижнего уровня этого диска или каталога.
В случае необходимости установки для каталога или файла
других полномочий доступа, не совпадающих с наследуемыми, администратор АС имеет возможность установить их вне зависимости от наследуемых полномочий доступа. При этом изменения в
дальнейшем полномочий доступа к каталогу, в котором находится
каталог или файл-исключение, не приводят к изменению полномочий доступа к этому каталогу или файлу.
Анализатор уязвимости «НКВД 2.2» – средство автоматизации проверки соответствия полномочий, предоставляемых пользователям системой защиты информации аттестуемой АС (АРМ) по
доступу к объектам доступа АРМ (ресурсам файловой системы ОС
и периферийным устройствам, а также к ресурсам АС), полномочиям пользователей, указанным в модели системы разграничения
доступа (СРД), разработанной средством моделирования анализатор уязвимостей «НКВД 2.3».
Модель СРД создается администратором АС средством моделирования «Анализатор уязвимости «НКВД 2.3» на основании требований проектной (соответствующий раздел «Положения разрешительной системы..») и эксплуатационной («Описание технологического процесса обработки информации») документации на АС
(АРМ).
Предназначен для органов аттестации объектов информатизации
по требованиям безопасности информации и используется для инструментальной проверки правильности предоставления системой защиты информации АС (АРМ) полномочий пользователям по отношению к объектам доступа АС (АРМ).
Анализатор уязвимостей «НКВД 2.2» выполняет следующие
функции:
– Сравнение данных, полученных сканированием структуры
объектов доступа в АРМ (АС) с данными, указанными в описании
модели СРД пользователей к объектам доступа АРМ (АС).
– Проверку установленных в модели СРД АРМ полномочий
пользователей по доступу к объектам доступа АС (АРМ) на соответствие установленным ПРД разрешительной системы организации – заявителя.
195
– Проверку реального предоставления пользователям АРМ
системой защиты информации полномочий по доступу к объектам
доступа АС (АРМ) в соответствии с установленными моделью СРД
полномочиями.
По результатам проверок формируются соответствующие протоколы аттестационных испытаний в виде текстовых файлов.
В качестве объектов доступа АРМ анализатором уязвимостей
«НКВД 2.2» рассматриваются:
– логический диск (том) ЖМД АРМ;
– каталог логического диска;
– файл;
– принтер АРМ;
– привод CD-ROM АРМ;
– НГМД АРМ;
– виртуальный логический диск в ОЗУ АРМ;
– сетевой логический диск АРМ;
– сетевой ресурс (диск, каталог или файл, принтер, привод CDROM), к которому разрешен доступ субъектов доступа в АС.
Перечисленные объекты доступа включаются в состав объектов
доступа модели СРД АРМ. К ним могут быть установлены следующие виды полномочий доступа:
– Чтение (R) – устанавливается для логических дисков, каталогов, файлов;
– Запись/изменение (W) – устанавливается для логических
дисков, периферийных устройств, каталогов, файлов;
– Удаление (D) – устанавливается для логических дисков, периферийных устройств, каталогов, файлов;
– Запуск (E) – устанавливается для логических дисков, каталогов, файлов с расширениями *.bat, *.exe, *.com;
– Создание (C) – устанавливается для логических дисков, каталогов.
Интерфейс программы состоит из двух панелей – левой и правой, строки меню, панели инструментов и строки состояния.
Главное меню состоит из пяти пунктов:
– Файл;
– Сравнение;
– Анализ;
196
– Тестирование;
– ?
Подменю «Файл» содержит команды:
– Сканировать ресурсы – сканирование объектов доступа АРМ;
– Открыть файл пользователя – загрузка файла с описанием
модели СРД для указанного пользователя;
– Выход – выход из программы.
Файлы с описанием моделей СРД создаются средством моделирования СРД «Анализатор уязвимостей «НКВД 2.3». Он содержит структуру объектов доступа, отображающую структуру ресурсов файловой системы, а также сетевых ресурсов и периферийных
устройств, и установленные полномочия доступа к каждому объекту. При этом могут быть установлены полномочия пользователя на
совершение следующих операций с объектами доступа:
– Чтение (R) – может быть установлено для логических дисков, каталогов, файлов;
– Запись (W) – может быть установлено для логических дисков, принтеров, каталогов, файлов;
– Удаление (D) – может быть установлено для логических дисков, принтеров, каталогов, файлов;
– Запуск (E) – может быть установлено для логических дисков,
каталогов, файлов с расширениями *.bat, *.exe, *.com;
– Создание (C) – может быть установлено для логических дисков, каталогов.
Подменю «Сравнение» содержит команды:
– Сравнить ресурсы – сравнение структуры объектов доступа,
полученной путем сканирования ресурсов анализатором уязвимостей «НКВД 2.2», и структуры объектов доступа, содержащейся в
описании модели СРД для этого пользователя.
– Внести изменения – занесение изменений, обнаруженных в
результате сравнения, в структуру объектов доступа, содержащуюся в описании модели СРД для этого пользователя.
– Сохранить результаты – запись измененного описания модели СРД.
Подменю «Анализ» содержит команды:
– Анализ полномочий – проверка логики и непротиворечивости назначенных прав доступа к защищаемым объектам, установленным в файле пользователя;
197
– Сохранить результаты – запись измененного описания модели СРД.
Подменю «Тестирование» содержит команды:
– Построить план – построение плана проверки реальных полномочий пользователей по отношению к объектам доступа;
– Приступить к тестированию – принятие плана проверки и
осуществление в соответствии с ним проверки реально предоставляемых системой защиты информации пользователю полномочий
по отношению к объектам доступа.
«Сохранить результаты тестирования» – сохранение результатов о проведенных проверках в файле отчета.
Команда «?» выводит информацию о программе.
Для быстрой работы каждая команда может выполняться сочетанием клавиш, указанным в соответствующих пунктах меню.
На панели инструментов для удобства работы команды «Сканирование ресурсов», «Загрузка пользователя» продублированы
экранными кнопками, снабженными всплывающими подсказками
об их назначении.
Эксперт, работающий с анализатором уязвимостей «НКВД 2.2»,
информируется о ходе работы с помощью сообщений в строке состояния.
Левая панель включает четыре закладки: «Сравнение», «Анализ», «Тестирование» и «Сохранение результатов тестирования»
(появляется только после окончания тестирования). Каждая закладка содержит панель инструментов, включающую следующие
экранные кнопки:
– под закладкой «Сравнение» – экранные кнопки с командами «Сравнить ресурсы», «Сохранить результаты» и «Внести изменения»;
– под закладкой «Анализ» – экранные кнопки с командами
«Анализ полномочий» и «Сохранить результаты»;
– под закладкой «Тестирование» – экранные кнопки с командами «Подготовить план», «Сохранить результат», «Приступить к
тестированию», «Заменить» – замена объекта доступа в плане, выбранного для проверки полномочий, и «Удалить» – удаление объекта доступа в плане, выбранного для проверки полномочий;
– под закладкой «Результаты» – экранная кнопка с командой
«Сохранить результаты тестирования».
198
Все экранные кнопки снабжены всплывающими подсказками.
Каждая закладка содержит рабочую область, в которой выводится результат работы соответственно операций сравнения, анализа, тестирования и протокол проверки СРД для пользователя
АРМ.
Правая панель включает (N+1) закладок, где N – количество открытых файлов пользователей.
В рабочей области первой закладки – «Ресурсы» – отображается
структура объектов доступа полученная в результате сканирования
ресурсов АРМ анализатором уязвимостей «НКВД 2.2». На рабочей
области других N закладок в графическом виде представлена модель
СРД соответствующего пользователя АРМ, т.е. каждой модели СРД
пользователя соответствует закладка с именем пользователя.
Входными данными анализатора уязвимостей «НКВД 2.2» являются:
– данные о структуре ресурсов (объектах доступа) автоматизированного рабочего места АС (хранятся в текстовом файле
DEFAULT.TREE, который создается при сканировании объектов
доступа анализатором уязвимости «НКВД 2.2»);
– описания моделей системы разграничения доступа (хранятся
в текстовых файлах с расширением .USR отдельно для каждого
пользователя) полученные после сканирования программной «НКВД
2.3».
Сканирование объектов доступа АРМ
Для сканирования ресурсов используется команда «Сканировать ресурсы».
Перед сканированием необходимо выполнить настройку – определить набор сканируемых ресурсов. Для этого необходимо выбрать указанную команду и в появившемся диалоговом окне отметить требуемые ресурсы в списке (рис. 8.28).
Если в процессе сканирования будут найдены устройства, которые невозможно прочесть (например, пустой дисковод), анализатор
уязвимостей «НКВД 2.2» посчитает, что данный объект доступа
закрыт паролем, и предложит его ввести. После завершения сканирования на правой панели в закладке «Ресурсы» выводится структура объектов доступа, тождественная структуре ресурсов файло199
вой системы АРМ, а также сетевых ресурсов ЛВС с учетом доступных периферийных устройств.
Рис. 8.28. Закладка сравнения ресурсов
Администратор должен дать описание моделей СРД пользователей, содержимое которых подвергнется проверке анализатором
уязвимостей «НКВД 2.2». Отображение содержимого файла производится под закладкой с указанием имени пользователя на правой
панели.
При попытке открыть файл с описанием СРД, который уже загружен, администратор получает предупреждение: «Этот пользователь уже открыт!»
Сравнение данных сканирования объектов доступа АРМ
с данными описания модели СРД
Для выполнения сравнения структуры объектов доступа, полученной путем сканирования ресурсов анализатором уязвимостей
200
«НКВД 2.2», и структуры объектов доступа, содержащейся в файле
пользователя, необходимо выбрать команду «Сравнение ресурсов»
и в появившемся диалоговом окне в списке моделей СРД пользователей выбрать по имени пользователя нужную. Если ни одна модель СРД не была загружена, эксперт получит предупреждение:
«Ни один пользователь не загружен!»
Результат сравнения отображается в рабочей области левой панели под закладкой «Сравнение» (см. рис. 8.28) и представляет собой перечень:
– новых ресурсов, обнаруженных при сканировании в анализаторе «НКВД 2.2», но не найденных в структуре ресурсов модели
СРД пользователя. Относительно каждого нового ресурса, указанного в перечне, в рабочей области установлен знак "+";
– ресурсов, не обнаруженных при сканировании анализатором
уязвимости «НКВД 2.2», но описанных и найденных в структуре
модели СРД пользователя. Относительно каждого необнаруженного ресурса, указанного в перечне, в рабочей области установлен
знак "–".
Если эксперт сочтет нужным внести изменения в файл пользователя в соответствии с результатами выполненной операции сравнения, то ему следует выбрать команду «Внести изменения». При
этом новые ресурсы будут добавлены в структуру ресурсов модели
СРД пользователя АРМ с разрешенными правами доступа, а необнаруженные ресурсы – удалены. Результат выполненной команды
отобразится в правой панели под закладкой этого пользователя.
Для сохранения измененной модели СРД необходимо выбрать
команду «Сохранить результаты».
Проверка корректности назначения полномочий
пользователя
Для проверки корректности назначенных пользователю полномочий доступа к объектам доступа, установленным в модели СРД
пользователя АРМ, необходимо выбрать команду «Анализ полномочий» и в появившемся диалоговом окне в списке существующих
файлов пользователей выбрать нужный файл пользователя. Результат анализа отображается в рабочей области левой панели под за201
кладкой «Анализ» и представляет собой перечень ресурсов файла
пользователя, к которым некорректно определены права доступа, с
указанием предупреждения (рис. 8.29).
Рис. 8.29. Закладка анализа ресурсов
Для сохранения измененной модели СРД необходимо выбрать
команду «Сохранить результаты».
Проверка реальных полномочий пользователя
по доступу к объектам доступа АРМ
Проверка осуществляется по команде «Приступить к тестированию», для осуществления проверки реально предоставляемых
полномочий СЗСИ АС (АРМ) по отношению к объектам доступа
АРМ в соответствии с планом проверки СРД (рис. 8.30). Тестирование производится по указанному алгоритму и сопровождается
необходимыми указаниями.
Выбрав команды «Сохранить результаты тестирования», эксперт выполняет сохранение результатов тестирования в файлотчет.
202
Рис. 8.30. Закладка тестирования ресурсов
Порядок выполнения работы
1. Включить питание ПЭВМ.
2. Установить программы «НКВД 2.2» и «НКВД 2.3».
3. Запустить анализатор уязвимостей «НКВД 2.3».
4. Создать нового пользователя и запустить сканирование объектов доступа АРМ.
5. Для созданного пользователя запретить любой доступ к папкам с «НКВД 2.3» и «НКВД 2.2».
6. Разрешить чтение и удаление исполняемых файлов «НКВД
2.2» и «НКВД 2.3».
7. Перезагрузить ПЭВМ и зайти в систему под созданным пользователем.
8. Запустить анализатор уязвимостей «НКВД 2.2».
9. Запустить сканирование объектов доступа АРМ и сравнить
полученные данные о структуре и составе объектов доступа с дан203
ными описания модели СРД, созданной анализатором уязвимостей
«НКВД 2.3».
10. Зафиксировать некорректно предоставленные полномочия.
11. Внести необходимые изменения для устранения некорректных полномочий.
12. Получить текстовый файл с отчетом от «НКВД 2.2».
13. Составить отчет, в котором будет содержаться скриншот
программы «НКВД 2.3» с созданным пользователем и установленной политикой для папок с «НКВД 2.2» и «НКВД 2.3», скриншот
программы «НКВД 2.2» с полученным списком сравнения данных
о структуре и составе объектов доступа с данными описания модели СРД, скриншот анализа некорректности полномочий для этих
же папок, внесенные изменения, а также текстовый файл с отчетом
от «НКВД 2.2».
Тестовые задания к работе 8
1. Какие значения параметров обеспечивают паролю оптимальную стойкость?
a) 10 символов, 5 дней;
b) 8 символов, 30 дней;
c) 5 символов 15 дней;
d) 8 символов, 8 дней.
2. Для некоторого ресурса в «НКВД 2.3» установлена последовательность атрибутов – «++-+-». Это значит, что…
a) можно читать, перезаписывать и исполнять;
b) можно удаляться, читать и исполнять;
c) можно читать, перезаписывать и создавать;
d) можно читать и исполнять.
3. В каких случаях предоставленные права будут некорректными или не имеющими смысла?
a) пользователь не имеет доступ к родительской папке, но имеет доступ к дочерней;
b) пользователь может запускать исполняемый файл, находящийся в папке, к которой он не имеет доступа;
c) пользователь не имеет доступа к дочерней папке, но имеет
доступ к родительской;
d) все вышеперечисленное.
204
4. В «НКВД 2.3» можно разграничивать доступ к следующим ресурсам:
a) локальные диски;
b) локальные принтеры;
c) неизвестные устройства;
d) все вышеперечисленное.
5. Журнал событий СЗИ «Соболь» рассчитан на:
a) 60 записей;
b) 100 записей;
c) 80 записей;
d) Количество неограниченно.
6. Где хранится журнал событий АМДЗ «Аккорд»?
a) на жестком диске;
b) в оперативной памяти;
c) в энергонезависимой памяти;
d) нет правильного ответа.
7. После скольких неправильных попыток ввода пароля
АМДЗ «Аккорд» блокирует ПЭВМ?
a) 3;
b) 5.
c) 7;
d) 9.
205
КОНТРОЛЬ ПРАВ ДОСТУПА СУБЪЕКТОВ К ОБЪЕКТАМ
В состав тематики входит шесть лабораторных работ (9–14).
1. Проверка правильности идентификации объектов доступа. Проверка осуществляется путем обращения к ним субъектов
доступа по идентификаторам объектов. Обращение должно осуществляться однозначно только к данному объекту.
Объекты доступа определяются в соответствии с РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» и Актом классификации АС.
2. Проверка правильности идентификации субъектов доступа. Проверятся при входе в систему путем обращения субъектов
АС к объектам доступа при помощи штатных средств, для чего
системе предъявляются персональные идентификаторы.
Результаты испытания считаются удовлетворительными в случае выполнения следующих условий:
• при предъявлении идентификатора не зарегистрированного в
системе, средства управления должны приостанавливать процесс
предоставления доступа;
• при неоднократном предъявлении идентификатора не зарегистрированного в системе, средства управления должны прекратить процесс предоставления доступа;
• при предъявлении идентификатора зарегистрированного в
системе процесс предоставления доступа должен быть продолжен.
3. Проверка подтверждения подлинности субъекта доступа
(аутентификация). Для проверки подлинности производится ввод
личного пароля субъекта, соответствующего предъявленному
идентификатору.
Результаты испытания считаются удовлетворительными в случае выполнения следующих условий:
• при вводе пароля, не соответствующего предъявленному
идентификатору, средства управления должны приостанавливать
процесс предоставления доступа;
• при неоднократном вводе пароля, не соответствующего
предъявленному идентификатору, средства управления должны
прекратить процесс предоставления доступа;
206
• при вводе пароля, соответствующего предъявленному идентификатору, субъекту доступа должен быть предоставлен доступ в
систему в соответствии с его полномочиями.
4. Проверка механизма контроля доступа. Для проверки механизма контроля доступа проводятся:
• проверка соответствия реально установленным средствам
СЗИ НСД правилам разграничения доступа (ПРД), матрице разграничения доступа субъектов АС к её объектам;
• проверка непротиворечивости установленных ПРД;
• выборочные попытки реализовать НСД.
При установлении факта соответствия ПРД матрице доступа и
блокировки произведенных попыток НСД, реализация механизма
доступа считается удовлетворенной.
5. Проведение контроля защищенности информации от
утечки за счет НСД. Проведение контроля осуществляется с помощью сертифицированных ФСТЭК России программ по аттестации объектов информатизации (ОИ).
Работа 9
ПРОВЕРКА ОРГАНИЗАЦИИ КОНТРОЛЯ ДОСТУПА
К ОБЪЕКТУ С ИСПОЛЬЗОВАНИЕМ
СПЕЦИАЛИЗИРОВАННЫХ СРЕДСТВ ДОВЕРЕННОЙ
ЗАГРУЗКИ
Цель: получение практических навыков по работе со средствами
доверенной загрузки, проведение идентификации/аутенти-фикации;
предотвращение попыток НСД; контроль доступа к автоматизированному рабочему месту; изучение средств доверенной загрузки
«Аккорд–NT/2000» v.3.0 и «Соболь» v.2.0.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Установка и настройка «Аккорд–NT/2000» v.3.0.
2. Задание пользователям персональных идентификаторов и
паролей для доступа к системе.
207
3. Проведение испытаний организации контроля доступа к
АРМ.
4. Создание отчета по проделанной работе.
5. Установка и настройка комплекса «Соболь» и проведение
мероприятий указанных в соответствующих пунктах.
ОПИСАНИЕ РАБОТЫ СРЕДСТВ
ДОВЕРЕННОЙ ЗАГРУЗКИ
Комплекс «Аккорд-NT/2000» v.3.0.
Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа «Аккорд-NT/2000» v.3.0 –
это эффективный комплекс технических и программных средств,
используя который можно надежно защитить от несанкционированного доступа информацию на ПЭВМ (в АС), функционирующих под управлением ОС Microsoft Windows NT/2000/XP/
2003/Vista, без переделки ранее приобретенных программных
средств.
Комплекс СЗИ НСД «Аккорд-NT/2000» v.3.0 позволяет надежно обеспечить:
• защиту от несанкционированного доступа к АС (ПЭВМ) и ее
ресурсам;
• разграничение доступа к ресурсам АС (ПЭВМ), в том числе
к внешним устройствам, управлением потоками информации в соответствии с уровнем полномочий пользователей, используя дискреционный и мандатный способы управления доступом пользователей к информационным ресурсам АС (ПЭВМ);
• защиту от несанкционированных модификаций программ,
данных и различного рода проникающих разрушающих воздействий (ПРВ);
• контроль целостности конфигурации технических средств
ПЭВМ (РС), программ и данных с реализацией пошагового алгоритма контроля целостности;
• создание изолированной программной среды (ИПС) с исключением возможности несанкционированного выхода в ОС, загрузки с FDD и несанкционированного прерывания контрольных
процедур с клавиатуры;
208
• ввод широкого перечня дополнительных защитных механиз-
мов в соответствии с политикой информационной безопасности,
принятой в организации (на предприятии, фирме и т.д.).
Комплекс СЗИ НСД «Аккорд-NT/2000» v. 3.0 включает:
• программно-аппаратный комплекс СЗИ НСД для ПЭВМ (РС)
«Аккорд-АМДЗ»;
• специальное программное обеспечение разграничения доступа в среде операционных систем Windows, построенных с использованием технологии NT – СПО «Аккорд-NT/2000» (версии 3.0).
В комплексе «Аккорд-АМДЗ» из состава комплекса «АккордNT/2000» могут применяться различные модификации специализированных контроллеров:
• контроллер «Аккорд–5» используется для защиты ПЭВМ
(РС) с шинным интерфейсом PCI;
• контроллер «Аккорд-5mx» используется для защиты ПЭВМ
(РС) с шинным интерфейсом PCI (5В), или PCI-X (3.3В);
• контроллер «Аккорд-5.5» используется для защиты ПЭВМ
(РС) с шинным интерфейсом PCI (5В), или PCI-X (3.3В);
• контроллер «Аккорд-5.5-E» используются для защиты
ПЭВМ (РС) (РС) с шинным интерфейсом PCI Express.
Характеристики контроллеров «Аккорд-АМДЗ» из состава
комплекса СЗИ НСД «Аккорд-NT/2000» v. 3.0 приведены в табл.
9.1. Все модификации вышеуказанных контроллеров:
• могут использоваться на ПЭВМ (РС) с процессором и объемом RAM, обеспечивающим применение ОС Windows
NT/2000/XP/2003/Vista;
• используют для идентификации пользователей персональные
идентификаторы TM DS 1992-1996 с объемом памяти до 64 Кбит,
ПСКЗИ ШИПКА, или смарт-карты eToken PRO;
• используют для аутентификации пароль до 12 символов;
• блокируют загрузку ПЭВМ (РС) с FDD, CD ROM, ZIP Drive;
• предусматривают регистрацию до 126 пользователей на
ПЭВМ (РС);
• имеют аппаратный датчик случайных чисел (ДСЧ) для криптографических приложений;
• имеют разъем для внутреннего подключения съемника информации (контактного устройства) к контроллеру;
209
• обеспечивают контроль целостности программ, данных и
системных областей жестких дисков, а также конфигурации технических средств ПЭВМ (РС) до загрузки ОС;
• имеют внутреннюю энергонезависимую память для хранения
данных о зарегистрированных пользователях и журнала регистрации
событий;
• допускают изменение встроенного ПО (технологический режим) без замены аппаратной части комплекса (платы контроллера);
• обеспечивают режим доверенной загрузки ОС (выполнение
процедур идентификации/аутентификации пользователя, контроль
целостности аппаратной части ПЭВМ (РС), системных файлов,
программ и данных на аппаратном уровне до загрузки ОС).
Таблица 9.1
Особенности различных
типов контроллеров
Тип используемой
системной шины
Реле блокировки
физических каналов
Возможность
перепрограммирования
Таймер реального
времени
Аппаратный ДСЧ
Интерфейс RS 232
Реле управление
питанием материнской
платы
Встроенный USB-хост
«Аккорд-5.5»
«Аккорд-5»
«Аккорд-5mx»
PCI(5B) и
PCI(5B) и PCIPCI
PCI-X(3.3D)
X(3.3B)
Три реле
Возможна
Возможна
установлены установка двух установка двух
по умолчанию реле по заказу реле по заказу
+
+
+
УстанавливаВозможна
Возможна
ется по
установка по установка по
умолчанию
заказу
заказу
Установлен по Установлен по Установлен по
умолчанию
умолчанию
умолчанию
УстанавливаВозможна
Возможна
ется по
установка по установка по
умолчанию
заказу
заказу
Устанавливается по
умолчанию
Возможна
установка
по заказу
В данной лабораторной работе изучаются работа и функции
контроллера «Аккорд-АМДЗ» типа 5mx.
210
Программа администратора системы защиты информации является частью комплекса «Аккорд-АМДЗ». С помощью этой программы администратор СЗИ может добавлять и удалять пользователей, назначать пользователям идентификаторы и пароли, контролировать аппаратную часть ПЭВМ, прикладные и системные файлы, получает доступ к системному журналу контроллера.
Установка и настройка комплекса «Аккорд АМДЗ»
Установка комплекса. Меню администратора. Перед установкой аппаратной части комплекса необходимо:
1) отключить питание;
2) вскрыть корпус системного блока ПЭВМ, удалить заглушку
на задней панели блока и выбрать свободный PCI слот на материнской плате для установки контроллера.
Расположение элементов и разъемов на плате контроллера
«Аккорд-5mx» показано на рис. 9.1.
Рис. 9.1. Плата контроллера «Аккорд-5mx»
211
Если в компьютер устанавливается новый контроллер АМДЗ,
то при загрузке выполняется инициализация и форматирование
внутренней памяти. После завершения этой операции на экран выводится стартовое меню администратора (рис. 9.2). Если в контроллере нет зарегистрированных пользователей, то в этом меню
доступны для выбора только пункты «Администрирование» и
«Выход в AcDOS».
«Выход в AcDOS» позволяет загрузить компьютер с использованием внутренней операционной системы контроллера (AсDOS).
В дальнейших разработках предполагается включение в состав
этой ОС средств диагностики контроллера и компьютера.
Рис. 9.2. Стартовое меню администратора
Клавишей <Enter> запустите программу администрирования.
На экран выводится главное меню (рис. 9.3).
Главное меню состоит из следующих полей:
• строка команд (левая половина верхней строки);
• информационная строка (правая половина верхней строки);
• статус (HELP) – нижняя строка;
• рабочее поле (все остальное пространство).
Строка команд позволяет вызвать следующие подпрограммы:
• <Польз> – работа со списком пользователей;
• <Контр> – работа со списками контроля целостности;
• <Сервис> – дополнительные настройки;
212
<Журнал> – работа с внутренним журналом регистрации событий;
• <Помощь> – описание функций и сведения о продукте.
•
Рис. 9.3. Главное меню администратора
После начальной инициализации в строке команд недоступны
пункты <Контр> и <Журнал>, так как в памяти контроллера не зарегистрировано ни одного пользователя (в верхней информационной
строке имя текущего пользователя UNKNOWN, т.е. неизвестный).
Поэтому первое действие, которое нужно выполнить – это регистрация пользователя с правами администратора.
Назначение пароля и ТМ-идентификатора пользователю. Гл.
администратор (SUPERVISOR). В меню выберите команду
<Польз.>. На экран выводится дерево списка пользователей. При
инициализации контроллера создаются две зарезервированные
группы пользователей – «Администраторы» и «Обычные». Эти две
группы нельзя ни переименовать, ни удалить. Для каждой группы
можно задать общие параметры, которые будут устанавливаться по
умолчанию при создании пользователя в группе. Для каждого зарегистрированного пользователя можно изменить данные параметры
при индивидуальной настройке. Такие же правила будут выполняться и для любой группы, созданной администратором.
При инициализации контроллера в базе данных создается учетная запись «Гл. администратор», но поля этой записи не заполне213
ны. Для регистрации администратора системы выберите строку
<Гл. администратор>, нажмите <Enter>. На экран выводится окно
ввода-вывода «Параметры пользователя» (рис. 9.4).
Рис. 9.4. Параметры пользователя
Выберите строку <Идентификатор> (см. рис. 9.4). На экран выводится информация о зарегистрированном идентификаторе. При
первой установке контроллера никаких данных об идентификаторе
нет (рис. 9.5).
Рис. 9.5. Информация об идентификаторе
214
Выберите команду <Новый>. На запрос идентификатора (рис.
9.6) прикоснитесь идентификатором к съемнику. Для отмены текущей операции, выберите команду <Отмена>.
Рис. 9.6. Запрос идентификатора
Примечание. В том случае, когда в качестве персонального идентификатора используется ПСКЗИ ШИПКА, на запрос идентификатора
следует подключать устройство ШИПКА к USB-порту контроллера
АМДЗ. Если в качестве идентификатора используется смарт-карта eToken PRO, то следует вставить карту в считыватель.
После использования идентификатора на экране появляется меню генерации секретного ключа (рис. 9.7), который уникален для
каждого пользователя и записывается во внутреннюю память регистрируемого идентификатора. Этот секретный ключ используется в
мониторе правил разграничения доступа ACRUN, который позволяет каждому пользователю создать изолированную программную
среду (ИПС) и персональный набор файлов, контролируемых на целостность. Кроме того, этот параметр позволяет надежно защищать
данные о пользователе в энергонезависимой памяти контроллера,
так как в качестве уникального признака используется результирующая хеш-функция от номера идентификатора, пароля и секретного ключа.
Внимание! Идентификатор, в котором не записан секретный
ключ, воспринимается как недопустимый в процессе идентифика215
ции/аутентификации пользователя, даже если его номер высвечивается в строке «Идентификатор».
Рис. 9.7. Генерация секретного ключа пользователя
Выберите опцию <Новый> и <OK>. На запрос идентификатора
подключите идентификатор к контактному устройству.
Примечание. Секретный ключ может быть уже записан в идентификаторе в следующих случаях:
• при перерегистрации пользователя;
• при регистрации одного пользователя на нескольких компьютерах с установленной системой «Аккорд».
Генерировать секретный ключ следует только при первой регистрации, так как каждая новая генерация затирает предыдущее
значение ключа, и идентификатор не будет читаться на других
компьютерах.
В этом случае выберите опцию <Существующий> и <OK>. На
запрос идентификатора подключите идентификатор к контактному
устройству.
Для назначения пароля пользователя в окне «Параметры пользователя» (см. рис. 9.4) выберите строку «Пароль» и нажмите <Enter>. На экран выводится окно ввода пароля (рис. 9.8). Введите новый пароль. Повторите ввод пароля во второй строке. Пароль может состоять из букв, цифр и специальных символов.
216
Рис. 9.8. Окно ввода пароля
Вводимые символы на экране отображаются точками. При несовпадении введенных последовательностей выводится сообщение
об ошибке. В этом случае операцию придется повторить. Символы
могут вводиться как в верхнем, так и в нижнем регистре. Будьте
внимательны! Длина пароля должна быть не меньше параметра,
установленного в строке «Минимальная длина» в разделе «Параметры пароля» (см. рис. 9.8). Если длина введенного пароля меньше, выводится сообщение об ошибке. Не допускается ввод в качестве пароля последовательностей типа: '123456' или 'qwerty'. При
вводе подобных последовательностей символов выдается сообщение об ошибке.
Можно выбрать процедуру генерации пароля случайным образом (кнопка «Сгенерировать»). В этом случае пароль генерируется
таким образом, чтобы в нем обязательно присутствовал хотя бы
один символ из набора, заданного в параметре «Алфавит пароля»
(рис. 9.9).
После генерации новый пароль выводится в строке «Новый пароль» и пользователь должен его ввести с клавиатуры в поле «Еще
раз».
Для сохранения параметров пользователя «Гл. администратор»
и выхода в окне «Параметры пользователя» выберите команду
<Запись> (клавиша <F2>).
217
Рис. 9.9. Параметры пароля
После сохранения параметров пользователя «Гл. администратор» нужно выйти из процедуры редактирования списка пользователей по клавише <Esc> и повторным нажатием этой клавиши из
программы администрирования. Выполняется рестарт внутреннего
ПО контроллера, и на экран выводится запрос идентификатора и
пароля пользователя. После предъявления идентификатора и ввода
пароля пользователя «Гл. администратор» появляется меню, в котором уже доступны все пункты, в частности выбор вариантов загрузки ОС.
Создание и редактирование пользователя
Установите в списке пользователей курсор на заголовке группы
«Обычные». Выберите команду <Новый>, или нажмите клавишу
<Insert>. На экран выводится окно ввода имени пользователя. Введите имя нового пользователя. Администратор должен присвоить
каждому пользователю уникальное в данной вычислительной среде
(отдельный компьютер или локальная сеть) имя. Рекомендуется
использовать в качестве имени фамилию пользователя. На экран
выводится окно ввода-вывода «Параметры пользователя». Зарегистрируйте идентификатор и пароль пользователя. При вводе нового
пользователя общие параметры, установленные для группы, присваиваются ему по умолчанию, но в окне «Параметры пользовате218
ля» их можно изменить. Если администратор безопасности изменяет общие параметры группы, то установить их для всех пользователей группы можно по команде <Синхр.> (Синхронизировать).
В режиме «Редактирование параметров пользователя» администратор изменяет параметры доступа пользователя к объектам СЗИ.
В подменю списка пользователей выберите имя пользователя, параметры которого необходимо отредактировать, нажмите клавишу
<Enter>. На экран выводится окно (рис. 9.10). Произведите изменения в окне ввода/вывода «Параметры пользователя».
Рис. 9.10. Режим редактирования пользователя
Назначьте персональный идентификатор и пароль, таким образом, как это было описано выше. Теперь перейдем к настройке общих параметров пользователя.
Для группы «Обычные» (пользователи) установлены следующие общие параметры (см. рис. 9.10):
• параметры пароля;
• временные ограничения;
• режим «Блокирован»;
• загрузка ОС;
• доступ к устройствам;
• результаты ИА (идентификации/аутентификации пользователя).
219
Режим блокировки: При установке флага «Блокирован» в состояние «Да» все параметры пользователя сохраняются в базе данных, но вход в систему и работа данного пользователя будут запрещены. Данный флаг можно использовать для временной блокировки пользователя. После того, как администратор снимет блокировку, работа пользователя восстановится со всеми установленными настройками. Для изменения состояния данного флага достаточно установить курсор в строку «Блокирован» и нажать клавишу
<Enter>.
Временные ограничения: Администратор может устанавливать
для пользователя ограничения на вход в систему с точностью до 30
минут в любой день недели. Выберите пункт «Временные ограничения» и нажмите <Enter>. На экран выводится окно «Временные
ограничения» (рис. 9.11).
Рис. 9.11. Временные ограничения
Клавишами «стрелка» можно перемещаться по матрице времени входа в систему. Клавиша <Пробел> меняет знак «+» на «–» и
обратно, т.е. разрешает или запрещает загрузку компьютера данному пользователю в данный временной интервал.
Загрузка ОС: В контроллере «Аккорд-АМДЗ» предусмотрена
возможность управления режимом загрузки Windows 95/98 и загрузкой различных конфигураций ПО с использованием меню в
файле CONFIG.SYS. Для Microsoft Windows XP управление загруз220
кой ОС невозможно, поэтому мы не будем рассматривать этот
пункт.
Доступ к устройствам. Этот параметр будет рассмотрен в одной из предстоящих лабораторных работ настоящего практикума.
Атрибуты доступа. При выборе параметра «Атрибуты доступа»
открывается окно (рис. 9.12), в котором «Гл. администратор» может установить набор функций администрирования, доступных
«подчиненным» администраторам.
Рис. 9.12. Выбор атрибутов доступа администратора к функциям управления
Надо заметить, что в правилах настройки СЗИ «Аккорд-АМДЗ»
нет ограничений на число пользователей, зарегистрированных в
той, или иной группе. Существует только лимит на общее количество записей (128) в базе данных пользователей.
Результаты ИА. В разделе «Результаты ИА» устанавливается,
какая информация о пользователе, полученная в результате процесса идентификации/аутентификации, будет передаваться из контроллера в программную подсистему разграничения доступа (если
таковая установлена на компьютере). Для успешного выполнения
процедуры «Автологин», т.е. когда пользователь авторизуется на
аппаратном уровне, а программная часть автоматически подгружает его профиль доступа, необходимо включить первые пять флагов
«Результатов ИА». Установки по умолчанию (рис. 9.13) предполагают использование только контроллера АМДЗ.
221
Рис. 9.13. Результаты ИА
Выход из программы администрирования выполняется по клавише <Esc>, когда Вы находитесь в главном меню. После этого на
экране снова появляется стартовое меню администратора. Администратор может выбрать вариант загрузки или перезагрузить компьютер. При корректном входе в систему зарегистрированным
идентификатором пользователя меню не выводится, а выполняется
обычная загрузка установленной операционной системы.
При необходимости получения информации по остальным
функциям комплекса обращаться к руководству администратора
комплекса
«Аккорд-АМДЗ»
(Руководство
администратора
(11443195.4012-006 90 04)).
Назначение и краткая характеристика комплекса
«Соболь» v.2.0
Комплекс «Соболь» предназначен для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера.
Комплекс «Соболь» обеспечивает:
• регистрацию пользователей и назначение им персональных
идентификаторов и паролей для входа в систему;
222
• идентификацию и аутентификацию пользователей при их
входе в систему;
• управление параметрами процедуры идентификации пользователя, такими как число неудачных попыток входа, ограничение
времени на вход в систему и др.;
• регистрацию событий, имеющих отношение к безопасности
системы;
• контроль целостности файлов на жестком диске;
• контроль целостности физических секторов жесткого диска;
• защиту от несанкционированной загрузки операционной
системы со съемных носителей – дискет, CD-ROM, ZIP-устройств,
магнитооптических дисков, USB-устройств и др.;
• блокировку компьютера при условии, что после включения
компьютера управление не передано расширению BIOS комплекса
«Соболь»;
• диагностику состояния основных компонентов комплекса –
датчика случайных чисел, энергонезависимой памяти, считывателя
персональных идентификаторов iButton (TM);
• возможность совместной работы с системами защиты семейства Secret Net и АПКШ «Континент».
Действие комплекса «Соболь» состоит в проверке полномочий
пользователя на вход в систему. Если предъявлены необходимые
атрибуты – персональный идентификатор и пароль, пользователь
получает право на вход. При их отсутствии вход в систему данного
пользователя запрещается.
Пояснение. Пользователь получает допуск к компьютеру после
регистрации его в списке пользователей комплекса «Соболь». Регистрация пользователей осуществляется администратором и состоит в присвоении пользователю имени, персонального идентификатора и назначении пароля.
Регистрация администратора осуществляется при инициализации комплекса.
Комплекс «Соболь» включает в свой состав следующие защитные подсистемы и механизмы:
• механизм идентификации/аутентификации пользователей;
• подсистема контроля целостности;
• подсистема запрета загрузки ОС со съемных носителей;
223
• механизм сторожевого таймера;
• механизм регистрации событий, имеющих отношение к
безопасности системы.
Установка ПАК «Соболь» v.2.0
Установка программного обеспечения и подготовка к инициализации комплекса. Программное обеспечение комплекса
«Соболь» рекомендуется устанавливать до установки в компьютер
платы комплекса.
Поместите установочный компакт-диск в привод CD-ROM и
запустите на исполнение файл Setup.exe. При появлении на экране
сообщения, предупреждающего об отсутствии в компьютере платы
комплекса «Соболь», нажмите клавишу <Enter> для продолжения
установки.
Программа установки выполнит подготовку к установке. После
завершения подготовительных действий на экране появится стартовый диалог программы установки. Нажмите кнопку <Далее > для
продолжения установки. На экране появится диалог с текстом лицензионного соглашения. Отметьте поле «Я принимаю условия
лицензионного соглашения» и нажмите кнопку <Далее >. На экране появится диалог выбора каталога для размещения файлов. Нажмите кнопку <Далее>.
В некоторых случаях на экране может появиться диалог со списком программ, использующих в данный момент системные файлы, которые должна обновить программа установки.
• Для обновления системных файлов без перезагрузки компьютера закройте перечисленные в списке программы, а затем нажмите в диалоге на кнопку «Повторить».
• Для немедленного продолжения установки нажмите на
кнопку «Пропустить», но в этом случае по завершении установки
вам, скорее всего, будет предложено перезагрузить компьютер.
Затем программа установки регистрирует в системе драйвер
платы комплекса «Соболь» и формирует шаблоны для контроля
целостности. После успешного выполнения процедуры установки
на экране появится завершающий диалог программы установки.
Нажмите кнопку «Готово».
224
Для инициализации комплекса проделайте следующее:
1. Переключите плату комплекса «Соболь» в режим инициализации. Для этого снимите перемычки, установленные на разъемах
платы J0-J1 (рис. 9.14).
2. Выключите компьютер.
3. Вскройте корпус системного блока.
4. Выберите свободный слот системной шины PCI (разъем для
плат расширения) и аккуратно вставьте в него плату комплекса
«Соболь».
5. Подключите к плате считыватель.
6. Закройте корпус системного блока.
Рис. 9.14. Расположение разъемов на плате комплекса «Соболь»
Инициализация и настройка общих параметров, регистрация администратора. Процедура инициализации. Включить питание компьютера. На экране появится окно (рис. 9.15), если после
включения питания компьютера управление не было передано модулю расширения BIOS комплекса, то окно на экране не появится.
225
Рис. 9.15 Окно инициализации
В этом случае необходимо в BIOS Setup разрешить загрузку операционной системы с модулей расширения BIOS сетевых плат.
Совет. Прежде чем приступить к инициализации рекомендуется
проверить работоспособность комплекса «Соболь». Для этого выберите в меню команду «Диагностика платы» и нажмите клавишу
<Enter>. В появившемся на экране меню выберите команду «Выполнить все тесты» и нажмите клавишу <Enter>. После успешного завершения всех тестовых процедур нажмите клавишу <Esc>.
После активации в меню администратора команды «Диагностика
платы» на экране появится следующее меню (рис. 9.16)
Рис. 9.16. Окно
диагностики платы
Команды этого меню запускают процедуры проверки компонентов комплекса.
226
По завершении каждой процедуры на экран выводится окно с
сообщением о ее результате.
Тест NVRAM памяти. Этот тест проверяет работоспособность энергонезависимой памяти комплекса «Соболь» − NVRAM
памяти. В ходе проверки осуществляются попытки доступа на чтение и запись для каждого сегмента двух банков NVRAM памяти
комплекса.
Процедура проверки не приводит к потере данных, хранящихся в
NVRAM памяти, но только при соблюдении следующего запрета −
во время выполнения проверки запрещается проводить перезагрузку
компьютера и отключать питание.
Тест датчика случайных чисел. Этот тест проверяет работоспособность аппаратного датчика случайных чисел комплекса
«Соболь». Тестирование заключается в проверке равномерности
распределения случайных чисел, генерируемых датчиком. Процедура выполняется в три прохода, что позволяет повысить надежность получаемых результатов.
Тест считывателя iButton. Этот тест проверяет правильность обмена данными между считывателем персональных идентификаторов iButton, подключенным к плате комплекса «Соболь», и
идентификатором iButton, предъявляемым во время проверки.
Процедура проверки не приводит к потере данных, хранящихся в
идентификаторе.
Последовательное выполнение всех тестов. При использовании этой процедуры обратите внимание на особенность выполнения теста считывателя iButton − запрос персонального идентификатора на экран не выводится. Поэтому следует персональный идентификатор, предназначенный для проверки, заблаговременно привести в соприкосновение со считывателем, если этого не сделать,
то выдастся сообщение об ошибке (рис. 9.17).
Рис. 9.17. Ошибка чтения идентификатора. Идентификатор не был
заблаговременно помещен в считыватель
227
Ошибки при диагностике
Причина: произошла ошибка при обмене данными с указанным банком NVRAM памяти комплекса «Соболь». В первом случае ошибка вызвана нарушением механизма обмена данными с памятью, во втором − несовпадением записанных и прочитанных
данных.
Действия: повторите проверку NVRAM памяти. При многократном повторении данного результата обратитесь в службу технической поддержки поставщика комплекса.
Причина: указанное число раз проверка равномерности распределения случайных чисел, генерируемых датчиком случайных
чисел комплекса «Соболь», завершилась неудачей.
Действие: повторите проверку датчика случайных чисел. При
многократном повторении данного результата обратитесь в службу
технической поддержки поставщика комплекса.
Причина: произошла ошибка при обмене данными между
предъявленным персональным идентификатором и считывателем.
Возможно, испорчен идентификатор или неисправен считыватель.
Действие: повторите тест, предъявив другой идентификатор.
Если тест завершился без ошибок − считыватель исправен. Выполните форматирование предъявленного ранее идентификатора и повторите тест. Если ошибка устойчиво повторяется − идентификатор не исправен, обратитесь в службу технической поддержки поставщика комплекса.
228
Причина: при последовательном выполнении всех тестов во
время проверки считывателя iButton не был предъявлен персональный идентификатор.
Действие: приведите персональный идентификатор в соприкосновение со считывателем и повторите процедуру или выполните проверку считывателя iButton отдельно от остальных проверок.
Настройка общих параметров
После выполнения команды «Инициализации платы» появляется окно «Общие параметры системы» (рис. 9.18).
Рис. 9.18. Общие параметры системы
Внимание! Если не найден каталог установки ПО комплекса
«Соболь» (обычно C:\Sobol) или в этом каталоге отсутствуют файлы шаблонов для контроля целостности ненулевой длины
(bootfile.nam, bootfile.chk, bootsect.nam, bootsect.chk), параметру
«Контроль целостности файлов и секторов» присваивается значение «Нет». При попытке изменить значение этого параметра на экране появится окно для ввода пути к каталогу с файлами шаблонов.
Если путь к каталогу был изменен при установке ПО комплекса
«Соболь», введите этот путь и нажмите клавишу <Enter>. Учитывайте, что для каталогов, размещающихся на дисках с файловой
системой FAT12, FAT16 и FAT32, длинные имена (более 8 символов) надо указывать в краткой форме, например «progra~1». Узнать
краткую форму записи имени можно с помощью команды DIR или
229
менеджеров файлов, например Total Commander. При обнаружении
заданного каталога и находящихся в нем файлов шаблонов для
контроля целостности параметр примет значение «Да», иначе значение параметра не изменится.
«Версия криптографической схемы», настройка которой выполняется только при инициализации комплекса «Соболь», является обязательной.
Внимание! Администратор, обслуживающий несколько комплексов «Соболь», должен на всех обслуживаемых комплексах установить одинаковую версию криптографической схемы.
Установите для параметра «Версия криптографической схемы»
значение:
• «2.0» − если не требуется обеспечивать совместимость с
предыдущими версиями комплекса, рекомендуется выбирать это
значение параметра.
Пояснение. В этом случае невозможна повторная регистрация
администратора и пользователей данного комплекса «Соболь» на
комплексах предыдущих версий. Также невозможна повторная регистрация администратора и пользователей комплексов предыдущих версий на данном комплексе «Соболь»;
• «1.0» − чтобы обеспечить совместимость с предыдущими
версиями комплекса.
Остальные параметры системы не требуют пояснения, так как
их назначение очевидно из их названия.
Выполнив настройку параметров, нажмите клавишу <Esc> для
сохранения изменений и продолжения процедуры инициализации.
Начнется тестирование правильности работы датчика случайных
чисел (ДСЧ).
Если тестирование ДСЧ завершилось с ошибкой, в строке сообщений появится сообщение об этом. Для продолжения работы
требуется перезагрузить компьютер − нажмите любую клавишу. В
строке сообщений появится дополнительное сообщение о необходимости перезагрузки. Нажмите еще раз любую клавишу. Компьютер будет перезагружен.
Совет. Для перезагрузки компьютера используйте также комбинацию клавиш <Alt>+<Ctrl>+<Del>.
Если тестирование ДСЧ завершено успешно (получен положительный результат), инициализация комплекса будет продолжена.
230
Регистрация администратора
При регистрации администратора ему назначается пароль для
входа в систему и присваивается персональный идентификатор.
Процедура регистрации может выполняться в одном из двух вариантов.
Первичная регистрация администратора (рис. 9.19), при выполнении которой в персональный идентификатор администратора
записывается новая служебная информация о регистрации.
Рис. 9.19. Окно запроса
Если идентификатор содержит служебную информацию, например, записанную в идентификатор при инициализации другого
комплекса «Соболь», она будет уничтожена и администратор не
сможет управлять работой другого комплекса.
Повторная регистрация администратора, при выполнении
которой служебная информация, записанная в персональный идентификатор при первичной регистрации администратора, считывается из идентификатора без ее изменения, что позволяет администратору использовать один и тот же идентификатор для входа в систему на нескольких компьютерах, оснащенных комплексами «Соболь».
Рекомендации:
• Если при установке нескольких комплексов «Соболь» на первом из них выполняется первичная регистрация администратора, а
на всех остальных − повторная регистрация администратора, тогда
администратор сможет управлять всеми комплексами, используя
один и тот же персональный идентификатор.
• При выполнении повторной инициализации находящегося в
эксплуатации комплекса «Соболь» рекомендуется проводить повторную регистрацию администратора.
Для первичной регистрации администратора выберите «Да»
(см. рис. 9.19) и нажмите клавишу <Enter>. На экране появится
231
диалог для ввода пароля администратора. Если оба значения пароля совпали, на экране появится запрос: «Прислоните и удерживайте
персональный идентификатор». При присвоении персонального
идентификатора в него записывается служебная информация.
• Если персональный идентификатор регистрировался ранее
на другом компьютере и уже содержит служебную информацию,
на экране появится предупреждение (рис. 9.20):
Рис. 9.20. Предупреждение о ранее возможной регистрации идентификатора
• Если же структура данных персонального идентификатора
нарушена или в нем недостаточно свободного места для записи
служебной информации, на экране появится запрос на форматирование персонального идентификатора (рис. 9.21).
Рис. 9.21. Запрос на форматирование идентификатора
При форматировании персонального идентификатора вся информация, содержащаяся в его памяти, будет полностью утеряна
без возможности восстановления. Для отказа от форматирования
нажмите клавишу <Esc>, на экране вновь появится запрос персонального идентификатора.
Для повторной регистрации администратора в окне «Запрос»
выберите «Нет» и воспользуйтесь паролем и персональным идентификатором, назначенным ему при первичной регистрации.
232
Контрольные суммы
В том случае если общему параметру «Контроль целостности
файлов и секторов» присвоено значение «Да», на экране появится
запрос, предлагающий рассчитать контрольные суммы. При подтверждении начнется расчет эталонных значений контрольных
сумм объектов, заданных исходными шаблонами для контроля целостности, при этом на экране будет отображаться процесс расчета.
Если при расчете контрольных сумм не найден один или несколько файлов или секторов, заданных шаблонами для контроля
целостности, по окончании процедуры расчета на экране появится
запрос на запрет контроля целостности (рис. 9.22).
Рис. 9.22. Ошибка расчета контрольных сумм
Выберите:
• «Да» − для отключения контроля целостности файлов и секторов, выполняемого при входе пользователей в систему.
Пояснение. В этом случае следует выполнить корректировку
шаблонов для контроля целостности рассчитать эталонные значения контрольных сумм и включить параметр «Контроль целостности файлов и секторов».
• «Нет» − чтобы не отключать контроль целостности файлов и
секторов.
Пояснение. В этом случае контроль целостности файлов и секторов будет выполняться с ошибками, что приведет к невозможности входа пользователей в систему. Завершив инициализацию, обязательно выполните корректировку шаблонов для контроля целостности, затем повторно рассчитайте эталонные значения контрольных сумм.
Подробно о проведении корректировки шаблонов для контроля
целостности рассказано в документации ПАК «Соболь» v.2.0
(Руководство по администрированию (УВАЛ. 00300-58-01 91)).
233
По окончании инициализации появится сообщение, показанное
на рис. 9.23.
Рис. 9.23. Завершение процесса инициализации комплекса
Создание и редактирование пользователя, назначение
пользователям персональных идентификаторов и паролей
Для того чтобы перевести комплекс из режима инициализации
в рабочий режим, сделайте следующее:
1. Выключите компьютер.
2. Вскройте корпус системного блока.
3. Отсоедините считыватель от платы комплекса «Соболь»:
4. Аккуратно извлеките плату комплекса «Соболь» из разъема
системной шины PCI.
5. Установите перемычки на разъемах платы J0-J1.
6. Аккуратно вставьте плату комплекса «Соболь» в разъем системной шины PCI и закрепите планку крепления платы крепежным
винтом.
7. Подключите к плате считыватель.
8. Закройте корпус системного блока.
Выполнив все указанные действия, включите компьютер и перейдите к управлению комплексом «Соболь».
Меню администратора
Включите питание или выполните перезагрузку компьютера.
На экране появится окно, в центре которого будет отображаться
запрос персонального идентификатора, предъявите идентификатор
администратора и введите пароль. При успешном завершении тестирования на экране появится информационное окно (рис. 9.24).
234
Рис. 9.24. Информационное окно
После нажатия на любую клавишу появится окно администратора (рис. 9.25).
Рис. 9.25. Окно администратора
Команды меню администратора:
Список пользователей. Регистрация пользователей, удаление.
Настройка параметров пользователя.
Журнал регистрации событий. Просмотр записей о событиях,
зарегистрированных комплексом «Соболь», представленных в табличной форме. Каждая строка таблицы содержит сведения об одном событии. Первая строка содержит запись о самом последнем
из зарегистрированных событий, а нижняя строка − запись о событии, зарегистрированном раньше всех остальных.
Расчет контрольных сумм. Расчет эталонных значений контрольных сумм для объектов, заданных шаблонами контроля целостности.
Общие параметры системы. Настройка общих параметров
комплекса.
Смена пароля. Изменение пароля администратора.
235
Смена аутентификатора. Смена аутентификатора администратора.
Диагностика платы. Проверка работоспособности комплекса.
Пояснение. Аутентификатор − структура данных, хранящаяся в
персональном идентификаторе пользователя (аутентифицирующая
информация пользователя), которая наравне с паролем пользователя участвует в процедуре аутентификации пользователя.
Создание и редактирование пользователей
Выберите команду «Список пользователей», чтобы приступить
к управлению пользователями. После выбора появится окно «Зарегистрированные пользователи» со списком пользователей в нижней
части и настройками учетной записи в верхней (рис. 9.26).
Рис. 9.26. Зарегистрированные пользователи
В верхней части окна даны сведения о пользователе и перечень
параметров учетной записи.
• «Имя пользователя».
• «Номер ТМ-идентификатора».
• «Время последнего входа».
236
• «Общее количество входов».
• «Количество неудачных попыток входа».
• «Текущий статус пользователя».
• «Режим контроля целостности».
• «Запрет загрузки с внешних носителей».
• «Ограничение срока действия пароля».
• «Замена аутентификатора при смене пароля».
Количество неудачных попыток входа. Значение данного параметра равно «0», если число неудачных попыток входа, выполненных пользователем во время последнего сеанса входа в систему,
меньше значения общего параметра «Предельное число неудачных
входов пользователя» и пользователь завершил сеанс успешным
входом в систему.
Значение данного параметра больше «0», если число неудачных
попыток входа, выполненных пользователем во время последнего
сеанса входа в систему, достигло числа, заданного общим параметром «Предельное число неудачных входов пользователя». При этом
вход пользователя в систему блокируется автоматически.
Для разблокирования входа пользователя в систему выберите
строку с названием данного параметра и нажмите клавишу <Enter>.
Параметр примет значение «0». Затем установите для параметра
«Текущий статус пользователя» значение «Не блокирован».
Текущий статус пользователя. Управляет блокировкой входа
пользователя в систему. Параметр может принимать два значения:
«Блокирован» − вход пользователя в систему запрещен, или «Не
блокирован» − вход пользователя в систему разрешен.
Если вход пользователя в систему запрещен, то при попытке
входа в систему, даже если пользователь правильно указал пароль,
на экран выводится сообщение «Ваш вход в систему запрещен Администратором» и компьютер блокируется.
Режим контроля целостности. Определяет для данного пользователя режим работы подсистемы контроля целостности. Параметр может принимать два значения: «Жесткий» − включен жесткий режим, или «Мягкий» − включен мягкий режим.
• Жесткий режим. Если при входе данного пользователя в систему обнаружены нарушения целостности контролируемых объектов, вход пользователя в систему запрещается и компьютер блоки237
руется. В журнале регистрируется событие «Ошибка при контроле
целостности».
• Мягкий режим. Если при входе данного пользователя в систему обнаружены нарушения целостности заданных файлов и секторов, вход пользователя в систему разрешается. В журнале событий регистрируется событие «Ошибка при контроле целостности».
Запрет загрузки с внешних носителей. Позволяет разрешить
пользователю загружать операционную систему со съемных носителей − дискет, CD-ROM, ZIP-устройств, магнитооптических дисков, USB-устройств и др. Параметр может принимать два значения:
«Да» − загрузка ОС со съемных носителей запрещена, или «Нет» −
загрузка ОС со съемных носителей разрешена.
Чтобы исключить возможность модификации защищенной
энергонезависимой памяти комплекса «Соболь», в режиме совместного использования рекомендуется запретить всем пользователям загрузку ОС со съемных носителей.
Ограничение срока действия пароля. Позволяет включить для
пользователя режим устаревания пароля. Параметр может принимать два значения: «Да» − режим включен, или «Нет» − режим отключен.
При включении этого режима по истечении периода времени, заданного общим параметром «Максимальный срок действия пароля»,
текущий пароль пользователя перестает быть действительным, и при
входе в систему пользователю будет предложено сменить свой пароль, без чего он не сможет загрузить операционную систему. Если
для пользователя включен режим замены аутентификатора при смене пароля, то ограничение срока действия распространяется и на аутентификатор пользователя.
Для присвоения параметру значения «Да» требуется присутствие
данного пользователя. На экране появится диалог для ввода текущего пароля пользователя. Попросите пользователя ввести свой пароль
и нажать клавишу <Enter>, затем предъявите персональный идентификатор данного пользователя. Параметр доступен для управления
только в том случае, когда пользователю присвоен персональный
идентификатор DS1994, имеющий встроенный таймер.
Замена аутентификатора при смене пароля. Позволяет включить для пользователя режим принудительной замены аутентификатора при выполнении им процедуры смены пароля. Параметр
238
может принимать два значения: «Да» − режим включен, или «Нет»
− режим отключен.
Создание пользователя осуществляется нажатием клавиши «Insert». При регистрации нового пользователя в списке пользователей
комплекса «Соболь» ему присваиваются следующие атрибуты:
• имя;
• аутентификатор и пароль для входа в систему;
• персональный идентификатор iButton.
Служебная информация о пользователе сохраняется в энергонезависимой памяти комплекса «Соболь» − создается учетная запись
пользователя. Кроме того, в персональный идентификатор, присвоенный пользователю, записывается служебная информация о регистрации.
Процедура регистрации пользователей, так же как и для администратора может выполняться в одном из двух вариантов: первичная
регистрация, повторная регистрация.
После нажатия на клавишу «Insert» появится окно, в котором необходимо ввести имя пользователя, дальнейшие действия для завершения регистрации пользователя ничем не отличаются от действий регистрации администратора.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Установка и настройка «Аккорд–NT/2000» v.3.0
Установить в свободный PCI слот контроллер «Аккорд-АМДЗ»
согласно инструкции, приведенной выше в настоящем ТЛП. Выполнить регистрацию администратора ИБ.
Если контроллер использовался до этого, то сначала следует
очистить его память. Для этого необходимо извлечь контроллер из
PCI слота и с помощью отвертки открутить два винта, которые
крепят металлическую планку. После этого вставить контроллер в
компьютер. Вставить дискету для очистки памяти контроллера,
командой IP5x.exe произвести очистку памяти. После того как контроллер будет очищен необходимо будет выключить компьютер,
изъять контроллер и прикрутить металлическую планку тем самым
вернув контроллер в нормальный режим работы.
239
2. Задание пользователям персональных идентификаторов
и паролей для доступа в систему
Создать пользователя, задать ему персональный идентификатор
и пароль. После регистрации в СЗИ «Аккорд» хотя бы одного пользователя производится контроль аппаратуры при каждой загрузке
компьютера после идентификации/аутентификации пользователя.
Если обнаруживается несовпадение параметров конфигурации, записанных в памяти контроллера и текущих параметров системы, то
выдается сообщение на красном фоне «Разберитесь с ошибками» и
загрузка компьютера блокируется для обычного пользователя, или
выводится стартовое меню, если идентифицирован администратор.
Может встречаться ситуация, когда после перезагрузки «Аккорд» сообщает, что есть ошибки в контрольной сумме BIOS и доп.
BIOS, хотя никаких изменений в настройках BIOS не выполнялось.
В процедуре контроля аппаратуры видны ошибки, контрольные
суммы не совпадают. Администратор обновляет данные, но после
перезагрузки все повторяется: снова сообщение об ошибке контроля аппаратуры.
В данном случае в компьютере достаточно «интеллектуальная»
материнская плата, или устройство с расширенным собственным
BIOS. При каждой перезагрузке, или выключении они записывают
информацию в определенные области своих BIOS. Бессмысленно
каждый раз пересчитывать контрольные суммы того, что меняется
при перезагрузке. Нужно исключить меняющиеся параметры из
списка контролируемых объектов клавишей <->, или <Del> и пересчитать КС (комбинация клавиш Alt-U).
3. Проведение испытаний организации контроля доступа
к АРМ
Выполнить вход в систему от созданного пользователя. Убедиться в правильности настроек системы защиты, для этого провести серию испытаний:
• воспользоваться другим идентификатором;
• ввести неверный пароль при верном идентификаторе, удостовериться в блокировке доступа пользователя к системе после
неудачных попыток ввода пароля;
240
• проверить фиксацию попыток НСД в журнале событий.
4. Создание отчета о проделанной работе
В отчете указать в краткой форме как организована защита
АРМ, привести результаты проверочных испытаний, на основе которых сделать вывод об организации контроля доступа к АРМ.
Также при составлении отчета воспользоваться системным журналом (для расшифровки аббревиатур используемых в журнале воспользоваться документацией комплекса «Руководство администратора» (11443195.4012-006 90 04)).
5. Установка и настройка комплекса «Соболь»v.2.0
Чтобы установить комплекс «Соболь», не требуется производить дополнительных действий, как в случае с комплексом «Аккорд» − достаточно придерживаться инструкций, описанных в соответствующем пункте настоящего ТЛП. Установить комплекс.
Зарегистрировать администратор. Выполнить пункты 3–5.
Тестовые задания к работе 9
Входной контроль
1. Что такое «Аккорд АМДЗ»?
a) контроллер аппаратной части;
b) считывающее устройство для идентификатора;
c) аппаратный модуль доверенной загрузки.
2. Что такое ACDOS?
a) утилита для очистки памяти контроллера;
b) внутренняя операционная система контроллера «Аккорд
АМДЗ»;
c) программа администратора для управления пользователями.
3. Почему после начальной инициализации комплекса «Аккорд АМДЗ» в строке команд недоступны пункты «Контр» и
«Журнал»?
a) нет зарегистрированных пользователей;
241
b) пользователи не имеют доступ к этим пунктам;
c) установлен запрет на использование этих пунктов.
4. Кто такой пользователь «SUPERVISOR»?
a) системный пользователь комплекса «Аккорд АМДЗ»;
b) главный администратор безопасности комплекса «Аккорд
АМДЗ»;
c) администратор.
5. Что такое идентификация?
a) присвоение субъектам и объектам доступа идентификатора и
(или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
b) процесс определения пользователей системы;
c) проверка принадлежности субъекту доступа предъявленного
им идентификатора; подтверждение подлинности.
6. Что такое аутентификация?
a) присвоение субъектам и объектам доступа идентификатора и
(или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
b) процесс определения пользователей системы;
c) проверка принадлежности субъекту доступа предъявленного
им идентификатора; подтверждение подлинности.
7. Для чего предназначен комплекс «Соболь»?
a) для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера;
b) для того чтобы усилить защиту ПЭВМ, на котором уже установлен комплекс «Аккорд АМДЗ»;
c) для обеспечения контроля целостности;
d) для создания изолированной среды пользователей.
8. Для чего служат разъемы J0-J1 на плате комплекса «Соболь»?
a) для выбора режима инициализации;
b) для подключения внешнего считывателя;
c) для подключения внутреннего считывателя.
9. Что необходимо сделать, в случае, когда управление не
передается в модуль расширения BIOS комплекса «Соболь»?
a) необходимо в BIOS Setup разрешить загрузку операционной
системы модулей расширения BIOS сетевых плат;
242
b) переустановить плату;
c) провести диагностику платы и выявить, почему плата не работает.
10. Что такое повторная регистрация администратора/
пользователя?
a) регистрация, при которой администратор/пользователь сможет иметь доступ в систему на нескольких компьютерах;
b) обычная регистрация для обновления служебной информации хранящейся в идентификаторе;
c) такого типа регистрации не существует.
Выходной контроль
1. Какой командой очищается память контроллера «Аккорд
АМДЗ»?
a) Clrmem.exe;
b) IP5x.exe;
c) MClr.exe;
d) IP5.exe.
2. В каком случае необходимо генерировать секретный
ключ для пользователей, на АРМ которых установлен комплекс «Аккорд»?
a) каждый раз при регистрации пользователя;
b) только, если проводится первичная регистрация;
c) если пользователь забыл пароль или потерял идентификатор.
3. Какие действия необходимо выполнить администратору,
если возникли ошибки в контрольной сумме BIOS? («Аккорд
АМДЗ»)?
a) исключить меняющиеся параметры;
b) провести обновление контрольных сумм;
c) выполнить оба вышеприведенных пункта.
4. Можно ли установить настройки пользователя независимо от настроек группы, к которой он принадлежит?
a) да;
b) нет;
c) только, если эта группа администраторов.
243
5. Что происходит при корректном входе пользователя в
систему?
a) выполняется загрузка установленной операционной системы;
b) появляется меню пользователя;
c) выполняется загрузка изолированной программной среды
пользователя.
6. Какие компоненты проверяются при диагностике платы
«Соболь»?
a) тест энергонезависимой памяти;
b) тест считывателя iButton;
c) тест ДСЧ;
d) тест разъемов J0-J1;
e) тест разъемов подключения внешних носителей.
7. Какие действия предпринимаются комплексом «Соболь»,
в случае ввода неверного пароля пользователем, больше допустимого значения установленного администратором?
a) блокировка учетной записи пользователя;
b) блокировка АРМ;
c) перезагрузка АРМ.
8. Какие атрибуты присваиваются новому пользователю
при регистрации?
a) имя;
b) идентификатор;
c) аутентификатор и пароль;
d) все вышеприведенные.
9. За что отвечает параметр «Текущий статус пользователя»?
a) управляет блокировкой доступа пользователя в систему;
b) показывает, заблокирован ли вход пользователя или нет, а
также причину блокировки;
c) показывает, заблокирован вход пользователя или нет.
10. Что необходимо делать, чтобы перевести комплекс «Соболь» в рабочий режим?
a) установить перемычки J0-J1;
b) установить перемычку J0;
c) установить перемычку J1.
244
Работа 10
ПРОВЕРКА НАСТРОЕК РАЗРЕШИТЕЛЬНОЙ СИСТЕМЫ
ДОСТУПА К ФАЙЛОВЫМ СИСТЕМАМ
С ИСПОЛЬЗОВАНИЕМ СПЕЦИАЛИЗИРОВАННЫХ
ТЕСТИРУЮЩИХ СРЕДСТВ И ШТАТНЫХ СРЕДСТВ
ИЗ СОСТАВА ОС
Цель: получение практических навыков по проведению аттестации объекта информатизации, с помощью сертифицированного программного обеспечения. Разграничение доступа с помощью стандартных средств ОС Windows XP. Предотвращение попыток НСД.
Изучение программ «Ревизор 1 ХР», «Ревизор 2 ХР». Разграничение
доступа к объектам АРМ.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Создание проекта разграничения доступа (ПРД).
2. Настройка автоматизированного рабочего места (АРМ) в соответствии с созданным проектом при помощи стандартных
средств из состава Windows XР.
3. Проведение тестирования АРМ на соответствие с ПРД, анализ отчета.
4. Моделирование несоответствия реальной модели разграничения доступа реализованной на АРМ с ПРД. Повторное тестирование АРМ, анализ отчета.
5. Подготовка отчета для сдачи лабораторной работы.
ОСНОВНЫЕ ВОЗМОЖНОСТИ ПРОГРАММНЫХ СРЕДСТВ
КОНТРОЛЯ СИСТЕМЫ РАЗГРАНИЧЕНИЯ ДОСТУПА
Работа с программным средством «Ревизор 1 ХР»
«Ревизор 1 XP» предназначен для создания и редактирования
модели системы разграничения доступа (СРД). В дальнейшем модель СРД будет называться проектом разграничения доступа
(ПРД). При этом программой выполняются следующие функции:
245
1. Автоматическое сканирование локальных логических дисков, а также доступных сетевых папок. Выбор ресурсов для сканирования осуществляется администратором АРМ.
2. Автоматическое считывание установленных прав доступа
файловой системы NTFS (для АРМ под управлением ОС семейства
Windows NT).
3. Построение по результатам сканирования дерева ресурсов,
соответствующего структуре ресурсов АРМ и ЛВС.
4. Автоматическое получение списка локальных и доменных
пользователей (для АРМ под управлением ОС семейства Windows
NT).
5. Ручная регистрация в ПРД пользователей и установка их
уровней допуска.
6. Установка прав доступа пользователей к объектам доступа, а
также грифов секретности объектов доступа.
7. Отображение всей информации, содержащейся в ПРД, в
удобной форме.
8. Создание отчетов на основе информации о субъектах и объектах доступа.
Программа выполняется администратором АРМ.
Условия применения
Требования к техническим средствам. Рекомендуемая
конфигурация ПЭВМ АРМ:
• процессор – Intel Pentium и выше;
• ОЗУ – 64 МБ;
• на ЖМД не менее 40 Мбайт дискового пространства;
• видеоадаптер – SVGA.
При улучшении конфигурации ПЭВМ «Ревизор 1 XP» выполняется быстрее.
Требования к программному обеспечению. «Ревизор 1
ХР» работает под управлением ОС Windows 95, 98, Me, NT 4,
2000, XP и Server 2003. Дополнительных требований к программному обеспечению не предъявляется.
246
Входные и выходные данные
Входные данные:
• Структура ресурсов АРМ и ЛВС. При выполнении сканирования «Ревизор 1 XP» получает информацию об этой структуре и
сохраняет ее в ПРД.
• Установленные права доступа файловой системы NTFS.
• Списки локальных и доменных пользователей системы.
• Информация о разрешительной системе. Вносится администратором при обработке ПРД.
Выходные данные:
• ПРД. Физически ПРД сохраняется в виде файла с расширением ARX.
• Отчеты на основе информации, содержащейся в ПРД, в формате HTML.
Функции программы
Сканирование ресурсов. В ходе сканирования «Ревизор 1 XP»
получает информацию о структуре ресурсов АРМ (ЛВС) и сохраняет ее в памяти ПЭВМ.
Считывание прав доступа NTFS. В ходе сканирования дисков с
файловой системой NTFS «Ревизор 1 XP» считывает установленные
права доступа и преобразует их в формат, используемый для представления прав доступа в ПРД. Эта функция доступна при запуске
программы под управлением ОС семейства Windows NT.
Построение дерева ресурсов. По результатам сканирования
«Ревизор 1 XP» автоматически строит иерархическую структуру,
соответствующую структуре ресурсов АРМ.
Получение списка локальных и доменных пользователей. «Ревизор 1 ХР» получает списки учетных записей пользователей, зарегистрированных как непосредственно на АРМ, так и на контроллере
домена (в случае, если АРМ входит в состав домена). Эти пользователи регистрируются в ПРД наравне с другими субъектами доступа. Эта функция доступна при запуске программы под управлением ОС семейства Windows NT.
Создание и удаление пользователей. «Ревизор 1 ХР» позволяет
вручную добавлять и удалять пользователей ПРД. При создании
247
администратор указывает, какие права доступа получит создаваемый пользователь: либо права доступа по умолчанию, либо права
доступа текущего пользователя. При удалении пользователя все
установленные для него права доступа теряются.
Моделирование разрешительной системы. При моделировании
разрешительной системы администратор устанавливает грифы секретности на объекты доступа, а также настраивает права доступа
для созданных пользователей.
Создание отчетов на основе информации о субъектах и объектах доступа. «Ревизор 1 ХР» формирует отчеты в формате
HTML на основе информации, содержащейся в ПРД.
Выполнение программы
Для установки «Ревизор 1 ХР» нужно скопировать главный исполняемый файл Revizor1XP.exe в любой каталог на жестком диске. Никаких дополнительных действий по установке не требуется.
Вызов «Ревизор 1 ХР» осуществляется выполнением главного
исполняемого файла Revizor1ХР.exe. Окно программы (рис. 10.1)
имеет следующие элементы:
• строка меню;
• панель инструментов;
• дерево каталогов;
• список содержимого каталогов;
• список пользователей;
• строка состояния.
Меню дублирует все функции, доступные с панели инструментов. На панели инструментов расположены следующие кнопки:
– создание нового проекта;
– открытие проекта;
– сохранение проекта;
– включение/выключение режима наследования разрешений. Если этот режим включен, изменения прав доступа к
каталогу будут распространяться на его содержимое;
– создание нового пользователя;
– удаление пользователя;
– создание отчета.
248
Рис. 10.1. Главное окно программы
Помимо этого, из меню могут быть дополнительно вызваны
следующие функции:
• «Сохранить как» − сохранить текущий проект под другим
именем.
• «Сведения о проекте» − отображение дополнительной информации о проекте, такой как количество пользователей, количество файлов, и прочей.
Кнопки панели инструментов имеют всплывающие подсказки,
появляющиеся при задержке курсора мыши над ними.
Если команда, соответствующая кнопке недоступна, кнопка
также недоступна и отображается в сером цвете.
Дерево каталогов отображает структуру каталогов, полученную
в результате сканирования. При выборе какого-нибудь каталога его
содержимое отображается в правой части окна программы (в списке содержимого каталога).
Список содержимого каталога отображает список объектов, находящихся в выбранном каталоге, а также права доступа («+» озна249
чает наличие доступа, «−» − отсутствие) и грифы секретности для
них. При двойном щелчке на каталоге (или объекте, который имеет
дочерние объекты) осуществляется переход в каталог.
Список пользователей отображает зарегистрированных в проекте пользователей, а также их уровни допуска.
Строка состояния отображает информацию о текущей выполняемой операции.
Создание нового ПРД
Для создания нового ПРД используется кнопка
на панели
инструментов или соответствующий пункт меню. После нажатия
на эту кнопку на экране появляется окно настройки параметров
создаваемого ПРД (рис.10.2).
Рис. 10.2. Окно
создания нового
ПРД
Данное окно содержит список доступных для сканирования ресурсов. В список ресурсов изначально включаются имеющиеся на
компьютере логические диски. Также в него могут быть добавлены
общие сетевые папки. Для этого надо вызвать окно обзора сети с
250
помощью кнопки
. При этом программа выполнит сканирование
сети и сформирует дерево доступных сетевых ресурсов (рис. 10.3). В
появившемся окне нужно отметить требуемые сетевые ресурсы и
нажать кнопку «ОК». Отмеченные ресурсы будут добавлены в список выбора ресурсов для сканирования.
Рис. 10.3. Окно выбора сетевых ресурсов
Следует обратить внимание, что в некоторых случаях сканирование сети, проводимое программой, может занять достаточно длительное время (например, если в сети много доменов или рабочих
групп, членом которых не является данное АРМ). В таких случаях
может быть использована возможность ручного добавления сетевых
ресурсов в список. Для этого нужно ввести в поле редактирования
«Сетевой путь» имя общей папки в формате \\<Имя сервера>\<имя
общей папки> и нажать кнопку . Удалить ненужные сетевые ресурсы из списка можно нажатием кнопки .
В списке ресурсов необходимо отметить те ресурсы, которые
должны быть включены в проект. Помимо выбора ресурсов, необходимо еще задать следующие параметры создаваемого проекта:
251
«Получить список пользователей» − определяет, будут ли в ходе
создания проекта считываться списки пользователей АРМ и домена.
При запуске программы под управлением ОС Windows 9x этот параметр недоступен.
«Считывать права доступа NTFS» − определяет, будут ли при
сканировании автоматически считываться установленные права доступа NTFS. Для включения данного параметра необходимо, чтобы
был включен параметр «Получить список пользователей». В случае
если файловая система диска отлична от NTFS, включение данного
параметра не окажет никакого эффекта. При запуске программы под
управлением ОС Windows 9x этот параметр недоступен.
«Права доступа по умолчанию» − определяет, какие права доступа получат пользователи, если не было произведено считывание
установленных прав доступа NTFS. Возможен выбор «Все разрешено» или «Все запрещено».
После установки параметров проекта и нажатия на кнопку «ОК»
программа выполняет сканирование ресурсов.
Ход сканирования отображается в окне информации о выполняемой операции. Сканирование может быть прервано нажатием
кнопки «Отмена» (рис. 10.4).
Рис. 10.4. Окно информации о выполняемой операции
При выполнении сканирование следует учитывать, что наличие
запущенных антивирусных мониторов или прочих подобных программ может сильно снизить скорость сканирования.
Права доступа к объектам
Список содержимого каталога реализован в виде таблицы,
имеющей семь столбцов.
252
В первом столбце отображаются имена файлов или каталогов.
Столбцы со второго по шестой соответствуют правам доступа к
объектам.
Поддерживаются следующие виды доступа:
• чтение (R) – чтение данных из файла;
• запись (W) – запись данных в файл;
• удаление (D) – удаление файла
• добавление (A) – создание файлов в каталоге;
• исполнение (X) – запуск исполняемого файла.
Отсутствие или наличие права определяется знаком «+» или
«−», отображаемом в соответствующем столбце напротив имени
файла.
Седьмой столбец отображает информацию о грифе секретности
объекта. Для объекта доступа гриф секретности может принимать
следующие значения:
• «−» − несекретный объект;
• «Д» − гриф «Для служебного пользования»;
• «С» − гриф «Секретно»;
• «СС» − гриф «Сов. секретно».
Права доступа и грифы секретности изменяются одиночным
нажатием правой кнопкой мыши на ячейке таблицы, соответствующей требуемому имени объекта и праву доступа. При этом если
включен режим наследования разрешений, изменения распространятся и на дочерние объекты.
Работа со списком пользователей
После сканирования ресурсов следующим шагом является
формирование списка пользователей. Этот список может уже содержать локальные и доменные пользователи в случае, если был
включен режим «Получить список пользователей».
на
Для создания пользователя необходимо нажать кнопку
панели инструментов или выбрать соответствующий пункт меню.
После нажатия на эту кнопку на экране появляется окно создания
нового пользователя (рис. 10.5).
В этом окне нужно ввести имя пользователя и указать способ
создания пользователя − новый пользователь будет создан с права253
ми доступа по умолчанию или с правами доступа текущего пользователя.
Рис. 10.5. Создание нового
пользователя
При создании нового пользователя требуется, чтобы его имя
было уникальным в проекте. Если пользователь с введенным именем уже существует, будет выдано сообщение о невозможности
создания пользователя.
Для удаления пользователя нужно выделить его имя в списке
пользователей и нажать кнопку
на панели инструментов. Пользователь будет удален из проекта, назначенные для него права доступа будут утеряны.
Открытие и сохранение ПРД
Для открытия проекта используется кнопка
панели инструментов. После нажатия на нее на экране появляется диалог открытия файла, в котором нужно выбрать файл проекта.
Для сохранения проекта используется кнопка
панели инструментов. Если проект сохраняется впервые, то на экране появляется диалог сохранения, в котором нужно выбрать файл для сохранения проекта. Дальнейшие сохранения проходят без запроса. Для
того чтобы сохранить проект под другим именем используется
функция «Сохранить как …», доступная в меню «Файл».
Создание отчетов
Создание отчета по текущему ПРД осуществляется с помощью
кнопки . После нажатия на нее, на экране появляется окно выбора объектов и субъектов доступа (рис. 10.6), которые должны быть
254
включены в отчет (ввиду большого объема информации, обычно
содержащейся в ПРД, отчеты, как правило, должны иметь выборочный характер).
Рис. 10.6. Окно настройки параметров формирования отчета
Следует обратить внимание, что выделение какого-либо узла
дерева объектов доступа не приводит к выделению его содержимого. Для выделения содержимого узла необходимо использовать
контекстное меню, вызываемое нажатием правой кнопки мыши.
Помимо выбора объектов и субъектов доступа, могут быть изменены следующие параметры:
«Добавлять информацию о грифах секретности» − в отчет будет
включена информация о грифах секретности выделенных объектов
доступа.
«Добавлять информацию о правах доступа» − в отчет будет
включена информация о правах доступа выбранных пользователей
по отношению к выбранным объектам доступа.
255
«Добавить список пользователей» − в отчет будет отдельно
включен полный список пользователей проекта.
После задания параметров и нажатия кнопки «ОК» будет запрошено имя файла для сохранения отчета и создан отчет. Программа формирует отчет в формате HTML. Файлы в этом формате
могут быть открыты любым Web-браузером (например, Internet
Explorer) либо импортированы в офисные приложения, такие как
Microsoft Word.
Работа с программным средством «Ревизор 2 ХР»
«Ревизор 2 XP» предназначен для автоматизированной проверки соответствия прав пользователей по доступу к защищаемым информационным ресурсам АРМ, описанным в модели системы разграничения доступа (СРД), реальным правам доступа, предоставляемым установленной на АРМ системой защиты информации,
либо соответствующей операционной системой.
Возможности программы. «Ревизор 2 XP» выполняет следующие функции:
1) отображение всей информации, содержащейся в ПРД (возможен только просмотр);
2) сравнение структуры ресурсов АРМ, описанной в ПРД, с реальной структурой ресурсов;
3) создание отчета по результатам сравнения;
4) построение плана тестирования объектов АРМ;
5) проверка реальных прав доступа пользователей к объектам
доступа;
6) создание отчета по результатам тестирования.
Условия применения. «Ревизор 2 XP» применяется на АРМ
под управлением операционных систем Windows 95, 98, Me, NT4,
2000, XP и Server 2003. При выполнении программы требуется,
чтобы права доступа пользователей были установлены в
соответствии с проектной и эксплуатационной документацией
АРМ, был обеспечен доступ к ресурсам, присутствующим в ПРД.
Требования к техническим средствам. Рекомендуемая конфигурация ПЭВМ АРМ:
• процессор – Intel Pentium и выше;
• ОЗУ – 64 МБ;
256
• на ЖМД не менее 40 Мбайт дискового пространства;
• видеоадаптер – SVGA.
Требования к программному обеспечению. «Ревизор 2 ХР»
работает под управлением ОС Windows 95, 98, Me, NT4, 2000, XP и
Server 2003. Дополнительных требований к программному обеспечению не предъявляется.
Входные и выходные данные. Входными данными является
ПРД, созданный с помощью «Ревизор 2 XP», а также реакция АРМ
на попытки доступа к файловым объектам при выполнении
тестирования.
Выходными данными «Ревизор 2 ХР» являются:
• Список отличий структуры ресурсов ПРД от реальной структуры ресурсов АРМ. На его основе может быть создан отчет в
формате HTML;
• план тестирования объектов доступа АРМ, с целью определения реальных полномочий пользователей по доступу к файловым
объектам. Сохраняется в файле с расширением .pln;
• протокол тестирования. Сохраняется в файле с расширением
.tst;
• информация о фактических правах доступа, определенных в
ходе тестирования. На ее основе может быть создан отчет в формате HTML.
Функции программы.
Просмотр. Для работы с ПРД необходимо его открыть. «Ревизор 2 ХР» позволяет просмотреть ПРД в том же виде, в каком он
был создан в «Ревизор 1 ХР». Если в проекте отсутствуют пользователи, то такой ПРД не будет открыт. «Ревизор 2 ХР» позволяет
только просматривать ПРД, не внося в них изменений (за исключением сравнения ресурсов).
Сравнение ресурсов. В случае если дерево ресурсов АРМ изменилось со времени создания проекта, «Ревизор 2 ХР» позволяет
произвести сравнение реального дерева ресурсов с деревом ресурсов ПРД. При сравнении заново выполняется сканирование ресурсов. На основе результатов сравнения может быть создан отчет в
формате HTML. После просмотра результатов сравнения можно
внести их в дерево ресурсов ПРД и при необходимости скорректировать права доступа к ним с помощью «Ревизор 1 ХР».
257
Тестирование. Тестирование представляет собой моделирование
доступа пользователя к объектам АРМ. Моделируются следующие
виды доступа:
• чтение (R) – чтение данных из файла;
• запись (W) – запись данных в файл
• удаление (D) – удаление файла;
• добавление (А) ‒ создание файлов в каталоге;
• исполнение (X) – запуск программы. В случае успешного запуска файла его выполнение автоматически прерывается.
Выполнение тестирования начинается с построения плана тестирования – списка объектов АРМ с указанием, какие виды доступа к ним должны моделироваться в ходе тестирования. Помимо
этого в плане тестирования сохраняется имя пользователя, на основе списка ресурсов которого был создан план.
Для удобства в «Ревизор 2 ХР» существует возможность автоматического построения плана тестирования. Построение плана
осуществляется двумя способами: случайная выборка объектов и
выбор объектов, чьи разрешения отличаются от родительских.
Второй способ позволяет добавить в план тестирования объекты из
каждой группы, для которой требуется установка администратором
прав доступа, отличных от установленных по умолчанию.
Для тестирования систем с полномочным управлением доступом предусмотрен режим отбора объектов с заданным грифом секретности. Также возможно тестирование разрешительной системы
без учета грифов секретности объектов. После автоматического
формирования плана администратор добавляет в него объекты, которые не попали в план при автоматическом формировании. Для
удобства ручной работы с планом в «Ревизор 2 ХР» есть функции
поиска в плане, а также сортировки плана по имени или расширению файлов.
Следующим шагом является удаление из плана тестирования
файлов, наличие которых жизненно важно для функционирования
операционной системы или установленных средств защиты информации (вместо удаления можно отменить проведение для этих
файлов деструктивных тестов, таких как запись и удаление). Нарушение целостности этих файлов может привести к полному
или частичному разрушению ОС или СЗИ.
258
В «Ревизор 2 ХР» есть средство автоматического проведения
операций корректировки плана тестирования – фильтрация элементов плана. Существуют три вида фильтров:
• фильтр для каталога – удаляет из плана все файлы, находящиеся в указанном каталоге и имя которых соответствует заданной
маске (например *.ini в каталоге c:\windows). Применяется также
для удаления из плана конкретного файла. В качестве маски имени
указывается имя файла (например, boot.ini в каталоге c:\);
• фильтр для каталога и его подкаталогов – удаляет из плана
все файлы, находящиеся в указанном каталоге или его подкаталогах и имя которых соответствует заданной маске (например: *.dll в
каталоге C:\WINNT\system32);
• глобальный фильтр − удаляет из плана все файлы, имя которых соответствует заданной маске (например, *.vxd).
После завершения формирования плана следующей стадией является тестирование.
Тестирование включает в себя следующие стадии.
Резервное копирование файлов, по отношению к которым будут
проведены деструктивные тесты. Для копируемых файлов вычисляются контрольные суммы, по которым проверяется идентичность
резервных копий. Резервное копирование осуществляется в указанный администратором каталог. Также может быть включен режим сохранения прав доступа NTFS при резервном копировании
(только для АРМ под управлением ОС семейства Windows NT).
Тестирование. На этой стадии выполняется моделирование
доступа к объектам, включенным в план тестирования. «Ревизор 2
ХР» фиксирует результат попыток доступа к объекту (был ли получен доступ данного вида или нет) и впоследствии сравнивает с
матрицей доступа пользователя.
Восстановление файлов, которые были удалены или изменены
в ходе тестирования. При восстановлении файлов проводится сравнение их контрольных сумм с вычисленными ранее эталонами, что
обеспечивает целостность восстанавливаемых файлов. После восстановления файлов тестирование считается завершенным и возможен просмотр результатов. Также восстанавливаются права доступа NTFS, если был включен соответствующий режим.
Тестирование может проводиться двумя способами: с использованием автоматического (для АРМ под управлением ОС семейства
259
Windows NT) или ручного входа пользователя в систему. При автоматическом способе все тестирование происходит непрерывно, без
необходимости выполнять выход и повторный запуск программы.
Однако в случае если используемая СЗИ не позволяет выполнять
вход систему с использованием стандартных функций Windows (например, требует предъявления аппаратного идентификатора), то тестирование может быть проведено в ручном режиме. При этом выполняется следующая последовательность действий:
• Для текущего плана запускается процесс резервного копирования. При этом необходимо находиться в системе с правами администратора. После завершения процесса резервного копирования
осуществляется выход из программы и вход в систему с правами
пользователя, для которого проводится тестирование.
• Запускается «Ревизор 2 ХР», загружается протокол тестирования и запускается процесс тестирования.
• После завершения процесса тестирования осуществляется
выход из программы и вход в систему с правами администратора.
• Запускается «Ревизор 2 ХР», загружается протокол тестирования и запускается восстановление файлов. После его завершения,
тестирование считается завершенным.
• После завершения тестирования становятся доступными его
результаты, на основе которых может быть сформирован отчет в
формате HTML.
Установка и настройка программы. Для установки «Ревизор 2
ХР» нужно скопировать главный исполняемый файл Revizor2XP.exe
и Revizor2XP_tester.exe в любой каталог на жестком диске. Никаких
дополнительных действий по установке не требуется.
Вызов «Ревизор 2 ХР» осуществляется выполнением главного
исполняемого файла Revizor2XP.exe
Интерфейс программы. Программа имеет четыре режима работы. При переключении режимов изменяется и внешний вид программы. Существуют общие для всех режимов элементы интерфейса:
• строка меню – содержит пункты, соответствующие режимам
работы программы. В соответствующих им подменю продублированы команды с панелей управления, доступных в этих режимах;
• строка состояния – отображает информацию о текущей выполняемой операции;
260
• Панель переключения режимов работы. «Ревизор 2 ХР» име-
ет следующие режимы работы:
− «Просмотр» − режим загрузки и просмотра проекта, выбора
текущего пользователя и просмотра его дерева ресурсов;
− «Сравнение» − режим сравнения дерева ресурсов ПРД с реальным;
− «Планирование» − режим построения плана тестирования
для текущего пользователя;
− «Тестирование» − режим выполнения тестов разрешительной системы.
Режим просмотра. В окне программы (рис. 10.7) имеются следующие элементы:
• Список пользователей;
• Дерево ресурсов;
• Список содержимого папки;
• Панель инструментов.
Рис. 10.7. Вид окна программы в режиме просмотра
261
В режиме просмотра доступны следующие действия:
вызывается диа• Открытие проекта – нажатием на кнопку
лог открытия файла. После выбора файла проекта, в списке пользователей отображаются пользователи проекта. В дереве ресурсов и
списке содержимого папки отображаются ресурсы первого пользователя проекта. Если в проекте нет пользователей, то такой проект
не открывается, о чем выдается сообщение.
• Сохранение проекта – нажатием на кнопку
выполняется
сохранение текущего проекта. Для сохранения проекта под другим
именем может быть использована функция «Сохранить как …»,
доступная в меню «Файл».
• Выбор пользователя – осуществляется щелчком левой кнопки мыши на имени пользователя в списке пользователей.
Режим сравнения. В этом режиме осуществляется сравнение
дерева ресурсов ПРД с реальным (рис.10.8).
Рис. 10.8. Вид окна программы в режиме сравнения
262
Сравнение осуществляется нажатием кнопки
на панели инструментов. После окончания сканирования выводится список выявленных отличий. Напротив каждого имени объекта присутствует
знак «+» или «−». Плюс означает, что объект отсутствует в дереве
ресурсов ПРД, но присутствует в реальном дереве ресурсов (объект
был создан после создания проекта), минус – отсутствует в реальном дереве ресурсов, но присутствует в дереве ресурсов ПРД (объект был удален со времени создания проекта). После сравнения и
просмотра результатов можно сохранить найденные отличия в дереве ресурсов ПРД нажатием кнопки . Также может быть создан
отчет по списку обнаруженных изменений (нажатием кнопки ).
Режим построения плана тестирования. В этом режиме создается план тестирования (рис. 10.9). Построение плана тестирования
осуществляется двумя способами: автоматически или вручную
(возможна комбинация этих способов).
Рис. 10.9. Вид окна программы в режиме построения плана тестирования
263
Автоматическое построение плана также ведется двумя путями:
либо объекты для тестирования выбираются случайным образом,
либо для тестирования отбираются те объекты, разрешения или
грифы секретности которых отличаются от родительских. После
создания плана к нему может быть применен фильтр для удаления
из плана файлов, выполнение тестирования которых нежелательно.
Панель инструментов имеет следующие кнопки:
– построить план тестирования;
– открыть план тестирования;
– сохранить план тестирования;
– добавить объект для тестирования;
– далить объект для тестирования;
– поиск в плане;
– вызвать окно фильтра;
– закрыть план тестирования.
Также в панели инструментов отображается имя пользователя,
для которого создан план.
Создание плана тестирования. Для создания плана тестирования необходимо нажать на кнопку . На экране появится окно настройки параметров
формирования плана (рис. 10.10).
Рис. 10.10. Окно
установки параметров
формирования плана
тестирования
264
Доступны для изменения следующие параметры:
«Выбор объектов с разрешениями, отличающимися от родительских» − в создаваемый план тестирования будут автоматически добавлены объекты из каждой группы, для которой требуется установка администратором прав доступа (или грифов секретности), отличных от установленных по умолчанию.
«Случайная выборка» − в план тестирования случайным образом добавляются объекты, в объеме, указанном пользователем (в
процентах от общего количества объектов). Если установить объем,
равный 100 %, то в план тестирования будут добавлены все объекты.
Если оба режима автоматического формирования плана отключены, будет создан пустой план тестирования, в который нужно будет вручную добавить объекты.
«Проверка режима полномочного управления доступом» − определяет, будут ли учитываться грифы секретности при построении
плана тестирования.
Также можно указать, объекты с каким грифом секретности отбирать для тестирования и какие права доступа будут тестироваться
по умолчанию.
После нажатия на кнопку «ОК» будет сформирован план тестирования в соответствии с заданными параметрами.
В созданный файл тестирования могут быть вручную добавлены
объекты, которые не присутствуют в сформированном плане, а тестирование которых должно быть проведено. Для этого нужно нажать
кнопку . На экране появится окно выбора объектов (рис. 10.11),
которые должны быть добавлены в план тестирования.
Следует обратить внимание, что выделение какого-либо узла дерева объектов доступа не приводит к выделению его содержимого. Для выделения содержимого узла необходимо использовать контекстное меню, вызываемое нажатием правой
кнопки мыши.
После нажатия кнопки «ОК» выделенные объекты будут добавлены в план тестирования.
Удаление объектов плана тестирования осуществляется с пона панели инструментов, либо с помощью кламощью кнопки
виши «Delete». Нажатие на нее приводит к удалению выделенных
объектов.
265
Рис. 10.11. Окно выбора объектов для добавления в план тестирования
В «Ревизор 2 ХР» есть функция поиска в плане тестирования.
Для поиска объекта нужно выполнить команду «Поиск» (кнопка
), после чего на экране появится окно задания строки для поиска
(рис.10.12).
Рис. 10.12. Окно ввода строки поиска
При задании строки поиска можно использовать символы «?» и
«*». После ввода, поиск осуществляется нажатием кнопки «Найти
далее». Если подходящий элемент плана найден, курсор устанавли266
вается на него. Чтобы найти следующий элемент плана, нужно нажать на кнопку «Найти далее».
Для удобства просмотра плана тестирования можно использовать функцию сортировки плана по имени, грифу секретности или
расширению объектов. Сортировка осуществляется выбором соответствующего пункта контекстного меню, вызываемого нажатием
правой кнопки мыши на списке элементов плана.
Отображение плана тестирования. Список выбранных объектов для тестирования отображается в виде таблицы, имеющей 7
столбцов. В столбцах с первого по пятый отображаются права доступа к объекту, в шестом отображается гриф секретности, и в седьмом – имя объекта.
Права доступа пользователя к объекту отображаются следующим образом:
зеленый плюс – пользователю разрешен данный вид доступа к
объекту, и это право будет проверено при тестировании;
красный плюс – пользователю разрешен данный вид доступа к
объекту, но это право при тестировании проверяться не будет;
зеленый минус – пользователю запрещен данный вид доступа к
объекту, и это право будет проверено при тестировании;
красный минус – пользователю запрещен данный вид доступа к
объекту, но это право при тестировании проверяться не будет.
Грифы секретности отображаются зеленым цветом, если режим
тестирования полномочного управления доступом включен, и
красным – если отключен.
Изменить статус состояние права доступа в плане тестирования
можно щелчком левой кнопки мыши по соответствующей ячейке
таблицы. Если режим тестирования полномочного управления доступом при построении плана был включен, в плане тестирования
используются результирующие права доступа к файлу, которые
вычисляются следующим образом:
• если пользователь имеет уровень допуска не ниже степени
секретности файла – он получает доступ, определенный для него
разрешительной системой;
• в противном случае у пользователя отсутствует доступ к
файлу.
Открытие и сохранение плана. Для открытия плана тестировапанели инструментов. После нажатия
ния используется кнопка
267
на нее на экране появляется диалог открытия файла, в котором
нужно выбрать файл, содержащий план тестирования.
Для сохранения плана тестирования используется кнопка
панели инструментов. Если план сохраняется впервые, то на экране
появляется диалог сохранения, в котором нужно выбрать файл для
сохранения плана тестирования. Дальнейшие сохранения проходят
без запроса. Для того чтобы сохранить план тестирования под другим именем, используется функция «Сохранить как …», доступная
в меню «Файл».
Фильтрация элементов плана. Фильтрация позволяет удалять
из плана тестирования объекты по маске имени файла. Работа с
фильтрами осуществляется через окно (рис.10.13), вызываемое на
экран кнопкой .
Рис. 10.13. Окно настройки фильтрации элементов плана
Вызываемое окно содержит панель инструментов, на которой
есть следующие кнопки:
– очистить фильтр;
– открыть файл фильтра;
– сохранить файл фильтра;
– добавить элемент фильтра;
– удалить элемент фильтра;
– применить фильтр к плану.
268
Открытие и сохранение фильтра осуществляется нажатием
кнопок
и
соответственно. Создание нового фильтра
(рис.10.14) осуществляется нажатием кнопки , после чего появляется окно выбора типа создаваемого фильтра: либо создавать
пустой фильтр, либо фильтр, предназначенный для удаления из
плана основных, важных для функционирования системы, файлов.
Рис. 10.14. Окно создания нового фильтра
Добавление элемента фильтра. Добавление осуществляется
нажатием кнопки , после чего на экране появляется окно создания элемента фильтра (рис. 10.15). В нем нужно указать маску
имени файла, каталог (не нужно в случае глобального фильтра) и
тип фильтра. Каталог и имя файла можно ввести вручную или (если загружен ПРД) выбрать его из дерева ресурсов. Для вызова на
экран дерева ресурсов нужно нажать на кнопку , расположенную
справа от поля ввода имени каталога.
Рис. 10.15. Окно создания нового элемента фильтра
269
После нажатия на нее на экране появляется дерево ресурсов.
Выделив нужный каталог или файл, и нажав на кнопку «ОК» в полях ввода маски имени файла (если был выделен файл) и имени
каталога появляются требуемые значения. После ввода данных и
выбора типа фильтра следует нажать кнопку «ОК», и элемент
фильтра будет добавлен.
Типы фильтров.Имеются три типа фильтров:
• глобальный фильтр – его действие распространяется на все
и надписью «все ресурсы» в
ресурсы. Отображается значком
колонке «область действия»;
• фильтр для каталога − его действие распространяется на содержимое указанного каталога. Отображается значком ;
• фильтр для каталога, включая подкаталоги − его действие
распространяется на содержимое указанного каталога и его подкаталогов. Отображается значком .
После того, как фильтр создан, его можно применить к плану
тестирования нажатием кнопки
. Будут удалены все элементы
плана тестирования, удовлетворяющие условиям фильтра.
Режим тестирования. В режиме тестирования выполняется
проведение тестов над файлами, включенными в план. Тестирование проходит в три этапа:
• Резервное копирование файлов. Выполняется с правами администратора.
• Проведение тестов над файлами, включенными в план. Выполняется с правами пользователя, для которого проводится тестирование.
• Восстановление файлов из резервных копий и удаление временных файлов, созданных в ходе тестирования. Выполняется с
правами администратора.
Для начала тестирования необходимо нажать кнопку . На экране появится диалог настройки параметров запускаемого тестирования (рис. 10.16). В этом окне необходимо указать имя файла для
сохранения протокола тестирования (в нем сохраняется информация о выполняемых операциях и их результатах), а также каталог
для сохранения резервных копий файлов. Следует обратить внимание, чтобы этот каталог располагался на диске, имеющем достаточно свободного места для размещения резервных копий.
270
Рис. 10.16. Окно настройки параметров тестирования
Помимо этого, доступны следующие параметры проводимого
тестирования:
«Сохранять права доступа NTFS» − если включить этот режим,
то «Ревизор 2 ХР» в ходе резервного копирования сохраняет права
доступа в протоколе тестирования и, при последующем восстановлении файлов, восстанавливает их. Этот режим позволяет сохранить установленные права доступа от их повреждения в ходе тестирования. Доступен для АРМ под управлением ОС семейства
Windows NT.
«Выполнять автоматический вход в систему» − данный режим
позволяет провести тестирование без необходимости выполнять
выход из программы и ручной вход в систему. Однако использование данного метода невозможно, если установленная СЗИ использует собственную процедуру регистрации в системе (например, с
использованием аппаратных идентификаторов), а не стандартную
процедуру Windows. Этот режим доступен для АРМ под управлением ОС семейства Windows NT.
Перед началом тестирования нужно убедится, что в плане тестирования не присутствуют объекты, целостность которых жизненно важна для функционирования ОС и СЗИ. В противном случае возможен выход из строя АРМ после выполнения 2-го этапа.
После нажатия на кнопку «ОК» начинается выполнение резервного копирования. При этом необходимо находиться в системе с
правами администратора, чтобы обеспечить программе доступ ко
271
всем ресурсам. При копировании выполняется проверка контрольных сумм исходных файлов и их резервных копий. Значения контрольных сумм исходных файлов сохраняются в протоколе тестирования для проверки восстановления файлов из резервных копий.
После завершения резервного копирования дальнейшие действия зависят от того, был ли включен режим автоматического входа
в систему.
В случае если режим был включен, на экране появится окно настройки параметров запуска процесса тестирования (рис. 10.17).
Рис. 10.17. Окно настройки параметров запуска процесса тестирования
В этом окне определяется способ, которым будет запущен процесс тестирования. Доступны следующие варианты:
«От имени текущего пользователя» − процесс запускается от
имени того пользователями, под которым в настоящий момент
осуществляется работа. Данный способ используется при выполнении ручного входа в систему.
«От имени указанного пользователя» − процесс запускается от
имени пользователя, чье имя указывается ниже, в поле «Имя пользователя». Помимо имени, для выполнения программы запуска
272
процесса от имени пользователя необходимо еще указать пароль
для входа в систему и домен, к которому принадлежит учетная запись. Если учетная запись расположена на локальном компьютере,
то в качестве имени домена может быть введено имя локального
компьютера или пустая строка. При запуске программы под управлением ОС Windows 9х этот режим недоступен.
Помимо этого, еще следует указать способ запуска процесса
тестирования. «Ревизор 2 ХР» предлагает выбор из двух типов запуска:
«С использованием службы вторичного входа в систему» − использование данного способа является предпочтительным. Однако
он не поддерживается в Windows NT 4, а также требует, чтобы была запущена служба вторичного входа в систему (она запускается
по умолчанию в стандартной конфигурации Windows 2000, XP и
Server 2003).
«С использованием функции CreateProcessAsUser» − данный
способ следует использовать при проведении тестирования под
управлением Windows NT 4. Недостатком данного способа является то, что он требует назначения администратору, проводящему
тестирование, дополнительных привилегий, не предусмотренных
стандартной конфигурацией. Не рекомендуется использовать этот
способ в системах, отличных от Windows NT 4.
Для использования данного способа требуется, чтобы учетной
записи администратора, проводящего тестирование, были назначены следующие привилегии (права):
• замена маркера уровня процесса;
• работа в режиме операционной системы;
• увеличение квот.
Привилегии могут быть назначены как непосредственно учетной записи, так и группе, членом которой она является. Для назначения привилегий используется программа «Диспетчер пользователей» (в Windows NT 4) или «Локальная политика безопасности»
(В Windows 2000 и более поздних версиях). Эти программы доступны из папки «Администрирование».
После нажатия на кнопку «ОК», запускается процесс тестирования и выполняется последовательность тестов. Если же процесс
от имени требуемого пользователя запустить не удалось (например,
из-за неправильного пароля или ограничений политики безопасно273
сти), то будет выдано сообщение с описанием ошибки. Для повторной попытки запуска процесса тестирования следует нажать
кнопку .
В случае если процесс тестирования не удается запустить после
всех попыток, тестирование может быть проведено в ручном режиме.
Если процесс тестирования был запущен, то он выполняет моделирование попыток различных видов доступа к ресурсам, в соответствии с планом тестирования, и сохраняет результаты в протоколе тестирования. После выполнения всех запланированных тестов «Ревизор 2 ХР» переходит к стадии восстановления файлов.
Восстановление файлов должно выполняться с правами администратора. При восстановлении файлов из резервных копий осуществляется проверка контрольных сумм восстановленных файлов. В
случае если файл не был удачно восстановлен, он не удаляется из
каталога для резервных копий. Также, если включен режим сохранения прав доступа NTFS, то выполняется их восстановление.
После завершения восстановления файлов тестирование считается завершенным и становится доступным просмотр результатов.
В случае если тестирование проводится с использованием ручного режима входа в систему, то порядок его выполнения следующий.
После резервного копирования, выполняется выход из программы и ручной вход в систему с правами пользователя, для которого проводится тестирование. Выполняется запуск «Ревизор 2
ХР» и выполняется команда «Открыть протокол тестирования»
(путем нажатия на кнопку ). После открытия протокола, выполняется команда «Приступить к тестированию» ( ). В окне параметров запуска процесса тестирования следует выбрать «Запуск от
имени текущего пользователя» и нажать «ОК». После завершения
процесса тестирования, выполняется выход из программы и ручной
вход в систему с правами администратора. Затем выполняется запуск «Ревизор 2 ХР» и выполняется команда «Открыть протокол
тестирования» (путем нажатия на кнопку ). После открытия протокола, выполняется команда «Приступить к тестированию» ( ).
Программа выполнит восстановление файлов, после которого тестирование считается завершенным.
274
Следует отметить, что прерванное вследствие каких-либо проблем тестирование всегда можно продолжить, загрузив протокол
тестирования и выполнив команду «Приступить к тестированию»
( ).
Отображение результатов тестирования. «Ревизор 2 ХР»
имеет два режима для отображения результатов тестирования: в
виде таблицы и в виде дерева.
В режиме таблицы результаты отображаются непосредственно
в главном окне программы (рис. 10.18).
Рис. 10.18. Окно результата тестирования
Результаты тестирования отображаются в виде, схожем с отображением плана тестирования, однако, помимо прав, установленных в ПРД, отображаются еще и реальные права доступа, определенные в ходе тестирования. Это позволяет сравнить требуемые
права доступа (определяемые требованиями политики безопасности) с фактическими. Для удобства объекты, требуемые права доступа к которым не совпадают с фактическими, выделяются розовым цветом.
275
Для просмотра результатов в виде дерева, необходимо нажать
кнопку . После этого на экране появится окно, в котором выявленные в ходе тестирования несоответствия разбиваются на две
группы: невыполненные запреты – пользователю запрещен доступ
в модели разграничения доступа, но на практике он получил доступ
к объекту, и невыполненные разрешения − пользователю разрешен
доступ в модели разграничения доступа, но на практике он не получил доступа к объекту. Каждая из этих групп представлена в виде дерева, узлами первого уровня являются права доступа. В случае
если выявлены несоответствия, относящиеся к какому-либо праву
доступа, узел отображается значком .
В «Ревизор 2 ХР» имеется возможность создания отчетов по результатам тестирования. Для создания отчета необходимо нажать
кнопку . После этого на экране появится запрос о типе создаваемого отчета. Аналогично двум режимам отображения, существует
два типа отчетов:
Отчет с группировкой информации по имени объекта – данные
отображаются аналогично режиму просмотра результатов в виде
таблицы. Для этого режима дополнительно можно указать, чтобы в
отчет были добавлены только те объекты, по отношению к которым были выявлены несоответствия реальных и требуемых прав
доступа.
Отчет с группировкой по правам доступа – данные отображаются аналогично режиму просмотра результатов в виде дерева.
Особенности тестирования систем с полномочным управлением доступом. При тестировании систем с полномочным управлением доступом необходимо учитывать следующие положения:
В случае обращения к файлу, гриф секретности которого выше
степени секретности программы, степень секретности программы
повышается до грифа секретности файла:
• программа не может осуществлять запись в файлы, гриф
секретности которых ниже, чем степень секретности программы;
• невозможно копирование файлов в каталоги, гриф секретности которых ниже грифа секретности файлов;
• в некоторых системах защиты информации файл при копировании наследует гриф секретности от каталога, в который он копируется.
276
Из этого возникают следующие сложности, приводящие к невозможности полноценного тестирования файлов с разными уровнями секретности:
Резервное копирование. Каталог, предназначенный для резервного копирования файлов, должен иметь наибольший гриф секретности копируемых файлов. Если файлы наследуют гриф секретности
от каталога, в который они копируются, то автоматическое восстановление файлов, чей гриф секретности был ниже, чем у каталога
резервного копирования, будет невозможно.
Запись в протокол тестирования. «Ревизор 2 ХР» в ходе тестирования осуществляет запись о выполняемых операциях в протокол тестирования. Для того чтобы запись была возможна, необходимо, чтобы файл протокола имел наибольший из грифов секретности тестируемых файлов.
Тестирование. При тестировании, получив некоторый уровень
секретности, «Ревизор 2 ХР» не сможет осуществить запись данных в файлы с более низким уровнем секретности. Будет зафиксировано отсутствие доступа на запись и добавление данных к этим
файлам.
Для разрешения этих проблем в программе есть возможность
тестирования объектов с одинаковыми грифами секретности. Отбор
таких объектов осуществляется при автоматическом построении
плана путем указания требуемого грифа секретности. При выполнении тестирования каталог, предназначенный для резервного копирования файлов и файл протокола тестирования должны иметь тот же
гриф секретности, что и тестируемые файлы.
Разграничение доступа к объектам файловой системы АРМ
с установленной ОС Windows XP
Windows XP предоставляет возможность разграничения доступа к объектам файловой системы для каждого пользователя, работающего в ней. Назначение прав доступа к объектам выполняется
пользователем «Администратор», или любым другим пользователем, наделенным правами администратора.
Создание пользователя. Для создания пользователя необходимо
выполнить несколько действий: Перейти в окно оснастки «Локальные Группы и Пользователи». Чтобы открыть оснастку нажмите
277
кнопку «Пуск» и выберите «Панель управления», щелкните дважды значок «Администрирование», а затем «Управление компьютером» (рис. 10.19).
Рис. 10.19. Оснастка «Локальные Группы и Пользователи»
Далее щелкните правой клавишей мыши, в правой части окна
появится меню, с помощью которого можно создать пользователя.
По умолчанию созданный пользователь будет принадлежать группе пользователей «Пользователи». При необходимости в свойствах
пользователя можно установить или изменить некоторые параметры. Во вкладке «Общие»: «Требование к смене пароля при входе в
систему», «Запрет на смену пароля», «Срок действия пароля»,
«Включение, Отключение учетной записи», «Блокировка учетной
записи», во вкладке «Членство в группах» можно определить группы, к которым данный пользователь будет принадлежать. Во
вкладке «Профиль» осуществляется работа с профилем пользователя.
Разграничения доступа. Для того чтобы провести разграничение доступа для созданного пользователя к какому-либо объекту
278
файловой системы (файл, папка, приложение) щелкните по нему
правой кнопкой мыши, появится список возможных действий с
этим объектом (рис. 10.20). Затем перейти к свойствам объекта. Во
вкладке «Безопасность» можно настроить доступ локальных пользователей к объекту (рис.10.21).
Рис. 10.20. Список
возможных
действий с объектом
Внимание! Если вкладка «Безопасность» отсутствует, следует
выполнить следующие действия:
1) нажать кнопку «Пуск», затем «Мой компьютер»;
2) в строке меню выбрать вкладку «Сервис», затем «Свойства
папки» и вкладку «Вид»;
3) убрать галочку «Использовать простой общий доступ к файлам».
Для того чтобы задать нашему пользователю индивидуальные
права, не зависящие от настроек группы к которой он принадлежит, необходимо сделать следующее. Нажать кнопку «Дополнительно» и убрать галочку с пункта «Наследовать от родительского
объекта применимые к дочерним объектам разрешения, добавляя
их к явно заданным в этом окне» (рис. 10.22).
279
Рис. 10.21. Настройка прав доступа
Далее появляется окно «Безопасность» (рис. 10.23), в котором
необходимо нажать кнопку <Копировать>. Если выбрать другое −
<Удалить>, то все объекты в поле разрешений удаляться, и доступ
к данному объекту будет разрешен только его владельцу.
Теперь необходимо перейти во вкладку «Безопасность» и удалить группу «Пользователи» из списка групп.
Внимание! Без вышеприведенных действий группу «Пользователи» удалить из списка нельзя. Таким образом, можно удалить
любую группу из списка.
Итак, группа «Пользователи» больше не имеет никакого доступа к нашему объекту. Теперь остается только добавить созданного
пользователя в список и дать ему соответствующие права для использования этого объекта.
280
Рис. 10.22. Дополнительные параметры безопасности
Рис. 10.23. Безопасность
Во вкладке «Безопасность» нажимаем кнопку «Добавить», далее кнопку «Дополнительно» и «Поиск». Выбираем пользователя,
для которого будет проводиться разграничение, и добавляем его в
список (рис. 10.24).
281
Рис. 10.24. Настройка прав доступа
После чего в поле «Разрешения» можно установить права доступа к этому объекту выбранному пользователю, также можно установить особые права доступа через окно «Дополнительные параметры безопасности».
МЕТОДИКА И ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Создание проекта разграничения доступа (ПРД)
Создать тестируемых пользователей «user» и «user1», наличие
пароля обязательно. Создать папки «Test» и «Test1» на локальном
диске С. Добавить в них папки и файлы согласно шаблону (рис.
10.25). Типы файлов могут быть произвольными.
Варианты заданий разграничения доступа для удобства приводятся в виде табл.10.1–10.4.
282
Рис. 10.25. Шаблон для подготовки рабочего места к выполнению задания
Вариант № 1
Таблица 10.1
Объект /
Пользователь
user
user1
Test
Test4
Test1.*
Test2.*
Test3.*
Test5.exe
R
R
R,A
-
R,W,D
R
R,W,D
R
R
R
X
Таблицы 10.2
Объект /
Test1 Test1.4 Test1.1.* Test1.2.* Test1.3.* Test1.5.exe
Пользователь
user
R
R,A
R
R
X
user1
R,A
R
R,W,D R,W,D R,W,D
X
Вариант № 2
Таблица 10.3
Объект/
Пользователь
user
user1
Test
Test4
R,A
R,D,A
R,A
R,A
Test1.* Test2.*
R
R
283
R,W
R
Test3.*
R
R,W,D
Test5.exe
X,D
X
Таблицы 10.4
Объект/
Test1 Test1.4 Test1.1.* Test1.2.* Test1.3.* Test1.5.exe
Пользователь
user
R
R
R,W
R,W
X
user1
R,A
R
R,W
R,D
-
С помощью программы «Ревизор 1 ХР» создать ПРД для АРМ
согласно одному из шаблонов. При создании проекта выставить
галочки «Считывать права доступа NTFS» и «Получить список
пользователей».
Так как используется системный диск для проверки, то после
построения плана тестирования уже при работе с программой «Ревизор 2 ХР» рекомендуется применить фильтры, или вручную убрать из плана системные папки и файлы.
2. Настройка автоматизированного рабочего места
в соответствии с созданным проектом при помощи
стандартных средств из состава Windows XР
Провести разграничение доступа согласно ПРД созданному в
пункте «Создание нового ПРД», таким образом, как было описано
в пункте «Разграничение доступа к объектам файловой системы
АРМ с установленной ОС Windows XP».
Убедиться в правильности разграничения доступа вручную:
выполнить вход пользователем «user», а затем «user1» на АРМ и
произвести различные действия с объектами такие как чтение, удаление, запись, добавление, и исполнение.
3. Проведение тестирования АРМ на соответствие с ПРД,
анализ отчета
Протестировать АРМ с помощью программы «Ревизор 2 ХР.
Для этого в «Ревизор 2 ХР» необходимо загрузить проект созданный в пункте «Создание нового ПРД». Проводить сравнение не
обязательно, так как предполагается, что изменений в АРМ внесено
не было.
Создать и сохранить план тестирования, использовать фильтры
или удалить вручную системные папки и файлы, если они присутствуют.
284
Перейти в режим тестирования. Нажать кнопку «Приступить к
тестированию». В настройках указать каталог для резервного копирования тестируемых файлов, и имя файла для сохранения протокола тестирования. Следует отметить, что не получится произвести резервное копирование файла, занятого каким-либо процессом.
Внимание! Файл протокола тестирования должен быть доступен для чтения всем пользователям, а программа «Ревизор 2
ХР» могла ими выполняться. Так же ни протокол тестирования,
ни «Ревизор 2 ХР» не должны находиться в папках, доступ к которым для тестируемых пользователей закрыт. Если эти условия
не будут выполнены, то при тестировании выскочит ошибка –
«Неверные параметры запуска».
Поставить галочки «Сохранять права доступа NTFS» и «Выполнять автоматический вход в систему». Затем, после того как
завершится резервное копирование, необходимо ввести имя тестируемого пользователя, пароль и приступить к тестированию.
Можно не ставить галочку «Выполнять автоматический вход в
систему», но тогда придется проводить тестирование вручную. После резервного копирования «Ревизор 2 ХР» попросит войти в систему под тестируемым пользователем. Для этого необходимо нажать кнопку «Пуск», затем «Выход из системы» и «Сменить пользователя». После входа в систему нужно будет запустить «Ревизор
2ХР» и в режиме тестирования открыть протокол тестирования,
нажать кнопку «Приступить к тестированию» и произвести тестирование от текущего пользователя. Затем нужно будет вернуться в
систему под администратором, для того чтобы произвести восстановление файлов, посмотреть и сохранить отчет о тестировании.
4. Моделирование несоответствия реальной модели
разграничения доступа реализованной на АРМ с ПРД.
Повторное тестирование АРМ, анализ отчета
Смоделировать несоответствие реальной модели АРМ путем
нарушения правил доступа для пользователя «user1». Для этого
надо изменить параметры доступа к папке «Test» («Test1») таким
образом, чтобы права пользователя «user» («user1») на работу с
данной папкой и файлами отличались от прав, описанных в ПРД,
285
созданного в пункте «Создание нового ПРД». Протестировать
АРМ. Сохранить html отчет.
Подготовка отчета для сдачи лабораторной работы
1. В отчёте кратко описать выполненные действия.
2. Привести анализ полученных в работе результатов.
3. Затем в качестве полученных результатов приложить html
файлы.
Тестовые задания к работе 10
Входной контроль
1. Безопасность информации – это...
a) состояние защищенности информации, обрабатываемой
средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз;
b) состояние защищенности информации, при котором не происходит нарушение ее целостности;
c) нет верного ответа.
2. Что такое НСД (несанкционированный доступ)?
a) доступ к информации, с целью получения конфиденциальной
информации, при помощи специализированных средств;
b) доступ к информации, нарушающий правила разграничения
доступа с использованием штатных средств, предоставляемых
средствами вычислительной техники или автоматизированными
системами;
c) доступ к информации, несоответствующий правилам разграничения доступа, с целью получения конфиденциальной информации всевозможными способами.
3. «Ревизор-2XP» предназначен для:
a) автоматизированной проверки соответствия прав пользователей по доступу к защищаемым информационным ресурсам АРМ;
b) определения потенциально опасных для АРМ субъектов доступа;
c) защиты АРМ, путем разграничения доступа субъектов к объектам и проверки прав доступа данных субъектов к информации.
286
4. Во сколько этапов «Ревизор-2XP» проводит тестирование?
a) 5;
b) 3;
c) 1;
d) нет верного ответа.
5. Какая модель разграничения доступа используется в
данной лабораторной работе?
a) мандатная;
b) дискреционная;
c) смешанная;
d) нет правильного ответа.
6. Какие существуют типы фильтров?
a) глобальный фильтр;
b) фильтр для каталога;
c) фильтр для каталога, включая подкаталоги;
d) фильтр субъектов;
e) нет правильного ответа.
7. Какие существуют режимы тестирования?
a) пошаговый;
b) ручной;
c) автоматический;
d) с использованием дополнительного ПО;
e) нет верного ответа.
8. С какой целью необходимо использовать функцию вторичного доступа в систему?
a) чтобы «Ревизор-2XP» мог запустить процесс тестирования от
нужного пользователя;
b) чтобы администратор проводящий тестирование мог произвести его от лица другого пользователя;
c) нет верного ответа.
9. В каком виде «Ревизор-2ХP» предоставляет отчет?
a) аналогично режиму просмотра в виде дерева, указывая фактические права и требуемые;
b) а виде html файла;
c) виде режима просмотра, но показывая только несоответствия;
d) а виде txt файла;
e) нет правильного ответа.
287
10. Можно ли продолжить прерванное по каким-либо причинам тестирование?
a) можно, загрузив протокол тестирования;
b) нельзя;
c) в некоторых случаях.
11. «Ревизор-1ХР» предназначен:
a) для создания и редактирования системы разграничения доступа;
b) для создания правил разграничения доступа, проверка на соответствие этим правилам;
c) для определения субъектов доступа, не нарушающих правила
разграничения.
12. Функции «Ревизор-1ХР»:
a) сканирование ресурсов;
b) моделирование разрешительной системы;
c) назначение прав доступа пользователей;
d) таких функций нет.
13. Что означает режим «Сохранить права доступа NTFS»?
a) то, что «Ревизор-2ХР» автоматически меняет права доступа к
объекту на «правильные», если реальные права не соответствуют
ПРД;
b) данный режим сохраняет права в протоколе тестирования и
при восстановлении файлов восстанавливает их;
c) означает, что при сбое тестирования не будут нарушены права доступа к объектам;
d) нет верного ответа.
14. Что означает режим «Права доступа по умолчанию» в
«Ревизор-1ХР»?
a) если не было произведено чтение прав доступа NTFS, то
пользователям даются права – «Все разрешено» или «Все запрещено» для каждого сканированного объекта;
b) сбрасываются все настройки прав доступа до установленных
по умолчанию;
c) такого режима нет в «Ревизор-1ХР»;
d) В этом режиме «Ревизор-1ХР» сканирует только те объекты,
права доступа к которым не повергались изменениям.
15. Для чего «Ревизор-2ХР» проводит резервное копирование файлов?
288
a) для сохранения файлов на случай, если произойдет сбой;
b) на всякий случай;
c) для проверки объектов на удаление;
d) нет правильного ответа.
Выходной контроль
1. Отображение плана тестирования: каким образом отображаются права доступа к объектам?
a) зеленый плюс – пользователю разрешен данный вид доступа
к объекту, и это право будет проверено при тестировании;
b) красный минус – пользователю запрещен данный вид доступа к объекту, но это право при тестировании проверяться не будет;
c) зеленый минус – пользователю разрешен данный вид доступа
к объекту, и это право не будет проверено при тестировании;
d) красный плюс – пользователю запрещен данный вид доступа
к объекту, и это право будет проверено при тестировании.
2. Что означает «Случайная выборка» с параметром 100?
a) случайным образом выбираются 100 объектов;
b) выбираются все объекты;
c) нет верного ответа.
3. Какие символы можно использовать при поиске в плане
тестирования?
a) «*», «?»;
b) «?», «/»;
c) «&», «*», «?»;
d) «**», «$$».
4. Зачем применять фильтры?
a) для устранения из плана тестирования объектов, при тестировании которых может быть нанесен вред ОС;
b) чтобы исключить системные файлы из плана тестирования;
c) для приведения плана тестирования в более удобный для
просмотра вид;
d) для определения объектов, тестировать которые не рекомендуется.
5. Как установить права доступа субъекта таким образом,
чтобы ни один другой субъект не смог выполнить никаких действий с данным объектом?
289
a) свойства:<имя объекта> => Безопасность => Очистить поле
«Группы и Пользователи» => Добавить субъекта;
b) свойства:<имя объекта> => Безопасность => Дополнительно
=> Убрать галочку «Наследовать от родительского объекта…» =>
Нажать Удалить => Добавить субъекта;
c) свойства:<имя объекта> => Безопасность => Дополнительно
=> Убрать галочку «Наследовать от родительского объекта…» =>
Нажать Копировать => Добавить субъекта.
6. С какой целью необходимо убирать галочку с «Использовать простой общий доступ к файлам»?
a) в свойствах объектов появляется вкладка «Безопасность»;
b) для более детальной настройки прав разграничения доступа
субъектов к объектам;
c) не следует убирать эту галочку, так как можно сбить настройки прав доступа для всех субъектов АРМ;
d) для того чтобы можно было настраивать права доступа.
7. От лица кого можно запустить процесс тестирования?
a) текущего пользователя;
b) указанного пользователя;
c) администратора или группы пользователей принадлежащих
группе «Администраторы»;
d) от любого пользователя АРМ.
8. Для чего нужен «Протокол тестирования»?
a) для сохранения значений контрольных сумм;
b) для сохранения html отчетов по умолчанию;
c) для отображения плана тестирования;
d) для сохранения резервных копий объектов.
9. Можно ли добавлять в ПРД «Общие сетевые» папки?
a) да;
b) нет;
c) да, но не всегда.
10. Выполняет ли «Ревизор-1ХР» сканирование сетевых ресурсов?
a) выполняет;
b) не выполняет;
c) выполняет сканирование общих сетевых папок.
290
11. Для чего используется способ запуска процесса тестирования с использованием функции CreateProcessAsUser?
a) для корректной работы программы «Ревизор-2ХР» и ОС, установленной на АРМ;
b) для тестирования в системе под управлением Windows NT4;
c) для проведения тестирования в системе с ОС отличной от
Windows NT4.
12. Что произойдет, если файл протокола тестирования будет скрыт или недоступен для чтения тестируемым пользователям?
a) ничего не произойдет;
b) появится ошибка «Отсутствует протокол тестирования»;
c) появится ошибка «Неверные параметры запуска»;
d) другое.
13. Что означает параметр «Выполнять автоматический
вход в систему»?
a) выбор автоматического режима тестирования АРМ;
b) выбор режима, в котором администратору не приходится
проводить дополнительных действий по настройке режима тестирования;
c) такого параметра не существует.
14. За что отвечает параметр «Запуск процесса тестирования от текущего пользователя»?
a) тестирование выполняется от пользователя, который работает в данный момент в системе;
b) тестирование пользователей от лица текущего пользователя,
работающего в системе;
c) данный параметр предназначен для ручного проведения тестирования.
15. К чему может привести нарушение целостности системных файлов в случае сбоя процесса тестирования?
a) к частичному разрушению ОС и СЗИ;
b) к полному разрушению ОС и СЗИ;
c) оба выше приведенных варианта;
d) к тому, что придется проводить процесс тестирования АРМ
заново.
291
Работа 11
ПРОВЕРКА ОРГАНИЗАЦИИ КОНТРОЛЯ ДОСТУПА
КЛИЕНТ-СЕРВЕРНЫХ ПРИЛОЖЕНИЙ К ОБЪЕКТАМ
БАЗ ДАННЫХ. РАЗГРАНИЧЕНИЕ ПОЛНОМОЧИЙ
ПОЛЬЗОВАТЕЛЕЙ С ИСПОЛЬЗОВАНИЕМ РОЛЕЙ
И ПРИВИЛЕГИЙ
Цель: получение навыков практического использования типовых средств СУБД для разграничения полномочий пользователей с
использованием ролей и привилегий.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Установка предметной области, заданной преподавателем в
качестве образца. Наделение владельца предметной области («администратора приложения») необходимыми ролями, системными
привилегиями для дальнейшего выполнения работы по разграничению полномочий. Создание public synonym таблиц предметной
области для упрощенного обращения к ним.
2. Определение двух пользователей – «менеджеров», обладающих всеми объектными привилегиями на две группы таблиц (разных, за исключением одной таблицы, общей для использования
обоими «менеджерами»). Определение пользователя – «клерка»,
обладающего правами только на вставку записей в таблицы одного
из «менеджеров». Все объектные привилегии должны быть выданы
названным пользователям только через специально созданные роли. Системная привилегия «create session» должна выдаваться
пользователям напрямую.
3. Проверка разграничения полномочий пользователей.
ОПИСАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ УЧЕБНОЙ
ИНФОРМАЦИОННОЙ СИСТЕМЫ
«СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ»
Под сертификацией продукции понимается процедура подтверждения соответствия продукции – сертифицированного средства (entity Item) установленным требованиям – стандартам (entity
292
Standart) независимой от производителя (entity Manufctr) организацией – сертификационным центром (entity Certcntr), которая удостоверяет это в письменной форме (в сертификате соответствия,
entity Certifct).
Информация о сертификации средств защиты информации
представляется в виде маркировки знаком соответствия, для использования которого к сертификату выдается лицензия на его использование (SignLic).
В соответствии с Законом Российской Федерации «О стандартизации» нормативные документы по стандартизации на продукцию и услуги, подлежащие обязательной сертификации (entity
Standart), должны содержать требования, по которым осуществляется обязательная сертификация (Standart.Trebovanie), и правила
маркировки средств защиты информации (Standart.LabelRule).
Участниками сертификации средств защиты информации
являются:
• Сертификационный центр средств защиты информации (entity CertcCntr) − орган, проводящий сертификацию средств защиты
информации (entity Item).
• Испытательная лаборатория (entity TestLab) – лаборатория,
проводящая сертификационные испытания средств защиты информации (entity Item).
• Производитель средств защиты информации (entity Manufctr).
Сертификационный центр, испытательная лаборатория и производитель должны иметь лицензию на проведение работ в области
защиты информации (entity ISLicns):
• Сертификационный центр должен иметь лицензию на деятельность центра сертификации (entity CCLic).
• Испытательная лаборатория должна иметь лицензию на деятельность испытательной лаборатории в области сертификации
(entity TLLic).
• Производитель должен иметь лицензию на деятельность по
производству средств защиты информации (entity ManuLic).
Лицензии на проведение работ в области защиты информации
выдает центр лицензирования (entity LicCenter) в соответствии с
перечнем лицензируемых видов деятельности (entity ISSubjects).
В сертификате (entity Certifct) в обязательном порядке указываются:
293
• Код стандарта, на соответствие которому проводилась сертификация (Certifct.Standart_ID).
• Код сертификационного центра, выдавшего сертификат (Certifct.CertCenterId).
• Код испытательной лаборатории, проводившей испытания
(Certifct.TestLabID).
Одновременно с сертификатом может выдаваться сертификационная лицензия на применение знака соответствия (entity
SignLic), который подтверждает соответствие маркированной им
продукции установленным требованиям.
Применительно к сфере лицензирования отдельных видов деятельности под лицензией понимается выдаваемое уполномоченным
органом (центром лицензирования, entity LicCenter) организациям
и физическим лицам специальное разрешение на осуществление
отдельных видов деятельности. Ст. 49 ГК РФ предусматривает, что
виды деятельности, на осуществление которых требуется лицензия,
определяется только законом, поэтому существует перечень лицензируемых видов деятельности (entity ISSubjects).
ERD диаграмма предметной области показана на рис. 11.1 и
11.2.
На рис. 11.2 красным контуром обведены, таблицы, выполнять
все действия, с которыми может пользователь Certif_mgr, синим
цветом – таблицы, выполнять все действия с которыми может
пользователь Licns_mgr («менеджеры» остальных таблиц в нашей
задаче уже не важны). Пользователь Lic_clerc может выполнять
только вставку и извлечение информации для таблиц ISLicns,
LicCenter. Владельцем всей схемы является пользователь ch_cert.
Скрипт создания предметной области – файл test1a_new.sql
приведен в приложении 6.
Решение задачи разграничения полномочий пользователей
с использованием ролей и привилегий
Соединение пользователя с правами АБД с БД. При
дальнейшем выполнении работы в окно SQL*Plus надо копировать
командные строки из нижеследующего описания.
294
295
Рис. 11.1. ERD диаграмма предметной области (русскоязычный вариант)
296
Рис. 11.2 ERD диаграмма предметной области (English)
Для обеспечения возможности повторного выполнения скриптов удаляем объекты (если они существуют), команда создания которых приведена ниже:
Connect system/system@orcl
DROP USER ch_cert CASCADE;
DROP USER licns_mgr CASCADE;
DROP USER certif_mgr CASCADE;
DROP USER lic_clerc CASCADE;
DROP ROLE licns_mgr_role;
DROP ROLE lic_clerc_role;
DROP ROLE certif_mgr_role;
DROP PUBLIC SYNONYM cclic;
DROP PUBLIC SYNONYM certcntr;
DROP PUBLIC SYNONYM certifct;
DROP PUBLIC SYNONYM islicns;
DROP PUBLIC SYNONYM issubjects;
DROP PUBLIC SYNONYM item;
DROP PUBLIC SYNONYM liccenter;
DROP PUBLIC SYNONYM manufctr;
DROP PUBLIC SYNONYM manufctr_audit;
DROP PUBLIC SYNONYM manulic;
DROP PUBLIC SYNONYM signlic;
DROP PUBLIC SYNONYM standart;
DROP PUBLIC SYNONYM testlab;
DROP PUBLIC SYNONYM tllic;
Создаем пользователя – администратора приложения:
Connect system/system@orcl
CREATE USER ch_CERT IDENTIFIED BY ch_cert
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 1m on users;
GRANT connect, resource TO ch_cert;
GRANT create user,alter user TO ch_cert;
Наделяем администратора приложения группой привилегий:
GRANT connect, resource TO ch_cert;
GRANT create user,alter user TO ch_cert;
297
Соединяемся с базой данных администратором приложения:
connect ch_cert/ch_cert@orcl
Создание базы данных сертификации продукции. Поместим
в папку c:\tmp скрипт test1a_new.sql (надо скопировать sql текст из
приложения 6 и поместить его в текстовый файл с именем
test1a_new.sql). В окне SQL*Plus вводим команду:
@c:\tmp\test1a_new.sql
База данных сертификации продукции создана и заполнена
данными. Теперь пользователь CH_CERT, который является администратором (решающим, в числе прочих, и вопросы разграничения полномочий между другими пользователями), создает менеджера licns_mgr. Licns_mgr, который будет обладать всеми правами
на таблицы ISLicns, LicCenter, ManuLic, ISSubjects, Manufctr (обведены на диаграмме БД-English.doc линией синего цвета).
Администратор приложения создает первого пользователя
своего приложения:
CREATE USER licns_mgr IDENTIFIED BY licns_mgr
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 1m on users;
АБД наделяет администратора приложения недостающими
привилегиями:
connect system/system@orcl
GRANT create role TO ch_cert;
Администратор приложения продолжает свою работу по
созданию ролей и привилегий:
connect ch_cert/ch_cert@orcl
Создаем роль licns_mgr_role:
CREATE ROLE licns_mgr_role;
Даем этой роли привилегии на работы с пятью из 13 вышеназванных таблиц:
GRANT select,insert,update,delete ON
issubjects TO licns_mgr_role;
GRANT select,insert,update,delete ON
manufctr TO licns_mgr_role;
GRANT select,insert,update,delete ON
islicns TO licns_mgr_role;
298
GRANT select,insert,update,delete ON
manulic TO licns_mgr_role;
GRANT select,insert,update,delete ON
liccenter TO licns_mgr_role;
Наделяем ролью licns_mgr_role пользователя licns_mgr:
GRANT licns_mgr_role TO licns_mgr;
Привилегия соединяться с базой данных пользователю
LICNS_MGR еще не предоставлена.
АБД наделяет пользователя приложения привилегией, которую
не может дать администратор приложения:
connect system/system@orcl
GRANT create session TO licns_mgr;
Пользователь приложения соединяется с базой данных:
connect licns_mgr/licns_mgr@orcl
SELECT table_name FROM user_tables;
Так как все таблицы создавались в схеме ch_cert , пользователь
licns_mgr не может их увидеть без указания владельца.
SELECT * FROM issubjects;
SELECT * FROM ch_cert.issubjects;
при таком запросе строки выведены
--Обращаться к таблицам, набирая имя владельца - неудобно,
--поэтому владелец таблиц ch_cert создает на них public
synonym:
Администратор приложения соединяется с базой данных для
создания нужных объектов:
connect ch_cert/ch_cert@orcl
CREATE PUBLIC SYNONYM standart
FOR ch_cert.standart;
--команда эта не будет выполнена, так как
--привилегия создавать public synonym пользователю
--ch_cert не предоставлялась.
Администратор базы данных добавляет
приложения дополнительную привилегию:
connect system/system@orcl
GRANT create public synonym TO ch_cert;
299
администратору
Администратор приложения вновь соединяется с базой данных
для создания нужных объектов:
connect ch_cert/ch_cert@orcl
--Создаются public synonym на все таблицы базы данных.
CREATE PUBLIC SYNONYM standart FOR ch_cert.standart;
CREATE PUBLIC SYNONYM cclic FOR ch_cert.cclic;
CREATE PUBLIC SYNONYM certcntr FOR ch_cert.certcntr;
CREATE PUBLIC SYNONYM certifct FOR ch_cert.certifct;
CREATE PUBLIC SYNONYM islicns FOR ch_cert.islicns;
CREATE PUBLIC SYNONYM issubjects FOR ch_cert.issubjects;
CREATE PUBLIC SYNONYM item FOR ch_cert.item;
CREATE PUBLIC SYNONYM liccenter FOR ch_cert.liccenter;
CREATE PUBLIC SYNONYM manufctr FOR ch_cert.manufctr;
CREATE PUBLIC SYNONYM manulic FOR ch_cert.manulic;
CREATE PUBLIC SYNONYM signlic FOR ch_cert.signlic;
CREATE PUBLIC SYNONYM testlab FOR ch_cert.testlab;
CREATE PUBLIC SYNONYM tllic FOR ch_cert. tllic;
Пользователь базы данных соединяется с ней для проверки
своих привилегий:
connect licns_mgr/licns_mgr@orcl
--Проверим работу синонимов:
SELECT * FROM manufctr;
--теперь не надо указывать имя владельца таблицы
--предыдущий запрос вывел строки таблицы, а нижеследующий
запрос
--показывает, что таблиц в схеме «licns_mgr» нет
SELECT table_name FROM user_tables;
SELECT * FROM manulic;
--А вот с другими, помимо вышеназванных для licns_mgr пяти
--таблиц, ему работать не разрешено:
SELECT * FROM certifct;
--пользователю licns_mgr не дано право работать
--с таблицей CERTIFCT
SELECT * FROM standart;
--пользователю licns_mgr не дано право работать
--с таблицей standart
--А с таблицей ISSUBJECTS пользователю licns_mgr
300
--работать разрешено:
DESC issubjects
SELECT * FROM issubjects;
INSERT INTO issubjects (isid,name)
VALUES (9,'деятельность по теоретической оценке методов
шифрования');
--А теперь ch_cert заводит еще одного пользователя - lic_clerc,
--предварительно создавая для него роль lic_clerc_role, для которой
--предоставляется привилегия select, insert на таблицу islicns
Администратор приложения создает нового пользователя и
объекты базы данных:
connect ch_cert/ch_cert@orcl
CREATE ROLE lic_clerc_role;
GRANT select, insert
ON islicns to lic_clerc_role;
CREATE USER lic_clerc IDENTIFIED BY lic_clerc
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 1m ON users;
--Пользователь-администратор ch_cert не может предоставлять
--привилегию создания сессии с базой данных другим пользователям.
GRANT connect TO lic_clerc;
--появляется сообщение обошибке
--администратор system предоставит ему такую возможность
Администратор базы данных добавляет администратору
приложения дополнительную привилегию:
connect system/system@orcl
GRANT connect TO ch_cert WITH ADMIN OPTION;
Администратор
приложения
привилегию:
connect ch_cert/ch_cert@orcl
GRANT connect TO lic_clerc;
301
добавляет
пользователю
Новый пользователь соединяется с базой данных для проверки
своих привилегий:
connect lic_clerc/lic_clerc@orcl
SELECT * FROM islicns;
--здесь появляется сообщение об ошибке, так как
--пользователь-администратор ch_cert забыл назначить
--роль lic_clerc_role пользователю lic_clerc:
Администратор приложения исправляет свою ошибку:
connect ch_cert/ch_cert@orcl
GRANT lic_clerc_role TO lic_clerc;
Новый пользователь соединяется с базой данных для проверки
своих привилегий:
connect lic_clerc/lic_clerc@orcl
SELECT * FROM islicns;
--С другими таблицами, кроме ISLicns, LicCenter,
--пользователю lic_clerc привилегии на работу не
--предоставлены:
SELECT * FROM issubject;
SELECT * FROM liccenter;
-- после двух последних запросов появляется сообщение об
ошибке
Администратор приложения добавляет привилегии новому
пользователю:
connect ch_cert/ch_cert@orcl
--Осталось добавить пользователю lic_clerc привилегию
--на работу с таблицей liccenter (только
--select,insert) - через роль lic_clerc_role:
GRANT select,insert
ON liccenter TO lic_clerc_role;
Новый пользователь проверяет свои привилегии:
connect lic_clerc/lic_clerc@orcl
SELECT * FROM liccenter;
--запрос отрабатывает успешно.
Теперь создадим пользователя certif_mgr и дадим ему возможность работать с таблицей Manufctr через роль certif_mgr_role. Другие таблицы в связи с этим пользователем нам не важны, так как
302
дальше, в соответствующей лабораторной работе по аудиту мы попытаемся решить задачу аудита работы двух менеджеров с одной
таблицей Manufctr, которая входит в схему обоих менеджеров.
Администратор приложения создает третьего пользователя и
наделяет его привилегиями:
connect ch_cert/ch_cert@orcl
CREATE USER certif_mgr identified BY certif_mgr
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 1m ON users;
GRANT connect TO certif_mgr;
CREATE ROLE certif_mgr_role;
GRANT select,insert,update,delete ON
manufctr TO certif_mgr_role;
GRANT certif_mgr_role TO certif_mgr;
Сдача лабораторной работы
Сдача лабораторной работы заключается в выполнении студентом задачи разграничения полномочий в предметной области, заданной преподавателем – по такой же схеме, как и в приведенном
описании лабораторной работы. Предметные области преподаватель может выбрать из числа поставляемых Oracle вместе с установочной версией СУБД примеров (схемы пользователей scott, hr, sh).
Тестовые задания к работе 11
Входной контроль
1. Что мы понимаем под пользователем (базы данных), когда говорим о ролях и привилегиях пользователей (базы данных)?
a) пользователя операционной системы;
b) учетную запись пользователя операционной системы;
c) учетную запись пользователя базы данных;
d) пользователя предприятия (в терминах глобальной аутентификации);
e) правильных ответов нет.
303
2. Какая (какие) из нижеприводимых строк соответствуют
определению привилегий базы данных?
a) привилегии пользователя определяют, какие действия над
данными и над объектами пользователей являются разрешенными
(это разрешения на объекты пользователей, такие как таблицы,
представления, последовательности, пакеты и т.п.);
b) привилегии пользователя определяют, какие действия в системе (базы данных) являются разрешенными (это разрешения на
операции уровня базы данных, например подключение к базе данных, создание пользователей, внесение изменений в конфигурацию
базы данных);
c) привилегии пользователя определяют, какие действия разрешены над файлами операционной системы реализующими программное обеспечение СУБД;
d) привилегии пользователя определяют какие дейсвтия разрешены над файлами операционной системы, реализующими базу
данных;
e) правильных ответов нет.
3. Укажите, какие из нижеприводимых строк соответствуют
типам привилегий пользователей СУБД:
a) табличные привилегии;
b) объектные привилегии;
c) программные привилегии;
d) системные привилегии;
e) правильных ответов нет.
4. Какие правила определены для управления привилегиями?
a) объект принадлежит пользователю, его создавшему (если
синтаксисом не указано создание объекта другого пользователя,
конечно, при соответствующих полномочиях пользователя, создающего объект другого пользователя);
b) владелец объекта может изменять привилегии своего объекта;
c) объектная привилегия всегда соотносится с конкретным объектом, а системная ‒ с объектами вообще;
d) владелец объекта может отобрать привилегию на его использование у любого пользователя;
e) правильных ответов нет.
304
5. В нижеприводимых строках укажите строки с привилегиями, поддерживаемыми языком SQL:
a) ALTER;
b) SELECT;
c) INSERT;
d) DROP;
e) правильных ответов нет.
6. Укажите верное определение роли:
a) роль – специально созданная программа, позволяющая вставлять записи в таблицу пользователя;
b) роль – специально создаваемое представление базы данных;
c) роль – это набор привилегий, которому присваивается имя;
d) роль – специально созданный программный модуль, включающий функции создания и манипулирования объектами пользователя;
e) правильных ответов нет.
7. В нижеприводимом списке укажите автоматически создаваемые (при создании базы данных) роли:
a) CONNECT;
b) RESOURCE;
c) DBA;
d) USERROLE;
e) правильных ответов нет.
Выходной контроль
1. АБД (system) создал в сеансе SQL*Plus пользователя U1,
определив ему пароль, tablespase s и квоты на них. Укажите,
какие роли получил по умолчанию пользователь U1:
a) DBA;
b) manager, boss;
c) connect, resource;
d) backup – manager;
e) правильных ответов нет;
f) я затрудняюсь с ответом на этот вопрос.
2. Польз. u3 имеет роли connect, resource и создал проц-ру
getdata, вывод-ю на экран содерж. таблицы u3. tab3_1 и дал
привил-ю исполн. этой процедуры польз. u4, имеющему роли
305
"connect", "resource", в схеме которого нет объектов. После каких из нижеприводимых команд пользователь u4 получит в
своем сеансе сообщение об ошибке?
a) INSERT INTO u2.tab4 VALUES(124,123);
b) UPDATE u2.tab4 SET at1=345;
c) SELECT * FROM u2.tab4;
d) UPDATE u2.tab4 SET at2=345;
e) DELETE FROM u2.tab4;
f) я затрудняюсь с ответом на этот вопрос.
3. Польз. u3 имеет роли connect, resource и создал проц-ру
getdata, вывод-ю на экран содерж. таблицы u3. tab3_1 и дал
привил-ю исполн. этой процедуры польз. u4, имеющему роли
"connect", "resource", в схеме которого нет объектов. После каких из нижеприводимых команд пользователь u4 получит в
своем сеансе сообщение об ошибке?
a) SELECT * FROM tab3_1;
b) SELECT * FROM u3.tab3_1;
c) EXEC getdata;
d) EXEC u3.getdata;
e) BEGIN
u3.getdata; END; /
f) я затрудняюсь с ответом на этот вопрос.
4. Пользователю U1 предоставлена системная привилегия
"creat e any table", после чего он создает таблицу tab1(at1 numeric) в схеме пользователя U2. Укажите команды, для которых Oracle выдает сообщение об ошибке пользователю U1.
a) CREATE TABLE tab1(at1 NUMERIC);
b) SELECT * FROM u2.tab1; (таблица уже создана в схеме u2);
c) CREATE TABLE u2.tab1(at1 NUMERIC);
d) UPDATE TABLE u2.tab1 SET at1=10;
e) INSERT INTO u2.tab1 VALUES(5);
f) я затрудняюсь с ответом на этот вопрос.
5. Какой пользователь после установки базы данных может
запускать в работу и останавливать базу данных?
a) SCOTT;
b) SYS;
c) SYSTEM;
d) LBACSYS;
306
e) пользователь с административными правами операционной
системы;
f) я затрудняюсь с ответом на этот вопрос.
6. Польз-лю U1 даны только привилегии "create session",
"create any table", "create public synonym". Он создает в схеме
польз-ля U2 таблицу tab2(at1 numeric) и public synonym tabx
для нее. Укажите команды, для которых польз-лю U2 будет
выдано сообщение об ошибке (u2 имеет роли connect,resource,
привилегию create view):
a) SELECT * FROM tabx;
b) CREATE TABLE tabx(at1 NUMERIC);
c) CREATE VIEW tabx AS SELECT * FROM tabx;
d) DROP PUBLIC SYNONYM tabx;
e) INSERT INTO tabx VALUES(55);
f) я затрудняюсь с ответом на этот вопрос.
7. Польз. u1 создан пользователем u2 (АБД): Create user u1
identified by u1 default tablespace my_db temporary tablespace
temp quota 1m on my_db; Затем польз. u2 дал польз.u1 роль
"connect", после чего польз. u1 соединяется с сервером Oracle.
Какая из команд польз. u1 выдаст сообщение об ошибке?
a) ALTER USER u1 IDENTIFIED BY my_pwd;
b) ALTER USER u1 TEMPORARY TABLESPACE your_db;
c) CREATE TABLE tab1(at1 NUMBE R);
d) SELECT * FROM user_tables;
e) CREATE SEQUENCE my_seq;
f) я затрудняюсь с ответом на этот вопрос.
307
Работа 12
ДЕТАЛЬНЫЙ КОНТРОЛЬ ДОСТУПА
ПОЛЬЗОВАТЕЛЕЙ К БАЗАМ ДАННЫХ
Цель: получение навыков практического использования детального контроля доступа пользователей к информации в базе данных.
Ознакомление с детальным контролем доступа (FGA – Fine Grained
Access) пользователей к информации в базе данных.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Установка предметной области, заданной преподавателем
для настройки детального контроля доступа.
2. Определение политики (правила) безопасности для установленной предметной области.
3. Создание контекста приложения.
4. Создание модуля, устанавливающего контекст и триггера, заставляющего выполнять эту процедуру при соединении с базой
данных любого пользователя.
5. Создание функции, воплощающей политику (правило) безопасности.
6. Создание политики (правила) безопасности – обеспечение
связи функции по соответствующему пункту с таблицей, для которой сформулирована политика безопасности.
ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ
1. Создание предметной области для настройки детального
контроля доступа
Предметная область приведена на рис.12.1. Скрипты создания
предметной области – файлы create.sql, insert.sql приведены в приложении 7. В качестве владельца схемы создадим пользователя t2 и
дадим ему необходимые привилегии.
Эти действия выполним пользователем SYS. Вся работа проходит в клиентском приложении SQL*Plus, куда копируются нижеприводимые команды.
308
Рис. 12.1. Учебная информационная система
«Учёт использования дисплейных классов»
connect sys/sys@orcl as sysdba
DROP USER t2;
DROP USER Зотов;
DROP USER Лаврентьев;
DROP USER Беззубцев;
CREATE USER t2 IDENTIFIED BY t2
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 1m ON users;
GRANT CREATE ANY CONTEXT TO t2;
GRANT EXECUTE_CATALOG_ROLE TO t2;
GRANT EXECUTE ON dbms_rls TO t2;
GRANT EXECUTE ON dbms_fga TO t2;
GRANT CREATE USER TO t2;
309
GRANT CREATE SESSION, RESOURCE TO t2 WITH ADMIN OPTION;
GRANT SELECT ANY TABLE TO t2 WITH ADMIN OPTION;
GRANT CREATE PUBLIC SYNONYM TO t2;
GRANT DROP PUBLIC SYNONYM TO t2;
Для того чтобы всю работу можно было выполнять повторно,
удалим создаваемые ранее (при предыдущем выполнении работы)
синонимы:
DROP PUBLIC SYNONYM error;
DROP PUBLIC SYNONYM f2_1;
DROP PUBLIC SYNONYM professor;
DROP PUBLIC SYNONYM get_prof_id;
Теперь выполним скрипты создания предметной области, предварительно разместив их в папке c:\tmp (скрипты приведены в приложении 7).
Connect t2/t2@orcl
После выполнения этой команды надо скопировать из приложения 7 тексты скриптов create.sql, insert.sql и поместить их в текстовые файлы с этими же именами. Файлы create.sql, insert.sql надо
поместитьь в папку c:\tmp и вслед за тем выполнить в окне
SQL*Plus команды:
@c:\tmp\create.sql
@c:\tmp\insert.sql
Теперь таблицы предметной области созданы и заполнены данными.
2. Определение политики (правила) безопасности
для приведенной предметной области
Определим политику (правило) безопасности для приведенной
предметной области (табл. 12.1).
В таблице professor в столбце prof_f 3 записи: 'Лаврентьев, Зотов, Беззубцев. Этих трех пользователей создадим. На основании
политики безопасности они будут видеть разные строки в таблице
Error при одинаковом запросе выборки к этой таблице.
После установки предметной области выполним запрос к таблице Error, связав вывод из нее со значением столбца Pro_f в таб310
лице Professor, чтобы в начале работы ознакомиться с тем, какой
результат мы должны получить при выполнении запроса к таблице
Error разными пользователями из таблицы Professor.
t2.Error
t2.f2_1
Процедура, устанавливающая контекст
t2
Контекст с информацией, реализующей политику для
функции
Функция, реализующая политику
Преподаватель
(таблица Professor)
может просматривать в таблице Error
записи, касающиеся
неисправностей
компьютеров только
в тех аудиториях, в
которых этот преподаватель проводит занятия
Таблица, для
которой создается
политика
Политика
Имя пользователя,
который создает
политику
Таблица 12.1
t2.
t2.
prof_sec_ctx get_prof_id
SELECT DISTINCT error.*,professor.prof_f
FROM error,computer,auditory,schedule,professor
WHERE
error.comp_id=computer.comp_id and computer.aud_id=auditory.
aud_id and
auditory.aud_id=schedule.aud_id and schedule.prof_id=professor.
prof_id
ORDER BY professor.prof_f;
ERR_ID
ERR_DESCRIPTION
CLASS_ID
PROF_F
ERR_TYPE
REPAIRED
COMP_ID
------------------------------- -------------- ---------- -------- ---------2
Неисправен процессор
1
16 Зотов
3
Сгорел монитор
+
8
30 Лаврентьев
1
Сломался USB порт
+
5
1
Лаврентьев
311
Из последнего запроса видно, что в соответствии с введенной
политикой (см. табл. 12.1) запрос:
SELECT * FROM Error;
Для пользователя «Зотов» должен вывести одну строку:
ERR_ID
ERR_DESCRIPTION
CLASS_ID
ERR_TYPE
REPAIRED
COMP_ID
------------------------------- -------------- -------------- ---------------2
Неисправен процессор
1
16
Для пользователя «Лаврентьев» - две строки:
ERR_ID
ERR_DESCRIPTION
CLASS_ID
ERR_TYPE
REPAIRED
COMP_ID
------------------------------- -------------- -------------- ---------------3
Сгорел монитор
+
8
30
1
Сломался USB порт
+
5
1
Для пользователя «Беззубцев» строки не найдены.
3. Создание контекста приложения
Прежде чем создавать контекст приложения, создадим нужных
нам для иллюстрации детального контроля доступа пользователей.
Эти пользователи:
Лаврентьев, Зотов, Беззубцев с паролями l, z, b соответственно
с ролью Resource, привилегией create session и с квотой 1m на tablespace users.
Connect t2/t2@orcl
CREATE USER Зотов IDENTIFIED BY z
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 1m ON users;
GRANT RESOURCE, CREATE SESSION TO Зотов;
Аналогично для пользователей «Лаврентьев», «Беззубцев».
После создания пользователей дадим им возможность работать
с отдельными таблицами пользователя «t2».
GRANT SELECT, INSERT, UPDATE, DELETE ON error TO PUBLIC;
CREATE PUBLIC SYNONYM error FOR t2.error;
312
GRANT SELECT ON professor TO PUBLIC;
CREATE PUBLIC SYNONYM professor FOR t2.professor;
Контекст приложения должен создавать пользователь «t2».
Connect t2/t2@orcl
CREATE OR REPLACE CONTEXT prof_sec_ctx USING
GET_PROF_ID;
После этого создадим процедуру, устанавливающую контекст и
триггер, заставляющий выполниться эту процедуру при соединении с базой данных любого пользователя
Connect t2/t2@orcl
CREATE OR REPLACE PROCEDURE get_prof_id AS
v_prof_id NUMBER;
BEGIN
SELECT prof_id
INTO
v_prof_id
FROM professor
WHERE UPPER(prof_f)=SYS_CONTEXT('USERENV', 'SESSION_USER');
DBMS_SESSION.SET_CONTEXT('prof_sec_ctx','prof_id1',v_prof_id);
EXCEPTION
WHEN NO_DATA_FOUND THEN
NULL;
END get_prof_id;
/
Дадим возможность всем пользователям выполнять эту процедуру.
GRANT EXECUTE ON GET_PROF_ID to public;
CREATE PUBLIC SYNONYM get_prof_id FOR t2.get_prof_id;
Если процедура «GET_PROF_ID» выполняется, то в контексте
«prof_sec_ctx» (являющемся частью системного контекста пользователя) в ячейке с именем «prof_id1» содержится идентификатор
того преподавателя из таблицы «Professor», который выполнил
процедуру «GET_PROF_ID». Если же процедуру выполняет пользователь, не представленный в таблице «Professor», то в ячейке с
именем «prof_id1» будет находиться NULL значение.
313
Триггер создадим пользователем «sys»:
Connect syst/sys@orcl as sysdba
CREATE OR REPLACE TRIGGER db_trigger
AFTER LOGON ON DATABASE
BEGIN
t2.get_prof_id;
END;
/
4. Создание функции, воплощающей политику (правило)
безопасности
Connect t2/t2@orcl
CREATE OR REPLACE FUNCTION f2_1
(obj_schema IN VARCHAR2, obj_name IN VARCHAR2)
RETURN VARCHAR2
IS
v_return VARCHAR2(500);
BEGIN
v_return:='comp_id in (
SELECT comp_id FROM
computer,auditory,schedule,professor
WHERE
computer.aud_id=auditory.aud_id and
auditory.aud_id=schedule.aud_id and
schedule.prof_id=professor.prof_id and
professor.prof_id=SYS_CONTEXT(''prof_sec_ctx'', ''prof_id1''))';
RETURN v_return;
END;
/
Функция вернет идентификаторы (comp_id) тех компьютеров из
таблицы computer, которые установлены в дисплейных классах
(таблица auditory), занятия в которых по расписанию
(таблица shedule) проводил преподаватель с идентификатором
prof_id из таблицы professor (professor.prof_id). Этот идентификатор извлекается из ячейки prof_id1 контекста prof_sec_ctx, созданного как часть системного контекста sys_context (это извлечение
314
задается
частью
выражением
«sys_context(''prof_sec_ctx'',
''prof_id1'')». Полезно проверить возвращаемое функцией значение.
SET SERVEROUTPUT ON
EXEC DBMS_OUTPUT.PUT_LINE(f2_1('T2', 'ERROR'));
Для пользователя «t2» функция вернет:
comp_id in (
SELECT comp_id FROM
computer,auditory,schedule,professor
WHERE
computer.aud_id=auditory.aud_id and
auditory.aud_id=schedule.aud_id and
schedule.prof_id=professor.prof_id and
professor.prof_id=SYS_CONTEXT('prof_sec_ctx', 'prof_id1'))
Теперь полезно выполнить SELECT, содержащийся в возвращаемом значении, чтобы убедиться в правильности его выполнения:
SELECT comp_id FROM
computer,auditory,schedule,professor
WHERE
computer.aud_id=auditory.aud_id and
auditory.aud_id=schedule.aud_id and
schedule.prof_id=professor.prof_id and
professor.prof_id=SYS_CONTEXT('prof_sec_ctx', 'prof_id1');
Ответ «строки не выбраны» свидетельствует о правильности
работы функции (пользователя «t2» действительно нет в таблице
«Professor»).
Осталось еще:
GRANT EXECUTE ON f2_1 TO PUBLIC;
CREATE PUBLIC SYNONYM f2_1 FOR t2.f2_1;
чтобы все пользователи могли выполнять эту функцию.
5. Создание политики (правила) безопасности – обеспечение
связи функции с таблицей, для которой сформулирована
политика безопасности
Connect t2/t2@orcl
BEGIN
315
DBMS_RLS.drop_POLICY(
OBJECT_SCHEMA => 't2',
OBJECT_NAME => 'error',
POLICY_NAME => 'prof_id_policy');
end;
/
BEGIN
DBMS_RLS.ADD_POLICY(
OBJECT_SCHEMA => 't2',
OBJECT_NAME => 'error',
POLICY_NAME => 'prof_id_policy',
FUNCTION_SCHEMA => 't2',
POLICY_FUNCTION => 'f2_1',
STATEMENT_TYPES => 'SELECT, UPDATE');
END;
/
Проверим настроенный нами детальный контроль доступа.
connect зотов/z@orcl
SELECT * FROM Error;
ERR_ID
ERR_DESCRIPTION
CLASS_ID
ERR_TYPE
REPAIRED
COMP_ID
------------------------------- -------------- -------------- ---------------2
Неисправен процессор
1
16
connect Лаврентьев/l@orcl
SELECT * FROM Error;
ERR_ID
ERR_DESCRIPTION
CLASS_ID
ERR_TYPE
REPAIRED
COMP_ID
------------------------------- -------------- -------------- ---------------3
Сгорел монитор
+
8
30
1
Сломался USB порт
+
5
1
connect Беззубцев/b@orcl
SELECT * FROM Error;
строки не выбраны
Результат совпал с ожидаемым.
Проверим еще выполнение UPDATE:
connect Лаврентьев/l@orcl
316
UPDATE error SET repaired='-';
2 строк обновлено.
SELECT * FROM Error;
ERR_ID
ERR_DESCRIPTION
CLASS_ID
ERR_TYPE
REPAIRED
COMP_ID
------------------------------- -------------- -------------- ---------------3
Сгорел монитор
+
8
30
1
Сломался USB порт
+
5
1
Запрос показал, что мы меняем строки, «видимые» только
пользователю «Лаврентьев»
Вернем таблицу в исходное состояние.
ROLLBACK.
Сдача лабораторной работы
Сдача лабораторной работы заключается в реализации студентом детального контроля доступа на индивидуальной предметной
области. Студент сам определяет «родительскую» таблицу, в которой для трех строк символьного столбца с неповторяющимися значениями создает пользователей, а политику разграничения полномочий формирует для какой-либо «дочерней» таблицы, т.е. таблицы, в которой в качестве Foreign Key присутствует Primary Key родительской таблицы.
Тестовые задания к работе 12
Входной контроль
1. Среди нижеприводимых укажите строк(у/и) со средствами СУБД, помогающими реализовать принцип «минимальных
привилегий»:
a) роли, упрощающие администрирование за счет определения
групп детализированных привилегий, ограничивающих права доступа;
b) представления (view), позволяющие ограничить доступ к
данным;
c) профили пользователя;
317
d) хранимые процедуры, реализующие корректные транзакции
без прямого предоставления привилегий конкретному пользователю;
e) правильных ответов нет.
2. Среди нижеприводимых укажите строк(у/и) с компонент(ом/ами), используемым(и) при реализации детального
контроля доступа:
a) представление таблицы, для которой реализуется детальный
контроль доступа;
b) контекст приложения;
c) политика безопасности;
d) функция, реализующая политику безопасности;
e) правильных ответов нет.
3. Среди нижеприводимых укажите строк(у/и) с преимуществами детального контроля доступа по сравнению с использованием ролей, представлений, хранимых процедур:
a) защиту таблицы придется создавать только однажды на сервере баз данных, а не реализовывать ее многократно в каждом приложении, которое обращается к данным;
b) детальный контроль доступа реализуется на уровне базы
данных и не принимает в расчет логику конкретных приложений;
c) детальный контроль доступа может быть реализован непривилегированным пользователем;
d) детальный контроль доступа сокращает время отработки запросов пользователей к базе данных;
e) правильных ответов нет.
4. Укажите синонимы детального контроля доступа (Fine
Grained Access Control – техническое название):
a) Виртуальная частная база данных;
b) Безопасность на уровне строк;
c) Контекстное разделение;
d) Политика разделения групп строк;
e) Правильных ответов нет.
5. Укажите, в чем выражается использование детального
контроля доступа при обращении с использованием SQL к таблице базы данных:
a) каждый пользователь видит в таблице данные только «свои»
и данные других пользователей с такими же привилегиями;
318
b) каждый пользователь видит в таблице данные только «свои»
и не видит данные других пользователей;
c) к запросу любого пользователя во время его выполнения динамически присоединяется предложение where….;
d) к запросу любого пользователя во время его выполнения динамически присоединяется предложение group by….;
e) правильных ответов нет.
6. Какие привилегии/роли должен иметь разработчик для
реализации детального контроля доступа?
a) CONNECT;
b) RESOURCE;
c) EXECUTE_CATALOG_ROLE;
d) CREATE ANY CONTEXT;
e) правильных ответов нет.
7. Укажите отдельные компоненты, которые включает политика безопасности, создаваемая пакетом dbms_rls при реализации детального контроля доступа:
a) имя схемы (имя учетной записи) пользователя, в которой находится таблица, для которой реализуется детальный контроль
доступа;
b) имя таблицы, для которой реализуется детальный контроль
доступа;
c) привилегии пользователя на действия по созданию его объектов;
d) название функции, реализующей политику безопасности;
e) правильных ответов нет.
Выходной контроль
1. Укажите, какие из перечисленных ниже действий «участвуют» в создании Virtual Private Database:
a) изменить метод аутентификации пользователя с password на
external;
b) создать модуль, который устанавливает контекст приложения;
c) определить все роли, принадлежащие владельцу таблиц, для
которых реализуется vpd;
d) создать контекст приложения;
e) определить цели политики безопасности;
319
f) создать функцию воплощения политики безопасности;
g) добавить политику безопасности – связать функцию воплощения политики безопасности с таблицей;
h) правильных ответов нет.
2. Укажите верное определение контекста приложения:
a) контекст – это неизменный блок данных, которым постоянно
обмениваются сервер и клиент Oracle при каждой передаче запрошенных данных;
b) контекст – это заголовок списка занятых блоков в буферном
кэше SGA;
c) контекст – это часть заголовка каждого блока с хранимой
информацией схемы пользователя;
d) контекст – это именованный набор атрибутов и значений, который можно установить и затем связать с сессией текущего пользователя;
e) контекст – результат парсинга запроса пользователя к БД в
текущей сессии;
f) правильных ответов нет.
3. Какие значения позволяет получить встроенный контекст USERENV?
a) номер активного log файла;
b) имя пользователя текущей сессии;
c) имя компьютера, с которого пользователь установил сессию
с сервером Oracle;
d) тип аутентификации пользователя;
e) имя базы данных;
f) имя домена базы данных Oracle;
g) правильных ответов нет.
4. Каким компонентом объявления политики DBMS_
RLS.ADD_POLICY обеспечивается возможность выполнения
всех действий (select,insert,update,delete) с таблицей, для которой создается новая политика?
a) policy_function;
b) update_check;
c) static_poicy;
d) enable;
e) statement_types;
f) правильных ответов нет.
320
5. Какой программный компонент необходим для того, чтобы была запущена заранее созданная процедура, устанавливающая заранее созданный контекст приложения при соединении пользователя с базой данных?
a) специальная функция, запускаемая на выполнение пользователем;
b) заголовок специализированного модуля;
c) after logon trigger;
d) дополнительная процедура, автоматически запускаемая при
создании сессии;
e) триггер приложения;
f) правильных ответов нет.
6. Администратор безопасности создает контекст приложения для пользователя userfga с паролем userfga. Укажите команду, которой может быть создан контекст:
a) CREATE SELECTIVE CONTEXT FOR userfga;
b) CREATE CONTEXT FOR userfga IDENTIFIED BY userfga;
c) CREATE OR REPLACE USER CONTEXT FOR userfga;
d) CREATE OR REPLACE CONTEXT prof_sec_ctx USING
GET_PROF_ID;
e) CREATE OR REPLACE SELECTIVE USER CONTEXT FOR
userfga;
f) правильных ответов нет.
7. При проверке настроек FGA для работы с таблицей «employee» пользователю была выдана ошибка, смысл которой
может быть определен фразой «ошибка на рекурсивном уровне…». Укажите среди нижеперечисленных верную причину
этой ошибки:
a) не создан контекст приложения;
b) не создана процедура, устанавливающая контекст;
c) не создана функция, реализующая политику безопасности;
d) процедура, устанавливающая контекст, создана с ошибкой;
e) функция, устанавливающая контекст, в возвращаемом значении содержит запрос, в котором во фразе «from» указана таблица
«employee»;
f) правильных ответов нет.
321
Работа 13
МАНДАТНЫЙ КОНТРОЛЬ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ
К ИНФОРМАЦИИ В БАЗЕ ДАННЫХ
Цель: получение навыков практического использования мандатного контроля доступа пользователей к информации в базе данных. Ознакомление с мандатным контролем доступа (OLS – Oracle
Label Security) пользователей к информации в базе данных.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Установка предметной области, заданной преподавателем
для настройки детального контроля, проектирование меток.
2. Установка Oracle Label Security.
3. Создание политики безопасности, воплощающей компоненты
меток пользователей (в таблице «Emp») и строк (в таблице
«Official»).
4. Определение обязательного компонента меток − уровней
доступа (конфиденциальности).
5. Определение второго компонента метки (compartment).
6. Определение третьего компонента метки (group).
7. Создание меток в сочетании трех компонентов с присвоением меткам численной величины.
8. Применение политики к таблице.
9. Создание пользователей и наделение их соответствующими
правами.
10. Назначение меток пользователям.
11.Назначение меток строкам таблицы «Official».
12. Проверка всех настроек – демонстрация OLS в работе.
ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ
1. Установка предметной области для настройки детального
контроля, проектирование меток
connect sys/sys@orcl as SYSDBA
DROP USER scott CASCADE;
CREATE USER scott IDENTIFIED BY scott
322
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
GRANT create session, resource TO scott;
connect scott/scott@orcl
Скрипт scott_with_official.sql приведен в приложении 8. Перед
выполнением нижеприводимой команды надо скопировать скрипт
из приложения 8 в текстовый файл с именем scott_with_official.sql и
поместить его в папку c:\tmp.
@c:\tmp\scott_with_official.sql
Эта предметная область основана на предметной области пользователя «Scott», имеющейся в поставляемой с инсталляционной
версией Oracle базе данных ORCL. В дополнение к предметной области пользователя «Scott» добавлена таблица «Official» (чиновник), являющаяся дочерней по отношению к таблице «Emp». Служащие компании, представленные в таблице «Emp», общаются с
чиновниками, представленными в таблице «Official», причем каждый служащий компании общается с чиновником, соответствующим «своему» или ниже «своего» уровня. Под уровнем понимается
не только должность, но и уровень конфиденциальности, и тип отдела. На рис. 13.1 показана иерархия подчиненности и принадлежность к разным отделам служащих в таблице «Emp».
Рис.13.1. Иерархия подчиненности и принадлежность разным отделам служащих
в таблице «Emp»
323
Для пользователей из таблицы «Emp» определим разные права
на просмотр таблицы «Official». Пользователь «KING» имеет право
просматривать в таблице «Official» информацию обо всех чиновниках, с которыми общаются все сотрудники компании. Пользователь «CLARK» может просматривать информацию в таблице
«Official» о начальнике и всех служащих отдела финансов, пользователь «MILLER» может просматривать в таблице «Official» информацию только о младшем чиновнике – эксперте отдела финансов. Аналогичное разграничение полномочий установлено для
служащих отдела «RESEARCH». В таблице «Official» служащим
отдела «RESEARCH» соответствуют чиновники отдела исследований. Пользователь «JONES» имеет право просматривать в таблице
«Official» информацию обо всех чиновниках отдела исследований.
Пользователи «SCOTT», «FORD» могут просматривать информацию о старших экспертах и экспертах отдела исследований. Пользователи «ADAMS», «SMITH» могут просматривать информацию
только об экспертах отдела исследований. Наконец, служащим отдела «SALES» соответствуют чиновники отдела торговли из таблицы «Official», и для служащих отдела «SALES» установлено разграничение полномочий при работе с таблицей «Official» сходное с
тем, как это сделано для служащих отдела «RESEARCH».
Установим метки для строк таблицы «Official». Метки могут
состоять из трех компонентов: уровня доступа (LEVEL), отделения
(COMPARTMENT) и группы (GROUP). Первый из этих компонентов в OLS Oracle является обязательным, остальные два – опционными. В нашем примере мы будем использовать для формирования
меток строк таблицы «Official» и пользователей − сотрудников
фирмы из таблицы «Emp» все три компоненты.
Определим четыре уровня доступа к строкам таблицы «Official»
(табл.13.1):
Таблица 13.1
Уровень доступа (LEVEL)
HS (Highly sensitive)
S (Sensitive)
C (Confidential)
P (Public)
Числовой идентификатор уровня
доступа
40
30
20
10
324
Информация о главе департамента МИНФИН имеет уровень
«HS». Информация о начальниках отделов обладает уровнем «S».
Данные о старших экспертах помечена уровнем «C». Информация
об экспертах (подчиненных старших экспертов) имеет гриф «P».
Для того чтобы сотрудники фирмы из таблицы «Emp» могли
видеть информацию из таблицы «Official» о чиновниках в пределах
компетенции своего департамента (табл. 13.2), введем три отделения (по количеству отделов в таблице «Official»; будем полагать,
что глава департамента МИНФИНа числится за отделом финансов).
Таблица 13.2
Отделения (COMPARTMENT)
FIN (FINANCY)
ISS (ISSLEDOVANIE)
TRG(TORGOVLYA)
Числовой идентификатор
отделения
10
20
30
В соответствии с существующей иерархией чиновников определим иерархию групп в таблице «Official» (табл.13.3).
Таблица 13.3
Группа (GROUP)
GD (Glava_Departamenta)
NO (Nachalnik_Otdela)
SE (Starshiy_Expert)
E (Expert)
Числовой
идентификатор
группы
100
80
40
20
Название
родительской
группы
GD
NO
SE
Компоненты метки строк таблицы «Official» показаны на рис.
13.2.
Теперь определим метки пользователей (сотрудников фирмы из
таблицы «Emp»), которые будут работать со строками таблицы
«Official». Уровень (метка) сотрудника фирмы из таблицы «Emp»
также определяется тремя измерениями: уровнем доступа (LEVEL),
отделением (COMPARTMENT), группой (GROUP). Рис. 13.2 поясняет введенные компоненты метки для строк таблицы «Official».
325
Схожесть рис.13.1 и 13.2 выявляет смысловую обоснованность
введения таких же меток для пользователей, занимающих на рис.
13.1 позиции, сходные с позициями чиновников на рис. 13.2.
Рис. 13.2. Компоненты метки строк таблицы «OFFICIAL»
2. Установка Oracle Label Security
Oracle Label Security не устанавливается по умолчанию в версии Oracle 10g Enterprise Edition. Последовательность действий такова:
Надо запустить Oracle Universal Installer.
Выберите и установите Oracle Label Security option.
При установке укажите верный путь:
Disk_s_programmoy_ustanovki_10g\companion\database\stage\pro
ducts.xml) к файлу «products.jar» на форме «Specify Source Location». На следующей форме «Select Installation Type Oracle Database
10g…» выберите «Custom», на форме «Specify Home Details» укажите верный путь к директории сервера Oracle. После верного выбора на предыдущих шагах появится форма, в которой для Oracle
Label Security надо «кликнуть» checkbox (cправа в строке «Oracle
Label Security» написано «not installed»), а затем убрать checkbox в
строке «Oracle services for Microsoft Transaction Server 10.2…», после этого надо нажатием «Next» перейти к следующей форме, из
которой и надо стартовать установку.
326
После сообщения Oracle Universal Installer об успешном завершении установки необходимо перезагрузить компьютер.
Затем пользователем SYS выполните скрипт ORACLE_
HOME\rdbms\ admin\catols.sql следующим образом:
CONN sys/sys AS SYSDBA;
Здесь предполагается, что пароль для пользователя «sys» установлен «sys».
ORACLE_HOME\rdbms\ admin\catols.sql
ORACLE_HOME можно найти в реестре (Мой компьютер>HKEY_LOCAL_MACHIN ->
SOFTWARE->ORACLE….).
Скрипт catols.sql выполняет команду SHUTDOWN IMMEDIATE на последнем этапе выполнения. Затем надо еще раз перезагрузить компьютер, после чего запустите БД заново пользователем
«sys».
CONN sys/sys AS SYSDBA
startup
SELECT username FROM dba_users;
Вы заметите появление нового пользователя LBACSYS, в схеме
которого находятся объекты Oracle Label Security. Его пароль по
умолчанию LBACSYS. Этот пользователь будет управлять политиками безопасности.
На заметку. Пользователь «LBACSYS» не удаляется обычным
образом (DROP USER LBACSYS CASCADE). Для удаления пользователя «LBACSYS», соединившись пользователем SYS AS SYSDBA, запустите на исполнение файл: ORACLE_HOME/rdbms/
admin/catnools.sql.
Для включения компонента Oracle Label Security в Oracle 11g
необходимо выполнить следующую последовательность шагов:
1. Остановить экземпляр базы данных
Shutdown immediate
2. В панели управления остановить службы, связанные с процессом функционирования экземпляра Oracle Database
3. В окне DOS выполнить следующую последовательность команд:
cd %ORACLE_HOME%/bin
chopt enable lbac
327
4. Запустить в панели управления остановленные ранее службы.
5. Запустить экземпляр Oracle Database командой startup.
3. Создание политики безопасности, воплощающей
компоненты меток пользователей (в таблице «Emp»)
и строк (в таблице «Official»)
connect lbacsys/lbacsys@orcl
--Сначала удалим политику, созданную при предыдущем выполнении лабораторной работы
BEGIN
sa_sysdba.drop_policy('official_policy');
END;
/
--теперь создадим политику заново
BEGIN
sa_sysdba.create_policy('official_policy','scott_col','label_default,re
ad_control');
END;
/
--проверка того, что политика добавилась и действует
SELECT policy_name, status from DBA_SA_POLICIES;
4. Определение обязательного компонента меток ‒ уровней
доступа (конфиденциальности)
connect lbacsys/lbacsys@orcl
BEGIN
sa_components.create_level
('OFFICIAL_POLICY', 40,
'HS', 'Highly_Sensitive');
sa_components.create_level
('OFFICIAL_POLICY', 30,
'S', 'Sensitive');
sa_components.create_level
('OFFICIAL_POLICY', 20,
'C', 'Confidential');
sa_components.create_level
328
('OFFICIAL_POLICY', 10,
'P', 'Public');
END;
/
--проверка созданных уровней
SELECT * FROM dba_sa_levels ORDER BY level_num;
5. Определение второго компонента метки (compartment)
connect lbacsys/lbacsys@orcl
BEGIN
sa_components.create_compartment
('OFFICIAL_POLICY', 10,
'FIN','FINANCY');
sa_components.create_compartment
('OFFICIAL_POLICY', 20,
'ISS','ISSLEDOVANIE');
sa_components.create_compartment
('OFFICIAL_POLICY', 30,
' TRG', 'TORGOVLYA');
END;
/
--проверка второго компонента метки
select * from DBA_SA_COMPARTMENTS;
6. Определение третьего компонента метки (group)
connect lbacsys/lbacsys@orcl
BEGIN
sa_components.create_group ('OFFICIAL_POLICY',
100,'GD','Glava_Departamenta');
sa_components.create_group ('OFFICIAL_POLICY',
80,'NO','Nachalnik_Otdela','GD');
sa_components.create_group ('OFFICIAL_POLICY',
40,'SE','Starshiy_Expert','NO');
sa_components.create_group ('OFFICIAL_POLICY',
20,'E','Expert','SE');
END;
329
/
--проверка третьего компонента метки
select * from DBA_SA_GROUPS;
7. Создание меток в сочетании трех компонентов
с присвоением меткам численной величины
connect lbacsys/lbacsys@orcl
BEGIN
sa_label_admin.create_label
('OFFICIAL_POLICY', '100',
'HS:FIN,ISS,TRG:GD', TRUE);
sa_label_admin.create_label
('OFFICIAL_POLICY', '200',
'S:FIN:NO', TRUE);
sa_label_admin.create_label
('OFFICIAL_POLICY', '300',
'S:ISS:NO', TRUE);
sa_label_admin.create_label
('OFFICIAL_POLICY', '400',
'S:TRG:NO', TRUE);
sa_label_admin.create_label
('OFFICIAL_POLICY', '500',
'C:FIN:SE', TRUE);
sa_label_admin.create_label
('OFFICIAL_POLICY', '600',
'C:ISS:SE', TRUE);
sa_label_admin.create_label
('OFFICIAL_POLICY', '700',
'C:TRG:SE', TRUE);
sa_label_admin.create_label
('OFFICIAL_POLICY', '800',
'P:FIN:E', TRUE);
sa_label_admin.create_label
('OFFICIAL_POLICY', '900',
'P:ISS:E', TRUE);
sa_label_admin.create_label
('OFFICIAL_POLICY', '1000',
330
'P:TRG:E', TRUE);
END;
/
-- проверка добавления меток
SELECT * FROM dba_sa_labels;
8. Применение политики к таблице
connect lbacsys/lbacsys@orcl
--посмотрим перечень столбцов таблицы «Official» до применения политики к таблице
DESCRIBE scott.official;
--свяжем политику с таблицей «Official»
BEGIN
sa_policy_admin.apply_table_policy
('official_policy','scott','official','label_default,read_control');
END;
/
--политика, примененная к таблице добавила к ней дополнительный столбец SCOTT_COL.
DESCRIBE scott.official;
--какие политики к каким таблицам применены
SELECT * FROM dba_sa_table_policies;
9. Создание пользователей и наделение их
соответствующими правами
connect sys/sys@orcl as sysdba
--сначала удалим пользователей, созданных при предыдущем
выполнении лабораторной работы:
DROP USER king;
DROP USER jones;
DROP USER clark;
DROP USER blake;
DROP USER allen;
DROP USER martin;
DROP USER miller;
DROP USER james;
331
DROP USER turner;
DROP USER ward;
DROP USER ford;
DROP USER adams;
DROP USER smith;
--создадим пользователей заново:
CREATE USER king IDENTIFIED BY king
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER jones IDENTIFIED BY jones
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER clark IDENTIFIED BY clark
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER blake IDENTIFIED BY blake
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER allen IDENTIFIED BY allen
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER martin IDENTIFIED BY martin
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER miller IDENTIFIED BY miller
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER james IDENTIFIED BY james
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
332
QUOTA 10m ON users;
CREATE USER turner IDENTIFIED BY turner
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER ward IDENTIFIED BY ward
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER ford IDENTIFIED BY ford
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER adams IDENTIFIED BY adams
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
CREATE USER smith IDENTIFIED BY smith
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 10m ON users;
--выдадим созданным пользователям обычные привилегии:
GRANT create session, resource TO king,jones,clark,blake,
allen,martin,miller,james,turner,ward,ford,adams,smith;
--выдадим пользователям привилегии для работы с таблицей
«Official»:
GRANT select, update, insert, delete
ON scott.official TO king,jones,clark,blake,
allen,martin,miller,james,turner,ward,ford,adams,smith;
10. Назначение меток пользователям
connect lbacsys/lbacsys@orcl
--устанавливаем метки пользователям:
BEGIN
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','KING','HS:FIN,ISS,TRG:GD');
333
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','CLARK','S:FIN:NO');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','JONES','S:ISS:NO');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','BLAKE','S:TRG:NO');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','MILLER','P:FIN:E');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','SCOTT','C:ISS:SE');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','FORD','C:ISS:SE');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','WARD','C:TRG:SE');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','ALLEN','C:TRG:SE');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','MARTIN','C:TRG:SE');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','TURNER','C:TRG:SE');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','ADAMS','P:ISS:E');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','SMITH','P:ISS:E');
sa_user_admin.set_user_labels
('OFFICIAL_POLICY','JAMES','P:TRG:E');
END;
/
11. Назначение меток строкам таблицы «Official»
--сначала отключим политику, чтобы пользователь «Scott» мог
изменять строки таблицы «Official»:
connect lbacsys/lbacsys@orcl
BEGIN
sa_sysdba.disable_policy('official_policy');
END;
334
/
--теперь пользователь «Scott» (в его схеме находится таблица
«Official») устанавливает метки строкам таблицs «Official»:
connect scott/scott@orcl
UPDATE scott.official
SET scott_col=100
WHERE empno= (SELECT empno FROM scott.emp WHERE
ename='KING');
UPDATE scott.official
SET scott_col=200
WHERe empno= (SELECT empno FROM scott.emp WHERE
ename='CLARK');
UPDATE scott.official
SET scott_col=300
WHERE empno= (SELECT empno FROM scott.emp WHERE
ename='JONES');
UPDATE scott.official
SET scott_col=400
WHERE empno= (SELECT empno FROM scott.emp WHERE
ename='BLAKE');
UPDATE scott.official
SET scott_col=800
WHERE empno= (SELECT empno FROM scott.emp WHERE
ename='MILLER');
UPDATE scott.official
SET scott_col=600
WHERE empno= (SELECT empno FROM scott.emp WHERE
ename='FORD');
UPDATE scott.official
SET scott_col=700
WHERE empno IN (SELECT empno FROM scott.emp WHERE
ename='WARD'OR ename='ALLEN' OR ename='TURNER' OR
ename='MARTIN');
UPDATE scott.official
SET scott_col=900
335
WHERE empno IN (SELECT empno FROM scott.emp WHERE
ename='ADAMS' OR ename='SMITH');
UPDATE scott.official
SET scott_col=1000
WHERE empno= (SELECT empno FROM scott.emp WHERE
ename='JAMES');
--актуализируем политику:
connect lbacsys/lbacsys@orcl
BEGIN
sa_sysdba.enable_policy('official_policy');
END;
/
12. Проверка всех настроек – демонстрация OLS в работе
connect king/king@orcl
SELECT * FROM scott.official;
--KING может видеть все строки
INSERT INTO scott.official (id,dolzh) VALUES (16,'ministr');
--вставленная строка имеет ту же метку в cтолбце SCOTT_COL,
что и пользователь KING
SELECT * FROM scott.official;
DELETE FROM scott.official WHERE id=16;
connect FORD/FORD@orcl
SELECT * FROM scott.official;
--ford может видеть только информацию о старших экспертах и
экспертах отдела исследований
INSERT INTO scott.official (id,dolzh) VALUES (16,'spec');
--вставленная строка имеет ту же метку в cтолбце SCOTT_COL,
что и пользователь FORD
SELECT * FROM scott.official;
DELETE FROM scott.official WHERE id=16;
connect martin/martin@orcl
336
select * from scott.official;
--martin может видеть информацию о всех старших экспертах
отдела торговли и об экспертах отдела торговли
INSERT INTO scott.official (id,dolzh) VALUES (16,'spec');
--вставленная строка имеет ту же метку в cтолбце SCOTT_COL,
что и юзер FORD
SELECT * FROM scott.official;
DELETE FROM scott.official WHERE id=16;
--аналогично WARD, ALLEN,TURNER могут видеть информацию о всех старших экспертах отдела торговли и об экспертах отдела торговли
connect ward/ward@orcl
SELECT * FROM scott.official;
connect james/james@orcl
--james увидит только две строки экспертов отдела торговли
SELECT * FROM scott.official;
connect adams/adams@orcl
SELECT * FROM scott.official;
--adams, как и SMITH увидят только две строки экспертов отдела исследований
connect smith/smith@orcl
SELECT * FROM scott.official;
Сдача лабораторной работы
Заключается в реализации студентом мандатного контроля доступа (только по обязательным компонентам) на индивидуальной
предметной области. Студент сам определяет «родительскую» таблицу, в которой для трех строк символьного столбца с неповторяющимися значениями создает пользователей, а политику разграничения полномочий формирует для какой-либо «дочерней» таблицы, т.е. таблицы, в которой в качестве Foreign Key присутствует
Primary Key родительской таблицы.
337
Тестовые задания к работе 13
Входной контроль
1. Что является мандатом пользователя при его доступе к
строкам таблицы базы данных, для которой выполнена настройка мандатного метода доступа?
a) назначаемая пользователю совокупность соответствующих
системных привилегий;
b) назначаемая пользователю совокупность соответствующих
ролей;
c) назначаемый пользователю соответствующий профиль;
d) назначаемые пользователям соответствующие метки доступа;
e) правильных ответов нет.
2. Укажите верн(ое/ые) продолжени(е/я) фразы: для того,
чтобы воспользоваться возможностью мандатного метода доступа, надо:
a) завести пользователя «ols»;
b) завести при установке программного обеспечения СУБД
Oracle нужные компоненты;
c) наделить администратора базы данных привилегией «Create
OLS…»;
d) завести необходимые структуры в БД;
e) правильных ответов нет.
3. Среди нижеприводимых строк укажите компонент(ы)
метки доступа, регламентирующей доступ к строкам таблицы:
a) компонент уровня секретности;
b) уровень аудита;
c) компонент уровня/категории данных;
d) компонент уровня безопасности группы;
e) правильных ответов нет.
4. Пользователь с какой учетной записью должен запускать
скрипт «catols.sql» для обеспечения возможности использования Oracle Label Security?
a) system;
b) sys;
c) dbsnmp;
338
d) sysman;
e) правильных ответов нет.
5. Укажите цифру, равную числу максимального количества компонент метки строк таблиц и пользователей, которое
может быть использовано при реализации Oracle Label
Security.
a) 1;
b) 2;
c) 3;
d) 4;
e) правильных ответов нет.
6. Какой программой надо воспользоваться для создания
компонентов Oracle, необходимых для использования Oracle
Label Security?
a) Database Configuration Assistant;
b) Database Upgrade Assistant;
c) Oracle Universal Installer;
d) Policy Manager;
e) правильных ответов нет.
7. Пользователь LBACSYS был установлен неудачно (он не
может создавать политику OLS). Среди нижеприводимых
строк укажите верную строку с действиями по переустановке
этого пользователя:
a) пользователь sys перезапускает скрипт создания пользователя lbacsys;
b) пользователь sys выполняет команду «drop user lbacsys», а
потом запускает вновь скрипт создания пользователя «lbacsys»;
c) пользователь sys переустанавливает базу данных, а потом запускает вновь скрипт создания пользователя «lbacsys»;
d) пользователь sys запускает скрипт catnools.sql, а потом запускает вновь скрипт создания пользователя «lbacsys»;
e) правильных ответов нет.
Выходной контроль
1. Укажите, с помощью какого модуля реализуется связывание вариантов меток безопасности с пользователями в технологиях Oracle Label Security?
339
a) dbms_rls;
b) sa_label_admin;
c) dbms_session;
d) sa_user_admin;
e) dbms_fga;
f) sa_sysdba;
g) правильных ответов нет.
2. С помощью какого модуля определяются (создаются)
уровни доступа пользователей к информации, отделения и
группы, к которым принадлежат пользователи, и увязываются
с политикой безопасности, создаваемой при реализации Oracle
Label Security?
a) sa_sysdba;
b) dbms_session;
c) dbms_rls;
d) sa_components;
e) dbms_fga;
f) правильных ответов нет.
3. Укажите, с помощью каких модулей создаются варианты
(многомерных) меток безопасности в технологиях Oracle Label
Security?
a) dbms_rls;
b) sa_label_admin;
c) dbms_session;
d) sa_user_admin;
e) dbms_fga;
f) sa_sysdba;
g) правильных ответов нет.
4. Что необходимо сделать для того, чтобы оператором «update» назначить OLS метки уже существующим строкам таблицы, для которой выполнены все предварительные OLS настройки?
a) создать копию этой таблицы;
b) назначить «update any table» привилегию «хозяину» этой
таблицы;
c) включить OLS политику безопасности для этой таблицы;
d) отключить OLS политику безопасности для этой таблицы;
340
e) выполнить команду «set serveroutput on»;
f) правильных ответов нет.
5. С помощью какой утилиты Oracle можно реализовывать
и настраивать OLS?
a) Enterprise Manager Console;
b) Oracle Security Manager;
c) Oracle Directory Manager;
d) Policy Manager;
e) Wallet Manager;
f) правильных ответов нет.
6. Каким пользователем надо соединяться с утилитой реализации и настройки OLS?
a) sys as sysdba;
b) system;
c) «хозяином» таблицы, для которой реализуется и настраивается OLS;
d) dbsnmp;
e) ordsys;
f) правильных ответов нет.
7. Какой пользователь создается в ходе последовательных
этапов установки OLS?
a) olsuser;
b) adminols;
c) sysols;
d) systemols;
e) olscreator;
f) правильных ответов нет.
341
Работа 14
ПРОВЕРКА НАСТРОЕК МЕХАНИЗМОВ КОНТРОЛЯ
ДОСТУПА СПЕЦИАЛИЗИРОВАННЫХ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ ОТ НСД СЕТЕВЫХ СРЕДСТВ И ПЭВМ
Цель: получение практических навыков работы с программной
частью комплекса доверенной загрузки «Аккорд-NT/2000» v.3.0.
Проверка настроек мандатного и дискреционного механизмов доступа, а так же прав пользователей, работающих в системе.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Установка программной части комплекса.
2. Создание пользователей, синхронизация программной и аппаратной частей.
3. Реализация дискреционного механизма разграничения доступа.
4. Активизация подсистемы управления доступом.
5. Проверка настроек дискреционного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2
ХР».
6. Реализация мандатного механизма разграничения доступа.
7. Проверка настроек мандатного механизма разграничения
доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР».
Работа с сетевыми ресурсами.
Создание отчета по проделанной работе.
АППАРАТНО-ПРОГРАММНЫЙ КОМПЛЕКС
ДОВЕРЕННОЙ ЗАГРУЗКИ
Этапы установки комплекса
Установка программно-аппаратного комплекса СЗИ НСД «Аккорд- NT/2000» v.3.0 включает четыре основных этапа:
1. Установка в ПЭВМ (РС) аппаратной части комплекса ‒ комплекса СЗИ НСД «Аккорд-АМДЗ», его настройка с учетом конфигурации технических и программных средств ПЭВМ (РС), в том
342
числе регистрация администратора безопасности информации (или
нескольких администраторов) и пользователей.
2. Установка в составе ОС драйвера для устройства «АккордАМДЗ». Для PCI контроллеров установка драйвера выполняется
стандартным образом, только размещение указывается в папке
Drivers/Windows на дистрибутивном носителе, который входит в
состав комплекса «Аккорд-NT/2000». Процедура установки драйвера для ISA контроллера описана в файле readme.1st в этой же
папке.
3. Установка на жесткий диск ПЭВМ (РС) специального программного обеспечения разграничения доступа с дистрибутивного
носителя.
4. Назначение правил разграничения доступа (ПРД) для пользователей ПЭВМ (РС) в соответствии с политикой информационной
безопасности, принятой в организации и активизацию подсистемы
разграничения доступа с помощью программы настройки комплекса (ACSETUP.EXE).
Установка комплекса СЗИ НСД «Аккорд-АМДЗ»
Установка и настройка аппаратной части СЗИ НСД «АккордАМДЗ» из состава комплекса «Аккорд-NT/2000» v.3.0 производится точно таким же образом как описано в работе 11.
Установка СПО разграничения доступа «Аккорд-NT/2000»
на жесткий диск ПЭВМ (РС). Установка СПО на жесткий диск
ПЭВМ осуществляется в такой последовательности:
1. После установки «Аккорд-АМДЗ» загрузить ОС с правами
Администратора. Установить драйвер нового устройства из папки
\Drivers\Windows, которая находится на компакт-диске, поставляемом в составе комплекса. Установку драйвера выполнять в зависимости от типа контроллера АМДЗ и типа ОС. Рекомендации см. в
файле readme.1st из той же папки.
2. Запустить находящуюся на диске программу SETUP.EXE из
папки ACNT2000.
3. Выбрать диск и каталог для установки ПО комплекса. По
умолчанию установка выполняется в папку C:\Accord.NT, но администратор может выбрать другие варианты. Программа создаст на
заданном логическом диске папку С:\ACCORD.NT (или имя, за343
данное администратором) со всеми необходимыми подкаталогами
и скопирует туда программное обеспечение. В подкаталог DOC
копируется комплект эксплуатационной документации. На данном
этапе в составе ОС не производится никаких изменений, кроме
создания каталогов или файлов на жестком диске.
Для нормальной работы комплекса необходимо после установки
ПО на жесткий диск скопировать в папку Accord.NT лицензионный
файл Accord.key, который поставляется на отдельном носителе.
4. Перезагрузить ПЭВМ (РС) и запустить редактор прав доступа ‒ программу ACED32.EXE из каталога С:\ACCORD.NT для синхронизации файла ПРД подсистемы разграничения доступа комплекса «Аккорд-NT/2000» со списком пользователей, который находится в контроллере комплекса «Аккорд-АМДЗ».
5. Назначить ПРД в соответствии с принятой политикой информационной безопасности и полномочиями пользователей. Описание программы и порядок ее применения описаны выше в данной
лабораторной работе.
6. Провести активизацию подсистемы разграничения доступа
комплекса и выбрать необходимые механизмы разграничения (дискреционную и мандатную модель разграничения доступа). Для этого необходимо запустить программу ACSETUP.EXE из каталога
С:\ACCORD.NT.
Основные параметры настройки комплекса. Главное окно
программы настройки комплекса «Аккорд-NT/2000» (рис. 14.1).
Настройка поля «При старте»
В правой части окна размещено поле «При старте», предназначенное для задания режимов загрузки «монитора разграничения
доступа» ‒ программы ACRUN.SYS.
Пояснение. ACRUN.SYS ‒ ядро системы, выполненное как
kernel mode driver. Реализует функции монитора разграничения
доступа и обеспечивает статический и динамический контроль целостности файлов/исполняемых модулей.
Выбор режима загрузки осуществляется путем установки/снятия соответствующего флага:
Спрашивать разрешение – при включении этого режима в момент загрузки ACRUN.SYS выводится запрос и можно отказаться
от запуска программы. Этот режим допустим только на период тестирования системы.
344
Перезагрузка при ошибках – если установлен этот флаг, то при
обнаружении ошибок (например, пользователь не зарегистрирован
в базе данных, выявлены изменения в контролируемых файлах и
т.д.) происходит принудительная перезагрузка ПЭВМ (РС). Это
основной режим функционирования системы разграничения доступа!
Рис. 14.1. Окно настройки комплекса. Программа ACSETUP.EXE
В том случае, когда установлен такой режим работы системы
защиты, и возникает ошибка, не позволяющая продолжить загрузку, для администратора предусмотрен резервный механизм отключения старта монитора безопасности. Действует он только для
пользователя «Гл. администратор», и для его корректной работы в
настройке аппаратной части комплекса в параметре «Результаты
И/А» должны быть включены первые пять флагов. Если эти требования соблюдены, то в начале загрузки ОС после корректной идентификации в аппаратной части администратор может нажать кла345
вишу с буквой S и остановить загрузку монитора безопасности.
Нажимать клавишу следует в тот момент, когда на экран в текстовом режиме начинается вывод сообщений СЗИ «Аккорд».
Автоматический логин в ОС ‒ при включении этого режима в
момент загрузки модуль ACGINA.DLL получает информацию о
пользователе, который был идентифицирован контроллером комплекса «Аккорд-АМДЗ». При этом вход в систему может осуществляться двумя способами:
• контроллер комплекса «Аккорд-АМДЗ» передает подсистеме
доступа имя пользователя. Первые четыре флага установлены в
разделе «Результаты I/A» параметров пользователя. В этом случае
при логине в ОС требуется ввести с клавиатуры пароль пользователя. Имя пользователя изменить нельзя;
• контроллер комплекса «Аккорд-АМДЗ» передает подсистеме
доступа имя и пароль пользователя (первые пять флагов установлены в разделе «Результаты И/А» в настройках контроллера). В
этом случае при логине в ОС ввода пароля не требуется.
Пояснение. ACGINA.DLL ‒ программа, реализующая процедуры идентификации/ аутентификации, так называемые процедуры
winlogon. Представляет собой модификацию (wraper) стандартной
библиотеки msgina.dll. Эта программа необходима для входа в систему с идентификационными параметрами, полученными из контроллера комплекса «Аккорд-АМДЗ», отслеживания завершения
сеанса работы пользователя и начала нового сеанса работы. Также
выполняет функции вывода на экран информации, поступающей от
ACRUN.SYS.
Если ПЭВМ (РС) подключена к сети, то у пользователя есть
возможность выбрать имя домена, или сервера, к которому он может получить доступ, даже если включен параметр «Автологин».
Для этого администратору перед активизацией подсистемы разграничения доступа включить расширенный режим входа в систему
(кнопка «Параметры» в стандартном окне запроса имени и пароля
пользователя).
Проверка BOOT сектора ‒ в момент загрузки ядра ОС модуль
ACRUN.SYS производит запись в журнал регистрации событий
СЗИ «Аккорд». Операционная система Windows определяет факт
записи на диск до начала «официального» сеанса работы пользователя и выставляет флаг некорректно завершенного сеанса. Чтобы
346
не запускался при каждой перезагрузке chkdsk, ACRUN.SYS восстанавливает исходное значение загрузочной записи. По умолчанию флаг включен. Отключать его следует только в том случае,
если какой-либо системный модуль дополнительно проверяет boot
записи логических разделов диска.
Поддержка USB клавиатуры – этот флаг необходимо включать, если на вашем компьютере используется USB клавиатура, или
мышь. В этом случае при старте операционной системы в нижней
части окна появляется запрос, который позволяет изменить параметры загрузки монитора разграничения доступа. Действовать эти
настройки будут только в том случае, если установлен флаг
«Спрашивать разрешение». Такой алгоритм работы приходится
использовать потому, что в момент старта модуля ACRUN.SYS
поддержка USB клавиатуры из системного BIOS уже отключена, а
драйвер из состава ОС еще не загружен. Кроме того, установка этого флага обеспечивает корректную блокировку USB клавиатуры и
мыши при работе хранителя экрана.
Настройка поля «Синхронизация». Поле «Синхронизация»
определяет режимы синхронизации базы данных пользователей.
Флаг «С базой АМДЗ» определяет режим, при котором параметры пользователя из контроллера считываются в базу данных
редактора ПРД. При выходе из редактора ПРД выполняется синхронизация с базой данных контроллера.
Флаг «С базой пользователей NT» определяет режим, при котором программа-редактор добавляет пользователей СЗИ «Аккорд» в
базу операционной системы. Этот флаг необходим, если включен
режим «Автоматический логин в ОС». В противном случае пользователь не сможет войти в Windows.
Примечание. Учетная запись «Гл. администратор» автоматически синхронизируется с системной учетной записью «Администратор» в русской версии Windows, или с записью «Administrator» в
английской версии. Если в составе ОС учетная запись «Администратор» заблокирована, то СЗИ «Аккорд» создает запись Supervisor
и включает ее в группу «Администраторы».
«Удалять незарегистрированных пользователей» – установка
этого дополнительного флага определяет способ синхронизации
пользователей СЗИ «Аккорд» с базой ОС Windows. Если флаг не
установлен, то пользователи СЗИ просто добавляются в базу поль347
зователей ОС. Если флаг установлен, то в базе пользователей операционной системы останутся ТОЛЬКО пользователи СЗИ «Аккорд».
При установленной СЗИ «Аккорд» в автоматизированной системе (компьютер + ПО) появляются три базы пользователей:
• база в контроллере АМДЗ;
• база в составе СПО NT/2000 (файл Accord.AMZ);
• база учетных записей в составе ОС.
Есть два флага, отвечающие за синхронизацию этих баз:
• флаг «синхронизация с АМДЗ». Если установлен этот флаг,
то при старте редактора ПРД ACED32 считываются пользователи
из АМДЗ. Если пользователь заведен в программе администрирования АМДЗ, то он автоматически заносится в ACCORD.AMZ с
теми ПРД, которые установлены как общие параметры группы, в
которую включен пользователь. Если в файле ACCORD.AMZ есть
пользователь, но его нет в базе контроллера АМДЗ, то такой пользователь удаляется из ACCORD.AMZ. При завершении работы редактора Aced32 с сохранением изменений файл ACCORD.AMZ
полностью синхронизируется с базой пользователей в контроллере
АМДЗ, т.е. такие параметры как имя пользователя, идентификатор,
пароль, параметры пароля, временные ограничения, результаты
И/А, полностью идентичны.
• флаг «синхронизация с NT». Если флаг установлен, то при
выходе из редактора Aced32 созданные пользователи заносятся в
базу пользователей ОС. В этот момент проверяется флаг «Удалять
незарегистрированных пользователей». Если он установлен, и если
в ОС зарегистрированы пользователи, не существующие в
Accord.AMZ, то эти пользователи удаляются из базы NT. При этом
администратор должен позаботиться о том, чтобы политики парольной защиты (минимальная длина, набор символов, срок действия) совпадали в настройках ОС и СЗИ «Аккорд».
Таким образом, если включены три флага синхронизации: «c
АМДЗ» + «c NT» + «Удалять незарегистрированных пользователей», то все три базы идентичны по именам пользователей и паролям. Если флаги не установлены, то возможны случаи, когда в одних базах будет больше/меньше пользователей, чем в других, а пароли одного и того же пользователя различны для включения компьютера (в АМДЗ) и для загрузки ОС. В любом случае СПО «Ак348
корд NT/2000» работает со своей базой (Accord.AMZ). Вы можете
установить режимы синхронизации, а можете отдельно завести
пользователя в АМДЗ и в редакторе Aced32 (даже с разными паролями), при этом пользователь всегда идентифицируется своим
идентификатором.
Настройка поля «Механизмы разграничения доступа». Поле
«Механизмы разграничения доступа» определяет те методы разграничения доступа, которые будут использоваться при реализации
политики безопасности. Существует два механизма: дискреционный и мандатный механизмы.
Дискреционный механизм. Требование реализации. Дискреционное управление доступом (англ. Discretionary access control) ‒
разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.
КСЗ должен контролировать доступ поименованных субъектов
(пользователей) к поименованным объектам (файлам, программам,
томам и т.д.).
Контроль доступа должен быть применим к каждому объекту и
каждому субъекту (индивиду или группе равноправных индивидов).
Для каждой пары (субъект ‒ объект) в СВТ должно быть задано
явное и недвусмысленное перечисление допустимых типов доступа
(читать, писать и т.д.), т.е. тех типов доступа, которые являются
санкционированными для данного субъекта (индивида или группы
индивидов) к данному ресурсу СВТ (объекту).
Механизм, реализующий дискреционный принцип контроля
доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых
объектов. Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).
Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.
Реализация. Для реализации дискреционного механизма разграничения доступа необходимо, по крайней мере, конкретизировать термины, используемые в формальном описании. При этом
целесообразно исходить из того, что полученная модель должна, с
349
одной стороны, быть понятна пользователю, с другой ‒ не ограничивать пользователя в реализации процедур разграничения доступа
и как можно ближе соответствовать особенностям архитектуры
технических средств компьютера и особенностям операционной
системы. С этой точки зрения необходимо определить, что целесообразно выбрать в качестве объектов разграничения доступа, и какие допустимые типы доступа целесообразно использовать.
Обсуждая этот вопрос, отметим, что в качестве объектов в
большинстве ОС используются: диски – каталоги (папки) ‒ файлы
(задачи).
Выбор типов доступа целесообразно связать с функциями ОС,
посредством которых осуществляется доступ к ресурсам. Перехват
вызовов этих функций позволит реализовать ПРД для явных действий пользователя.
Реализация ПРД для скрытых действий пользователя может
быть осуществлена за счет ограничения перечня задач, которые
пользователь имеет право запускать. Это означает, что средства
ПРД должны содержать возможность явного и недвусмысленного
описания перечня задач, запуск которых разрешен пользователю, и
средств контроля за использованием этих задач. Формирование
перечня должно осуществляться администратором БИ в порядке,
предусмотренном для формирования и изменения ПРД.
В комплексе «Аккорд-NT/2000» v.3.0. дискреционные правила
разграничения доступа устанавливаются присвоением объектам
доступа атрибутов доступа. Установленный атрибут означает, что
определяемая атрибутом операция может выполняться над данным
объектом. В комплексе применяются следующие атрибуты:
R ‒ открытие файлов для чтения;
W ‒ открытие файлов для записи;
O ‒ подмена атрибута R атрибутами RW на этапе открытия
файла;
C ‒ создание файлов;
D ‒ удаление файлов;
N ‒ переименование файлов и подкаталогов;
V ‒ видимость файлов;
M ‒ создание каталогов;
E ‒ удаление каталогов;
n – переименование каталогов;
350
G ‒ доступность данного каталога (т.е. переход к нему);
X ‒ исполнение задач;
S ‒ наследование подкаталогами атрибутов родительского каталога.
Установленные атрибуты определяют важнейшую часть ПРД
пользователя. От правильности выбора и установки атрибутов во
многом зависит эффективность работы СЗИ. В этой связи администратор службы безопасности информации должен ясно представлять, от чего и как зависит выбор атрибутов, назначаемых объектам, к которым имеет доступ пользователь. Как минимум, необходимо изучить принцип разграничения доступа с помощью данных
атрибутов, а также особенности работы программных средств, которые будут применяться пользователем при работе.
Специальная программа – редактор прав доступа, позволяет
администратору БИ для каждой пары субъект ‒ объект определить:
Для дисков:
• доступность, т.е. пользователю доступны только те логические диски, которые явно описаны в ПРД.
Для каталога:
• доступность (переход к данному каталогу);
• видимость (данный каталог будет виден пользователю из
файловых оболочек типа Windows Commander или Explorer);
• наследование подкаталогами атрибутов каталога.
Для содержимого каталога:
• создание подкаталогов;
• удаление подкаталогов;
• переименование подкаталогов;
• открытие файлов для записи;
• открытие файлов для чтения;
• создание файлов;
• переименование файлов;
• удаление файлов;
• видимость файлов;
• «фиктивное» открытие файлов для записи.
Для задач:
• исполнение.
351
Дополнительно могут определяться Права доступа к отдельным
файлам (с указанием полного пути доступа) ‒ эти права будут
обеспечиваться в безусловном порядке, даже если файл расположен в каталоге, доступа к которому данный пользователь не имеет,
или атрибуты доступа для файла отличны от атрибутов каталога, в
котором он находится. Предусмотрено определение следующих
прав:
• открытие файлов для записи;
• открытие файлов для чтения;
• создание файлов;
• удаление файлов;
• переименование файлов;
• видимость файлов;
• «фиктивное» открытие файлов для записи;
• запуск задач.
Существует также и «черный список». Это файлы, или каталоги, которые присутствуют в списке объектов, для которых не установлен ни один атрибут доступа. Объекты, описанные в «черном
списке», становятся недоступными пользователю, даже если они
расположены в каталогах, к которым пользователь имеет доступ. В
«черный список» можно включать также логические имена устройств и драйверы устройств. Эти объекты после такого описания
становятся недоступны пользователю. Таким образом, осуществляется сопоставление пользователя и доступных ему устройств.
Кроме этого, в подсистеме дискреционного доступа реализованы два дополнительных атрибута, предназначенных для регистрации обращения пользователя к отдельным ресурсам. Атрибут «r» ‒
определяет регистрацию операций чтения для отдельного объекта,
атрибут «w» ‒ регистрацию операций записи. Использование этих
атрибутов целесообразно в случае, когда администратору безопасности необходимо иметь информацию обо всех случаях обращения
(даже санкционированным) к критичным ресурсам, а не только сообщения об НСД.
Мандатный механизм разграничения доступа. Требования
по реализации. Мандатное управление доступом (англ. Mandatory
access control) ‒ разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности инфор352
мации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.
Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих
меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
КСЗ при вводе новых данных в систему должен запрашивать и
получать от санкционированного пользователя классификационные
метки этих данных. При санкционированном занесении в список
пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать
внутренним меткам (внутри КСЗ).
КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого субъекта:
• субъект может читать объект, только если иерархическая
классификация в классификационном уровне субъекта не меньше,
чем иерархическая классификация в классификационном уровне
объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
• субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не
больше, чем классификационный уровень объекта в иерархической
классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в
классификационном уровне объекта.
Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней
субъектов и объектов специально выделенными субъектами.
В КСЗ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объек353
там, а также разграничение доступа в соответствии с заданным
принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при
одновременном разрешении его и дискреционными, и мандатными
ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.
Реализация. Разграничение доступа с использованием мандатного механизма управления доступом комплекса «АккордNT/2000» v.3.0 осуществляется путем присвоения (задания) объектам доступа категории доступа (грифа), которые характеризуются
уровнем доступа от 0 (самый низкий) до 8 (максимальный). Установленный для объекта доступа гриф является его меткой конфиденциальности.
Пользователям и процессам (опционально) присваиваются категории доступа (уровни допуска), также изменяющиеся от 0 до 8.
Доступ пользователя или процесса возможен тогда и только тогда,
когда его уровень допуска не ниже грифа объекта доступа.
Категории доступа могут быть поименованы как уровни секретности, либо другим, более удобным для Администратора БИ
образом. Для активизации мандатного механизма разграничения
доступом необходимо в файле ACCORD.INI в секции [ACED] установить ключ MandatoryAccess=Yes. Если в мандатный механизм
необходимо ввести контроль доступа процессов, тогда в этой же
секции необходимо установит ключ CheckProcess=Yes.
Названия и количество категорий (меток конфиденциальности)
задаются в файле ACCORD.INI в секции [MANDATORY]. По
умолчанию в комплексе определены пять категорий конфиденциальности (секретности):
Level0 – общедоступно;
Level1 – общий ресурс;
Level2 – конфиденциально;
Level3 – секретно;
Level4 – совершенно секретно.
Администратор БИ имеет право изменять названия и количество категорий конфиденциальности. С увеличением номера категории повышается конфиденциальность данных. Далее необходимо
установить уровень допуска пользователей. Это делается с помощью программы ACED32 ‒ пункт меню «Команды», далее «Уро354
вень доступа». После этого Администратор БИ может назначать
как для каталогов, так и для отдельных файлов требуемые уровни
доступа. Проверка прав доступа субъекта (пользователя или процесса) к какому-либо объекту доступа (ресурсу ПЭВМ, либо АС)
осуществляется в следующем порядке:
1. Проверяется, имеет ли пользователь права на доступ, установленные дискреционным механизмом комплекса.
2. Если пользователю установлены права по доступу дискреционным механизмом комплекса, то проверяется уровень допуска
пользователя и гриф (метка конфиденциальности) объекта доступа
(ресурса ПЭВМ (РС), либо АС).
3. Доступ будет разрешен только в том случае, если уровень
допуска пользователя больше, либо равен грифу (метке конфиденциальности) объекта доступа (ресурса ПЭВМ (РС), либо АС).
В комплексе «Аккорд-NT/2000» v.3.0 реализована дополнительная функция, позволяющая устанавливать уровень доступа исполняемому процессу, когда он загружается в оперативную память.
Исполняемому файлу (программе) присваивается метка конфиденциальности (уровень доступа) как объекту на диске ПЭВМ (РС).
При этом файл (программа) будет запускаться только пользователем с определённым уровнем допуска. После успешной загрузки в
оперативную память исполняемый файл (программа), получает
метку уровня доступа как субъект доступа, который работает с
объектами (ресурсами). В этом случае проверка доступа к ресурсу
осуществляется в следующем порядке:
1. Проверяется, имеет ли пользователь право на доступ в соответствии с дискреционным механизмом.
2. При наличии дискреционных прав доступа пользователя
средствами мандатного механизма комплекса проверяется уровень
его допуска и гриф (метка конфиденциальности) объекта доступа
(ресурса).
3. Если доступ разрешен, то проверяется, имеет ли текущий
процесс уровень допуска больше, либо он равен уровню доступа
объекта (ресурса), к которому обратился пользователь с помощью
этого процесса.
4. Доступ будет разрешен только в случае успешного выполнения трех вышеописанных проверок.
355
При такой реализации механизма управления потоками информации, обработка информации определенного уровня конфиденциальности выполняется только с помощью выделенных программ
(процессов).
Настройка поля «ТМ-контроллер». В поле «ТМ-контроллер»
только один параметр – «Использовать страницу ТМ». По умолчанию он установлен в 0. Изменять этот параметр КАТЕГОРИЧЕСКИ НЕ РЕКОМЕНДУЕТСЯ! В эту и следующую страницу памяти идентификатора записывается секретный ключ пользователя
при его регистрации. Изменение этого параметра приведет к тому,
что ранее зарегистрированные идентификаторы будут восприниматься системой защиты как недопустимые. Изменение этого параметра возможно, если используется ПО сторонних производителей и записывает свою информацию в те же страницы памяти. После изменения этого параметра ВСЕ используемые идентификаторы должны быть перерегистрированы с генерацией нового секретного ключа пользователя.
Программа редактирования ПРД ACED32.EXE
Назначение программы. Программа ACED32.EXE ‒ редактор
параметров (атрибутов) доступа пользователей, используемых в
комплексе СЗИ НСД «Аккорд-NT/2000» v.3.0. дискреционного и
мандатного механизмов доступа субъектов (пользователей) к объектам ПЭВМ или АС – предназначена для администрирования подсистемы разграничения доступа комплекса.
Программа используется администратором БИ (Безопасности
Информации) при установке и эксплуатации комплекса «АккордNT/2000» для описания (назначения пользователям) принятых в
организации (учреждении и т.п.) правил разграничения доступа
(ПРД) в соответствии с полномочиями пользователей.
Программа ACED32.EXE входит в состав специального ПО
комплекса, инсталлируется на жесткий диск ПЭВМ (РС) при установке комплекса.
Порядок запуска программы. Для редактирования параметров (атрибутов) доступа пользователей необходимо запустить программу C:\ACCORD.NT\ACED32.EXE. Можно воспользоваться
ярлыком «Редактор прав доступа» в группе программ Accord-NT,
356
которая создается при инсталляции СПО на жесткий диск компьютера. На экран выводится запрос идентификатора пользователя,
показанный на рис. 14.2. Далее программа запрашивает пароль администратора БИ (если пароль задан при установке комплекса
«Аккорд-АМДЗ» и хранится в ЭНП контроллера).
Рис. 14.2. Запрос
идентификатора пользователя
Если идентификация/аутентификация администратора прошла
успешно, то выполняется синхронизация базы данных редактора
прав доступа с базой данных пользователей, находящейся в ЭНП
контроллера «Аккорд-АМДЗ» и на экран выводится главное окно
программы, показанное на рис. 14.3.
Рис. 14.3. Главное окно программы
357
При первом запуске программы в списке пользователей обязательно отображаются группы «Администраторы» и «Обычные» и
пользователь «Гл. администратор». Если записи не отображаются,
это означает, что нарушена синхронизация с аппаратной частью
комплекса – контроллером АМДЗ, так как эти учетные записи создаются автоматически при инициализации контроллера. Проверьте
правильность установки драйвера контроллера.
Редактирование учетных записей пользователей
Регистрация нового пользователя. В подменю <Команды>
главного меню программы ACED32 (см. рис. 14.3) выберите команду <Создать>. Можно воспользоваться соответствующей кнопкой на панели задач. На экран выводится окно, предлагающее выбрать тип создаваемого объекта.
Установите отметку на строке
«Пользователь» и введите имя
нового пользователя (рис. 14.4).
После этого следует выбрать
кнопку «OК». В главном окне
программы появится новый пользователь.
Примечание. Если список
пользователей активен, то при
нажатии клавиши <Insert> также
Рис. 14.4. Окно создания
можно «создать» нового пользонового пользователя
вателя.
Удаление пользователя из списка, переименования пользователя в списке. С помощью мыши или клавиатуры выделите
пользователя, которого Вы хотите удалить. В подменю <Команды>
выберите <Удалить>, или на панели инструментов нажмите кнопку
«Удалить пользователя». Программа выдает запрос «Вы действительно хотите удалить пользователя (указывается имя_пользователя)?» Подтвердите операцию удаления, если Вы действительно
хотите удалить выбранного пользователя. Таким же образом можно удалить группу пользователей.
Примечание. Если список пользователей активен, то можно
удалить выделенного пользователя, нажав на клавишу <Delete>.
358
Внимание! Нельзя удалить группы «Администраторы» и
«Обычные», а также пользователя «Гл. администратор». Эти учетные записи создаются при инициализации контроллера «АккордАМДЗ» и защищены от удаления.
С помощью мыши или клавиатуры выделите пользователя, которого Вы хотите переименовать. В подменю <Команды> выберите
<Переименовать> или щелкните правой кнопкой мыши на выделенном пользователе и выберите из всплывшего меню команду
<Переименовать>.
На экран выводится окно
(рис.14.5) для ввода нового
имени пользователя.
«ОК» или <Enter> ‒ изменение имени, «Отмена» ‒ отмена операции переименоваРис. 14.5. Переименование пользователя
ния.
Примечание. Если список пользователей активен, то можно
переименовать выделенного пользователя, нажав на клавишу
<F2>.
Поиск пользователя по идентификатору. По идентификатору
можно найти соответствующего ему пользователя. Для этого необходимо выбрать в подменю <Команды> пункт <Поиск> или на панели инструментов нажать кнопку «Поиск пользователя по идентификатору» ‒ на экран выводится запрос идентификатора (рис.
14.6).
Если прислонить идентификатор к считывателю в отведенный интервал времени,
то в списке пользователей активизируется
(выделяется)
пользователь, которому приРис. 14.6. Запрос идентификатора
надлежит данный идентифидля поиска
катор.
Примечание. В том случае, когда в качестве персонального
идентификатора используется ПСКЗИ ШИПКА, на запрос идентификатора следует подключать устройство ШИПКА к USB-порту
контроллера АМДЗ. Если в качестве идентификатора используется
смарт-карта eToken PRO, на запрос идентификатора следует вста359
вить карту в карт-ридер, подключенный к порту на плате контроллера АМДЗ.
Синхронизация параметров пользователя с параметрами
группы. Синхронизация может понадобиться при изменении параметров группы и последующем присвоении этих параметров
пользователю. В списке пользователей с помощью мыши или клавиш «стрелка вверх», «стрелка вниз» выделите пользователя, параметры которого Вы хотите синхронизировать. Правой кнопкой
мыши щелкните на имени выделенного пользователя, на экране
появится всплывающее меню. Выберите из него пункт <Синхронизировать> ‒ на экране появится окно «Выбор параметров синхронизации», показанное на рис. 14.7. В этом окне перечислены параметры, являющиеся общими для синхронизируемых объектов. Установите те параметры пользователя, которые хотите синхронизировать. Для выполнения синхронизации нажмите кнопку «Синхронизация» или клавишу <F2>, для отмены ‒ «Отмена» или <Esc>.
Рис. 14.7. Параметры синхронизации
Администрирование подсистемы разграничения доступа.
Администратор БИ может производить изменение списка пользователей и групп, а также параметров доступа субъектов к объектам
(ресурсам) защищаемого компьютера. Рассмотрим более подробно
360
процедуру регистрации нового пользователя и назначения этому
пользователю правил разграничения доступа (ПРД). Для этого в
списке пользователей добавим в группу «Обычные» пользователя с
именем MAIN_USER (процедура создания описана в соответствующем пункте).
Примечание. Некоторые параметры являются обязательными,
без которых невозможен ввод остальных, например, «Идентификатор» и «Пароль». Группы «Администраторы» и «Обычные» создаются при инициализации контроллера «Аккорд», и их нельзя переименовать или удалить. Параметры группы являются универсальным шаблоном для задания «Параметров пользователя» и присваиваются по умолчанию каждому создаваемому пользователю.
Администратор должен присваивать каждому пользователю
уникальное в данной вычислительной среде (отдельный компьютер
или локальная сеть) имя. Параметр «Полное имя» не является обязательным параметром, а задается по желанию администратора, и
может использоваться для идентификации пользователя в АС, например, при работе в сети для доступа к контроллеру домена. Если
в программе настройки комплекса установлен параметр «Использовать полное имя в учетных записях NT», то полное имя будет
использовано при создании учетной записи пользователя в базе
ОС. В противном случае основным является короткое имя, а полное записывается как дополнительный параметр.
Регистрация идентификатора пользователя. После создания
пользователя в поле «Идентификатор» главного окна (рис. 14.8)
отображается информация «Не назначен», а другие параметры
пользователя недоступны. Для вызова процедуры регистрации нового идентификатора нажмите на кнопку, расположенную справа в
поле «Идентификатор».
На экране появится окно «Работа с ключом пользователя» (рис.
14.9).
Секретный ключ пользователя генерируется с использованием
датчика случайных чисел (ДСЧ), установленного на плате контроллера «Аккорд-АМДЗ», и записывается в энергонезависимую
память идентификатора.
Идентификатор, в котором не записан ключ пользователя, считается недопустимым в СЗИ «Аккорд».
361
Рис. 14.8. Параметры пользователя после его создания
Рис. 14.9. Работа с ключом пользователя
Возможны три варианта работы с ключами пользователей:
1. «Уже записан в Идентификатор».
Секретный ключ может быть уже записан в идентификаторе,
например, при регистрации в составе комплекса «Аккорд
NT/2000», или в составе комплекса СЗИ «Аккорд-АМДЗ», на другой ПЭВМ (РС). В этом случае КАТЕГОРИЧЕСКИ НЕ РЕКОМЕНДУЕТСЯ генерировать новый секретный ключ, т.к. старое
362
значение будет безвозвратно утрачено и на других ПЭВМ пользователь не сможет успешно пройти процедуру идентификации/аутентификации. Поэтому режим работы с секретным ключом
по умолчанию устанавливается в варианте «Уже записан в Идентификатор». Для регистрации идентификатора следует щелкнуть
«мышью» по кнопке «Далее» или нажать клавишу <F2>. На экран
выдается запрос на считывание данных из идентификатора ‒ выводится окно, показанное на рис. 14.8. Следует подключить идентификатор пользователя к контактному устройству съемника информации. Программа выполнит считывание серийного номера и значения ключа пользователя.
2. «Сгенерировать».
Генерация нового секретного ключа требуется, если этот идентификатор никогда не использовался в составе комплексов СЗИ
«Аккорд», или необходимо записать в идентификатор новое значение. В этом случае, при нажатии кнопки «Далее» или клавиши
<F2>, генерируется секретный ключ с помощью ДСЧ и выдается
запрос идентификатора (см. рис. 14.8). Следует приложить идентификатор пользователя к контактному устройству съемника информации, или подключить ПСКЗИ ШИПКА к USB порту контроллера
АМДЗ, или вставить карту в карт-ридер, подключенный к порту на
плате контроллера АМДЗ. Происходит регистрация идентификатора и запись в него секретного ключа пользователя. Удерживайте
идентификатор на контактном устройстве, пока полностью не завершится эта операция.
3. «Потерян».
В этом случае, после нажатия кнопки «Далее» или клавиши
<F2> поле «Идентификатор» данного пользователя примет значение «Не назначен».
Установка параметров пароля. После регистрации идентификатора в главном окне (см. рис. 14.9) становятся доступными поля
ввода пароля и настройки параметров парольной защиты. Для выбора параметров пароля щелкните левой кнопкой мыши по кнопке,
расположенной справа в поле «Параметры пароля». На экран выводится окно настроек (рис. 14.10).
Параметры пароля включают в себя следующие поля:
«Минимальная длина пароля» – параметр определяет количество символов, контролируемое при создании и смене пароля. Нельзя
363
ввести пароль меньшей длины. Если предполагается для авторизации пользователя использовать только идентификатор, то значение
этого параметра нужно установить в 0 (пароль задавать не обязательно). По умолчанию длина пароля установлена равной 8 символам, максимальное допустимое значение ‒ 12 символов.
Рис. 14.10. Параметры
пароля пользователя
«Время действия» ‒ время действия пароля до смены в календарных днях: от 0 (смены пароля не требуется) до 99 дней. «Попыток для смены» ‒ количество попыток смены пароля: от 0 (не ограничено) до 5. Этот параметр определяет допустимое число попыток
смены пароля, если пользователю разрешено самому выполнять
такую операцию. Если за отведенное число попыток пароль не
сменен корректно, то работа данного пользователя блокируется, и
для разблокировки, и смены пароля потребуется вмешательство
администратора БИ.
«Кто может менять пароль» ‒ установка прав на смену пароля
(только администратор или администратор и пользователь). «Алфавит для генерации пароля» ‒ определяет набор символов, которые обязательно должны использоваться при вводе пароля. Напри364
мер, если в алфавите заданы цифры и буквы, то нельзя ввести пароль, состоящий из одних цифр. При установке флага «Только генерировать» пароль будет генерироваться случайным образом из
символов заданного алфавита при смене пароля пользователя.
Обратите внимание! Если пароль уже задан, то изменения его
параметров вступят в силу только при смене пароля.
Для выхода из режима редактирования с сохранением измененных параметров нажмите кнопку «Запись» или клавишу <F2>, без
сохранения – «Отмена» или <Esc>.
Задание пароля пользователю. В поле «Пароль» главного окна (см. рис. 14.3) отображается информация о том, назначен или
нет пароль выделенному пользователю. Выберите режим редактирования, нажав на кнопку, расположенную справа в поле «Пароль»
или клавишу <Enter>. На экране появится окно «Ввод пароля» (рис.
14.11).
Рис. 14.11. Задание пароля
пользователя
Рис. 14.12. Ввод пароля с использованием
процедуры генерации
Введите пароль и повторите ввод пароля для подтверждения.
Нажмите клавишу <Ok>. Можно воспользоваться клавишей «Сгенерировать» для случайной генерации последовательности символов. После генерации полученная последовательность символов
автоматически вводится в первое поле пароля в виде звездочек, а в
нижней части окна выводится значение пароля и требуется его повторный ввод для подтверждения (рис. 14.12).
365
Установка правил разграничения доступа (ПРД)
к объектам доступа
СЗИ НСД «Аккорд» поддерживает два типа управления правилами разграничения доступа:
• дискреционный механизм ПРД;
• мандатный механизм ПРД.
Система атрибутов доступа и особенности ее реализации описаны в соответствующем пункте данной лабораторной работы.
Можно использовать отдельно каждый механизм управления. Возможен вариант использования комбинированной политики безопасности с применением обоих механизмов задания ПРД.
Установка доступа к объектам с использованием
дискреционного метода ПРД
Если в файле accord.ini установлены параметры Discrete Access
= Yes и Mandatory Access = No, то используется только дискреционный механизм задания и контроля ПРД. Выбор механизма
управления ПРД можно осуществлять в программе настройки комплекса «Аккорд».
В главном окне программы (рис. 14.13) нажмите мышкой правую кнопку в строке «Разграничение доступа», и на экран выводится окно со списком правил доступа пользователя к ресурсам
ПЭВМ (АС), показанное на рисунке. По умолчанию выведен перечень всех доступных корневых каталогов (для корневых каталогов
смонтированных сетевых дисков указано полное сетевое имя),
ключей реестра (строки, начинающиеся с «\HKEY_»), сетевых и
локальных принтеров.
В этом окне нет деления на диски, каталоги, файлы и т.д., а ведется один общий список объектов. Для того чтобы запретить доступ к логическому диску, достаточно исключить корневой каталог
этого диска из списка объектов.
Если какой-либо объект (каталог, файл, раздел реестра, сетевой
ресурс, устройство или очередь печати) ЯВНО прописан в списке,
то для него действуют установленные ПРД, независимо от атрибутов наследования объектов вышестоящего уровня. Для того чтобы
сделать какой-либо файл, или каталог «скрытым», т.е. полностью
366
запретить к нему доступ, нужно включить его в список объектов,
но не назначать ни одного атрибута доступа.
В список объектов для обычных пользователей уже включены
ограничения, которые защищают от модификации программные
компоненты комплекса «Аккорд».
Рис. 14.13. Окно установки дискреционных ПРД к объектам
В списке объектов (см. рис. 14.13) можно выбрать строку с
именем объекта и нажать кнопку «Редактировать», или клавишу
<Enter> ‒ выводится окно атрибутов доступа данного объекта, показанное на рис. 14.14.
При установке дискреционных ПРД могут использоваться следующие атрибуты доступа.
Операции с файлами:
R ‒ разрешение на открытие файлов только для чтения.
W ‒ разрешение на открытие файлов для записи.
C ‒ разрешение на создание файлов на диске.
D ‒ разрешение на удаление файлов.
367
N ‒ разрешение на переименование файлов.
V ‒ видимость файлов. Позволяет делать существующие файлы
невидимыми для пользовательских программ. Доступ возможен
только по полному пути в формате Windows NT. Этот параметр
имеет более высокий приоритет, чем R,W,D,N,O.
О ‒ эмуляция разрешения на запись информации при открытии
файла. Этот параметр имеет более низкий приоритет, чем W (открыть для записи). Параметр может пригодиться в том случае, если
программа по умолчанию открывает файл для чтения/записи, а мы
хотим разрешить пользователю только просмотр файла.
Рис. 14.14. Атрибуты доступа к объекту
Операции с каталогом:
M ‒ создание каталогов на диске (или подкаталогов в каталоге,
для которого устанавливается атрибут).
368
Е ‒ удаление каталогов на диске (или подкаталогов в каталоге,
для которого устанавливается атрибут).
G ‒ разрешение перехода в этот каталог.
n – переименование каталога. В ОС Windows, например, удаление папки в «корзину» – это, на самом деле, переименование каталога.
Прочее:
Х ‒ разрешение на запуск программ.
Регистрация:
r ‒ в журнале регистрируются все операции чтения для данного
объекта.
w ‒ в журнале регистрируются все операции записи для данного объекта.
Эти два атрибута могут понадобиться в том случае, когда доступ к объекту разрешен, но по регламенту должны фиксироваться
факты работы пользователя с данным объектом. При низком уровне детальности журнала (это нормальный рабочий режим) фиксируются попытки НСД и запуск программ. Вместо увеличения
уровня детальности, что приведет к резкому росту объема журналов, можно использовать атрибуты принудительной регистрации
для отдельных объектов.
Для каталогов, в том числе и корневого каталога диска, устанавливается отдельный атрибут, который очень важен для реализации ПРД – это параметр наследования прав доступа.
Параметр наследования прав доступа может принимать три
значения:
S – параметры доступа наследуются существующими и созданными в дальнейшем подкаталогами всех уровней текущего каталога, т.е. для них устанавливаются те же параметры доступа, что и у
"родительского" каталога, при этом для отдельных подкаталогов
можно явно определять атрибуты доступа;
1 – параметры доступа текущего каталога наследуется только
подкаталогами следующего уровня;
0 – параметры доступа текущего каталога не наследуются подкаталогами.
Например, если для корня дерева каталогов диска C:\ установить атрибут 0, доступными будут только файлы в корневом каталоге, а остальные каталоги для данного пользователя как бы не су369
ществуют. Каталог на диске C:\ будет доступен пользователю (с
любой непротиворечивой комбинацией атрибутов) только при явном его описании в списке прав доступа. Если для корневого каталога C:\ установить атрибут S, то все его файлы, каталоги и подкаталоги доступны пользователю и правила доступа к ним определяется атрибутами, установленными для C:\. В этом случае отдельный каталог можно включить в список ПРД и установить для него
персональные атрибуты, отличные от "родительских". Еще раз
подчеркиваем, что, если какой-либо объект явно прописан в списке
доступа, то для него действуют установленные ПРД, независимо от
атрибутов наследования объектов вышестоящего уровня.
Примечание. При вводе имени файла можно пользоваться простым групповым обозначением имени файла, используя шаблон
*.расширение. Например, можно *.bak, *.exe и т.п., нельзя *a.exe,
a*.bat, &a.dat, ?a.dat, a.* и т.п.
Если необходимый объект отсутствует в списке (рис. 14.13), его
можно добавить, нажав кнопку «Новый» или клавишу <Insert> –
на экран выводится расширенное окно «Атрибуты доступа к объектам» (рис. 14.15).
Слева в этом окне отображен список всех объектов. Каждый
объект выделен цветом, соответствующим наследованию прав доступа и наличию объекта в списке разграничения прав доступа
(табл. 14.1).
Таблица 14.1
Наличие объекта
в списке
Есть
Есть
Есть
Нет
Нет
Атрибут наследования
прав доступа
Полное наследование
Наследование на один
уровень
Нет наследования
Атрибуты доступа
наследуются
Нет доступа
Цвет
Зеленый
Синий
Красный
Коричневый
Черный
Если переместить курсов в поле «Имя объекта», то объект
можно ввести с клавиатуры, соблюдая правила синтаксиса, и установить для него необходимые атрибуты. С помощью мыши также
370
можно выбрать объект, щелкнув левой кнопкой мыши на имени
объекта в дереве объектов, тогда в поле «Имя объекта» отобразится
имя выделенного объекта, а в поле «Тип объекта» ‒ его тип (каталог, файл, реестр, съемный диск, принтер).
Рис. 14.15. Окно выбора нового объекта и установки ПРД
Если у выделенного объекта уже установлены ПРД, то будут
отмечены соответствующие флаги, если нет, то все флаги атрибутов будут сброшены. При установке ПРД можно воспользоваться
клавишами <Сброс>, <Чтение>, <Полный> в нижней части панели.
Клавиша <Сброс> снимает все флаги атрибутов доступа. Объект с
такими атрибутами становится запрещенным, т.е. недоступным для
ВСЕХ программ и процессов, включая и системные. Клавиша
<Чтение> устанавливает для выбранного объекта «файл» атрибуты
R – открыть для чтения, V – видимость и X – запуск программ. Для
объекта «папка» добавляется атрибут G – переход в данную папку
и S – наследование. Клавиша <Полный> включает все атрибуты
371
для полного доступа. При работе в ОС Windows может случиться
такая ситуация, что объект с набором атрибутов «Чтение» не будет
открываться некоторыми программами. Это происходит потому,
что многие программы (например, большинство приложений
Microsoft Office) по умолчанию открывают файл на чтение/запись.
В этом случае придется добавить атрибут O – запись, который
имитирует разрешение на запись при открытии файла, но не позволяет модифицировать файл.
Для сохранения изменений ПРД выделенного объекта, нажмите
кнопку «Запись» или клавишу <F2>.
По умолчанию доступ к сетевым ресурсам обычному пользователю запрещен (если сетевой каталог не смонтирован заранее, то
он отсутствует в списке объектов доступа). Для разрешения доступа нужно явно указать полное сетевое имя ресурса и назначить ему
атрибуты. Это относится и к сетевым принтерам, или очередям печати. Если правила доступа к сетевым ресурсам определяются администратором домена (сервера), то можно задать универсальный
сетевой ресурс. Для этого в список нужно включить объект \\ (ввести с клавиатуры), установить ему полный доступ и наследование
на все подкаталоги.
Внимание! При задании параметров доступа к сетевым ресурсам, необходимо указывать полное сетевое имя ресурса, например:
\\SERVER1\VOL2\DOC1\.
Установка доступа к объектам с использованием
мандатного метода контроля ПРД
Если в файле accord.ini установлен параметр MandatoryAccess =
=Yes, то включается мандатный механизм задания и контроля ПРД.
Этот параметр можно изменить с помощью программы настройки
комплекса «Аккорд» – ACSETUP.EXE.
В главном окне программы редактора ПРД (рис. 14.16) появляется кнопка «Уровень доступа» на панели инструментов и пункт
«Уровень доступа» в меню «Команды».
С помощью этой команды можно установить, или изменить
уровень доступа пользователя (рис. 14.17).
Мандатный механизм доступа реализуется по следующему правилу: если уровень доступа пользователя (субъекта) выше или ра372
вен метке доступа каталога, файла, сетевого ресурса (объекта), то
доступ к объекту предоставляется данному субъекту. Если при
этом установлены дискреционные ПРД, то операции, которые
пользователь может выполнять с разрешенным объектом, определяются этими ПРД.
Рис. 14.16. Окно редактора ПРД при включенном мандатном контроле
Рис. 14.17. Установка уровня доступа пользователя
373
Для присвоения объектам меток доступа нажмите кнопку на
панели инструментов с изображением компьютера, или выберите
пункт «Метки мандатного доступа» в меню «Команды». Выводится
окно со списком объектов (рис. 14.18).
Рис. 14.18. Установка меток доступа объектов при использовании мандатных ПРД
По умолчанию всем объектам присваивается самый низкий уровень – общедоступно. Для изменения метки доступа установите курсор на нужную строку и нажмите Enter, или мышью кнопку «Редактировать». Откроется окно атрибутов, в котором для объекта можно
изменить только два параметра – уровень доступа и наследование
прав доступа. Уровень доступа меняется нажатием мышью на кнопку в строке «Уровень доступа» и выбором значения из списка.
Если необходимый Вам объект отсутствует в списке (см. рис.
14.18), нажмите кнопку «Новый» или клавишу <Insert>. На экран
выводится расширенное окно «Атрибуты доступа к объектам» (рис.
14.19). Справа в этом окне отображен список всех объектов. Введите в поле «Имя объекта» имя объекта и установите для него необ374
ходимые атрибуты. С помощью мыши также можно выбрать объект, щелкнув левой кнопкой мыши на имени объекта, тогда в поле
«Имя объекта» отобразится имя выделенного объекта, а в поле
«Тип объекта» – его тип (каталог, файл, реестр). В правом нижнем
секторе окна доступна функция установки меток доступа объекта.
Установите указатель мыши на стрелку в правой части строки
«Метка доступа» и нажмите левую кнопку мыши. Появится список,
из которого можно выбрать значение метки доступа выбранного
объекта. Для сохранения изменений ПРД выделенного объекта,
нажмите кнопку «Запись» или клавишу <F2>. Объект, которому не
присвоена метка доступа считается недоступным для всех пользователей, кроме администраторов.
Рис. 14.19. Выбор нового объекта и установка для него метки доступа
Атрибут «Наследование прав доступа» действует по тем же
правилам, как в дисциплине дискреционного доступа. Правила
описания доступа к сетевым ресурсам аналогичны правилам из
375
пункта «Установка доступа к объектам с использованием дискреционного метода ПРД».
Механизм управления мандатным доступом допускает использование восьми уровней доступа. Администратор безопасности с
помощью программы настройки комплекса может менять количество используемых в конкретной системе уровней допуска и их
названия.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Установка программной части комплекса
Установите СПО на жесткий диск. Описание процесса установки СПО приведено в пункте «Этапы установки комплекса».
Если аппаратная часть комплекса не установлена необходимо
установить ее и настроить согласно описанию, приведенному в
первой лабораторной работе.
2. Создание пользователей
Запустите программу ACED32.EXE. Предъявите идентификатор администратора ИБ, если идентификация/аутентификация администратора прошла успешно, то выполняется синхронизация
базы данных редактора прав доступа с базой данных пользователей, находящейся в ЭНП контроллера «Аккорд-АМДЗ».
Если в аппаратной части был зарегистрирован пользователь
«user», то необходимо создать еще одного пользователя «user1».
Если нет, то создать двух пользователей «user», «user1». Задать
пользователям пароли и личные идентификаторы.
3. Реализация дискреционного механизма разграничения
доступа
Запустите программу ACSETUP.EXE, в поле «Механизмы разграничения доступа» установите флаг «Дискреционный».
Подготовьте рабочее место для выполнения задания: используйте шаблоны из лабораторной работе № 10. Создайте папки
«Test» и «Test1»на локальном диске C. Добавьте в них папки и
файлы согласно шаблону (рис. 14.20).
376
Рис. 14.20. Шаблон для выполнения рабочего задания
Запустите программу ACED32.EXE. Разграничьте доступ пользователям «user» и «user1» согласно вариантам приведенным ниже
(табл. 14.2–14.5).
Вариант № 1
Таблица 14.2
Объект /
Пользователь
user
user1
Test
Test4
Test1.*
Test2.*
Test3.*
Test5.exe
R
R
R,A
-
R,W,D
R
R,W,D
R
R
R
X
Таблица 14.3
Объект /
Пользователь
user
user1
Test1 Test1.4 Test1.1.* Test1.2.* Test1.3.* Test1.5.exe
R
R,A
R,A
R
R,W,D
377
R
R,W,D
R
R,W,D
X
X
Вариант № 2
Таблица 14.4
Объект /
Пользователь
user
user1
Test
Test4
Test1.*
Test2.*
Test3.*
Test5.exe
R,A
R,A
R,D,A
R,A
R
R
R,W
R
R
R,W,D
X,D
X
Таблица 14.5
Объект /
Пользователь
user
user1
Test1 Test1.4 Test1.1.* Test1.2.* Test1.3.* Test1.5.exe
R
R,A
R
R
R,W
R,W
R,D
R,W
-
X
-
4. Активизация подсистемы управления доступом
Выполните следующие действия: запустите программу
ACSETUP.EXE, перейдите Команды => Инсталлировать или нажмите кнопку на панели задач Инсталляция (рис. 14.21).
Рис. 14.21. Активизация подсистемы управления доступом
После этих действий выполните перезагрузку ПЭВМ (PC).
378
5. Проверка настроек дискреционного механизма
разграничения доступа с помощью программ
«Ревизор 1 ХР» и «Ревизор 2 ХР»
С помощью программы «Ревизор 1 ХР» создайте проект разграничения доступа согласно одному из вариантов описанных выше. Выполните тестирование с помощью программы «Ревизор
2ХР». Сохраните html отчет.
5. Реализация мандатного механизма разграничения доступа
Для реализации мандатного механизма запустите программу
ACSETUP.EXE. В поле «Механизмы разграничения» установите
флаг «Мандатный». В пункте меню «Параметры» можно изменить
дополнительные параметры и настройки.
Пункт меню «Категории доступа» позволяет редактировать
список категорий доступа, который используется в реализации
мандатного механизма разграничения доступа (рис. 14.22).
Рис. 14.22. Редактирование списка категорий доступа
Сделайте четыре категории доступа: Общедоступно, Конфиденциально, Секретно, Совершенно секретно.
Вариант № 1. Установите уровни доступа для пользователей:
379
• «user» – Секретно («С»);
• «user1» – Общедоступно («-»).
В скобках приведены обозначения, которые используют «Ревизор 1 ХР» и «Ревизор 2 ХР».
Установите уровни доступа для объектов (табл. 14.6).
Таблица 14.6
Папка
Local disk C
Test
Test1
Уровень доступа
Общедоступно («-»)
Конфиденциально («Д»)
Общедоступно («-»)
Вариант № 2. Установите уровни доступа для пользователей:
• «user» – Конфиденциально («Д»);
• «user1» – Секретно («С»).
Установите уровни доступа для объектов (табл. 14.7).
Таблица 14.7
Папка
Local disk C
Test
Test1
Уровень доступа
Конфиденциально («Д»)
Секретно («С»)
Конфиденциально («Д»)
7. Проверка настроек мандатного механизма разграничения
доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР»
С помощью программы «Ревизор 1 ХР» создайте проект разграничения доступа согласно одному из вариантов описанных выше. Запустите «Ревизор 2 ХР». Перейдите к построению плана тестирования.
Обязательно исключить из плана тестирования системные
файлы!
В параметрах построения плана тестирования (рис. 14.23) необходимо поставить флаг на параметре «Проверка полномочного режима управления доступом».
При тестировании систем с полномочным управлением доступом необходимо учитывать следующие положения:
380
Рис. 14.23. Параметры настройки плана тестирования
• В случае обращения к файлу, гриф секретности (уровень
доступа) которого выше степени секретности программы, степень
секретности программы повышается до грифа секретности файла.
• Программа не может осуществлять запись в файлы, гриф
секретности которых ниже, чем степень секретности программы.
• Невозможно копирование файлов в каталоги, гриф секретности которых ниже грифа секретности файлов.
• В некоторых системах защиты информации файл при копировании наследует гриф секретности от каталога, в который он копируется.
Из этого возникают следующие сложности, приводящие к невозможности полноценного тестирования файлов с разными уровнями секретности:
Резервное копирование. Каталог, предназначенный для резервного копирования файлов, должен иметь наибольший из грифов секретности копируемых файлов. Если файлы наследуют гриф
381
секретности от каталога, в который они копируются, то автоматическое восстановление файлов, чей гриф секретности был ниже,
чем у каталога резервного копирования, будет невозможно.
Запись в протокол тестирования. «Ревизор 2 ХР» в ходе тестирования осуществляет запись о выполняемых операциях в протокол тестирования. Для того чтобы запись была возможна, необходимо, чтобы файл протокола имел наибольший гриф секретности
тестируемых файлов.
Тестирование. При тестировании, получив некоторый уровень
секретности, «Ревизор 2 ХР» не сможет осуществить запись данных в файлы с более низким уровнем секретности. Будет зафиксировано отсутствие доступа на запись и добавление данных к этим
файлам.
Для разрешения этих проблем в программе есть возможность
тестирования объектов с одинаковыми грифами секретности. Отбор таких объектов осуществляется при автоматическом построении плана путем указания требуемого грифа секретности. При выполнении тестирования каталог, предназначенный для резервного
копирования файлов и файл протокола тестирования должны иметь
тот же гриф секретности, что и тестируемые файлы.
Выбрать объекты с определенным грифом, в зависимости от
варианта лабораторной работы и провести тестирование.
8. Работа с сетевыми ресурсами
Для выполнения данного пункта лабораторной работы необходимо объединиться в пары. После чего на одном рабочем месте
создать сетевой объект (каталог, файл, программа) с именем «Test»
(можно использовать ранее созданный каталог «Test» или «Test1»).
Для того чтобы открыть доступ к данному объекту, надо нажать
правой клавишей мыши на нем. Появиться окно свойств объекта.
Перейти по вкладке «Доступ» и установить флаг на поле «Открыть
общий доступ к этой папке» (рис. 14.24).
Теперь с помощью программы ACED32.EXE выполнить разграничения доступа к этой папке для пользователей «user» и
«user1», используя дискреционную модель (табл.14.8).
С помощью программы «Ревизор 2 ХР» провести тестирование
АРМ.
382
Таблица 14.8
Объект /
Пользователь
user
user1
Test
R,W
R,D,A
Рис. 14.24. Настройка
общего доступа к объекту
Подготовка отчета по проделанной работе
1 В отчете указать, как проводилась подготовка АРМ для проведения лабораторной работы.
2 Подробно описать настройку программы «Ревизор «2 ХР»
для проведения тестирования.
3 В качестве полученных результатов приложить html файлы
тестирования и сделать выводы о настройках механизмов разграничения.
Тестовые задания к работе 14
Входной контроль
1. Цель типовой лабораторной работы?
a) получение практических навыков работы с программной частью комплекса «Аккорд»;
b) проверка настроек механизмов контроля доступа;
c) организация защиты автоматического рабочего места.
383
2. Что такое ACRUN.SYS?
a) ядро системы, реализующее функции монитора разграничения доступа;
b) ядро системы, обеспечивающее статический и динамический
контроль целостности;
c) оба вышеприведенных ответа;
d) нет верного ответа.
3. Какие процедуры реализует модуль ACGINA.DLL?
a) процедура шифрования;
b) процедура автологина;
c) процедура идентификации;
d) процедура аутентификации.
4. Что произойдет, если в контроллере АМДЗ в разделе «результаты I/A» установлены первые четыре флага?
a) при логине в ОС требуется ввод пароля;
b) при логине в ОС не требуется ввод пароля;
c) при логине в ОС требуется прислонить идентификатор и ввести пароль.
5. За что отвечает поле «Синхронизация в окне настройки
комплекса (Программа ACSETUP.EXE)?
a) за синхронизацию баз контроллера АМДЗ и программы
ACED32.EXE;
b) за синхронизацию баз редактора ПРД (ACED32.EXE) и ОС;
c) оба вышеприведенных;
d) нет верного ответа.
6. Определение дискреционного механизма разграничения
доступа?
a) разграничение доступа между поименованными субъектами
и поименованными объектами. Субъект с определенным правом
доступа может передать это право любому другому субъекту;
b) разграничение доступа субъектов к объектам, основанное на
характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске)
субъектов обращаться к информации такого уровня конфиденциальности;
c) нет верного ответа.
7. Определение мандатного механизма разграничения доступа?
384
a) разграничение доступа между поименованными субъектами
и поименованными объектами. Субъект с определенным правом
доступа может передать это право любому другому субъекту;
b) разграничение доступа субъектов к объектам, основанное на
характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске)
субъектов обращаться к информации такого уровня конфиденциальности;
c) нет верного ответа.
8. Какие атрибуты доступа предоставляет «Аккорд NT 2000»?
a) M, W;
b) r;
c) U;
d) C;
e) нет таких атрибутов.
9. При реализации дискреционного механизма КЗИ должен
контролировать доступ…
a) наименованных субъектов к наименованным объектам;
b) наименованных субъектов к файлам;
c) наименованных субъектов к ОС;
d) нет верного.
10. Механизм, реализующий дискреционный принцип контроля доступа должен предусматривать возможности…
a) санкционированное изменение ПРД;
b) санкционированное изменение списка пользователей;
c) санкционированное изменение списка защищенных объектов;
d) все вышеприведенные.
11. Для реализации мандатного метода должны…
a) сопоставляться классификации метки субъектов и объектов;
b) назначаться классификационные уровни;
c) оба вышеприведенные.
12. В КСЗ должен быть реализован диспетчер доступа (при
работе мандатного механизма). Что такое диспетчер доступа?
a) средство, осуществляющее перехват всех обращений пользователей;
385
b) средство, осуществляющее разграничение доступа в соответствии с принципом разграничения;
c) средство, контролирующее не только единичный доступ
пользователя, но и потоки информации.
13. Сколько уровней доступа предоставляет СПО «АккордNT/2000»?
a) 0-5;
b) 0-3;
c) 0-8;
d) 0-7.
14. Возможно ли копирование объектов при реализации
мандатного механизма разграничения доступа из объекта высокого уровня доступа в более низкий?
a) да;
b) нет;
c) только, если действия производит администратор.
15. Назначение программы ACED32.EXE?
a) редактирование атрибутов доступа пользователей;
b) программа, активизирующая средство защиты;
c) контроль целостности файлов;
d) нет верного ответа.
Выходной контроль
1. Каким образом можно выбирать механизм разграничения доступа?
a) файл accord.ini;
b) файл access.ini;
c) программа ACSETUP.EXE;
d) программа ACED32.EXE.
2. Что нужно сделать, чтобы сделать объект невидимым для
пользователя?
a) включить объект в список и не назначать атрибутов доступа;
b) назначить атрибут X;
c) снять атрибут V;
d) нет верного ответа.
386
3. Чем отличаются разграничения доступа к сетевым объектам и локальным?
a) ничем;
b) для сетевых объектов необходимо прописывать полный путь;
c) дополнительной настройкой.
4. Что означает атрибут «S»?
a) не наследуются права доступа на все подкаталоги;
b) наследуются права доступа;
c) права доступа наследуются только на один уровень.
5. Что означает атрибут «O»?
a) разрешение перехода в каталог;
b) переименование каталога;
c) эмуляция разрешения на запись;
d) видимость объекта для пользовательских программ.
6. Для каталога установлен атрибут «S», а для файлов в
этом каталоге явно прописаны правила разграничения доступа. Что произойдет?
a) для файлов будут действовать явно установленные права доступа;
b) будут действовать ПРД для каталога;
c) возникнет противоречивая ситуация.
7. Каким групповым обозначением можно пользоваться при
настройках атрибутов доступа к объектам в программе
ACED32.EXE?
a) *.[расширение объекта];
b) !.[расширение объекта];
c) **.[расширение объекта];
d) &.[расширение объекта].
8. Что означает, если объект в списке всех объектов программы ACED32.EXE выделен черным цветом?
a) наличие объекта в списке – отсутствует. Атрибут наследования – нет доступа;
b) наличие объекта в списке – присутствует. Атрибут наследования – нет доступа;
c) наличие объекта в списке – отсутствует. Атрибут наследования – атрибуты доступа наследуются;
d) наличие объекта в списке – присутствует. Атрибут наследования – не наследуется.
387
9. Что означает, если объект в списке всех объектов программы ACED32.EXE выделен зеленым цветом?
a) наличие объекта в списке – отсутствует. Атрибут наследования – нет доступа;
b) наличие объекта в списке – присутствует. Атрибут наследования – нет доступа;
c) наличие объекта в списке – отсутствует. Атрибут наследования – атрибуты доступа наследуются;
d) наличие объекта в списке – присутствует. Атрибут наследования – полное наследование.
10. Что означает, если объект в списке всех объектов программы ACED32.EXE выделен красным цветом?
a) наличие объекта в списке – отсутствует. Атрибут наследования – нет доступа;
b) наличие объекта в списке – присутствует. Атрибут наследования – наследование на один уровень;
c) наличие объекта в списке – отсутствует. Атрибут наследования – атрибуты доступа наследуются;
d) наличие объекта в списке – присутствует. Атрибут наследования – нет наследования.
11. Что означает, если объект в списке всех объектов программы ACED32.EXE выделен коричневым цветом?
a) наличие объекта в списке – отсутствует. Атрибут наследования – нет доступа;
b) наличие объекта в списке – присутствует. Атрибут наследования – нет доступа;
c) наличие объекта в списке – отсутствует. Атрибут наследования – атрибуты доступа наследуются;
d) наличие объекта в списке – присутствует. Атрибут наследования – не наследуется.
12. Что означает, если объект в списке всех объектов программы ACED32.EXE выделен синим цветом?
a) наличие объекта в списке – отсутствует. Атрибут наследования – нет доступа;
b) наличие объекта в списке – присутствует. Атрибут наследования – наследуются на один уровень;
c) наличие объекта в списке – отсутствует. Атрибут наследования – атрибуты доступа наследуются;
388
d) наличие объекта в списке – присутствует. Атрибут наследования – не наследуется.
13. По каким правилам действует атрибут наследования
при мандатном разграничение доступа?
a) по таким же, как и для дискреционного метода;
b) атрибут недоступен;
c) наследование только на один уровень.
14. Что надо учитывать при проведении тестирования АРМ
с разграничением доступа с помощью мандатного механизма
разграничения?
a) невозможно копирование файлов в каталоги, гриф секретности которых ниже грифа секретности файлов;
b) невозможно копирование файлов в каталоги, гриф секретности которых выше грифа секретности файлов;
c) программа не может осуществлять запись в файлы, гриф секретности которых ниже, чем степень секретности программы;
d) программа не может осуществлять запись в файлы, гриф секретности которых выше, чем степень секретности программы.
15. Как правильно прописать путь к сетевому объекту
«Test», который расположен на компьютере с именем
«SERVER»?
a) \\SERVER\Test;
b) :\SERVER\Test;
c) \SERVER\Test.
389
КОНТРОЛЬ ПОДСИСТЕМ АУДИТА
(РЕГИСТРАЦИИ И УЧЕТА ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ)
В состав тематики входят две работы (15, 16).
Работа 15
КОНТРОЛЬ АУДИТА ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ
СРЕДСТВАМИ РАЗРАБОТЧИКА, ВСТРОЕННЫМИ
СРЕДСТВАМИ СУБД ORACLE, АУДИТ ДЕЙСТВИЙ
ПОЛЬЗОВАТЕЛЯ С ПРИВИЛЕГИЕЙ «SYSDBA»
Цель: получение практических навыков проведения аттестационных испытаний по требованиям безопасности информации в части
проверки соответствия АС требованиям стандартов и других нормативных документов по защите информации, утвержденных (согласованных) ФСТЭК России или иными органами государственного
управления в пределах их компетенции от НСД и получение практических навыков применения методов контроля подсистем систем
аудита (регистрации и учета действий пользователей) СУБД Oracle.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Настройка одной из предметных областей для использования
в аудите действий пользователя средств разработчика (создание
необходимых объектов) и проверка выполнения аудита средствами
разработчика (с помощью триггера событий).
2. Настройка и проверка в работе аудита действий пользователя
встроенными средствами аудита СУБД Oracle, аудит действий
пользователя с привилегией «sysdba» в СУБД Oracle.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Настройка предметной области для использования в аудите
действий пользователя средств разработчика и проверка
выполнения аудита средствами разработчика
В качестве предметной области используем предметную область пользователя ch_cert из работы 11. Приведем здесь еще раз
схему предметной области этого пользователя (рис. 15.1).
390
391
Рис. 15.1 ERD диаграмма предметной области (English)
На схеме видно, что два пользователя: Certif_mgr и Licns_mgr
имеют «общую» таблицу «Manufctr», с которой оба эти пользователя могут выполнять однотипные действия изменения данных в
этой таблице. Для того чтобы знать, какой пользователь, какие действия по изменению данных выполнял, создадим таблицу
manufactr_audit. В эту таблицу будем также заносить информацию
о прежнем и новом значении строк таблицы manufctr, формируемых пользователями, имеющими право работы с ней.
Работа выполняется копированием нижеприводимых команд в
окно SQL*Plus.
CREATE TABLE manufctr_audit (
CHANGE_TYPE CHAR(1) NOT NULL,
CHANGED_BY VARCHAR2(10) NOT NULL,
TIMESTAMP DATE NOT NULL,
Old_ManuID NUMBER(5),
Old_Name VARCHAR2(25),
Old_Address VARCHAR2(35),
Old_Phone VARCHAR2(12),
New_ManuID NUMBER(5),
New_Name VARCHAR2(25),
New_Address VARCHAR2(35),
New_Phone VARCHAR2(12)
);
Создадим синоним этой таблицы, чтобы к ней можно было обращаться без ввода имени схемы:
CREATE
PUBLIC
SYNONYM
manufctr_audit
FOR
ch_cert.manufctr_audit;
Теперь создадим триггер, обеспечивающий занесение информации аудита в таблицу manufctr_audit:
CREATE OR REPLACE TRIGGER LogManufctr
BEFORE INSERT OR DELETE OR UPDATE ON Manufctr
FOR EACH ROW
DECLARE
v_ChangeType CHAR(1);
BEGIN
IF INSERTING THEN
v_ChangeType := 'I';
ELSIF UPDATING THEN
392
v_ChangeType := 'U';
ELSE
v_ChangeType := 'D';
END IF;
INSERT INTO Manufctr_audit
(change_type, changed_by, timestamp,
old_manuid, old_name, old_address, old_phone,
new_manuid, new_name, new_address, new_phone)
VALUES
(v_ChangeType, USER, SYSDATE,
:old.manuid, :old.name, :old.address, :old.phone,
:new.manuid, :new.name, :new.address, :new.phone);
END LogManufctr;
/
Проверим выполнение аудита изменений в таблице
manufctr_audit.
connect licns_mgr/licns_mgr@orcl
insert into manufctr values(3,'Наши друзья','Территория
МИФИ','324-34-54');
update manufctr
set
manuid=4,
name='Их
люди',address='Коломенское',phone='112-11-21'
where manuid=3;
delete from manufctr where manuid=4;
Так как привилегия просмотра таблицы «manufctr_audit» пользователям licns_mgr и certif_mgr не предоставлялась, просматривать таблицу manufctr_audit может ее «хозяин» ch_cert.
connect ch_cert/ch_cert@orcl
select * from manufctr_audit;
C CHANGED_BY TIMESTAM OLD_MANUID OLD_NAME OLD_ADDRESS OLD_PHONE
NEW_MANUID NEW_NAME NEW_ADDRESS NEW_PHONE
- ---------- -------- ---------- ------------------------- ----------------------------------- ------------ ---------- ------------------------ ----------------------------------- -----------I LICNS_MGR 21.05.10
3
Наши друзья
Территория МИФИ
324-34-54
U LICNS_MGR 21.05.10
3
Наши друзья
Территория МИФИ
324-34-54 4 Их люди Коломенское 112-11-21
D LICNS_MGR 21.05.10 4
Их люди Коломенское 112-11-21
393
Выводимая информация позволяет проконтролировать выполнение аудита действий пользователей и показывает, кто, когда, какие действия по изменению таблицы «manufctr» выполнял и, что
особенно важно, прежние и новые значения изменяемых строк этой
таблицы.
2. Настройка и проверка в работе аудита действий
пользователя встроенными средствами аудита СУБД
Oracle, аудит действий пользователя с привилегией «sysdba»
в СУБД Oracle
Регистрация действий пользователей с объектами. Для регистрации таких действий надо задействовать аудит – установить инициализационный параметр audit_trail в значение «DB» или «TRUE».
Connect sys/sys@orcl as sysdba
Проверим значение этого параметра командой:
Show parameter audit_trail
Если значение параметра «TRUE» или «DB», для очистки таблицы аудита Oracle выполним команду:
delete from aud$;
Теперь мы освободились от записей аудита предыдущих сеансов и можем продолжать работу «с чистого листа».
Если значение параметра «NONE», установим этот параметр в
значение «TRUE» или «DB» и перестартуем инстанцию:
ALTER SYSTEM SET audit_trail=db SCOPE=SPFILE;
Shutdown immediate
Startup
Проверим еще раз значение параметра audit_trail:
Show parameter audit_trail
Теперь выполним команду, включающую аудит таблицы
«manufctr»:
AUDIT select,insert,update,delete ON manufctr;
Убедимся, что таблица «aud$», регистрирующая аудит, пуста:
SELECT userid,ses$actions,obj$name FROM aud$;
Если же в ней есть записи, удалим их:
DELETE FROM aud$;
И проверим, как выполняется аудит действий с таблицей
«manufctr»:
394
connect licns_mgr/licns_mgr@orcl
SELECT * FROM manufctr;
Посмотрим, зарегистрирован ли этот «select»:
Connect sys/sys@orcl as sysdba
SELECT userid,ses$actions,obj$name FROM aud$;
USERID
SES$ACTIONS
OBJ$NAME
------------------------------------------------LICNS_MGR
---------S------MANUFCTR
Знак «S» в столбце таблицы «aud$» говорит о том, что зарегистрирован успешный «SELECT» к этой таблице; отметим, что этот
знак занимает седьмую позицию справа в этом столбце; проверим
выполнение двух команд «select» к таблице «manufctr» в одном сеансе, предварительно очистив таблицу aud$:
delete from aud$;
connect licns_mgr/licns_mgr@orcl
SELECT * FROM manufctr WHERE manuid=0;
SELECT * FROM manufctr WHERE manuid=1;
Посмотрим, как зарегистрированы эти «SELECT»:
Connect sys/sys@orcl as sysdba
SELECT userid,ses$actions,obj$name FROM aud$;
USERID
SES$ACTIONS
OBJ$NAME
----------------- ------------------- ------ ---------LICNS_MGR ---------S------ MANUFCTR
Отсутствие новых строк в таблице «aud$» говорит о том, что в
ней регистрируется факт выполнения «SELECT» в сеансе, но не
регистрируется каждая из этих команд. Это объясняется тем, что
команда «AUDIT select, insert, update, delete ON manufctr;» по
умолчанию выполняется с опцией «BY SESSION». Выполним теперь эту команду с опцией «BY ACCESS», предварительно очистив
таблицу «aud$»:
Connect sys/sys@orcl as sysdba
DELETE FROM aud$;
AUDIT select, insert, update, delete ON manufctr BY ACCESS;
connect licns_mgr/licns_mgr@orcl
SELECT * FROM manufctr WHERE manuid=0;
SELECT * FROM manufctr WHERE manuid=1;
Connect sys/sys@orcl as sysdba
Немного изменим запрос к таблице «aud$»:
395
SELECT userid,ACTION#,OBJ$NAME FROM aud$;
USERID
ACTION#OBJ$NAME
------------------ ----------- ------------LICNS_MGR
3 MANUFCTR
LICNS_MGR
3 MANUFCTR
Из таблицы словаря «audit_actions» мы найдем, что значению
«3» столбца «ACTION#» соответствует команда «SELECT». В
столбце «ses$actions» появляются значения при аудите таблицы
«manufctr» только с опцией «BY SESSION» (устанавливаемой по
умолчанию). Отметим здесь, что разным операциям с таблицей
«manufctr» соответствуют символы в столбце «ses$actions» на разных позициях, значения этих символов также могут быть разными:
«S» − успешное выполнение команды, «F» − неудачное выполнение команды, «B» − сочетание успешного и неуспешного выполнения команды и др.
Убедимся в этом:
Connect sys/sys@orcl as sysdba
AUDIT select,insert,update,delete ON manufctr;
connect licns_mgr/licns_mgr@orcl
INSERT INTO manufctr VALUES(2,'ooooooo','iiiiiii','111111');
UPDATE manufctr SET manuid='3',name='eeee',address='wwwww'
WHERE manuid=2;
UPDATE manufctr SET manuid='4',name='eeee',address='wwwww'
WHERE manuid=3;
DELETE FROM manufctr WHERE manuid=4;
Connect sys/sys@orcl as sysdba
SELECT userid,ses$actions,obj$name FROM aud$;
USERID
SES$ACTIONS
OBJ$NAME
------------------- -------------------------------LICNS_MGR
---S--S---S----MANUFCTR
При аудите с опцией «BY ACCESS» информация в столбце
«ses$actions» не записывается. Но зато в столбце «action#» Фиксируются коды выполняемых команд, значение которых представлены в таблице словаря «audit_actions». Для регистрации выполняемых пользователем команд, а также действий пользователя по созданию других объектов схемы (например, триггеров, процедур)
выполним следующие команды:
Connect sys/sys@orcl as sysdba
396
AUDIT select, insert, update, delete ON manufctr BY ACCESS;
AUDIT procedure, trigger by ch_cert;
ALTER SYSTEM SET audit_trail= db,extended SCOPE=SPFILE;
Последняя команда включила расширенный аудит, при котором
Фиксируются выполняемые пользователем, в отношении которого
установлен аудит, DML команды, тексты создаваемых процедур,
триггеров.
shutdown immediate
startup
DELETE FROM aud$;
connect ch_cert/ch_cert@orcl
SELECT * FROM manufctr;
SELECT * FROM manufctr WHERE manuid=0;
CREATE OR REPLACE PROCEDURE pr1 AS
BEGIN
NULL;
END;
/
CREATE OR REPLACE TRIGGER tr1
BEFORE insert OR update ON item
FOR EACH ROW
BEGIN
NULL;
END;
/
CREATE OR REPLACE TRIGGER tr2
BEFORE insert OR update ON item
FOR EACH ROW
BEGIN
NULL
END;
/
Последний триггер создается с ошибкой, так как после команды
«NULL» нет знака «;».
DELETE PROCEDURE pr1;
DELETE TRIGGER tr1;
DELETE TRIGGER tr2;
Connect sys/sys@orcl as sysdba
397
ALTER SESSION SET NLS_DATE_FORMAT='yyyy.mm.dd:hh:mi';
В столбце «extenden_timestamp» представления «dba_audit_
object», к которому мы будем обращаться, есть расширенный формат
даты, но с большими подробностями, чем нам сейчас требуется.
set linesize 300
SELECT user_name, audit_option, success, failure FROM
dba_stmt_audit_opts;
USER_NAME
AUDIT_OPTION
SUCCESS FAILURE
----------------------- ----------------------------- ---------- ---------CH_CERT
PROCEDURE
BY ACCESS BY ACCESS
CH_CERT
TRIGGER
BY ACCESS BY ACCESS
В столбцах «SUCCESS» и «FAILURE» после выполнения команды «AUDIT procedure, trigger by ch_cert;» установлены значения «BY ACCESS», что означает регистрацию каждого из поворяющихся действий пользователя «ch_cert» при создании процедур
и триггеров, будь эти действия успешны или неуспешны. Опция
«BY ACCESS» устанавливается для DDL команд по умолчанию.
Отметим здесь также, что команда «AUDIT procedure, trigger by
ch_cert;» задает аудит сразу нескольких вариантов DDL предложений, связанных с процедурами и триггерами (не только «CREATE»,
но и «DELETE», «ALTER TRIGGER …ENABLE (DISABLE)»).
SELECT username, timestamp, action_name, sql_text
FROM dba_audit_object;
USERNAME TIMESTAMP
ACTION_NAME
SQL_TEXT
--------------- ---------------- ----------------------- -------------------CH_CERT 2010.05.22:09:50 CREATE TRIGGER CREATE OR
REPLACE TRIGGER tr2
BEFORE insert OR
update ON item
FOR EACH ROW
BEGIN
NULL
END;
CH_CERT 2010.05.22:09:49 CREATE TRIGGER CREATE OR
REPLACE TRIGGER tr1
BEFORE insert OR
update
398
ON item
FOR EACH ROW
BEGIN
NULL;
END;
CH_CERT 2010.05.22:09:49 CREATE PROCEDURE
CREATE OR
REPLACE
PROCEDURE pr1 AS
BEGIN
NULL;
END;
CH_CERT 2010.05.22:09:49 SELECT
CH_CERT
CH_CERT
CH_CERT
CH_CERT
2010.05.22:09:49 SELECT
2010.05.22:09:51
2010.05.22:09:51
2010.05.22:09:51
SELECT * FROM manufctr
WHERE manuid=0
SELECT * FROM manufctr
DROP TRIGGER
DROP TRIGGER
DROP PROCEDURE
Отключим аудит действий пользователя в схеме «ch_cert», а
также – расширенный аудит:
Connect sys/sys@orcl as sysdba
NOAUDIT select, insert, update, delete ON manufctr;
NOAUDIT procedure, trigger by ch_cert;
ALTER SYSTEM SET audit_trail= db SCOPE=SPFILE;
Shutdown immediate
Startup
3. Общие настройки аудита для регистрации действий
обычных и с привилегией «sysdba» пользователей
с базой данных
Действия пользователя «SYS» с привилегией «SYSDBA» не регистрируются в таблице словаря «AUD$». Для регистрации в системном журнале ОС всех действий этого пользователя установим
параметр «audit_sys_operations» в значение «TRUE» и перестартуем
инстанцию Oracle.
Connect sys/sys@orcl as sysdba
399
ALTER SYSTEM SET audit_sys_operations=true SCOPE=SPFILE;
Shutdown immediate
Startup
DELETE FROM aud$;
Здесь отметим, что возможно включение аудита для регистрации широкого спектра действий пользователей с объектами базы
данных, предполагающих использование всех системных привилегий. Если выполнить запрос:
SELECT 'audit ',name||';' FROM system_privilege_map;
Он выведет более полутора сотен строк – по всем системным
привилегиям. При выполнении всех выведенных строк, как команд
аудита (для этого надо скопировать выведенные предыдущим запросом строки и вставить в окно SQL*Plus, как выполняемые команды), они будут выполнены успешно, и в таблице
«dba_stmt_audit_opts» мы по запросу:
SELECT audit_option, success, failure FROM dba_stmt_audit_opts;
увидим включенный аудит практически по всем системным
привилегиям. Не забудьте, затем выполнить запрос:
SELECT 'noaudit ',name||';' FROM system_privilege_map;
после которого скопировать все выведенные строки и выполнить их, как команды, отменяющие аудит.
На практике нет необходимости задействовать аудит в таком
широком диапазоне. Мы проверим аудит действий всех пользователей по нескольким системным привилегиям:
AUDIT alter system, user,procedure, trigger, role;
Аудит таких общих (в команде аудита не указан конкретный
пользователь) действий регистрируется для случая, когда параметр
«audit_trail» установлен в значение «DB».
Для значения этого параметра «db,extended» аудит в таблице
«aud$» не регистрируется.
Посмотрим, какие опции аудита у нас сейчас установлены:
SELECT audit_option, success, failure FROM dba_stmt_audit_opts;
AUDIT_OPTION
SUCCESS FAILURE
------------------------------------ ---------- ---------ALTER SYSTEM
BY ACCESS BY ACCESS
USER
BY ACCESS BY ACCESS
400
PROCEDURE
BY ACCESS BY ACCESS
TRIGGER
BY ACCESS BY ACCESS
ROLE
BY ACCESS BY ACCESS
Проверим включенные опции.
Connect ch_cert/ch_cert@orcl
CREATE ROLE r1;
CREATE USER user1 IDENTIFIED BY user1;
CREATE OR REPLACE PROCEDURE pr1 AS
BEGIN
NULL;
END;
/
CREATE OR REPLACE TRIGGER tr1
BEFORE insert OR update ON item
FOR EACH ROW
BEGIN
NULL;
END;
/
CREATE OR REPLACE TRIGGER tr2
BEFORE insert OR update ON item
FOR EACH ROW
BEGIN
NULL
END;
/
CREATE OR REPLACE TRIGGER tr2
BEFORE insert OR update ON item
FOR EACH ROW
BEGIN
NULL;
END;
/
Alter system set nls_language=’RUSSIAN’;
Alter system set nls_language= RUSSIAN;
Connect sys/sys@orcl as sysdba
401
SELECT
userid,name
name_for_audit,obj$name
aud$,audit_actions
WHERE aud$.action#=audit_actions.action;
USERID
NAME_FOR_AUDIT
OBJ$NAME
------------------ -----------------------------------CH_CERT
CREATE ROLE
R1
CH_CERT
CREATE USER
USER1
CH_CERT
CREATE PROCED
URE PR1
CH_CERT
CREATE TRIGGER
TR1
CH_CERT
CREATE TRIGGER
TR2
CH_CERT
CREATE TRIGGER
TR2
CH_CERT
ALTER SYSTEM
CH_CERT
ALTER SYSTEM
FROM
Несмотря на то, что отдельные действия выполнялись с ошибкой, аудит зарегистрировал все действия пользователя «ch_cert»/
Соединимся теперь пользователем «scott» и выполним те же действия, что и пользователь «ch_cert».
Connect scott/scott@orcl
CREATE ROLE r2;
CREATE USER user2 IDENTIFIED BY user2;
CREATE OR REPLACE PROCEDURE pr1 AS
BEGIN
NULL;
END;
/
CREATE OR REPLACE TRIGGER tr1
BEFORE insert OR update ON item
FOR EACH ROW
BEGIN
NULL;
END;
/
CREATE OR REPLACE TRIGGER tr2
BEFORE insert OR update ON item
FOR EACH ROW
BEGIN
NULL
402
END;
/
CREATE OR REPLACE TRIGGER tr2
BEFORE insert OR update ON item
FOR EACH ROW
BEGIN
NULL;
END;
/
Alter system set nls_language=’RUSSIAN’;
Alter system set nls_language= RUSSIAN;
Connect sys/sys@orcl as sysdba
SELECT
userid,name
name_for_audit,obj$name
FROM
aud$,audit_actions
WHERE aud$.action#=audit_actions.action
ORDER BY userid;
USERID
NAME_FOR_AUDIT
OBJ$NAME
--------------------------------------------------CH_CERT
CREATE ROLE
R1
CH_CERT
ALTER SYSTEM
CH_CERT
ALTER SYSTEM
CH_CERT
CREATE PROCEDURE
PR1
CH_CERT
CREATE TRIGGER
TR2
CH_CERT
CREATE TRIGGER
TR1
CH_CERT
CREATE USER
USER1
CH_CERT
CREATE TRIGGER
TR2
SCOTT
CREATE USER
USER2
SCOTT
CREATE ROLE
R2
SCOTT
ALTER SYSTEM
SCOTT
CREATE TRIGGER
TR2
SCOTT
CREATE TRIGGER
TR2
SCOTT
CREATE TRIGGER
TR1
SCOTT
ALTER SYSTEM
SCOTT
CREATE PROCEDURE
PR1
Выше мы установили параметр «audit_sys_operations» в значение «TRUE». После этого мы не раз делали пользователем «SYS»
запросы к словарю. Полезно при выполнении лабораторных работ
403
использовать консоль «Oracle Enterprise Manager Console» пользоватетем «sys», так как в этой консоли удобно просматривать содержимое таблиц и представлений аудита без того, чтобы набирать
соответствующие команды в окне SQL*Plus. Все действия ползователя «sys», в том числе и в консоли «Oracle Enterprise Manager
Console», можно увидеть в окне просмотра событий ОС.
На рис. 15.2. приведен снимок окна программы «Просмотр событий» со строками событий.
Рис. 15.2. Окно просмотра событий
На рис. 15.3 представлен снимок окна, соответствующего одной
из строк в окне просмотра событий на рис. 15.2 запросу, который
выполнял пользователь «sys». В окне представлен текст запроса,
представлены дата и время запроса, указано с какого компьютера
запрос выполнялся.
При включении аудита с опцией «OS»:
ALTER SYSTEM SET audit_trail= OS SCOPE=SPFILE;
Информация аудита будет писаться в журнал событий операционной системы вместо журнала базы данных (таблица «aud$»). Например, если пользователь «ch_cert» выполнит команду «alter user
404
user1 identified by user1;»
в программе «Просмотр
событий» появится новая
строка, которой соответствует окно на рис. 15.4.
Рис. 15.3. Окно просмотра
конкретного события
(появляется при двойном клике
мышки на строке в окне программы просмотра событий)
Рис. 15.4. Регистрация события в журнале событий ОС
405
Наконец, при использовании «XML» опции параметра аудита
«audit_trail»:
На рис. 15.4 указан код «34» действия пользователя «ch_cert».
Этому коду в таблице «audit_actions» словаря соответствует значение «alter user».
ALTER SYSTEM SET audit_trail= XML SCOPE=SPFILE;
События аудита будут писаться в xml файлы в папке, указанной
параметром «audit_file_dest». По умолчанию он имеет значение
«ORACLE_BASE/admin/orcl/adump» для базы данных «orcl». Есть
один ньюанс при таком способе аудита. При входе в ОС пользователем ОС на кириллице xml файлы аудита не читаются. Просмотр
xml файлов аудита браузером или редактором xml текстов мало
эффективен, так как в файлах много дополнительных символов и
строк. Представление Oracle «v_$xml_audit_trail» позволяет просматривать информацию аудита запросами, подобными тем, которыми мы извлекали информацию из таблицы «aud$».
Сдача лабораторной работы
Сдача лабораторной работы заключается в демонстрации преподавателю всех рассмотренных в настоящей лабораторной работе
технологий аудита на заданных преподавателем трех разных предметных областях. Задание для подготовки к сдаче включает:
1. Владельцы предметных областей 1 (ПО1), 2 (ПО2) манипулируют данными с отдельной (любой по выбору студента) таблицей предметной области 3 (ПО3). Эти действия надо зарегистрировать с помощью триггера событий и специально создаваемой таблицы аудита.
2. Пользователь «sys» выполняет настройки аудита встроенными средствами СУБД Oracle для регистрации действий любого другого пользователя по изменению системы, по созданию пользователей, процедур, триггеров, ролей, а также настройки аудита – для
регистрации текстов создаваемых процедур, тиггеров, выполняемых отдельными пользователями команд.
3. Пользователь «sys» выполняет настройки аудита встроенными средствами СУБД Oracle для регистрации действий пользователя с привилегией «sysdba».
406
Тестовые задания к работе 15
Входной контроль
1. Укажите строки, относящиеся к аудиту стойкости паролей и парольной политики:
a) выявление паролей по умолчанию;
b) выявление простых паролей;
c) определение парольных компонентов профилей пользователя;
d) поиск паролей в таблицах словаря СУБД;
e) правильных ответов нет.
2. Аудит базы данных проводится с использованием (укажите верные строки):
a) утилиты Net Configuration Assistant;
b) вручную исполняемыми командами администратора безопасности;
c) специально созданными скриптами администратора безопасности;
d) сканеров безопасности баз данных;
e) правильных ответов нет.
3. Укажите строки, определяющие, что должно явиться результатом аудита:
a) описание выявленных уязвимостей;
b) обнаруженные недостатки конфигурации СУБД и прав доступа;
c) перечень всех непривилегированных пользователей;
d) рекомендации по повышению защищенности;
e) правильных ответов нет.
4. Какая основная проблема возникает перед администраторами баз данных при использовании обычного аудита средствами Oracle?
a) резкое снижение производительности в работе с пользователями базы данных;
b) затруднение доступа пользователей к базе данных;
c) учащение сбоев в работе СУБД;
d) заметное увеличение затрат памяти на хранение данных аудита;
e) правильных ответов нет.
407
5. Какие пользователи/учетные записи требуют специального аудита, отличного от обычного системного аудита Oracle?
a) пользователи с ролью DBA;
b) пользователи с привилегией sysdba;
c) пользователи, обладающие ролями числом от двух до пяти;
d) пользователи, имеющие ОС аутентификацию;
e) правильных ответов нет.
6. Какое средство позволяет просмотреть зарегистрированные аудитом после соответствующей настройки СУБД действия пользователя с привилегией sysdba?
a) Enterprise Edition console;
b) Policy manager;
c) Database Configuration Assistant;
d) утилитой «Просмотр событий» консоли управления компьютером;
e) правильных ответов нет.
7. С помощью каких объектов схемы пользователя создаются средства аудита разработчика?
a) триггер;
b) последовательность;
c) дополнительная таблица аудита;
d) представление;
e) правильных ответов нет.
Выходной контроль
1. Укажите верную команду аудита любых (в том числе и
повторяющихся) действий с журналом аудита:
a) AUDIT INSERT on sys.aud$;
b) AUDIT ALL on sys.aud$ by access;
c) AUDIT ALL on sys.aud$ by SESSION;
d) AUDIT ALL on sys.aud$;
e) AUDIT INSERT, UPDATE, DELETE, SELECT on sys.aud$;
f) правильных ответов нет.
2. В чем отличие системного аудита средствами Oracle действий пользователя БД от аудита действий того же пользователя с использованием процедур и триггеров разработчика приложений?
408
a) системный аудит не отлавливает команды SELECT;
b) спрограммированный аудит разработчика приложений не отлавливает действий пользователя по соединению с БД;
c) системный аудит не отлавливает команды UPDATE;
d) системный аудит БД конфликтует с аудитом средствами ОС;
e) системный аудит не отлавливает повторяющихся действий
пользователя с таблицей (DML) в одной сессии с Oracle;
f) правильных ответов нет.
3. Какими командами обеспечивается возможность регистрации событий аудита в журнале событий консоли управления
компьютером?
a) ALTER SYSTEM SET audit_trail= OS SCOPE=SPFILE;
b) ALTER SESSION SET audit_trail= OS SCOPE=SPFILE;
c) shutdown immediate;
d) ALTER SESSION SET audit_trail= OS;
e) startup;
f) правильных ответов нет.
4. Если события аудита пишутся в XML файлы, читать их
удобно с помощью…
a) редактора «Блокнот»;
b) редактора «Текстовый редактор WordPad»;
c) запросов к представлению словаря «v_$xml$»;
d) интернет браузера;
e) запросов к представлению словаря «v_$xml_audit_trail»;
f) правильных ответов нет.
5. Для обеспечения аудита действий пользователя «sys» с
объектами базы данных требуется выполнения, в частности,
таких действий:
a) запросов к таблице aud$;
b) запросов к представлению dba_audit_trail;
c) выполнения команд
ALTER SYSTEM SET audit_sys_operations=true SCOPE=
SPFILE;
Shutdown immediate
Startup
d) запросов к таблице «onlyforsys»;
e) выполнения команд
409
ALTER SESSION SET audit_sys_operations=true SCOPE=
SPFILE;
Shutdown immediate
Startup
f) правильных ответов нет.
6. В какой столбец таблицы «aud$» записывается информация о кодах выполняемых пользователями команд при аудите
с опцией «BY ACCESS»?
a) statement;
b) ses$actions;
c) action#;
d) comment$text;
e) sqlbind;
f) правильных ответов нет.
7. Какие команды позволяют обеспечить возможность аудита действий пользователя с регистрацией выполняемых им
SQL, PL/SQL кодов?
a) ALTER SYSTEM SET audit_trail=extendeddb SCOPE=
SPFILE;
shutdown immediate
startup
b) ALTER SYSTEM SET audit_trail=db,extended SCOPE=
SPFILE;
shutdown immediate
startup
c) ALTER SYSTEM SET audit_trail= extended SCOPE=SPFILE;
shutdown immediate
startup
d) ALTER SYSTEM SET audit_trail= true,fulldb SCOPE=SPFILE;
shutdown immediate
startup
e) ALTER SYSTEM SET audit_trail=fulldb SCOPE=SPFILE;
shutdown immediate
startup
f) правильных ответов нет.
410
Работа 16
КОНТРОЛЬ ДЕТАЛЬНОГО АУДИТА ДЕЙСТВИЙ
ПОЛЬЗОВАТЕЛЕЙ В СУБД ORACLE
Цель: получение практических навыков работы с методами
контроля подсистем систем аудита (регистрации и учета действий
пользователей) СУБД Oracle.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Выбор предметной области и пользователей для проверки
FGAudit. Определение политики (правила) аудита без обработки
событий для выбранной предметной области. Проверка выполнения детального аудита в соответствии с определенной политикой.
2. Проверка выполнения запросов, включающих переменные
привязки, ретроспективных запросов, с использованием FGAudit.
3. Определение политики (правила) аудита с обработкой событий для выбранной предметной области. Проверка выполнения детального аудита с обработкой событий в соответствии с определенной политикой.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Выбор предметной области и пользователей
для проверки FGAudit
В качестве предметной области будем использовать предметную область пользователя «scott» (присутствует в поставке Oracle,
т.е. скрипты для нее не требуются), так как в ней есть таблица
«emp», в которой представлены личные сведения о сотрудниках
фирмы. Защита личных сведений – понятная цель для задействования и демонстрации возможностей детального аудита. Лабораторная работа выполняется копированием и выполнением нижеприводимых команд в окно SQL*Plus. Посмотрим содержимое таблицы
«emp»:
conn scott/scott@orcl
SELECT * FROM emp;
411
EMPNO
----------7839
7698
7782
7566
7902
7788
7369
7499
7521
7654
7844
7876
7900
7934
ENAME JOB
MGR HIREDATE SAL COMM DEPTNO
---------- --------------------- -------- ----------------- ------ ---------- -------------KING
PRESIDENT
17.11.81
5000
10
BLAKE MANAGER 7839
01.05.81 2850
30
CLARK MANAGER 7839
09.06.81 2450
10
JONES MANAGER 7839
02.04.81
2975
20
FORD
ANALYST
7566
03.12.81
3000
20
SCOTT ANALYST
7566
19.04.87
3000
20
SMITH
CLERK
7902
17.12.80
800
20
ALLEN
SALESMAN 7698
20.02.81
1600
300
30
WARD
SALESMAN 7698
22.02.81
1250
500
30
MARTIN SALESMAN 7698
28.09.81
1250 1400
30
TURNER SALESMAN 7698
08.09.81
1500
0
30
ADAMS CLERK
7788
23.05.87
1100
20
JAMES CLERK
7698
03.12.81
950
30
MILLER CLERK
7782
23.01.82
1300
10
Мы могли бы установить аудит на все действия с этой таблицей
(с сохранением текста DML предложений) обычными средствами
аудита, но при этом в таблице или в файле аудита будет накапливаться много лишней информации. Можно было бы, как мы делали
это в предыдущей лабораторной работе, создать триггер регистрации действий с таблицей «emp» в специальной таблице аудита. Но
триггер не работает на «SELECT».
Для создания политики аудита создадим пользователя «main» и
наделим его соотвтетствующими привилегиями:
Conn sys/sys@orcl as sysdba
GRANT SELECT,INSERT,UPDATE,DELETE ON scott.emp TO
PUBLIC;
DROP USER main CASCADE;
CREATE USER main IDENTIFIED BY main
DEFAULT TABLESPACE users
TEMPORARY TABLESPACE temp
QUOTA 1m ON users;
GRANT connect, resource TO main;
GRANT execute ON dbms_fga TO main;
GRANT select ON dba_fga_audit_trail TO main;
GRANT DELETE on dba_fga_audit_trail to main;
GRANT select ON dba_audit_policies TO main;
GRANT FLASHBACK ANY TABLE TO main;
412
GRANT EXECUTE ON dbms_flashback TO main;
Conn main/main@orcl
Удалим политику аудита, созданную предыдущим выполнением лабораторной работы:
DELETE FROM dba_fga_audit_trail;
begin
DBMS_FGA.DROP_POLICY(
OBJECT_SCHEMA => 'scott',
OBJECT_NAME => 'emp',
policy_name => 'CHK_EMPA');
end;
/
Создадим политику аудита таблицы «emp», предусматривающую регистрацию DML действий пользователей (команды «select»,
«insert», «update», «delete») с этой таблицей таких, которые затрагивают столбец «ename» и включают условие «'sal > 1500'».
BEGIN
DBMS_FGA.ADD_POLICY(
OBJECT_SCHEMA => 'SCOTT',
OBJECT_NAME => 'EMP',
POLICY_NAME => 'chk_empa',
AUDIT_CONDITION => 'sal > 1500',
AUDIT_COLUMN => 'ename',
HANDLER_SCHEMA=>null,
HANDLER_MODULE=>null,
ENABLE=>true);
END;
/
Проверим, что зарегисторирует политика FGA 'chk_empa'.
conn king/king@orcl
--команда 1
SELECT * FROM scott.emp;
--команда 2
SELECT empno,ename FROM scott.emp;
--команда 3
SELECT empno, deptno FROM scott.emp;
--команда 4
UPDATE scott.emp SET deptno=40 WHERE deptno=20;
413
ROLLBACK;
Посмотрим, что зарегистрировал аудит.
conn main/main@orcl
Alter session set nls_date_format = 'yyyy-mon-dd:HH:MI:SS';
select db_user, sql_text, timestamp from dba_fga_audit_trail;
DB_USER
SQL_TEXT
TIMESTAMP
----------------- ----------------------------------- --------------------------------KING SELECT * FROM scott.emp
2010-май-29:02:32:10
KING SELECT empno, ename FROM scott.emp 2010-май-29:02:32:10
Команда 3 не зарегистрирована, так как команда 3 не затрагивает запросом столбцы, указанные в политике «chk_empa». Команда 4 не зарегистрирована, так как параметр «statement_types» политики по умолчанию имеет значение «SELECT». Скорректируем
политику для учета действий с таблицей «emp» командами
«INSERT, UPDATE, DELETE». Добавим условие, по которому аудит выпоняется и для столбца «sal». Так как программы
UPDATE_POLICY не существует, сначала:
conn main/main@orcl
begin
DBMS_FGA.DROP_POLICY(
OBJECT_SCHEMA => 'scott',
OBJECT_NAME => 'emp',
policy_name => 'CHK_EMPA');
end;
/
Затем:
BEGIN
DBMS_FGA.ADD_POLICY(
OBJECT_SCHEMA => 'scott',
OBJECT_NAME => 'emp',
POLICY_NAME => 'chk_empa',
AUDIT_CONDITION => 'sal >1500',
AUDIT_COLUMN => 'ename,sal',
STATEMENT_TYPES => 'select, insert, update, delete',
HANDLER_SCHEMA=>null,
HANDLER_MODULE=>null,
ENABLE=>true);
414
END;
/
DELETE FROM dba_fga_audit_trail;
Проверим, что зарегистрирует скорректированная политика
FGA 'chk_empa'.
conn king/king@orcl
--команда 1
SELECT * FROM scott.emp;
conn smith/smith@orcl
--команда 2
SELECT * FROM scott.emp;
--команда 3
SELECT empno,job FROM scott.emp WHERE sal>1500;
--команда 4
SELECT empno,job FROM scott.emp WHERE sal<1500;
--команда 5
SELECT empno, deptno FROM scott.emp;
--команда 6
SELECT ename FROM scott.emp;
--команда 7
SELECT sal FROM scott.emp;
--команда 8
UPDATE scott.emp SET sal=1600 WHERE sal<1500 AND
job='CLERK';
ROLLBACK;
Посмотрим, что зарегистрировал аудит.
conn main/main@orcl
Alter session set nls_date_format = 'yyyy-mon-dd:HH:MI:SS';
select db_user, sql_text, timestamp from dba_fga_audit_trail;
DB_USER
SQL_TEXT
TIMESTAMP
----------------- --------------------------------------- -------------------KING
SELECT * FROM scott.emp
2010-май-29:06:20:24
SMITH SELECT * FROM scott.emp
2010-май-29:06:20:24
SMITH SELECT empno,job FROM scott.emp 2010-май-29:06:20:25
WHERE sal>1500
SMITH SELECT ename FROM scott.emp
2010-май-29:06:20:25
415
SMITH
SMITH
SELECT sal FROM scott.emp
2010-май-29:06:20:25
UPDATE scott.emp SET sal=1600
2010-май-29:06:20:26
WHERE sal<1500 AND job='CLERK'
«UPDATE» пользователя «smits» зарегистрирован, несмотря на
откат транзакции.
Извлечение только всех имен пользователей, а также в отдельном запросе только всех зарплат также регистрируется, так как эти
столбцы указаны в политике и для отдельных строк таблицы с извлекаемыми значениями имен и зарплат выполняется условие
sal>1500.
На самом деле извлечение по отдельности столбцов имен пользователей и зарплаты может не представлять особой угрозы безопасности, так как явной связи значений этих столбцов нет. Поэтому
полезно было бы потребовать Фиксировать обращение к таблице
«emp» только если в запросе указаны оба столбца вместе. Такая
возможность есть. В создаваемой политике FGAudit есть параметр
«audit_column_opts»
по
умолчанию
имеющий
значение
«dbms_fga.any_columns». Но если мы хотим потребовать Фиксировать обращение к таблице «emp» только если в запросе указаны оба
столбца вместе, этот пароаметр надо устанавливать в значение
«dbms_fga.all_columns». Проверим настройку этого параметра с
таким значением:
conn main/main@orcl
begin
DBMS_FGA.DROP_POLICY(
OBJECT_SCHEMA => 'scott',
OBJECT_NAME => 'emp',
policy_name => 'CHK_EMPA');
end;
/
Затем:
BEGIN
DBMS_FGA.ADD_POLICY(
OBJECT_SCHEMA => 'scott',
OBJECT_NAME => 'emp',
POLICY_NAME => 'chk_empa',
AUDIT_CONDITION => 'sal >1500',
AUDIT_COLUMN => 'ename,sal',
416
STATEMENT_TYPES => 'select, insert, update, delete',
AUDIT_COLUMN_OPTS => dbms_fga.all_columns,
HANDLER_SCHEMA=>null,
HANDLER_MODULE=>null,
ENABLE=>true);
END;
/
DELETE FROM dba_fga_audit_trail;
conn smith/smith@orcl
--команда 1
SELECT ename FROM scott.emp;
--команда 2
SELECT sal FROM scott.emp;
--команда 3
SELECT ename, sal FROM scott.emp;
conn main/main@orcl
Alter session set nls_date_format = 'yyyy-mon-dd:HH:MI:SS';
select db_user, sql_text, timestamp from dba_fga_audit_trail;
DB_USER
SQL_TEXT
TIMESTAMP
---------------------- ------------------------------------------ -------------------SMITH SELECT ename, sal FROM scott.emp 2010-май-29:07:46:49
Наша политика сработала верно. Зарегистрирован только один
запрос с извлечением одновременно двух столбцов. В представлении словаря «dba_audit_policies» можно увидеть созданную политику:
conn main/main@orcl
SELECT * FROM dba_audit_policies;
2. Проверка выполнения запросов, включающих переменные
привязки, ретроспективных запросов, с использованием
FGAudit
В предыдущем разделе был приведен пример политики
FGAudit, в котором вводилось условие «sal>1500». Если в запросе в
явном виде присутствует предикат, включающий это условие, запрос будет зарегистрирован детальным аудитом. Но ведь запрос
может быть написан с использованием переменных привязки.
417
Сможет ли детальный аудит зарегистрировать такие запросы? Да,
такая возможность есть.
conn main/main@orcl
DELETE FROM dba_fga_audit_trail;
Conn ford/ford@orcl
var empno number
var ename varchar2(10)
begin
:empno:=7900;
:ename:='JAMES';
end;
/
select ename, sal from scott.emp where empno=:empno and
ename=:ename;
ENAME SAL
------------------JAMES
950
begin
:empno:=7839;
:ename:='KING';
end;
/
select ename, sal from scott.emp where empno=:empno and
ename=:ename;
ENAME
SAL
------------------KING
5000
conn main/main@orcl
Alter session set nls_date_format = 'yyyy-mon-dd:HH:MI:SS';
col sql_bind format a30
col sql_text format a100
select
db_user,
sql_text,
sql_bind,
timestamp
from
dba_fga_audit_trail;
DB_USER
SQL_TEXT
SQL_BIND
TIMESTAMP
------------ -------------------------------------- --------------------- -------------------------------------------FORD select ename, sal from scott.emp #1(4):7839 #2(4):KING 2010-май-30:01:10:12
where empno=:empno
and ename=:ename
418
Запрос с ename=JAMES не зарегистрирован, так как зарплата
JAMES < 1500, запрос с FORD зарегистрирован, так как выполняется условие «sal>1500». Детальный аудит в столбце «sql_bind»
заФиксировал обе переменные привязки и их значения. В столбце
«sql_bind» #1 означает первую переменную привязки, #2 – вторую,
(4) число символов в переменной привязки, а затем приводится само значение переменной привязки.
Возможность «ловить» переменные привязки и их значения
важна не только в целях аудита, но и при решении частных задач,
связанных с повышением производительности системы, когда приходится определять, какие типы значений чаще всего выбираются
пользователями из базы данных.
При создании политики детального аудита возможность регистрировать переменные привязки, как и текст запроса, определяется параметром «audit_trail» процедуры «dbms_fga.add_policy», который по умолчанию имеет значение «db_extended». Для отключения возможности регистрировать переменные привязки этот параметр надо установить в значение «dbms_fga.db».
conn main/main@orcl
begin
DBMS_FGA.DROP_POLICY(
OBJECT_SCHEMA => ‘scott’,
OBJECT_NAME => ‘emp’,
policy_name => ‘CHK_EMPA’);
end;
/
Затем:
BEGIN
DBMS_FGA.ADD_POLICY(
OBJECT_SCHEMA => ‘scott’,
OBJECT_NAME => ‘emp’,
POLICY_NAME => ‘chk_empa’,
AUDIT_CONDITION => ‘sal >1500’,
AUDIT_COLUMN => ‘ename,sal’,
STATEMENT_TYPES => ‘select, insert, update, delete’,
AUDIT_COLUMN_OPTS => dbms_fga.all_columns,
AUDIT_TRAIL => dbms_fga.db,
HANDLER_SCHEMA=>null,
419
HANDLER_MODULE=>null,
ENABLE=>true);
END;
/
При анализе данных детального аудита бывает полезно не
только видеть запрос, выданный пользователем, но и извлеченное
им значение по этому запросу. Момент анализа данных детального
аудита во времени может отстоять на несколько дней от момента,
когда был сделан заФиксированный детальным аудитом запрос. За
эти несколько дней содержимое таблицы, к которой был сделан
этот запрос, изменилось, поэтому неясно, что же именно увидел
потенциальный нарушитель, выполнивший свой запрос.
Установим параметр AUDIT_TRAIL политики детального аудита в значение «dbms_fga.db_extended».
Conn main/main@orcl
begin
DBMS_FGA.DROP_POLICY(
OBJECT_SCHEMA => ‘scott’,
OBJECT_NAME => ‘emp’,
policy_name => ‘CHK_EMPA’);
end;
/
Затем:
begin
DBMS_FGA.DROP_POLICY(
OBJECT_SCHEMA => ‘scott’,
OBJECT_NAME => ‘emp’,
policy_name => ‘CHK_EMPA’);
end;
/
BEGIN
DBMS_FGA.ADD_POLICY(
OBJECT_SCHEMA => ‘scott’,
OBJECT_NAME => ‘emp’,
POLICY_NAME => ‘chk_empa’,
AUDIT_CONDITION => ‘sal >1500’,
AUDIT_COLUMN => ‘ename,sal’,
STATEMENT_TYPES => ‘select, insert, update, delete’,
420
AUDIT_COLUMN_OPTS => dbms_fga.all_columns,
AUDIT_TRAIL => dbms_fga.db_extended,
HANDLER_SCHEMA=>null,
HANDLER_MODULE=>null,
ENABLE=>true);
END;
/
DELETE FROM dba_fga_audit_trail;
Выполним пользователем «FORD» запрос:
Conn ford/ford@orcl
SELECT * FROM scott.emp;
Затем пользователем «MAIN» изменим значение столбца «sal».
Conn main/maint@orcl
Alter session set nls_date_format = ‘yyyy-mon-dd:HH:MI:SS’;
col sql_text format a100
Update scott.emp set sal= 6000 where ename=’KING’;
Commit;
Теперь, если извлекать строки таблицы «emp», в строке KING
зарплата будет иметь значение «6000». А что видел FORD?
Выполним запрос к представлению «dba_fga_audit_trail», в котором выведем значение SCN (sytem change number – можно сказать, соответствует отсчету внутренних часов Oracle) для запроса
FORD:
select db_user, sql_text, timestamp,scn from dba_fga_audit_trail
WHERE db_user=’FORD’;
DB_USER
SQL_TEXT
TIMESTAM
SCN
---------- -------------------------------------- ---------------------- ----------FORD SELECT*FROM scott.emp 2010-май-30:02:55:11 13705104
А теперь выполним команду, которая позволит просмотреть
строки таблицы «emp» на момент с SCN=13705104, т.е. на тот момент, когда запрос делал FORD:
select * from scott.emp as of SCN 13705104;
EMPNO ENAME JOB MGR HIREDATE SAL COMM DEPTNO
---------- ---------- --------- ---------- -------- ---------- ---------- ---------7839
KING
PRESIDENT 17.11.81
5000
10
421
Остальные строки, кроме KING-а нам неинтересны, ведь изменялось значение только в этой строке.
Для того чтобы пользователь «main» мог выполнять такое извлечение прошлого состояния строки, ему была дана привилегия
«FLASHBACK ANY TABLE».
3. Определение политики (правила) аудита с обработкой
событий для выбранной предметной области.
Проверка выполнения детального аудита с обработкой
событий в соответствии с определенной политикой
В предыдущих разделах этой лабораторной работы мы в числе
параметров процедуры DBMS_FGA.ADD_POLICY указывали, но
не задавали значения, параметры «HANDLER_SCHEM»,
«HANDLER_MODULE». Эти два параметра задают владельца модуля обработки данных детального аудита и название этого модуля. Создадим в схеме «main» таблицу (с незначительной корректировкой) и процедуру для обработки данных детального аудита по
образцу, приведенному в книге «Oracle PL/SQL для администраторов баз данных» авторов Аруп Нанда и Стивен Фейерштейн, изданной издательством «Символ-Плюс» в 2008 году.
conn main/main@orcl
CREATE TABLE flagged_access
(
fgasid NUMBER(20),
entryid NUMBER(20),
audit_date DATE,
fga_policy VARCHAR2(30),
db_user VARCHAR(30),
os_user VARCHAR2(30),
authent_type VARCHAR2(30),
client_id VARCHAR2(100),
client_info VARCHAR2(64),
host_name VARCHAR2(54),
instance_id NUMBER(2),
ip VARCHAR2(30),
term VARCHAR2(30),
422
schema_owner VARCHAR2(20),
table_name VARCHAR2(30),
sql_text VARCHAR2(64),
SCN NUMBER(10)
);
create or replace procedure access_flagger
(
p_table_owner in varchar2,
p_table_name in varchar2,
p_fga_policy in varchar2
)
is
l_fgasid number(20);
l_entryid number(20);
l_term varchar2(2000);
l_db_user varchar2(30);
l_os_user varchar2(30);
l_authent_type varchar2(2000);
l_client_id varchar2(100);
l_client_info varchar2(64);
l_host_name varchar2(30);
l_instance_id number(2);
l_ip varchar2(30);
l_sql_text varchar2(4000);
l_scn number;
begin
l_fgasid := sys_context('USERENV','SESSIONID');
l_entryid := sys_context('USERENV','ENTRYID');
l_term := sys_context('USERENV','TERMINAL');
l_db_user := sys_context('USERENV','SESSION_USER');
l_os_user := sys_context('USERENV','OS_USER');
l_authent_type := sys_context('USERENV','AUTHENTICATION_TYPE'
);
l_client_id := sys_context('USERENV','CLIENT_IDENTIFIER');
l_client_info := sys_context('USERENV','CLIENT_INFO');
l_host_name := sys_context('USERENV','HOST');
423
l_instance_id := sys_context('USERENV','INSTANCE');
l_ip := sys_context('USERENV','IP_ADDRESS');
l_sql_text := sys_context('USERENV','CURRENT_SQL');
l_scn := sys.dbms_flashback.get_system_change_number;
insert into flagged_access
(
fgasid,
entryid,
audit_date,
fga_policy,
db_user,
os_user,
authent_type,
client_id,
client_info,
host_name,
instance_id,
ip,
term,
schema_owner,
table_name,
sql_text,
scn
)
values
(
l_fgasid,
l_entryid,
sysdate,
p_fga_policy,
l_db_user,
l_os_user,
l_authent_type,
l_client_id,
l_client_info,
l_host_name,
l_instance_id,
l_ip,
424
l_term,
p_table_owner,
p_table_name,
l_sql_text,
l_scn
);
end;
/
Обратим внимание на то, что в созданную нами таблицу аудита
вставляется информация из системного контекста, идентифицирующая атрибуты клиента, выполнившего запрос, в том числе и
такая, какой нет в представлении «dba_fga_audit_trail». Для того
чтобы использовать обработчик в приведенном варианте, пользователю «main» была дана привилегия, на основании которой при
выполнении процедуры можно будет извлекать и записывать SCN
в таблицу flagged_access:
GRANT EXECUTE ON dbms_flashback TO main;
Пересоздадим политику:
begin
DBMS_FGA.DROP_POLICY(
OBJECT_SCHEMA => 'scott',
OBJECT_NAME => 'emp',
policy_name => 'CHK_EMPA');
end;
/
BEGIN
DBMS_FGA.ADD_POLICY(
OBJECT_SCHEMA => 'scott',
OBJECT_NAME => 'emp',
POLICY_NAME => 'chk_empa',
AUDIT_CONDITION => 'sal >1500',
AUDIT_COLUMN => 'ename,sal',
STATEMENT_TYPES => 'select, insert, update, delete',
AUDIT_COLUMN_OPTS => dbms_fga.all_columns,
AUDIT_TRAIL => dbms_fga.db_extended,
425
HANDLER_SCHEMA=>'main',
HANDLER_MODULE=>'access_flagger',
ENABLE=>true);
END;
/
col sql_text format a100
Alter session set nls_date_format = 'yyyy-mon-dd:HH:MI:SS';
select db_user, sql_text, timestamp,scn from dba_fga_audit_trail
WHERE db_user='SMITH';
DB_USER SQL_TEXT
TIMESTAM
SCN
-------------- -------------------------------------- ---------------------- ----------SMITH SELECT*FROM scott.emp 2010-май-30:08:35:12 13731785
select db_user, sql_text, audit_date,scn from flagged_access
WHERE db_user='SMITH';
DB_USER SQL_TEXT
AUDIT_DATE
SCN
-------------- -------------------------------------- ---------------------- ----------SMITH SELECT*FROM scott.emp 2010-май-30:08:35:12 13731785
C данными аудита в таблице flagged_access можно выполнять
любую обработку, не затрагивая словаря базы данных.
Сдача лабораторной работы
Заключается в демонстрации студентом детального аудита на
индивидуальной предметной области, заданной преподавателем.
Студент сам создает и обеспечивает возможность демонстрации
преподавателю (совокупностью скриптов) политики детального
аудита в работе:
А) без обработки событий детального аудита;
Б) с регистрацией переменных привязки и выводимой по зарегистрированному детальным аудитом запросу на момент выполнения этого запроса;
В) с обработкой событий детального аудита.
В ходе выполнения скриптов студент отвечает на вопросы преподавателя в связи с их (скриптов) работой.
426
Тестовые задания к работе 16
Входной контроль
1. Укажите недостатки аудита (средствами разработчика)
команды «select»:
a) команды «select» не ко всем таблицам могут быть зарегистрированы этим аудитом;
b) команды «select» не всех (помимо пользователя sys) могут
быть зарегистрированы этим аудитом;
c) триггер, используемый для такого аудита, требует длительного времени для срабатывания на команду «select»;
d) триггер на команду «select» не может быть создан;
e) правильных ответов нет.
2. На каком пакете построена функциональность детального аудита?
a) DBMS_RLS;
b) DBMS_JOB;
c) DBMS_FGA;
d) DBMS_OUTPUT;
e) правильных ответов нет.
3. Какому пользователю принадлежит традиционный журнал аудита базы данных Oracle?
a) system;
b) sys;
c) sysaud;
d) dbsnmp;
e) правильных ответов нет.
4. В какой таблице хранится традиционный журнал аудита
Oracle?
a) user$;
b) association$;
c) aud$;
d) aw$;
e) правильных ответов нет.
5. Через какие представления доступна пользователю информация традиционного словаря данных?
a) dba_audit_trail;
427
b) dba_audit_session;
c) dba_audit_objects;
d) user_objects;
e) Правильных ответов нет.
6. В приведенном ниже перечне укажите строки, в которых
указана причина, почему детальный аудит был создан (помимо
стандартного) для администраторов баз данных:
a) повышение безопасности;
b) анализ выполнения SQL запросов;
c) эмуляция триггеров на select;
d) оптимизация производительности при использовании переменных связывания;
e) правильных ответов нет.
7. Для каких SQL операторов может выполняться детальный аудит?
a) insert;
b) update;
c) delete;
d) select;
e) правильных ответов нет.
Выходной контроль
1. Какие привилегии даются пользователю для того, чтобы
он своими командами мог задействовать детальный аудит?
a) GRANT connect, resource TO main;
b) GRANT execute ON dbms_fga TO main;
c) GRANT select ON dba_fga_audit_trail TO main;
d) GRANT FLASHBACK ANY TABLE TO main;
e) GRANT EXECUTE ON dbms_flashback TO main;
f) правильных ответов нет.
2. В какое значение необходимо установить параметр
«AUDIT_TRAIL» политики детального аудита, чтобы посмотреть данные, извлекаемые зарегистрированным детальным
аудитом запросом на момент этого запроса?
a) AUDIT_TRAIL => dbms_fga.db_extended;
b) AUDIT_TRAIL => dbms_fga.extended;
c) AUDIT_TRAIL =>extended;
428
d) AUDIT_TRAIL =>db, extended;
e) AUDIT_TRAIL => dbms_fga.db, extended;
f) правильных ответов нет.
3. Запросом к представлению «dba_fga_audit_trail» найден
для зарегистрированного аудитом к таблице «employee» пользователя «demo»SQL запроса SCN=13705104. Каким запросом
можно посмотреть значение, извлекаемое из этой таблицы запросом с найденным SCN?
a) select spx.name from dba_audit_trail where SCN= 13705104;
b) select * from scott.emp as of SCN 13705104;
c) select action from dba_audit_session where SCN= 13705104;
d) select ses$action from aud$ where SCN= 13705104;
e) select * from scott.emp where SCN= 13705104;
f) правильных ответов нет.
4. Пользователю дается привилегия «GRANT EXECUTE
ON dbms_flashback TO main;». Какую информацию может извлекать пользователь на основании этой привилегии?
a) запрос на определенный прошлый момент;
b) результат запроса на определенный прошлый момент;
c) SCN;
d) название политики детального аудита;
e) условие детального аудита;
f) правильных ответов нет.
5. Пользователю дается привилегия «GRANT FLASHBACK
ANY TABLE TO main;» Какую информацию может извлекать
пользователь на основании этой привилегии?
a) параметры политики детального аудита;
b) запросы к таблицам схемы пользователя;
c) результаты запросов на определенный момент в прошлом;
d) извлекать информацию из всех таблиц и представлений словаря, содержащих информацию аудита;
e) прошлое состояние строки таблицы в схеме пользователя;
f) правильных ответов нет.
6. Задана политика детального аудита:
BEGIN
DBMS_FGA.ADD_POLICY(
OBJECT_SCHEMA => 'scott',
OBJECT_NAME => 'emp',
429
POLICY_NAME => 'chk_empa',
AUDIT_CONDITION => 'sal >1500',
AUDIT_COLUMN => 'ename,sal',
STATEMENT_TYPES => 'select, insert, update, delete',
AUDIT_COLUMN_OPTS => dbms_fga.all_columns,
HANDLER_SCHEMA=>null,
HANDLER_MODULE=>null,
ENABLE=>true);
END;
/
Укажите в приведенном ниже перечне запросы пользователя к таблице «emp», которые будут зарегистрированы детальном аудитом:
a) SELECT ename FROM scott.emp;
b) SELECT sal FROM scott.emp;
c) SELECT ename, sal FROM scott.emp;
d) SELECT * FROM scott.emp;
e) SELECT * FROM scott.emp WHERE empno is NULL;
f) правильных ответов нет.
7. Какую информацию дает столбец «sql_bind» представления «dba_fga_audit_trail»?
a) текст SQL запроса с присоединенным к нему результатом;
b) порядковые в сеансе номера переменных привязки;
c) число символов в переменных привязки;
d) связанный с SQL запросом SCN, соответствующий этому запросу;
e) значения переменных привязки;
f) правильных ответов нет.
430
КОНТРОЛЬ ПОДСИСТЕМЫ ОБЕСПЕЧЕНИЯ
ЦЕЛОСТНОСТИ
В состав тематики входят четыре лабораторные работы (17–20).
Работа 17
НАСТРОЙКА СРЕДСТВ КОНТРОЛЯ ЦЕЛОСТНОСТИ
НА ОСНОВЕ ОПЕРАЦИЙ КОНТРОЛЬНОГО
СУММИРОВАНИЯ
Цель: получение практических навыков выполнения контроля
целостности программного обеспечения и специализированных
средств защиты информации от НСД с помощью программы фиксации и контроля исходного состояния программного комплекса
«ФИКС-2.0.1».
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Предварительная настройка «ФИКС-2.0.1».
2. Фиксация исходного состояния.
3. Контроль целостности.
4. Моделирование нарушения целостности контролируемых ресурсов.
5. Контроль исходного состояния комплексов.
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ «ФИКС 2.0.1»
Назначение программы
Программа фиксации и контроля исходного состояния программного комплекса (ФИКС 2.0.1) предназначена для выполнения
следующих функций:
• фиксации исходного состояния файлов программного комплекса;
• контроля исходного состояния программного комплекса;
• фиксации и контроля каталогов;
• контроля различий в заданных файлах;
• контроля целостности файлов программного комплекса.
431
Под «файлами программного комплекса», в зависимости от исполняемой функции (режима), могут пониматься также и записи
реестра. В этом случае понятие «каталог» отождествляется с понятием «ключ реестра».
Целостность информации − способность средства вычислительной техники или автоматизированной системы обеспечивать
неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).
Настройка программы
Интерфейс программы «ФИКС 2.0.1» позволяет настраивать ее
для работы в различных типовых режимах с помощью двух закладок основного окна: «Настройка» и «Задание».
Любая настройка программы «ФИКС 2.0.1» и работа с ней
осуществляется после запуска на выполнение файла Isx_Sost.exe.
или завершения отработки предыдущего задания.
Закладка «Настройка». С использованием закладки «Настройка» основного окна (рис. 17.1), осуществляется настройка переключателей следующих групп и символьных полей, описанные
ниже.
Рис. 17.1. Внешний вид закладки «Настройка»
432
Группа переключателей «Листы отчета» предназначена для установки форматов, параметров страниц и кодирования текстовых
файлов с результатами отработки заданий программой «ФИКС
2.0.1»:
− если включен переключатель «Полистно», становится доступно поле для изменения параметра количества строк в странице
главного отчета. Его значение необходимо задавать, исходя из способа выдачи отчета на печать. Если главный отчет предполагается
выдавать с использованием MS Word, то значение выбирается, исходя из размера шрифта для печати. По умолчанию задан параметр,
рассчитанный на выдачу сформированного отчета в MS Word
шрифтом Courier New Cyr размером 7;
− если включен переключатель «Кодировать файлы», кодируются некоторые служебные текстовые файлы для исключения возможного ручного вмешательства в них. При выключенном переключателе файлы не кодируются;
− в поле параметра «Ширина» задается максимальная ширина
столбца, в котором отображаются имена контролируемых файлов в
таблице главного отчета. Если длина имени файла превышает заданную ширину столбца, то имя в отчете разрывается и его остаток
размещается справа от таблицы отчета в той же строке;
− переключатель «Строка» позволяет получать доступ к отдельным строкам информации, находящимся в некоторых окнах на
закладках основной формы. Если он включен, то при двух следующих подряд отдельных кликах (не двойной клик!) на строке
некоторого окна появляется элемент редактирования этой строки,
из которого можно, например, копировать информацию в буфер
обмена;
− если включен переключатель «Сокр. Ктлг.», то в текстовом
файле главного отчета и в его отображении на закладке «Гл. Отчет» допускается сокращать имена каталогов, если они не помещаются в отведенное поле. В этом случае главный отчет не может
служить в качестве эталонного списка имен файлов и их контрольных сумм для последующего контроля целостности исследуемого
программного комплекса;
− если включен переключатель «EXCEL», то в дополнение к
текстовому файлу главный отчет формируется в *.csv-формате для
433
дальнейшего экспортирования в MS Excel (только в режиме «Фиксация версии»);
− если включен переключатель «БД», то формируется специальная пара файлов с расширениями *.SCH и *.TXT для последующей загрузки в базу данных (только в режиме «Фиксация версии»);
− «ФИКС 2.0.1» выдает также результаты отработки задания в
файлы формата HTML. Управление форматом *.html-файлов осуществляется с помощью конфигурационного файла _HTML_
Reports.cfg.
Группа переключателей «Расширения файлов» («Маски файлов»), название которой зависит от включенной в ней кнопки «Для
счета строк» («Для полного учета»), предназначена для указания
параметров фильтрации файлов при их выборе на обработку программой «ФИКС 2.0.1» и дополнительно содержит следующие
подгруппы переключателей «По умолч.» и «Доп.»:
− если включен переключатель «Для счета строк», то в текстовом поле выбора можно задать расширения файлов, для которых в
главном отчете должна дополнительно указываться их длина в
строках текста. В подгруппе переключателей «По умолч.» можно
указать или изменить набор из типовых расширений текстовых
файлов, которые будут использоваться программой «ФИКС 2.0.1»
по умолчанию;
− если включен переключатель «Для полного учета», то в текстовом поле можно задать список масок, которым должны удовлетворять файлы, включаемые или исключаемые из обработки программой «ФИКС 2.0.1». Если в подгруппе переключателей «Доп.»
включена кнопка «T.», то обрабатываются файлы, ТОЛЬКО удовлетворяющие какой-либо из заданных масок. Если нажата кнопка
«K.», то, наоборот, обрабатываются все файлы, КРОМЕ удовлетворяющих какой-либо из заданных масок (рис. 17.2);
− пиктограммы позволяют загружать
/сохранять
файлы
с расширениями (масками), добавлять
/исключать
расширения (маски) файлов из текущего списка, а также обрабатывать
файлы, созданные в заданный промежуток времени
434
.
Рис. 17.2. Внешний вид закладки «Настройка» при включенной кнопке
«Для полного учета»
Группа переключателей «Подсказка» предназначена для включения контекстных подсказок или их исключения, а также для задания или отмены выдачи уточняющих запросов пользователю во
время работы.
Группа переключателей «Повтор» позволяет определить для
работы программы «ФИКС 2.0.1» в данном режиме использование
упорядоченных списков сканирования файлов и/или каталогов, полученных ранее, без повторного сканирования каталогов и списка
файлов того же самого исследуемого программного комплекса.
Группа переключателей «Конфигурация» позволяет сохранять,
загружать сохраненные или восстанавливать установленные в программе по умолчанию состояния переключателей и кнопок на закладках «Задание» и «Настройка». Выбранное действие производится после нажатия кнопки «Применить».
Кнопка «Engl-1»/«Rus»/«Engl-2» позволяет переключить язык
основных надписей над объектами окна и форм программы «ФИКС
2.0.1» (русский, английский, русский латиницей).
Поле выпадающего списка «Задать» позволяет определить полный путь, в каталоге нижнего уровня которого будет создаваться
435
подкаталог для записи результатов работы программы «ФИКС
2.0.1».
Поле выпадающего списка «Выбрать» позволяет задать (выбрать) имя подкаталога для записи результатов работы программы
«ФИКС 2.0.1».
Закладка «Задание». С использованием закладки «Задание»
основного окна (рис. 17.3) настраиваются переключатели следующих групп и символьные поля, описанные ниже.
Основной группой переключателей является «Режим», которая
содержит пять кнопок, задающих основные режимы обработки
контролируемого программного комплекса и внешний вид закладки: «Фиксация версии», «Кнтрл. Целостности», «Фикс./Конт.
ктлг.», «Сравнение версий», «Сравнение файлов».
Рис. 17.3. Внешний вид закладки «Задание»
Режим «Фиксация версии», включаемый соответствующей
кнопкой, определяет задание работы программы «ФИКС 2.0.1» по
первоначальному контрольному суммированию (Фиксации) файлов программного комплекса. При этом дополнительно доступны
группы переключателей «Комплекс», «Алгоритм КС», «К выбору
файлов», а также:
436
− переключатель «Выбор файлов» − используется для поиска и
дополнительного указания файлов исследуемого комплекса, размещенных в заранее подготовленных списках или задаваемых в
диалоге;
− переключатель «Поиск дублей» − используется для поиска
файлов, имеющих одинаковые контрольные суммы и/или одинаковые имена после завершения их контрольного суммирования;
− переключатель «Уточнение» − используется для исключения
из контрольного суммирования отдельных файлов или какой-либо
информации внутри файлов;
− переключатель «Семантика» − используется для формирования дополнительной контрольной суммы КС-2, которая рассчитывается для файлов некоторых типов;
− переключатель «Zip» − используется для обработки списка
файлов, находящихся в упакованном формате .zip и .arj;
− переключатель «Sorted» − используется для задания сортировки каталогов и файлов в отчетных документах.
Группа переключателей «Комплекс» содержит две кнопки
«OLD» или «NEW» для присвоения комплексу, подлежащему контрольному суммированию, некоторого условного статуса.
Группа переключателей «Алгоритм КС» содержит четыре
кнопки «ВКС», «Уровень-1», «Уровень-2», «Уровень-3», а также
переключатель «No», определяющие выбор алгоритма контрольного суммирования или его отмену. Используются четыре различных
алгоритма контрольного суммирования:
− взвешенное контрольное суммирование (ВКС), длина контрольной суммы − 32 бита;
− алгоритм «Уровень-1» , длина контрольной суммы − 32 бита;
− алгоритм «Уровень-2» , длина контрольной суммы − 136 бит;
− алгоритм «Уровень-3» , длина контрольной суммы − 32…256
бит.
Группа переключателей «Код» содержит две кнопки «Const»
или «Задать», определяющие для алгоритмов «Уровень-x» способ
задания значений констант для начальных кодов генерации – вручную или по умолчанию. Для алгоритма «Уровень-3» становится
доступно поле для изменения параметра количества 32-битных
разрядов в контрольной сумме (от 1 до 8).
437
Поле отображения «Контролируемые файлы» предназначено
для выбора каталогов и файлов, подлежащих контрольному суммированию, формирования специального файла проекта. Это поле
определяет основной способ задания файлов для программы
«ФИКС 2.0.1». Слева над полем имеется кнопка-индикатор наличия текущего проекта;
Группа переключателей «К выбору файлов» доступна при
включенном переключателе «Выбор файлов». Она содержит две
группы кнопок «Список» и «Вручную», которые определяют дополнительный способ задания файлов для контрольного суммирования.
Режим «Контроль целостности», включаемый соответствующей кнопкой (рис. 17.4), определяет задание работы программы
«ФИКС 2.0.1» по выполнению контрольного суммирования файлов
программного комплекса и сравнению полученных результатов с
эталонными контрольными суммами. В этом режиме доступны переключатели «Периодически» и «Полнота». Переключатель «Периодически» делает дополнительно доступными группы переключателей «Параметры» и «Реакция» для выбора параметров автоматического периодического запуска работы программы «ФИКС
2.0.1» в данном режиме.
Рис. 17.4. Внешний вид закладки «Задание»
при включенной кнопке «Контроль целостности»
438
Группа переключателей «Параметры» содержит два переключателя «Свернуть в Tray», «Автозапуск» и символьное поле «Период», определяющих возможности автоматического запуска программы «ФИКС 2.0.1» при загрузке операционной системы.
Группа переключателей «Реакция» содержит три переключателя «Звук», «Протокол» и «Диалог», которые определяют соответствующие дополнительные параметры в случае не нормы результата
при периодическом контроле программного комплекса.
При установке переключателя «Полнота» предполагается, что в
эталонный отчет были включены все файлы просуммированных
каталогов. В этом случае программа производит поиск не только
измененных и отсутствующих файлов в текущем каталоге, но и добавленных в этот каталог файлов.
Режим «Фикс./Конт.ктлг.», включаемый соответствующей
кнопкой, определяет задание работы программы «ФИКС 2.0.1» по
выполнению первоначального контрольного суммирования и/или
контролю целостности файлов программного комплекса с учетом
их размещения по каталогам (рис. 17.5).
Рис. 17.5. Внешний вид закладки «Задание» при включенной кнопке
«Фикс./Конт.ктлг.»
В этом режиме результаты фиксации записываются в каждый
проконтролированный каталог в виде скрытого файла с именем $.$.
439
При последующем контроле каталогов осуществляется сверка
вновь полученных результатов контрольного суммирования с записанными ранее в файле $.$.
В этом режиме доступны группа переключателей «Подрежим»
и Поле отображения «Контролируемые файлы».
Группа переключателей «Подрежим» содержит переключатель
«Фиксация», «Контроль» и «~», которые используются для задания
соответствующих подрежимов режима «Фикс./Конт.ктлг.».
Режим «Сравнение версий», включаемый соответствующей
кнопкой (рис. 17.6), определяет задание работы программы «ФИКС
2.0.1» по выполнению сравнения двух версий программного комплекса, заФиксированных ранее в режиме «Фиксация версии». В
этом режиме контрольное суммирование файлов не производится,
а все сравнение осуществляется на основе информации, полученной ранее в режиме Фиксации.
В этом режиме доступен переключатель «С учетом каталогов»,
включение которого делает дополнительно доступным группу кнопок «Уровень», и «По Гл. Отчету».
Рис. 17.6. Внешний вид закладки «Задание»
при включенной кнопке «Сравнение версий»
Группа переключателей «Уровень» содержит кнопки «1», «2»,
«3» «=», определяющие для файлов, которые подлежат сравнению,
440
части полного пути доступа, которые присоединяются к имени
файла для его идентификации, переключатель «Ktlg» для выдачи
отчета о результатах сравнения на уровне каталогов, и переключатель «Ext» для получения отчета по расширениям сравниваемых
файлов.
Переключатель «По Гл. Отчету» определяет, что в качестве исходных данных для сравнения двух версий программных комплексов используется содержимое соответствующих главных отчетов,
полученных ранее. В противном случае (определено по умолчанию) сравнение осуществляется по информации файлов 4.old и
4.new, полученных ранее в режиме Фиксации.
Режим «Сравнение файлов», включаемый соответствующей
кнопкой, определяет задание работы программы «ФИКС 2.0.1» по
выполнению сравнения заданной пары файлов (рис.17.7). Задание
файлов и режимов работы осуществляется после нажатия кнопки
«Пуск».
Рис. 17.7. Внешний вид закладки «Задание»
при включенной кнопке «Сравнение файлов»
В процессе работы программы «ФИКС 2.0.1» заполняются поля
закладок «Файлы», «Гл.Отчет», «Отчет1», «Отчет2», «Сообщения».
441
Режимы функционирования
Фиксация исходного состояния комплекса на машинном носителе заключается в вычислении для каждого файла исследуемого
программного комплекса контрольной суммы и формировании соответствующих отчетов и рабочих файлов, в которых Фиксируются
полученные контрольные суммы.
Результаты Фиксации исходного состояния с рабочими файлами и файлом главного отчета записываются в каталог, определяемый пользователем. Ряд рабочих файлов имеют атрибут «скрытый»
и предназначены для последующей реализации режима контроля
исходного состояния или режима сравнения версий исследуемого
программного комплекса.
Основным способом определения перечня файлов для контрольного суммирования программного комплекса является проект. Проект создается пользователем или выбирается из уже существующих (ранее созданных) файлов проектов с помощью всплывающих меню поля «Контролируемые файлы» на закладке «Задание».
Если в проект предполагается поместить только один элемент
выбора поля «Контролируемые файлы», то допускается не помещать его предварительно в проект, а сразу после выбора нажать
кнопку «Пуск».
Если проект создан, то программа работает по проекту, независимо от того, что в данный момент выбрано в дереве каталогов в
поле «Контролируемые файлы». Следует особо отметить, что если
окно с проектом закрыть с помощью кнопки-индикатора или кнопки управления окном, то это не означает, что проект перестал существовать, он лишь скрыт от пользователя. Существование проекта в данном случае подтверждается зеленым или красным цветом
кнопки-индикатора, над левым верхним углом поля «Контролируемые файлы». Зеленый цвет кнопки-индикатора означает, что
проект создан пользователем, красный цвет означает, что проект
создан пользователем и скорректирован программой. Программа
корректирует проект, добавляя в него файлы, заданные списком и
вручную, при установленном переключателе «Выбор файлов». По
завершении выполнения режима Фиксации текущий проект записывается в каталог с результатами.
442
Если каталог для записи результатов уже существует, то имеющиеся в нем отчеты и рабочие файлы будут замещены текущими.
Контроль целостности. Контроль целостности файлов программного комплекса на машинном носителе заключается в вычислении для каждого файла исследуемого программного комплекса
контрольной суммы и сравнении ее с полученной ранее и заФиксированной в главном отчете, принимаемом за эталонный.
Фиксация и контроль каталогов. Режим Фиксации и контроля
каталогов «Фикс/Контр.ктлг» целесообразно применять для поиска
изменений в каталогах программного комплекса. Отличие данного
режима от режимов «Фиксация версии» и «Контроль целостности»
состоит в том, что все файлы отчетов работы программы «ФИКС
2.0.1» записываются не только в каталог результатов, но и в каждый каталог исследуемого программного комплекса в файл с именем $.$.
Контроль исходного состояния комплексов. Контроль исходного состояния заключается в проверке факта наличия или отсутствия
изменений в файлах текущей версии исследуемого программного
комплекса и предыдущей версии того же программного комплекса.
Данный режим может быть выполнен только в случае, если предварительно дважды выполнен режим Фиксации исходного состояния комплексов.
Сравнение файлов. Данный режим может быть выполнен только в случае, если предварительно дважды выполнен режим Фиксации исходного состояния файлов с одинаковыми значениями преФикса и одинаковыми алгоритмами контрольного суммирования.
Одна Фиксация должна быть выполнена с включенным переключателем «OLD», вторая − с включенным переключателем «NEW» в
группе элементов «Комплекс» на закладке «Задание».
Данный режим позволяет в диалоге просмотреть все изменения
в заданной паре файлов.
МЕТОДИКА И ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Предварительная настройка «Фикс-2.0.1»
1. Запустите «Фикс-2.0.1» (запустить на выполнение файл
Isx_Sost.exe).
443
2. Перейдите на вкладку «Настройки».
3. В поле «Конфигурация» выберите «Умолчание» и нажмите
кнопку «Применить».
4. В качестве имя подкаталога для записи результатов работы
программы укажите свою фамилию и определите полный путь, в
каталоге нижнего уровня которого будет создаваться подкаталог
для записи результатов работы программы «ФИКС 2.0.1».
5. Сравните заданные вами настройки с рис. 17.8.
Рис. 17.8. Настройка «Фикс-2.0.1»
2. Фиксация исходного состояния
1. Перейдите на вкладку «Задание».
2. В группе элементов «Алгоритм КС» задайте алгоритм контрольного суммирования «ВКС» (взвешенное контрольное суммирование, длина контрольной суммы − 32 бита).
3. В группе элементов «Комплекс» выберите «Old».
4. В поле «Контролируемые файлы» найдите каталог программы «Фикс-2.0.1» (...\fix-2.0.1), выделите его и нажмите правую кла444
вишу мыши. В появившемся контекстном меню сначала выберите
пункты «Проект...», «Создать» для создания нового проект, а потом
(в том же контекстном меню) «Добавить в проект…», «с подкаталогами» для добавления «Фикс-2.0.1» в проект.
5. Сохраните созданный проект в каталоге программы, указав в
качестве имени проекта свою фамилию: «Проект...», «Сохранить».
6. Затем нажмите кнопку «Пуск».
7. Изучите содержание вкладок «Гл.Отчет», «Отчет1», «Отчет2» и «Сообщения».
3. Контроль целостности
1. На вкладке «Задание» выберите «Кнтрл. целостности» и произведите все необходимые настройки, в соответствии с рис. 17.9.
Рис. 17.9. Контроль целостности
2. Затем нажмите «Пуск». В появившемся диалоговом окне откройте файл «Report_Old.isx» (…\FixResult\<Фамилия>\ Report_
Old.isx).
445
3. Изучите полученный отчёт. Для файла, изменившего контрольную сумму, по сравнению с данными эталонного отчета, в
новом главном отчете формируется две одинаковые строки, отличающиеся только контрольными суммами. Одна строка помечается
символом «#» и содержит новое значение суммы, следующая за
ней строка помечается символами «##» и содержит прежнее значение контрольной суммы. Строки с отсутствующими файлами помечаются символами «–».
4. Перезагрузите компьютер и убедитесь в том, что при загрузке системы автоматически проверяется целостность контролируемых ресурсов и выводится отчет.
4. Моделирование нарушения целостности контролируемых
ресурсов
1. Еще раз зафиксируйте исходное состояние, загрузив ранее
созданный проект (пункт «Фиксация исходного состояния»).
2. Удалите из каталога результатов файл «Report_Old_0.html».
3. Внесите произвольные изменения в файл «Report_Old.csv».
4. Перезагрузите компьютер и изучите полученные отчёты.
5. Контроль исходного состояния комплексов
1. Аналогично пункту «Фиксация исходного состояния» заФиксируйте новую версию, указав в качестве статуса комплекса
«New» и загрузив ранее созданный проект.
2. На вкладке «Задание » выберите «Сравнение версий».
3. Установите галочку напротив поля «По Гл. Отчету».
4. Нажмите кнопку «Пуск».
5. В появившемся диалоговом окне выберите сначала файл нового отчета «Report_New.isx», а затем – старого «Report_Old.isx».
6. Изучите полученные отчеты.
Подготовка отчета
1. В отчёте кратко опишите выполненные действия.
2. Приведите анализ полученных в работе результатов.
3. Затем в качестве полученных результатов приложите html
файлы отчетов из каталога «...\FixResult\<Фамилия>\».
446
Тестовые задания к работе № 17
Входной контроль
1. Целостность информациио:
a) это состояние информации, при котором она остается неизменной в условиях случайного и (или) преднамеренного искажения
(разрушения);
b) это способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации
в условиях случайного и (или) преднамеренного искажения (разрушения);
c) нет верного ответа.
2. К основным функциям программы «ФИКС 2.0.1» относятся:
a) фиксация и контроль каталогов;
b) подсчёт контрольных сумм;
c) фиксация исходного состояния записей реестра;
d) контроль исходного состояния программного комплекса;
e) создание базы эталонных контрольных сумм.
3. Настройка программы «ФИКС 2.0.1» осуществляется с
помощью двух закладок основного окна:
a) «Настройка» и «Файлы»;
b) «Отчёт1» и «Отчёт2»;
c) «Задание» и «Настройка»;
d) «Файлы» и «Задание».
4. Для указания параметров фильтрации файлов при их
выборе на обработку программой «ФИКС 2.0.1» предназначена:
a) группа переключателей «Расширения файлов» («Маски файлов»);
b) группа переключателей «Листы отчета»;
c) группа переключателей «Конфигурация»;
d) группа переключателей «К выбору файлов».
5. Группа переключателей «Подсказка» предназначена для:
a) включения контекстных подсказок;
b) задания выдачи уточняющих запросов пользователю во время работы;
447
c) отмены выдачи уточняющих запросов пользователю во время
работы;
d) исключения контекстных подсказок.
6. Основные режимы обработки контролируемого программного комплекса:
a) «Фиксация версии»;
b) «Кнтрл. Целостности»;
c) «Фикс./Конт.ктлг.»;
d) «Фикс./Конт.фйлв.»;
e) «Сравнение версий»;
f) «Сравнение файлов».
7. Контроль целостности файлов программного комплекса
на машинном носителе заключается:
a) в вычислении для каждого файла исследуемого программного комплекса контрольной суммы и сравнении ее с эталонной;
b) в проверке для каждого файла исследуемого программного
комплекса совпадения имен и размеров с эталонными;
c) нет верного ответа.
8. Для различных алгоритмов контрольного суммирования,
используемых в программе «ФИКС 2.0.1», длина контрольной
суммы не может быть равной:
d) 256 бит;
a) 16 бит;
e) 512 бит;
b) 32 бита;
f) 2048 бит.
c) 136 бит;
9. Группа переключателей «Комплекс» содержит две кнопки «OLD» или «NEW»:
a) для выбора соответствующего комплекса (старого или нового) и проведения контрольного суммирования;
b) для присвоения комплексу, подлежащему контрольному
суммированию, некоторого условного статуса;
c) нет верного ответа.
10. Переключатель «По Гл. Отчету» (в режиме «Сравнение
версий») определяет, что в качестве исходных данных для сравнения двух версий программных комплексов используется:
a) содержимое соответствующих главных отчетов, которые будут получены в процессе выполнения сравнения версий;
448
b) информация из файлов 4.old и 4.new, полученных ранее в
режиме Фиксации;
c) нет верного ответа.
Выходной контроль
1. В программе «ФИКС 2.0.1» сравнение файлов может
быть выполнено только в случае:
a) если предварительно выполнен режим фиксации исходного
состояния файлов;
b) если предварительно выполнен режим фиксации исходного
состояния каталогов;
c) если предварительно выполнена фиксация версии;
d) нет верного ответа.
2. Режим фиксации и контроля каталогов целесообразно
применять:
a) для поиска изменений в каталогах программного комплекса;
b) для поиска ошибок в каталогах программного комплекса;
c) нет верного ответа.
3. В процессе своей работы программа «ФИКС 2.0.1» не заполняет поля закладок:
a) «Задание»;
b) «Файлы»;
c) «Гл.Отчет»;
d) «Отчет1»;
e) «Отчет2»;
f) «Сообщения».
4. Результаты фиксации исходного состояния с рабочими
файлами и файлом главного отчета записываются:
a) в каталог, определяемый пользователем;
b) в каталог, определяемый программой «ФИКС 2.0.1»;
c) в каталог, определяемый операционной системой;
d) нет верного ответа.
5. Ряд рабочих файлов программы «ФИКС 2.0.1» имеют атрибут «скрытый» и предназначены:
a) для режима сравнения версий исследуемого программного
комплекса;
b) для хранения скрытых служебных данных (логины и пароли);
449
c) для последующей реализации режима контроля исходного
состояния;
d) нет верного ответа.
6. Проверка факта наличия или отсутствия изменений в
файлах текущей версии исследуемого программного комплекса
и предыдущей версии того же программного комплекса реализуется с помощью:
a) контроля целостности;
b) фиксации исходного состояния;
c) контроля исходного состояния комплексов;
d) сравнения файлов;
e) нет верного ответа.
7. Символами «−−» в отчёте помечаются файлы:
a) которые отсутствуют;
b) которые изменились;
c) которые не изменились;
d) нет верного ответа.
8. Символами «#» и «##» в отчёте помечаются файлы:
a) которые отсутствуют;
b) которые изменились;
c) которые не изменились;
d) нет верного ответа.
9. Автоматический запуск работы программы «ФИКС
2.0.1» осуществляется в режиме «Контроль целостности» с помощью переключателя:
a) «автоматически»;
b) «полнота»;
c) «периодически»;
d) нет верного ответа.
10. Алгоритм контрольного суммирования «ВКС»:
a) это контрольное суммирование по алгоритму Верхоффа,
длина контрольной суммы – 64 бита;
b) это взвешенное контрольное суммирование, длина контрольной суммы – 64 бита;
c) это контрольное суммирование по алгоритму Верхоффа,
длина контрольной суммы – 32 бита;
d) это взвешенное контрольное суммирование, длина контрольной суммы – 32 бита.
450
Работа 18
КОНТРОЛЬ НАСТРОЕК И РАБОТЫ
АНТИВИРУСНЫХ СРЕДСТВ
Цель: получение навыков выполнения контроля настроек и работы антивирусных средств на примере программы «Антивирус
Касперского 7.0».
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Настройка Файлового Антивируса.
2. Настройка Почтового Антивируса.
3. Настройка Web-Антивируса.
4. Настройка Проактивной защиты.
5. Тестирование работоспособности антивируса.
6. Контроль целостности приложения.
АНТИВИРУСНАЯ ЗАЩИТА
Файловый Антивирус
В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту файловой системы компьютера от
заражения − Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти
компьютера и проверяет все открываемые, сохраняемые и запускаемые файлы.
По умолчанию Файловый Антивирус проверяет только новые
или измененные файлы, т.е. файлы, которые добавились или изменились со времени последнего обращения к ним. Процесс проверки
файла выполняется по следующему алгоритму:
1. Обращение пользователя или некоторой программы к каждому файлу перехватывается компонентом.
2. Файловый Антивирус проверяет наличие информации о перехваченном файле в базе iChecker™ и iSwift™. На основании полученной информации принимается решение о необходимости
проверки файла.
451
Процесс проверки включает следующие действия:
1. Файл анализируется на присутствие вирусов. Распознавание
вредоносных объектов происходит на основании баз приложения.
Базы содержат описание всех известных на настоящий момент вредоносных программ, угроз, сетевых атак и способов их обезвреживания.
2. В результате анализа возможны следующие варианты поведения приложения:
• если в файле обнаружен вредоносный код, Файловый Антивирус блокирует файл, помещает его копию в резервное хранилище
и пытается вылечить файл. В результате успешного лечения файл
становится доступным для работы, если же лечение произвести не
удалось, файл удаляется;
• если в файле обнаружен код, похожий на вредоносный, но
стопроцентной гарантии этого нет, файл подвергается лечению и
помещается в специальное хранилище − карантин;
• если в файле не обнаружено вредоносного кода, он сразу же
становится доступным для работы.
То, каким образом осуществляется защита файлов на компьютере, определяется набором параметров. Их можно разбить на следующие группы:
• параметры, определяющие типы файлов, подвергаемые анализу на вирусы;
• параметры, формирующие защищаемую область;
• параметры, задающие список файлов, которые не проверяются Файловым Антивирусом;
• параметры, определяющие использование методов эвристического анализа Файловым Антивирусом;
• дополнительные параметры работы Файлового Антивируса.
Почтовый Антивирус
В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту входящей и исходящей почты на
наличие опасных объектов, − Почтовый Антивирус. Он запускается
при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все почтовые сообщения
452
по протоколам POP3, SMTP, IMAP, MAPI1 и NNTP, а также через
защищенные соединения (SSL) по протоколам POP3 и IMAP.
По умолчанию защита почты осуществляется по следующему
алгоритму:
1. Каждое письмо, принимаемое или отправляемое пользователем, перехватывается Почтовым Антивирусом.
2. Почтовое сообщение разбирается на составляющие его части: заголовок письма, тело, вложения.
3. Тело и вложения почтового сообщения (в том числе вложенные OLE-объекты) проверяются на присутствие в нем опасных
объектов. Распознавание вредоносных объектов происходит на основании баз, используемых в работе приложения, и с помощью эвристического алгоритма. Базы содержат описание всех известных
на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах.
4. В результате проверки на вирусы возможны следующие варианты поведения:
• если тело или вложение письма содержит вредоносный код,
Почтовый Антивирус блокирует письмо, помещает копию зараженного объекта в резервное хранилище и пытается обезвредить
объект. В результате успешного лечения письмо становится доступным для пользователя, если же лечение произвести не удалось,
зараженный объект из письма удаляется. В результате антивирусной обработки в тему письма помещается специальный текст, уведомляющий о том, что письмо обработано Антивирусом Касперского;
• если тело или вложение письма содержит код, похожий на
вредоносный, но стопроцентной гарантии этого нет, подозрительная часть письма помещается в специальное хранилище − карантин;
• если в письме не обнаружено вредоносного кода, оно сразу
же становится доступным для пользователя.
Правила, по которым осуществляется проверка почты, определяются набором параметров. Их можно разбить на следующие
группы:
• параметры, определяющие защищаемый поток сообщений;
453
• параметры, задающие список объектов, которые не проверяются Почтовым Антивирусом;
• параметры, определяющие использование методов эвристического анализа Почтовым Антивирусом;
• параметры, определяющие действия над опасными объектами почтовых сообщений.
Web-Антивирус
Для обеспечения безопасности работы в интернете Антивирус
Касперского включает специальный компонент − Web-Антивирус.
Он защищает информацию, поступающую на компьютер по HTTPпротоколу, а также предотвращает запуск на компьютере опасных
скриптов.
Web-Антивирус состоит из двух модулей, обеспечивающих:
защиту HTTP-трафика − проверку всех объектов, поступающих
на компьютер пользователя по протоколу HTTP;
проверку скриптов – проверку всех скриптов, обрабатываемых
в Microsoft Internet Explorer, а также любых WSH-скриптов
(JavaScript, Visual Basic Script и др.), запускаемых при работе пользователя на компьютере, в том числе и в интернете.
Защита HTTP-трафика обеспечивается по следующему алгоритму:
1. Каждая Web-страница или файл, к которому происходит обращение пользователя или некоторой программы по протоколу
HTTP, перехватывается и анализируется Web-Антивирусом на
присутствие вредоносного кода. Распознавание вредоносных объектов происходит на основании баз, используемых в работе Антивируса Касперского, и с помощью эвристического алгоритма. Базы
содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический
алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах.
2. В результате анализа возможны следующие варианты поведения:
• если Web-страница или объект, к которому обращается пользователь, содержат вредоносный код, доступ к нему блокируется;
454
• если файл или Web-страница не содержат вредоносного кода, они сразу же становятся доступны для пользователя.
Проверка скриптов выполняется по следующему алгоритму:
1. Каждый запускаемый на Web-странице скрипт перехватывается Web-Антивирусом и анализируется на присутствие вредоносного кода.
2. Если скрипт содержит вредоносный код, Web-Антивирус
блокирует его.
3. Если в скрипте не обнаружено вредоносного кода, он выполняется.
Пользователь может настроить ряд параметров WebАнтивируса, направленных на повышение скорости работы компонента, а именно:
• определить алгоритм проверки, выбрав использование полного или ограниченного набора баз приложения;
• сформировать список адресов, содержанию которых вы доверяете.
Помимо этого пользователь может выбрать действие над опасным объектом HTTP-трафика, которое будет выполнять WebАнтивирус.
Проактивная защита
Антивирус Касперского защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах
приложения. Это обеспечивает специально разработанный компонент − Проактивная защита.
Превентивные технологии, на которых построена Проактивная
защита Антивируса Касперского, позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред
компьютеру. За счет чего это достигается? В отличие от реактивных
технологий, где анализ выполняется на основании записей баз приложений, превентивные технологии распознают новую угрозу на
компьютере по последовательности действий, выполняемой некоторой программой. В поставку программы включен набор критериев,
позволяющих определять, насколько активность той или иной программы опасна. Если в результате анализа активности последовательность действий какой-либо программы вызывает подозрение,
455
Антивирус Касперского применяет действие, заданное правилом для
активности подобного рода.
Опасная активность определяется по совокупности действий
программы. Например, при обнаружении таких действий как самокопирование некоторой программы на сетевые ресурсы, в каталог
автозапуска, системный реестр, а также последующая рассылка копий, можно с большой долей вероятности предположить, что это
программа – червь. К опасным действиям также относятся:
• изменения файловой системы;
• встраивание модулей в другие процессы;
• скрытие процессов в системе;
• изменение определенных ключей системного реестра
Microsoft Windows.
Все опасные операции отслеживаются и блокируются Проактивной защитой. В процессе работы Проактивная защита использует
набор правил, включенных в поставку программы, а также сформированных пользователем при работе с приложением. Правило – это
набор критериев, определяющих совокупность подозрительных действий и реакцию Антивируса Касперского на них. Отдельные правила предусмотрены для активности приложений, контроля изменений
системного реестра и запускаемых на компьютере программ. Пользователь может изменять правила по своему усмотрению, добавляя,
удаляя или изменяя их. Правила могут быть запрещающими или
разрешающими.
Рассмотрим алгоритм работы Проактивной защиты.
1. Сразу после запуска компьютера Проактивная защита анализирует следующие аспекты:
• действия каждого запускаемого на компьютере приложения.
История выполняемых действий и их последовательность Фиксируется и сравнивается с последовательностью, характерной для опасной активности (база видов опасной активности включена в поставку Антивируса Касперского и обновляется вместе с базами приложения);
• целостность программных модулей установленных на компьютере приложений, что позволяет избежать подмены модулей приложения, встраивания в них вредоносного кода;
• каждую попытку изменения системного реестра (удаление,
добавление ключей системного реестра, ввод значений для ключей в
456
недопустимом формате, препятствующем их просмотру и редактированию, и т.д.);
2. Анализ производится на основании разрешающих и запрещающих правил Проактивной защиты.
3. В результате анализа возможны следующие варианты поведения:
• если активность удовлетворяет условиям разрешающего правила Проактивной защиты, либо не подпадает ни под одно запрещающее правило, она не блокируется;
• если активность описана в запрещающем правиле, дальнейшая последовательность действий компонента соответствует инструкциям, указанным в правиле. Обычно такая активность блокируется. На экран выводится уведомление, где указывается приложение,
тип его активности, история выполненных действий. Пользователю
нужно самостоятельно принять решение, запретить или разрешить
такую активность. Вы можете создать правило для такой активности
и отменить выполненные действия в системе.
Проактивная защита осуществляется в строгом соответствии с
параметрами, определяющими:
1) подвергается ли контролю активность приложений на компьютере. Такой режим работы Проактивной защиты регулируется
флажком «Включить анализ активности». По умолчанию режим
включен, что обеспечивает строгий анализ действий любой программы, запускаемой на компьютере. Выделен набор опасной активности, для каждой из которых вы можете настроить порядок обработки приложений с такой активностью. Также предусмотрена
возможность формирования исключений Проактивной защиты, где
пользователь может отменить контроль активности избранных приложений;
2) включен ли контроль целостности приложений. Данная функциональность отвечает за целостность модулей установленных на
компьютере приложений и регулируется флажком «Включить контроль целостности». Целостность отслеживается по составу модулей
приложения и контрольной сумме образа самого приложения. Пользователь может сформировать правила контроля над целостностью
модулей какого-либо приложения, для этого необходимо внести
это приложение в список контролируемых;
457
3) обеспечивается ли контроль изменений системного реестра.
По умолчанию флажок «Включить мониторинг системного реестра» установлен, а значит, Антивирус Касперского анализирует все
попытки внести изменения в контролируемые ключи системного
реестра Microsoft Windows.
МЕТОДИКА И ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Настройка Файлового Антивируса
1. Откройте главное окно программы «Антивирус Касперского
7.0».
2. Нажмите кнопку «Настройка», находящуюся в нижней части
главного окна.
3. В появившемся окне настроек (рис. 18.1) выберите пункт
«Файловый Антивирус».
Рис. 18.1. Окно настроек антивируса
458
4. Убедитесь, что установлен флажок «Включить Файловый
Антивирус» и что в качестве «Действия» выбрано «Запросить действие». Такие настройки обеспечивают следующее:
• Файловый Антивирус работает;
• при обнаружении опасности пользователю будет предоставлена возможность самому выбрать необходимые действия.
5. Нажмите на кнопку «Настройка», в появившемся окне настроек Файлового Антивируса изучите возможные варианты настроек на всех вкладках.
6. Попробуйте изменять произвольным образом данные настройки и проследите, как в зависимости от установленных настроек меняется производительность программы.
7. Проанализируйте полученную информацию.
8. Нажмите кнопку «ОК» окна «Настройка: Файловый антивирус» для того чтобы закрыть его, а затем нажмите кнопку «По
умолчанию», таким образом будут восстановлены стандартные настройки Файлового Антивируса.
2. Настройка Почтового Антивируса
1. Откройте главное окно программы «Антивирус Касперского
7.0».
2. Нажмите кнопку «Настройка», находящуюся в нижней части
главного окна.
3. В появившемся окне настроек выберите пункт «Почтовый
Антивирус».
4. Убедитесь, что установлен флажок «Включить Почтовый
Антивирус», что в качестве «Действия» выбрано «Запросить действие» и что установлены все флажки в пункте «Встраивание в систему». Такие настройки обеспечивают следующее:
• Почтовый Антивирус работает;
• при обнаружении опасности пользователю будет предоставлена возможность самому выбрать необходимые действия;
• проверяются все почтовые сообщения вне зависимости от
почтового клиента;
• используется специальный модуль для почтовых клиентов
«Microsoft Office Outlook» и «The Bat!».
459
5. Нажмите на кнопку «Настройка», в появившемся окне настроек Почтового Антивируса изучите возможные варианты настроек на всех вкладках.
6. Проанализируйте полученную информацию.
7. Нажмите кнопку «Отмена» окна «Настройка: Почтовый антивирус» для того чтобы закрыть его.
3. Настройка Web-Антивируса
1. Откройте главное окно программы «Антивирус Касперского
7.0».
2. Нажмите кнопку «Настройка», находящуюся в нижней части
главного окна.
3. В появившемся окне настроек выберите пункт «WebАнтивирус».
4. Убедитесь, что установлен флажок «Включить WebАнтивирус», что в качестве «Действия» выбрано «Запросить действие» и что установлены все флажки в пункте «Встраивание в систему». Такие настройки обеспечивают следующее:
• Web-Антивирус работает;
• при обнаружении опасности пользователю будет предоставлена возможность самому выбрать необходимые действия;
• проверяется весь трафик, передаваемый по протоколу HTTP;
• используется специальный встраиваемый модуль для
«Microsoft Internet Explorer».
5. Нажмите на кнопку «Настройка», в появившемся окне настроек Web-Антивируса изучите возможные варианты настроек на
всех вкладках.
6. Проанализируйте полученную информацию.
7. Нажмите кнопку «Отмена» окна «Настройка: WebАнтивирус», для того чтобы закрыть его.
4. Настройка Проактивной защиты
1. Откройте главное окно программы «Антивирус Касперского
7.0».
2. Нажмите кнопку «Настройка», находящуюся в нижней части
главного окна.
460
3. В появившемся окне настроек выберите пункт «Проактивная
защита».
4. Убедитесь, что установлены флажки «Включить Проактивную защиту», «Включить анализ активности», «Включить контроль
целостности» и «Включить мониторинг системного реестра». При
необходимости установите недостающие флажки.
5. Изучите всевозможные настройки «Проактивной Защиты».
6. Проанализируйте полученную информацию.
5. Тестирование работоспособности антивируса
и контроль целостности приложения
Контроль работы антивируса. Перейдите на официальный
сайт организации EICAR (The European Institute for Computer
Antivirus Research) по ссылке http://www.eicar.org/anti_virus_test_
file.htm. Если это не представляется возможным, обратитесь к
инженеру (учебно-вспомогательный персонал), сопровождающему
проведение учебных занятий в данной учебной лаборатории.
1. Поочередно попробуйте загружать и запускать предложенные «тестовые вирусы», делая скрин-шоты сообщений антивируса.
2. Проанализируйте работу антивируса.
Контроль целостности приложений:
1. Откройте главное окно программы «Антивирус Касперского
7.0».
2. Нажмите кнопку «Настройка», находящуюся в нижней части
главного окна.
3. В появившемся окне настроек выберите пункт «Проактивная
защита».
4. Нажмите кнопку «Настройка...» в поле «Контроль целостности приложений».
5. В появившемся окне (рис. 18.2), на вкладке «контролируемые
приложения» нажмите кнопку «Добавить...», а затем «Обзор...».
6. Найдите и выберите произвольный исполняемый файл (*.exe),
нажав кнопку «Открыть».
7. В поле «Отслеживать запуск следующих приложений», выделите добавленное приложение.
461
Рис. 18.2. Окно настроек контроля целостности
8. В нижней части текущего окна, в поле «Запуск» нажмите на
«Разрешить», после чего эта надпись изменится на «Запросить действие». Таким образом, произведено ограничение на запуск выбранного приложения.
9. Сохраните изменения настроек, нажав кнопку «ОК» окна
«Настройка: контроль целостности», а затем кнопку «Применить»
главного окна настроек программы.
10. Найдите и попробуйте запустить выбранное в пункте 6
приложение.
11. Проанализируйте работу антивируса, сделайте скрин-шот
сообщения антивируса.
12. Отмените произведенные ранее настройки «Антивируса
Касперского 7.0», удалив добавленное в пункте 10 приложение из
списка контролируемых.
462
Подготовка отчёта
1. В отчете кратко опишите выполненные действия.
2. Затем в качестве полученных результатов предоставьте
скрин-шоты сообщений антивируса.
3. Приведите анализ полученных в работе результатов.
Тестовые задания к работе 18
Входной контроль
1. Средство защиты от НСД:
a) это программное, техническое или программно-техническое
средство, предназначенное для предотвращения или существенного
затруднения несанкционированного доступа;
b) это программное, техническое или программно-техническое
средство, предназначенное для полного и гарантированного предотвращения несанкционированного доступа;
c) нет верного ответа.
2. Основные компоненты защиты, реализованные в программе «Антивирус Касперского 7.0»:
a) Файловый Антивирус;
b) Почтовый Антивирус;
c) Web-Антивирус;
d) Проактивная защита.
3. Компонент, который запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все почтовые сообщения:
a) Файловый Антивирус;
b) Почтовый Антивирус;
c) Web-Антивирус;
d) Проактивная защита.
4. Компонент, который защищает информацию, поступающую на компьютер по HTTP-протоколу, а также предотвращает запуск на компьютере опасных скриптов:
a) Файловый Антивирус;
b) Почтовый Антивирус;
463
c) Web-Антивирус;
d) Проактивная защита.
5. Компонент, который запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые файлы:
a) Файловый Антивирус;
b) Почтовый Антивирус;
c) Web-Антивирус;
d) Проактивная защита.
6. Компонент, который защищает не только от известных
угроз, но и от новых, информация о которых отсутствует в базах приложения:
a) Файловый Антивирус;
b) Почтовый Антивирус;
c) Web-Антивирус;
d) Проактивная защита.
7. Проверка почтовых сообщений осуществляется по протоколам:
a) IMAP;
b) ACAP;
c) DMSP;
d) MAPI1;
e) NNTP.
8. Обращение пользователя или некоторой программы к
каждому файлу перехватывается компонентом «Файловый
Антивирус»:
a) да;
b) нет;
c) не определено.
9. Web-Антивирус состоит из двух модулей, обеспечивающих:
a) защиту FTP-трафика;
b) защиту HTTP-трафика;
c) защиту HTTPS-трафика;
d) проверку скриптов;
e) проверку исходных кодов программ.
464
10. Проактивная защита Антивируса Касперского построена на основе:
a) реактивных технологий;
b) превентивных технологий;
c) ревентивных технологий;
d) нет верного ответа.
Выходной контроль
1. Процесс проверки файлов может включать следующие
действия:
a) лечение и перемещение в карантин;
b) удаление;
c) анализ на присутствие вирусов;
d) передача на анализ в Web-центр поддержки;
e) нет верного ответа.
2. Правила, по которым осуществляется проверка почты,
можно разбить на следующие группы:
a) параметры, определяющие защищаемый поток сообщений;
b) параметры, задающие список объектов, которые не проверяются Почтовым Антивирусом;
c) параметры, определяющие использование методов эвристического анализа Почтовым Антивирусом;
d) параметры, определяющие список проверяемых почтовых
протоколов;
e) параметры, определяющие действия над опасными объектами почтовых сообщений.
3. К опасным действиям, Фиксируемым Проактивной Защитой, не относятся:
a) самокопирование некоторой программы;
b) изменения файловой системы;
c) встраивание модулей в другие процессы;
d) скрытие процессов в системе;
e) изменение определенных ключей системного реестра;
f) нет верного ответа.
4. Файловый Антивирус проверяет наличие информации о
перехваченном файле в базе:
a) iVirus™;
465
b) iChecker™;
c) iSwift™;
d) iFolder™.
5. Если в файле обнаружен код, который похож на вредоносный, то этот файл:
a) удаляется;
b) подвергается лечению;
c) проходит повторную проверку;
d) отправляется в карантин;
e) сразу же становится доступным для работы;
f) нет верного ответа.
6. Если тело или вложение письма содержит вредоносный
код, Почтовый Антивирус:
a) передает письмо пользователю;
b) удаляет письмо;
c) помещает копию зараженного объекта в резервное хранилище и пытается обезвредить объект;
d) блокирует письмо;
e) нет верного ответа.
7. Почтовый Антивирус имеет специальные модули для работы с почтовыми клиентами:
a) «Microsoft Office Outlook»;
b) «The Bat!»;
c) «DreamMail»;
d) «Mozilla Thunderbird».
8. Пользователь может настроить ряд параметров WebАнтивируса, направленных на повышение скорости работы
компонента, а именно:
a) определить алгоритм проверки;
b) определить скорость проверки;
c) сформировать список адресов, содержанию которых пользователь не доверяет;
d) сформировать список адресов, содержанию которых пользователь доверяет;
e) нет верного ответа.
9. Если Web-страница или объект, к которому обращается
пользователь, содержат вредоносный код, то Web-Антивирус:
a) разрешает доступ к нему;
466
b) разрешает ограниченный доступ к нему;
c) блокирует доступ к нему;
d) лечит его.
10. Сразу после запуска компьютера Проактивная защита
анализирует следующие аспекты:
a) целостность программных модулей установленных на компьютере приложений;
b) каждую попытку изменения файловой системы;
c) действия каждого запускаемого на компьютере приложения;
d) каждую попытку изменения системного реестра;
e) нет верного ответа.
467
Работа 19
КОНТРОЛЬ ВОССТАНОВЛЕНИЯ БАЗЫ ДАННЫХ
ПРИ РАЗНЫХ СЦЕНАРИЯХ ПОТЕРИ/ПОВРЕЖДЕНИЯ
ФАЙЛОВ, ФИЗИЧЕСКОГО КОПИРОВАНИЯ
И АРХИВИРОВАНИЯ ДАННЫХ
Цель: получение навыков практического решения конкретных
задач восстановления базы данных с использованием физических
копий и архивированных данных.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. База данных переведена в режиме noarchivelog (не архивируется). Имеется «холодная» резервная копия файла users01.dbf базы
данных. После формирования «холодной» копии выполняется
транзакция в схеме пользователя, данные которого находятся в
файле users01.dbf. В ходе работы с БД (после выполненной завершенной транзакции) «утерян» файл данных users01.dbf. Требуется
восстановить утерянный файл.
2. База данных находится в режиме archivelog (архивируется).
Формируем «горячую» резервную копию файла users01.dbf базы
данных. После формирования «холодной» копии выполняется
транзакция в схеме пользователя, данные которого находятся в
файле users01.dbf. В ходе работы с БД (после выполненной завершенной транзакции) «утерян» файл данных users01.dbf. Требуется
восстановить утерянный файл.
3. База данных находится в режиме archivelog (архивируется).
Выполняется длинная транзакция, в ходе выполнения которой
формируется несколько файлов журнализации. Затем происходит
внезапная остановка базы данных (shutdown abort), после которой
«теряются» незаархивированные оперативные файлы журнализации. Требуется восстановить базу данных с созданием новых файлов журнализации.
ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ
1. База данных переведена в режиме noarchivelog (не архивируется). Имеется «холодная» резервная копия файла users01.dbf базы
468
данных. После формирования «холодной» копии выполняется
транзакция в схеме пользователя, данные которого находятся в
файле users01.dbf. В ходе работы с БД (после выполненной завершенной транзакции) «утерян» файл данных users01.dbf. Требуется
восстановить утерянный файл.
Лабораторная работа выполняется копированием нижеприводимых команд и выполнением их в окне SQL*Plus.
Остановим БД, чтобы потом смонтировать ее (startup mount)
для обеспечения возможности перевода ее в режим noarchivelog
connect sys/admin1 as sysdba
shutdown immediate
startup mount
alter database noarchivelog;
Вот теперь откроем БД
alter database open;
Получим справку о режиме архивации
archive log list;
Теперь видно, что нет log файла для архивациии.
Восстановим к первоначальному «эталонному» виду таблицу
dept, которая могла быть изменена предыдущим выполнением
archive_mod.sql;
delete from scott.dept where deptno=1;
select * from scott.dept;
commit;
Теперь сформируем «холодную» копию файлa users01.dbf. Копию именно этого файла мы сделаем потому, что далее именно
этот файл будет «испорчен» (на самом деле − удален), имитируя
неисправность БД, требующую восстановления с использованием
«холодной» (полученной в остановленной БД) копии БД. С этим
файлом связана tablespace users, которая установлена для пользователя scott при его создании (здесь надо проверить этот факт и пересоздать пользователя scott с default tablespace users, если он был
создан с другим по умолчанию табличным пространством).
На самом деле, в эксплуатируемых системах неизвестно заранее, какой файл «откажет», поэтому копируют всю базу целиком
(все файлы БД).
Shutdown immediate
469
Далее средствами ОС Windows копируем все файлы в папку
d:\cool_copy из папки d:\oracle\product\10.2.0\oradata\orcl на диск с
наибольшим объемом свободной памяти. Еще раз запустим базу
данных, чтобы затем выполнить в ней изменения. Здесь и далее при
выполнении лабораторной работы, возможно, придется учитывать факт другого расположения home_directory Oracle. В этом
случае указанные здесь пути необходимо скорректировать.
startup
Выполним новую транзакцию – добавим в таблицу scott.dept
новую запись и заФиксируем ее.
insert into scott.dept values(1,'Publication','Moscow');
commit;
select * from scott.dept;
Теперь БД отличается от «холодной» копии, так как добавилась
новая транзакция.
shutdown immediate
Сымитируем неисправность файлов с данными, удалим
USERS01.DBF
средствами
ОС
Windows
из
папки
…:\oracle\product\10.2.0\oradata\orcl.
После «порчи» файла данных USERS01.DBF восстанавливаем
его из «холодной» копии простым копированием из папки
…:\cool_copy в папку …:\oracle\product\10.2.0\oradata\orcl. Отметим, что мы скопировали файл, в котором нет новой строки в таблице dept пользователя scott.
Мы не стали здесь стартовать БД, чтобы не тратить время. Ясно, что при попытке старта нам будет выдано сообщение об отсутствии файла данных users01.dbf, после чего нам надо будет останавливать БД и копировать резервную копию файла Users01.dbf.
Будем полагать, что мы прошли все эти стадии.
Вот теперь, после такого восстановления файла данных
USERS01.DBF стартуем БД.
startup
База данных смонтирована, но не открыта. Oracle зарегистрировал расхождение в номере последней транзакции в файле данных
из «холодной» копии и в управляющем файле БД, зарегистрировавшем последнюю транзакцию − добавление записи в scott.dept.
Из-за этого расхождения Oracle требует восстановления базы данных.
470
Теперь «попросим» Oracle выполнить восстановление, что он и
сделает с использованием информации из log файлов:
recover automatic database;
alter database open;
select * from scott.dept;
Новая строка в таблице «dept», которой не могло быть в «холодной» копии users01.dbf, появилась из log файла повторным выполнением транзакции.
2. База данных находится в режиме archivelog (архивируется).
Формируем «горячую» резервную копию файла users01.dbf базы
данных. После формирования «холодной» копии выполняется
транзакция в схеме пользователя, данные которого находятся в
файле users01.dbf. В ходе работы с БД (после выполненной завершенной транзакции) «утерян» файл данных users01.dbf. Требуется
восстановить утерянный файл.
Для того чтобы задействовать архивацию, надо в смонтиованной, но не открытой базе данных выполнить команду, связанную с
архивацией
shutdown immediate
startup mount
Смонтировали базу данных для обеспечения возможности перевода ее в режим архивирования:
alter database archivelog;
Теперь откроем БД:
alter database open;
Получим справку о режиме архивации:
archive log list;
Видно по выводимой информации, что есть log файл для архивации − log файл со старшим номером, как это и должно быть.
Восстановим к первоначальному «эталонному» виду схему
scott, т.е. удалим две таблицы, которые могли быть созданы при
предыдущем выполнении этого раздела лабораторной работы:
drop table scott.tab1 cascade constraint;
drop table scott.tab2 cascade constraint;
commit;
Теперь сформируем «горячую» копию файлa users01.dbf. Копию именно этого файла мы сделаем потому, что далее именно
471
этот файл будет «испорчен» (на самом деле − удален), имитируя
неисправность БД, требующую восстановления с использованием
«горячей» (полученной в работающей БД) копии БД. С этим файлом связана tablespace users, которая установлена для пользователя
scott при его создании.
Создадим директорию для хранения «горячей» копии
users01.dbf.host MKDIR d:\g_copy − теперь сохраним состояние базы данных на диск
ALTER SYSTEM CHECKPOINT;
Начинается режим резервного копирования, который разрешается (begin backup) или запрещается (end backup) на уровне отдельного табличного пространства.
ALTER TABLESPACE USERS BEGIN BACKUP;
$D:\oracle\product\10.2.0\db_1\BIN\OCOPY
D:\oracle\product\10.2.0\oradata\orcl\USERS01.DBF
d:\g_copy\USERS01.DBF
ALTER TABLESPACE USERS END BACKUP;
Выше приведенные строки написаны для Oracle 10g. Для Oracle
11g путь
\oracle\product\10.2.0\db_1\bin\ надо заменить здесь и везде ниже
по тексту на %ORACLE_HOME%\bin.
Копия users01.dbf теперь в папке d:\g_copy. Выполним теперь в
базе данных изменения: добавим таблицы scott.tab1(at1 number) и
scott.tab2(at1 number), новую запись в таблицу scott.tab1 и заФиксируем (commit;) в БД это добавление:
create table scott.tab1(at1 number);
create table scott.tab2(at1 number);
insert into scott.tab1 values(1);
commit;
select * from scott.tab1;
Теперь БД отличается от «горячей» копии, так как добавились
новые таблицы и новая запись, т.е. добавились новые транзакции.
Остановим БД, чтобы внести неисправность в нее.
shutdown immediate
Сымитируем неисправность файлов с данными: удалим
USERS01.DBF
средствами
OC
Windows
из
папки
…:\oracle\product\10.2.0\oradata\orcl.
472
После порчи файла данных восстанавливаем его из «горячей»
копии в папке «d:\g_copy» простым копированием. Отметим, что
мы скопировали файл, в котором нет новых таблиц пользователя
scott.Мы не стали здесь стартовать БД, чтобы не тратить время. Ясно, что при попытке старта нам будет выдано сообщение об отсутствии файла данных users01.dbf, после чего нам надо будет останавливать БД и копировать резервную копию файла Users01.dbf.
Будем полагать, что мы прошли все эти стадии.
Вот теперь, после такого восстановления файла данных стартуем БД.
startup
Oracle зарегистрировал расхождение в номере последней транзакции в файлах данных из «горячей» копии и в управляющем
файле БД, зарегистрировавшем последнюю транзакцию − добавление таблиц в схеме scott. Поэтому база данных смонтирована, но не
открыта. Теперь «попросим» Oracle выполнить восстановление, что
он и сделает с использованием информации из log файлов:
recover automatic database;
alter database open;
select * from scott.tab1;
Новая строка появилась при восстановлении из log файла повторным выполнением транзакции.
3. База данных находится в режиме archivelog (архивируется).
Выполняется длинная транзакция, в ходе выполнения которой
формируется несколько файлов журнализации. Затем происходит
внезапная остановка базы данных (shutdown abort), после которой
«теряются» незаархивированные оперативные файлы журнализации. Требуется восстановить базу данных с созданием новых файлов журнализации.
connect sys/sys as sysdba
Пересоздадим пользователя scott с другим табличным пространством, специально для него созданным, так как tablespace
users мало для емких транзакций, которые нам потребуются, чтобы
выполнить наш пример восстановления.
Нижеприведенные строки написаны для Oracle 10g. При работе
с Oracle 11g надо заменить путь D:\oracle\product\10.2.0\ на путь
473
D:\app\admin\, при условии, конечно, что сервер Oracle установлен
на диске D:
drop user scott cascade;
drop tablespace main_tablespace INCLUDING CONTENTS;
host del D:\oracle\product\10.2.0\oradata\orcl\mmain.dbf;
drop tablespace maintemp INCLUDING CONTENTS;
host del D:\oracle\product\10.2.0\oradata\orcl\ttemp.dbf;
create tablespace main_tablespace datafile
'D:\oracle\product\10.2.0\oradata\orcl\mmain.dbf'
size 300M default storage (initial 1M next 1M
minextents 1 maxextents 300);
CREATE TEMPORARY TABLESPACE maintemp TEMPFILE
'D:\oracle\product\10.2.0\oradata\orcl\ttemp.dbf'
SIZE 100M;
create user scott identified by scott
default tablespace main_tablespace
temporary tablespace maintemp
quota 30m on main_tablespace;
grant connect,resource,create view to scott;
Задействуем архивацию:
shutdown immediate
startup mount
Смонтировали базу данных (startup mount) для обеспечения
возможности перевода ее в режим archivelog
alter database archivelog;
Теперь откроем БД:
alter database open;
Получим справку о режиме архивации:
archive log list;
Теперь средствами ОС Windows сформируем копированием в
папку «d:\h_copy» из папки «d:\oracle\product\10.2.0\oradata\orcl»
«холодную» копию файлов БД (всех, за исключением управляющих
и log файлов). Удалим средствами ОС Windows из папки
«D:\oracle\product\10.2.0\flash_recovery_area\ORCL» все архивные
474
файлы, оставшиеся от предыдущего выполнения лабораторной работы. Перед копированием остановим инстанцию.
shutdown immediate
Запустим базу данных, чтобы затем выполнить в ней «длинную» транзакцию с образованием архивных файлов:
startup
connect scott/scott
create table scott.tab1(at1 number);
create table scott.tab2(at1 number);
create table scott.tab3 (at1 number);
create table scott.tab4(at1 number);
create table scott.tab5(at1 number);
create table scott.tab6(at1 number);
Начнем наши «длинные» транзакции, чтобы сформировать архивные копии файлов журнализации транзакций:
insert into scott.tab2 values(1);
insert into scott.tab1 values(1);
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
475
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
Сделаем здесь первый commit и проверим, не появились ли к
этому моменту в папке D:\oracle\product\10.2.0\flash_recovery_
area\ORCL\дата_архивации, первые архивные файлы. Следует обратить внимание на место папки архивации. Oracle создает ее в
месте, которое по умолчанию (реализуемому при установке Oracle)
предусмотрено для архивирования, причем название той папки,
куда непосредственно ложатся архивные файлы, совпадает с текущей датой:
commit;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab2 select * from scott.tab1;
insert into scott.tab1 select * from scott.tab2;
Сделаем здесь второй commit и посмотрим в папке D:\oracle\
product\10.2.0\flash_recovery_area\ORCL\дата_архивации, возможно, появившиеся архивные файлы:
insert into scott.tab3 values(1);
insert into scott.tab4 values(1);
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
Сделаем здесь третий commit и посмотрим в папке
D:\oracle\product\10.2.0\flash_recovery_area\ORCL\дата_архивации,
возможно, появившиеся архивные файлы:
commit;
476
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
Сделаем здесь четвертый commit и посмотрим в папке
D:\oracle\product\10.2.0\flash_recovery_area\ORCL\дата_архивации,
возможно, появившиеся архивные файлы:
commit;
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
insert into scott.tab3 select * from scott.tab4;
insert into scott.tab4 select * from scott.tab3;
insert into scott.tab3 select * from scott.tab4;
Сделаем здесь пятый commit и посмотрим в папке
D:\oracle\product\10.2.0\flash_recovery_area\ORCL\дата_архивации,
возможно, появившиеся архивные файлы:
commit;
insert into scott.tab5 values(1);
insert into scott.tab6 values(1);
insert into scott.tab5 select * from scott.tab6;
insert into scott.tab6 select * from scott.tab5;
insert into scott.tab5 select * from scott.tab6;
insert into scott.tab6 select * from scott.tab5;
insert into scott.tab5 select * from scott.tab6;
insert into scott.tab6 select * from scott.tab5;
insert into scott.tab5 select * from scott.tab6;
insert into scott.tab6 select * from scott.tab5;
insert into scott.tab5 select * from scott.tab6;
Сделаем здесь шестой commit и посмотрим в папке
D:\oracle\product\10.2.0\flash_recovery_area\ORCL\дата_архивации,
возможно, появившиеся архивные файлы:
commit;
Выведем количество строк во всех таблицах после этого
«commit»:
477
select count (*) from scott.tab1;
select count (*) from scott.tab2;
select count (*) from scott.tab3;
select count (*) from scott.tab4;
select count (*) from scott.tab5;
select count (*) from scott.tab6;
insert into scott.tab5 select * from scott.tab6;
insert into scott.tab6 select * from scott.tab5;
insert into scott.tab5 select * from scott.tab6;
insert into scott.tab6 select * from scott.tab5;
insert into scott.tab5 select * from scott.tab6;
insert into scott.tab6 select * from scott.tab5;
insert into scott.tab5 select * from scott.tab6;
insert into scott.tab6 select * from scott.tab5;
insert into scott.tab5 select * from scott.tab6;
Сделаем здесь седьмой commit и посмотрим в папке
D:\oracle\product\10.2.0\flash_recovery_area\ORCL\дата_архивации,
возможно, появившиеся архивные файлы.
commit;
Выведем количество строк во всех таблицах после этого
«commit»:
select count (*) from scott.tab1;
select count (*) from scott.tab2;
select count (*) from scott.tab3;
select count (*) from scott.tab4;
select count (*) from scott.tab5;
select count (*) from scott.tab6;
insert into scott.tab5 select * from scott.tab6;
insert into scott.tab6 select * from scott.tab5;
insert into scott.tab5 select * from scott.tab6;
insert into scott.tab6 select * from scott.tab5;
insert into scott.tab5 select * from scott.tab6;
Сделаем здесь восьмой commit и посмотрим в папке
D:\oracle\product\10.2.0\flash_recovery_area\ORCL\дата_архивации,
возможно, появившиеся архивные файлы.
commit;
Выведем количество строк во всех таблицах после этого
«commit»:
478
select count (*) from scott.tab1;
select count (*) from scott.tab2;
select count (*) from scott.tab3;
select count (*) from scott.tab4;
select count (*) from scott.tab5;
select count (*) from scott.tab6;
insert into scott.tab1 select * from scott.tab2;
insert into scott.tab4 select * from scott.tab3;
insert into scott.tab6 select * from scott.tab5;
Здесь commit не будем делать, чтобы лишний раз убедиться,
что незавершенная транзакция не восстанавливается.
Выведем количество строк во всех таблицах после этой незавершенной транзакции:
select count (*) from scott.tab1;
select count (*) from scott.tab2;
select count (*) from scott.tab3;
select count (*) from scott.tab4;
select count (*) from scott.tab5;
select count (*) from scott.tab6;
БД сильно отличается от «холодной» копии, так как добавились
новые транзакции. Закроем командой shutdown abort базу данных
без завершения (без commit) транзакции.
shutdown abort
Теперь имитируем потерю log файлов ‒ удалим их (Redo01.log,
Redo02.log, Redo03.log) средствами ОС Windows из папки
«D:\oracle\product\10.2.0\oradata\orcl».
Так как log файлы «потеряны», приступим к восстановлению
(неполному, так как полное невозможно). Незавершенные транзакции, конечно, не будут восстановлены, так как повторного их выполнения не произойдет. Но, возможно, будут потеряны и некоторые из завершенных транзакций, так как эти завершенные транзакции могут находиться только в файлах журнализации (которые и
«потеряны»), но еще не переместятся в архивные файлы.
Для восстановления перезапишем (поверх существующих) из
папки «d:\h_copy» в папку «d:\oracle\product\10.2.0\oradata\orcl»
файлы «холодной» копии БД, в которых отсутствуют созданные и
479
заполненные после копирования файлов БД таблицы tab1 - tab6.
Теперь эти таблицы и заполнившие их строки могут находяться
только в архивных файлах.
Монтируем БД, так как открытия все равно не получится.
Connect sys/admin1 as sysdba
startup mount
Oracle зарегистрировал расхождение в номере последней транзакции в файлах данных из «холодных» копий и в управляющем
файле БД, зарегистрировавшем номер последней транзакции ‒ добавление записей в scott.tab1 - scott.tab6.
Теперь «попросим» Oracle выполнить следующий шаг восстановления:
recover database until cancel;
При отработке этой команды Oracle предложит восстановить
информацию из архивного файла с указанием адреса его расположения и номеров SCN (System Change Number) транзакций в этом
архивном файле. Если такой архивный файл в папке D:\oracle
\product\10.2.0\flash_recovery_area\ORCL\дата_архивации существует, мы нажимаем клавишу «Enter» с тем, чтобы продолжить восстановление. Такое предложение (восстановить информацию из
архивного файла) может повториться несколько раз ‒ по числу архивных файлов и еще один раз. «Enter» надо вводить до тех пор,
пока Oracle не предложит нам вводить информацию из архивного
файла, которого в вышеназванной папке уже нет. В этом случае и
надо ввести «cansel». Именно «cansel», но не «cansel;».
cansel
Следующий шаг ‒ нижеприводимая команда, открывающая БД
с созданием новых log файлов.
alter database open resetlogs;
Посмотрим, до какого состояния мы восстановили информацию
в таблицах tab1 и tab2:
select count (*) from scott.tab1;
select count (*) from scott.tab2;
select count (*) from scott.tab3;
select count (*) from scott.tab4;
select count (*) from scott.tab5;
select count (*) from scott.tab6;
480
Сопоставив результаты этих селектов с вышеприведенными селектами чтобы увидеть, что мы потеряли из-за «порчи» файлов
журнализации.
Сценарий восстановления на этом завершен.
Сдача лабораторной работы
Сдача лабораторной работы заключается:
– в демонстрации студентом преподавателю восстановления базы данных по п. 1 и 2 работы для tablespace, отличной от
users01.dbf, например, для example01.dbf;
– в демонстрации студентом преподавателю выполнения п. 3
работы для таблиц tt1, tt2, созданных для нового пользователя
student с установленным для этого пользователя «собственным»
табличным пространством размером 400 Мб.
Тестовые задания к работе 19
Входной контроль
1. Укажите в ряду нижеперечисленных цифр значение, равное минимальному количеству оперативных файлов журнала
повторного выполнения:
a) 1;
b) 2;
c) 3;
d) 4;
e) правильных ответов нет.
2. В ходе процесса восстановления базы данных приходится
издавать команды shutdown (immediate) и startup. Среди нижеприведенных строк укажите строки, соответствующие отдельным шагам открытия базы данных:
a) MOUNT;
b) NOMOUNT;
c) OPEN;
d) RECOVERY;
e) правильных ответов нет.
481
3. На открытой базе данных работа завершается, если происходит (укажите верные строки)…
a) потеря хотя бы одного управляющего файла;
b) потеря файла табличного пространства SYSTEM;
c) потеря табличного пространства UNDO;
d) теряется целиком вся журнальная группа;
e) правильных ответов нет.
4. Какие основные типы блоков памяти (Oracle) представлены в работающей базе данных?
a) блоки памяти, информация из которых была использована
завершенными транзакциями, но не обновленные в связи с этими
завершенными транзакциями;
b) блоки памяти, информация из которых используется незавершенными транзакциями, и, несмотря на незавершенность транзакции, содержащие промежуточную информацию этих незавершенных транзакций;
c) согласованные блоки памяти, хранящие действительную информацию завершенных транзакций;
d) блоки, не заполненные информацией;
e) правильных ответов нет.
5. В нижеприводимом списке укажите строки, соответствующие структурам, обеспечивающим восстановление после
сбоев/отказов базы данных:
a) сегменты отката;
b) журналы повторного выполнения;
c) области памяти процессов;
d) средства восстановления распределенных транзакций;
e) правильных ответов нет.
6. В нижеприведенных строках укажите строки, соответствующие фазам восстановления экземпляра после сбоя (по питанию) компьютера, на котором установлен сервер Oracle:
a) после открытия базы данных незавершенные транзакции откатываются назад;
b) после «наката» всех транзакций база данных открывается;
c) в случае несовпадения системного номера изменений (SCN) в
управляющем файле и файле базы данных, Oracle обращается к
файлам журнала повторного выполнения и «накатывает» все транзакции до точки сбоя;
482
d) проверяется совпадение системного номера изменений (SCN)
в управляющем файле и файле базы данных;
e) правильных ответов нет.
7. Укажите среди нижеприводимых строки, соответствующие верным утверждениям в отношении ситуаций восстановления базы данных:
a) оперативный журнал повторного выполнения используется
для корректировки файлов данных в случае ошибки СУБД в выполнении SQL оператора выборки больших объемов данных;
b) оперативный журнал повторного выполнения используется
для корректировки файлов данных в случае сбоя питания;
c) архивные журналы повторного выполнения используются
для восстановления конфигурационных файлов (файла конфигурационных параметров, файлов сетевой настройки) в случае сбоя
диска;
d) архивные журналы повторного выполнения используются
для восстановления файлов данных в случае сбоя диска;
e) правильных ответов нет.
Выходной контроль
1. Создание каких копий предполагает физическое копирование?
a) файлов данных базы данных Oracle;
b) таблиц, индексов и представлений базы данных;
c) контрольных файлов, файла инициализационных параметров;
d) программных модулей базы данных;
e) log файлов, файла паролей;
f) правильных ответов нет.
2. Укажите причину, по которой при «горячем» копировании Oracle устанавливает специальный режим копирования
для табличных пространств (alter tablespace…begin beckup).
Физические копии должны использоваться для восстановления исходной информации…
a) совместное потребление ресурсов процессора администратором, осуществляющим копирование, и пользователем;
483
b) возможность одновременной работы с одним и тем же блоком хранимых данных и программы «горячего» копирования, и
пользователей;
c) обеспечение возможности копирования табличных пространств несколькими администраторами базы данных;
d) возможность непривилегированного пользователя остановить процесс копирования;
e) остановка выполнения транзакций пользователями при копировании;
f) правильных ответов нет.
3. В чем состоит отличие работы с log файлами при «горячем» копировании и в режиме работы базы данных без «горячего» копирования с включенным режимом архивации?
a) в log файлы несогласованные копируемые блоки хранимых
данных пишутся целиком;
b) в log файлы согласованные копируемые блоки хранимых
данных пишутся целиком;
c) запись блоков в log файлы совсем не производится;
d) в log файлы пишутся только заголовки несогласованных блоков;
e) в log файлы пишутся выявленные при копировании ошибки в
несогласованных блоках;
f) правильных ответов нет.
4. Укажите ситуации, в которых требуется выполнение физического восстановления:
a) текущая сессия пользователя была прервана выключением
клиентского компьютера;
b) надо сделать работающую копию текущей базы данных на
другом компьютере с теми же версиями ОС и Oracle;
c) надо восстановить базу данных в случае замены или изменения разделов диска;
d) один или несколько файлов данных были повреждены или
потеряны;
e) надо восстановить базу данных по состоянию на определенный момент в прошлом;
f) правильных ответов нет.
484
5. Укажите причину, по которой из копии базы данных, полученной в результате «холодного» копирования, можно выполнить только частичное восстановление базы данных:
a) отсутствие в «холодной» копии базы данных некоторых файлов данных;
b) отсутствие в «холодной» копии базы данных схемы "SYS";
c) отсутствие информации аудита базы данных, сформированной
в базе данных в ходе ее работы после «холодного» копирования;
d) отсутствие информации трассировки базы данных, сформированной в базе данных в ходе ее работы после «холодного» копирования;
e) потеря архивных или log файлов, сформированных в ходе работы базы данных уже после получения «холодной» копии базы
данных;
f) правильных ответов нет.
6. В ходе работы пользователя (с привилегией «sysdba») с
базой данных Oracle произошел сбой по питанию. После перезагрузки ОС база данных монтируется, но не открывается. Какие команды выполняет пользователь в ходе восстановления
базы данных?
a) recover automatic database;
b) recover database automatic;
c) alter database open;
d) startup nomount;
e) alter system recover database automatic;
f) правильных ответов нет.
7. В ходе работы в режиме архивирования пользователя базы данных (с привилегией «sysdba») произошел сбой базы данных из-за потери log файлов. Наряду с физической копией базы
данных в распоряжении пользователя имеются архивные файлы. Какие команды выполняет пользователь в ходе восстановления базы данных?
a) startup mount;
b) recover database until cancel;
c) нажатие (может быть, неоднократное) клавиши «Enter»;
d) cansel;
e) alter database open resetlogs;
f) правильных ответов нет.
485
Работа 20
КОНТРОЛЬ ВОССТАНОВЛЕНИЯ БАЗЫ ДАННЫХ
МЕТОДАМИ ЛОГИЧЕСКОГО КОПИРОВАНИЯ
Цель: получение практических навыков контроля резервирования и восстановления базы данных методами логического копирования с использованием утилит логического копирования Oracle.
ПЛАН ПРОВЕДЕНИЯ РАБОТЫ
1. Работа с утилитами «exp», «imp». Общее знакомство с утилитами. Примеры выполнения выгрузки и загрузки данных. Примеры
восстановления запорченной в таблице информации. Опции выгрузки и загрузки. Трассировка работы утилит.
2. Работа с утилитами «expdp», «impdp». Создание директории
– объекта файловой системы ОС и директории – объекта базы данных для хранения результатов экспорта. Манипулирование процессом выгрузки. Различные опции утилит «expdp», «impdp». Использование PL/SQL API для выгрузки данных. Технологиz data pump
Oracle и внешние таблицы.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Работа с утилитами «exp», «imp». Общее знакомство с утилитами. Примеры выполнения выгрузки и загрузки данных. Примеры
восстановления запорченной в таблице информации. Опции выгрузки и загрузки. Трассировка работы утилит.
В окне DOS введем команду (работа с утилитами выполняется в
окне DOS пользователем с привилегией администратора ОС)
exp help=y
Выводится таблица с представленным в ней описанием параметров утилиты «exp».
Выполним экспорт таблиц пользователя «scott». Для того чтобы
в дальнейшем можно было работать в схеме «scott», надо пользователем «system» выполнить команды разблокировки (alter user scott
account unlock;) и изменения пароля (alter user scott identified by
scott;) пользователя.
486
exp system/system@orcl owner=scott file=c:\tmp\emp.scott
log=c:\tmp\scott.log
Экспорт выполняется пользователем «system», обладающим
ролью «dba», которой принадлежит системная привилегия
«expfulldatabase». Выполнять экспорт пользователем с привилегией
«sysdba» Oracle не рекомендует, так как параметр экспорта определяемый ключевым словом «consistent» (требование согласованности выгружаемых таблиц, с которыми во время экспорта выполняются транзакции) для пользователя с привилегией «sysdba» не поддерживается.
Возможен другой вариант команды экспорта пользователя
«scott» с паролем «scott»
exp userid=scott/scott@orcl file=c:\tmp\scott.dmp log=c:\tmp\
scott.log
После экспорта ознакомимся с помощью worpad-а с содержимым дамп-файла и обнаружим, что экспортированы все привилегии на объекты схемы «scott». В частности, привилегии на таблицу
«emp», которые назаначались пользователям «king», «ford» и другим пользователям при выполнении лабораторной работы по детальному контролю доступа. Параметр «grant» утилиты «exp» установлен в «Y» по умолчанию.
Теперь откроем в окне sqlplus сессию пользователя «scott» и
удалим все строки таблицы «salgrade»:
Delete from salgrade;
commit;
Вслед за тем восстановим содержимое таблицы «salgrade», используя утилиту импорта в окне dos:
imp scott/scott@orcl file=c:\tmp\scott.dmp ignore=y full=yes
В этой команде установлен параметр «ignore=y» (по умолчанию этот параметр имеет значение «N»), так как иначе импорт
строк в таблицу «salgrade» не состоится из-за ошибки импорта, связанной с попыткой этой утилиты создать заново таблицу
«salgrade».
Экспортируем только таблицу «salgrade» из схемы «scott»:
exp
system/system@orcl
tables=scott.salgrade
file=c:\
tmp\salgrade.dmp log=c:\tmp\salgrade.log
В окне sqlplus в сессии пользователя «scott» удалим все строки
таблицы «salgrade»
487
Delete from salgrade;
commit;
Вслед за тем восстановим содержимое таблицы «salgrade», используя утилиту импорта в окне dos:
imp system/system@orcl fromuser=scott touser=scott ignore=y
file=c:\tmp\salgrade.dmp
Здесь «ignore=y» появилось, чтобы на экспорт не повлияла
ошибка из-за попытки при импорте создать таблицу «salgrade» заново.
Можно загрузить таблицу «salgrade» вместе со строками в другую схему, например «hr». Для того, чтобы в дальнейшем можно
было работать в схеме «hr», надо пользователем «system» выполнить команды разблокировки (alter user hr account unlock;) и изменения пароля (alter user hr identified by hr;) пользователя:
imp system/system@orcl fromuser=scott touser=hr tables=salgrade
file=c:\tmp\salgrade.dmp
После этого надо удалить таблицу «salgrade» из схемы «hr».
При экспорте и импорте можно использовать файлы параметров. Например,
exp system/system@orcl parfile=c:\tmp\expparam.txt
Содержимое файла «expparam.txt»
tables=scott.salgrade
file=c:\tmp\salgrade.dmp
log=c:\tmp\salgrade.log
imp system/system@orcl parfile=c:\tmp\impparam.txt
Содержимое файла «impparam.txt»
fromuser=scott
touser=scott
ignore=y
file=c:\tmp\salgrade.dmp
При использовании утилиты exp можно выполнить трассировку
экспорта командой
exp
system/system@orcl
owner=scott
file=c:\tmp\emp.dmp
log=c:\tmp\emp.log trace=y
После этого файл трассировки можно увидеть в последних
файлах в папке D:\oracle\product\10.2.0\admin\orcl\udump, если упорядочить файлы по дате. Этот файл трассировки можно анализировать с помощью утилиты «tkprof»:
488
tkprof
d:\oracle\product\10.2.0\admin\orcl\udump\orcl_ora_1120.trc
c:\tmp\output.txt sort=exeela
Утилита «tkprof» позволяет убедиться в том, что экспорт связан
со многими обращениями к словарю базы данных для извлечения
метаданных. С помощью трассировки мы можем уточнить все детали экспорта и поправить ошибку.
Утилита «exp» позволяет выгружать строки по условию:
exp system/system@orcl tables=scott.emp file=c:\tmp\emp.dmp
log=c:\tmp\emp.log query=\"where job='CLERK'\"
exp system/system@orcl tables=scott.emp file=c:\tmp\emp.dmp
log=c:\tmp\emp.log query=\"where deptno>=20\"
exp system/system@orcl tables=scott.emp file=c:\tmp\emp.dmp
log=c:\tmp\emp.log query=\"where deptno>=20 and job='CLERK'\"
Для отслеживания процесса экспорта вводится ключевое слово
«feedback»:
exp
system/system@orcl
tables=scott.emp
feedback=2
file=c:\tmp\emp.dmp log=c:\tmp\emp.log
По ходу выполнения экспорта после экспортирования каждых
двух строк таблицы «emp» в выводимом протоколе экспорта появится знак «.» (точка). В нашем примере появится 7 точек подряд.
Аналогично для отслеживания процесса импорта:
imp system/system@orcl fromuser=scott touser=hr feedback=2
file=c:\tmp\emp.dmp log=c:\tmp\emp.log
В нашем примере в протоколе импорта появится 7 точек подряд.
После проведенного в схему «hr» импорта надо удалить из этой
схемы импортированную в нее таблицу «emp».
Для экспорта всей базы данных используется команда
exp `sys/sys@orcl as sysdba` FULL=Y FILE=c:\tmp\full.dmp
log=c:\tmp\full.txt
При импортировании больших таблиц для уменьшения размера
сегмента отката полезно использовать «commit» для промежуточных этапов импорта. Промежуточный этап завершается при заполнении буфера, размер которого определяется ключевым словом
«buffer». Нижеприводимая команда для пользователя «scott» неактуальна, так как размер таблиц схемы невелик, приводится эта команда только для иллюстрации синтаксиса:
489
imp userid=scott/scott@orcl FILE= c:\tmp\scott.dmp log=c:\
tmp\scott.log BUFFER =32000 COMMIT = Y ignore=y
В результате выполнения этой команды будут загружены только строки таблицы «salgrade», так как для остальных таблиц при
загрузке будет нарушено ограничение уникальности. В отношении
последней команды следует отметить, что при импортировании
таблиц с полями типа «lob», «blob» размер буфера надо подбирать
так, чтобы его хватило на импортирование объектов этого типа.
При импортировании объектов можно использовать команду
импорта, которая собственно импорт не выполнит, но создаст sql
скрипт создания объектов импортируемой схемы. Эти скрипты
можно поправить, изменив «storage», «tablespace» для таблиц, индексов, разнеся их по раным tablespace:
imp.exe USERID=scott/scott@orcl FILE= c:\tmp\scott.dmp indexfile = c:\tmp\scottidx.sql full=y
После выполнения этого скорректированного скрипта следует
выполнить импорт данных со значением ключевого слова «indexes
= n»
2. Работа с утилитами «expdp», «impdp». Создание директории
– объекта файловой системы ОС и директории – объекта базы данных для хранения результатов экспорта. Манипулирование процессом выгрузки. Различные опции утилит «expdp», «impdp». Использование PL/SQL API для выгрузки данных. Технологии data pump
Oracle и внешние таблицы.
В версии Oracle 10g появилась технология Oracle data pump,
лишенная существенных недостатков утилит «exp», «imp» (в частности, относительно медленной выгрузки и загрузки данных, отсутствия API и в связи с этим сложностями встраивания в приложения).
В окне DOS введем команду
expdp help=y
Выводится таблица с представленным в ней описанием параметров утилиты «expdp».
Ангалогичная таблица выводится для импорта командой
impdp help=y
Утилита data pump для выполнения требует создания каталога
для записи/чтения файлов выгрузки/загрузки. Пользователи, рабо490
тающие с файлами data pump, должны обладать привилегиями read
и write на этот каталог.
Создадим каталог «c:\tmp\dpexmpl» (хотя Oracle рекомендует,
чтобы этот каталог был создан именно в папке «Oracle – в целях
большей безопасности, так как пользователь, не обладающий правами администратора ОС, не сможет читать файлы в этом каталоге):
connect sys/sys as sysdba
host rd c:\tmp\dpexmpl;
host mkdir c:\tmp\dpexmpl;
drop directory dpexmpl;
create directory dpexmpl as 'c:\tmp\dpexmpl';
grant read, write on directory dpexmpl to scott;
host del c:\tmp\dpexmpl\scott.dmp
Прежде чем выполнять экспорт, удалили и заново создали и
директорию OC («c:\tmp\dpexmpl»), и директорию Объект базы
данных (dpexmpl), связав этот объект с директорией ОС (create
directory dpexmpl as 'c:\tmp\dpexmpl';). В нашем примере эти имена
совпадают, но это совпадение не обязательно. Далее «scott» получил нужные привилегии. Последней выполненной командой удаляем уже имеющийся дамп-файл «scott.dmp» (иначе будет получено
сообщение «файл уже существует»). Проверим возможность выполнения экспорта:
connect scott/scott
host
expdp
userid=scott/scott@orcl
schemas=scott
dumpfile=scott.dmp job_name=scott_export directory= dpexmpl
logfile=scott.log
По умолчанию при установке создается объект базы данных
«directory» с именем «DATA_PUMP_DIR»:
conn sys/sys as sysdba
SELECT directory_name, directory_path FROM dba_directories
WHERE directory_name='DATA_PUMP_DIR';
Следующей командой удалим дамп-файл scott.dmp, оставшийся
при предыдущем выполнении настоящей лабораторной работы в
пути, указанном последней командой «SELECT», а потом, выдав
scott привилегии на data_pump_dir, создадим заново дамп-файл:
host del d:\oracle\product\10.2.0\admin\orcl\dpdump\scott.dmp
grant read, write on directory data_pump_dir to scott;
491
host expdp userid=scott/scott@orcl schemas=scott dumpfile=
scott.dmp job_name=scott_export directory=data_pump_dir logfile=
scott.log
Создадим в схеме «scott» таблицу «obj» доведем ее объем до
величины в три с лишним миллиона записей с тем, чтобы процесс
экспорта выполнялся за время, в течение которого мы могли бы
посмотреть состояние выполняемой по экспорту работы, проиллюстировать остановку этой работы и повторный ее запуск:
connect sys/sys as sysdba
create table scott.obj as select * from all.objects;
conn scott/scott
insert into obj select * from obj;
insert into obj select * from obj;
insert into obj select * from obj;
insert into obj select * from obj;
insert into obj select * from obj;
insert into obj select * from obj;
select count(*) from obj;
commit;
В отдельном окне SQL*Plus откроем вторую сессию пользователя «scott», из которой будем давать команду присоединения к
выпоняемой по экспорту работе
connect scott/scott
Из окна SQL*Plus первой сессии выполним
host expdp userid=scott/scott@orcl schemas=scott dumpfile=
scott.dmp job_name=scott_export directory= dpexmpl logfile=scott.log
После чего перейдем в окно SQL*Plus второй сессии пользователя «scott» и выполним команду
Host expdp scott/scott attach=scott_export
которая позволит пользователю «scott» во второй сессии подсоединиться к выполняемой работе по экспорту и увидеть характеристики выполнения этой работы, появление которых завершается выводом приглашения «export>». Вслед за тем остановим работу экспорта
Stop_job
В окне первой сессии SQL*Plus мы увидим сообщение о том,
что экспорт остановлен по запросу пользователя. Теперь есть возможность добавить, используя команду «add_file» в выполняемое и
492
остановленное задание другие файлы дампа из других каталогов,
после чего продолжить выполнение задания. Для продолжения
экспорта в окне второй сессии выполним еще раз команду
Host expdp scott/scott attach=scott_export
а вслед за тем
Start_job
Status
Последняя команда показывает процент выполнения экспорта.
Data pump позволяет выполнять экспорт с использованием опций «exclude», «include», «query». Выполним экспорт из схемы
«scott» всех таблиц, за исключением таблицы «obj»
Connect scott/scott
host del C:\tmp\dpexmpl\scott.dmp
host expdp userid=scott/scott@orcl schemas=scott dumpfile=scott.dmp job_name=scott_export directory= dpexmpl exclude=table:"IN('OBJ')" logfile=scott.log
По протоколу экспорта и по размеру дамп-файла видно, что
таблица «obj» действительно не экспортировалась.
Выполним экспорт с опцией «include»:
Connect scott/scott
host del C:\tmp\dpexmpl\scott.dmp
host expdp userid=scott/scott@orcl schemas=scott dumpfile=
scott.dmp job_name=scott_export directory=dpexmpl include=table:
"IN('EMP')" logfile=scott.log
По протоколу экспорта видно, что экспортировалась только
таблица «emp».
Выполним экспорт с опцией «query»:
Connect scott/scott
host del C:\tmp\dpexmpl\scott.dmp
host
expdp
userid=scott/scott@orcl
schemas=scott
dumpfile=scott.dmp job_name=scott_export directory= dpexmpl
include=table:"IN('EMP')" query=scott.emp:" 'WHERE DEPTNO>10'"
logfile=scott.log
По этой команде будет выгружено 11 строк таблицы «emp».
При экспорте мы можем экспортировать только метаданные,
без самих данных. Для этого выполним:
connect scott/scott
493
host
expdp
userid=scott/scott@orcl
schemas=scott
dumpfile=metadatascott.dmp
job_name=scott_export
directory=
dpexmpl content=metadata_only logfile=metadatascott.log
Для импорта файла, созданного с помощью expdp, следует
пользоваться утилитой impdp. Файлы выгрузки утилит «exp» и
«expdp» не совместимы, т.е. утилитой «imp» не импортируются
файлы выгрузки утилиты «expdp» и, наоборот, утилитой «impdp»
не импортируются файлы выгрузки утилиты «exp».
Как уже говорилось выше, команда «impdp help=y» в окне dos
выведет все опции этой утилиты.
Создадим файл параметров hrfromscott.par для импорта данных
из схемы «scott» в схему «hr»:
Directory= dpexmpl
Dumpfile=scott.dmp
Remap_schema=scott:hr
Импорт будем выполнять из окна dos командой
impdp system/system parfile=c:\tmp\dpexmpl\hrfromscott.par
Импорт будет выполнен с ошибкой «не найдены родительские
ключи», так как таблицу «dept» с родительскими ключами мы не
экспортировали в последнем примере экспорта (с условием
«where»). Несмотря на ошибку импорт в схему «hr» состоялся. В
схеме «hr» создана таблица «emp» и в нее вставлено 14 строк. Выполним экспорт части таблиц «emp», «dept» из схемы «scott»
Connect scott/scott
host del c:\tmp\dpexmpl\scott.dmp
host expdp userid=scott/scott@orcl schemas=scott dumpfile=scott.dmp job_name=scott_export directory=dpexmpl INCLUDE=
TABLE:\"IN ('DEPT','EMP')\" query=" 'WHERE DEPTNO>10'" logfile=scott.log
А теперь повторим импорт в схему «hr».
Выполним пользователем «hr» команды:
Connect hr/hr
Drop table hr.emp;
Drop table hr.dept;
Drop public synonym dept;
Затем из окна dos повторим
impdp system/system parfile=c:\tmp\dpexmpl\hrfromscott.par
494
На этот раз импорт закончится благополучно, может быть,
только с одной ошибкой «ORA-02298: невозможно подтвердить
(HR.EMP_SELF_KEY) ‒ не найдены родительские ключи».
SQL, который может вызвать сбой: ALTER TABLE
"HR"."EMP" ADD CONSTRAINT "EMP_SELF_KEY" FOREIGN
KEY ("MGR") REFERENCES "HR"."EMP” (“EMPNO")». Сообщение об ошибке вызвано тем, что мы импортировали строки служащих из 20-го и 30-го отделов, но начальники этих отделов имеют
своим начальником личность «king», который приписан к 10-му
отделу, строки служащих которого не экспортировались. При импорте невозможно стало реализовать FOREIGN KEY от столбца
«MGR» на столбец «EMPNO», так как значения первичного ключа
для служащего «king» не существует.
Выполненный нами пример импорта свидетельствует о том, что
при операциях экспорта и последующего импорта следует быть
очень внимательным, чтобы не нарушить согласованность данных.
Для импорта, так же как и для экспорта, применимы опции
«include», «exclude», «query».
Так же, как и для экспорта, можно останавливать выполняемую
работу по импорту, а потом продолжать ее вновь («stop_job»,
«start_job»). При импорте мы пользовались файлом параметров.
Точно так же файл параметров может быть использован для экспорта. И, наоборот, при импорте его парметры мы можем задавать
в командной строке, как мы это делали при экспорте.
Импорт может быть выполнен с опцией «sqlfile», которая позволяет сформировать DDL предложения SQL – только по созданию объектов. Выше мы сделали экспорт только метаданных пользователя «scott» в файл «metadatascott.dmp». Создадим в папке, соответствующей директории «dpexmpl» файл параметров
«metadatascott.par» с таким содержимым
Directory= dpexmpl
Dumpfile=metadatascott.dmp
Sqlfile=scottsql.txt
Далее выполним
Connect scott/scott
host impdp scott/scott parfile= C:\tmp\dpexmpl\metadatascott.par
495
В таблице «scottsql.txt» сформированы DDL скрипты, которые
можно корректировать так, как это требуется разработчику или администратору базы данных.
Отличительной особенностью «data pump» по сравнению с
«exp», «imp», как уже указывалось, является возможность использования API, что позволяет разработчику встраивать в разрабатываемые приложения действия по экспорту и импорту информации
базы данных. Приведем пример анонимного блока экспорта схемы
«scott» с использованием PL/SQL API
(http://www.f-notes.info/oracle:oracledatapump10g).
Выполним
Connect scott/scott
host del c:\tmp\dpexmpl\scott.dmp
DECLARE
l_dp_handle NUMBER;
l_last_job_state VARCHAR2(30) := 'UNDEFINED';
l_job_state VARCHAR2(30) := 'UNDEFINED';
l_sts KU$_STATUS;
BEGIN
l_dp_handle := DBMS_DATAPUMP.open(
operation => 'EXPORT',
job_mode => 'SCHEMA',
remote_link => NULL,
job_name => 'SCOTT_EXPORT',
version => 'LATEST');
DBMS_DATAPUMP.add_file(
handle => l_dp_handle,
filename => 'SCOTT.dmp',
directory => 'DPEXMPL');
DBMS_DATAPUMP.add_file(
handle => l_dp_handle,
filename => 'SCOTT.log',
directory => 'DPEXMPL',
filetype => DBMS_DATAPUMP.KU$_FILE_TYPE_LOG_FILE);
DBMS_DATAPUMP.metadata_filter(
handle => l_dp_handle,
name => 'SCHEMA_EXPR',
value => '= ''SCOTT''');
496
DBMS_DATAPUMP.start_job(l_dp_handle);
DBMS_DATAPUMP.detach(l_dp_handle);
END;
/
Этим скриптом запущена работа по экспорту. Через пару минут
в папке «C:\tmp\dpexmpl» в файле scott.log можно будет увидеть
протокол завершившегося экспорта.
Приведем еще один пример использования data pump – для работы
с
внешними
таблицами
(http://www.fnotes.info/oracle:oracledatapump10g). С помощью «data pump» данные переносятся из таблиц базы данных во внешние таблицы, а
утилиты «sql*loader» ‒ из «плоских» файлов во внешние таблицы.
Создадим
(http://www.f-notes.info/oracle:oracledatapump10g)
внешнюю таблицу с помощью «data pump» (в этом случае данные
из таблицы базы данных перемещаются во внешние таблицы)
Drop table emp_xt;
Host del C:\tmp\dpexmpl\scott.dmp
CREATE TABLE emp_xt
ORGANIZATION EXTERNAL
(
TYPE ORACLE_DATAPUMP
DEFAULT DIRECTORY dpexmpl
LOCATION ('scott.dmp')
)
AS SELECT substr(to_char(empno),1,4) empno,ename,job,
Substr(to_char(deptno),1,2) deptno FROM emp;
SELECT * FROM emp_xt;
Создадим внешнюю таблицу с помощью утилиты «sql*loader»
(в этом случае данные из «плоского» файла перемещаются во
внешние таблицы). Сначала создаем «плоский» файл:
Connect scott/scott
spool C:\tmp\dpexmpl\empplain.txt
select empno||rpad(ename,10,' ')||
rpad(job,9,' ')||deptno
from scott.emp;
spool off
497
В «плоском» файле «C:\tmp\dpexmpl\empplain.txt» удалим текст
запроса, подсказку sql*plus и оставим только строки таблицы
«emp». Далее:
DROP TABLE emp_external;
create table emp_external
(empno char(4), ename char(10),
job char(9), deptno char(2))
organization external
(type oracle_loader
default directory dpexmpl
access parameters
(RECORDS DELIMITED BY NEWLINE
LOGFILE 'BOXES.log'
fields
(empno position(1:4),
Ename position(5:14),
Job position(15:23),
deptno position(24:25)))
location ('empplain.txt'));
SELECT * FROM emp_external;
Сдача лабораторной работы
Сдача лабораторной работы заключается в выполнении заданий
преподавателя по выгрузке (разного типа) данных из одной схемы
в другую.
1. Пример задания студенту по работе с утилитами «exp»,
«imp»: из схемы «v19» выгрузить данные из нескольких (по выбору
студента) таблиц с использованием файла параметров и без него, с
трассировкой и просмотром результатов трассировки утилитой
«tkprof», с обеспечением контроля протекания процесса экспорта
(feedback), с использованием условия выгрузки «where» и загрузить
данные в схему «v3».
2. Пример задания студенту по работе с утилитами «expdp»,
«impdp»: из схемы «v19» выгрузить данные из нескольких (по выбору студента) таблиц (конечно, с предварительным созданием директории – объекта файловой системы ОС и директории – объекта
498
базы данных) с использованием файла параметров и без него, с использованием опций «exclude», «include», «query», с демонстрацией
процесса остановки процесса экспорта и последующего его продолжения, с демострацией использования PL/SQL API для получения файла выгрузки.
3. Продемонстрировать загрузку данных из схемы «v19» в схему «v3» с использованием утилиты «impdp».
4. Продемонстрировать формирование внешней таблицы в схеме «v3» и выгрузку в нее данных из таблицы (по выбору студента)
базы данных.
5. Продемонстрировать формирование другой внешней таблицы в схеме «v3» и загрузку в нее данных из «плоского» файла ОС,
сформированного данными таблицы (по выбору студента) в базе
данных.
Тестовые задания к работе 20
Входной контроль
1. Какие возможности реализуются при полном экспортировании базы данных утилитой exp?
a) если имеется таблица со сбойным блоком, этот блок будет
найден;
b) выполняется проверка словаря данных и выявление в нем логической несогласованности;
c) утилита exp находит блоки, требующие очистки;
d) утилита exp создает файл, содержащий все операторы DDL,
текст представлений, программных объектов;
e) правильных ответов нет.
2. Что позволяет совместное использование утилит exp и
imp?
a) перенос табличных пространств;
b) пересоздание экземпляра с целью изменения, например, размера блока данных;
c) выполнение дефрагментации табличных пространств;
d) копирование данных с одной платформы на другую;
e) правильных ответов нет.
3. Утилиты exp/imp не рекомендуется использовать, как основное средство резервного копирования. Среди нижеприве499
денных укажите строки, указывающие на причину отсутствия
такой рекомендации:
a) невозможно встраивать в приложения (нет API);
b) длительное время выполнения восстановления утилитой imp
из-за необходимости выполнения SQL операторов заполнения таблиц;
c) инкрементное экспортирование/импортирование в дальнейших версиях СУБД не будет поддерживаться Oracle;
d) копирование данных с помощью названных утилит возможно
только для определенной кодировки информации в базе данных;
e) правильных ответов нет.
4. Среди нижеприведенных укажите строки, верно характеризующие утилиты expdp, impdp.
a) большинство параметров аналогичны параметрам утилит
exp/imp;
b) формат dmp файлов утилит expdp, impdp не совместим с
форматом dmp файлов утилит exp, imp;
c) утилиты expdp, impdp имеют графический интерфейс;
d) формат dmp файлов утилит expdp, impdp совместим для всех
версий, начиная с версии СУБД Oracle 10.1;
e) павильных ответов нет.
5. В ходе выполнения экспорта утилитой expdp есть возможность выполнять, используя встроенные в нее возможности этой утилиты, следующие действия:
a) действия по мониторингу состояния выполняемой по экспорту работы;
b) действия по остановке этой работы;
c) действия по возобновлению этой работы при выполнении заданного условия;
d) действия по повторному запуску этой работы;
e) правильных ответов нет.
6. Для использования утилиты expdp необходимо создание
объектов-директорий в базе данных и соответствующих директорий в операционной системе. Какие привилегии должен
иметь пользователь Oracle для работы с expdp?
a) пользователь Oracle должен иметь привилегии на соответствующие объект-директории в БД;
500
b)
пользователь
Oracle
должен
иметь
привилегии
insert/update/delete any table;
c) пользователь Oracle должен иметь привилегии на соответствующие директории в ОС;
d) пользователь Oracle должен иметь роль dba;
e) правильных ответов нет.
7. В ходе выполнения для удовлетворения потребностей мониторинга expdp позволяет получать следующую информацию:
a) выполняемая операция;
b) количество подсоединенных сессий;
c) количество ошибок;
d) текущая доля выполненной работы в процентах;
e) правильных ответов нет.
Выходной контроль
1. Укажите строки, соответствующие существующим методам логического копирования:
a) копирование базы данных в файл внутреннего формата
Oracle, переносимый между различными версиями Oracle;
b) копирование отдельных представлений в отдельных схемах
базы данных;
c) копирование анонимных блоков;
d) копирование конфигурационных файлов базы данных;
e) копирование всех объектов выбранного пользователя;
f) правильных ответов нет.
2. Укажите, с использованием каких утилит Oracle осуществляется логические копирование и восстановление базы данных:
a) exp;
b) imp;
c) oradim80;
d) expdp;
e) impdp;
f) правильных ответов нет.
3. Внешняя таблица (ORGANIZATION EXTERNAL) создается на основе таблицы «employee» схемы «demo» с опцией
501
«TYPE ORACLE_DATAPUMP». В результате действия этой
команды…
a) происходит формирование пустого файла ОС, в который затем будут загружаться данные из таблицы «employee» схемы
«demo»;
b) происходит формирование временной таблицы в схеме пользователя по образцу таблицы «employee» схемы «demo» с сохранением «primary key» образца;
c) создается временнойя таблицы в схеме внешнего пользователя (с внешней аутентификацией) базы данных по образцу таблицы
«employee» схемы «demo»;
d) в указанной в команде создания внешней таблицы директории создается файл выгрузки таблицы «employee» схемы «demo»;
e) при формировании SQL запросов к внешней таблице информация будет извлекаться из созданного при создании внешней таблицы файла ОС;
f) правильных ответов нет.
4. Файл выгрузки, сформированный утилитой «expdp» может быть загружен утилитой…
a) imp;
b) rmanimp;
c) impdp;
d) rdbms.imp;
e) imp80;
f) правильных ответов нет.
5. Файл выгрузки, сформированный утилитой «exp» может
быть загружен утилитой…
a) imp;
b) imp80;
c) rdbms.imp;
d) impdp;
e) rmanimp;
f) правильных ответов нет.
6. Укажите причины, по которым целесообразно использование как логического, так и физического методов резервного
копирования базы данных в технологиях backup & recovery:
502
a) уменьшение общего времени (в расчете на неделю или месяц) работы базы данных) резервного копирования и восстановления базы данных;
b) при физическом копировании поврежденные блоки восстанавливаются;
c) при логическом копировании копируются log файлы, а при
физическом – нет;
d) при физическом копировании поврежденные блоки копируются с сохранением повреждений, а при логическом повреждение
блока будет выявлено;
e) при физическом копировании rbs сегменты копируются, а
при логическом – нет;
f) правильных ответов нет.
7. Документация Oracle не рекомендует выполнять экспорт
пользователем «sys» с привилегией «sysdba». Объясняется это
тем, что при экспорте этим пользователем не может быть использован параметр экспорта…
a) compress;
b) constraints;
c) direct;
d) feedback;
e) consystent;
f) правильных ответов нет.
503
ОТВЕТЫ К ТЕСТОВЫМ ЗАДАНИЯМ
Номер лабораторной работы
1
2
3
Входной контроль
Вопрос
Верные
ответы
1
b
2
с
3
с
4
a
5
d,e
6
a,c,e
7
b
8
b,c
9
b
10
d
1
a
2
a,b,c
3
c
4
a,d
5
b
6
a
7
d
8
a,b,d
9
a,b
10
a,b,c,d,e
1
a
2
c
3
b
4
a
5
b,c
1
4
c
Выходной контроль
Вопрос
Верные
ответы
1
c
2
a,c,e
3
b,c,d
4
b
5
c
6
a,d
7
b,c
8
b,c
9
a
10
c,d
1
a, с, е
2
d
3
a
4
b
5
a,d
6
a
7
b
8
A,b,c,d,e
9
a
10
A,b,c
1
A,c,e
2
B,c,d
3
c
4
B,c
5
A,c,d
1
e
2
d
2
c
3
d
3
b
4
5
6
7
d
b,e
b
b
4
5
6
7
c
a
a
b
8
9
10
11
12
c
c
d
a
c
8
9
10
11
d
b
a
b
504
Номер лабораторной работы
5
6
7
Входной контроль
Вопрос
Верные
ответы
1
a
2
c
3
e
4
b
5
a
6
b
7
b
8
a
9
a
10
b
11
a
12
a,d,f
1
b
2
d
3
a,b,c,d,e
4
a,b,c,d,e
5
c,d
6
a
7
c
8
a,b,c
9
b,c
10
c,d
1
a
2
a
3
j
4
a
5
c
6
b
7
a
8
a
9
a
10
a
11
d
12
b
8
505
Выходной контроль
Вопрос
Верные
ответы
1
a
2
c
3
a
4
c
5
a
6
c
1
2
3
4
5
6
7
e
c,d
d
c
a,b,c,d
a,b,c,d
c,d
1
2
3
4
5
6
b
c
b
a
c
a,b,c
1
2
3
4
5
6
7
b
a
a,b
d
c
c
a
Номер лабораторной работы
9
10
11
12
13
Входной контроль
Вопрос
Верные
ответы
1
a
2
b
3
a
4
b
5
a
6
c
7
a
8
a
9
a
10
a
1
a
2
b
3
a
4
b
5
b
6
a,b,c
7
b,c
8
a
9
a,b
10
a
11
a
12
a
13
a,c
14
b,c
15
a
1
c
2
a,b
3
b,d
4
a,b,c
5
a,b,c,d
6
c
7
a,b,c
1
a,b,d
2
b,c,d
3
a,b
4
a,b
5
b,c
6
a,b,c,d
7
a,b,d
1
d
2
b,d
506
Выходной контроль
Вопрос
Верные
ответы
1
b
2
b
3
a
4
a
5
b
6
a,b,c
7
a
8
d
9
a
10
a
1
a,b
2
b
3
a
4
a
5
b
6
a,d
7
a,c
8
b,c
9
a
10
b
11
b
12
c
13
a
14
a,c
15
c
1
e
2
c,d,e
3
a,b,c
4
b,d,e
5
b,d
6
c,d
7
b,c,e
1
b,d,e,f,g
2
d
3
b,c,d,e,f
4
e
5
c
6
d
7
e
1
d
2
d
Номер лабораторной работы
14
15
16
17
Входной контроль
Вопрос
Верные
ответы
3
a,c,d
4
b
5
c
6
c
7
d
1
a,b
2
c
3
c,d
4
a
5
a,b
6
a
7
b
8
a,b,c
9
a
10
d
11
c
12
a,b,c
13
c
14
b
15
c
1
a,b,c,d
2
b,c,d
3
a,b,d
4
d
5
b
6
d
7
a,c
1
d
2
c
3
b
4
c
5
a,b,c
6
a,b,c,d
7
a,b,c,d
1
b
2
a,c,d
3
c
4
a
5
a,b,c,d
6
a,b,c,e,f
7
a
507
Выходной контроль
Вопрос
Верные
ответы
3
b
4
d
5
d
6
f
7
f
1
a,d
2
a
3
b
4
b
5
c
6
a
7
a
8
a
9
d
10
d
11
c
12
b
13
a
14
a,c
15
a
1
b
2
f
3
a,c,e
4
e
5
c
6
c
7
b
1
a,b,c,d,e
2
a
3
b,e
4
c
5
e
6
c,d,e
7
b,c,e
1
d
2
a
3
a
4
a
5
a,c
6
c
7
a
Номер лабораторной работы
18
19
20
Входной контроль
Вопрос
Верные
ответы
8
a,e,f
9
b
10
c
1
a
2
a,b,c,d
3
b
4
c
5
a
6
d
7
a,d,e
8
a
9
b,d
10
b
1
b
2
a,b,c
3
a,b,c,d
4
a,b,c,d
5
a,b,d
6
a,b,c,d
7
b,d
1
a,b,c,d
2
a,b,c,d
3
a,b,c
4
a,b,d
5
a,b,d
6
a,c
7
a,b,c,d
508
Выходной контроль
Вопрос
Верные
ответы
8
b
9
c
10
d
1
a,b,c
2
a,b,c,e
3
f
4
b,c
5
b,d
6
c,d
7
a,b
8
a,d
9
c
10
a,c,d
1
a,c,e
2
b
3
a
4
b,c,d,e
5
e
6
a,c
7
a,b,c,d,e
1
a,e
2
a,b,d,e
3
d,e
4
c
5
a
6
a,d
7
e
Приложения
ОБРАЗЦЫ ТИПОВЫХ ФОРМ ОТЧЕТНОЙ ДОКУМЕНТАЦИИ
ПО АТТЕСТАЦИОННЫМ ИСПЫТАНИЯМ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЧАСТИ ЗАЩИТЫ ОТ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
Приложение 1
Гриф
Экз. № __
УТВЕРЖДАЮ
Руководитель Органа по аттестации
________________
« » сентября 2013 года
ПРОТОКОЛ ИСПЫТАНИЙ АС
НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ
ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО
ДОСТУПА
1. ДАТА ПРОВЕРКИ: 25.09.2013.
2. СОСТАВ ТЕСТИРУЕМЫХ ТЕХНИЧЕСКИХ СРЕДСТВ:
Автоматизированная система на базе ПЭВМ организации расположена в комнате №___ по адресу: адрес организации в составе
согласно табл. П1.1.
Таблица П1.1
АС
Наименование
Коммутатор
Медиаконвертер
ИБП
Монитор
С3И ПО Secret Net
Сетевой фильтр
Клавиатура
Модель
Заводской (серийный) номер
DGS-1008D
A1000130
Dmc-805G
A2000125
APC BACK-UPS
0922007365
RS 500
Acer V193W
0C14800704FE54
Secret Net 5.1 авCAC1M
тономный
APC P5B-RS
30P06998
HP Compaq
01RZYJ6MJ
PR1101U
509
Наименование
Мышь
Системный блок
Модель
Заводской (серийный) номер
HP Compaq MPQ0B5BYD9
UAE96
HP Compaq 500B
0230Y2V
MT
Помещение оборудовано в соответствии с требованиями «Инструкции по обеспечению режима секретности в Российской Федерации», утвержденной постановлением Правительства Российской
Федерации от «5» января 2004 г № 3-1 (Инструкция № 3-1-2004 г.)
техническим средством охраны, обеспечивающим уровень защиты
информации с необходимой степенью секретности хранимой информации:
- помещение является режимным, с ограничением доступа посторонних лиц в помещение;
- вход в помещение осуществляется из переходного коридора.
Входная дверь из общего коридора оборудована двумя замками
повышенной надежности;
- в нерабочее время помещение сдается под охрану;
- выдача ключей от помещения производится только лицам, работающим в нем, под роспись;
- уборка помещения производится в присутствии лиц, имеющих
допуск в помещение;
- в случае ухода из помещения в рабочее время, оно закрывается на ключ;
- просмотр информации с экрана монитора лицами, не имеющими права доступа к обрабатываемой информации, исключен;
- помещение оборудовано датчиками пожарной и охранной
сигнализации, которые имеют выход на пульт охраны, размещенный в пределах контролируемой зоны.
3. КАТЕГОРИЯ объекта ВТ - третья, высший гриф обрабатываемой информации - секретно.
4. КЛАСС ЗАЩИЩЕННОСТИ автоматизированной системы –
1В. Инспекционный контроль состава, мест расположения аппаратуры и оборудования, входящего в состав объекта ВТ, а также перечня установленных на объекте программных средств показал соответствие представленных исходных данных реальным условиям
размещения и эксплуатации объекта ВТ.
510
5. ЦЕЛЬ ПРОВЕРКИ.
Проведение оценки соответствия АС специальным требованиям
по защите информации от несанкционированного доступа по направлениям:
- на состояние технологического процесса обработки информации; на соответствие подсистемы управления доступом заданному
уровню защиты; на соответствие механизма идентификации заданному уровню защиты; на соответствие механизма аутентификации
заданному уровню защиты; на соответствие механизма контроля
доступа заданному уровню защиты; на соответствие механизмов
управления потоками информации заданному уровню защиты;
- на соответствие подсистемы регистрации и учёта заданному
уровню защиты;
- на соответствие подсистемы обеспечения целостности заданному уровню защиты.
6. МЕТОД ПРОВЕРКИ – программный с применением программ «ФИКС 2.0.1», «Ревизор 1 ХР», «Ревизор 2 ХР», «TERRIER
3.0».
7. РЕЗУЛЬТАТЫ ПРОВЕРКИ.
7.1. Исходя из результатов анализа защищаемых информационных ресурсов и их уровня конфиденциальности (не выше «СЕКРЕТНО»), перечня объектов и субъектов доступа, их полномочий и
порядка доступа к защищаемым информационным ресурсам АС,
АС является многопользовательской автоматизированной системой, в которой разрешается работа нескольким пользователям с
информацией различного уровня конфиденциальности. Не все
пользователи имеют право доступа ко всей информации, циркулирующей в АС (разные права доступа). Учитывая режим обработки
информации в АС и руководствуясь требованиями пп.1.9. и 2.14.
РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных
систем и требования по защите информации» и п. 6.7 «Специальных требований и рекомендаций по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (СТР), – для АС на базе ПЭВМ установлен класс защищенности от НСД – 1В.
7.2. В качестве субъектов доступа рассматривались лица и
процессы (программы пользователей), имеющие возможность дос511
тупа к объектам штатными средствами ПЭВМ. Субъекты доступа
имеют официальное разрешение (допуск) к информации определенного уровня конфиденциальности.
7.3. В соответствии с требованиями РД «Защита от несанкционированного доступа к информации» для программного обеспечения (ПО), используемого при защите информации на автоматизированном рабочем месте, должен быть обеспечен третий уровень
контроля отсутствия недекларированных возможностей.
7.4. Наиболее опасными угрозами для информации, обрабатываемой АС, являются нарушения:
- конфиденциальности (установленного разграничения доступа
пользователей к информации);
- доступности (установленного допуска пользователей к информации, согласно матрице доступа);
- целостности информации (искажения, модификации, заражения вирусами).
7.5. На АС установлена сертифицированная ФСТЭК России
(Сертификат ФСТЭК России № 1912 от 17.09.2009. Действителен
до 17.09.2016) система защиты информации от несанкционированного доступа «Secret Net 5.1». В СЗИ НСД «Secret Net 5.1» реализованы:
- подсистема управления (разграничения) доступом к объектам
доступа, а также к информации (базе данных);
- подсистема регистрации и учета обращения к информации
(ведение электронного журнала);
- подсистема очистки остаточной информации;
- подсистема обеспечения целостности программного средства
СЗИ НСД, обрабатываемой информации;
- контроль неизменности программной среды.
7.6. Применение методов криптографии для АС не является
обязательным, так как АС размещена в режимном помещении, расположенном в пределах контролируемой зоны организации (п. 6.8.
СТР).
7.7. Комиссии представлена документация по обработке секретной информации на аттестованных объектах класса защищённости АС – 1В.
В качестве объектов доступа:
- система в целом;
512
- ЭВМ, внешние устройства ЭВМ;
- программы, каталоги, файлы;
- все виды памяти ЭВМ, в которых может находиться информация АС.
7.8. В дополнение к реализованным возможностям СЗИ НСД
«Secret Net 5.1», организационно-распорядительной документацией
предусмотрены следующие меры:
- учет защищаемых носителей (ЖМД и другие МНИ) в режимно-секретном отделе (РСО), их выдача и прием под роспись, учет
бумажных носителей и их маркировка перед выдачей твердых копий (п.п. 208 Инструкции № 3-1-2004 г.);
- допуск к обработке секретной информации на объекте вычислительной техники (на автоматизированное рабочее место) осуществляется в соответствии со списком сотрудников, утвержденным
руководителем организации;
- формирование на жёстком магнитном диске (ЖМД) отдельных секторов для работы с секретной информацией (для каждого
пользователя создана своя папка) и отдельных директорий для записи информации с различными уровнями конфиденциальности.
7.9. Ответственность за обеспечение безопасности информации
возложена на администратора защиты АС и пользователей АС.
7.10. Контроль эффективности реализованных мер и средств
защиты информации на объекте информатизации возлагается на
зам. руководителя по безопасности организации.
7.11. Разрешенные и запрещенные связи между субъектами и
объектами доступа (с привязкой к конкретным СВТ и штатному
персоналу) соответствуют разрешительной системе доступа персонала к защищаемым ресурсам на всех этапах обработки. Результаты проверки сведены в табл. П1.2.
7.12. На АС было проведено тестирование СЗИ НСД «Secret
Net 5.1»
- реализация подсистемы обеспечения целостности средствами
программы Фиксации и контроля исходного состояния программного комплекса проверена применением программой «ФИКС 2.0.1»
(была проведена Фиксация исходного состояния, а также Фиксация
и контроль исходного состояния, т.е. проверка факта наличия или
отсутствия изменений в файлах текущей версии исследуемого про513
граммного комплекса и предыдущей версии того же программного
комплекса);
- реализация подсистемы управления (разграничение) доступом
субъектов к объектам доступа проверена применением программ
«Ревизор 1 ХР», «Ревизор 2 ХР»;
- функция очистки остаточной информации проверена применением программой поиска информации на дисках «TERRIER 3.0».
Таблица П1.2
Подсистемы и требования
1
1.1
2.
2.1
2.2
2.3
3
3.1
3.2
3.4
3.5
3.6
Подсистема управления доступом
Идентификация, проверка подлинности и контроль доступа субъектов:
в систему
Подсистема регистрации и учета
Регистрация и учет:
входа/выхода субъектов доступа в/из системы (узла
сети)
выдачи печатных (графических) выходных документов
Учет носителей информации
Очистка (обнуление, обезличивание) освобождаемых
областей оперативной памяти ЭВМ и внешних накопителей
Подсистема обеспечения целостности
Обеспечение целостности программных средств и обрабатываемой информации
Физическая охрана средств вычислительной техники и
носителей информации
Периодическое тестирование СЗИ НСД
Наличие средств восстановления СЗИ НСД
Использование сертифицированных средств защиты
Выполнение требования
+
+
+
+
+
+
+
+
+
+
+
«+» – выполнение соответствующего требования;
«–» – невыполнение соответствующего требования.
Результаты тестирования приведены в приложении 1 данного
протокола.
514
8. ВЫВОД.
Автоматизированная система АС - соответствует требованиям
по защите информации от несанкционированного доступа для
класса защищенности 1В.
Руководитель аттестационной комиссии
Эксперт
Приложение 2
Результаты тестирования АС
Результат Фиксации исходного состояния АС
(программа ФИКС-2.0.1)
ОТЧЕТ
о фиксации исходного состояния (ВКС)
№
пп
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Дата
Длина,
Длина,
создания
байт
строк
Каталог C:\Program Files\Infosec\SecretNet5\Client\
BCGCBPRO621u.dll 24.03.09 14-04 1527808
BCGCBProResRUS.
24.03.09 14-04 40960
dll
dpp.dll
24.03.09 14-24 110592
eventid.map
24.03.09 13-52 15545
Excel.stm
29.09.10 17-37
524
OMSLogManager.ex
24.03.09 14-25 1695744
e
OneLookFeatRes.dll 24.03.09 14-04 49152
Setup Security.inf
24.03.09 13-52
3928
SN5Help.chm
24.03.09 13-50 193841
SnAddinEPrint.dll
24.03.09 14-20 651264
SnAddinPrint.dll
24.03.09 14-20 290816
sncontrol.dll
24.03.09 14-18 212992
sncp.cpl
24.03.09 14-20 409600
sndc.dll
24.03.09 14-15 274432
Имя файла
515
КС
5784cd00
dfaaf61a
ddbc8216
2е0f017f
еb01е8c5
550е0916
90b70cff
ab0еcc2d
791fbе6f
87f4ddd7
21a8b119
0c179d21
0еf0d67a
3899aеaе
№
пп
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
Дата
Длина,
Длина,
КС
создания
байт
строк
SnDrvSupport.dll
24.03.09 14-20 212992
0b7b692d
SneToken.dll
24.03.09 14-16 241664
443592f3
SnFileExt.dll
24.03.09 14-24 487424
c91390f6
SnFloppy.dll
24.03.09 14-16 192512
d918889d
SnHWc.dll
24.03.09 14-21 278528
02е9f65c
SnHwSrv.exe
24.03.09 14-16 344064
f9685597
SnICheckAdm.exe
24.03.09 14-26 1265664
1bd32523
SnicheckSrv.Exe
24.03.09 14-18 1081344
50908b7c
SnICInstall.ich
24.03.09 13-52
2002
еb720еf5
SnIcon.exe
24.03.09 14-23 512000
е5d42b0c
SnOptions.dll
24.03.09 14-23 2707456
1bb146е7
SnOptionsCtrls.dll
24.03.09 14-21 475136
fе9d0b40
SnReportBuilder.dll 24.03.09 14-05 192512
78812920
SnReportForms.dll
24.03.09 14-05 393216
20938d1a
SnSable.dll
24.03.09 14-16 192512
653е1f3b
SnSrv.exe
24.03.09 14-09 253952
42a2е96d
SnSrvGpe.dll
24.03.09 14-09 352256
83dеa698
SnSrvKrn.dll
24.03.09 14-08 200704
6a303216
SnSrvLib.dll
24.03.09 14-09 634880
f27d7adf
SnSrvLog.dll
24.03.09 14-08 229376
28169344
SnTmCard.dll
24.03.09 14-16 192512
cfb85еcb
SnTmCard5.inf
24.03.09 14-10
2989
cd826cc9
SnTmCard5.sys
24.03.09 14-14 34688
264798d2
SnUsers.dll
24.03.09 14-24 1064960
4е69е574
Stamp.rtf
29.09.10 17-37
7799
8d0е90еd
xerces-c_2_5_0.dll
17.03.05 15-59 1916928
еacb3634
Итого: файлов - 40
18947268
0
3cb6d68c
Каталог C:\Program Files\Infosec\SecretNet5\Client\GroupPolicy\
41 dacs.xml
24.03.09 14-19 12984
bc8d3438
42 default_stamp.rtf
24.03.09 13-52
7799
8d0е90еd
43 edb.chk
15.12.10 15-51
8192
82еbc05c
44 edb.log
15.12.10 15-51 1048576
2еaf6е39
45 Excel.stm
24.03.09 13-52
524
еb01е8c5
Имя файла
516
№
пп
46
47
48
49
50
Дата
Длина,
Длина,
КС
создания
байт
строк
GroupPolicyDacs.xml 24.03.09 14-19 12984
0803е3f8
res1.log
29.09.10 17-37 1048576
b67d090е
res2.log
29.09.10 17-37 1048576
b67d090е
Setup Security.inf
24.03.09 13-52
3928
ab0еcc2d
snet.sdb
15.12.10 15-46 1056768
90814c2a
Итого: файлов - 10
4248907
0
93c7еaее
Каталог C:\Program Files\Infosec\SecretNet5\Client\icheck\
51 Config.dat
15.12.10 15-51
20
80c90120
52 Jobs.dat
15.12.10 15-51
999
b82117a0
53 Jobs.id-idx
15.12.10 15-51
80
47204201
54 ResGroups.dat
15.12.10 15-44 35326
3543da75
55 ResGroups.id-idx
15.12.10 15-51
176
6331a0c5
56 Schedules.dat
15.12.10 15-44
460
0f5bdff3
57 Schedules.id-idx
15.12.10 15-51
80
b49е3601
58 Subjects.dat
15.12.10 15-44
604
1937af09
59 Subjects.id-idx
15.12.10 15-51
48
c4680100
60 Tasks.dat
15.12.10 15-44
1148
95f63a74
61 Tasks.id-idx
15.12.10 15-51
80
f0cе3d01
Итого: файлов - 11
39021
0
3cdf1471
Каталог C:\Program Files\Infosec\SecretNet5\Client\icheck\dir\
62 etalons.dat
15.12.10 15-44
546
bb8bеc89
63 etalons.id-idx
15.12.10 15-51
80
е28b093f
64 names.dat
15.12.10 15-44
1202
7d752856
65 names.id-idx
15.12.10 15-51
96
е8508ее2
Итого: файлов - 4
1924
0
02dеac01
Каталог C:\Program Files\Infosec\SecretNet5\Client\icheck\file\
66 etalons.dat
15.12.10 15-40 934044
еaab018b
67 etalons.id-idx
15.12.10 15-51 57872
f81c43е8
68 names.dat
15.12.10 15-51 273234
2f6a64b2
69 names.id-idx
15.12.10 15-51 28976
b27c886c
Итого: файлов - 4
1294126
0
c3af3192
Каталог C:\Program Files\Infosec\SecretNet5\Client\icheck\regkey\
70 etalons.dat
15.12.10 15-40 88536
2df22еc5
Имя файла
517
№
Дата
Длина,
Длина,
Имя файла
КС
пп
создания
байт
строк
71 etalons.id-idx
15.12.10 15-51
3152
ca109ca2
72 names.dat
15.12.10 15-51 36280
е7c628е8
73 names.id-idx
15.12.10 15-51
2096
06196f77
Итого: файлов - 4
130064
0
е4е262c7
Каталог C:\Program Files\Infosec\SecretNet5\Client\icheck\regval\
74 etalons.dat
15.12.10 15-40 260310
569bf7f7
75 etalons.id-idx
15.12.10 15-51 10784
6f23aacd
76 names.dat
15.12.10 15-51 153650
1е0356c7
77 names.id-idx
15.12.10 15-51
8688
d81f41f6
Итого: файлов - 4
433432
0
bbе13883
ОТЧЕТ О РАСШИРЕНИЯХ ФАЙЛОВ
№
Расширение Число файлов
п/п
1
1
.chk
2
1
.chm
3
1
.cpl
4
14
.dat
5
25
.dll
6
6
.exe
7
1
.ich
8
13
.id-idx
9
3
.inf
10
3
.log
11
1
.map
12
2
.rtf
13
1
.sdb
14
2
.stm
15
1
.sys
16
2
.xml
17
4
.xsl
Итого:
81
Общая длина,
байт
8192
193841
409600
1786359
13123584
5152768
2002
112208
10845
3145728
15545
15598
1056768
1048
34688
25968
515893
25610635
518
Общая длина,
строк
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
519
4
3
2
1
5
Excel.stm
Excel.stm
45
res1.log
47
res2.log
Setup Security.inf
8
48
Setup Security.inf
default_stamp.rtf
Stamp.rtf
Имя файла
49
42
39
№
№
группы файла
524
524
1048576
1048576
3928
3928
7799
7799
Длина,
байт
-
-
-
-
-
-
-
-
Длина,
строк
eb01e8c5
eb01e8c5
b67d090e
b67d090e
ab0ecc2d
ab0ecc2d
8d0e90ed
8d0e90ed
КС
C:\Program
Files\Infosec\SecretNet5\Client\
C:\Program
Files\Infosec\SecretNet5\Client\Group
Policy\
C:\Program
Files\Infosec\SecretNet5\Client\Group
Policy\
C:\Program
Files\Infosec\SecretNet5\Client\
C:\Program
Files\Infosec\SecretNet5\Client\Group
Policy\
C:\Program
Files\Infosec\SecretNet5\Client\Group
Policy\
C:\Program
Files\Infosec\SecretNet5\Client\Group
Policy\
C:\Program
Files\Infosec\SecretNet5\Client\
Путь доступа
СПИСОК ФАЙЛОВ С ОДИНАКОВЫМИ КОНТРОЛЬНЫМИ СУММАМИ
520
3
2
1
etalons.dat
etalons.dat
etalons.id-idx
etalons.id-idx
etalons.id-idx
etalons.id-idx
Excel.stm
Excel.stm
62
75
63
71
67
45
5
etalons.dat
70
66
etalons.dat
Имя файла
74
№
№
группы файла
524
524
57872
3152
80
10784
546
934044
88536
260310
-
-
-
-
-
-
-
-
-
-
Длина, Длина,
байт
строк
eb01e8c5
eb01e8c5
f81c43e8
ca109ca2
e28b093f
6f23aacd
bb8bec89
eaab018b
2df22ec5
569bf7f7
КС
C:\Program
Files\Infosec\SecretNet5\Client\icheck\regval\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\regkey\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\file\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\dir\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\regval\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\dir\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\regkey\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\file\
C:\Program
Files\Infosec\SecretNet5\Client\GroupPolicy\
C:\Program Files\Infosec\SecretNet5\Client\
Путь доступа
СПИСОК ФАЙЛОВ С ОДИНАКОВЫМИ ИМЕНАМИ
521
5
4
names.id-idx
names.id-idx
69
73
names.id-idx
77
names.id-idx
names.dat
76
65
names.dat
names.dat
68
72
names.dat
64
№ груп- №
Имя файла
пы
файла
2096
28976
96
8688
153650
36280
273234
1202
-
-
-
-
-
-
-
-
Длина, Длина,
байт строк
06196f77
b27c886c
e8508ee2
d81f41f6
1e0356c7
e7c628e8
2f6a64b2
7d752856
КС
C:\Program
Files\Infosec\SecretNet5\Client\icheck\dir\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\file\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\regkey\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\regval\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\regval\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\dir\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\file\
C:\Program
Files\Infosec\SecretNet5\Client\icheck\regkey\
Путь доступа
Результат проверки очистки остаточной информации (программа Terrier 3.0)
Пользователь Администратор
Текущее время 25/01/2011 13:04
Информация о диске C: Логический диск, NTFS, 593.72GB
Найдено слов 0
Сектор Смещение Данные Тип Регистр Кодировка
Искомое слово: солоспотвольта
Сектора с 0 по 0615979007
Результат проверки разграничения доступа пользователя
(программы «Ревизор 1 ХР», «Ревизор 2 ХР»)
Результаты тестирования, проведенного на компьютере AС.
Пользователь: Администратор
Время проведения тестирования: 25.01.2011 13:08:30
Невыполненные запреты – не выявлены
Невыполненные разрешения – не выявлены
Руководитель аттестационной комиссии
Эксперт
Приложение 3
ИНСТРУКЦИЯ ПО ПРОВЕДЕНИЮ АНТИВИРУСНОГО
КОНТРОЛЯ АС
1. Настоящая Инструкция предназначена для пользователей автоматизированной системы (АС), хранящих и обрабатывающих
информацию в автоматизированной системе на базе ПЭВМ организации.
2. В целях обеспечения антивирусной защиты в АС производится антивирусный контроль.
3. Ответственность за поддержание установленного в настоящей Инструкции порядка проведения антивирусного контроля возлагается на администратора защиты АС.
4. К применению в АС допускается лицензионное антивирусное средство: Doctor WEB-5.0.
522
5. В АС запрещается установка программного обеспечения, не
связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.
6. Пользователи АС при работе с гибкими магнитными носителями информации (ГМНИ) обязаны перед началом работы осуществить их проверку на предмет отсутствия компьютерных вирусов.
7. Ярлык для запуска антивирусной программы должен быть
вынесен на «Рабочий стол» системы Windows.
8. Администратор защиты АС осуществляет периодическое обновление антивирусных пакетов и контроль их работоспособности,
после чего производит пересчет эталонов ПО Doctor WEB-5.0 с
помощью С3И ПО Secret Net.
9. Администратор защиты АС проводит периодическое тестирование всего установленного программного обеспечения на предмет отсутствия компьютерных вирусов.
10. При обнаружении компьютерного вируса пользователь АС
обязан немедленно поставить в известность администратора защиты АС и прекратить какие-либо действия на АС.
11. Администратор защиты АС проводит, в случае необходимости, лечение зараженных файлов путем выбора соответствующего пункта меню антивирусной программы и после этого вновь проводит антивирусный контроль.
12. В случае обнаружения на ГМНИ нового вируса, не поддающегося лечению, администратор защиты АС обязан запретить
использование ГМНИ.
13. В случае обнаружения на ЖМД вируса, не поддающегося
лечению, администратор защиты АС обязан поставить в известность начальника режимно-секретного отдела, запретить работу на
АС и в возможно короткие сроки обновить пакет антивирусных
программ.
Руководитель
Начальник РСО
Администратор АС
Пользователь АС
Пользователь АС
Пользователь АС
523
Приложение 4
Гриф
УТВЕРЖДАЮ
Руководитель
ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЮ
АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
ПО РАБОТЕ С СЕКРЕТНОЙ ИНФОРМАЦИЕЙ
Настоящая инструкция определяет общие положения работы
пользователей АС, расположенной в организации и защищенной
системой защиты информации от несанкционированного доступа
«Secret Net 5.1» (далее СЗИ НСД «Secret Net 5.1»), при обработке
(наборе, редактировании и печати) секретной информации.
Пользователь автоматизированной системы (пользователь АС)
‒ субъект доступа в автоматизированную систему, не имеющий
возможности изменять ее настройки. Пользователем АС назначается должностное лицо института в соответствии со «Списком должностных лиц, допущенных к обработке секретной информации в
АС», утверждаемым руководителем организации. Завести пользователя АС в системе может только администратор защиты АС. Он
выдает каждому новому пользователю индивидуальный ТМидентификатор с его логином (именем) и пароль, который набирается с клавиатуры.
Работу с СЗИ НСД «Secret Net 5.1» пользователь АС выполняет, руководствуясь инструкцией «СЗИ НСД Secret Net 5.1 Руководство пользователя».
Пользователь АС может входить в систему после проведения
процедур идентификации (приложения ТМ-идентификатора к контактному устройству съемника информации), аутентификации (набора в диалоговом окне своего пароля) и контроля целостности
(аппаратуры, файлов, системных областей диска) ещё до загрузки
операционной системы. Пользователь АС работает в системе в соответствии с полномочиями доступа к ресурсам, присвоенными
администратором защиты АС.
524
Вход и выход в/из АС
1. Пользователь АС отвечает за правильность включения и выключения автоматизированного рабочего места (АРМ), входа в
систему АС и все действия при работе на АС. Перед началом работы в АС пользователь должен убедиться, что системный блок АРМ
опечатан знаком спецпроверки ФСБ РФ. При отсутствии/повреждении печати он обязан сообщить об этом администратору защиты АС. Работа с секретной информацией в АС в этом
случае ‒ ЗАПРЕЩЕНА.
2. После включения питания пользователь АС производит касание съемника информации ТМ-идентификатором, после процедуры идентификации выполняется процедура аутентификации
(ввод пароля с клавиатуры, при этом обратить внимание на состояние клавиш ‒ Shift, Ctrl, Alt) пользователя. Для проведения процедуры аутентификации пароль вводится в виде символов <*> (длина
пароля должна быть не менее шести значащих символов для третьей категории). Этим предотвращается возможность раскрытия индивидуального пароля и использования утраченного (похищенного) ТМ-идентификатора.
С данными, полученными в результате идентификации/аутентификации пользователей, выполняется процедура кэширования с
использованием секретного ключа, записанного в ТМидентификатор пользователя АС при регистрации. Таким образом,
пароль пользователя не хранится в открытом виде даже в памяти
контроллера. Далее выполняется поиск свертки идентификационных параметров пользователя в базе данных контроллера. Если
предъявлен зарегистрированный ТМ-идентификатор и пароль введен правильно, то выполняется контроль целостности защищаемых
объектов. При положительном результате контрольных процедур
появляется сообщение «Доступ разрешен» на зеленом фоне и производится загрузка операционной системы. Если предъявленный
пользователем идентификатор не зарегистрирован в списке (будут
сообщения «Недопустимый идентификатор», «Ошибка чтения ТМидентификатора») или нарушена целостность защищаемых объектов (будет сообщение «Нарушение целостности»), загрузка ОС не
производится. Для продолжения работы потребуется вмешательст525
во администратора защиты АС. При успешных действиях пользователя осуществляется загрузка операционной системы.
3. Если все попытки входа в систему оказались неудачными,
пользователь АС должен обратиться к администратору защиты АС
для разрешения конфликта.
4. После окончания работы в АС пользователь обязан выключить компьютер установленным в операционной системе Windowsспособом, а также сеть электропитания, и должен возвратить ТМидентификатор на хранение установленным порядком.
Порядок работы с секретной информацией в АС
1. Пользователь АС, перед началом обработки секретной информации обязан:
- включить генератор шума «САЛЮТ 2000 Б»;
- убедиться в отсутствии посторонних лиц в помещении, где
размещено АРМ;
- проверить наличие печати на системном блоке и голографических меток на всех технических средствах АС.
2. Пользователь АС работает с секретной информацией только
с использованием разрешенных и установленных ранее в АС
средств (с использованием штатных средств ‒ операционная система, приложения к ней, а также специальное программное обеспечение).
3. Распечатка секретной информации в АС осуществляется
пользователем на принтере, входящем в состав АС, на учтенные в
Первом отделе бумажные носители.
4. Секретная информация должна записываться только на учтенные магнитные носители (дискеты, жёсткий магнитный диск,
CD-диски), которые сдаются (дискеты, CD-диски) на хранение после окончания работы установленным порядком.
5. После окончания работы с секретной информацией пользователь АС должен выйти из АС, С обязательным выключением
компьютера от сети питания.
6. По мере накопления в АС секретной информации, но не реже одного раза в месяц, а также по указанию начальника Первого
отдела осуществляется резервное копирование информации на учтенные в Первом отделе магнитные носители (дискеты).
526
Порядок установки (смены) паролей
1. Установку пароля и разграничение прав доступа для нового
пользователя АС осуществляет администратор защиты АС, в соответствии с утвержденным «Списком должностных лиц, допущенных к обработке секретной информации в АС» и с учетом полномочий пользователя по отношению к защищаемым информационным ресурсам в данной АС.
2. В случае утраты пользователем АС персонального пароля
или ТМ-идентификатора, он об этом немедленно ставит в известность администратора защиты АС. Пользователь АС несет личную
ответственность за сохранность пароля и ТМ-идентификатора.
3. Плановая смена паролей осуществляется администратором
защиты АС в присутствии пользователя АС с периодичностью не
реже одного раза в месяц, а также досрочно, ‒ по указанию начальника РСО.
Ремонтные и регламентные работы в АС
1. Запрещается привлекать для производства ремонтных работ
технических средств АС посторонних лиц.
2. Запрещается самостоятельно устанавливать в АС новое программное обеспечение, изменять конфигурацию или настройки АС.
3. Пользователь АС и администратор защиты АС обязаны присутствовать при проведении ремонтных или регламентных работ
(установка программного обеспечения и т.п.) с целью недопущения
просмотра сотрудниками службы информатики, проводящими эти
работы, секретной информации.
ЗАПРЕЩАЕТСЯ
1. Без согласования с администратором защиты АС вскрывать
корпуса технических средств и изменять состав/комплектацию
технических средств (в том числе и заменять/прокладывать кабели
электропитания), входящих в состав АРМ.
2. Без согласования с администратором защиты АС изменять
положение технических средств, входящих в состав АРМ, относительно других технических средств, расположенных в помещении
и относительно линий электропитания и заземления, расположенных в помещении.
527
3. Вносить в помещение АС новые технические средства.
4. Обрабатывать секретную информацию при неисправной или
выключенной системе активной защиты и незашторенном смотровом стекле.
5. Передавать персональный пароль другим лицам (пользователям АС).
6. Несанкционированно (без разрешения начальника Первого
отдела и последующего оформления формы 6 «Инструкции по
обеспечению режима секретности в Российской Федерации», утвержденной постановлением Правительства Российской Федерации от «05» января 2004 г. № 3 ‒ 1) копировать и передавать секретную информацию другим лицам (пользователям).
7. Осуществлять попытки несанкционированного доступа к ресурсам системы (загрузку системы с других носителей ‒ системных
дискет, CD-ROM).
8. В рамках выделенных ресурсов и полномочий доступа к ним
обрабатывать информацию с грифом секретности выше заявленного при регистрации.
9. Пытаться подменять функции Администратора защиты АС
по перераспределению времени работы и полномочий доступа к
ресурсам компьютера.
10. Покидать помещение с включенной ПЭВМ до окончания
работы.
11. Проносить в помещение расположения АРМ фотоаппараты,
видеокамеры и сотовые телефоны.
12. Инсталлировать различные программные игры.
Любые нарушения настоящей Инструкции..., а также заражение
АС вирусами будет приравниваться к попыткам взлома системы. В
таких случаях проводится административное расследование происшествия с последующим принятием мер к виновному пользователю АС.
Зам руководителя по безопасности
Начальник РСО
Пользователь АС
Пользователь АС
Пользователь АС
528
Приложение 5
Гриф
Утверждаю
Руководитель
ИНСТРУКЦИЯ АДМИНИСТРАТОРУ ЗАЩИТЫ АС
Настоящая Инструкция определяет функции, права и обязанности администратора защиты информации автоматизированной системы (АС) на базе ПЭВМ организации, защищенной системой защиты информации от несанкционированного доступа «Secret Net
5.1» (далее СЗИ НСД «Secret Net 5.1») по вопросам обеспечения
информационной безопасности при подготовке и исполнении секретных документов в АС.
Настоящая Инструкция является дополнением к действующим
нормативным документам по вопросам обеспечения режима секретности и защиты сведений, отнесенных к государственной тайне,
и не исключает обязательного выполнения их требований. Администратор защиты АС ‒ субъект доступа в автоматизированную
систему, владеющий паролем администратора защиты АС и
имеющий право изменять настройки системы защиты от НСД. Администратор защиты АС назначается приказом по организации и
подчиняется начальнику режимно-секретного отдела и заместителю руководителя по безопасности. Работу с СЗИ НСД «Secret Net
5.1» администратор защиты АС выполняет, руководствуясь инструкциями:
‒ СЗИ НСД «Secret Net 5.1» Руководство администратора.
Управление. Основные механизмы защиты;
‒ СЗИ НСД «Secret Net 5.1» Руководство администратора.
Управление. Полномочное разграничение доступа;
‒ СЗИ НСД «Secret Net 5.1» Руководство администратора. Аудит;
‒ СЗИ НСД «Secret Net 5.1» Руководство администратора. Аппаратные средства;
‒ СЗИ НСД «Secret Net 5.1» Руководство администратора.
Описание системы;
529
‒ СЗИ НСД «Secret Net 5.1» Руководство пользователя.
В обязанности администратора защиты входит:
1. Принимать меры при попытках НСД к защищаемой информации и нарушении правил функционирования системы защиты
(заблокировать, перезагрузить АРМ и т.д.);
2. Поддерживать средства защиты информации в работоспособном состоянии и периодически контролировать корректность их
работы;
3. Проводить изменения настроек средств защиты информации в соответствии с корректировками плана защиты, вызванными
изменением состава пользователей, перечня решаемых задач и соответствующими изменениями функциональных обязанностей сотрудников;
4. Проводить оперативное наблюдение за работой пользователей АС;
5. Обеспечивать оперативное управление работой пользователей АС;
6. Заводить/удалять новых пользователей АС, т.е. зарегистрировать пользователя в подсистеме разграничения доступом;
7. Назначать/отменять пароли для пользователей АС;
8. Устанавливать время жизни пароля и его минимальную
длину (не менее шести символов);
9. Устанавливать (по необходимости) временные ограничения
‒ интервал времени по дням недели (с дискретностью 30 мин), в
который разрешена загрузка ПЭВМ (PC) данному пользователю
АС;
10. Настраивать (по необходимости) параметры управления экраном ‒ гашение экрана через заранее определенный интервал времени (в случае, если в течение указанного интервала действия
пользователя АС не выполнялись);
11. Редактировать параметры (полномочия) пользователей АС;
12. Осуществлять своевременный анализ журнала регистрации
работы СЗИ НСД «Secret Net 5.1»;
13. Настраивать параметры системного журнала комплекса
СЗИ НСД «Secret Net 5.1»;
14. Просматривать системный журнал в режиме реального времени на предмет попыток НСД к информации и анализировать
случаи разрушения, уничтожения или порчи информации;
530
15. Проводить плановую смену паролей пользователей АС;
16. Проводить резервное копирование данных АС;
17. Следить за исправностью средств защиты, установленных в
АС;
18. Периодически контролировать наличие на системном блоке
АС мастичной печати;
19. Периодически контролировать неизменность состава технических средств, входящих в АС и неизменность расположения
технических средств АС согласно «Предписания на эксплуатацию
объектов вычислительной техники»;
20. Контролировать на целостность (на уровне контроллера)
ресурсы операционной системы, СЗИ НСД «Secret Net 5.1» и антивируса Doctor WEB-5.0.
21. Постоянно контролировать выполнение пользователями АС
«Инструкции пользователя АС» и «Инструкции о порядке обработки секретной информации»;
22. Контролировать доступ лиц в помещение, где установлена
АС, в соответствии со списком сотрудников, допущенных в помещение и к работе в АС;
23. Осуществлять настройку комплекса СЗИ НСД «Secret Net
5.1» на предмет автоматического «затирания» информации, санкционировано удаленной с локальных дисков (количество проходов
случайной последовательности по содержимому файла на диске
при его удалении должно быть не менее трёх);
24. Осуществлять периодическое обновление антивирусных
средств (баз данных), установленных на АС, контроль за соблюдением пользователями порядка и правил проведения антивирусного
тестирования АС;
25. Докладывать обо всех нарушениях порядка обработки секретной информации в АС начальнику РСО для принятия практических мер к нарушителям безопасности информации.
Работа с пользователями
1. Назначение/удаление пользователя АС осуществляется администратором защиты АС на основании «Списка должностных
лиц, допущенных к обработке секретной информации в АС» или
приказа по институту, и сопровождается установкой/отменой пер531
сональных паролей и выдачей индивидуального ТМ-идентификатора для пользователей АС;
2. Редактирование параметров (полномочий) пользователей АС
выполняется администратором защиты АС с учетом полномочий
пользователя АС по отношению к защищаемым информационным
ресурсам в данной АС;
3. Плановая смена паролей осуществляется администратором
защиты АС в присутствии пользователя АС с периодичностью не
реже одного раза в месяц или досрочно по указанию Начальника
РСО;
4. Администратор защиты АС обязан разрешать конфликтные
ситуации пользователей при входе в систему с персональными паролями;
5. Администратор защиты АС должен довести до пользователей АС распоряжение о запрете снятия задач с выполнения при
помощи выключения питания или нажатия на клавишу <PESET>;
6. Администратор защиты АС следит за выполнением пользователями АС «Инструкции пользователю АС».
Работа с системным журналом
1. Администратор защиты АС обязан настраивать параметры
системного журнала с целью контроля неизменности состава технических средств, входящих в состав АС, целостности служебных
областей жестких дисков и целостности файлов;
2. Администратором защиты АС ведется регулярный просмотр
системного журнала СЗИ НСД «Secret Net 5.1» на предмет выявления попыток НСД к защищаемой информации.
Журнал содержит следующую информацию:
• тип сообщения;
• дата и точное время регистрации события;
• источник события;
• категория события;
• идентификатор события;
• имя пользователя;
• имя рабочей станции.
3. Администратор защиты АС, при необходимости, удаляет
предыдущие файлы системного журнала после их анализа.
532
Ремонтные и регламентные работы в АС
1. Администратор защиты должен следить за исправностью
средств защиты, установленных в АС, и докладывать о неисправностях начальнику РСО. На время ремонта обработка секретной
информации в АС ЗАПРЕЩЕНА;
2. Для проведения ремонтных и регламентных работ администратор защиты АС привлекает сотрудников организации. С целью
недопущения просмотра секретной информации администратор
защиты АС обязан присутствовать при проведении таких работ.
Резервное копирование данных
Резервное копирование базы данных производится администратором защиты АС с периодичностью, определенной в соответствии
с режимом обработки секретной информации в АС (ПО мере ее накопления, но не реже одного раза в месяц), а также по указанию
начальника РСО. Резервные копии хранятся на учтенных в РСО
магнитных носителях (дискетах, винчестерах, CD-дисках).
Администратор защиты АС имеет право:
1. Участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа;
2. Разрабатывать и вводить установленным порядком необходимую учетную и объектовую документацию (журнал учета идентификаторов, журнал паролей, инструкции пользователям и др.);
3. Требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации.
ЗАПРЕЩАЕТСЯ
Передавать свои ТМ-идентификатор и пароль администратора
защиты АС другим лицам.
Администратор защиты АС несет личную ответственность за
их сохранность.
Зам. руководителя по безопасности
Начальник РСО
533
Приложение 6
СКРИПТ ДЛЯ ЛАБОРАТОРНЫХ РАБОТ 11–13 И 15
СКРИПТ ДЛЯ РАБОТ 11 И 15
--test1a_new.sql
set echo on
set termout on
spool test1a.lst
DROP TABLE SignLic;
DROP TABLE Certifct;
DROP TABLE Item;
DROP TABLE TLLic;
DROP TABLE ManuLic;
DROP TABLE CCLic;
DROP TABLE ISLicns;
DROP TABLE Manufctr;
DROP TABLE TestLab;
DROP TABLE CertCntr;
DROP TABLE Standart;
DROP TABLE LicCenter;
DROP TABLE ISSubjects;
CREATE TABLE ISSubjects (
ISID int NOT NULL,
Name varchar(200) NULL,
PRIMARY KEY (ISID));
CREATE TABLE LicCenter (
LicCentID int NOT NULL,
ISID int NOT NULL,
Name varchar(100) NULL,
Address varchar(200) NULL,
Phone varchar(12) NULL,
PRIMARY KEY (LicCentID),
FOREIGN KEY (ISID)
REFERENCES ISSubjects);
534
CREATE TABLE Standart (
StandartID int NOT NULL,
Trebovanie varchar(40) NULL,
LabelRule varchar(25) NULL,
PRIMARY KEY (StandartID));
CREATE TABLE CertCntr (
CertCntrID int NOT NULL,
Name varchar(100) NULL,
Address varchar(100) NULL,
Phone varchar(12) NULL,
PRIMARY KEY (CertCntrID));
CREATE TABLE TestLab (
TestLabID int NOT NULL,
Name varchar(100) NULL,
Address varchar(100) NULL,
Phone varchar(12) NULL,
PRIMARY KEY (TestLabID));
CREATE TABLE Manufctr (
ManuID number(5) NOT NULL,
Name varchar(25) NULL,
Address varchar(35) NULL,
Phone varchar(12) NULL,
PRIMARY KEY (ManuID));
CREATE TABLE ISLicns (
LicID int NOT NULL,
LicCentID int NOT NULL,
AktNum int NULL,
NumGAK int NULL,
ExpDate date NULL,
PRIMARY KEY (LicID),
FOREIGN KEY (LicCentID)
REFERENCES LicCenter);
CREATE TABLE CCLic (
CertCntrID int NOT NULL,
LicID int NOT NULL,
PRIMARY KEY (CertCntrID, LicID),
535
FOREIGN KEY (LicID)
REFERENCES ISLicns,
FOREIGN KEY (CertCntrID)
REFERENCES CertCntr);
CREATE TABLE ManuLic (
ManuID int NOT NULL,
LicID int NOT NULL,
PRIMARY KEY (ManuID, LicID),
FOREIGN KEY (LicID)
REFERENCES ISLicns,
FOREIGN KEY (ManuID)
REFERENCES Manufctr);
CREATE TABLE TLLic (
TestLabID int NOT NULL,
LicID int NOT NULL,
PRIMARY KEY (TestLabID, LicID),
FOREIGN KEY (LicID)
REFERENCES ISLicns,
FOREIGN KEY (TestLabID)
REFERENCES TestLab);
CREATE TABLE Item (
ItemID int NOT NULL,
ManuID int NOT NULL,
Name varchar(200) NULL,
PRIMARY KEY (ItemID),
FOREIGN KEY (ManuID)
REFERENCES Manufctr);
CREATE TABLE Certifct (
CertID int NOT NULL,
StandartID int NOT NULL,
CertCntrID int NOT NULL,
TestLabID int NOT NULL,
ItemID int NOT NULL,
IssueDate date NULL,
ExpDate date NULL,
PRIMARY KEY (CertID),
536
FOREIGN KEY (StandartID)
REFERENCES Standart,
FOREIGN KEY (CertCntrID)
REFERENCES CertCntr,
FOREIGN KEY (TestLabID)
REFERENCES TestLab,
FOREIGN KEY (ItemID)
REFERENCES Item);
CREATE TABLE SignLic (
LicID int NOT NULL,
CertID int NOT NULL,
IssueDate date NULL,
ExpDate date NULL,
VerifySign varchar(30) NULL,
PRIMARY KEY (LicID),
FOREIGN KEY (CertID)
REFERENCES Certifct);
INSERT INTO ISSubjects VALUES(0, 'деятельность по распространению шифровальных средств');
INSERT INTO ISSubjects VALUES(1, 'деятельность по техническому обслуживанию шифровальных средств');
INSERT INTO ISSubjects VALUES(2, 'предоставление услуг в области шифрования информации');
INSERT INTO ISSubjects VALUES(4, 'деятельность по производству специальных защитных знаков, предназначенных для маркирования товаров, сопроводительной документации к товарам и подтверждения подлинности документов и ценных бумаг');
INSERT INTO ISSubjects VALUES(5, 'деятельность по распространению специальных защитных знаков, предназначенных для маркирования товаров, сопроводительной документации к товарам и
подтверждения подлинности документов и ценных бумаг');
INSERT INTO ISSubjects VALUES(6, 'деятельность по использованию технических средств,предназначенных для выявления электронных устройств,служащих для негласного получения
информации');
INSERT INTO ISSubjects VALUES(7, 'деятельность центров обязательной сертификации');
537
INSERT INTO ISSubjects VALUES(8, 'деятельность испытательных
лабораторий (экспертных центров) в области обязательной
сертификации');
INSERT INTO LicCenter VALUES(0, 6, 'Центр лицензирования деятельности центров обязательной сертификации', 'РФ,Москва, ул.
Новый Арбат, д.10', '973-01-02');
INSERT INTO LicCenter VALUES(1, 7, 'Центр лицензирования деятельности испытательных лабораторий', 'РФ, Москва, ул. Маршала
Жукова , д.56', '199-54-17');
INSERT INTO Standart VALUES(0, 'CЗИ должно быть защищено от
НСД', 'Голографическая наклейка');
INSERT INTO Standart VALUES(1, 'СЗИ должно быть защищено от
утечки ПЭМИН', 'Отсутствует');
INSERT INTO Standart VALUES(2, 'СЗИ должно иметь защищенную ОС', 'Пломба');
INSERT INTO CertCntr VALUES(0, 'Федеральный центр
сертификации','РФ, Москва, ул. Ленинский Проспект, д.92','323-4232');
INSERT INTO CertCntr VALUES(1, 'Муниципальный центр
Сертификации', 'РФ, Москва, ул. Проходчикова, д.8', '182-98-18');
INSERT INTO TestLab VALUES(0, 'ООО Точные измерения', 'РФ,
Москва, ул.Изумрудная,д.19.', '323-42-32');
INSERT INTO TestLab VALUES(1, 'ЗАО Дуга','РФ, Москва, ул.
Проходчикова, д.18', '293-99-29');
INSERT INTO Manufctr VALUES(0, 'Сделал делогуляй смело', 'РФ,
Москва, ул.Каменная,д.20. ', '777-77-77');
INSERT INTO Manufctr VALUES(1, 'ЗАО Умываю руки','РФ, Москва, ул. Деревянная, д.18', '431-23-37');
INSERT INTO ISLicns VALUES(0, 0, 123, 234,
TO_DATE('8/3/05','dd/mm/yy'));
INSERT INTO ISLicns VALUES(1, 0, 436, 345,
TO_DATE('23/2/05','dd/mm/yy'));
INSERT INTO ISLicns VALUES(2, 0, 348, 532,
TO_DATE('7/12/04','dd/mm/yy'));
INSERT INTO ISLicns VALUES(3, 0, 546, 435,
TO_DATE('12/11/04','dd/mm/yy'));
538
INSERT INTO ISLicns VALUES(4, 1, 325, 134,
TO_DATE('7/5/06','dd/mm/yy'));
INSERT INTO ISLicns VALUES(5, 1, 636, 641,
TO_DATE('1/2/06','dd/mm/yy'));
INSERT INTO CCLic VALUES(0, 0);
INSERT INTO CCLic VALUES(1, 1);
INSERT INTO ManuLic VALUES(0, 2);
INSERT INTO ManuLic VALUES(1, 3);
INSERT INTO TLLic VALUES(0, 4);
INSERT INTO TLLic VALUES(1, 5);
INSERT INTO Item VALUES(0, 0, 'Защищенный коврик для
мыши');
INSERT INTO Item VALUES(1, 0, 'Защищенная от утечки ПЭМИН
мышь');
INSERT INTO Item VALUES(2, 0, 'Лазерные системы защиты и
обнаружения');
INSERT INTO Item VALUES(3, 1, 'Забор от НСД');
INSERT INTO Item VALUES(4, 1, 'Сигнализация НСД');
INSERT INTO Certifct VALUES(0, 0, 1, 1, 0,
TO_DATE('11/4/01','dd/mm/yy'), TO_DATE('11/4/03','dd/mm/yy'));
INSERT INTO Certifct VALUES(1, 1, 0, 1, 0,
TO_DATE('12/5/01','dd/mm/yy'), TO_DATE('12/5/03','dd/mm/yy'));
INSERT INTO Certifct VALUES(2, 0, 1, 0, 1,
TO_DATE('13/1/01','dd/mm/yy'), TO_DATE('13/1/03','dd/mm/yy'));
INSERT INTO Certifct VALUES(3, 2, 1, 1, 1,
TO_DATE('9/11/01','dd/mm/yy'), TO_DATE('9/11/03','dd/mm/yy'));
INSERT INTO Certifct VALUES(4, 0, 1, 1, 2,
TO_DATE('4/7/01','dd/mm/yy'), TO_DATE('4/7/03','dd/mm/yy'));
INSERT INTO Certifct VALUES(5, 1, 0, 0, 3,
TO_DATE('17/8/01','dd/mm/yy'), TO_DATE('17/8/03','dd/mm/yy'));
INSERT INTO Certifct VALUES(6, 1, 0, 0, 4,
TO_DATE('27/9/01','dd/mm/yy'), TO_DATE('27/9/03','dd/mm/yy'));
INSERT INTO SignLic VALUES(0, 0,
TO_DATE('11/4/01','dd/mm/yy'), TO_DATE('11/4/03','dd/mm/yy'),
'Замок');
539
INSERT INTO SignLic VALUES(1, 2,
TO_DATE('13/1/01','dd/mm/yy'), TO_DATE('13/1/03','dd/mm/yy'),
'Печать');
INSERT INTO SignLic VALUES(2, 4,
TO_DATE('14/7/01','dd/mm/yy'), TO_DATE('14/7/03','dd/mm/yy'),
'Две печати');
SELECT * FROM ISSubjects;
SELECT * FROM LicCenter;
SELECT * FROM Standart;
SELECT * FROM CertCntr;
SELECT * FROM TestLab;
SELECT * FROM Manufctr;
SELECT * FROM ISLicns;
SELECT * FROM CCLic;
SELECT * FROM ManuLic;
SELECT * FROM TLLic;
SELECT * FROM Item;
SELECT * FROM Certifct;
SELECT * FROM SignLic;
COMMIT;
СКРИПТ ДЛЯ РАБОТЫ 12
--CREATE.SQL
drop table AUDITORY cascade constraint;
drop table COMPUTER cascade constraint;
drop table KAFEDRA cascade constraint;
drop table ST_GROUP cascade constraint;
drop table COURSE cascade constraint;
drop table STUDENT cascade constraint;
drop table PROFESSOR cascade constraint;
drop table DAY cascade constraint;
drop table PAIR cascade constraint;
drop table SEMESTER cascade constraint;
drop table SCHEDULE cascade constraint;
drop table CLASS cascade constraint;
drop table ERROR cascade constraint;
540
create table AUDITORY(aud_id integer not NULL PRIMARY KEY,
aud_num integer not NULL,
aud_location varchar2(10) not NULL,
UNIQUE (aud_num, aud_location));
create table COMPUTER(comp_id integer not NULL PRIMARY KEY,
CPU_type varchar2(20) not NULL,
Freq integer not NULL,
HDD integer not NULL,
RAM integer not NULL,
Net varchar2(3) CHECK (Net in ('+','-')),
OS varchar2(20),
Monitor varchar2(20),
aud_id integer,
FOREIGN KEY (aud_id) references AUDITORY(aud_id));
create table KAFEDRA(kaf_id integer not NULL PRIMARY KEY,
kaf_name varchar2(40) not NULL UNIQUE);
create table ST_GROUP(g_id integer not NULL PRIMARY KEY,
g_name varchar2(10) not NULL UNIQUE,
kaf_id integer,
FOREIGN KEY (kaf_id) references KAFEDRA(kaf_id));
create table STUDENT(st_id integer not NULL PRIMARY KEY,
st_F varchar2(35) not NULL,
st_I varchar2(35) not NULL,
st_O varchar2(35),
g_id integer,
FOREIGN KEY (g_id) references ST_GROUP(g_id));
create table PROFESSOR(prof_id integer not NULL PRIMARY KEY,
prof_F varchar2(35) not NULL,
prof_I varchar2(35) not NULL,
prof_O varchar2(35) not NULL,
kaf_id integer,
FOREIGN KEY (kaf_id) references KAFEDRA(kaf_id));
create table COURSE(course_id integer not NULL PRIMARY KEY,
541
course_name varchar2(35) not NULL UNIQUE,
start_week integer not NULL,
end_week integer not NULL,
offset varchar2(6) CHECK (offset in ('+','-')),
exam varchar2(3) CHECK (exam in ('+','-')),
constraint check_week CHECK( (start_week < end_week) and (
start_week > 0 and end_week < 17) ));
create table SEMESTER(sem_id integer not NULL PRIMARY KEY,
sem_name varchar2(30) not NULL UNIQUE);
create table DAY(day_id integer not NULL PRIMARY KEY,
day_name varchar2(30) not NULL UNIQUE);
create table PAIR(pair_id integer not NULL PRIMARY KEY,
start_time DATE not NULL,
end_time DATE not NULL);
create table SCHEDULE(sched_id integer not NULL PRIMARY KEY,
year integer not NULL,
course_id integer not NULL,
prof_id integer not NULL,
g_id integer not NULL,
aud_id integer not NULL,
sem_id integer not NULL,
day_id integer not NULL,
pair_id integer not NULL,
FOREIGN KEY (course_id) references COURSE(course_id),
FOREIGN KEY (prof_id) references PROFESSOR(prof_id),
FOREIGN KEY (g_id) references ST_GROUP(g_id),
FOREIGN KEY (aud_id) references AUDITORY(aud_id),
FOREIGN KEY (sem_id) references SEMESTER(sem_id),
FOREIGN KEY (day_id) references DAY(day_id),
FOREIGN KEY (pair_id) references PAIR(pair_id));
create table CLASS(class_id integer not NULL PRIMARY KEY,
class_date DATE not NULL,
present integer not NULL,
542
changed varchar2(10) CHECK (changed in ('+','-')),
sched_id integer,
FOREIGN KEY (sched_id) references SCHEDULE(sched_id));
create table ERROR(err_id integer not NULL PRIMARY KEY,
err_type varchar2(30),
err_description varchar2(50) not NULL,
repaired varchar2(8) CHECK (repaired in ('+','-')),
class_id integer not NULL,
comp_id integer,
FOREIGN KEY (class_id) references CLASS(class_id),
FOREIGN KEY (comp_id) references COMPUTER(comp_id));
--INSERT.SQL
insert into AUDITORY values(1,206,'Т');
insert into AUDITORY values(2,313,'Т');
insert into AUDITORY values(3,410,'Б');
insert into AUDITORY values(4,414,'Б');
insert into COMPUTER values(1,'AMD Athlon',2000,40,256,'+','Windows 2000 Server', 'Sony 15"', 1);
insert into COMPUTER values(2,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(3,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(4,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(5,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(6,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(7,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(8,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(9,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
543
insert into COMPUTER values(10,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(11,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(12,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(13,'AMD
Athlon',1600,40,256,'+','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(14,'AMD Athlon',1600,40,256,'','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(15,'AMD Athlon',1600,40,256,'','Windows 2000 Pro', 'Sony 15"', 1);
insert into COMPUTER values(16,'Intel Pentium
II',600,40,256,'+','Windows 2000 Server', 'Siemens 15"', 2);
insert into COMPUTER values(17,'Intel Pentium
MMX',200,10,128,'+','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(18,'Intel Pentium
MMX',200,10,128,'+','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(19,'Intel Pentium
MMX',200,10,128,'+','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(20,'Intel Pentium
MMX',200,10,128,'+','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(21,'Intel Pentium
MMX',200,10,128,'+','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(22,'Intel Pentium
MMX',200,10,128,'+','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(23,'Intel Pentium
MMX',200,10,128,'+','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(24,'Intel Pentium
MMX',200,10,128,'+','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(25,'Intel Pentium
MMX',200,10,128,'+','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(26,'Intel Pentium
MMX',200,10,128,'+','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(27,'Intel Pentium MMX',200,10,128,'','Windows NT 4.0', 'Siemens 15"', 2);
544
insert into COMPUTER values(28,'Intel Pentium MMX',266,10,128,'','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(29,'Intel Pentium MMX',233,10,128,'','Windows NT 4.0', 'Siemens 15"', 2);
insert into COMPUTER values(30,'4х Ultra Sparc',850,100,512,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(31,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(32,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(33,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(34,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(35,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(36,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(37,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(38,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(39,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(40,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(41,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(42,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(43,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(44,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
insert into COMPUTER values(45,'Ultra Sparc',400,20,128,'+','OS
Solaris', 'Sun 19"', 4);
545
insert into COMPUTER values(46,'AMD Athlon',3000,100,1024,'+','Windows XP Pro', 'Sony 21"',NULL);
insert into KAFEDRA values( 1,'41');
insert into KAFEDRA values( 2,'42');
insert into KAFEDRA values( 3,'43');
insert into ST_GROUP values( 1,'Б8-01',1);
insert into ST_GROUP values( 2,'Б8-02',2);
insert into ST_GROUP values( 3,'Б8-03',3);
insert into STUDENT values( 1,'Лекшин','Олег','',1);
insert into STUDENT values( 2,'Григорьев','Андрей','',1);
insert into STUDENT values( 3,'Зубаревич','Илья','Николаевич',1);
insert into STUDENT values( 4,'Зыков','Александр','Сергеевич',1);
insert into STUDENT values( 5,'Балашов','Иван','',1);
insert into STUDENT values( 6,'Новиков','Алексей','',1);
insert into STUDENT values( 7,'Горобец','Андрей','Валерьевич',1);
insert into STUDENT values( 8,'Витязев','Всеволод','',1);
insert into STUDENT values( 9,'Колосова','Татьяна','',1);
insert into STUDENT values( 10,'Маркелов','Василий','',1);
insert into STUDENT values( 11,'Степченков','Максим','',1);
insert into STUDENT values( 12,'Архангельская','Анна','',1);
insert into STUDENT values( 13,'Беликов','Дмитрий','',1);
insert into STUDENT values( 14,'Красникова','Светлана',
'Владимировна',1);
insert into STUDENT values( 15,'Бадиков','Александр','',2);
insert into STUDENT values( 16,'Ефремова','Юлия','',2);
insert into STUDENT values( 17,'Мясумов','Марат','',2);
insert into STUDENT values( 18,'Смирнов','Илья','',2);
insert into STUDENT values( 19,'Лысюк','Дарья','',2);
insert into STUDENT values( 20,'Анашкина','Анна','',2);
insert into STUDENT values( 21,'Гилёв','Алексей','',2);
insert into STUDENT values( 22,'Лурье','Александр','',2);
insert into STUDENT values( 23,'Николаенко','Денис','',2);
insert into STUDENT values( 24,'Блинов','Алексей','',2);
insert into STUDENT values( 25,'Сергеев','Андрей','',2);
insert into STUDENT values( 26,'Гончаров','Евгений','',3);
546
insert into STUDENT values( 27,'Речинский','Алексей','',3);
insert into STUDENT values( 28,'Илюхина','Ирина','',3);
insert into STUDENT values( 29,'Борщ','Александр','',3);
insert into STUDENT values( 31,'Филатов','Сергей','',3);
insert into STUDENT values( 32,'Быкадоров','Дмитрий','',3);
insert into STUDENT values( 33,'Макаров','Олег','',3);
insert into STUDENT values( 34,'Реутов','Артём','',3);
insert into PROFESSOR values(1,'Лаврентьев','Валерий','Сергеевич',3);
insert into PROFESSOR values(2,'Зотов','А','А',1);
insert into PROFESSOR values(3,'Беззубцев','Б','Б',2);
insert into PROFESSOR
values(4,'Малюк','Анатолий','Александрович',NULL);
insert into COURSE values(1,'Oracle',1,8,'+','+');
insert into COURSE values(2,'Unix',1,16,'+','-');
insert into COURSE values(3,'C++',9,16,'-','+');
insert into SEMESTER values(1,'осенний');
insert into SEMESTER values(2,'весенний');
insert into DAY values(1,'Понедельник');
insert into DAY values(2,'Вторник');
insert into DAY values(3,'Среда');
insert into DAY values(4,'Четверг');
insert into DAY values(5,'Пятница');
insert into DAY values(6,'Суббота');
insert into DAY values(7,'Воскресенье');
insert into PAIR values(1,to_date('08:45','HH24:Mi'),
to_date('10:10','HH24:Mi'));
insert into PAIR values(2,to_date('10:20','HH24:Mi'),
to_date('11:45','HH24:Mi'));
insert into PAIR values(3,to_date('12:40','HH24:Mi'),
to_date('14:25','HH24:Mi'));
547
insert into PAIR values(4,to_date('14:35','HH24:Mi'),
to_date('16:00','HH24:Mi'));
insert into PAIR values(5,to_date('16:10','HH24:Mi'),
to_date('17:35','HH24:Mi'));
insert into PAIR values(6,to_date('17:45','HH24:Mi'),
to_date('19:10','HH24:Mi'));
insert into PAIR values(7,to_date('19:20','HH24:Mi'),
to_date('20:45','HH24:Mi'));
insert into PAIR values(8,to_date('20:55','HH24:Mi'),
to_date('22:20','HH24:Mi'));
insert into SCHEDULE values(1, 2003,1,1,1,1,2,1,1);
insert into SCHEDULE values(2, 2003,1,1,1,1,2,1,2);
insert into SCHEDULE values(3, 2003,1,1,2,1,2,2,3);
insert into SCHEDULE values(4, 2003,1,1,2,1,2,2,4);
insert into SCHEDULE values(5, 2003,1,1,3,1,2,4,2);
insert into SCHEDULE values(6, 2003,1,1,3,1,2,5,4);
insert into SCHEDULE values(7, 2003,2,2,1,2,2,4,3);
insert into SCHEDULE values(8, 2003,2,2,1,2,2,4,4);
insert into SCHEDULE values(9, 2003,2,2,2,2,2,1,3);
insert into SCHEDULE values(10,2003,2,2,2,2,2,1,4);
insert into SCHEDULE values(11,2003,2,2,3,2,2,1,5);
insert into SCHEDULE values(12,2003,2,2,3,2,2,1,6);
insert into SCHEDULE values(13,2003,3,1,1,4,2,2,3);
insert into SCHEDULE values(14,2003,3,1,2,4,2,3,1);
insert into SCHEDULE values(15,2003,3,1,3,4,2,5,1);
insert into CLASS values(1,to_date('1302','DDMM'), 12,'-',1);
insert into CLASS values(2,to_date('2002','DDMM'), 7,'-',1);
insert into CLASS values(3,to_date('2702','DDMM'), 8,'-',1);
insert into CLASS values(4,to_date('0703','DDMM'), 10,'-',1);
insert into CLASS values(5,to_date('1403','DDMM'), 11,'-',1);
insert into CLASS values(6,to_date('2103','DDMM'), 9,'-',1);
insert into CLASS values(7,to_date('1202','DDMM'), 10,'-',10);
548
insert into CLASS values(8,to_date('1902','DDMM'), 8,'-',10);
insert into CLASS values(9,to_date('0303','DDMM'), 7,'-',10);
insert into CLASS values(10,to_date('0503','DDMM'), 11,'+',10);
insert into CLASS values(11,to_date('1003','DDMM'), 12,'-',10);
insert into CLASS values(12,to_date('1503','DDMM'), 6,'+',10);
insert into CLASS values(13,to_date('2203','DDMM'), 7,'+',10);
insert into CLASS values(14,to_date('2903','DDMM'), 10,'+',10);
insert into ERROR values(1,'','Сломался USB порт', '+', 5, 1);
insert into ERROR values(2,'','Неисправен процессор', '-', 1, 16);
insert into ERROR values(3,'','Сгорел монитор', '+', 8, 30);
СКРИПТ ДЛЯ РАБОТЫ 13
--SCOTT_WITH_OFFICIAL.SQL
DROP TABLE dept CASCADE CONSTRAINT;
CREATE TABLE dept
(deptno NUMBER(2) CONSTRAINT pk_dept PRIMARY KEY,
dname VARCHAR2(14) ,
loc VARCHAR2(13) ) ;
DROP TABLE emp CASCADE CONSTRAINT;
CREATE TABLE emp
(empno NUMBER(4) CONSTRAINT pk_emp PRIMARY KEY,
ename VARCHAR2(10),
job VARCHAR2(9),
mgr NUMBER(4) CONSTRAINT emp_self_key
REFERENCES emp(empno),
hiredate DATE,
sal NUMBER(7,2),
comm NUMBER(7,2),
deptno NUMBER(2) CONSTRAINT fk_deptno REFERENCES
dept(deptno));
INSERT INTO dept VALUES
(10,'ACCOUNTING','NEW YORK');
INSERT INTO dept VALUES (20,'RESEARCH','DALLAS');
INSERT INTO dept VALUES
(30,'SALES','CHICAGO');
INSERT INTO dept VALUES
549
(40,'OPERATIONS','BOSTON');
INSERT INTO emp VALUES
(7839,'KING','PRESIDENT',NULL,to_date('17-11-1981','dd-mmyyyy'),5000,NULL,10);
INSERT INTO emp VALUES
(7698,'BLAKE','MANAGER',7839,to_date('1-5-1981','dd-mmyyyy'),2850,NULL,30);
INSERT INTO emp VALUES
(7782,'CLARK','MANAGER',7839,to_date('9-6-1981','dd-mmyyyy'),2450,NULL,10);
INSERT INTO emp VALUES
(7566,'JONES','MANAGER',7839,to_date('2-4-1981','dd-mmyyyy'),2975,NULL,20);
INSERT INTO emp VALUES
(7902,'FORD','ANALYST',7566,to_date('3-12-1981','dd-mmyyyy'),3000,NULL,20);
INSERT INTO emp VALUES
(7788,'SCOTT','ANALYST',7566,to_date('13-07-87')85,3000,NULL,20);
INSERT INTO emp VALUES
(7369,'SMITH','CLERK',7902,to_date('17-12-1980','dd-mmyyyy'),800,NULL,20);
INSERT INTO emp VALUES
(7499,'ALLEN','SALESMAN',7698,to_date('20-2-1981','dd-mmyyyy'),1600,300,30);
INSERT INTO emp VALUES
(7521,'WARD','SALESMAN',7698,to_date('22-2-1981','dd-mmyyyy'),1250,500,30);
INSERT INTO emp VALUES
(7654,'MARTIN','SALESMAN',7698,to_date('28-9-1981','dd-mmyyyy'),1250,1400,30);
INSERT INTO emp VALUES
(7844,'TURNER','SALESMAN',7698,to_date('8-9-1981','dd-mmyyyy'),1500,0,30);
INSERT INTO emp VALUES
(7876,'ADAMS','CLERK',7788,to_date('13-7-87')-51,1100,NULL,20);
INSERT INTO emp VALUES
550
(7900,'JAMES','CLERK',7698,to_date('3-12-1981','dd-mmyyyy'),950,NULL,30);
INSERT INTO emp VALUES
(7934,'MILLER','CLERK',7782,to_date('23-1-1982','dd-mmyyyy'),1300,NULL,10);
DROP TABLE bonus;
CREATE TABLE bonus
(
ename VARCHAR2(10)
,
job VARCHAR2(9) ,
sal NUMBER,
comm NUMBER
);
DROP TABLE official;
CREATE TABLE official(
id NUMBER(2) CONSTRAINT PK_OFFICIAL PRIMARY KEY,
fio VARCHAR2(10),
dolzh VARCHAR2(50),
phone VARCHAR2(25),
empno NUMBER(4) CONSTRAINT fk_emp REFERENCES
emp(empno),
idfk NUMBER(2) CONSTRAINT official_self_key REFERENCES
official(id)
);
INSERT INTO official VALUES(01,'FIOGD' ,'Глава департамента
МИНФИН' ,'7654321' ,7839,'');
INSERT INTO official VALUES(02,'FIONOF' ,'Начальник отдела
финансов' ,'8-903-1234567',7782,01);
INSERT INTO official VALUES(03,'FIOSEOF' ,'Старший эксперт
отдела финансов','8-915-1234567',7782,02);
INSERT INTO official VALUES(04,'FIONOI' ,'Начальник отдела
иссл-й' ,'8-914-1234567',7566,01);
INSERT INTO official VALUES(05,'FIOSEOI' ,'Старший эксперт
отдела иссл-й' ,'8-913-1234567',7902,04);
551
INSERT INTO official VALUES(06,'FIOEOI1' ,'Эксперт отдела исслй' ,'8-912-1234567',7876,05);
INSERT INTO official VALUES(07,'FIONOT' ,'Начальник отдела
торговли' ,'8-911-1234567',7698,01);
INSERT INTO official VALUES(08,'FIOSEOT1','Старший эксперт
отдела торговли','8-910-1234567',7654,07);
INSERT INTO official VALUES(09,'FIOSEOT2','Старший эксперт
отдела торговли','8-909-1234567',7521,07);
INSERT INTO official VALUES(10,'FIOEOF' ,'Эксперт отдела
финансов' ,'8-908-1234567',7934,03);
INSERT INTO official VALUES(11,'FIOSEOT3','Старший эксперт
отдела торговли','8-907-1234567',7499,07);
INSERT INTO official VALUES(12,'FIOSEOT4','Старший эксперт
отдела торговли','8-906-1234567',7844,07);
insert into official VALUES(13,'FIOEOI2' ,'Эксперт отдела иссл-й' ,'8905-1234567',7369,05);
INSERT INTO official VALUES(14,'FIOEOT1' ,'Эксперт отдела
торговли' ,'8-904-1234567',7900,08);
INSERT INTO official VALUES(15,'FIOEOT2' ,'Эксперт отдела
торговли' ,'8-917-1234567',7900,09);
DROP TABLE salgrade;
CREATE TABLE salgrade
( grade NUMBER,
losal NUMBER,
hisal NUMBER );
INSERT INTO salgrade VALUES (1,700,1200);
INSERT INTO salgrade VALUES (2,1201,1400);
INSERT INTO salgrade VALUES (3,1401,2000);
INSERT INTO salgrade VALUES (4,2001,3000);
INSERT INTO salgrade VALUES (5,3001,9999);
COMMIT;
SET TERMOUT ON
SET ECHO ON
552
СПИСОК ЛИТЕРАТУРЫ
Основная литература
1. Белов Е.Б., Лось В.П., Мещеряков Р.В., Шелупанов А.А. Основы информационной безопасности: Учебное пособие М.: Горячая линия – Телеком, 2006.
2. Брусницын Н.А. Информационная война и безопасность. М.:
Вита-Пресс, 2001.
3. Будников С.А., Паршин Н.В. Информационная безопасность
автоматизированных систем: Учебное пособие. – 2-е изд., дополн.
Воронеж: Изд-во им. Е.А. Болховитинова, 2011.
4. Герасименко В.А. Защита информации в автоматизированных
системах обработки данных. Кн. 1 и 2. М.: Энергоатомиздат, 1994.
5. Герасименко В.А., Малюк А.А. Основы защиты информации.
М.: МОПО РФ – МИФИ, 1997.
6. Девянин П.Н., Садердинов А.А., Трайнев В.А. и др. Информационная безопасность предприятия. Учебное пособие. М., 2006.
7. Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков
Д.В. Информационная безопасность открытых систем. Часть 1:
Учебник для вузов. Т. I. М.: Горячая линия–Телеком, 2006.
8. Лаврентьев В.С. Освоение SQL и PL/SQL Oracle. Лабораторные работы: Учебное пособие. М.: МИФИ, 2009.
9. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту
информации в автоматизированных системах: Учебное пособие для
вузов. М.: Горячая линия–Телеком, 2004.
10. Петраков А.В. Основы практической защиты информации.
Учебное пособие. М., 2005.
11. Стрельцов А.А. Правовое обеспечение информационной
безопасности России: теоретические и методологические основы.
Минск, 2005.
12. Стрельцов А.А. Обеспечение информационной безопасности
России. Теоретические и методологические основы. / Под ред.
В.А. Садовничего и В.П. Шерстюка. М.: МЦМНО, 2002.
553
13. Трубачев А.П., Долинин М.Ю., Кобзарь М.Т., Сидак А.А.,
Сороковиков В.И. Оценка безопасности информационных технологий. / Под общ. ред. В.А. Галатенко.М.: СИП РИА, 2001.
14. Щеглов A.IO. Защита компьютерной информации от несанкционированного доступа. С.Пб., 2004.
15. Язов Ю.К. Основы методологии количественной оценки эффективности защиты информации в компьютерных сетях. Ростовна-Дону: Изд-во СКНЦ ВШ, 2006.
16. Язов Ю.К., Аграновский А.В., Мамай В.И., Назаров И.Г. Основы технологий проектирования систем защиты информации в
информационно-телекоммуникационных системах. Ростов-наДону: Изд-во СКНЦ ВШ, 2006.
Нормативные документы
1. ГОСТ Р 50922-2006. Защита информации. Основные термины
и определения.
2. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
3. ГОСТ Р 51583-2000. Защита информации. Порядок создания
автоматизированных систем в защищенном исполнении. Общие
положения.
4. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.
5. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и
определения.
6. ГОСТ 34.003-90. Информационная технология. Комплекс
стандартов на автоматизированные системы. Автоматизированные
системы. Термины и определения.
7. ГОСТ 34.201-89. Информационная технология. Комплекс
стандартов на автоматизированные системы. Виды, комплектность
и обозначение документов при создании автоматизированных систем.
554
8. ГОСТ 34.601-90. Информационная технология. Комплекс
стандартов на автоматизированные системы. Автоматизированные
системы. Стадии создания.
9. ГОСТ 34.602-89. Информационная технология. Комплекс
стандартов на автоматизированные системы. Техническое задание
на создание автоматизированной системы.
10. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.
11. ГОСТ 28195-89. Оценка качества программных средств.
Общие положения.
12. ГОСТ 28806-90. Качество программных средств. Термины и
определения.
13. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
14. ГОСТ Р 51171-98. Качество служебной информации. Правила предъявления информационных технологий на сертификацию.
15. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое
руководство.
16. ГОСТ Р 51241-2008. Средства и системы контроля и управления доступом. Классификация. Общие технические требования.
Методы испытаний.
17. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
18. ГОСТ Р 52633.0-2006. Защита информации. Техника защиты
информации. Требования к средствам высоконадежной биометрической аутентификации.
19. ГОСТ Р 52633.1-2009. Защита информации. Техника защиты
информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств
высоконадежной биометрической аутентификации.
20. ГОСТ Р 52633.2-2010. Защита информации. Техника защиты
информации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации.
555
21. ГОСТ Р ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и
общая модель.
22. ГОСТ Р ИСО/МЭК 15408-2-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
23. ГОСТ Р ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
24. Специальные требования и рекомендации по технической
защите конфиденциальной информации (СТР-К) (Утверждены решением Коллегии Гостехкомиссии России от 02.03.2001).
25. Положение по аттестации объектов информатизации по
требованиям безопасности информации (Утверждено Председателем Государственной технической комиссии при Президенте
Российской Федерации Ю. Яшиным 25 ноября 1994 г.)
26. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России от 05.01.1996. № 3.
27. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Решение Гостехкомиссии России от 30.03.1992.
28. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного
доступа в автоматизированных системах и средствах вычислительной техники. Решение Гостехкомиссии России от 30.03.1992.
29. Руководящий документ. Средства вычислительной техники.
Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Решение Гостехкомиссии России от 30.03.1992.
30. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классифи556
кация автоматизированных систем и требования по защите информации. Решение Гостехкомиссии России от 30.03.1992.
31. Руководящий документ. Защита от несанкционированного
доступа к информации. Термины и определения. Решение Гостехкомиссии России от 30.03.92.
32. Руководящий документ. Средства вычислительной техники.
Межсетевые экраны. Защита от несанкционированного доступа к
информации. Показатели защищенности от несанкционированного
доступа к информации. Гостехкомиссия России, 1997 г.
557
В.С. Горбатов, С.В. Дворянкин, А.П. Дураковский,
Р.С. Енгалычев, Т.А. Кондратьева, В.С. Лаврентьев,
В.А. Петров, В.Р. Петров
АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ
ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
ПО ТРЕБОВАНИЯМ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Редактор Н.В. Шумакова
Макет подготовлен к печати Е.Н. Кочубей
Подписано в печать 21.03.2014. Формат 60х84 1/16.
Изд. № 003-1. Печ. л. 35,0. Тираж 200 экз.
Национальный исследовательский ядерный университет «МИФИ»
Типография НИЯУ МИФИ. 115409, Москва, Каширское ш., 31