МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ЯДЕРНЫЙ УНИВЕРСИТЕТ «МИФИ» В.С. Горбатов, С.В. Дворянкин, А.П. Дураковский, Р.С. Енгалычев, Т.А. Кондратьева, В.С. Лаврентьев, В.А. Петров, В.Р. Петров АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Под общей редакцией Ю.Н. Лаврухина Допущено УМО по образованию в области информационной безопасности в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлениям подготовки и специальностям укрупненной группы 10.00.00 (090000) «Информационная безопасность» Москва 2014 УДК 004.056.53(075.8) ББК 32.973-018.297 А92 Аттестационные испытания автоматизированных систем от несанкционированного доступа по требованиям безопасности информации: Учебное пособие / В.С. Горбатов, С.В. Дворянкин, А.П. Дураковский, Р.С. Енгалычев, Т.А. Кондратьева, В.С. Лаврентьев, В.А. Петров, В.Р. Петров; под общ. ред. Ю.Н. Лаврухина. – М.: НИЯУ МИФИ, 2014. – 560 с.: илл. Учебное пособие разработано по заданию Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и посвящено получению практических навыков проведения аттестациионных испытаний автоматизированных систем по требованиям безопасности информации в части защищенности от несанкционированного доступа. Большую помощь в разработке оказали такие известные в области информационной безопасности организации, как ГНИИИ ПТЗИ ФСТЭК России (г. Воронеж); Центр безопасности информации МАСКОМ (г. Москва); Центр безопасности информации (г. Юбилейный). Представленный в учебном пособии материал соответствует программам подготовки бакалавров и магистров по направлению подготовки 090900 «Информационная безопасность и специалистов» по специальностям: 090301 «Компьютерная безопасность», 090302 «Информационная безопасность телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем» и 090201 «Противодействие техническим разведкам». Пособие может быть использовано преподавателями при проведении практических занятий, а также при реализации программ курсов повышения квалификации и переподготовки кадров. Рецензент д-р техн. наук, проф. А.А. Тарасов ISBN 978-5-7262-1917-2 Горбатов В.С., Дворянкин С.В., Дураковский А.П., Енгалычев Р.С., Кондратьева Т.А., Лаврентьев В.С, Петров В.А., Петров В.Р., 2014 Национальный исследовательский ядерный университет «МИФИ», 2014 СОДЕРЖАНИЕ Введение ....................................................................................................... 5 Аттестация объекта информатизации (ОИ) по требованиям безопасности информации ...................................... 5 Учебно-лабораторное обеспечение ...................................................... 11 Состав и краткие аннотации лабораторных работ .............................. 13 Учебно-методические рекомендации по выполнению лабораторных работ .......................................................................... 20 Работа 1. Организация аттестации АС по требованиям безопасности информации в части защиты от НСД. Проверка документации ......................................................... 22 Работа 2. Инвентаризация актуального состава технических и программных средств объекта информатизации с использованием штатных средств операционной системы и программного обеспечения ............................................................... 35 Работа 3. Поиск отличий реально полученной информации от информации, заявленной в исходных данных на объекте информатизации .................................................................. 80 Поиск уязвимостей в составе и настройках системного и прикладного программного обеспечения ..................................... 85 Работа 4. Контроль уязвимостей на уровне сети ................................... 85 Работа 5. Контроль уязвимостей на уровне операционных систем и прикладного ПО ......................................... 116 Работа 6. Контроль уязвимостей на уровне системы управления базами данных .................................................. 122 Работа 7. Контроль настроек механизмов обновления системного и прикладного ПО ...................................... 166 Работа 8. Контроль механизмов идентификации и аутентификации пользователей» при работе со средствами защиты информации (СЗИ) от НСД «Аккорд» и «Соболь», и программными продуктами «НКВД 2.2» и «НКВД 2.3». .............. 172 Контроль прав доступа субъектов к объектам ................................. 206 Работа 9. Проверка организации контроля доступа к объекту с использованием специализированных средств доверенной загрузки ............................................................................ 207 Работа 10. Проверка настроек разрешительной системы доступа к файловым системам с использованием специализированных тестирующих средств и штатных средств из состава ОС ....................................................................................... 245 3 Работа 11. Проверка организации контроля доступа клиент-серверных приложений к объектам баз данных. Разграничение полномочий пользователей с использованием ролей и привилегий ............................................................................. 292 Работа 12. Детальный контроль доступа пользователей к базам данных ..................................................................................... 308 Работа 13. Мандатный контроль доступа пользователей к информации в базе данных............................................................... 322 Работа 14. Проверка настроек механизмов контроля доступа специализированных средств защиты информации от НСД сетевых средств и ПЭВМ..................................................................... 342 Контроль подсистем аудита (регистрации и учета действий пользователей) .................................................................................... 390 Работа 15. Контроль аудита действий пользователей средствами разработчика, встроенными средствами СУБД Oracle, аудит действий пользователя с привилегией «sysdba» ................................ 390 Работа 16. Контроль детального аудита действий пользователей в СУБД Oracle ....................................................................................... 411 Контроль подсистемы обеспечения целостности ............................. 431 Работа 17. Настройка средств контроля целостности на основе операций контрольного суммирования .............................................. 431 Работа 18. Контроль настроек и работы антивирусных средств......... 451 Работа 19. Контроль восстановления базы данных при разных сценариях потери/повреждения файлов, физического копирования и архивирования данных ............................................... 468 Работа 20. Контроль восстановления базы данных методами логического копирования ..................................................................... 486 Ответы к тестовым заданиям ................................................................... 504 Приложения. Образцы типовых форм отчетной документации по аттестационным испытаниям автоматизированных систем в части защиты от несанкционированного доступа .......................... 509 Приложение 1. Протокол испытаний АС на соответствие требованиям по защите информации от несанкционированного доступа .............................................................................................. 509 Приложение 2. Результаты тестирования АС ................................... 515 Приложение 3. Инструкция по проведению антивирусного контроля АС ..................................................................................... 522 Приложение 4. Инструкция пользователю автоматизированной системы по работе с секретной информацией .............................. 524 Приложение 5. Инструкция администратору защиты АС ............... 529 Приложение 6. Скрипт для лабораторных работ 11–13 и 15 ........... 534 Список литературы .............................................................................. 553 4 ВВЕДЕНИЕ АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ (ОИ) ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа ‒ «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Федеральной службой по техническому и экпортному контролю (ФСТЭК) России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия». Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при 5 специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Аттестация проводится органом по аттестации в установленном законодательством порядке в соответствии с программой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ: • анализ исходных данных по аттестуемому объекту информатизации; • предварительное ознакомление с аттестуемым объектом информатизации; • проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации; • определение (уточнение) угроз безопасности информации и модели вероятного нарушителя применительно к конкретным условиям функционирования объекта; • разработка программы и методик проведения аттестационных испытаний и согласование с Заказчиком; • проверка объекта информатизации на соответствие организационно-техническим требованиям по защите информации; • определение технических средств и систем, для которых рекомендуется проведение специальных лабораторных испытаний и специальных проверок (проведение работ осуществляется по решению руководителя организации Заказчика); • проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств; • проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертифи6 кации средств защиты информации по требованиям безопасности информации; • проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации; • подготовка отчетной документации по результатам аттестационных испытаний и разработка, при необходимости, предложений по совершенствованию системы защиты информации на объекте информатизации; • анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации, утверждение заключения по результатам аттестации, оформление «Аттестата соответствия» на объект информатизации. При проведении аттестационных испытаний ОИ в части защиты от несанкционированного доступа (НСД) помимо общего комплекса работ специалисты-эксперты должны обладать дополнительными углубленными умениями и практическими навыками по целому ряду направлений работ, причем каждое направление работ предполагает решение ряда частных задач, требующих от специалиста-эксперта определенных умений и практических навыков, в том числе по применению специализированных программных средств. На рис. В.1 приведена последовательность задач, которые в дальнейшем рассматриваем в качестве основных учебно-методических задач при подготовке специалиста-эксперта. В рамках задачи проведения инвентаризации актуального состава технических и программных средств ОИ рассматриваются следующие подзадачи: • Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием стандартных средств операционных систем. • Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием специализированных средств системного сканирования ПЭВМ. • Проведение инвентаризации состава технических и программных средств локальной вычислительной сети с использованием стандартных средств операционных систем. 7 • Проведение инвентаризации состава технических и про- граммных средств локальной вычислительной сети с использованием специализированных средств сетевого и системного сканирования ЛВС. Рис. В.1. Типовые учебно-методические задачи по аттестации объектов информатизации в части защиты от НСД • В рамках задачи сверки результатов инвентаризации с представленными исходными данными по составу технических и программных средств ОИ. • Поиск отличий реально полученной информации от информации, заявленной в исходных данных на ОИ. В рамках задачи поиска уязвимостей в составе и настройках системного и прикладного программного обеспечения рассматриваются следующие подзадачи: • Контроль уязвимостей на уровне сети с использованием специализированных сетевых сканеров безопасности. • Контроль уязвимостей на уровне операционных систем и прикладного ПО с использованием специализированных системных сканеров. 8 • Контроль уязвимостей на уровне СУБД с использованием специализированных сканеров баз данных. • Контроль настроек механизмов обновления системного и прикладного ПО. В рамках задачи контроля механизмов идентификации и аутентификации пользователей рассматриваются следующие подзадачи: • Контроль состава и параметров учетных записей пользователей. • Контроль настроек параметров парольной политики. • Проверка стойкости паролей. В рамках задачи контроля прав доступа субъектов к объектам рассматриваются следующие подзадачи: • Проверка организации контроля доступа к объекту с использованием специализированных средств доверенной загрузки. • Проверка организации контроля доступа к объекту с использованием стандартных средств из состава операционных систем. • Проверка настроек разрешительной системы доступа субъектов к объектам файловых систем с использованием стандартных средств из состава операционных систем. • Проверка настроек разрешительной системы доступа субъектов к объектам файловых систем с использованием специализированных тестирующих средств контроля доступа. • Проверка организации контроля доступа клиент-серверных приложений к объектам баз данных. • Проверка возможностей сетевого удаленного доступа к объектам доступа ОИ изнутри ЛВС с использованием специализированных сетевых тестирующих средств. • Проверка возможностей сетевого удаленного доступа к объектам доступа ОИ из-за периметра ЛВС с использованием специализированных сетевых тестирующих средств. • Проверка настроек механизмов контроля доступа специализированных средств защиты информации от несанкционированного доступа для автономных ПЭВМ. • Проверка настроек механизмов контроля доступа специализированных сетевых средств защиты информации от несанкционированного доступа. • Проверка установленных прав и привилегий пользователей при работе в системе. 9 • Контроль доступа к съемным носителям информации с ис- пользованием специализированных средств. • Контроль настроек средств межсетевого экранирования. • Контроль возможности обхода механизмов доверенной загрузки системы. В рамках задачи контроля подсистем регистрации и учета (аудита) рассматриваются следующие подзадачи: • Проверка настроек стандартных параметров аудита операционных систем. Анализ работы подсистем аудита на основе записей в системных журналах аудита. • Проверка настроек параметров аудита для коммуникационного оборудования. Анализ работы подсистем аудита коммуникационного оборудования на основе записей в соответствующих LOG-файлах. • Проверка настроек параметров аудита специализированных средств защиты информации от несанкционированного доступа. Анализ работы подсистем аудита специализированных средств защиты информации от несанкционированного доступа на основе записей в журналах аудита СЗИ от НСД. • Проверка параметров аудита стандартных средств СУБД. • Генерация событий, подлежащих аудиту, с применением специализированных программных средств. • Аудит наличия остаточной информации на магнитных носителях и проверка работоспособности механизмов затирания остаточной информации. • Контроль настроек и журналов аудита специализированных средств и подсистем обнаружения вторжений. В рамках задачи контроля подсистемы обеспечения целостности рассматриваются следующие подзадачи: • Проведение операций контрольного суммирования установленного программного обеспечения и специализированных средств защиты информации от несанкционированного доступа. • Проверка настроек и работоспособности механизмов контроля целостности компонентов СЗИ от НСД и программной среды при загрузке системы и при внесении в них изменений. • Контроль настроек и работы антивирусных средств. • Контроль настроек и работоспособности средств резервного копирования и восстановления информации (стандартные систем10 ные средства, специализированные средства, средства СУБД), включая: − контроль организации мест хранения резервных копий данных; − контроль полноты и достаточности резервных копий данных; − контроль периодичности резервного копирования; − контроль настроек параметров доступа к резервным копиям данных. УЧЕБНО-ЛАБОРАТОРНОЕ ОБЕСПЕЧЕНИЕ Лабораторные работы выполняются в специализированной лаборатории «Контроль защищенности ЛВС от несанкционированного доступа» (рис. В.2) учебной группой численностью не более восьми человек, разделенных на четыре подгруппы по два человека. В лаборатории находятся объединенные в локальную сеть восемь компьютеров и файловый сервер с выходом в Internet. Рис. В.2. Специализированная лаборатория «Контроль защищенности ЛВС от несанкционированного доступа» 11 Дистрибутивы программного обеспечения СУБД Oracle10gEE (СУБД Oracle 11gEE). Описания всех лабораторных работ настоящего учебного пособия, связанных с СУБД, ориентированы на использование Oracle10gEE, но подходят также и для версии Oracle 11gEE с единственным отличием пути к директориям исполняемых файлов, которое будет указано в описаниях лабораторных работ. Учебные заведения получают лицензию на использование СУБД Oracle в учебном процессе по программе Oracle Academy (https://academy.oracle.com/index.html). СУБД Oracle разных версий многократно для разных версий ОС представлена в Государственном реестре сертифицированных средств защиты информации со сроками действия сертификатов по отдельным версиям до 2015 года. Учебный стенд : система: Microsoft Windows XP Professional версия 2002 SP 3; компьютер Intel(R) Core(TM)2 Duo CPU E6750 2.67 ГГц 1.99 ГБ ОЗУ; программное обеспечение: Microsoft Office Стандартный 2007, Adobe Reader 7.0, Windows Internet Explorer 8, Антивирус Касперского 7.0. В лаборатории обеспечена возможность получения обучающимися теоретических знаний и практических навыков по следующим направлениям: • демонстрация канала утечки информации от несанкционированного доступа в локальных вычислительных сетях на реальных примерах; • анализ современных сертифицированных ФСТЭК России решений по обеспечению защиты информации от утечки за счет НСД в локальных вычислительных сетях, включая: ‒ программные, аппаратные и программно-аппаратные комплексы защиты от НСД в ЛВС; ‒ межсетевые экраны; ‒ антивирусные программы; ‒ системы уничтожения информации на внешних носителях; • проектирование и создание комплексной системы защиты информации от утечки за счет НСД в ЛВС; 12 • организация и проведение контроля защищенности информации от утечки за счет НСД в локальных вычислительных сетях с использованием современных сертифицированных ФСТЭК России систем контроля защищенности от НСД. Проведение контроля осуществляется с помощью сертифицированных ФСТЭК России программных средств по аттестации объектов информатизации (ОИ). СОСТАВ И КРАТКИЕ АННОТАЦИИ ЛАБОРАТОРНЫХ РАБОТ Работа 1. Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документации. Назначение: освоение практических навыков проверки первичной документации на АС при подготовке специалистов по защите информации в области аттестации ОИ по требованиям безопасности информации. Цель: получение студентами практических навыков проведения подготовительного этапа аттестационных испытаний по требованиям безопасности информации в части защиты от НСД при проверке соответствия первичной документации на АС требованиям стандартов и других нормативных документов по защите информации, утвержденных (согласованных) ФСТЭК России или иными органами государственного управления в пределах их компетенции от несанкционированного доступа. Предметная область: объект исследования – исходные данные и документация, представляемые для проведения аттестации АС в специализированной лаборатории «Контроль защищенности ЛВС от несанкционированного доступа». Методы изучения – экспертно-документальный метод: ознакомление с аттестуемым объектом информатизации и анализ разработанной документации по защите информации на этом объекте. Средства изучения – учебный стенд. Работа 2. Инвентаризация актуального состава технических и программных средств объекта информатизации с использованием штатных средств операционной системы и программного обеспечения. 13 Назначение: получение практических навыков проведения аттестационных испытаний АС в части защиты от несанкционированного доступа в частности при проведении инвентаризации актуального состава технических и программных средств персонального компьютера и локальной вычислительной сети (ЛВС) с использованием стандартных и специализированных средств операционной системы (ОС), а также специализированного программного обеспечения (ПО) «Агент инвентаризации» и «Ревизор Сети 2.0». Цель: получение студентами практических навыков по проведению аттестации объекта информатизации (АС) в части защиты от несанкционированного доступа (НСД), с помощью сертифицированного программного обеспечения. Изучение методов проведения инвентаризации состава АС штатными средствами ОС и специализированными программными средствами. Предметная область: объект информатизации (исследования) – Автоматизированное рабочее место (АРМ) с установленной операционной системой Microsoft Windows XР SP3. Методы изучения – работа со специализированными программами «Агент инвентаризации», «Ревизор Сети 2.0», использование стандартных средств Windows XР SP3 для проведение инвентаризации состава технических и программных средств отдельного персонального компьютера. Работа 3. Поиск отличий реально полученной информации от информации, заявленной в исходных данных на объекте информатизации (сверка результатов инвентаризации с представленными исходными данными по составу технических и программных средств). Назначение: подготовка специалистов по защите информации в области аттестации объектов информатизации по требованиям безопасности информации в части защиты от несанкционированного доступа (НСД). Цель: получение студентами практических навыков проведения подготовительного этапа аттестационных испытаний по требованиям безопасности информации в части защиты от НСД при проверке отличий реально полученной информации от информации, заявленной в исходных данных на АС. Предметная область: объект исследования – исходные данные и документация, предоставляемые для проведения аттестации АС. 14 Отчеты по инвентаризации технических и программных средств, предоставляемые для проведения аттестации АС в специализированной лаборатории «Контроль защищенности ЛВС от несанкционированного доступа». Методы изучения – экспертно-документальный метод: ознакомление с аттестуемым объектом информатизации и анализ разработанной документации по защите информации на этом объекте. Средства изучения – учебный стенд. Поиск уязвимостей в составе и настройках системного и прикладного программного обеспечения В состав тематики входят четыре лабораторные работы: Работа 4. Контроль уязвимостей на уровне сети. Работа 5. Контроль уязвимостей на уровне операционных систем и прикладного ПО. Работа 6. Контроль уязвимостей на уровне системы управления базами данных. Работа 7. Контроль настроек механизмов обновления системного и прикладного ПО. Краткая аннотация к лабораторным работам 4–7. Назначение: приобретение практических навыков проведения аттестационных испытаний АС в части защиты от несанкционированного доступа (НСД) при подготовке специалистов по защите информации в области аттестации объектов информатизации по требованиям безопасности информации, исследование работоспособности сканера безопасности при поиске уязвимостей в составе и настройках системного и прикладного программного обеспечения. Цель: практическое ознакомление студентов с простыми и надежными способами обнаружения путей проникновения несанкционированных доступов в компьютерные сети, и освоение ими практических навыков проведения исследований работоспособности сканеров безопасности на уровне сети, операционных систем и прикладного программного обеспечения. Студенты приобретают опыт анализа работы сканеров безопасности в различных условиях. Цикл состоит из четырех лабораторных работ, каждая из которых является самостоятельным предметом для изучения, а вместе 15 они являются наглядным пособием для анализа работоспособности сканеров безопасности. Первая работа посвящена изучению основ обеспечения защиты сетей от НСД и принципов работы с сетевыми сканерами безопасности. Во второй работе анализируется работа сканера безопасности «Ревизор Сети» на одном компьютере. В третьей лабораторной работе осуществляется контроль уязвимостей на уровне системы управления базами данных (СУБД) с использованием специализированных сканеров баз данных. Целью четвертой работы является получение начальных знаний по контролю настроек механизмов обновления системного и прикладного программного обеспечения на примере обновления операционной системы. Значимость работы определяется насущностью проблемы ознакомления и обучения студентов. Предполагается, что работа может получить дальнейшее развитие по мере появления новых сканеров безопасности с целью получения оперативных данных для обеспечения безопасной работы системного и прикладного ПО. Предметная область: объектами исследования являются компьютер, компьютерная сеть, а так же сканер безопасности «Ревизор Сети». Методы изучения – работа с нормативной и технической документацией. Работа 8. Контроль механизмов идентификации и аутентификации пользователей» при работе со средствами защиты информации (СЗИ) от НСД «Аккорд» и «Соболь», а также программными продуктами «НКВД 2.2» и «НКВД 2.3». Назначение: Приобретение практических навыков проведения аттестационных испытаний АС в части защиты от НСД при подготовке специалистов по защите информации в области аттестации объектов информатизации по требованиям безопасности информации. Изучение методов и способов проверки подсистемы управления доступом при проведении аттестационных испытаний АС. Приобретение опыта работы со средствами защиты информации (СЗИ) от НСД «Аккорд» и «Соболь», а также программными про16 дуктами «НКВД 2.2» и «НКВД 2.3». В ходе выполнения лабораторной работы студент решает три задачи: Задача 1. Работа с учетными записями и журналом регистрации событий СЗИ «Аккорд» и «Соболь». Задача 2. Проверка и настройка стойкости паролей в СЗИ «Аккорд» и «Соболь». Задача 3. Создание и проверка модели прав доступа в программных продуктах «НКВД 2.2» и «НКВД 2.3». Цель: Освоение методов и способов проверки подсистемы управления доступом при проведении аттестационных испытаний АС. Предметная область: Объекты исследования – подсистемы управления доступом. Методы изучения – работа с СЗИ от НСД «Аккорд» и «Соболь», с их средствами идентификации\аутентификации, настройка стойкости паролей, а также работа с анализаторами уязвимостей «НКВД 2.2» и «НКВД 2.3». Средства изучения – аппаратные и программные СЗИ от НСД. Контроль прав доступа субъектов к объектам В состав тематики входит шесть лабораторных работ: Работа 9. Проверка организации контроля доступа к объекту с использованием специализированных средств доверенной загрузки. Работа 10. Проверка настроек разрешительной системы доступа к файловым системам с использованием специализированных тестирующих средств и штатных средств из состава ОС. Работа 11. Проверка организации контроля доступа клиентсерверных приложений к объектам баз данных. Разграничение полномочий пользователей с использованием ролей и привилегий. Работа 12. Детальный контроль доступа пользователей к базам данных. Работа 13. Мандатный контроль доступа пользователей к информации в базе данных Работа 14. Контроль доступа к съемным носителям информации с использованием специализированных средств. Краткая аннотация по лабораторным работам 9–14. Назначение: подготовка специалистов по защите информации в области аттестации объектов информатизации по требованиям 17 безопасности информации в части защиты от несанкционированного доступа и содержит описание лабораторных работ по теме «Контроль прав доступа субъектов к объектам». Цель: получение практических навыков проведения аттестационных испытаний по требованиям безопасности информации в части проверки соответствия АС требованиям стандартов и других нормативных документов по защите информации, утвержденных (согласованных) Федеральной службой по техническому и экспортному контролю (ФСТЭК) России или иными органами государственного управления в пределах их компетенции от несанкционированного доступа. Предметная область: объект исследования – автоматизированное рабочее место на базе ПЭВМ. Предмет исследования – контроль доступа субъектов к объектам. Методы изучения – программные продукты «Ревизор 1 ХР» и «Ревизор 2 ХР», работа с данными программами на автоматизированном рабочем месте и выявление несоответствий с должной моделью разграничения полномочий, изучение программноаппаратных комплексов «Аккорд – NT/2000» (версия 3.0) и «Соболь» (версия 2.0), изучение стандартных средств СУБД (на примере СУБД Oracle) для контроля (разграничения) прав доступа субъектов к объектам. Средства изучения – учебный стенд. Контроль подсистем аудита (регистрации и учета действий пользователей) В состав тематики входят две лабораторные работы: Работа 15. Контроль аудита действий пользователей средствами разработчика, встроенными средствами СУБД Oracle, аудит действий пользователя с привилегией «sysdba». Работа 16. Контроль детального аудита действий пользователей в СУБД Oracle. Краткая аннотация по лабораторным работам 15–16. Назначение: подготовка специалистов по защите информации в области аттестации объектов информатизации по требованиям безопасности информации в части защиты от несанкционированно18 го доступа и содержит описание лабораторных работ по теме «Контроль подсистем аудита (регистрации и учета действий пользователей)», ознакомление с методами контроля подсистем систем аудита (регистрации и учета действий пользователей) СУБД Oracle. Цель: получение практических навыков проведения аттестационных испытаний по требованиям безопасности информации в части проверки соответствия АС требованиям стандартов и других нормативных документов по защите информации, утвержденных (согласованных) ФСТЭК России или иными органами государственного управления в пределах их компетенции от НСД и получение практических навыков применения методов контроля подсистем систем аудита (регистрации и учета действий пользователей) СУБД Oracle. Предметная область: объект исследования – учебная база данных под управлением СУБД. Предмет исследования – контроль доступа субъектов к объектам. Средства изучения – учебный стенд. Контроль подсистемы обеспечения целостности В состав тематики входят четыре лабораторные работы: Работа 17. Настройка средств контроля целостности на основе операций контрольного суммирования. Работа 18. Контроль настроек и работы антивирусных средств. Работа 19. Контроль восстановления базы данных при разных сценариях потери/повреждения файлов, физического копирования и архивирования данных. Работа 20. Контроль восстановления базы данных методами логического копирования. Краткая аннотация по лабораторным работам 17–20. Назначение: проведение лабораторных работ по защите информации в области аттестации объектов информатизации по требованиям безопасности информации, а в частности в области контроля целостности данных. Ознакомление с контролем подсистемы обеспечения целостности в СУБД Oracle. Описание каждой работы содержит теоретическое введение, методику и порядок выполнения работы, а так же список контрольных вопросов. 19 Цель: получение практических навыков проведения аттестационных испытаний по требованиям безопасности информации в части проверки соответствия АС требованиям стандартов и других нормативных документов по защите информации, утвержденных (согласованных) ФСТЭК России или иными органами государственного управления в пределах их компетенции от несанкционированного доступа. Получение практических навыков контролирования подсистемы обеспечения целостности в СУБД Oracle. Предметная область: объекты исследования – учебная база данных под управлением СУБД Oracle, автоматизированные рабочие места на базе ПЭВМ. Предмет исследования – контроль подсистем обеспечения целостности данных. Методы изучения – работа с программой «Фикс-2.0.1», работа с программой «Антивирус Касперского 7.0», подсистемы обеспечения целостности в СУБД Oracle. Средства изучения – учебный стенд. УЧЕБНО-МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ВЫПОЛНЕНИЮ ЛАБОРАТОРНЫХ РАБОТ Подготовительный этап При подготовке к выполнению конкретной лабораторной работы необходимо: 1. Изучить теоретический материал, посвященный данной лабораторной работе. 2. Подготовить необходимые данные по проведению лабораторной работы с последующим занесением их в отчет. 3. Ответить на список тестовых вопросов для более детального усвоения материала, который будет приведен в лабораторной работе. 4. Обратиться за консультацией к преподавателю с целью уточнения каких-либо непонятных моментов по выполнению лабораторной работы. Этапы выполнения лабораторных работ 1. Пройти инструктаж по технике безопасности, которому необходимо следовать при выполнении лабораторной работы. 20 2. Строго придерживаться рекомендованного сценария выполнения лабораторной работы. 3. Согласовать с преподавателем возможность отклонения порядка выполнения лабораторной работы от рекомендованного сценария. 4. Обращаться (при появлении потребности) за помощью к преподавателю, проводящему учебные занятия в данной учебной лаборатории. Подготовка отчетов по лабораторным работам При подготовке отчета по лабораторной работе необходимо: 1. Придерживаться рекомендаций указанных в практикуме. 2. Использовать рабочие материалы, полученные в процессе проведения работы. 3. Выполнить требования стандартов по оформлению отчетов (ЕСКД, ЕСПД). 4. Показать отчет преподавателю для подтверждения факта выполнения работы. Контроль знаний В рамках выполнения лабораторных работ рекомендуются следующие этапы и формы проведения контроля знаний: 1. Входной контроль знаний как допуск к выполнению лабораторных работ на основе тестового задания. 2. Текущий контроль за прохождением отдельных этапов выполнения каждой лабораторной работы. 3. Заключительный контроль на основе защиты отчета по каждой лабораторной работе и ответов на вопросы выходного тестового задания. 21 Работа 1 ОРГАНИЗАЦИЯ АТТЕСТАЦИИ АС ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ЧАСТИ ЗАЩИТЫ ОТ НСД. ПРОВЕРКА ДОКУМЕНТАЦИИ Цель: освоение студентами практических навыков проведения подготовительного этапа контроля, а именно: 1) анализ исходных данных по аттестуемому объекту информатизации; 2) предварительное ознакомление с аттестуемым объектом информатизации; 3) проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации. ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Формирование исходных данных для заявки на проведение аттестации объекта информатизации. 2. Проверка правильности подачи исходных данных. 3. Экспертное обследование рабочего стенда. 4. Составление отчета. ФОРМИРОВАНИЕ ИСХОДНЫХ ДАННЫХ ПО ОБЪЕКТУ ИНФОРМАТИЗАЦИИ Исходные данные (подача заявки) по аттестуемому объекту информатизации готовятся на основе следующего перечня вопросов. 1. Полное и точное наименование объекта информатизации и его назначение. 2. Характер (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень секретности (конфиденциальности) обрабатываемой информации определен (в соответствии с какими перечнями: государственным, отраслевым, ведомственным, предприятия). 22 3. Организационная структура объекта информатизации. 4. Перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует). 5. Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны. 6. Структура программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией. 7. Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации. 8. Наличие и характер взаимодействия с другими объектами информатизации. 9. Состав и структура системы защиты информации на аттестуемом объекте информатизации. 10. Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию. 11. Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ. 12. Наличие на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных). 13. Наличие и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители). 14. Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации. 23 Рассмотрим данный перечень вопросов на примере отдельно стоящей ПЭВМ. Легенда: Заказчик: ОАО «ХХХ», г. Энск, Первое шоссе, д. 11. Помещение с объектом информатизации находится на втором этаже трехэтажного здания. Контроль лиц осуществляется на контрольнопропускном пункте при входе на территорию. Составление исходных данных для формирования заявки. 1. Объект информатизации ‒ автономное автоматизированное рабочее место (АРМ) в составе: процессор Intel(R) Core(TM)2 Duo CPU E6750 2.67 ГГц 1.99 ГБ ОЗУ, монитор Samsung Sync master 740BF), который используется для обработки учебной информации; локальный принтер (HP LaserJet 2100). 2. Объект информатизации ‒ АРМ соответствует классу защищенности 3Б согласно руководящему документу «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Обрабатывается научно-техническая конфиденциальная информация. 3. Объект информатизации размещается на втором этаже трехэтажного здания в помещении 214 (рис. 1.1). Рис. 1.1. Схема помещения 214 24 В состав комплекса технических средств входят (рис. 1.2): • автономный ПК; • локальный принтер. Рис. 1.2. Автономное автоматизированное рабочее место 4. Границами контролируемой зоны является забор, расположенный по периметру территории ОАО «ХХХ» (см. рис. 1.1). 5. Структура программного обеспечения дана в табл.1.1. Таблица 1.1 ПО ПК Автономный Общесистемное Windows XP SP3 Прикладное Microsoft Office 2007 Oracle 10g Антивирус Касперского Стандартные средства обработки информации ПО Аккорд NT/2000 V3.0 Протоколов обмена информации нет, так как рассматривается автономный ПК. 6. Общая функциональная схема объекта информатизации показана на рис. 1.3. Рис. 1.3. Общая функциональная схема объекта информатизации 25 7. Защищаемая информация циркулирует внутри данного объекта (автономного ПК) и не взаимодействует с другими объектами информатизации. 8. На автономном АРМ установлен программно-аппаратный комплекс средств защиты информации «Аккорд-NT/2000» v.3.0 с идентификаторами Touch Memory. 9. Программно-аппаратный комплекс средств защиты информации «Аккорд-NT/2000» v.3.0 является сертифицированным ФСТЭК России. Сертификат ФСТЭК России 1161/1 на комплекс СЗИ НСД «Аккорд-NT/2000» v.3.0. Выдан 31 марта 2006 г. Переоформлен 30 октября 2012 г. Действителен до 31 марта 2015 г. 10. Система защиты информации разрабатывается штатным сотрудником кафедры, на которого возлагаются обязанности администрирования и обеспечения безопасности информации данного ОИ. Сторонних разработчиков нет. 11. Служба безопасности информации отсутствует. Обязанности администрирования и обеспечения информационной безопасности возлагаются на штатного сотрудника кафедры, которой принадлежит данное помещение. 12. Задачи обеспечения информационной безопасности решаются организационными мерами. Перечень организационных мер: • размещение АРМ в помещениях, исключающих доступ посторонних лиц; • опечатывание системных блоков АРМ для недопущения внесения изменений в их конфигурацию; • тщательный подбор персонала, осуществляющего эксплуатацию и обеспечение информационной безопасности АС; • разработка документации по информационной безопасности. 13. Имеется в наличии предписание на эксплуатацию данного объекта информатизации, а также перечень основных организационных документов, обеспечивающих информационную безопасность: • «Перечень информационных ресурсов, подлежащих защите» классифицирует защищаемую информацию по уровню конфиденциальности и уровню ценности информации (определяемой величиной возможных прямых и косвенных экономических потерь в случае нарушения ее целостности и несвоевременности представления); 26 • «Инструкция по внесению изменений в списки пользовате- лей АС и наделению их полномочиями доступа к ресурсам системы». Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно указанной инструкции, которая в свой состав включает также «Список пользователей АС» и «Матрицу доступа сотрудников к ресурсам ПТК»; • дополнения к функциональным обязанностям и технологическим инструкциям, устанавливающие требования для пользователей защищенных АРМ, по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мероприятий по обеспечению установленного режима защиты информации могут быть оформлены в виде отдельного документа или отдельных дополнений, входящих в состав «Должностных инструкций сотрудников организации»; • «Инструкция администратора безопасности» и «Руководство пользователю АРМ» разрабатываются на основе нормативных документов с учетом принятой политики безопасности; • «Паспорт объекта автоматизированной системы» разрабатывается на каждый защищенный объект АС, содержит сведения об аппаратных и программных решениях, применяемых на конкретном объекте АС. В состав программного обеспечения АРМ должно входить только ПО, предусмотренное в паспортах на соответствующие объекты системы; • «Инструкция по организации парольной защиты» призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в АС организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями; • «Инструкция по организации антивирусной защиты» регламентирует организацию защиты АС от воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за ненадлежащее выполнение требований инструкции; • «Регламент резервного копирования и план восстановления» определяет участников процесса резервного копирования, их роли, содержит список резервируемых ресурсов, описывает порядок соз27 дания и хранения резервных копий, ПО и СЗИ, а также порядок восстановления информации, ПО и СЗИ в случае необходимости. Для формирования исходных данных для локальной сети с выходом в Internet требуется проверка наличия дополнительной документация, помимо приведенной выше: 1. Инструкция по использованию ресурсов сети Internet. 2. Инструкция пользователю по работе с сетью Internet. 3. Инструкция администратору безопасности информации при работе на выделенном рабочем месте по связи с сетью Internet. 4. Инструкция по наполнению WEB-сервера. 5. Направление работ по наполнению WEB-сервера. МЕТОДИКА И ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ 1. Формирование исходных данных для заявки на проведение аттестации объекта информатизации. Сформируйте исходные данные для локально-вычислительной сети, используя пример, описанный выше в данной лабораторной работе, и рис. 1.4. Рис. 1.4. Схема стенда для формирования исходных данных 2. Проверка правильности подачи исходных данных. Проверьте правильность формирования исходных данных и наличие документации на данный объект информатизации. Для этого необходимо после выполнения п. 1 обменяться полученными дан28 ными с соседней подгруппой, выполняющей аналогичную работу. Сделайте соответствующие отметки о правильности формирования исходных данных. 3. Экспертное обследование рабочего стенда. Согласно исходным данным другой подгруппы проведите экспертное обследование их объекта информатизации на соответствие исходных данных реальным. 4. Составление отчета. На основании проделанной работы необходимо составить отчет, в котором указать, соответствуют ли исходные данные и документация соответствующему объекту информатизации. 5. Учебный стенд ЛВС с выходом в Internet. Выполните пп. 1–4 с той же легендой для локальновычислительной сети с выходом в Internet (рис. 1.5). Рис. 1.5. Схема стенда для формирования исходных данных 29 6. Составление отчета. Составьте аналогичный отчет (см. п. 4) для объекта информатизации (локально-вычислительная сеть с выходом в Internet). Тестовые задания к лабораторной работе 1 Входной контроль 1. Какой основной документ устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации? a) «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»; b) «Положение по аттестации объектов информатизации по требованиям безопасности информации»; c) «Требования к нормативным и методическим документам по аттестации объектов информатизации»; d) «Алгоритм аттестации объектов информатизации по требованиям безопасности информации». 2. Сколько групп и классов защищенности АС от НСД к информации? a) 2 группы 6 классов; b) 3 группы 4 класса; c) 3 группы 9 классов; d) 4 группы 12 классов. 3. Какие условия включает в себя вторая группа классов защищенности АС от НСД к информации? a) АС, в которой работает один пользователь, имеющий доступ ко всей информации АС с разными уровнями конфиденциальности; b) многопользовательская АС, в которой одновременно обрабатывается и хранится информация разных уровней конфиденциальности; c) АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности; d) нет верного ответа. 30 4. Какой основной документ необходимо предоставить заявителю для аттестации объекта информатизации? a) заявка на проведение аттестации объекта информатизации; b) технические паспорта на объект информатизации; c) акт обследования объекта информатизации; d) заявление на проведение аттестационных мероприятий. 5. Организационную структуру системы аттестации объектов информатизации образуют: a) ФСТЭК России; b) ФСБ; c) НУЦ (национальный удостоверяющий центр); d) органы по аттестации объектов информатизации по требованиям безопасности информации; e) заявители (заказчики). 6. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия: a) подачу и рассмотрение заявки на аттестацию; b) анализ исходных данных; c) заключение договоров на аттестацию; d) классифицирование АС; e) рассмотрение апелляций. 7. Посредством какого документа подтверждается, что объект информатизации соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации? a) «Аттестат об аккредитации»; b) «Аттестат соответствия»; c) «Сертификат соответствия»; d) «Паспорт объекта информатизации». 8. Какие объекты информатизации подлежат обязательной аттестации? a) ОИ, предназначенные для обработки конфиденциальной информации; b) ОИ, предназначенные для обработки информации, составляющей государственную тайну; c) ОИ, предназначенные для ведения секретных переговоров; d) ОИ, обрабатывающие информацию, составляющую коммерческую тайну. 31 9. Что такое НСД? a) доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами; b) доступ к информации, не соответствующий правилам разграничения доступа, с целью получения конфиденциальной информации всевозможными способами; c) доступ к информации, с целью получения конфиденциальной информации, при помощи специализированных средств. 10. На какой срок выдается «Аттестат соответствия»? a) 5 лет; b) 2 года; c) 1 год; d) 3 года. Выходной контроль 1. Согласно какому документу определяется класс защищенности АС? a) «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»; b) «Положение по аттестации объектов информатизации по требованиям безопасности информации»; c) «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»; d) «Средства вычислительной техники. Защита от несанкционированного доступа к информации. ГОСТ Р 50739–95». 2. Степени секретности информации ограниченного доступа? a) особой важности; b) особой секретности; c) секретно; d) особого доступа; e) совершенно секретно. 32 3. К техническим средствам относятся: a) розетки с напряжением 220 В; b) автономный ПК; c) принтер (локальный, сетевой); d) межсетевой экран; e) нет верного ответа. 4. Контролируемая зона: a) территория, на которой находится аттестуемый объект информатизации; b) территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа; c) территория, на которой проводятся аттестационные испытания; d) территория объекта, на которой исключено неконтролируемое пребывание лиц, имеющих разовый доступ. 5. Что относится к общесистемному ПО? a) офисные программы; b) антивирусные программы; c) операционные системы; d) нет верного ответа. 6. Что должно быть указано в предписании на эксплуатацию технического средства? a) наименование технических средств; b) схема расположения технических средств; c) вид обрабатываемой информации; d) заводские номера каждого технического средства. 7. Какие бывают методы испытаний? a) визуальные; b) экспертный анализ; c) опытная эксплуатация; d) акустические. 8. К прикладному программному обеспечению относятся: a) операционные системы; b) офисные программы; c) стандартные средства обработки информации; d) нет верного ответа. 33 9. Что такое аттестация объекта информатизации? a) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект отвечает требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России; b) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объекту информатизации присвоен класс защищенности; c) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект информатизации отвечает требованиям безопасности информации от НСД; d) нет верного ответа. 10. Какие функции осуществляют органы по аттестации? a) подают заявки на проведение аттестации; b) организуют обязательную аттестацию объектов информатизации; c) аттестуют объекты информатизации; d) выдают «Аттестаты соответствия». 34 Работа 2 ИНВЕНТАРИЗАЦИЯ АКТУАЛЬНОГО СОСТАВА ТЕХНИЧЕСКИХ И ПРОГРАММНЫХ СРЕДСТВ ОБЪЕКТА ИНФОРМАТИЗАЦИИ С ИСПОЛЬЗОВАНИЕМ ШТАТНЫХ СРЕДСТВ ОПЕРАЦИОННОЙ СИСТЕМЫ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Цель: получение студентами практических навыков по проведению аттестации объекта информатизации (АС) в части защиты от несанкционированного доступа (НСД), с помощью сертифицированного программного обеспечения. Изучение методов проведения инвентаризации состава АС штатными средствами ОС и специализированными программными средствами. ОПИСАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Назначение программы «Агент инвентаризации» «Агент инвентаризации» предназначен для автоматизированного сбора информации об аппаратном и программном обеспечении АРМ. При этом выполняются следующие функции: • сбор информации об аппаратных и программных средствах в составе АРМ; • сохранение полученной информации и возможность просмотра ее в будущем; • генерация отчетов на основе полученной информации; • взаимодействие с другими программами (за счет открытого и документированного формата входных и выходных данных). Условия применения Требования к техническим средствам. Рекомендуемая конфигурация ПЭВМ: • процессор – Intel Pentium и выше; • ОЗУ – 64 МБ; • на ЖМД не менее 20 Мбайт дискового пространства; • видеоадаптер – SVGA. 35 При улучшении конфигурации «Агент инвентаризации» выполняется быстрее. Требования к программному обеспечению. «Агент инвентаризации» работает под управлением ОС Windows 95, 98, Me, NT 4, 2000, XP и Server 2003. Дополнительных требований к программному обеспечению не предъявляется. При выполнении программы необходимо находиться в системе с правами администратора. Входные и выходные данные Входными данными «Агента инвентаризации» являются: • указываемый пользователем требуемый состав получаемой информации; • указываемые пользователем параметры выполнения программы. Выходными данными «Агента инвентаризации» являются: • информация об аппаратном и программном обеспечении, полученная в ходе работы программы и сохраненная в файле; • отчеты на основе информации, полученной в ходе работы программы (в формате HTML). Состав и функции программы Программа состоит из нескольких модулей, каждый их которых реализован в виде отдельного файла (табл. 2.1). Сбор системной информации выполняется основным исполняемым модулем. Модуль графического интерфейса используется для управления запуском основного исполняемого модуля, отображения результатов работы программы в удобной для пользователя форме и генерации отчетов. Выполняемые функции: • сбор информации о программном и аппаратном обеспечении. Во время работы «Агент инвентаризации» получает информацию о программном и аппаратном обеспечении в составе АРМ, а также информацию о настройках аппаратного и программного обеспечения. Полученная информация сохраняется в файле для дальнейшего использования. 36 Таблица 2.1 Имя файла Agent.exe sysinfo.exe sysinfo.dll sysinfo9x.dll SysInfo.sys sysinfo1.dat sysinfo2.dat Описание Модуль графического интерфейса для работы с программой Основной исполняемый модуль Библиотека функций по сбору информации о системе (используется при работе программы под управлением ОС NT 4, 2000, XP и Server 2003) Библиотека функций по сбору информации о системе (используется при работе программы под управлением ОС Windows 95, 98, Me) Драйвер, используемый для непосредственного доступа к оборудованию (используется при работе программы под управлением ОС NT 4, 2000, XP и Server 2003) Файлы данных, содержащие информацию, используемую при декодировании идентификаторов PCI устройств • генерация отчетов. На основе полученной информации может быть создан отчет в формате HTML. Состав отчета определяется пользователем. Генерация отчетов выполняется с помощью модуля графического интерфейса; • взаимодействие с другими программами. Работа основного исполняемого модуля управляется с помощью параметров командной строки, что позволяет другим программам автоматически запускать его, используя заранее сформированную строку параметров. Формат выходных результатов оптимизирован для загрузки в базу данных. Выполнение программы Для установки «Агента инвентаризации» нужно скопировать файлы программы в любой каталог на жестком диске. Никаких дополнительных действий по установке не требуется. Порядок выполнения зависит от поставленной задачи. Для запуска программы из командной строки нужно выполнить файл sysinfo.exe с указанием требуемых параметров работы. Для запуска 37 программы с использованием графического интерфейса используется файл Agent.exe. Выполнение с использованием графического интерфейса. Модуль графического интерфейса предназначен для упрощения взаимодействия между пользователем и основным исполняемым модулем. Основными функциями модуля графического интерфейса являются: запуск основного исполняемого модуля для сбора информации, просмотр результатов работы и генерация отчетов. Также он может быть использован для формирования командной строки запуска основного исполняемого модуля, если «Агент инвентаризации» применяется как часть программного комплекса. Главное окно программы (рис. 2.1) имеет следующие элементы: • строка меню; • панель инструментов; • дерево объектов; • список свойств текущего объекта; • строка состояния. Рис. 2.1. Главное окно программы 38 Меню дублирует все функции, доступные с панели инструментов. На панели инструментов расположены следующие кнопки: – загрузка и просмотр результатов полученных при предыдущих запусках программы; – сбор системной информации; – создание отчета. Кнопки панели инструментов имеют всплывающие подсказки, появляющиеся при задержке курсора мыши над ними. Если команда, соответствующая кнопке, недоступна, кнопка также недоступна и отображается в сером цвете. Вся полученная информация отображается в виде набора объектов, каждый из которых имеет собственный набор свойств. Перечень объектов отображается в дереве объектов (с разбиением по классам). Справа в списке свойств отображаются свойства текущего (выделенного в дереве) объекта. Строка состояния отображает информацию о текущей выполняемой операции. Сбор информации Для сбора информации о системе используется кнопка панели инструментов. После ее нажатия на экране появляется диалоговое окно, в котором можно за несколько шагов настроить параметры сбора информации. Шаг 1. Настройка параметров работы программы (рис. 2.2). На этом шаге устанавливаются основные параметры, определяющие работу программы. Прежде всего, это имя файла для сохранения результатов (указывается с помощью кнопки ). Также можно включить режимы «Добавлять описание для идентификаторов классов и свойств» (добавляет параметр /descr к строке запуска основного исполняемого модуля) и «Подавлять вывод сообщений об ошибках» (параметр /silent). Шаг 2. Определение состава получаемой информации (рис. 2.3). На этом шаге определяется, какая информация должна быть получена в ходе работы программы. При этом используются групповые параметры. Если требуется детально определить состав получаемой информации, то нужно выделить вариант «Выбрать вручную». 39 Рис. 2.2. Настройка параметров работы программы Рис. 2.3. Определение состава получаемой информации 40 Шаг 3. Определение состава получаемой информации (дополнительно) (рис. 2.4). Этот шаг выполняется, только если был выбран вариант «Выбрать вручную» на предыдущем шаге. Пользователю предоставляется возможность более точно определить состав получаемой информации. Для удобства можно использовать функции «Выделить все» и «Снять все отметки», доступные через контекстное меню. Рис. 2.4. Определение состава получаемой информации (дополнительно) Шаг 4. Настройка параметров фильтрации журналов аудита (рис. 2.5, 2.6). Этот шаг выполняется только в том случае, если в ходе работы программы должна быть получена информация из журналов аудита. С целью сокращения объема выходных данных, в «Агенте инвентаризации» предусмотрена возможность фильтрации записей системных журналов событий. 41 Рис. 2.5. Параметры фильтрации журналов событий Рис. 2.6. Создание правила фильтрации журнала событий 42 Для добавления правила фильтрации надо нажать кнопку «Добавить», после чего на экране появится окно настройки параметров создаваемого правила. В нем указывается, к какому из полей записи в журнале событий применяется правило, и требуемое значение поля. В дальнейшем правила фильтрации можно будет удалять и редактировать. Анализ полей «Категория», «Источник» и «Описание» проводится с помощью регулярных выражений. Это дает возможность гибко описывать требования к значению полей. В простейшем случае, если не используются управляющие символы, удовлетворяющими требованию считаются все строки, содержащие заданную подстроку. Более подробную информацию можно найти в документации по регулярным выражениям. Если используются несколько условий, то они объединяются следующим образом: однотипные условия объединяются с помощью логического оператора ИЛИ, затем результаты объединения однотипных условий объединяются с помощью логического оператора И. Запись признается соответствующей требованиям, если она удовлетворяет хотя бы одному условию каждого типа. Шаг 5. Завершение формирования параметров (рис. 2.7). Рис. 2.7. Завершение подготовки параметров 43 На этом этапе формирование параметров уже завершено, и на экран выводится командная строка, которая будет использована при запуске основного исполняемого модуля. Эта строка может быть скопирована и использована в дальнейшем для запуска основного исполняемого модуля без использования графического интерфейса. При нажатии кнопки «Готово» выполняется запуск основного исполняемого модуля и ожидание завершения его работы. Все результаты сохраняются в файл, указанный в шаге 1. После завершения результаты работы отображаются в главном окне программы. Формирование отчетов Создание отчета осуществляется с помощью кнопки . После нажатия этой кнопки на экране появляется окно настройки состава формируемого отчета. Для удобства можно использовать функции «Выделить все» и «Снять все отметки», доступные через контекстное меню (рис. 2.8). Рис. 2.8. Формирование отчета 44 После завершения выбора и нажатия кнопки «ОК» будет запрошено имя файла для сохранения отчета и затем создан отчет. Программа формирует отчет в формате HTML. Файлы в этом формате могут быть открыты любым Web-браузером (например, Internet Explorer) или импортированы в офисные приложения, такие, как Microsoft Word. Выполнение с использованием командной строки Для запуска «Агента инвентаризации» из командной строки используется файл sysinfo.exe. Команда запуска имеет вид: sysinfo.exe имя файла [список параметров] Имя файла – обязательный параметр, в этот файл будут сохранены результаты работы программы. Список параметров – определяет состав получаемой информации и параметры работы программы. Если никаких параметров не указано, то программа работает в стандартном режиме и собирает всю доступную информацию за исключением информации о системных журналах событий. В списке параметров могут быть использованы значения, перечисленные ниже. Параметры, определяющие режим работы программы: /silent – необязательный параметр, использование его запрещает вывод сообщений об ошибках, возникающих в ходе работы программы (например, сообщение о невозможности записи в выходной файл); /descr – необязательный параметр, включает режим добавления текстовых описаний для кодов классов и свойств. Параметры, определяющие состав получаемой информации: /iСI – получить общую информацию о компьютере; /iOS – получить информацию об операционной системе; /iHF – получить информацию об установленных пакетах обновлений; /iDM – получить информацию о принадлежности к домену; /iLI – получить информацию о региональных установках; /iOM – получить информацию о модулях операционной системы; /iUL – получить информацию о пользователях; /iLG – получить информацию о локальных группах; 45 /iGG – получить информацию о глобальных группах; /iLP – получить информацию о политике блокировки; /iPP – получить информацию о политике паролей; /iAS – получить информацию о настройках аудита; /iSL – получить список служб системы; /iAL – получить список установленных приложений; /iSA – получить список автоматически запускаемых приложений; /iML – получить список модемов; /iNL – получить список сетевых адаптеров; /iNC – получить список сетевых компонентов (протоколов, служб, клиентов); /iLD – получить информацию о логических дисках; /iIE – получить настройки браузера; /iEL – получить содержимое журналов событий; /iPL – получить информацию о запущенных процессах; /iPR – получить информацию о принтерах; /iSH – получить список общих ресурсов; /iMI – получить информацию о памяти; /iHD – получить информацию о жестких дисках; /iHI – получить информацию об устройствах компьютера; /iSI – получить информацию о сканерах; /PCI – получить информацию об устройствах на шине PCI. Групповые параметры получения информации: /All – получить всю информацию; /Software – получить всю информацию о программном обеспечении; /Hardware – получить всю информацию об аппаратном обеспечении; /Security – получить всю информацию о настройках безопасности; /Summary – формирование краткого свободного отчета по конфигурации системы. Этот параметр отменяет действие всех прочих параметров. Параметры фильтрации содержимого системных журналов событий: /logname имя_журнала – выбор записей только из указанного журнала. В качестве имени журнала может быть указано как ото46 бражаемое имя (Приложение, Система, Безопасность, …), так и системное имя журнала (application, system, security, …). Данный параметр может быть использован несколько раз. Например, запуск программы следующим образом: sysinfo info.txt /iel /logname system /logname Безопасность добавит в отчет содержимое журналов «Система» и «Безопасность»; /eventuser имя_пользователя – выбор записей из журналов событий, относящихся только к указанному пользователю. Имя пользователя может быть указано как непосредственно (например, «Администратор»), так и с указанием домена («DOMAIN\ Администратор»). Данный параметр может использоваться несколько раз для выбора записей, относящихся к нескольким различным пользователям; /catname имя_категории – выбор записей из журнала, поле «Категория» которых удовлетворяет условию; /eventid идентификатор_события – выбор из журнала записей с заданным значением поля «Идентификатор». Значение должно быть числовым; /eventcode код_события – выбор из журнала записей с заданным значением поля «Код (ID)». Значение должно быть числовым. Значения кодов событий являются стандартными. Доступны следующие коды событий (табл. 2.2): Таблица 2.2 Значение 0 1 2 4 8 16 Описание Успех Ошибка Предупреждение Уведомление Аудит успехов Аудит отказов /eventsource имя_источника – выбор записей из журнала, поле «Источник» которых удовлетворяет условию; /eventdetails дополнительная_информация – выбор записей из журнала, поле «Описание» которых удовлетворяет условию. Эти параметры имеют силу, только если в отчет добавляются журналы событий (использован ключ /iEL, /Security или /All). 47 Примеры применения фильтрации sysinfo info.txt /iel /logname Безопасность – вывод в отчет содержимого журнала «Безопасность»; sysinfo info.txt /iel /catname «Изменение политики»/eventuser Администратор – вывод информации обо всех случаях изменения политики безопасности пользователем «Администратор». Следует обратить внимание, что строковые значения, содержащие пробелы, должны быть заключены в кавычки; sysinfo info.txt /iel /eventcode 1 /eventcode 16 /eventuser Администратор – вывод информации о событиях типа «Ошибка (код 1) или «Аудит отказов» (код 16), связанных с пользователем Администратор; sysinfo info.txt /iel /eventdetails ошибка /eventdetails отказ – вывод информации о событиях, содержащих слова «ошибка» или «отказ» в поле «Описание». Программа «Ревизор сети 2.0» Назначение программы. Сетевой сканер «Ревизор Сети» предназначен для использования администраторами и службами информационной безопасности вычислительных сетей, а также органами по аттестации объектов информатизации в целях обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP. Объектами исследования сетевого сканера являются ПЭВМ, сервера, коммутационное оборудование, межсетевые экраны и другие узлы сети, имеющие IP-адреса. «Ревизор Сети» позиционируется в качестве одного из элементов создаваемой Центром безопасности информации линейки интегрированных между собой программных продуктов, обеспечивающих комплексное тестирование, анализ и контроль защищенности вычислительных сетей различного уровня и назначения в условиях гетерогенной программной среды. 48 Условия применения. Программа «Ревизор Сети» может быть установлена только на компьютеры, оснащенные процессорами семейства INTEL X86 или совместимыми с ними. Требования к конфигурации компьютеров содержатся в табл. 2.3. Таблица 2.3 Элемент Минимально Рекомендуется Процессор Pentium Ш - 500 МГц Pentium IV – 1,6 ГГц Оперативная память 128 Мб 512 Мб Жесткий диск 500 Мб 1 Гб (свободное пространство) Видеоадаптер VGA VGA/SVGA 17 ” 15 ” Монитор (800×600 - 256 цве- (1024×768 - 256 цветов) тов) Тип операционной системы на ПЭВМ: • Windows 2000 Professional; • Windows XP Professional. Не рекомендуется установка «Ревизора Сети» на ПЭВМ с операционными системами Windows 2000 Server, Windows 2000 Advanced Server или Windows 2003 Server. Привилегии пользователя программы. При установке и эксплуатации ПО «Ревизор Сети» необходимы привилегии локального администратора компьютера или администратора домена сети. Требования к сетевому ПО. «Ревизор Сети» версии 2.0 предназначен для использования в сетях Ethernet, функционирующих на основе протокола TCP/IP. На компьютере должны быть установлены компоненты операционной системы, обеспечивающие работу с сетевым протоколом TCP/IP. Дополнительное программное обеспечение. Для обеспечения работы ПО «Ревизор Сети» необходимо, чтобы на компьютере было установлено следующее дополнительное программное обеспечение: • Internet Explorer версии 5.0 или выше; • ПО сервера баз данных Firebird версии 2.0.; • сетевой драйвер WinPcap версии 3.1; • драйвер для электронного ключа Guardant. 49 Все вышеуказанное ПО входит в дистрибутивный комплект поставки сетевого сканера. В ПО «Ревизор Сети» предусмотрена возможность интеграции с сетевым сканером Nmap, также имеющемся на дистрибутивном диске и необходимом для проведения некоторых проверок. Состав «Ревизора Сети» версии 2.0. «Ревизор Сети» версии 2.0 включает: • основной исполняемый модуль – Scaner3.exe; • модуль сканирующего ядра – Scaner3Dispatcher.exe; • модуль визуализации сетевого трафика – MapInfo3.exe; • модули библиотек с тестирующими проверками; • модули вспомогательных библиотек; • ключ авторизации на основе электронного ключа Guardant для USB или LPT портов. Основные характеристики. Программа «Ревизор Сети» позволяет проводить тестирование (выполнение заданных наборов проверок) сетевых устройств (узлов) и операционных систем, поддерживающих стек протоколов TCP/IP, функционирующих в составе вычислительных сетей и систем, использующих технологии Ethernet и Fast Ethernet, и однозначно идентифицирующихся собственным IPадресом. Функции, выполняемые «Ревизором Сети»: • «Ревизор Сети» содержит базу данных по доступным проверкам. Регистрация наборов проверок в базе данных «Ревизора Сети» осуществляется вручную при первом запуске программы в соответствии с библиотеками проверок, поставляемыми в составе «Ревизора Сети». Просмотр зарегистрированных проверок осуществляется в интерфейсной части «Ревизора Сети» в виде раскрывающегося графического «дерева» проверок; • «Ревизор Сети» позволяет осуществлять одновременное параллельное многопоточное тестирование узлов сети; • «Ревизор Сети» позволяет осуществлять параллельное выполнение взаимнонезависимых проверок; • запуск «Ревизора Сети» и выполнение проверок возможны только при наличии установленного на компьютере электронного ключа авторизации. При отсутствии электронного ключа выполнение программы прекращается; 50 • тестирование осуществляется путем проведения сеанса рабо- ты в рамках вновь создаваемой или созданной ранее сессии. «Ревизор Сети» позволяет сохранить настройки последнего сеанса, проведенного с сессией, для их использования при следующем сеансе; • тестирование осуществляется в рамках диапазона IP-адресов, заданных при создании новой сессии. Количество тестируемых IPадресов не превышает количество, указанное в лицензии при поставке программного продукта, и задается в поставляемом вместе с программным обеспечением электронном ключе авторизации; • тестирование осуществляется только для узлов сети, доступных в момент проведения сеанса работы с сессией. Доступность узлов сети определятся путем запуска любой из поставляемых проверок для определения доступности или их любой совокупности. Проверки, связанные с определением доступности, автоматически выделяются в отдельную группу; • тестирование осуществляется путем создания плана проверок на основе доступных наборов проверок различных категорий, зарегистрированных в базе данных «Ревизора Сети»; • проверки, результаты которых необходимы для работы какой-либо из выбираемых (отмечаемых при построении плана) проверок, включаются в план автоматически; • последовательность выполнения проверок для сформированного плана определяется; • «Ревизор Сети» позволяет в динамике отображать процесс выполнения плана проверок в части выполняющихся и закончивших выполнение проверок; • в ходе сеанса работы с сессией «Ревизор Сети» позволяет в любой момент времени в графическом виде визуализировать процессы обмена информацией между отдельными узлами сети; • «Ревизор Сети» позволяет в любой момент времени прервать выполнение плана проверок; • все результаты выполненных проверок для каждого сеанса работы могут быть сохранены в базе данных «Ревизора Сети» и в дальнейшем просмотрены в интерфейсной части сетевого сканера в виде соответствующего дерева результатов; • «Ревизор Сети» позволяет осуществлять объединение узлов сети в группы по IP-адресам. Каждый узел сети может входить в любое количество созданных групп; 51 • «Ревизор Сети» позволяет осуществить просмотр отдельных обобщенных результатов работы для всей совокупности узлов сети, по группам и по отдельному IP-адресу за любой из проведенных сеансов работы и за всю сессию; • «Ревизор Сети» позволяет осуществить формирование отчетов по результатам работы сетевого сканера. Отчеты формируются для любой совокупности IP-адресов; • по каждому выполненному плану работы «Ревизор Сети» позволяет осуществить формирование отчетов различной степени детализации, а также в обобщенном виде в части обнаруженных уязвимостей; • «Ревизор Сети» формирует отчеты в формате HTML и виде документов Microsoft Word; • «Ревизор Сети» позволяет проводить обновление базы выполняемых проверок путем регистрации новых библиотек проверок, поставляемых разработчиками программного продукта; • «Ревизор Сети» имеет полностью русскоязычный интерфейс; • в процессе работы «Ревизор Сети» позволяет осуществлять взаимодействие с сетевым сканером Nmap в части идентификации сервисов, сетевых устройств и типов операционных систем. «Ревизор Сети» включает наборы проверок по следующим категориям: • определение доступности узлов проверяемой сети не менее чем тремя различными методами; • определение открытых TCP и UDP портов на узлах проверяемой сети; • верификация типа операционной системы, установленной на проверяемом узле сети, • верификация сетевых сервисов; • определение NetBios-имени проверяемого узла сети; • определение DNS-имени проверяемого узла сети; • проверка учетных записей для узлов сети, функционирующих под управлением операционных систем семейства Windows; • определение наличия и доступности общих сетевых ресурсов на проверяемых узлах сети; • сопоставление служб и сервисов, запущенных на узлах сети портов, назначенных и контролируемых организацией IANA; 52 • проверка известных уязвимостей операционных систем се- мейства Windows; • проверка установленных обновлений программного обеспечения операционных систем семейства UNIX; • проверка известных уязвимостей сервиса FTP; • проверка известных уязвимостей сервиса RPC; • проверка известных уязвимостей электронной почты; • детальный анализ структуры и контента Web-сайта; • проверка узлов сети на наличие DOS-уязвимости (отказ в обслуживании); • проверка наличия удаленного доступа к приложениям; • проверка возможности получения прав удаленного администратора; • проверка наличия паролей по умолчанию; • подбор паролей через SMB. Установка ПО «Ревизор Сети» (рис. 2.9). Дистрибутив «Ревизора Сети» поставляется на диске CD-R. После установки диска в CD-ROM компьютера на экране появится окно интерфейса программы-установщика (при установленном режиме AutoRun). Если режим AutoRun не поддерживается, необходимо запустить файл AutoRun.exe из корневого каталога на CD-R. Рис. 2.9. Установка ПО «Ревизор Сети» 53 В части отдельных результатов «Ревизор Сети» интегрирован со сканером Nmap. Комлект Nmap версии 4.20 записан на поставляемом CD-R диске. Данное ПО свободно распространяется в рамках лицензии производителя (Free Software Foundation, Inc. 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA, http://insecure.org/). Установку программного обеспечения рекомендовано выполнять в такой последовательности: ‒ установить сканер Nmap; ‒ установить сервер баз данных Firebird версии 2.0; ‒ установить ПО «Ревизор Сети»; ‒ установить и провести конфигурацию драйвера электронного ключа защиты Guardant. В процессе установки сканера Nmap рекомендуется выбирать параметры установки по умолчанию. При установке ПО сервера баз данных Firebird версии 2.0 и ПО «Ревизор Сети» пользователю выдаются стандартные диалоги по принятию лицензионного соглашения и выбору каталогов для установки ПО. В выдаваемых диалогах установщика необходимо выбирать значения параметров, принятые по умолчанию. В процессе установки драйвера для электронного ключа защиты Guardant сам ключ не должен быть установлен в USB (LPT) гнездо ПЭВМ. После установки драйвера на экране появится следующее окно (рис. 2.10) : Рис. 2.10. Установка драйвера 54 Выбрав пункт «Конфигурировать драйвер», можно просмотреть и изменить настройки драйвера Guardant (рис. 2.11). Рис. 2.11. Настройки драйвера ПО Guardant автоматически определяет тип ключа, установленного в текущий момент времени на компьютере. При возникновении каких-либо проблем, связанных с определением ключа защиты, рекомендуется вручную проставить отметку для использования порта USB в данном окне настройки драйвера. При запуске «Ревизора Сети» возможно появление сообщения об ошибке (рис. 2.12). Данное сообщение связано с логикой работы сервера баз данных Firebird версии 2.0 и не свидетельствует о некорректной работе «Ревизора Сети». Рис. 2.12. Ошибка 55 При появлении такого сообщения необходимо выполнить следующие операции: 1. Завершить выполнение «Ревизора сети». 2. Через панель управления запустить менеджер Firebird сервера (иконка Firebird 2.0 Server Manager). 3. В открывшемся окне менеджера сервера (рис. 2.13) нажать кнопку «Stop», затем появившуюся кнопку «Start» (перезапустить сервер). 4. Повторно запустить ПО «Ревизор Сети». Рис. 2.13. Окно менеджера После выполнения указанной последовательности действий «Ревизор Сети» должен успешно стартовать. При первом запуске карты активности «Ревизора Сети» (кнопка «Карта») возможно появление сообщений «Системе не удается найти указанный путь» или «Класс не зарегистрирован» (рис. 2.14). В случае появления такого сообщения необходимо выполнить следующие действия: 1. Завершить «Ревизор Сети». 2. Запустить выполняемый файл карты активности («MapInfo3.exe») используя средства Windows. 56 3. Завершить выполнение файла MapInfo3.exe. 4. Файл MapInfo3.exe находится в каталоге с установленным ПО «Ревизора Сети» в подкаталоге «bin»). Рис. 2.14. Ошибка После выполнения указанной последовательности действий ПО карты активности, запускаемое в «Ревизоре Сети» должно стартовать корректно. Применение «Ревизора Сети» Запуск программы. Программа «Ревизор Сети» запускается посредством меню Пуск / Программы рабочего стола Windows или 57 путем клика левой кнопкой мыши на ярлыке «Ревизор Сети», размещенном на рабочем столе после инсталляции ПО. Запуск программы возможен только при подключенном к USB или LPT порту электронном ключе защиты из комплекта поставки ПО! После запуска программы на экране монитора появляется заставка (рис. 2.15). Рис. 2.15. Запуск программы При первом запуске программы необходимо зарегистрировать библиотеки, входящие в состав дистрибутива. Для этого в меню Файл / Регистрация библиотек выбираются библиотеки с модулями проверок для дальнейшего использования. Рекомендуется выбрать все библиотеки. Далее открывается главное окно программы (рис. 2.16). 58 Рис. 2.16. Главное окно программы Начало работы с программой. Работа с «Ревизором Сети» осуществляется в рамках сессии. Под сессией подразумевается совокупность устанавливаемых пользователем параметров проверок, атрибутов работы программы и результатов проверок. Пользователю предоставлена возможность экспорта сессии в файл и импорта сессии из файла. В базе данных может храниться только текущая сессия, для работы с несколькими сессиями нужно пользоваться операциями экспорта и импорта. Установка параметров сессии (рис. 2.17). Основным параметром сессии является рабочий диапазона IP-адресов тестируемой сети. Его необходимо указать при первом запуске «Ревизора Сети», либо при изменении состава тестируемой сети. Создание новой сессии осуществляется путем выбора пункта меню Настройки / Параметры сессии. При этом появится окно создания новой сессии. 59 При задании адресов можно через запятую (без пробела) указывать диапазоны нескольких сетей класса С или отдельные IPадреса, например: 192.168.20.1-254,192.168.21.5-70,10.1.1.5,10.1.1.36 Рис. 2.17. Параметры сессии При желании можно сохранить указанный в сессии диапазон адресов в текстовом файле или загрузить из текстового файла при создании новой сессии. Необходимо помнить, что использование программного продукта осуществляется в рамках лицензии на определенное количество IP-адресов. Если проводилось сканирование каких-либо узлов сети, то при создании новой сессии можно видеть информацию о количестве использованных/неиспользованных IP-адресов, а также перечень использованных IP-адресов. При этом в поле «Рабочий диапазон IP-адресов» автоматически выводится ранее заданное значение диапазона. При изменении параметров сессии, предыдущая сессия удаляется и создается новая с указанными параметрами. Если предыду60 щая сессия содержит какую-либо важную информацию, ее можно сохранить в файл. Сохранение сессии в файл. Сохранение новой сессии осуществляется путем выбора пункта меню Файл/Сохранить сессию. После выбора файла все данные сессии будут сохранены в указанный файл в XML-формате. Загрузка сессии из файла. Загрузка новой сессии осуществляется путем выбора пункта меню Файл/Загрузить сессию. После выбора файла сессия будет загружена из указанного файла. Текущая сессия при этом будет удалена. Описание режимов работы. Во время сеанса работы пользователь может находиться в одном из следующих основных режимов работы: • формирование плана проверки доступности узлов проверяемой сети; • проверка доступности узлов сети; • формирования плана проверок для проведения сканирования сети; • выполнение сформированных планов проверок; • просмотр результатов; • формирование отчетов. Каждому режиму работы соответствует одно или несколько экранных «окон» в графическом интерфейсе сетевого сканера: • окно формирования плана проверки доступности узлов сети; • окно формирования плана проверок для проведения сканирования сети; • окно отображения динамики выполняемых проверок; • окно протокола работы и просмотра «дерева» результатов; • окно просмотра обобщенных результатов работы; • окно формирования отчетов. Переход в то или иное окно осуществляется через соответствующие кнопки панели инструментов в левой части экрана или посредством выбора требуемого пункта меню. Наименование текущего окна отображается в строке статуса в нижней части экрана. Формирование плана проверки доступности узлов сети. Логика работы «Ревизора Сети» построена таким образом, что поль61 зователю предоставлена возможность выполнения проверок только для доступных в настоящий момент узлов сети. Таким образом, выполнению проверок предшествует определение доступных для сканирования узлов сети (IP-адресов). После начала работы с «Ревизором Сети» пользователь автоматически попадает в окно формирования плана проверок для определения доступности узлов сети. В этом окне пользователь должен определить, доступность каких узлов нужно определить, а также какие методы должны при этом использоваться (рис. 2.18). Рис. 2.18. Определение доступности Предоставляемые пользователю методы определения доступности узлов сети являются единственными проверками, которые можно выполнять для любого узла в рамках заданного диапазона IP-адресов без учета ограничений приобретенной лицензии на ПО. Все другие проверки выполняются только для определенной совокупности доступных узлов. 62 Проверки определения доступности узлов не зависят от количества IP-адресов, на которое выдана лицензия, и могут всегда выполняться для любых узлов проверяемой сети. Формирование плана сканирования сети. Основной задачей сетевого сканера является выявление потенциальных уязвимых мест в настройках программного обеспечения узлов проверяемой сети, отвечающего за обеспечение сетевого взаимодействия. Для решения данной задачи в «Ревизоре Сети» предусмотрены проверки по различным категориям. План выполнения проверок формируется в соответствующем окне формирования плана проверок для сканирования сети. Пользователь отмечает узлы, на которые хочет пустить проверки, выбирает требуемые проверки и формирует план проверок. Необходимо помнить, что IP-адреса узлов, попавших однажды в план проверок после нажатия кнопки «Сформировать план проверок», сразу автоматически фиксируются как IP-адреса диапазона лицензии, выданной на программный продукт. Формирование плана проверок в «Ревизоре Сети» осуществляется путем проставления отметки против соответствующей проверки, коррекции (при необходимости) отдельных входных параметров проверок и нажатия кнопки «Добавить проверки в план». Для удобства формирования плана проверок предусмотрен режим автоматического выделения зависимых проверок. Если это режим включен, то при выделении проверки автоматически выделяются все другие проверки, результаты которых необходимы для ее выполнения. Режим автоматического выделения зависимых проверок можно включать и выключать с помощью соответствующей кнопки ( ) (рис. 2.19). Выполнение сформированного плана проверок осуществляется по кнопке «Выполнить план проверок». Если пользователь пытается сформировать план, включающий в себя количество IP-адресов большее, чем установлено в лицен63 зии, то в план проверок попадут только те адреса, которые уже сканировались ранее, или же новые, но по количеству не превышающие соответствующий параметр лицензии. Рис. 2.19. Сканирование Таким образом, необходимо внимание при проставлении отметок для узлов, которые необходимо включить в план, чтобы в него не попали те доступные узлы, сканирование которых не предполагается. После нажатия на кнопку «Начать сканирование» начинается процесс сканирования сети. Выполнение проверок, протокол хода выполнения. После начала процесса сканирования сети автоматически осуществляется переход в окно отображения динамики выполняемых проверок. 64 В данном окне можно просмотреть информацию о наименованиях выполняющихся проверок, количестве запущенных проверок на каждый из IP-адресов, количестве выполненных проверок. Гистограммы, отображаемые для каждого узла, позволяют оценить информацию по количеству и типам проверок, давших положительный результат и не давших никакого результата. При нажатии на кнопку «Протокол» панели инструментов в левой части экрана, появляется окно протокола выполнения плана проверок (рис. 2.20). Рис. 2.20. Протокол выполнения В этом окне можно просмотреть информацию о выполненных проверках, проверках, находящихся в ожидании выполнения и проверках, обнаруживших уязвимости (давших положительный результат работы). Просмотр результатов работы. Результаты работы сетевого сканера можно просмотреть в соответствующем окне, открываю65 щемся при нажатии кнопки «Результаты» панели инструментов, или через основное меню программы (рис. 2.21). Рис. 2.21. Просмотр результатов «Ревизор Сети» предоставляет следующие режимы просмотра результатов: • общая информация об узлах сети (DNS и NetBios имена узлов, предполагаемый тип операционной системы, имя домена); • информация о найденных уязвимостях; • информация об открытых TCP и UDP портах; • информация о пользователях и группах, зарегистрированных на узле сети; • информация о доступных сетевых ресурсах; • подробная информация по узлу. Для просмотра информации обо всей сети или группе узлов необходимо выделить соответствующую группу в дереве узлов в левой части экрана. Для просмотра информации о конкретном узле необходимо выделить этот узел. 66 При выборе режима просмотра подробной информации по узлу, результаты отображаются в виде дерева объектов, при этом свойства выбранного объекта отображаются в нижней части экрана. Результаты работы привязываются к соответствующему IPадресу узла. Подробная информация может быть особенно полезна для администраторов систем и технических специалистов. Формирование отчетов. Данные, полученные в результате выполнения проверок, сохраняются в базе данных «Ревизора Сети» и могут быть представлены в виде отчетов в формате HTML или Microsoft Word. Для формирования отчетов необходимо с помощью панели инструментов или через главное меню программы перейти в соответствующее окно. Окно формирования отчетов разделено на две части. В левой части осуществляется выбор узлов (IP-адресов), для которых формируется отчет. В правой части окна осуществляется выбор типа отчета (общий, детальный и т.д.). При этом существует возможность отметить определенные виды и типы результатов, которые должны быть помещены в отчет (рис. 2.22). Рис. 2.22. Формирование отчета 67 Формирование отчета начинается при нажатии на кнопку «Создать отчет» на панели инструментов. В диалоге выбора файла для сохранения отчета также нужно указать формат отчета (Word или Html). При большом количестве результатов сканирования и выбранных для отчета узлов сети возможна некоторая задержка во времени при формировании обобщенных видов отчетов, что обусловлено процессами обработки информации, содержащейся в базе данных «Ревизора Сети». ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием стандартных средств операционной системы Данная лабораторная работа выполняется на АРМ под управлением ОС Windows (рис. 2.23). Для начала выполнения лабораторной работы необходимо выполнить вход в ОС Windows. Рис. 2.23. Схема стенда Проведение инвентаризации при проведении инвентаризации состава технических средств отсостава автономного СВТ дельного ПК. После загрузки ОС необходимо произвести запуск диспетчера устройств, для этого: 1. Зайдите в меню «Пуск» => «Панель управления» => «Администрирование» => «Управление компьютером». 2. В появившемся окне выберите «Диспетчер устройств» (рис. 2.24). В появившемся справа списке подключенных устройств, выберите интересующее вас устройство, подробную информацию о котором можно просмотреть щелкнув по нему два раза левой кнопкой мыши. 3. Полученные данные занесите в сводный отчет по инвентаризации состава ТС ПК в заранее подготовленную таблицу (табл. 2.4). 68 Рис. 2.24. Окно Диспетчера устройств Таблица 2.4 Сводный отчет по инвентаризации состава ТС ПК Наименование ТС Номер версии Производитель Всего установлено Проведение инвентаризации состава программных средств отдельного ПК. Для определения установленного ПО необходимо провести следующие действия: 69 1. Зайдите в меню «Пуск» => «Панель управления» => «Установка и удаление программ» (рис. 2.25). Рис. 2.25. Окно установки удаления программ 2. Просмотрите подробную информацию об установленном ПО; 3. Полученные данные занесите в сводный отчет по инвентаризации состава ПО ПК в виде заранее подготовленной табл. 2.5. Таблица 2.5 Сводный отчет по инвентаризации состава ПО ПК Название ПО Номер версии Издатель 70 Всего установлено Проведение инвентаризации состава технических и программных средств отдельного ПК с использованием специализированных средств системного сканирования ПЭВМ В данном пункте лабораторной роботы используется сертифицированное программное обеспечение «Агент инвентаризации». Выполните установку и запуск ПО согласно пункту «Выполнение программы». Для сбора информации о системе используется кнопка панели инструментов. После ее нажатия на экране появляется диалоговое окно, в котором можно за несколько шагов настроить параметры сбора информации. Шаг 1. Настройка параметров работы программы. На этом шаге устанавливаются основные параметры, определяющие работу программы. Прежде всего, это имя файла для сохранения результатов (указывается с помощью кнопки ). Шаг 2. Определение состава получаемой информации (дополнительно). Пользователю предоставляется возможность более точно определить состав получаемой информации. Выполните действия согласно рис. 2.26 и 2.27. Шаг 3. Завершение формирования параметров. На этом этапе формирование параметров уже завершено, и на экран выводится командная строка, которая будет использована при запуске основного исполняемого модуля. Эта строка может быть скопирована и использована в дальнейшем для запуска основного исполняемого модуля без использования графического интерфейса (рис. 2.28). По нажатию кнопки «Готово» выполняется запуск основного исполняемого модуля и ожидание завершения его работы. Все результаты сохраняются в файл, указанный в шаге 1. После завершения, результаты работы отображаются в главном окне программы. Шаг 4. Формирование отчета. Выполнение данного шага осуществляется согласно пункту «Формирование отчетов». В полученном отчете содержится подробная информация об установленных ТС и ПО на данном ПК. 71 Рис. 2.26. Определение состава получаемой информации Рис. 2.27. Определение состава получаемой информации (дополнительно) 72 Рис. 2.28. Завершение подготовки параметров Проведение инвентаризации состава технических и программных средств ЛВС с использованием специализированных средств сетевого и системного сканирования ЛВС Подготовьте к работе стенд в соответствии с методическими материалами по выполнению работы. Общая функциональная схема стенда дана на рис. 2.29. Рис. 2.29. Схема стенда при проведении инвентаризации состава ЛВС 73 Выполните установку ПО «Ревизор Сети» согласно пункту «Установка ПО «Ревизор Сети». После установки запустите программу посредством меню Пуск => Программы рабочего стола Windows или путем клика левой кнопкой мыши на ярлыке «Ревизор Сети», размещенном на рабочем столе после инсталляции ПО. Перед запуском программы не забудьте подключить к USB или LPT-порту электронный ключ защиты. При первом запуске программы необходимо зарегистрировать библиотеки, входящие в состав дистрибутива. Для этого в меню Файл => Регистрация библиотек выбираются библиотеки с модулями проверок для дальнейшего использования. Выберите все библиотеки. Далее открывается главное окно программы (рис. 2.30). Рис. 2.30. Главное окно программы Установите параметры сессии согласно пункту, описанному выше, и начните сканирование. 74 Данные, полученные в результате выполнения проверок, сохраняются в базе данных «Ревизора Сети» и могут быть представлены в виде отчетов в формате HTML или Microsoft Word. Для формирования отчетов необходимо с помощью панели инструментов или через главное меню программы перейти в соответствующее окно. Начните формирование отчета, нажав на кнопку «Создать отчет» на панели инструментов. В диалоге выбора файла для сохранения отчета также надо указать формат отчета Html. Подготовка отчета для сдачи лабораторной работы 1. В отчёте кратко описать выполненные действия. 2. Провести анализ полученных в работе результатов. 3. Полученные результаты (html файлы) оформить в виде протоколов. Тестовые задания к лабораторной работе 2 Входной контроль 1. «Агент инвентаризации» предназначен: a) для автоматизированного сбора информации об аппаратном и программном обеспечении АРМ; b) для автоматизированного учета компьютерной техники; c) для учета рабочих станций, оргтехники и других объектов на предприятии. 2. Основные функции программы «Агент инвентаризации»: a) сбор информации об аппаратных и программных средствах в составе АРМ; b) сохранение полученной информации и возможность просмотра ее в будущем; c) генерация отчетов на основе полученной информации; d) нет верного ответа. 3. Входными данными «Агента инвентаризации» являются: a) документация; 75 b) отчеты на основе информации, полученной в ходе работы программы (в формате HTML); c) указываемый пользователем требуемый состав получаемой информации; d) нет верного ответа. 4. Выходными данными «Агента инвентаризации» являются: a) информация об аппаратном и программном обеспечении, полученная в ходе работы программы и сохраненная в файле; b) указываемые пользователем параметры выполнения программы; c) информация об ошибках; d) отчеты на основе информации, полученной в ходе работы программы (в формате HTML). 5. Основной исполняемый модуль программы «Агент инвентаризации»: a) Agent.exe; b) sysinfo.exe; c) sysinfo.dll; d) sysinfo9x.dll; e) SysInfo.sys. 6. Для чего предназначен сетевой сканер «Ревизор Сети 2.0»? a) для использования администраторами и службами информационной безопасности вычислительных сетей, а также органами по аттестации объектов информатизации в целях обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP; b) для организации комплексной защиты физических и виртуальных серверов; c) для защиты сети от атак неизвестного вида и стабилизации системы; d) для фильтрации сообщений электронной почты, поступающей на компьютеры домашних пользователей. 7. Поддержка какого протокола необходима для работы программы? 76 a) HTTP; b) UDP; c) ICMP; d) TCP/IP. 8. Какое дополнительное программное обеспечение должно быть установлено на компьютере для обеспечения работы ПО «Ревизор Сети»? a) ПО сервера баз данных Firebird версии 2.0.; b) сетевой драйвер WinPcap версии 3.1; c) ICQ 2005; d) драйвер для электронного ключа Guardant. 9. В каком виде «Ревизор Сети» формирует отчеты? a) HTML; b) документов Microsoft Word; c) txt. 10. «Ревизор Сети» включает наборы проверок по следующим категориям: a) определение доступности узлов проверяемой сети не менее, чем тремя различными методами; b) определение открытых TCP и UDP портов на узлах проверяемой сети; c) верификация типа операционной системы, установленной на проверяемом узле сети; d) определение наличия и доступности общих сетевых ресурсов на проверяемых узлах сети; e) проверка наличия удаленного доступа к приложениям; f) нет верного ответа. Выходной контроль 1. Какой файл отвечает за запуск программы «Агент инвентаризации» из командной строки? a) sysinfo.exe; b) sysinfo9x.dll; c) SysInfo.sys. 77 2. Какой параметр отвечает за получение общей информации о компьютере? a) /iOS; b) /iDM; c) /iGG; d) /iСI. 3. Какой параметр отвечает за получение информации об установленных приложениях? a) /iAL; b) /iNL; c) /iNC; d) /iOM. 4. Какой параметр отвечает за получение полной информации о компьютере? a) /iAL; b) /All; c) /Security. 5. Какие параметры определяют режим работы программы «Агент инвентаризации»? a) /silent; b) /PCI; c) /Software; d) /descr. 6. Что необходимо для запуска программы «Ревизор Сети»? a) электронный ключ Guardant; b) специальное программное обеспечение; c) USB флешка; d) нет верного ответа. 7. Что необходимо зарегистрировать при первом запуске программы «Ревизор Сети»? a) пользователя; b) библиотеки; c) нет верного ответа. 8. Основные режимы работы программы: a) формирование плана проверки доступности узлов проверяемой сети; 78 b) проверка доступности узлов сети; c) формирования плана проверок для проведения сканирования сети; d) просмотр результатов; e) формирование отчетов; f) нет верного ответа. 9. Для отображения работающих в сети ПЭВМ в «Ревизоре Сети» используется: a) карта активности сети; b) редактор групп; c) сканер. 10. Основные режимы просмотра результатов работы программы? a) общая информация об узлах сети; b) информация об открытых TCP и UDP портах; c) подробная информация по узлу; d) нет верного ответа. 79 Работа 3 ПОИСК ОТЛИЧИЙ РЕАЛЬНО ПОЛУЧЕННОЙ ИНФОРМАЦИИ ОТ ИНФОРМАЦИИ, ЗАЯВЛЕННОЙ В ИСХОДНЫХ ДАННЫХ НА ОБЪЕКТЕ ИНФОРМАТИЗАЦИИ Цель: поиск отличий реально полученной информации от информации, заявленной в исходных данных на объекте информатизации. Проведение аттестационных испытаний автоматизированной системы (АС) по требованиям безопасности информации в части защиты от НСД в соответствии с требованиями нормативной и методической документации. ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ Выполнение данной лабораторной работы возможно только после выполнения работы 1 «Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документации» и работы 2 «Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера и ЛВС с использованием стандартных и специализированных средств операционной системы». Этапы выполнения лабораторной работы: 1. Изучение содержания отчета лабораторной работы «Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документации». 2. Изучение содержания отчетов лабораторной работы «Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера и ЛВС с использованием стандартных и специализированных средств операционной системы». 3. Поиск отличий результатов инвентаризации и информации, заявленной в исходных данных. 4. Составление отчета с указанием отличий реально полученной информации от информации, заявленной в исходных данных на объекте информатизации. 80 Для проведения аттестации Заказчик должен предъявить органу по аттестации ряд исходных данных по объекту информатизации. Для принятия решения об аттестации объекта информатизации, органу по аттестации должны быть представлены исходные данные, не отличающиеся от реально полученной информации по аттестуемому объекту информатизации в ходе специальных проверок. 1. Изучение содержания отчета работы 1 «Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документации». Для выполнения этого пункта вам понадобится отчет о выполнении лабораторной работы «Организация аттестации автоматизированных систем по требованиям безопасности информации в части защиты от НСД. Проверка документации». Изучите перечень исходных данных содержащихся в этом отчете. 2. Изучение содержания отчетов работы 2 «Инвентаризация актуального состава технических и программных средств объекта информатизации с использованием штатных средств операционной системы и программного обеспечения». Для выполнения этого пункта понадобятся отчеты о выполнении лабораторной работы «Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера и ЛВС с использованием стандартных и специализированных средств операционной системы». Изучите результаты инвентаризации, содержащиеся в этом отчете, а именно: • результаты инвентаризации с помощью специализированных средств; • результаты инвентаризации с помощью стандартных средств. 3. Поиск отличий результатов инвентаризации и информации, заявленной в исходных данных. Для выполнения этого пункта вам необходимо сверить данные отчетов, которые были изучены в пп. 1 и 2 данной работы. 4. Составление отчета с указанием отличий реально полученной информации от информации, заявленной в исходных данных на объекте информатизации. Составьте общий отчет, в котором укажите отличия (если таковые имеются) результатов инвентаризации и представленных исходных данных на объект информатизации. 81 Тестовые задания к лабораторной работе 3 Входной контроль 1. Что такое аттестация объекта информатизации? a) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект отвечает требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России; b) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объекту информатизации присвоен класс защищенности; c) комплекс организационно-технических мероприятий, в результате которых посредством специального документа (Аттестат соответствия) подтверждается, что объект информатизации отвечает требованиям безопасности информации от НСД; d) нет верного ответа. 2. Сколько групп и классов защищенности АС от НСД к информации? a) 2 группы 6 классов; b) 3 группы 4 класса; c) 3 группы 9 классов; d) 4 группы 12 классов. 3. Что такое НСД? a) доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами; b) доступ к информации, не соответствующий правилам разграничения доступа, с целью получения конфиденциальной информации всевозможными способами; c) доступ к информации, с целью получения конфиденциальной информации, при помощи специализированных средств. 4. Какие условия включает в себя третья группа классов защищенности АС от НСД к информации? 82 a) АС, в которой работает один пользователь, имеющий доступ ко всей информации АС с разными уровнями конфиденциальности; b) многопользовательская АС, в которой одновременно обрабатывается и хранится информация разных уровней конфиденциальности; c) АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности; d) нет верного ответа. 5. Какие бывают методы испытаний? a) визуальные; b) экспертный анализ; c) опытная эксплуатация; d) акустические. Выходной контроль 1. Степени секретности информации ограниченного доступа? a) особой важности; b) особого доступа; c) секретно; d) особой секретности; e) совершенно секретно. 2. К техническим средствам относятся: a) розетки с напряжением 220 В; b) автономный ПК; c) принтер (локальный, сетевой); d) межсетевой экран. 3. Что относится к общесистемному ПО? a) офисные программы; b) антивирусные программы; c) операционные системы; d) нет верного ответа. 4. К прикладному программному обеспечению относятся: a) операционные системы; b) офисные программы; 83 c) стандартные средства обработки информации; d) нет верного ответа. 5. Какие данные должны содержаться в отчете об инвентаризации технических средств с использованием стандартных средств? a) наименование ТС; b) номер версии; c) производитель; d) серийный номер. 84 ПОИСК УЯЗВИМОСТЕЙ В СОСТАВЕ И НАСТРОЙКАХ СИСТЕМНОГО И ПРИКЛАДНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В состав тематики входят четыре лабораторные работы (4–7). Используемое учебно-лабораторное обеспечение Лабораторное помещение на учебную группу, оснащенное компьютерным оборудованием с возможностью выхода в сеть Internet. Примерный состав оборудования представлен на рис. 4.1. Рис. 4.1. Состав оборудования для исследования сканеров безопасности Работа 4 КОНТРОЛЬ УЯЗВИМОСТЕЙ НА УРОВНЕ СЕТИ Цель: изучение основ обеспечения защиты сетей от несанкционированного доступа и принципов работы с сетевыми сканерами безопасности. ВВЕДЕНИЕ Данная работа позволяет расширить практические навыки студентов в области информационной безопасности. 85 В связи с расширением использования корпоративных сетей и сети Internet специалисты в этой области все больше осознают необходимость анализа и управления потенциальными рисками безопасности в сетях и системах. Основным источником проблем служат так называемые уязвимости или, как их еще называют, «дыры» в программном обеспечении. Уязвимости позволяют постороннему свободно проникать в сеть. Последствия такого вторжения могут быть разными: от утечки конфиденциальной информации до полной потери данных. Анализ уязвимостей – это процесс обнаружения, оценки и ранжирования рисков, связанных с системами и устройствами, функционирующими на сетевом и системном уровнях, с целью рационального планирования применения информационных технологий. Инструменты, реализующие этот процесс, позволяют установить собственную политику безопасности, автоматизировать анализ уязвимостей и создать отчеты, которые эффективно связывают информацию об обнаруженных уязвимостях с подробными корректирующими действиями на всех уровнях организации. Основным средством обнаружения уязвимостей служат сетевые сканеры безопасности. Одновременное использование систем анализа защищенности, функционирующих на сетевом и системном уровнях, обеспечивает мощнейшую защиту против трех типов уязвимостей, появляющихся от поставщика, администратора и пользователя. Все риски можно разделить на три категории. Риски, связанные с ПО, поставляемым поставщиком – включают ошибки, неустановленные обновления (patch'и и hotfix'ы) операционной системы, уязвимые сервисы и незащищенные конфигурации по умолчанию. Риски, связанные с действиями администратора – включают доступные, но неправильно используемые настройки и функции системы, не отвечающие политике безопасности требования к минимальной длине пароля и несанкционированные изменения в конфигурации системы. Риски, связанные с деятельностью пользователя – включают уклонение от предписаний принятой политики безопасности, т.е. любые несанкционированные действия. 86 Возможности сетевого сканирования Сетевой сканер должен быть первым инструментом, используемым в процессе анализа защищенности. Он обеспечивает быстрый обзор уязвимостей самой высокой степени риска, которые требуют немедленного внимания. Анализ уязвимостей при сканировании на сетевом уровне поможет обнаружить очень серьезные уязвимости, такие как неправильно сконфигурированные межсетевые экраны (МСЭ) или уязвимые Web-сервера в демилитаризованной зоне (DMZ), которые могут предоставить потенциальную возможность для проникновения хакеров и позволить им скомпрометировать систему защиты организации. Сканирование на сетевом уровне обеспечивает быстрый и детальный анализ сетевой инфраструктуры организации как со стороны внешнего, так и со стороны внутреннего наблюдателя. Основные случаи необходимости проведения мониторинга 1. Установлены не все необходимые патчи на компьютерах (возможно, когда устанавливался важный патч, какой-то компьютер был недоступен, или на каком-то компьютере недавно переустанавливалась новая операционная система, или в сети появился ноутбук, принесенный из дома, или был установлен виртуальный компьютер под VMware Workstation/ Microsoft Virtual PC). В современных суровых условиях даже один непропатченный компьютер (особенно принесенный из дома поработавший в сети ноутбук) может принести администраторам большие неприятности. Это относится не только к патчам операционных систем, но и других программных продуктов, например, SQL Server. 2. Мониторинг появления новых общих ресурсов, особенно на клиентских компьютерах. Очень часто такие несанкционированные сервера становятся источником проблем (поскольку пользователи обычно не утруждают себя назначением каких-либо разрешений или аудита) – через них может «уйти» важная информация, или данные в этом общем ресурсе могут быть стерты другим пользователем (а резервное копирование рабочих станций производится далеко не везде). 87 3. Появление дополнительных служб и открытых портов (особенно относящихся к удаленному администрированию). Это вполне могут быть троянские программы или незащищенные средства удаленного администрирования. Троянские программы, конечно, лучше обнаруживать не только при помощи сканеров безопасности, но и при помощи антивирусов. 4. Появление неизвестных администратору пользователей. Многие сканеры (например, LANGuard) показывают количество входов в сеть и время последнего входа в сеть для каждого пользователя. При помощи этой возможности иногда можно определить, когда появился тот или иной пользователь. 5. Ошибки в конфигурации компьютера. Ошибки допускаются всеми, и иногда в сети организации можно найти сервер Oracle с паролями привилегированных пользователей, установленными по умолчанию, или SQL Server, для учетной записи SA которого назначен пустой пароль, или другие продукты с оставленными по умолчанию паролями. Использовать такие ошибки для получения полного контроля над системой (а иногда и доменом) совсем несложно, поэтому есть смысл регулярно проверять сеть на предмет наличия таких проблем в настройках. Предварительная подготовка Создание виртуального компьютера с помощью VMware Workstation. Создание виртуального компьютера необходимо для того, чтобы использовать для работы не реальный сервер обеспечивающий работу сети, а виртуальный, работоспособность которого никак не повлияет на текущую работу сети. Для создания виртуального компьютера удобно использовать программу VMware Workstation . Для этого в главном меню программы надо выбрать file => New => New Virtual Machine или нажать Ctrl+N. Шаг 1.Перед вами появится окно New Virtual Machine Wizard (рис. 4.2). В меню Virtual Machine Configuration необходимо выбрать Typical => Next. Шаг 2. Выберите с чего производить установку: с физического устройства либо iso-файла (рис. 4.3). 88 Рис. 4.2. Главное меню New Virtual Machine Wizard Рис. 4.3. Выбор устройства 89 Шаг 3. Затем вам предложат выбрать операционную систему (рис. 4.4). В меню Guest Operating System выбрать Windows Server 2003 Enterprise Edition => Next. Далее вводим ключ к Windows Server 2003 Enterprise Edition. Рис. 4.4. Выбор ОС Шаг 4. Далее вам предложат задать имя виртуального компьютера и его месторасположение. Например, Virtual Machine Name: WinServ_2003_EE, Location: C:\Program Files\My Virtual Machines\WinServ 2003 EE => Next. Шаг 5. Затем идет выбор «жесткого» диска (рис. 4.5). Выберите емкость диска, поскольку программа выделяет под диск реальное количество места на диске. Виртуальный диск следует создать объемом 8.0GB. => Next. Шаг 6. Далее программа покажет созданный файл, в котором храниться информация о диске. Finish. Таким образом, появился новый виртуальный компьютер. 90 Рис. 4.5. Выбор «жесткого» диска Установка операционной системы на нем абсолютно аналогична реальному компьютеру. Включение и выключение виртуального компьютера осуществляется кнопками «Power on» (Ctrl+B) и «Power off» (Ctrl+E) на главной панели. После установки Windows Server 2003 Enterprise Edition настройте сетевое подключение. Задайте IP-адрес (например, 192.168.1.1) и маску подсети (например, 255.255.255.0). «Ревизор Сети» 2.0 Общие сведения. Дистрибутив «Ревизора Сети» поставляется на диске CD-R. После установки диска в CD-ROM компьютера на экране появится окно интерфейса программы-установщика (при установленном режиме AutoRun). Если режим AutoRun не поддерживается, необходимо запустить файл AutoRun.exe из корневого каталога на CD-R. 91 В части отдельных результатов «Ревизор Сети» интегрирован со сканером Nmap. Комлект Nmap версии 4.20 записан на поставляемом CD-R диске. Данное ПО свободно распространяется в рамках лицензии производителя (Free Software Foundation, Inc. 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA, http://insecure.org/). Рис. 4.6. Старт программы «Ревизор Сети» Установку программного обеспечения рекомендовано выполнять в такой последовательности (рис. 4.6): 1) установить сканер Nmap; 2) установить сервер баз данных Firebird версии 2.0; 3) установить ПО «Ревизор Сети»; 4) установить и провести конфигурацию драйвера электронного ключа защиты Guardant. В процессе установки сканера Nmap рекомендуется выбирать параметры установки по умолчанию. При установке ПО сервера баз данных Firebird версии 2.0 и ПО «Ревизор Сети» пользователю выдаются стандартные диалоги по принятию лицензионного соглашения и выбору каталогов для установки ПО. В выдаваемых диалогах установщика необходимо выбирать значения параметров, принятые по умолчанию. 92 В процессе установки драйвера для электронного ключа защиты Guardant, сам ключ не должен быть установлен в USB (LPT) гнездо ПЭВМ. ПО Guardant автоматически определяет тип ключа, установленного в текущий момент времени на компьютере. При возникновении каких-либо проблем, связанных с определением ключа защиты, рекомендуется вручную проставить отметку для использования порта USB в данном окне настройки драйвера. При запуске «Ревизора Сети» возможно появление сообщения об ошибке (рис. 4.7). Рис. 4.7. Сообщение об ошибке Данное сообщение связано с логикой работы сервера баз данных Firebird версии 2.0. и не свидетельствует о некорректной работе «Ревизора Сети». При появлении такого сообщения необходимо выполнить следующие операции: 1. Завершить выполнение «Ревизора Сети». 2. Через панель управления запустить менеджер Firebird сер- Рис. 4.8. Окно менеджера сервера вера (иконка Firebird 2.0 Server Manager). 3. В открывшемся окне менеджера сервера (рис. 4.8) нажать кнопку «Stop», затем появившуюся кнопку «Start» (перезапустить сервер). 4. Повторно запустить ПО «Ревизор Сети». 93 После выполнения указанных действий «Ревизор Сети» должен успешно стартовать. При первом запуске карты активности из-под «Ревизора Сети», (кнопка «Карта») возможно появление сообщений «Системе не удается найти указанный путь» или «Класс не зарегистрирован» (рис. 4.9) Рис. 4.9. Возможное сообщение при первом запуске программы В случае появления такого сообщения необходимо выполнить следующие действия: 1) завершить «Ревизор Сети»; 2) запустить выполняемый файл карты активности («MapInfo3.exe») используя средства Windows; 3) завершить выполнение файла MapInfo3.exe. 94 Файл MapInfo3.exe находится в каталоге с установленным ПО «Ревизора Сети» в подкаталоге «bin»). После выполнения указанных действий ПО карты активности, запускаемое из-под «Ревизора Сети» должно стартовать корректно. Запуск программы. Программа «Ревизор Сети» запускается посредством меню Пуск / Программы рабочего стола Windows или путем клика левой кнопкой мыши на ярлыке «Ревизор Сети», размещенном на рабочем столе после инсталляции ПО. Запуск программы возможен только при подключенном к USB- или LPT-порту электронном ключе защиты из комплекта поставки ПО! После запуска программы на экране монитора появляется заставка (см. рис. 4.6). При первом запуске программы необходимо зарегистрировать библиотеки, входящие в состав дистрибутива. Для этого в меню Файл / Регистрация библиотек выбираются библиотеки с модулями проверок для дальнейшего использования. Рекомендуется выбрать все библиотеки. Далее открывается главное окно программы (рис. 4.10). Начало работы с программой. Работа с «Ревизором Сети» осуществляется в рамках сессии. Под сессией подразумевается совокупность устанавливаемых пользователем параметров проверок, атрибутов работы программы и результатов проверок. Пользователю предоставлена возможность экспорта сессии в файл и импорта сессии из файла. В базе данных может храниться только текущая сессия, для работы с несколькими сессиями нужно пользоваться операциями экспорта и импорта. Установка параметров сессии. Основным параметром сессии является рабочий диапазона IP-адресов тестируемой сети. Его необходимо указать при первом запуске «Ревизора Сети», либо при изменении состава тестируемой сети. Создание новой сессии осуществляется путем выбора пункта меню Натройки / Параметры сессии. При этом появится окно создания новой сессии (рис. 4.11). При задании адресов можно через запятую (без пробела) указывать диапазоны нескольких сетей класса С или отдельные IP-адреса, например: 192.168.20.1-254,192.168.21.5-70,10.1.1.5,10.1.1.36 95 96 Рис. 4.10. Главное окно программы Рис. 4.11. Выбор сканируемых адресов При желании можно сохранить указанный в сессии диапазон адресов в текстовом файле или загрузить из текстового файла при создании новой сессии. Необходимо помнить, что использование программного продукта осуществляется в рамках лицензии на определенное количество IP-адресов. Если проводилось сканирование каких-либо узлов сети, то при создании новой сессии можно видеть информацию о количестве использованных/неиспользованных IP-адресов, а также перечень использованных IP-адресов. При этом в поле «Рабочий диапазон IP-адресов» автоматически выводится ранее заданное значение диапазона. При изменении параметров сессии, предыдущая сессия удаляется и создается новая с указанными параметрами. Если предыдущая сессия содержит какую-либо важную информацию, ее можно сохранить в файл. Сохранение сессии в файл. Сохранение новой сессии осуществляется путем выбора пункта меню Файл/Сохранить сессию. По97 сле выбора файла все данные сессии будут сохранены в указанный файл в XML-формате. Загрузка сессии из файла. Загрузка новой сессии осуществляется путем выбора пункта меню Файл/Загрузить сессию. После выбора файла сессия будет загружена из указанного файла. Текущая сессия при этом будет удалена. Проведение сеанса работы с сессией. В общем виде последовательность операций при использовании «Ревизора Сети» включает следующие основные этапы: • проверку доступности узлов сети; • формирование плана проверок узлов сети; • проведение проверок согласно сформированному плану; • просмотр результатов работы проверок и формирование отчетов. Описание режимов работы. Во время сеанса работы пользователь может находиться в одном из основных режимов работы: • формирование плана проверки доступности узлов проверяемой сети; • проверка доступности узлов сети; • формирования плана проверок для проведения сканирования сети; • выполнение сформированных планов проверок; • просмотр результатов; • формирование отчетов. Каждому режиму работы соответствует одно или несколько экранных «окон» в графическом интерфейсе сетевого сканера: • окно формирования плана проверки доступности узлов сети; • окно формирования плана проверок для проведения сканирования сети; • окно отображения динамики выполняемых проверок; • окно протокола работы и просмотра «дерева» результатов; • окно просмотра обобщенных результатов работы; • окно формирования отчетов. Переход в то или иное окно осуществляется через соответствующие кнопки панели инструментов в левой части экрана или посредством выбора требуемого пункта меню. Наименование текущего окна отображается в строке статуса в нижней части экрана (рис. 4.12). 98 99 Рис. 4.12. Общий вид экранных «окон» в графическом интерфейсе сетевого сканера Формирование плана проверки доступности узлов сети Логика работы «Ревизора Сети» построена таким образом, что пользователю предоставлена возможность выполнения проверок только для доступных в настоящий момент узлов сети. Таким образом, выполнению проверок предшествует определение доступных для сканирования узлов сети (IP-адресов). После начала работы с «Ревизором Сети» пользователь автоматически попадает в окно формирования плана проверок для определения доступности узлов сети. В этом окне пользователь должен определить, доступность каких узлов нужно определить, а также какие методы должны при этом использоваться. Предоставляемые пользователю методы определения доступности узлов сети являются единственными проверками, которые можно выполнять для любого узла в рамках заданного диапазона IP-адресов без учета ограничений приобретенной лицензии на ПО. Все другие проверки выполняются только для определенной совокупности доступных узлов. Формирование плана сканирования сети Основной задачей сетевого сканера является выявление потенциальных уязвимых мест в настройках программного обеспечения узлов проверяемой сети, отвечающего за обеспечение сетевого взаимодействия. Для решения данной задачи в «Ревизоре Сети» предусмотрены проверки по различным категориям. План выполнения проверок формируется в соответствующем окне формирования плана проверок для сканирования сети (рис. 4.13). Пользователь отмечает узлы, на которые хочет пустить проверки, и выбирает требуемые проверки и формирует план проверок. Необходимо помнить, что IP-адреса узлов, попавших однажды в план проверок после нажатия кнопки «Сформировать план проверок», сразу автоматически фиксируются как IP-адреса диапазона лицензии, выданной на программный продукт. 100 Формирование плана проверок в «Ревизоре Сети» осуществляется путем проставления отметки против соответствующей проверки, коррекции (при необходимости) отдельных входных параметров проверок и нажатия кнопки «Добавить проверки в план». Для удобства формирования плана проверок предусмотрен режим автоматического выделения зависимых проверок. Если это режим включен, то при выделении проверки автоматически выделяются все другие проверки, результаты которых необходимы для ее выполнения. Режим автоматического выделения зависимых проверок можно включать и выключать с помощью соответствующей кнопки ( ). Рис. 4.13. Формирование плана проверок Выполнение сформированного плана проверок осуществляется по кнопке «Выполнить план проверок». 101 Если пользователь пытается сформировать план, включающий в себя количество IP-адресов большее, чем установлено в лицензии, то в план проверок попадут только те адреса, которые уже сканировались ранее, или же новые, но по количеству не превышающие соответствующий параметр лицензии. Таким образом, необходимо внимание при проставлении отметок для узлов, которые необходимо включить в план, чтобы в него не попали те доступные узлы, сканирование которых не предполагается. После нажатия на кнопку «Начать сканирование» начинается процесс сканирования сети. Выполнение проверок, протокол хода выполнения После начала процесса сканирования сети автоматически осуществляется переход в окно отображения динамики выполняемых проверок (рис. 4.14). Рис. 4.14. Динамики выполняемых проверок 102 В данном окне можно просмотреть информацию о наименованиях выполняющихся проверок, количестве запущенных проверок на каждый из IP-адресов, количестве выполненных проверок. Гистограммы, отображаемые для каждого узла, позволяют оценить информацию по количеству и типам проверок, давших положительный результат и не давших никакого результата. При нажатии на кнопку «Протокол» панели инструментов в левой части экрана, появляется окно протокола выполнения плана проверок (рис. 4.15). Рис. 4.15. Окно протокола выполнения плана проверок В этом окне можно просмотреть информацию о выполненных проверках, проверках, находящихся в ожидании выполнения и проверках, обнаруживших уязвимости (давших положительный результат работы). 103 Просмотр результатов работы Результаты работы сетевого сканера можно просмотреть в соответствующем окне, открывающемся при нажатии кнопки «Результаты» панели инструментов, или через основное меню программы (рис. 4.16). Рис. 4.16. Результаты «Ревизор Сети» предоставляет следующие режимы просмотра результатов (рис. 4.17–4.19): − общая информация об узлах сети (DNS и NetBios имена узла, предполагаемый тип операционной системы, имя домена); − информация о найденных уязвимостях; − информация об открытых TCP и UDP портах; − информация о пользователях и группах, зарегистрированных на узле сети; − информация о доступных сетевых ресурсах; − подробная информация по узлу. 104 Рис. 4.17. Информация обо всей сети или группе узлов Рис. 4.18. Информация о конкретном узле 105 Рис. 4.19. Подробная информация Для просмотра информации обо всей сети или группе узлов необходимо выделить соответствующую группу в дереве узлов в левой части экрана. Для просмотра информации о конкретном узле необходимо выделить этот узел. При выборе режима просмотра подробной информации по узлу, результаты отображаются в виде дерева объектов, при этом свойства выбранного объекта отображаются в нижней части экрана. Результаты работы привязываются к соответствующему IPадресу узла. Подробная информация может быть особенно полезна для администраторов систем и технических специалистов. Формирование отчетов Данные, полученные в результате выполнения проверок, сохраняются в базе данных «Ревизора Сети» и могут быть представлены в виде отчетов в формате HTML или Microsoft Word. 106 Для формирования отчетов необходимо с помощью панели инструментов или через главное меню программы перейти в соответствующее окно (рис. 4.20). Рис. 14.20. Формирование отчета Окно формирования отчетов разделено на две части. В левой части осуществляется выбор узлов (IP-адресов), для которых формируется отчет. В правой части окна осуществляется выбор типа отчета (общий, детальный и т.д.). При этом существует возможность отметить определенные виды и типы результатов, которые должны быть помещены в отчет. Формирование отчета начинается при нажатии на кнопку «Создать отчет» на панели инструментов. В диалоге выбора файла для сохранения отчета также нужно указать формат отчета (Word или Html). При большом количестве результатов сканирования и выбранных для отчета узлов сети возможна некоторая задержка во времени при формировании обобщенных видов отчетов, что обусловлено 107 процессами обработки информации, содержащейся в базе данных «Ревизора Сети». Подключение одновременно нескольких пользователей Для того чтобы была возможность подключения к виртуальной машине сразу нескольких пользователей (студентов), необходимо установить Remote Administrator 2.2 на виртуальную машину и машины студентов. Подключение к виртуальной машине необязательно, но оно дает более наглядное представление о сканировании, так как в момент тестирования сервер выдает всевозможные замечания о переполнении буфера и др. Установка происходит обычным способом. Важно отметить, что при вводе пароля для Remote Administrator Server не следует ставить галочку в NT security (рис. 4.21). Далее необходимо произвести перезагрузку комРис. 4.21. Ввод пароля для Remote Administrator Server пьютера (рис. 4.22). Рис. 4.22. Перезагрузка После установки необходимо создать новые соединения со всеми клиентскими компьютерами на виртуальном компьютере, а 108 также на клиентских компьютерах с виртуальным Windows Server 2003 Enterprise Edition. Для создания соединения необходимо в меню «Соединения» выбрать «Подключиться к…» ввести IP-адрес машины, к которой создается подключение, и нажать «Подключиться» (рис. 4.23 и 4.24). Рис. 4.23. Подключение Рис. 4.24. Ввод IP-адреса 109 ПОРЯДОК ПРОВЕДЕНЯ РАБОТЫ Раздел 1. «Ревизор Сети» Часть 1. 1. Если включен Remote Administrator, то отключите его. 2. Запустите «Ревизор Сети» на своем компьютере. 3. Настройте параметры сессии. 4. Сформируйте план сканирования сети. 5. Выполните план проверки. 6. По окончании сканирования сформируйте отчет и проанализируйте его. Часть 2. 1. Зайдите на виртуальную машину с помощью программы Remote Administrator v2.2. 2. Запустите «Ревизор Сети» на своем компьютере. 3. Настройте параметры сессии. 4. Сформируйте план сканирования сети. 5. Выполните план проверки. 6. По окончании сканирования сформируйте отчет и проанализируйте его. 7. Сравните отчеты из первой и второй части. Раздел 2. Выводы по сканированию 1. Сделайте анализ возможных уязвимостей. 2. Объясните результаты сканирования. Примечание. В результате выполнения данной лабораторной работы может быть установлено, что программное обеспечение без обновлений содержит немалое количество уязвимостей, которые критическим образом могут сказаться на работе системы. Необходимо отметить, что нельзя с уверенностью сказать, что это все уязвимости в данном продукте. Это только часть уязвимостей, которые уже выявлены. Поскольку уязвимости имеют свойства появляться спонтанно, нет гарантии, что в данном программном обеспечении со временем не найдется еще одна лазейка для хакера. Таким образом, очень важно уделять безопасности должное внимание и делать соответствующие проверки регулярно, так как проблема обеспечения безопасности не сводится к разовому аудиту системы. 110 Тестовые задания к лабораторной работе 4 Входной контроль 1. Какой нормативный документ является основополагающим и определяющим в области информационной безопасности в РФ? a) Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники; b) средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации. Утверждены Решением председателя Гостехкомиссии России от 25 июля 1997 года; c) концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации; d) все перечисленные. 2. Какие виды вторжений вам известны? a) маскирование; b) «лазейка»; c) отклонение услуги; d) все перечисленные. 3. Какими требованиями обеспечивается защищенность от несанкционированного доступа (НСД)? a) требования к разграничению доступа; b) требования к учету; c) требования к гарантиям; d) всеми перечисленными. 4. Что такое сканер безопасности? a) аппаратное средство, аналогичное сканеру документов; b) аппаратное средство, сигнализирующее о физических нарушениях в системе; c) операционная среда; d) программное средство для диагностики сети на предмет уязвимостей. 111 5. Что из перечисленного является сканерами безопасности: a) HP, RStyle; b) LanGuard, ShadowSecurityScanner, XSpider; c) AS/400; d) верный ответ a); e) верный ответ b); f) верный ответ c). 6. Что означает ситуация, когда сканирование какого-либо узла не приводит к какому-либо результату? a) уязвимости/дыры отсутствуют, узел/система полностью безопасны; b) узел не пропускает запросы или блокируются запросы промежуточными средствами защиты; c) нет верного ответа. 7. Сколько классов защищенности от НСД существует? a) 5; b) 7; c) 9; d) нет верного ответа. 8. На основании каких документов оценивается класс защищенности СВТ? a) Положение о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации; b) Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники; c) все перечисленное. 9. Какая процедура является способом проверки качества функционирования и уровня защищенности автоматизированных систем (АС)? a) процедура ОТК; b) процедура аккредитации; с) процедура аттестации; d) процедура качества. 10. Что из перечисленного не входит в процедуру аттестации АС: планирование, сбор информации, базовый анализ, де112 тальный анализ, подготовка отчетных документов и аккредитация? a) планирование; b) детальный анализ; с) аккредитация; d) нет лишнего этапа. 11. Официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов и норм эффективности защиты информации: а) аттестация объекта в защищенном исполнении; b) аттестация объекта; с) аттестация производства. 12. Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения): a) целостность сообщения; b) целостность данных; с) целостность информации. Выходной контроль 1. Что, по вашему мнению, входит в структуру итогового отчета для выдачи заключения: a) введение и краткое содержание; b) описание объекта оценки; c) результаты аттестационных испытаний; d) мероприятия по устранению недостатков системы защиты; e) все перечисленное. 2. Для чего необходимо создание виртуального компьютера при выполнении лабораторной работы? a) для экономии памяти на рабочем компьютере; b) для экономии памяти на рабочем сервере; c) для того, чтобы не мешать работе сети. 3. В какой последовательности рекомендуется устанавливать ПО: a) не имеет значения; 113 b) сканер Nmap; сервер баз данных Firebird; «Ревизор Сети»; провести конфигурацию драйвера электронного ключа защиты Guardant; c) провести конфигурацию драйвера электронного ключа защиты, установить сервер баз данных, «Ревизор Сети», сканер Nmap. 4. Имеет ли значение количество IP-адресов при использовании программного продукта? a) не имеет; b) имеет, если количество IP-адресов больше 3-х; c) количество IP-адресов устанавливается лицензией. 5. В каком окне можно посмотреть информацию о выполненных проверках? a) в окне Протокола; b) в окне результатов; c) в окне Информации; d) нет верного ответа. 6. По каким пяти категориям классифицирует найденные уязвимости сканер X-Spider? a) замечание, возможное предупреждение, предупреждение, потенциальная опасность, опасность; b) информация, предупреждение, потенциальная опасность, опасность, угроза; c) сигнал, 1-й уровень опасности, 2-й уровень опасности, 3-й уровень опасности, угроза. 7. Следует ли при вводе пароля для Remote Administrator Server ставить галочку в NT security (рис. 4.25)? a) да, следует; b) нет, не следует; c) не имеет значения. 8. Поясните, что является протоколом Secure Sockets Layer (SSL)? a) это протокол, который защищает данные, пересылаемые между Web-браузерами и Web-серверами; b) это протокол, который гаранРис. 4.25 тирует, что данные, получаемые с 114 узла Web, приходят именно с предполагаемого узла и во время передачи они не были искажены; c) нет верного ответа; d) все перечисленные определения. 9. Как переводится термин DoS-атака? a) атака, которая возможна только в DOS-системе; b) Denial of Service (отказ в обслуживании); c) непереводимая аббревиатура. 10. Что такое LDAP? a) протокол доступа к директориям (каталогам) в архитектуре клиент-сервер; b) протокол защиты данных; c) вредоносный код; d) нет верного ответа. 11. Какой процесс указан на скриншоте (рис. 4.26)? Рис. 4.26 a) установка виртуальной машины; c) отчет; 115 b) сканирование; d) нет верного ответа. Работа 5 КОНТРОЛЬ УЯЗВИМОСТЕЙ НА УРОВНЕ ОПЕРАЦИОННЫХ СИСТЕМ И ПРИКЛАДНОГО ПО Цель: получение практических навыков анализа работы сканера безопасности «Ревизор Сети» на уровне закрытия уязвимостей. ВВЕДЕНИЕ Интенсивное внедрение сетевых компьютерных технологий во многие сферы жизни общества обусловило появление сложной и острой проблемы защиты информации в компьютерных сетях. Только в глобальной сети Internet ежегодно регистрируется несколько тысяч серьезных нарушений безопасности информации. В России развернуты и функционируют десятки крупных компьютерных сетей, защита информации в которых также представляет собой серьезную проблему. Средства защиты информации разделяются на два класса: 1) средства защиты информации в компьютерах (серверах и рабочих станциях); 2) средства защиты информации, циркулирующей в компьютерной сети. Одними из самых распространенных программных и программно-аппаратных средств анализа уязвимостей компьютерной сети являются сканеры безопасности. Сканеры безопасности подразделяются по типам обнаруживаемых уязвимостей на подгруппы: 1) средства анализа (верификации) алгоритмов программноаппаратного обеспечения; 2) средства поиска уязвимостей программно-аппаратных средств реализации компьютерной сети на основе анализа исходных текстов и на основе исполняемого кода (в том числе путем анализа размера и даты файла, проверки времени выполнения кода, правильности использования памяти, переполнения стека, правильности вызова функций, а также на основе использования системы генерации тестов, дизассемблирования и использования сканеров первой группы, имитации атак); 116 3) средства поиска уязвимостей программно-аппаратных средств обеспечения функционирования сети (сетевых сервисов и протоколов), операционной системы и сетевого прикладного программного обеспечения (по параметрам учетных записей, длине и сроку действия паролей, по правам пользователей на доступ к критичным ресурсам, например, системным файлам, к системному реестру и др.). ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ Раздел 1. «Ревизор Сети» 1. Запустите «Ревизор Сети» на своем компьютере. 2. Настройте параметры сессии. Особое внимание обратите при вводе IP-адреса вашего компьютера. 3. Сформируйте план сканирования сети. 4. Выполните план проверки. 5. По окончании сканирования сформируйте отчет и проанализируйте его. Раздел 2. Выводы по сканированию Обоснуйте результаты сканирования. Ожидаемые результаты В результате проведенной лабораторной работы может быть получен отчет по поискам уязвимостей сканером безопасности «Ревизор Сети» (табл. 5.1). Исходя из полученных результатов, рекомендуется использовать несколько сканеров безопасности в сети. Таблица 5.1 Найдено уязвимостей Серьезные Уязвимость Информация «Ревизор Сети» 1 6 117 Тестовые задания к работе 5 Входной контроль 1. Какие виды угроз вам известны? a) случайные, преднамеренные, активные, пассивные; b) военные, стандартные, локальные, глобальные; c) нет верного ответа. 2. Что представляет собой Доктрина информационной безопасности? a) свод законов; b) свод мнений об обеспечении информационной безопасности в РФ; c) совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности в РФ. 3. Кто может быть собственником информации? a) государство; b) юридическое лицо; c) физическое лицо; d) группа физических лиц; e) все перечисленные; f) никто из перечисленных. 4. Как на ваш взгляд эффективнее решать проблему? a) по мере поступления; b) с опережением; c) ждать решения других. 5. С чего, по-вашему, должна начинаться безопасность сети? a) с инвентаризации; b) с обучения специалистов; c) с закупки сканеров безопасности. 6. Как быть в ситуации, когда узел настроен так, что он не пропускает запросы от сканера или они блокируются промежуточными средствами защиты? a) поменять сканер; b) установить сканер на узел и контроль сетевого трафика, исходящего из данного узла; 118 c) убрать средства защиты. 7. Данные, получаемые в результате использования шифрования – это: а) шифровка; b) шифротекст; с) шифрация. 8. О какой совокупности идет речь: -технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа; -технические, программные и микропрограммные элементы комплекса средств защиты фискальных данных, реализующие функцию управления доступом к фискальной памяти a) ядро защиты; b) защита информации; с) целостность информации. 9. Определите, является ли приведенная структура ГОСТ Р 15971 (Системы обработки информации. Термины и определения) полной: Блок данных Данные Система обработки информации a) да; b) нет; с) ГОСТ является пополняемым. 10. Определите, в состав какого Кодекса входят статьи: Банковская тайна, Коммерческая тайна Служебная тайна a) уголовный кодекс; b) гражданский кодекс; с) таможенный кодекс. 11. Является ли сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, нормой… a) Конституции РФ; b) ГК РФ; с) УК. 119 12. Что из нижеперечисленного является сканером безопасности? a) XSpider; b) Аккорд; с) ШЕПОТ; d) LanGuard; e) ShodowSecurityScanner; f) «Ревизор сети». Выходной контроль 1. Каковы типы обнаруживаемых уязвимостей? a) серьезные, уязвимость, информация; b) легкие, простые, тяжелые; c) все перечисленные. 2. Какие типы уязвимостей, по вашему мнению, наиболее предпочтительней отыскать? a) уязвимость; b) информация; c) серьезные. 3. С чем связано появление сообщения (рис. 5.1)? a) с логикой работы сервера баз данных Firebird; b) с логикой работы сканера; c) ни с чем из перечисленРис. 5.1 ного. 4. Определите, верно ли изложена последовательность этапов при использовании «Ревизора Сети»: • проверка доступности узлов сети; • формирование плана проверок узлов сети; • проведение проверок согласно сформированному плану; • просмотр результатов работы проверок и формирование отчетов. a) частично; b) нет; c) да. 120 5. Определите, верны ли основные режимы работы пользователя: • формирование плана проверки доступности узлов проверяемой сети; • проверка доступности узлов сети; • формирования плана проверок для проведения сканирования сети; • выполнение сформированных планов проверок; • просмотр результатов; • формирование отчетов. a) да; b) нет; c) изложено некорректно. 6. Предоставляет ли «Ревизор Сети» следующие режимы просмотра результатов: - общая информация об узлах сети (DNS и NetBios имена узлов, предполагаемый тип операционной системы, имя домена); - информация о найденных уязвимостях; - информация об открытых TCP и UDP портах; - информация о пользователях и группах, зарегистрированных на узле сети; - информация о доступных сетевых ресурсах; - подробная информация по узлу. a) нет, никогда; b) согласно роли пользователя; с) да. 121 Работа 6 КОНТРОЛЬ УЯЗВИМОСТЕЙ НА УРОВНЕ СИСТЕМЫ УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ Цель: получение представления о работе со сканерами баз данных для предотвращения несанкционированных действий с базами данных, о поиске уязвимостей в составе и настройках прикладного программного обеспечения (СУБД Oracle) с помощью специально разработанных средств – сканеров безопасности баз данных. ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ 1. Установить на учебном стенде сканер безопасности баз данных AppDetectivePro (trial версию, предварительно зарегистрировавшись, с сайта http://info.appsecinc.com/WebsiteAppDEval_Landing Page.html?ldt=Eval&ls=Web%20Referral&lst=Website&ld=AppD %20Eval). 2. Настроить AppDetectivePro для выявления уязвимостей базы данных на учебном стенде. 3. Выполнить PenTest (тест по выявлению уязвимостей в обнаруженных базах данных) средствами тестера AppDetectivePro. 4. Выполнить аудит базы данных по вопросам парольной политики, доступа к таблицам, допустимости ролей пользователей и др. 5. Выявить права пользователей (user rights) в базе данных. 6. Сформировать отчеты по результатам выявления уязвимостей базы данных посредством AppDetectivePro. 1. Установка AppDetectivePro AppDetectivePro сложный и ёмкий продукт. Он включает базу знаний большого объема (690 Мбайт), в которой содержатся сведения о возможных уязвимостях баз данных под управлением наиболее известных СУБД. База знаний постоянно поддерживается в актуальном состоянии фирмой Application Security ‒ разработчиком AppDetectivePro. Перечень компонентов, требуемых для установки AppDetectivePro, появляется при запуске программы установки appdetective_setup.exe и включает восемь элементов: 122 • Microsoft XML Core Services 4.0 SP2; • Microsoft .NET Framework 2.0 SP1 (x86); • Microsoft Visual Studio 2005 C++ Redistributable (x86); • SQL Server 2005 Backwards Compatibility (x86); • Datable Component 2.3; • SHATTER knowledgebase 2.4; • WinPcap (only required foe Windows Vista/non-admin users); • AppDtectivePro 6.4. Среди этих компонентов есть WinPcap, в отношении которого указывается, что его надо устанавливать только для Windows Vista/non-admin users. Так как на компьютерах учебного стенда установлена Windows XP, checkbox рядом со строкой WinPcap надо убрать, так как включенный в appdetective_setup.exe WinPcap имеет версию 4.2, рассчитанный на Widows Vista. Для работы в Windows XP требуется WinPcap 3.1 (в открытом доступе с сайта http://www.winpcap.org/archive/). Его и надо установить еще до установки AppDetectivePro. WinPcap – сокращение от Windows Packet Capture (сбор пакетов Windows). Для установки AppDetectivePro, помимо WinPcap 3.1, требуется наличие на компьютере Windows installer 3.1. В случае отсутствия, его необходимо предварительно установить. Такую установку приходится делать для Microsoft Windows XP [Версия 5.1.2600]. При наличии установленных WinPcap 3.1, Windows installer 3.1 установка AppDetectivePro проходит гладко без особых осложнений. Надо только внимательно смотреть за сообщениями мастера установки и реагировать соответствующим образом. Реакция заключается, в частности, в согласии с лицензионным соглашением, в согласии устанавливать очередной компонент, а также (в одном из сообщений) – в выборе варианта хранения базы знаний: в ACCESS или в MS SQL. Вариант ACCESS предпочтительней при работе с trial версией AppDetectivePro во-первых по той причине, что в этой версии AppDetectivePro позволяет работать только с одним сервером базы данных Oracle и с одной инстанцией, а вовторых, в связи с этим ограничением, высокая относительно ACCESS производительность MS SQL сервера не потребуется. 123 2. Настройка AppDetectivePro для выявления уязвимостей базы данных на учебном стенде Работа со сканером AppDetectivePro начинается с создания сессии. В ходе создания сессии сканер выполняет предварительные действия по настройке своей работы ‒ логическое группирование приложений и сканера перед выполнением собственно тестирования. В частности, в базе знаний тестера выделяется группа правил для тестирования СУБД выбираемого типа, в исполняемых программах тестера осуществляется логическая привязка именно к этим разделам базы знаний. Завершается создание сессии процессом Discovery – выявлением всех серверов по указанным при формировании сессии IP-адресам и номерам портов. При запуске сканера (пуск => Все программы => AppSecInc => AppDetectivePro => AppDetectivePro) появляется экран (рис. 6.1). Рис. 6.1. Приглашение к созданию сессии 124 При нажатии кнопки «Next» выполняется переход к экрану с определением возможности прямого указания списка IP-адресов или выбора их из файла. Выбираем верхнюю радиокнопку (рис. 6.2). Здесь же заполнена checkbox, заставляющая сканировать порты даже в том случае, если IP-адрес не «отзывается». Рис. 6.2. Выбор источника IP-адресов и портов Далее следует указать конкретный (конкретные) IP-адрес(а), по которым будет проходить сканирование (рис. 6.3). Здесь же предлагается установить адреса, по которым сканеру не следует обращаться при обнаружении серверов баз данных. Далее выбираем тип СУБД (рис. 6.4), сканирование баз данных под управлением которых мы собираемся осуществить. Так как мы работаем с СУБД Oracle, мы отмечаем соответствующую checkbox. Далее сканер предлагает определить порты, с которыми он будет работать (рис. 6.5). Здесь мы укажем порты «по умолчанию». Для Oracle 10g (11g) это, в частности, порт «по умолчанию» 1521, на котором «слушает» listener. 125 Рис. 6.3. Окно для указания диапазона IP-адресов для сканирования Рис. 6.4. Выбор типа СУБД для сканирования 126 Рис. 6.5. Окно выбора сканируемых портов для ранее указанных IP-адресов Наконец, нам предлагается ввести название сессии (рис. 6.6), перечень задач для исполнения сканером (рис. 6.7), после чего сканер начинает свою работу поиска (discovery – открытия) баз под управлением указанной (указанных) СУБД. Рис. 6.6. Экран для задания названия сессии 127 Рис. 6.7. Экран со сформированной на выполнение задачей После завершения процесса «Discavery» (окно выполняемого процесса показано на рис. 6.8) в левом верхнем углу основного экрана AppDetectivePro рядом с «пикчей» «Network» слева появляется знак «+» (рис. 6.9). Это означает, что процесс «Discavery» обнаружил в сети сервер(ы) баз данных. Рис. 6.8. Экран, демонстрирующий выполнение процесса «Discavery» 128 Рис. 6.9. Завершение процесса «Discovery» При нажатии на «плюс» появляются обнаруженные серверы с указанием IP-адреса, порты для listener (при сканировании Oracle), базы данных (см. рис. 6.9). Вариант создания сессии, который мы выше рассмотрели, связан с созданием новой сессии. AppDetectivePro сохраняет созданные сессии, позволяет открывать предыдущие сессии, объединять предыдущие сессии. На рис. 6.9 видно, что AppDetectivePro обнаружил сервер Oracle 10g. AppDetectivePro при выполнении настоящей лабораторной работы с сервером Oracle 11g обнаружил бы этот сервер. В соответствии с этим на рисунке был бы показан listener и база данных Oracle 11g. Выполнение PenTest (тест по выявлению уязвимостей в обнаруженных базах данных) средствами тестера AppDetectivePro Запуск PenTest показан на рис. 6.10. При запуске PenTest требуется отметить те базы, для которых предполагается выполнить этот тест (рис. 6.11). Перед запуском теста тестировщик предупреждается (рис. 6.12) о том, что в связи с попыткой связи с сервером Oracle по отдельным предустановленным аккаунтам (при установке сервера Oracle появляется ряд пользователей, пароли которых известны, тестер проверяет эти пароли и сигнализирует об уязвимости, если эти па129 роли не изменялись). При ответе «Yes» тест начинает свою работу (рис. 6.13). Рис. 6.10. Запуск PenTest в тестере AppDetectivePro Рис. 6.11. Экран с выбором баз данных для тестирования 130 Рис. 6.12. Предупреждение о возможном блокировании некоторых пользователей Oracle в связи с проверкой их паролей Рис. 6.13. Фрагмент процесса тестирования (проверяется существование пользователя BUYER и его пароль по умолчанию) По завершении PenTest выводится список обнаруженных уязвимостей (рис. 6.14 и 6.15). При выводе курсора на строку с выявленной уязвимостью справа выше списка разворачивается текст с объяснением этой уязвимости. 131 Рис. 6.14. Выявленная уязвимость: пароль, установленный по умолчанию, не изменялся Рис. 6.15. Выявлена уязвимость: не установлен требуемый patch 132 По завершении работы PenTest в графическом виде можно увидеть общий результат его работы (рис. 6.16). Рис. 6.16. Графическое представление результата работы PenTest Левый график сообщает, что уровень риска по обнаруженным уязвимостям самый высокий (из четырех уровней), правый указывает категории уязвимостей (в данном примере их две из возможных девяти категорий). 4. Выполнение аудита базы данных по вопросам парольной политики, доступа к таблицам, допустимости ролей пользователей и др. На рис. 6.17 и 6.18 показаны запуск аудита в тестере и выбор базы данных для тестирования. Далее, чтобы запустить аудит, AppDetectivePro предлагает ввести имя пользователя и пароль (рис. 6.19). 133 Рис. 6.17. Запуск аудита в тестере Рис. 6.18. Выбор базы данных для тестирования Для того чтобы такой ввод состоялся, надо кликнуть мышкой на строку «(Username=)(Password=)….». После чего надо ввести имя пользователя и его пароль (рис. 6.20). 134 Рис. 6.19. Начало процесса аудита предполагает инициировать ввод имени и пароля (кликнуть мышкой на строку «(Username=)…» В окне, предлагаемом для ввода имени и пароля, есть кнопка проверки возможности соединения с базой данных с этими именем и паролем «Test DB connect». При нажатии этой кнопки появляется сообщение (рис. 6.21). После подтверждения возможности соединения с базой данных надо нажатием «OK» вернуться к окну процесса аудита (рис. 6.22) для того, чтобы стартовать этот процесс. После нажатия «Run Audit» инициализируется процесс аудита (рис. 6.23), выполняется аудит сложности пароля (рис. 6.24), аудит привилегий по работе со словарем базы данных (рис. 6.25), аудит объектных привилегий, назначаемых схеме «Public» (рис. 6.26). По завершении процесса аудита формируется список обнаруженных уязвимостей, а также – информационных сообщений. Список формируется в продолжение того списка, который был создан после выполнения PenTest. Список уязвимостей настолько полон, что по нему можно учить администраторов настройке безопасности базы данных под управлением СУБД Oracle. 135 Рис. 6.20. Предлагаемое для ввода имени и пароля окно 136 Рис. 6.21. Проверка соединения с базой данных для введенных аккаунтов 137 Рис. 6.22. Окно запуска процесса аудита Рис. 6.23. Начало процесса аудита Рис. 6.24. Фрагмент процесса аудита сложности пароля 138 Рис. 6.25. Фрагмент процесса аудита привилегий для работы со словарем базы данных Рис. 6.26. Фрагмент процесса аудита объектных привилегий схеме «Public» Первыми в списке появляются сообщения об уязвимостях с высоким уровнем нарушения безопасности. На рис. 6.27 выделена строка, показывающая, что пользователю ANYA предоставлена привилегия «Create library». Эта привилегия дает возможность пользователю дополнять ОС исполняемыми (binary) файлами. 139 Рис. 6.27. Фрагмент сообщений аудита об уязвимости «create library privilege» Рис. 6.28. Фрагмент сообщений аудита базы данных (первая строка – сообщение с высоким уровнем уязвимости) 140 На рис. 6.28 следует отметить два сообщения. Первое ‒ с высоким уровнем уязвимости (remote login password file not disabled), сообщает нам о том, что среди пользователей базы данных может быть несколько пользователей с привилегией «sysdba», так как параметр «remote_login_passwordfile» файла инициализационных параметров установлен в значение «exclusive». Второе – со средним уровнем уязвимости, сообщает нам о том, что пользователю ANYA предоставлена привилегия «ALTER SYSTEM». Здесь же в тексте выше дается пояснение, в чем состоит уязвимость (возможность менять системную дату), связанная с использованием этой привилегии. На рис. 6.29 показана группа выявленных уязвимостей среднего уровня «Database demonstration objects», связанных с тем, что учетные записи демонстрационных схем имеют пароли по умолчанию, которые не были изменены после установки СУБД Oracle. Рис. 6.29. Фрагмент сообщений аудита с выявленными уязвимостями по учетным записям демонстрационных схем На рис. 6.30 показана группа выявленных уязвимостей среднего уровня «Expired Password». С такой уязвимостью пользователи не допускаются к работе с базой данных без того, чтобы пользователь поменял свой пароль. 141 Рис. 6.30. Фрагмент сообщений аудита с выявленными уязвимостями пользователей, пароль которых должен быть изменен На рис. 6.31 показан фрагмент сообщений аудита с группой выявленных уязвимостей среднего уровня «Overdue password change». Эта уязвимость сообщает нам о том, что пароль пользователя слишком долгое время не изменялся, что предоставляло потенциальному взломщику возможность определить его подбором. На рис. 6.32 показан фрагмент сообщений аудита, в котором отметим две позиции. Первая (SYS operations not audited) сообщает о том, что действия пользователя SYS с объектами базы данных (select, insert и т.д.) не регистрируются. Следующие сообщения говорят о назначении пользователям системных привилегий «напрямую», а не через роль, что значительно усложняет работу администратора. На рис. 6.33 показан фрагмент сообщений аудита о выявлении группы пользователей с профилем DEFAULT. Некоторые параметры в профиле DEFAULT не ограничены, что создает дополнительные возможности для потенциального взломщика. 142 Рис. 6.31. Фрагмент сообщений аудита с найденными пользователями, пароль которых недопустимо долгое время не менялся Рис. 6.32. Фрагмент сообщений аудита об отсутствии контроля действий пользователя SYS и о выдаче «напрямую» системных привилегий ряду пользователей 143 Рис. 6.33. Фрагмент сообщений аудита с выявленной группой пользователей с профилем DEFAULT На рис. 6.34 представлен фрагмент сообщений аудита с выявленной уязвимостью (низкого уровня) предоставления предопределенной роли RESOURCE группе пользователей. Эта роль позволяет пользователю создавать таблицы, программные коды. На рис. 6.35 показан фрагмент сообщений аудита с возможной уязвимостью низкого уровня, заключающейся в том, что владелец объекта выдает объектную привилегию на свой объект с правом передачи этой привилегии другим пользователям. Это право передачи объектной привилегии другим пользователям ставится под сомнение. Внимание разработчика приложения фиксируется на этом моменте, чтобы разработчик еще раз проверил правильность столь важной добавки WITH GRANT OPTION в команду выдачи объектной привилегии. На рис. 6.36 показан фрагмент сообщений аудита о предоставлении объектных привилегий пользователям «напрямую», а не через роль, что значительно усложняет работу администратора при разграничении полномочий пользователей. 144 145 Рис. 6.34. Фрагмент сообщений аудита с выявленными пользователями, получившими предопределенную роль RESOURCE 146 Рис. 6.35. Фрагмент сообщений аудита с выявленными пользователями, получившими объектную привилегию с правом передач и ее другим пользователям 147 Рис. 6.36. Фрагмент сообщений аудита с выявленной группой пользователей, которым назначены «прямые», не через роль объектные привилегии На рис. 6.37 представлены сообщения аудита о выдаче группе пользователей системных привилегий с опцией WITH ADMIN OPTION. Получившие с этой опцией системную привилегию пользователи могут передавать эту привилегию другим пользователям. Рис. 6.37. Фрагмент сообщений аудита с выявленной группой пользователей с системной привилегией, которую они могут передавать другим пользователям На рис. 6.38 показан фрагмент сообщений аудита с выявленными пользователями, которым предоставлена мощная системная привилегия с опцией ANY. С этой привилегией пользователи могут выполнять действия не только в своей, но и в любой схеме. На рис. 6.39 показан фрагмент информационных сообщений аудита о выявленных пользователях с заблокированным аккаунтом. 148 149 Рис. 6.38. Фрагмент сообщений аудита с выявленной группой пользователей, имеющих системную привилегию с опцией ANY 150 Рис. 6.39. Фрагмент сообщений аудита о пользователях с заблокированным аккаунтом 5. Выявление прав пользователей (user rights) в базе данных Администратору безопасности полезно иметь общую сводку прав отдельных или даже всех пользователей базы данных. Права включают прямые системные и объектные привилегии, эти же привилегии, но даваемые пользователям через роли, наконец, роли, назначенные пользователям. Для получения такой информации в AppDetectivePro предусмотрена утилита UserRights (запуск ее показан рис. 6.40). Рис. 6.40. Запуск утилиты UserRights Для запуска утилиты предлагается окно выбора сервера (рис. 6.41). Рис. 6.41. Окно выбора сервера 151 Затем необходимо в появившемся окне процесса проверки прав пользователей (рис. 6.42) нажать мышкой на строку (Username=)(Password=). Рис. 6.42. Окно процесса проверки прав пользователей со строкой (Username=)(Password=) После нажатия на строку «(Username=)(Password=)» появляется окно для ввода имени пользователя, пароля и типа пользователя (рис. 6.43). Рис. 6.43. Окно для аутентификации пользователя Для проверки соединения справа вверху (см. рис. 6.43) надо нажать кнопку «Test DB Connect». После чего надо получить подтверждение успешной аутентификации (рис. 6.44). 152 Рис. 6.44. Экран подтверждения аутентификации После проверки аккаунтов анализируемого пользователя надо нажать две разные кнопки «OK» и выйти к готовому к запуску окну процесса проверки прав пользователя (рис. 6.45). Рис. 6.45. Окно процесса проверки прав пользователя (SYS), готового к запуску На рис. 6.46 показано промежуточное состояние процесса проверки прав пользователя SYS. В ходе работы в этом окне показывается число учтенных объектов пользователя и общее число этих объектов (таблиц, представлений, процедур и т.д.). 153 Рис. 6.46. Промежуточное состояние процесса проверки прав пользователя (SYS) В ходе работы утилиты User Rights процесс проверки сопровождается появлением окон проверки объектов выбранного пользователя (см. рис. 6.46), всех столбцов (таблиц и представлений) этого пользователя (рис. 6.47), объектных привилегий пользователя (рис. 6.48), ролей (и входящих в них привилегий), принадлежащих данному пользователю (рис. 6.49). Рис. 6.47. Проверка прав пользователя SYS по работе со столбцами таблиц и представлений 154 Рис. 6.48. Проверка объектных привилегий пользователя SYS Рис. 6.49. Проверка ролей пользователя SYS Результат работы утилиты UserRights можно просмотреть в отчетах AppDetectivePro. 6. Формирование отчетов по результатам выявления уязвимостей базы данных посредством AppDetectivePro Работа с утилитой «Report» начинается с нажатия на кнопку «Report» в главном меню AppDetectivePro (рис. 6.50). На рисунке видна возможность выбора в формировании отчета отдельно для Audit и PenTest, отдельно для проверки UserRights. 155 156 Рис. 6.50. Запуск утилиты формирования отчетов в AppDetectivePro Ниже на рис. 6.51–6.55 показаны окна, предъявляемые пользователю при формировании отчета для выполненных Audit и PenTest. Рис. 6.51. Выбор варианта отчета Рис. 6.52. Выбор типа отчета 157 Рис. 6.53. Выбор формы отчета Рис. 6.54. Проверка параметров формируемого отчета перед его выполнением 158 Рис. 6.55. Небольшой фрагмент итогового отчета с выявленными уязвимостями на основании выполнения Audit и PenTest На рис. 6.56 и 6.57 показаны возможные варианты выбора отчета, формируемого по результатам выполнения утилиты UserRights. В отличие от работы утилит Audit и PenTes, результаты которых видны сразу же после выполнения, результаты работы утилиты UserRights можно увидеть только здесь, при формировании отчетов. Рис. 6.56. Выбор варианта отчета по привилегиям пользователей в базе данных 159 Рис. 6.57. Определение пользователя, отчет по которому на основании работы утилиты UserRights выдаст утилита Report Сдача лабораторной работы Сдача лабораторной работы заключается в следующем: 1. Демонстрация преподавателю на учебном стенде настроек сканера безопасности баз данных AppDetectivePro. 2. Демонстрация преподавателю отлавливания сканером безопасности AppDetectivePro специально введенных преподавателем уязвимостей пароля пользователей. Примеры таких уязвимостей: а) имя пользователя совпадает с его паролем; б) пароль пользователя представлен простым словом (‘world’, ‘welcome’, 'database', 'account', 'user', 'password', 'oracle', 'computer', 'abcd'); в) пароль пользователей SYS, SYSTEM не менялся после установки СУБД Oracle. 3. Ответы на вопросы преподавателя по отчету, сформированному сканером безопасности AppDetectivePro при выявлении уязвимостей учебной базы данных. 160 Тестовые задания к работе 6 Входной контроль 1. Укажите верное раскрытие аббревиатуры СУБД. a) средства Управления Безопасной Деятельностью; b) совокупность Устройств Борьбы с незаконной Деятельностью; c) стандарт Управления Безопасностью Данных; d) система Управления Базой Данных; e) правильных ответов нет. 2. Укажите верное определение СУБД. a) совокупность технических средств для контроля работы пользователей на компьютере; b) совокупность программных и лингвистических средств общего или специального назначения, обеспечивающих управление созданием и использованием баз данных; c) специальным образом организованные файлы под управлением операционной системы; d) диалоговая программа для приема информации от пользователей; e) правильных ответов нет. 3. Какие из нижеприводимых строк относятся к основным функциям СУБД? a) управление данными во внешней памяти (на дисках); b) управление данными в оперативной памяти с использованием дискового кэша; c) журнализация изменений, резервное копирование и восстановление базы данных после сбоев; d) поддержка языков БД (язык определения данных, язык манипулирования данными); e) управление транзакциями; f) правильных ответов нет. 4. Укажите угрозы программной среде СУБД. a) неавторизованный доступ к СУБД; b) неавторизованная модификация данных и программ под управлением СУБД; 161 c) несоответствующий доступ к ресурсам СУБД (ошибочное назначение прав доступа к ресурсу); d) раскрытие данных; e) угрозы специфичные для СУБД; f) правильных ответов нет. 5. Какие основные механизмы в работе сканера безопасности баз данных (как законченного продукта) вы знаете? a) написание пользователем специальных программных процедур на языке СУБД с включением в них вызовов сканера; b) создание пользователем специальных таблиц базы данных и подключение их к базе данных сканера; c) сканирование; d) зондирование; e) правильных ответов нет. 6. Укажите верное определение сканирования сканером безопасности баз данных. a) механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия ‒ по косвенным признакам; b) сканирование – это выявление текущих сессий всех пользователей БД под управлением СУБД; c) сканирование – это имитация активных действий по «взлому» базы данных; d) сканирование – это выявление всех запросов к базе данных привелигированных пользователей за указанный сканером период; e) правильных ответов нет. 7. Укажите верное определение зондирования сканером безопасности баз данных. a) регистрация сканером безопасности всех процессов и программных компонентов СУБД; b) регистрация сканером безопасности прав пользователей ОС на файлы и процессы СУБД; c) механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость (выполняется путем имитации атаки, использующей проверяемую уязвимость); 162 d) анализ сканером безопасности содержимого словаря базы данных; e) правильных ответов нет. 8. Какие методы используются для получения неавторизованного доступа к базе данных под управлением СУБД? a) общие пароли; b) угадывание пароля; c) перехват пароля; d) шифрование пароля; e) правильных ответов нет. 9. В чем заключается неавторизованная модификация данных и программ? a) шифрование данных; b) отсутствие механизмов защиты и контроля; c) ошибочное назначение прав доступа к данным и программам; d) шифрование программ; e) правильных ответов нет. 10. В чем заключаются угрозы, специфичные для СУБД? a) угадывание пароля; b) отказ в своевременном доступе; c) получение информации путем логических выводов; d) агрегирование данных; e) правильных ответов нет. Выходной контроль 1. Как вы представляете общую технологию работы сканера безопасности баз данных AppDetectivePro? a) сканер ждет обращений к нему от клиентского приложения СУБД Oracle; b) сканер ищет уязвимости непосредственно в файлах, реализующих базу данных Oracle; c) сканер проверяет контрольные суммы программных кодов, реализующих сервер Oracle; d) сканер берет на себя функции сервера проверяемой базы данных; e) правильных ответов нет. 163 2. Каким результатом должен закончиться процесс Disvavery в работе сканера AppDetectivePro? a) выявлением пароля пользователя SYS; b) выявлением сессий всех пользователей БД под управлением СУБД; c) выявлением всех баз данных, работающих в сети с диапазоном указанных IP-адресов; d) выявлением всех прослушивающих процессов в сети с диапазоном указанных IP-адресов; e) правильных ответов нет. 3. Укажите некоторые уязвимости, которые выявляют PenTest в составе AppDetectivePro: a) пароли, срок действия которых не ограничен; b) повторяющиеся имена пользователей; c) повторяющиеся пароли; d) пользователей, пароли которых установлены по умолчанию; e) правильных ответов нет. 4. Какие действия должен предпринять администратор базы данных для устранения выявленных PenTest уязвимостей? a) пересоздать пользователей, уязвимость паролей которых выявил тестер; b) поменять квоты памяти пользователей; c) установить патчи Oracle, отсутствие которых зарегистрировано; d) переустановить сервер Oracle; e) правильных ответов нет. 5. Какие категории уязвимостей выявляет утилита аудита в составе AppDetectivePro? a) недостаточную сложность пароля; b) излишние привилегии для работы со словарем базы данных; c) наличие излишних объектных привилегий в схеме PUBLIC; d) уязвимости по учетным записям демонстрационных схем; e) правильных ответов нет. 6. Какие действия должен предпринять администратор базы данных для устранения выявленных аудитом уязвимостей? a) переустановить expired пароли; b) переустановить пароли пользователей, которые длительное время не менялись; 164 c) установить контроль действий пользователя SYS; d) отобрать выданные «напрямую» системные привилегии у отдельных пользователей; e) правильных ответов нет. 7. Что выявляет утилита регистрации прав пользователей в составе AppDetectivePro? a) табличные объекты в схемах пользователей; b) программные объекты в схемах пользователей; c) роли, назначенные пользователям; d) объектные привилегии пользователей; e) правильных ответов нет. 165 Работа 7 КОНТРОЛЬ НАСТРОЕК МЕХАНИЗМОВ ОБНОВЛЕНИЯ СИСТЕМНОГО И ПРИКЛАДНОГО ПО Цель: получение начальных знаний по контролю настроек механизмов обновления системного и прикладного программного обеспечения. Рассмотрение данного вопроса будет происходить на примере обновления операционной системы. ПОРЯДОК ПРОВЕДЕНЯ РАБОТЫ Часть 1. До обновления Раздел 1. «Ревизор Сети». 1. Запустите «Ревизор Сети» на своем компьютере. 2. Настройте параметры сессии. Особое внимание обратите при вводе IP-адреса вашего компьютера. 3. Сформируйте план сканирования сети. 4. Выполните план проверки. 5. По окончании сканирования сформируйте отчет и проанализируйте его. Часть 2. Обновления операционной системы 1. Произведите обновление операционной системы с помощью приложения Microsoft Update. Это приложение находится в меню Пуск => Все программы => Microsoft Update. 2. После установки обновления произвести перезагрузку компьютера. Часть 3. После обновления Раздел 1. «Ревизор Сети». 1. Запустите «Ревизор Сети» на своем компьютере. 166 2. Настройте параметры сессии. Особое внимание обратите при вводе IP-адреса вашего компьютера. 3. Сформируйте план сканирования сети. 4. Выполните план проверки. 5. По окончании сканирования сформируйте отчет и проанализируйте его. Часть 4. Выводы по сканированию 1. Сравните отчеты до обновления операционной системы и после. 2. Есть ли существенные отличия в них? Если есть, то попробуйте объяснить, чем это вызвано. Ожидаемые результаты В процессе лабораторной работы могут быть получены результаты, приведенные в табл.7.1. Таблица 7.1 Уровень уязвимости Серьезная Уязвимость Информация До обновлений системы 2 8 - После обновлений системы 3 8 - Таким образом, после поставленных обновлений система стала более уязвимой к несанкционированному проникновению. При этом сканер «Ревизор Сети» нашел больше возможностей для проникновения в систему, чем до обновлений. Очевидно, что обновления обновлениям рознь. И предпочтительней использовать комбинированный способ сканирования сети для определения уязвимостей. 167 Тестовые задания к работе 7 Входной контроль 1. Кем утверждаются руководящие документы ФСТЭК? a) Государственной технической комиссией при Президенте Российской Федерации; b) Правительством России; c) Президентом России. 2. Что такое «информационная безопасность»? a) состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства; b) состояние защищенности аппаратной среды; c) все перечисленное; d) нет верного ответа. 3. Какую информацию из перечисленного не предоставляет сканер «Ревизор Сети»? а) общая информация об узлах сети; b) информация о найденных уязвимостях; c) информация об открытых TCP и UDP портах; d) информация о пользователях и группах, зарегистрированных на узле сети; e) информация о доступных сетевых ресурсах; f) подробная информация по узлу; j) нет информации, не предоставляемой сканером безопасности. 4. Подвязываются ли результаты работы сканера «Ревизор Сети» к конкретному IP-адресу? a) всегда; b) нет; c) иногда. 5. Какой основной вопрос задается в процессе анализа? a) Что на выходе? b) Что на входе? c) Что должно быть сделано? 6. Какова основная цель аттестации? а) получение Аттестата соответствия уровню безопасности системы; 168 b) проверка соответствия механизмов безопасности АС предъявляемым к ним требованиям «Единые критерии оценки безопасности ИТ» (Common Criteria for Information Technology Security Evaluation); с) получение Протокола аттестационных испытаний. 7. Согласно «Единым критериям» этапы оценки защищенности TOE выделяют два основных этапа проведения оценивания: Оценка базовых Профилей защиты и Анализ Объекта оценки. Какой из этих этипов включает анализ угроз безопасности? a) оценка базовых Профилей защиты; b) анализ Объекта оценки. 8. Принято семь уровней адекватности оценки: EAL1, EAL2, …, EAL7. Какой из этих уровней предназначен для обнаружения только самых очевидных уязвимостей защиты при минимальных издержках, а какой представляет верхнюю границу уровней адекватности оценки АС, которую реально достичь на практике? a) EAL1 – минимальный уровень защиты, EAL7 – максимальный; b) EAL7 – минимальный уровень защиты, EAL1 – максимальный; с) уровни принципиально не отличаются в оценке. 9. Является ли уничтожение или повреждение имущества по неосторожности преступлением против собственности в информационной сфере? a) да; b) нет; с) не всегда. 10. Контрольные испытания: a) это испытания, проводимые для контроля качества объекта; b) это испытания, проводимые для контроля формы объекта; с) это испытания, проводимые для контроля свойств объекта. 11. Лицензия: a) документ, устанавливающий полномочия физических и юридических лиц в соответствии с настоящим Федеральным законом и иными правовыми актами для осуществления деятельности в области связи; 169 b) разрешение (право) на осуществление лицензируемого вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю; c) официальный документ, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока; d) все перечисленное. 12. Конкретные перечни показателей определяют классы защищенности СВТ. Допускается ли уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ? a) допускается; b) не допускается. Выходной контроль 1. Верно ли утверждение, что примерами обновлений могут служить пакеты обновления, обновленные версии программ, обновления для системы безопасности, драйверы и т.д.? a) нет; b) да; с) не совсем. 2. Какие уязвимости более всего находит «Ревизор Сети»? a) серьезные; b) информация; с) уязвимость. 3. Могут ли поставленные обновления отрицательно повлиять на работу системы? a) нет, обновления всегда положительно влияют на систему, уязвимостей становится всегда меньше; b) может, так как обновления обновлениям рознь; c) не имеет значения. 4. Что предлагается сделать на этом скрин-шоте (рис. 7.1)? a) выбрать ОС для установки; b) закрыть ОС после установки; c) экран можно пропустить. 170 Рис. 7.1 5. Для чего необходимо создание виртуального компьютера? a) для экономии памяти на рабочем компьютере; b) для экономии памяти на рабочем сервере; c) чтобы не мешать работе сети. 6. Для чего необходимо устанавливать важные и высокоприоритетные обновления? a) для обеспечения безопасной и надежной работы компьютера; b) все перечисленное; с) для защиты от новейших Internet-угроз. 171 Работа 8 КОНТРОЛЬ МЕХАНИЗМОВ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ ПРИ РАБОТЕ СО СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ (СЗИ) ОТ НСД «АККОРД» И «СОБОЛЬ» И ПРОГРАММНЫМИ ПРОДУКТАМИ «НКВД 2.2» И «НКВД 2.3» Цель: освоение методов и способов проверки подсистемы управления доступом при проведении аттестационных испытаний АС. ВВЕДЕНИЕ К СЗИ, используемым при выполнении лабораторных работ относятся аппаратный модуль доверенной загрузки «Аккорд» и электронный замок «Соболь». СЗИ от НСД «Аккорд» (рис. 8.1) – аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК – серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа. Рис. 8.1. АМДЗ «Аккорд» Доверенная загрузка – это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения 172 специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя. Электронный замок «Соболь» (рис. 8.2) − аппаратнопрограммное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети. Рис. 8.2. Электронный замок «Соболь» Задача 1. РАБОТА С УЧЕТНЫМИ ЗАПИСЯМИ И ЖУРНАЛОМ РЕГИСТРАЦИИ СОБЫТИЙ СЗИ «АККОРД» И «СОБОЛЬ» Цель: изучение параметров учетных записей и работа с журналом доступа к автоматизированной системе (АС) Рабочее задание 1. Среди двух доступных идентификаторов найти зарегистрированный в системе. 173 2. Ввести несколько паролей для зарегистрированного ТМидентификатора, среди которых также будут неправильные. 3. Просмотреть системный журнал регистрации событий, найти все попытки НСД. Описание используемых средств защиты информации от несанкционированного доступа СЗИ «Аккорд» Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа для ПЭВМ «Аккорд» предназначен для применения на IBM-совместимых ПЭВМ в целях их защиты от несанкционированного доступа (НСД), идентификации, аутентификации пользователей, регистрации их действий, контроля целостности технических и программных средств, обеспечения режима доверенной загрузки в различных операционных средах при многопользовательском режиме эксплуатации ПЭВМ. Комплекс представляет собой совокупность технических и программных средств, обеспечивающих выполнение основных функций защиты от НСД ПЭВМ на основе: − применения персональных идентификаторов пользователей; − парольного механизма; блокировки загрузки операционной системы со съемных носителей информации; − контроля целостности технических средств и программных средств ПЭВМ; − обеспечения режима доверенной загрузки установленного в ПЭВМ. Программная часть комплекса включает средства идентификации и аутентификации, средства контроля целостности технических и программных средств ПЭВМ, средства регистрации действий пользователей, а также средства администрирования (настройки встроенного ПО) и аудита (работы с регистрационным журналом) и размещается в энергонезависимой памяти (ЭНП) контроллера при изготовлении комплекса. Доступ к средствам администрирования и аудита комплекса предоставляется только администратору БИ. Идентификация и аутентификация пользователей, контроль целостности технических и программных средств ПЭВМ (РС) вы174 полняются контроллером комплекса до загрузки операционной системы, установленной в ПЭВМ. Процесс работы оператора (пользователя) на ПЭВМ, защищенной от несанкционированного доступа с использованием комплекса «Аккорд-АМДЗ», можно разделить на три этапа: 1. Выполнение контрольных процедур при запуске ПЭВМ. 2. Работа оператора (пользователя) в соответствии с функциональными обязанностями и правами доступа. 3. Выход из системы. Контрольные процедуры делятся на обязательные – выполняемые при каждом запуске ПЭВМ и необязательные – устанавливаются администратором БИ при регистрации пользователей в соответствии с их правами по доступу к ПЭВМ, выполняются при наличии определенных условий (установленных администратором БИ ограничений по доступу). К обязательным процедурам контроля относятся: − процедура идентификации оператора (пользователя); − процедура аутентификации (подтверждение достоверности) оператора (пользователя); − контроль целостности аппаратной части ПЭВМ; − проверка целостности системных областей диска и системных файлов; − проверка целостности программ и данных. К необязательным процедурам контроля относятся: − процедура смены пароля, выполняемая, когда время жизни пароля превысило установленный администратором БИ интервал времени; − проверка ограничения на время входа оператора (пользователя) в систему. Процедура идентификации оператора (пользователя) При включении ПЭВМ, защищенной комплексом «АккордАМДЗ», управление загрузкой передается контроллеру комплекса, при этом вверху экрана выводится сообщение: «Access system BIOS v…. copyright OKB SAPR …», после чего на экран выводится сообщение на синем фоне (рис. 8.3). 175 Рис. 8.3. Диалог для идентификации Окно остается на мониторе до момента контакта ТМидентификатора пользователя и съемника информации. В правом нижнем углу окна выводится отсчет времени, отведенного пользователю для предъявления своего ТМ-идентификатора. Если за отведенное время ТМ-идентификатор не предъявлен, на экран выводится сообщение на красном фоне «Таймаут». Возобновить процедуру идентификации можно только после перезагрузки ПЭВМ. В случае если идентификатор пользователя не зарегистрирован в базе данных программно-аппаратного комплекса СЗИ НСД «Аккорд» (в память ТМ-идентификатора не записан секретный ключ пользователя), или, если пользователь недостаточно плотно приложил персональный ТМ-идентификатор к контактному устройству съемника информации, то на экран выводится сообщение (на красном фоне), сопровождаемое звуковым сигналом (рис. 8.4). Рис. 8.4. Сообщение об ошибке идентификации Пользователю предлагается повторить процедуру идентификации. При успешном завершении процедуры идентификации оператора (пользователя) происходит выполнение процедуры аутентификации (подтверждения достоверности), для чего на экран монитора выводится запрос на введение пароля пользователя. Процедура аутентификации После идентификации оператора (пользователя), при условии, что ему при регистрации был задан пароль для входа в систему, на экран выводится сообщение на синем фоне (рис. 8.5). 176 Рис. 8.5. Диалог для аутентификации По этой команде необходимо набрать свой личный пароль, при этом буквы пароля выводятся на экран в виде звездочек, и нажать клавишу <Enter>. Время, отведенное для ввода пароля, отображается в правом нижнем углу сообщения так же, как при запросе персонального ТМ-идентификатора оператора (пользователя). Если процедура аутентификации успешно завершилась, на экран выводится надпись на зеленом фоне (рис. 8.6). Рис. 8.6. Сообщение об успешной аутентификации Контроллер переходит к следующему этапу – проверке целостности аппаратной части ПЭВМ. При неправильно введенном пароле на экран выводится надпись на красном фоне (рис. 8.7). Рис. 8.7. Сообщение об ошибке аутентификации Оператору (пользователю) предлагается снова пройти процедуры идентификации и аутентификации (подтверждения достоверности). При троекратном неправильном вводе пароля ПЭВМ блокируется (выводится сообщение на красном фоне «Таймаут»). Продолжить работу можно только после перезагрузки ПЭВМ. В случае если пользователю не назначен пароль, процедура аутентификации не выполняется и контроллер сразу переходит к проверке целостности аппаратной части ПЭВМ (при условии успешного выполнения идентификации). Если в процессе идентификации предъявлен идентификатор оператора (пользователя), который инициализирован в СЗИ «Аккорд» (в память ТМидентификатора записан секретный ключ пользователя), но на дан177 ной ПЭВМ этот ТМ-идентификатор не зарегистрирован, то в этом случае все равно происходит запрос пароля пользователя. После ввода пароля выводится сообщение «Доступ не разрешен!», а номер ТМ-идентификатора заносится в системный журнал с пометкой «НСД». Такой алгоритм работы СЗИ повышает надежность защитных функций комплекса – злоумышленник не может определить причину отказа в доступе. Системный журнал При загрузке компьютера с установленным комплексом СЗИ НСД «Аккорд» справами администратора, на экран выводится стартовое меню (рис. 8.8). Рис. 8.8. Стартовое меню администратора В СЗИ «Аккорд-АМДЗ» ведется системный журнал, размещенный в энергонезависимой памяти контроллера. В журнал заносится информация о сеансах работы пользователей с указанием номера TM-идентификатора и все попытки несанкционированного доступа к компьютеру. В главном меню выберите команду <Журнал> раздела администрирования и нажмите <Enter>. На экран выводится окно системного журнала. В левой колонке выводится дата и время начала сеанса работы, а для остальных событий этого сеанса выводится только время в виде смещения от начала работы. Во второй колонке выводится наименование выполненной операции. В третьей – серийный номер ТМ-идентификатора. В четвертой – результат операции. В самой верхней строке экрана после имени пользователя выводится процент заполнения области памяти контроллера, 178 отведенной под системный журнал (рис. 8.9). Выход из режима просмотра журнала по клавише <Esc>. Рис. 8.9. Системный журнал регистрации событий Наименование и результат операций в системном журнале В табл. 8.1 приведена сокращенная таблица обозначений в системном журнале, необходимая для выполнения лабораторных работ. Таблица 8.1 Сокращение НС ИА ОК ITM ТТМ IPSW TPSW КА Название операции Начало сеанса Идентификация\аутентификация Успешное завершение Незарегистрированный ТМ-идентификатор Истекло время прикладывания ТМидентификатора к считывателю Неправильный пароль Истекло время ввода пароля Контроль аппаратуры 179 СЗИ «Соболь» Комплекс «Соболь» предназначен для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера. Комплекс «Соболь» реализует следующие основные функции: – Идентификация и аутентификация пользователей компьютера при их входе в систему с помощью персональных электронных идентификаторов iButton, eToken PRO, iKey 2032, Rutoken S, Rutoken RF S. – Защита от несанкционированной загрузки операционной системы со съемных носителей – дискет, оптических дисков, ZIPустройств, магнитооптических дисков, USB-устройств и др. – Блокировка компьютера при условии, что после его включения управление не передано расширению BIOS комплекса «Соболь». – Контроль целостности файлов и физических секторов жесткого диска до загрузки операционной системы; – Контроль работоспособности основных компонентов комплекса – датчика случайных чисел, энергонезависимой памяти, персональных электронных идентификаторов. – Регистрация событий, имеющих отношение к безопасности системы. – Совместная работа с системами защиты семейства Secret Net, АПКШ «Континент», средствами защиты информации «Континент-АП» и «КриптоПро CSP». Комплекс «Соболь» может использоваться в качестве средства защиты от НСД к конфиденциальной информации, не содержащей сведения, составляющие государственную тайну, а также к информации, содержащей сведения, составляющие государственную тайну со степенью секретности «совершенно секретно» включительно. Действие комплекса «Соболь» состоит в проверке полномочий пользователя на вход в систему. Если предъявлены необходимые атрибуты – персональный идентификатор и пароль, то пользователь получает право на вход. При их отсутствии вход в систему данного пользователя запрещается. В комплексе «Соболь» реализованы следующие основные защитные механизмы: 180 – идентификация и аутентификация пользователей; – блокировка загрузки ОС со съемных носителей; – контроль целостности файлов и секторов жесткого диска; – сторожевой таймер; – регистрация событий, имеющих отношение к безопасности системы. Процедура идентификации оператора (пользователя). Перед входом в систему отключите от USB-портов компьютера все устройства класса USB Mass Storage Device (flash-накопители, кардридеры, съемные жесткие диски и т. п.). После включения ПЭВМ на экране появится окно с запросом персонального идентификатора (рис. 8.10). Рис. 8.10. Приглашение для идентификации Если идентификатор предъявлен неправильно, то окно запроса останется на экране. Процедура аутентификации. После успешного считывания информации из идентификатора на экране появится диалог для ввода пароля: пароль (рис. 8.11). Этот диалог не появится на экране в том случае, когда пароль имеет нулевую длину (пустой пароль) или содержится в персональном идентификаторе. 181 Рис. 8.11. Приглашение для аутентификации Если введенный пароль не соответствует предъявленному идентификатору, в строке сообщений появится сообщение: «Неверный персональный идентификатор или пароль». При успешном завершении тестирования на экране появится информационное окно, подобное рис. 8.12. Рис. 8.12. Информационное окно пользователя Системный журнал После входа в систему под администратором после информационного окна на экране появится меню администратора (рис. 8.13). Рис. 8.13. Меню администрирования 182 В меню администратора выберите команду «Журнал регистрации событий» и нажмите клавишу <Enter>. На экране появится окно, фрагмент которого представлен на рис. 8.14. Рис. 8.14. Фрагмент журнала регистрации событий Обозначения в журнале событий приведены в табл.8.2. Таблица 8.2 1 2 3 4 Время регистрации события (в формате «часы : минуты») Дата регистрации события (в формате «день / месяц / год») Имя пользователя, действия которого привели к регистрации события. Для администратора, а также для пользователей, не зарегистрированных на данном компьютере, указывается тип и номер предъявленного при входе персонального идентификатора. После удаления учетной записи пользователя в записях журнала, относящихся к его работе, вместо имени этого пользователя указывается тип и номер принадлежавшего ему персонального идентификатора Описание событий Записи о событиях, регистрируемых комплексом «Соболь» во время своей работы, хранятся в журнале регистрации событий, который размещается в специальной области энергонезависимой памяти комплекса. Размер этой области памяти ограничен и позволяет хранить не более 80 записей. 183 При заполнении всей области памяти, отведенной для хранения журнала, новые записи помещаются на место уже существующих записей, затирая их. Если журнал полностью заполнен (содержит 80 записей), то следующая запись заменит запись, помещенную в журнал раньше всех других, т.е. самую старую запись. Порядок выполнения работы 1. Проверить наличие установленных СЗИ от НСД «Аккорд» или «Соболь» в зависимости от варианта задания. 2. Установить модель СЗИ от НСД. Указать модель в отчете. 3. Включить питание ПЭВМ. 4. Предъявить системе по запросу оба идентификатора. Выяснить, какой из них не зарегистрирован в системе. 5. Для зарегистрированного идентификатора выяснить, какой из паролей является верным. 6. Зайти под логином администратора в системный журнал СЗИ от НСД, зафиксировать неудачные попытки идентификации и аутентификации. 7. Составить отчет, в котором должны содержаться – модель СЗИ в варианте, метка верного идентификатора, верный пароль, снимок системного журнала с попытками НСД. Задача 2. ПРОВЕРКА И НАСТРОЙКА СТОЙКОСТИ ПАРОЛЕЙ В СЗИ «АККОРД» И «СОБОЛЬ» Цель: проверка стойкости паролей, установленных в СЗИ от НСД. Рабочее задание 1. Войти в систему администрирования СЗИ от НСД от лица администратора. 2. Убедиться, что настройки паролей отвечают необходимым требованиям по уровню стойкости – минимум 8 символов, срок жизни – 30 дней. 3. Установить необходимые настройки, если значения не отвечают заданным требованиям безопасности. 184 Описание используемых средств защиты информации от несанкционированного доступа Основная информация о комплексах СЗИ от НСД «Аккорд» и Соболь» представлена в задаче № 1 данной работы. Параметры пароля СЗИ «Аккорд» В меню администрирования (рис. 8.15) для отдельных пользователей можно регулировать следующие параметры пароля: Рис. 8.15. Меню администрирования – настройки паролей − Кто может менять пароль – установка этого параметра позволяет пользователю самому менять пароль после истечения времени действия, или смену пароля может осуществлять только администратор. − Минимальная длина – параметр определяет минимальную длину пароля. − Время действия (дни) – определяет период смены пароля. 185 − Попыток для смены – параметр устанавливает число попыток для смены пароля (для выполнения смены пароля необходимо ввести старый пароль, а затем дважды новый). Смена пароля Смена пароля выполняется в случае, когда время «жизни» пароля превысило отведенный интервал времени действия данного пароля. По решению администратора БИ оператору (пользователю) может предоставляться право самостоятельной смены пароля. В случае, когда пользователь не имеет права на смену пароля, то при вводе просроченного пароля на экран выводится сообщение (рис. 8.16). Рис. 8.16. Сообщение об истечении срока жизни пароля Если оператору (пользователю) предоставлено право самостоятельной смены пароля, то при вводе просроченного пароля на экран выводится сообщение (рис. 8.17), где N – количество попыток для смены пароля, определяемое и устанавливаемое администратором при регистрации оператора (пользователя). Рис. 8.17. Приглашение на смену пароля Если длина вводимого пароля меньше заданного администратором количества символов, то выводится сообщение об ошибке. Не допускается ввод в качестве пароля последовательностей типа: '123456…' или 'qwerty…'. При вводе подобных последовательностей символов выдается сообщение об ошибке. 186 Параметры пароля СЗИ «Соболь» После входа в систему под администратором после информационного окна на экране появится меню администратора (рис. 8.18). Рис. 8.18. Меню администрирования После активации в меню администратора команды «Общие параметры системы» на экране появится следующий диалог (рис. 8.19). Рис. 8.19. Окно общих настроек системы 187 Минимальная длина пароля определяет минимальную длину пароля пользователя в символах. Пользователю нельзя назначить пароль, число символов в котором меньше числа, заданного этим параметром. Параметр может принимать значения от 0 до 16. Если значение этого параметра равно «0», пользователю можно назначить пустой пароль, разрешив ему входить в систему без указания пароля (запрос пароля на экране не появится). Если при увеличении значения этого параметра длина паролей некоторых пользователей окажется меньше нового значения параметра, при входе в систему им будет предложено сменить свой старый пароль, без чего они не смогут загрузить операционную систему. Максимальный срок действия пароля определяет период времени в днях, на протяжении которого действителен текущий пароль пользователя. Параметр может принимать значения от 0 до 999 дней. Значение «0» означает, что срок действия пароля не ограничен. По истечении заданного периода времени текущий пароль пользователя перестает быть действительным и при входе в систему пользователю будет предложено сменить свой пароль, без чего он не сможет загрузить операционную систему. По истечении времени действия пароля пользователя на экран выводится сообщение об ошибке (рис. 8.20). Рис. 8.20. Сообщение об истечении срока жизни пароля Если установлена настройка для самоличной смены пароля пользователем, необходимо выполнить процедуру смены пароля. На экране появится меню пользователя (рис. 8.21). Рис. 8.21. Меню пользователя 188 После выбора пункта «смена пароля» появится диалог (рис. 8.22). Рис. 8.22. Запрос старого пароля для смены После ввода старого пароля на экране появится один из диалогов для ввода нового пароля. Если включен режим использования случайных паролей – диалог для ввода пароля примет следующий вид (рис. 8.23). Рис. 8.23. Окно генерации случайного пароля Если пользователю разрешено самостоятельно менять пароль, и он введет пароль меньше установленной длины, то выведется сообщение об ошибке (рис. 8.24). Рис. 8.24. Сообщение об ошибке 189 Порядок выполнения работы 1а. Проверить наличие установленных СЗИ от НСД «Аккорд» или «Соболь» в зависимости от варианта задания. 1б. Установить модель СЗИ от НСД. Указать модель в отчете. 2. Включить питание ПЭВМ. 3. Предъявить идентификатор администратора, ввести пароль. 4. Зайти в настройки пользователей и проверить настройки парольной политики. Минимальная длина пароля должна быть установлена на восемь символов, срок действия – 30 дней. Если настройки отличаются, установить необходимые. 5. Составить отчет, в котором должны содержаться – модель СЗИ в варианте, установленные парольные настройки до вмешательства, если таковое проводилось, информация о его совершении и причина (слишком длинный срок жизни и\или слишком маленькая длина). Задача 3. СОЗДАНИЕ И ПРОВЕРКА МОДЕЛИ ПРАВ ДОСТУПА В ПРОГРАММНЫХ ПРОДУКТАХ «НКВД 2.2» И «НКВД 2.3» Цель: получение навыков работы с программными продуктами «НКВД 2.2» и «НКВД 2.3» – средствами автоматизации проверки соответствия полномочий предоставляемых пользователям системой защиты информации аттестуемой АС по доступу к объектам доступа АРМ полномочиям пользователей, указанным в модели системы разграничения доступа (СРД), разработанной на основе анализатора уязвимостей «НКВД 2.3». Рабочее задание 1. Создание списка пользователей АРМ в программе «НКВД 2.3». 2. Сканирование объектов доступа АРМ в программе «НКВД 2.3». 3. Определение прав доступа к объектам доступа в программе «НКВД 2.3». 4. Проверка и анализ в АРМ реальных полномочий пользователя к объектам доступа в программе «НКВД 2.2». 190 Описание используемых анализаторов уязвимостей Анализатор уязвимостей «НКВД 2.3» – средство автоматизации процесса моделирования системы разграничения доступа (СРД) в АРМ пользователей к объектам доступа (ресурсам файловой системы и периферийным устройствам АРМ, а также к ресурсам локальной вычислительной сети). Программа предназначена для администраторов АС (АРМ), отвечающих за безопасность информации в АС (АРМ). Анализатор уязвимостей «НКВД 2.3» выполняет следующие функции: – сканирование ресурсов файловой системы АРМ (логических дисков, каталогов, файлов), периферийных устройств (принтеров, НГМД, приводов CD-ROM), а также объектов доступа ЛВС, доступных пользователю АРМ; – автоматическое построение по результатам сканирования структуры объектов доступа, применительно к АРМ для каждого зарегистрированного пользователя; – вывод на экран АРМ структуры объектов доступа исследуемого АРМ и таблицы полномочий доступа к объектам доступа АРМ; – автоматизация операций моделирования СРД АРМ. Виды полномочий пользователя по доступу к объектам доступа АРМ: – чтение (R) объекта доступа; – запись/изменение (W) объекта доступа; – удаление (D) объектов доступа; – запуск (E) исполняемых файлов программ; – создание(C) новых объектов доступа. Интерфейс программы состоит из двух рабочих панелей «Пользователи» и «Ресурсы», строки меню, панели инструментов и строки состояния (рис. 8.25). Главное меню состоит из двух пунктов: «Файл» и «Пользователи». Подменю «Файл» содержит команды: – Сканировать ресурсы – сканирование выбранных ресурсов; – Выход – выход из программы. Подменю «Пользователи» содержит команды: – Добавить – добавление нового субъекта доступа; 191 – Удалить – удаление существующего субъекта доступа; – Клонировать – клонирование существующего субъекта доступа. Рис. 8.25. Интерфейс программы «НКВД 2.3» Для быстрой работы каждая команда может выполняться указанным сочетанием клавиш. На панели инструментов для удобства работы продублированы команды «Добавить пользователя», «Клонировать пользователя», «Удалить пользователя», «Сканировать ресурсы» экранными кнопками с всплывающими подсказками об их назначении. Администратор АС, работающий с «Анализатором уязвимостей «НКВД 2.3», информируется о ходе работы (процессе сканирования) с помощью сообщений в строке состояния. Для каждого пользователя АРМ, администратор АС определяет имя пользователя. Список из всех имен пользователей АРМ выводится на панели «Пользователи». Для добавления нового пользователя необходимо выбрать команду «Добавить» и ввести имя пользователя в строке ввода «Имя пользователя» (рис. 8.26). 192 Рис. 8.26. Диалог добавления пользователя Для сканирования ресурсов используется команда «Сканировать ресурсы». Перед сканированием необходимо выполнить настройку – определить набор сканируемых ресурсов. Для этого необходимо выбрать указанную команду и в появившемся диалоговом окне отметить в списке ресурсов требуемые (рис. 8.27): – Дисководы; – Локальные диски; – Диски CD-ROM; – Сетевые диски; – Виртуальные диски; – Сеть; – Локальные принтеры; – Сетевые принтеры; – Неизвестные устройства; – Все ресурсы. Рис. 8.27. Выбор ресурсов для сканирования 193 После завершения сканирования и при наличии хотя бы одного зарегистрированного «Анализатором уязвимости «НКВД 2.3» пользователя на панели «Ресурсы» выводится структура объектов доступа, тождественная структуре ресурсов файловой системы АРМ, а также сетевых ресурсов ЛВС с учетом доступных периферийных устройств. На панели «Пользователи» приводится перечень всех пользователей, для которых уже определены или будут определяться полномочия доступа к объектам доступа. Для установления, изменения или просмотра полномочий доступа к ресурсам одного из зарегистрированных пользователей АРМ администратором АС устанавливается курсорная рамка на имени нужного пользователя, после чего возможно выполнение операций по моделированию СРД АРМ для данного пользователя. На панели «Ресурсы» выводится структура объектов доступа, отображающая структуру ресурсов файловой системы, а также сетевых ресурсов и периферийных устройств, доступ к которым будет определяться. Администратор АС определяет полномочия доступа для каждого пользователя к каждому объекту. При этом могут быть установлены полномочия на совершение следующих операций с объектами доступа: – Чтение (R) – полномочие доступа устанавливается для логических дисков, каталогов, файлов. – Запись (W) – полномочие доступа устанавливается для логических дисков, периферийных устройств, каталогов, файлов. – Удаление (D) – полномочие доступа устанавливается для логических дисков, периферийных устройств, каталогов, файлов. – Запуск (E) – полномочие доступа устанавливается для логических дисков, каталогов, файлов с расширениями *.bat, *.exe, *.com. – Создание(C) – полномочие доступа устанавливается для логических дисков, каталогов. Для ускорения процесса построения модели в программе предусмотрена автоматическая функция наследования полномочий доступа для каталогов и файлов нижнего уровня. При этом при установке требуемых полномочий пользователя по отношению к объекту (установка разрешения или запрета соответствующего полномочия в таблице полномочий) для логического диска или каталога 194 эти полномочия на совершение соответствующих операций распространяются на все каталоги и файлы нижнего уровня этого диска или каталога. В случае необходимости установки для каталога или файла других полномочий доступа, не совпадающих с наследуемыми, администратор АС имеет возможность установить их вне зависимости от наследуемых полномочий доступа. При этом изменения в дальнейшем полномочий доступа к каталогу, в котором находится каталог или файл-исключение, не приводят к изменению полномочий доступа к этому каталогу или файлу. Анализатор уязвимости «НКВД 2.2» – средство автоматизации проверки соответствия полномочий, предоставляемых пользователям системой защиты информации аттестуемой АС (АРМ) по доступу к объектам доступа АРМ (ресурсам файловой системы ОС и периферийным устройствам, а также к ресурсам АС), полномочиям пользователей, указанным в модели системы разграничения доступа (СРД), разработанной средством моделирования анализатор уязвимостей «НКВД 2.3». Модель СРД создается администратором АС средством моделирования «Анализатор уязвимости «НКВД 2.3» на основании требований проектной (соответствующий раздел «Положения разрешительной системы..») и эксплуатационной («Описание технологического процесса обработки информации») документации на АС (АРМ). Предназначен для органов аттестации объектов информатизации по требованиям безопасности информации и используется для инструментальной проверки правильности предоставления системой защиты информации АС (АРМ) полномочий пользователям по отношению к объектам доступа АС (АРМ). Анализатор уязвимостей «НКВД 2.2» выполняет следующие функции: – Сравнение данных, полученных сканированием структуры объектов доступа в АРМ (АС) с данными, указанными в описании модели СРД пользователей к объектам доступа АРМ (АС). – Проверку установленных в модели СРД АРМ полномочий пользователей по доступу к объектам доступа АС (АРМ) на соответствие установленным ПРД разрешительной системы организации – заявителя. 195 – Проверку реального предоставления пользователям АРМ системой защиты информации полномочий по доступу к объектам доступа АС (АРМ) в соответствии с установленными моделью СРД полномочиями. По результатам проверок формируются соответствующие протоколы аттестационных испытаний в виде текстовых файлов. В качестве объектов доступа АРМ анализатором уязвимостей «НКВД 2.2» рассматриваются: – логический диск (том) ЖМД АРМ; – каталог логического диска; – файл; – принтер АРМ; – привод CD-ROM АРМ; – НГМД АРМ; – виртуальный логический диск в ОЗУ АРМ; – сетевой логический диск АРМ; – сетевой ресурс (диск, каталог или файл, принтер, привод CDROM), к которому разрешен доступ субъектов доступа в АС. Перечисленные объекты доступа включаются в состав объектов доступа модели СРД АРМ. К ним могут быть установлены следующие виды полномочий доступа: – Чтение (R) – устанавливается для логических дисков, каталогов, файлов; – Запись/изменение (W) – устанавливается для логических дисков, периферийных устройств, каталогов, файлов; – Удаление (D) – устанавливается для логических дисков, периферийных устройств, каталогов, файлов; – Запуск (E) – устанавливается для логических дисков, каталогов, файлов с расширениями *.bat, *.exe, *.com; – Создание (C) – устанавливается для логических дисков, каталогов. Интерфейс программы состоит из двух панелей – левой и правой, строки меню, панели инструментов и строки состояния. Главное меню состоит из пяти пунктов: – Файл; – Сравнение; – Анализ; 196 – Тестирование; – ? Подменю «Файл» содержит команды: – Сканировать ресурсы – сканирование объектов доступа АРМ; – Открыть файл пользователя – загрузка файла с описанием модели СРД для указанного пользователя; – Выход – выход из программы. Файлы с описанием моделей СРД создаются средством моделирования СРД «Анализатор уязвимостей «НКВД 2.3». Он содержит структуру объектов доступа, отображающую структуру ресурсов файловой системы, а также сетевых ресурсов и периферийных устройств, и установленные полномочия доступа к каждому объекту. При этом могут быть установлены полномочия пользователя на совершение следующих операций с объектами доступа: – Чтение (R) – может быть установлено для логических дисков, каталогов, файлов; – Запись (W) – может быть установлено для логических дисков, принтеров, каталогов, файлов; – Удаление (D) – может быть установлено для логических дисков, принтеров, каталогов, файлов; – Запуск (E) – может быть установлено для логических дисков, каталогов, файлов с расширениями *.bat, *.exe, *.com; – Создание (C) – может быть установлено для логических дисков, каталогов. Подменю «Сравнение» содержит команды: – Сравнить ресурсы – сравнение структуры объектов доступа, полученной путем сканирования ресурсов анализатором уязвимостей «НКВД 2.2», и структуры объектов доступа, содержащейся в описании модели СРД для этого пользователя. – Внести изменения – занесение изменений, обнаруженных в результате сравнения, в структуру объектов доступа, содержащуюся в описании модели СРД для этого пользователя. – Сохранить результаты – запись измененного описания модели СРД. Подменю «Анализ» содержит команды: – Анализ полномочий – проверка логики и непротиворечивости назначенных прав доступа к защищаемым объектам, установленным в файле пользователя; 197 – Сохранить результаты – запись измененного описания модели СРД. Подменю «Тестирование» содержит команды: – Построить план – построение плана проверки реальных полномочий пользователей по отношению к объектам доступа; – Приступить к тестированию – принятие плана проверки и осуществление в соответствии с ним проверки реально предоставляемых системой защиты информации пользователю полномочий по отношению к объектам доступа. «Сохранить результаты тестирования» – сохранение результатов о проведенных проверках в файле отчета. Команда «?» выводит информацию о программе. Для быстрой работы каждая команда может выполняться сочетанием клавиш, указанным в соответствующих пунктах меню. На панели инструментов для удобства работы команды «Сканирование ресурсов», «Загрузка пользователя» продублированы экранными кнопками, снабженными всплывающими подсказками об их назначении. Эксперт, работающий с анализатором уязвимостей «НКВД 2.2», информируется о ходе работы с помощью сообщений в строке состояния. Левая панель включает четыре закладки: «Сравнение», «Анализ», «Тестирование» и «Сохранение результатов тестирования» (появляется только после окончания тестирования). Каждая закладка содержит панель инструментов, включающую следующие экранные кнопки: – под закладкой «Сравнение» – экранные кнопки с командами «Сравнить ресурсы», «Сохранить результаты» и «Внести изменения»; – под закладкой «Анализ» – экранные кнопки с командами «Анализ полномочий» и «Сохранить результаты»; – под закладкой «Тестирование» – экранные кнопки с командами «Подготовить план», «Сохранить результат», «Приступить к тестированию», «Заменить» – замена объекта доступа в плане, выбранного для проверки полномочий, и «Удалить» – удаление объекта доступа в плане, выбранного для проверки полномочий; – под закладкой «Результаты» – экранная кнопка с командой «Сохранить результаты тестирования». 198 Все экранные кнопки снабжены всплывающими подсказками. Каждая закладка содержит рабочую область, в которой выводится результат работы соответственно операций сравнения, анализа, тестирования и протокол проверки СРД для пользователя АРМ. Правая панель включает (N+1) закладок, где N – количество открытых файлов пользователей. В рабочей области первой закладки – «Ресурсы» – отображается структура объектов доступа полученная в результате сканирования ресурсов АРМ анализатором уязвимостей «НКВД 2.2». На рабочей области других N закладок в графическом виде представлена модель СРД соответствующего пользователя АРМ, т.е. каждой модели СРД пользователя соответствует закладка с именем пользователя. Входными данными анализатора уязвимостей «НКВД 2.2» являются: – данные о структуре ресурсов (объектах доступа) автоматизированного рабочего места АС (хранятся в текстовом файле DEFAULT.TREE, который создается при сканировании объектов доступа анализатором уязвимости «НКВД 2.2»); – описания моделей системы разграничения доступа (хранятся в текстовых файлах с расширением .USR отдельно для каждого пользователя) полученные после сканирования программной «НКВД 2.3». Сканирование объектов доступа АРМ Для сканирования ресурсов используется команда «Сканировать ресурсы». Перед сканированием необходимо выполнить настройку – определить набор сканируемых ресурсов. Для этого необходимо выбрать указанную команду и в появившемся диалоговом окне отметить требуемые ресурсы в списке (рис. 8.28). Если в процессе сканирования будут найдены устройства, которые невозможно прочесть (например, пустой дисковод), анализатор уязвимостей «НКВД 2.2» посчитает, что данный объект доступа закрыт паролем, и предложит его ввести. После завершения сканирования на правой панели в закладке «Ресурсы» выводится структура объектов доступа, тождественная структуре ресурсов файло199 вой системы АРМ, а также сетевых ресурсов ЛВС с учетом доступных периферийных устройств. Рис. 8.28. Закладка сравнения ресурсов Администратор должен дать описание моделей СРД пользователей, содержимое которых подвергнется проверке анализатором уязвимостей «НКВД 2.2». Отображение содержимого файла производится под закладкой с указанием имени пользователя на правой панели. При попытке открыть файл с описанием СРД, который уже загружен, администратор получает предупреждение: «Этот пользователь уже открыт!» Сравнение данных сканирования объектов доступа АРМ с данными описания модели СРД Для выполнения сравнения структуры объектов доступа, полученной путем сканирования ресурсов анализатором уязвимостей 200 «НКВД 2.2», и структуры объектов доступа, содержащейся в файле пользователя, необходимо выбрать команду «Сравнение ресурсов» и в появившемся диалоговом окне в списке моделей СРД пользователей выбрать по имени пользователя нужную. Если ни одна модель СРД не была загружена, эксперт получит предупреждение: «Ни один пользователь не загружен!» Результат сравнения отображается в рабочей области левой панели под закладкой «Сравнение» (см. рис. 8.28) и представляет собой перечень: – новых ресурсов, обнаруженных при сканировании в анализаторе «НКВД 2.2», но не найденных в структуре ресурсов модели СРД пользователя. Относительно каждого нового ресурса, указанного в перечне, в рабочей области установлен знак "+"; – ресурсов, не обнаруженных при сканировании анализатором уязвимости «НКВД 2.2», но описанных и найденных в структуре модели СРД пользователя. Относительно каждого необнаруженного ресурса, указанного в перечне, в рабочей области установлен знак "–". Если эксперт сочтет нужным внести изменения в файл пользователя в соответствии с результатами выполненной операции сравнения, то ему следует выбрать команду «Внести изменения». При этом новые ресурсы будут добавлены в структуру ресурсов модели СРД пользователя АРМ с разрешенными правами доступа, а необнаруженные ресурсы – удалены. Результат выполненной команды отобразится в правой панели под закладкой этого пользователя. Для сохранения измененной модели СРД необходимо выбрать команду «Сохранить результаты». Проверка корректности назначения полномочий пользователя Для проверки корректности назначенных пользователю полномочий доступа к объектам доступа, установленным в модели СРД пользователя АРМ, необходимо выбрать команду «Анализ полномочий» и в появившемся диалоговом окне в списке существующих файлов пользователей выбрать нужный файл пользователя. Результат анализа отображается в рабочей области левой панели под за201 кладкой «Анализ» и представляет собой перечень ресурсов файла пользователя, к которым некорректно определены права доступа, с указанием предупреждения (рис. 8.29). Рис. 8.29. Закладка анализа ресурсов Для сохранения измененной модели СРД необходимо выбрать команду «Сохранить результаты». Проверка реальных полномочий пользователя по доступу к объектам доступа АРМ Проверка осуществляется по команде «Приступить к тестированию», для осуществления проверки реально предоставляемых полномочий СЗСИ АС (АРМ) по отношению к объектам доступа АРМ в соответствии с планом проверки СРД (рис. 8.30). Тестирование производится по указанному алгоритму и сопровождается необходимыми указаниями. Выбрав команды «Сохранить результаты тестирования», эксперт выполняет сохранение результатов тестирования в файлотчет. 202 Рис. 8.30. Закладка тестирования ресурсов Порядок выполнения работы 1. Включить питание ПЭВМ. 2. Установить программы «НКВД 2.2» и «НКВД 2.3». 3. Запустить анализатор уязвимостей «НКВД 2.3». 4. Создать нового пользователя и запустить сканирование объектов доступа АРМ. 5. Для созданного пользователя запретить любой доступ к папкам с «НКВД 2.3» и «НКВД 2.2». 6. Разрешить чтение и удаление исполняемых файлов «НКВД 2.2» и «НКВД 2.3». 7. Перезагрузить ПЭВМ и зайти в систему под созданным пользователем. 8. Запустить анализатор уязвимостей «НКВД 2.2». 9. Запустить сканирование объектов доступа АРМ и сравнить полученные данные о структуре и составе объектов доступа с дан203 ными описания модели СРД, созданной анализатором уязвимостей «НКВД 2.3». 10. Зафиксировать некорректно предоставленные полномочия. 11. Внести необходимые изменения для устранения некорректных полномочий. 12. Получить текстовый файл с отчетом от «НКВД 2.2». 13. Составить отчет, в котором будет содержаться скриншот программы «НКВД 2.3» с созданным пользователем и установленной политикой для папок с «НКВД 2.2» и «НКВД 2.3», скриншот программы «НКВД 2.2» с полученным списком сравнения данных о структуре и составе объектов доступа с данными описания модели СРД, скриншот анализа некорректности полномочий для этих же папок, внесенные изменения, а также текстовый файл с отчетом от «НКВД 2.2». Тестовые задания к работе 8 1. Какие значения параметров обеспечивают паролю оптимальную стойкость? a) 10 символов, 5 дней; b) 8 символов, 30 дней; c) 5 символов 15 дней; d) 8 символов, 8 дней. 2. Для некоторого ресурса в «НКВД 2.3» установлена последовательность атрибутов – «++-+-». Это значит, что… a) можно читать, перезаписывать и исполнять; b) можно удаляться, читать и исполнять; c) можно читать, перезаписывать и создавать; d) можно читать и исполнять. 3. В каких случаях предоставленные права будут некорректными или не имеющими смысла? a) пользователь не имеет доступ к родительской папке, но имеет доступ к дочерней; b) пользователь может запускать исполняемый файл, находящийся в папке, к которой он не имеет доступа; c) пользователь не имеет доступа к дочерней папке, но имеет доступ к родительской; d) все вышеперечисленное. 204 4. В «НКВД 2.3» можно разграничивать доступ к следующим ресурсам: a) локальные диски; b) локальные принтеры; c) неизвестные устройства; d) все вышеперечисленное. 5. Журнал событий СЗИ «Соболь» рассчитан на: a) 60 записей; b) 100 записей; c) 80 записей; d) Количество неограниченно. 6. Где хранится журнал событий АМДЗ «Аккорд»? a) на жестком диске; b) в оперативной памяти; c) в энергонезависимой памяти; d) нет правильного ответа. 7. После скольких неправильных попыток ввода пароля АМДЗ «Аккорд» блокирует ПЭВМ? a) 3; b) 5. c) 7; d) 9. 205 КОНТРОЛЬ ПРАВ ДОСТУПА СУБЪЕКТОВ К ОБЪЕКТАМ В состав тематики входит шесть лабораторных работ (9–14). 1. Проверка правильности идентификации объектов доступа. Проверка осуществляется путем обращения к ним субъектов доступа по идентификаторам объектов. Обращение должно осуществляться однозначно только к данному объекту. Объекты доступа определяются в соответствии с РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» и Актом классификации АС. 2. Проверка правильности идентификации субъектов доступа. Проверятся при входе в систему путем обращения субъектов АС к объектам доступа при помощи штатных средств, для чего системе предъявляются персональные идентификаторы. Результаты испытания считаются удовлетворительными в случае выполнения следующих условий: • при предъявлении идентификатора не зарегистрированного в системе, средства управления должны приостанавливать процесс предоставления доступа; • при неоднократном предъявлении идентификатора не зарегистрированного в системе, средства управления должны прекратить процесс предоставления доступа; • при предъявлении идентификатора зарегистрированного в системе процесс предоставления доступа должен быть продолжен. 3. Проверка подтверждения подлинности субъекта доступа (аутентификация). Для проверки подлинности производится ввод личного пароля субъекта, соответствующего предъявленному идентификатору. Результаты испытания считаются удовлетворительными в случае выполнения следующих условий: • при вводе пароля, не соответствующего предъявленному идентификатору, средства управления должны приостанавливать процесс предоставления доступа; • при неоднократном вводе пароля, не соответствующего предъявленному идентификатору, средства управления должны прекратить процесс предоставления доступа; 206 • при вводе пароля, соответствующего предъявленному идентификатору, субъекту доступа должен быть предоставлен доступ в систему в соответствии с его полномочиями. 4. Проверка механизма контроля доступа. Для проверки механизма контроля доступа проводятся: • проверка соответствия реально установленным средствам СЗИ НСД правилам разграничения доступа (ПРД), матрице разграничения доступа субъектов АС к её объектам; • проверка непротиворечивости установленных ПРД; • выборочные попытки реализовать НСД. При установлении факта соответствия ПРД матрице доступа и блокировки произведенных попыток НСД, реализация механизма доступа считается удовлетворенной. 5. Проведение контроля защищенности информации от утечки за счет НСД. Проведение контроля осуществляется с помощью сертифицированных ФСТЭК России программ по аттестации объектов информатизации (ОИ). Работа 9 ПРОВЕРКА ОРГАНИЗАЦИИ КОНТРОЛЯ ДОСТУПА К ОБЪЕКТУ С ИСПОЛЬЗОВАНИЕМ СПЕЦИАЛИЗИРОВАННЫХ СРЕДСТВ ДОВЕРЕННОЙ ЗАГРУЗКИ Цель: получение практических навыков по работе со средствами доверенной загрузки, проведение идентификации/аутенти-фикации; предотвращение попыток НСД; контроль доступа к автоматизированному рабочему месту; изучение средств доверенной загрузки «Аккорд–NT/2000» v.3.0 и «Соболь» v.2.0. ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Установка и настройка «Аккорд–NT/2000» v.3.0. 2. Задание пользователям персональных идентификаторов и паролей для доступа к системе. 207 3. Проведение испытаний организации контроля доступа к АРМ. 4. Создание отчета по проделанной работе. 5. Установка и настройка комплекса «Соболь» и проведение мероприятий указанных в соответствующих пунктах. ОПИСАНИЕ РАБОТЫ СРЕДСТВ ДОВЕРЕННОЙ ЗАГРУЗКИ Комплекс «Аккорд-NT/2000» v.3.0. Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа «Аккорд-NT/2000» v.3.0 – это эффективный комплекс технических и программных средств, используя который можно надежно защитить от несанкционированного доступа информацию на ПЭВМ (в АС), функционирующих под управлением ОС Microsoft Windows NT/2000/XP/ 2003/Vista, без переделки ранее приобретенных программных средств. Комплекс СЗИ НСД «Аккорд-NT/2000» v.3.0 позволяет надежно обеспечить: • защиту от несанкционированного доступа к АС (ПЭВМ) и ее ресурсам; • разграничение доступа к ресурсам АС (ПЭВМ), в том числе к внешним устройствам, управлением потоками информации в соответствии с уровнем полномочий пользователей, используя дискреционный и мандатный способы управления доступом пользователей к информационным ресурсам АС (ПЭВМ); • защиту от несанкционированных модификаций программ, данных и различного рода проникающих разрушающих воздействий (ПРВ); • контроль целостности конфигурации технических средств ПЭВМ (РС), программ и данных с реализацией пошагового алгоритма контроля целостности; • создание изолированной программной среды (ИПС) с исключением возможности несанкционированного выхода в ОС, загрузки с FDD и несанкционированного прерывания контрольных процедур с клавиатуры; 208 • ввод широкого перечня дополнительных защитных механиз- мов в соответствии с политикой информационной безопасности, принятой в организации (на предприятии, фирме и т.д.). Комплекс СЗИ НСД «Аккорд-NT/2000» v. 3.0 включает: • программно-аппаратный комплекс СЗИ НСД для ПЭВМ (РС) «Аккорд-АМДЗ»; • специальное программное обеспечение разграничения доступа в среде операционных систем Windows, построенных с использованием технологии NT – СПО «Аккорд-NT/2000» (версии 3.0). В комплексе «Аккорд-АМДЗ» из состава комплекса «АккордNT/2000» могут применяться различные модификации специализированных контроллеров: • контроллер «Аккорд–5» используется для защиты ПЭВМ (РС) с шинным интерфейсом PCI; • контроллер «Аккорд-5mx» используется для защиты ПЭВМ (РС) с шинным интерфейсом PCI (5В), или PCI-X (3.3В); • контроллер «Аккорд-5.5» используется для защиты ПЭВМ (РС) с шинным интерфейсом PCI (5В), или PCI-X (3.3В); • контроллер «Аккорд-5.5-E» используются для защиты ПЭВМ (РС) (РС) с шинным интерфейсом PCI Express. Характеристики контроллеров «Аккорд-АМДЗ» из состава комплекса СЗИ НСД «Аккорд-NT/2000» v. 3.0 приведены в табл. 9.1. Все модификации вышеуказанных контроллеров: • могут использоваться на ПЭВМ (РС) с процессором и объемом RAM, обеспечивающим применение ОС Windows NT/2000/XP/2003/Vista; • используют для идентификации пользователей персональные идентификаторы TM DS 1992-1996 с объемом памяти до 64 Кбит, ПСКЗИ ШИПКА, или смарт-карты eToken PRO; • используют для аутентификации пароль до 12 символов; • блокируют загрузку ПЭВМ (РС) с FDD, CD ROM, ZIP Drive; • предусматривают регистрацию до 126 пользователей на ПЭВМ (РС); • имеют аппаратный датчик случайных чисел (ДСЧ) для криптографических приложений; • имеют разъем для внутреннего подключения съемника информации (контактного устройства) к контроллеру; 209 • обеспечивают контроль целостности программ, данных и системных областей жестких дисков, а также конфигурации технических средств ПЭВМ (РС) до загрузки ОС; • имеют внутреннюю энергонезависимую память для хранения данных о зарегистрированных пользователях и журнала регистрации событий; • допускают изменение встроенного ПО (технологический режим) без замены аппаратной части комплекса (платы контроллера); • обеспечивают режим доверенной загрузки ОС (выполнение процедур идентификации/аутентификации пользователя, контроль целостности аппаратной части ПЭВМ (РС), системных файлов, программ и данных на аппаратном уровне до загрузки ОС). Таблица 9.1 Особенности различных типов контроллеров Тип используемой системной шины Реле блокировки физических каналов Возможность перепрограммирования Таймер реального времени Аппаратный ДСЧ Интерфейс RS 232 Реле управление питанием материнской платы Встроенный USB-хост «Аккорд-5.5» «Аккорд-5» «Аккорд-5mx» PCI(5B) и PCI(5B) и PCIPCI PCI-X(3.3D) X(3.3B) Три реле Возможна Возможна установлены установка двух установка двух по умолчанию реле по заказу реле по заказу + + + УстанавливаВозможна Возможна ется по установка по установка по умолчанию заказу заказу Установлен по Установлен по Установлен по умолчанию умолчанию умолчанию УстанавливаВозможна Возможна ется по установка по установка по умолчанию заказу заказу Устанавливается по умолчанию Возможна установка по заказу В данной лабораторной работе изучаются работа и функции контроллера «Аккорд-АМДЗ» типа 5mx. 210 Программа администратора системы защиты информации является частью комплекса «Аккорд-АМДЗ». С помощью этой программы администратор СЗИ может добавлять и удалять пользователей, назначать пользователям идентификаторы и пароли, контролировать аппаратную часть ПЭВМ, прикладные и системные файлы, получает доступ к системному журналу контроллера. Установка и настройка комплекса «Аккорд АМДЗ» Установка комплекса. Меню администратора. Перед установкой аппаратной части комплекса необходимо: 1) отключить питание; 2) вскрыть корпус системного блока ПЭВМ, удалить заглушку на задней панели блока и выбрать свободный PCI слот на материнской плате для установки контроллера. Расположение элементов и разъемов на плате контроллера «Аккорд-5mx» показано на рис. 9.1. Рис. 9.1. Плата контроллера «Аккорд-5mx» 211 Если в компьютер устанавливается новый контроллер АМДЗ, то при загрузке выполняется инициализация и форматирование внутренней памяти. После завершения этой операции на экран выводится стартовое меню администратора (рис. 9.2). Если в контроллере нет зарегистрированных пользователей, то в этом меню доступны для выбора только пункты «Администрирование» и «Выход в AcDOS». «Выход в AcDOS» позволяет загрузить компьютер с использованием внутренней операционной системы контроллера (AсDOS). В дальнейших разработках предполагается включение в состав этой ОС средств диагностики контроллера и компьютера. Рис. 9.2. Стартовое меню администратора Клавишей <Enter> запустите программу администрирования. На экран выводится главное меню (рис. 9.3). Главное меню состоит из следующих полей: • строка команд (левая половина верхней строки); • информационная строка (правая половина верхней строки); • статус (HELP) – нижняя строка; • рабочее поле (все остальное пространство). Строка команд позволяет вызвать следующие подпрограммы: • <Польз> – работа со списком пользователей; • <Контр> – работа со списками контроля целостности; • <Сервис> – дополнительные настройки; 212 <Журнал> – работа с внутренним журналом регистрации событий; • <Помощь> – описание функций и сведения о продукте. • Рис. 9.3. Главное меню администратора После начальной инициализации в строке команд недоступны пункты <Контр> и <Журнал>, так как в памяти контроллера не зарегистрировано ни одного пользователя (в верхней информационной строке имя текущего пользователя UNKNOWN, т.е. неизвестный). Поэтому первое действие, которое нужно выполнить – это регистрация пользователя с правами администратора. Назначение пароля и ТМ-идентификатора пользователю. Гл. администратор (SUPERVISOR). В меню выберите команду <Польз.>. На экран выводится дерево списка пользователей. При инициализации контроллера создаются две зарезервированные группы пользователей – «Администраторы» и «Обычные». Эти две группы нельзя ни переименовать, ни удалить. Для каждой группы можно задать общие параметры, которые будут устанавливаться по умолчанию при создании пользователя в группе. Для каждого зарегистрированного пользователя можно изменить данные параметры при индивидуальной настройке. Такие же правила будут выполняться и для любой группы, созданной администратором. При инициализации контроллера в базе данных создается учетная запись «Гл. администратор», но поля этой записи не заполне213 ны. Для регистрации администратора системы выберите строку <Гл. администратор>, нажмите <Enter>. На экран выводится окно ввода-вывода «Параметры пользователя» (рис. 9.4). Рис. 9.4. Параметры пользователя Выберите строку <Идентификатор> (см. рис. 9.4). На экран выводится информация о зарегистрированном идентификаторе. При первой установке контроллера никаких данных об идентификаторе нет (рис. 9.5). Рис. 9.5. Информация об идентификаторе 214 Выберите команду <Новый>. На запрос идентификатора (рис. 9.6) прикоснитесь идентификатором к съемнику. Для отмены текущей операции, выберите команду <Отмена>. Рис. 9.6. Запрос идентификатора Примечание. В том случае, когда в качестве персонального идентификатора используется ПСКЗИ ШИПКА, на запрос идентификатора следует подключать устройство ШИПКА к USB-порту контроллера АМДЗ. Если в качестве идентификатора используется смарт-карта eToken PRO, то следует вставить карту в считыватель. После использования идентификатора на экране появляется меню генерации секретного ключа (рис. 9.7), который уникален для каждого пользователя и записывается во внутреннюю память регистрируемого идентификатора. Этот секретный ключ используется в мониторе правил разграничения доступа ACRUN, который позволяет каждому пользователю создать изолированную программную среду (ИПС) и персональный набор файлов, контролируемых на целостность. Кроме того, этот параметр позволяет надежно защищать данные о пользователе в энергонезависимой памяти контроллера, так как в качестве уникального признака используется результирующая хеш-функция от номера идентификатора, пароля и секретного ключа. Внимание! Идентификатор, в котором не записан секретный ключ, воспринимается как недопустимый в процессе идентифика215 ции/аутентификации пользователя, даже если его номер высвечивается в строке «Идентификатор». Рис. 9.7. Генерация секретного ключа пользователя Выберите опцию <Новый> и <OK>. На запрос идентификатора подключите идентификатор к контактному устройству. Примечание. Секретный ключ может быть уже записан в идентификаторе в следующих случаях: • при перерегистрации пользователя; • при регистрации одного пользователя на нескольких компьютерах с установленной системой «Аккорд». Генерировать секретный ключ следует только при первой регистрации, так как каждая новая генерация затирает предыдущее значение ключа, и идентификатор не будет читаться на других компьютерах. В этом случае выберите опцию <Существующий> и <OK>. На запрос идентификатора подключите идентификатор к контактному устройству. Для назначения пароля пользователя в окне «Параметры пользователя» (см. рис. 9.4) выберите строку «Пароль» и нажмите <Enter>. На экран выводится окно ввода пароля (рис. 9.8). Введите новый пароль. Повторите ввод пароля во второй строке. Пароль может состоять из букв, цифр и специальных символов. 216 Рис. 9.8. Окно ввода пароля Вводимые символы на экране отображаются точками. При несовпадении введенных последовательностей выводится сообщение об ошибке. В этом случае операцию придется повторить. Символы могут вводиться как в верхнем, так и в нижнем регистре. Будьте внимательны! Длина пароля должна быть не меньше параметра, установленного в строке «Минимальная длина» в разделе «Параметры пароля» (см. рис. 9.8). Если длина введенного пароля меньше, выводится сообщение об ошибке. Не допускается ввод в качестве пароля последовательностей типа: '123456' или 'qwerty'. При вводе подобных последовательностей символов выдается сообщение об ошибке. Можно выбрать процедуру генерации пароля случайным образом (кнопка «Сгенерировать»). В этом случае пароль генерируется таким образом, чтобы в нем обязательно присутствовал хотя бы один символ из набора, заданного в параметре «Алфавит пароля» (рис. 9.9). После генерации новый пароль выводится в строке «Новый пароль» и пользователь должен его ввести с клавиатуры в поле «Еще раз». Для сохранения параметров пользователя «Гл. администратор» и выхода в окне «Параметры пользователя» выберите команду <Запись> (клавиша <F2>). 217 Рис. 9.9. Параметры пароля После сохранения параметров пользователя «Гл. администратор» нужно выйти из процедуры редактирования списка пользователей по клавише <Esc> и повторным нажатием этой клавиши из программы администрирования. Выполняется рестарт внутреннего ПО контроллера, и на экран выводится запрос идентификатора и пароля пользователя. После предъявления идентификатора и ввода пароля пользователя «Гл. администратор» появляется меню, в котором уже доступны все пункты, в частности выбор вариантов загрузки ОС. Создание и редактирование пользователя Установите в списке пользователей курсор на заголовке группы «Обычные». Выберите команду <Новый>, или нажмите клавишу <Insert>. На экран выводится окно ввода имени пользователя. Введите имя нового пользователя. Администратор должен присвоить каждому пользователю уникальное в данной вычислительной среде (отдельный компьютер или локальная сеть) имя. Рекомендуется использовать в качестве имени фамилию пользователя. На экран выводится окно ввода-вывода «Параметры пользователя». Зарегистрируйте идентификатор и пароль пользователя. При вводе нового пользователя общие параметры, установленные для группы, присваиваются ему по умолчанию, но в окне «Параметры пользовате218 ля» их можно изменить. Если администратор безопасности изменяет общие параметры группы, то установить их для всех пользователей группы можно по команде <Синхр.> (Синхронизировать). В режиме «Редактирование параметров пользователя» администратор изменяет параметры доступа пользователя к объектам СЗИ. В подменю списка пользователей выберите имя пользователя, параметры которого необходимо отредактировать, нажмите клавишу <Enter>. На экран выводится окно (рис. 9.10). Произведите изменения в окне ввода/вывода «Параметры пользователя». Рис. 9.10. Режим редактирования пользователя Назначьте персональный идентификатор и пароль, таким образом, как это было описано выше. Теперь перейдем к настройке общих параметров пользователя. Для группы «Обычные» (пользователи) установлены следующие общие параметры (см. рис. 9.10): • параметры пароля; • временные ограничения; • режим «Блокирован»; • загрузка ОС; • доступ к устройствам; • результаты ИА (идентификации/аутентификации пользователя). 219 Режим блокировки: При установке флага «Блокирован» в состояние «Да» все параметры пользователя сохраняются в базе данных, но вход в систему и работа данного пользователя будут запрещены. Данный флаг можно использовать для временной блокировки пользователя. После того, как администратор снимет блокировку, работа пользователя восстановится со всеми установленными настройками. Для изменения состояния данного флага достаточно установить курсор в строку «Блокирован» и нажать клавишу <Enter>. Временные ограничения: Администратор может устанавливать для пользователя ограничения на вход в систему с точностью до 30 минут в любой день недели. Выберите пункт «Временные ограничения» и нажмите <Enter>. На экран выводится окно «Временные ограничения» (рис. 9.11). Рис. 9.11. Временные ограничения Клавишами «стрелка» можно перемещаться по матрице времени входа в систему. Клавиша <Пробел> меняет знак «+» на «–» и обратно, т.е. разрешает или запрещает загрузку компьютера данному пользователю в данный временной интервал. Загрузка ОС: В контроллере «Аккорд-АМДЗ» предусмотрена возможность управления режимом загрузки Windows 95/98 и загрузкой различных конфигураций ПО с использованием меню в файле CONFIG.SYS. Для Microsoft Windows XP управление загруз220 кой ОС невозможно, поэтому мы не будем рассматривать этот пункт. Доступ к устройствам. Этот параметр будет рассмотрен в одной из предстоящих лабораторных работ настоящего практикума. Атрибуты доступа. При выборе параметра «Атрибуты доступа» открывается окно (рис. 9.12), в котором «Гл. администратор» может установить набор функций администрирования, доступных «подчиненным» администраторам. Рис. 9.12. Выбор атрибутов доступа администратора к функциям управления Надо заметить, что в правилах настройки СЗИ «Аккорд-АМДЗ» нет ограничений на число пользователей, зарегистрированных в той, или иной группе. Существует только лимит на общее количество записей (128) в базе данных пользователей. Результаты ИА. В разделе «Результаты ИА» устанавливается, какая информация о пользователе, полученная в результате процесса идентификации/аутентификации, будет передаваться из контроллера в программную подсистему разграничения доступа (если таковая установлена на компьютере). Для успешного выполнения процедуры «Автологин», т.е. когда пользователь авторизуется на аппаратном уровне, а программная часть автоматически подгружает его профиль доступа, необходимо включить первые пять флагов «Результатов ИА». Установки по умолчанию (рис. 9.13) предполагают использование только контроллера АМДЗ. 221 Рис. 9.13. Результаты ИА Выход из программы администрирования выполняется по клавише <Esc>, когда Вы находитесь в главном меню. После этого на экране снова появляется стартовое меню администратора. Администратор может выбрать вариант загрузки или перезагрузить компьютер. При корректном входе в систему зарегистрированным идентификатором пользователя меню не выводится, а выполняется обычная загрузка установленной операционной системы. При необходимости получения информации по остальным функциям комплекса обращаться к руководству администратора комплекса «Аккорд-АМДЗ» (Руководство администратора (11443195.4012-006 90 04)). Назначение и краткая характеристика комплекса «Соболь» v.2.0 Комплекс «Соболь» предназначен для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера. Комплекс «Соболь» обеспечивает: • регистрацию пользователей и назначение им персональных идентификаторов и паролей для входа в систему; 222 • идентификацию и аутентификацию пользователей при их входе в систему; • управление параметрами процедуры идентификации пользователя, такими как число неудачных попыток входа, ограничение времени на вход в систему и др.; • регистрацию событий, имеющих отношение к безопасности системы; • контроль целостности файлов на жестком диске; • контроль целостности физических секторов жесткого диска; • защиту от несанкционированной загрузки операционной системы со съемных носителей – дискет, CD-ROM, ZIP-устройств, магнитооптических дисков, USB-устройств и др.; • блокировку компьютера при условии, что после включения компьютера управление не передано расширению BIOS комплекса «Соболь»; • диагностику состояния основных компонентов комплекса – датчика случайных чисел, энергонезависимой памяти, считывателя персональных идентификаторов iButton (TM); • возможность совместной работы с системами защиты семейства Secret Net и АПКШ «Континент». Действие комплекса «Соболь» состоит в проверке полномочий пользователя на вход в систему. Если предъявлены необходимые атрибуты – персональный идентификатор и пароль, пользователь получает право на вход. При их отсутствии вход в систему данного пользователя запрещается. Пояснение. Пользователь получает допуск к компьютеру после регистрации его в списке пользователей комплекса «Соболь». Регистрация пользователей осуществляется администратором и состоит в присвоении пользователю имени, персонального идентификатора и назначении пароля. Регистрация администратора осуществляется при инициализации комплекса. Комплекс «Соболь» включает в свой состав следующие защитные подсистемы и механизмы: • механизм идентификации/аутентификации пользователей; • подсистема контроля целостности; • подсистема запрета загрузки ОС со съемных носителей; 223 • механизм сторожевого таймера; • механизм регистрации событий, имеющих отношение к безопасности системы. Установка ПАК «Соболь» v.2.0 Установка программного обеспечения и подготовка к инициализации комплекса. Программное обеспечение комплекса «Соболь» рекомендуется устанавливать до установки в компьютер платы комплекса. Поместите установочный компакт-диск в привод CD-ROM и запустите на исполнение файл Setup.exe. При появлении на экране сообщения, предупреждающего об отсутствии в компьютере платы комплекса «Соболь», нажмите клавишу <Enter> для продолжения установки. Программа установки выполнит подготовку к установке. После завершения подготовительных действий на экране появится стартовый диалог программы установки. Нажмите кнопку <Далее > для продолжения установки. На экране появится диалог с текстом лицензионного соглашения. Отметьте поле «Я принимаю условия лицензионного соглашения» и нажмите кнопку <Далее >. На экране появится диалог выбора каталога для размещения файлов. Нажмите кнопку <Далее>. В некоторых случаях на экране может появиться диалог со списком программ, использующих в данный момент системные файлы, которые должна обновить программа установки. • Для обновления системных файлов без перезагрузки компьютера закройте перечисленные в списке программы, а затем нажмите в диалоге на кнопку «Повторить». • Для немедленного продолжения установки нажмите на кнопку «Пропустить», но в этом случае по завершении установки вам, скорее всего, будет предложено перезагрузить компьютер. Затем программа установки регистрирует в системе драйвер платы комплекса «Соболь» и формирует шаблоны для контроля целостности. После успешного выполнения процедуры установки на экране появится завершающий диалог программы установки. Нажмите кнопку «Готово». 224 Для инициализации комплекса проделайте следующее: 1. Переключите плату комплекса «Соболь» в режим инициализации. Для этого снимите перемычки, установленные на разъемах платы J0-J1 (рис. 9.14). 2. Выключите компьютер. 3. Вскройте корпус системного блока. 4. Выберите свободный слот системной шины PCI (разъем для плат расширения) и аккуратно вставьте в него плату комплекса «Соболь». 5. Подключите к плате считыватель. 6. Закройте корпус системного блока. Рис. 9.14. Расположение разъемов на плате комплекса «Соболь» Инициализация и настройка общих параметров, регистрация администратора. Процедура инициализации. Включить питание компьютера. На экране появится окно (рис. 9.15), если после включения питания компьютера управление не было передано модулю расширения BIOS комплекса, то окно на экране не появится. 225 Рис. 9.15 Окно инициализации В этом случае необходимо в BIOS Setup разрешить загрузку операционной системы с модулей расширения BIOS сетевых плат. Совет. Прежде чем приступить к инициализации рекомендуется проверить работоспособность комплекса «Соболь». Для этого выберите в меню команду «Диагностика платы» и нажмите клавишу <Enter>. В появившемся на экране меню выберите команду «Выполнить все тесты» и нажмите клавишу <Enter>. После успешного завершения всех тестовых процедур нажмите клавишу <Esc>. После активации в меню администратора команды «Диагностика платы» на экране появится следующее меню (рис. 9.16) Рис. 9.16. Окно диагностики платы Команды этого меню запускают процедуры проверки компонентов комплекса. 226 По завершении каждой процедуры на экран выводится окно с сообщением о ее результате. Тест NVRAM памяти. Этот тест проверяет работоспособность энергонезависимой памяти комплекса «Соболь» − NVRAM памяти. В ходе проверки осуществляются попытки доступа на чтение и запись для каждого сегмента двух банков NVRAM памяти комплекса. Процедура проверки не приводит к потере данных, хранящихся в NVRAM памяти, но только при соблюдении следующего запрета − во время выполнения проверки запрещается проводить перезагрузку компьютера и отключать питание. Тест датчика случайных чисел. Этот тест проверяет работоспособность аппаратного датчика случайных чисел комплекса «Соболь». Тестирование заключается в проверке равномерности распределения случайных чисел, генерируемых датчиком. Процедура выполняется в три прохода, что позволяет повысить надежность получаемых результатов. Тест считывателя iButton. Этот тест проверяет правильность обмена данными между считывателем персональных идентификаторов iButton, подключенным к плате комплекса «Соболь», и идентификатором iButton, предъявляемым во время проверки. Процедура проверки не приводит к потере данных, хранящихся в идентификаторе. Последовательное выполнение всех тестов. При использовании этой процедуры обратите внимание на особенность выполнения теста считывателя iButton − запрос персонального идентификатора на экран не выводится. Поэтому следует персональный идентификатор, предназначенный для проверки, заблаговременно привести в соприкосновение со считывателем, если этого не сделать, то выдастся сообщение об ошибке (рис. 9.17). Рис. 9.17. Ошибка чтения идентификатора. Идентификатор не был заблаговременно помещен в считыватель 227 Ошибки при диагностике Причина: произошла ошибка при обмене данными с указанным банком NVRAM памяти комплекса «Соболь». В первом случае ошибка вызвана нарушением механизма обмена данными с памятью, во втором − несовпадением записанных и прочитанных данных. Действия: повторите проверку NVRAM памяти. При многократном повторении данного результата обратитесь в службу технической поддержки поставщика комплекса. Причина: указанное число раз проверка равномерности распределения случайных чисел, генерируемых датчиком случайных чисел комплекса «Соболь», завершилась неудачей. Действие: повторите проверку датчика случайных чисел. При многократном повторении данного результата обратитесь в службу технической поддержки поставщика комплекса. Причина: произошла ошибка при обмене данными между предъявленным персональным идентификатором и считывателем. Возможно, испорчен идентификатор или неисправен считыватель. Действие: повторите тест, предъявив другой идентификатор. Если тест завершился без ошибок − считыватель исправен. Выполните форматирование предъявленного ранее идентификатора и повторите тест. Если ошибка устойчиво повторяется − идентификатор не исправен, обратитесь в службу технической поддержки поставщика комплекса. 228 Причина: при последовательном выполнении всех тестов во время проверки считывателя iButton не был предъявлен персональный идентификатор. Действие: приведите персональный идентификатор в соприкосновение со считывателем и повторите процедуру или выполните проверку считывателя iButton отдельно от остальных проверок. Настройка общих параметров После выполнения команды «Инициализации платы» появляется окно «Общие параметры системы» (рис. 9.18). Рис. 9.18. Общие параметры системы Внимание! Если не найден каталог установки ПО комплекса «Соболь» (обычно C:\Sobol) или в этом каталоге отсутствуют файлы шаблонов для контроля целостности ненулевой длины (bootfile.nam, bootfile.chk, bootsect.nam, bootsect.chk), параметру «Контроль целостности файлов и секторов» присваивается значение «Нет». При попытке изменить значение этого параметра на экране появится окно для ввода пути к каталогу с файлами шаблонов. Если путь к каталогу был изменен при установке ПО комплекса «Соболь», введите этот путь и нажмите клавишу <Enter>. Учитывайте, что для каталогов, размещающихся на дисках с файловой системой FAT12, FAT16 и FAT32, длинные имена (более 8 символов) надо указывать в краткой форме, например «progra~1». Узнать краткую форму записи имени можно с помощью команды DIR или 229 менеджеров файлов, например Total Commander. При обнаружении заданного каталога и находящихся в нем файлов шаблонов для контроля целостности параметр примет значение «Да», иначе значение параметра не изменится. «Версия криптографической схемы», настройка которой выполняется только при инициализации комплекса «Соболь», является обязательной. Внимание! Администратор, обслуживающий несколько комплексов «Соболь», должен на всех обслуживаемых комплексах установить одинаковую версию криптографической схемы. Установите для параметра «Версия криптографической схемы» значение: • «2.0» − если не требуется обеспечивать совместимость с предыдущими версиями комплекса, рекомендуется выбирать это значение параметра. Пояснение. В этом случае невозможна повторная регистрация администратора и пользователей данного комплекса «Соболь» на комплексах предыдущих версий. Также невозможна повторная регистрация администратора и пользователей комплексов предыдущих версий на данном комплексе «Соболь»; • «1.0» − чтобы обеспечить совместимость с предыдущими версиями комплекса. Остальные параметры системы не требуют пояснения, так как их назначение очевидно из их названия. Выполнив настройку параметров, нажмите клавишу <Esc> для сохранения изменений и продолжения процедуры инициализации. Начнется тестирование правильности работы датчика случайных чисел (ДСЧ). Если тестирование ДСЧ завершилось с ошибкой, в строке сообщений появится сообщение об этом. Для продолжения работы требуется перезагрузить компьютер − нажмите любую клавишу. В строке сообщений появится дополнительное сообщение о необходимости перезагрузки. Нажмите еще раз любую клавишу. Компьютер будет перезагружен. Совет. Для перезагрузки компьютера используйте также комбинацию клавиш <Alt>+<Ctrl>+<Del>. Если тестирование ДСЧ завершено успешно (получен положительный результат), инициализация комплекса будет продолжена. 230 Регистрация администратора При регистрации администратора ему назначается пароль для входа в систему и присваивается персональный идентификатор. Процедура регистрации может выполняться в одном из двух вариантов. Первичная регистрация администратора (рис. 9.19), при выполнении которой в персональный идентификатор администратора записывается новая служебная информация о регистрации. Рис. 9.19. Окно запроса Если идентификатор содержит служебную информацию, например, записанную в идентификатор при инициализации другого комплекса «Соболь», она будет уничтожена и администратор не сможет управлять работой другого комплекса. Повторная регистрация администратора, при выполнении которой служебная информация, записанная в персональный идентификатор при первичной регистрации администратора, считывается из идентификатора без ее изменения, что позволяет администратору использовать один и тот же идентификатор для входа в систему на нескольких компьютерах, оснащенных комплексами «Соболь». Рекомендации: • Если при установке нескольких комплексов «Соболь» на первом из них выполняется первичная регистрация администратора, а на всех остальных − повторная регистрация администратора, тогда администратор сможет управлять всеми комплексами, используя один и тот же персональный идентификатор. • При выполнении повторной инициализации находящегося в эксплуатации комплекса «Соболь» рекомендуется проводить повторную регистрацию администратора. Для первичной регистрации администратора выберите «Да» (см. рис. 9.19) и нажмите клавишу <Enter>. На экране появится 231 диалог для ввода пароля администратора. Если оба значения пароля совпали, на экране появится запрос: «Прислоните и удерживайте персональный идентификатор». При присвоении персонального идентификатора в него записывается служебная информация. • Если персональный идентификатор регистрировался ранее на другом компьютере и уже содержит служебную информацию, на экране появится предупреждение (рис. 9.20): Рис. 9.20. Предупреждение о ранее возможной регистрации идентификатора • Если же структура данных персонального идентификатора нарушена или в нем недостаточно свободного места для записи служебной информации, на экране появится запрос на форматирование персонального идентификатора (рис. 9.21). Рис. 9.21. Запрос на форматирование идентификатора При форматировании персонального идентификатора вся информация, содержащаяся в его памяти, будет полностью утеряна без возможности восстановления. Для отказа от форматирования нажмите клавишу <Esc>, на экране вновь появится запрос персонального идентификатора. Для повторной регистрации администратора в окне «Запрос» выберите «Нет» и воспользуйтесь паролем и персональным идентификатором, назначенным ему при первичной регистрации. 232 Контрольные суммы В том случае если общему параметру «Контроль целостности файлов и секторов» присвоено значение «Да», на экране появится запрос, предлагающий рассчитать контрольные суммы. При подтверждении начнется расчет эталонных значений контрольных сумм объектов, заданных исходными шаблонами для контроля целостности, при этом на экране будет отображаться процесс расчета. Если при расчете контрольных сумм не найден один или несколько файлов или секторов, заданных шаблонами для контроля целостности, по окончании процедуры расчета на экране появится запрос на запрет контроля целостности (рис. 9.22). Рис. 9.22. Ошибка расчета контрольных сумм Выберите: • «Да» − для отключения контроля целостности файлов и секторов, выполняемого при входе пользователей в систему. Пояснение. В этом случае следует выполнить корректировку шаблонов для контроля целостности рассчитать эталонные значения контрольных сумм и включить параметр «Контроль целостности файлов и секторов». • «Нет» − чтобы не отключать контроль целостности файлов и секторов. Пояснение. В этом случае контроль целостности файлов и секторов будет выполняться с ошибками, что приведет к невозможности входа пользователей в систему. Завершив инициализацию, обязательно выполните корректировку шаблонов для контроля целостности, затем повторно рассчитайте эталонные значения контрольных сумм. Подробно о проведении корректировки шаблонов для контроля целостности рассказано в документации ПАК «Соболь» v.2.0 (Руководство по администрированию (УВАЛ. 00300-58-01 91)). 233 По окончании инициализации появится сообщение, показанное на рис. 9.23. Рис. 9.23. Завершение процесса инициализации комплекса Создание и редактирование пользователя, назначение пользователям персональных идентификаторов и паролей Для того чтобы перевести комплекс из режима инициализации в рабочий режим, сделайте следующее: 1. Выключите компьютер. 2. Вскройте корпус системного блока. 3. Отсоедините считыватель от платы комплекса «Соболь»: 4. Аккуратно извлеките плату комплекса «Соболь» из разъема системной шины PCI. 5. Установите перемычки на разъемах платы J0-J1. 6. Аккуратно вставьте плату комплекса «Соболь» в разъем системной шины PCI и закрепите планку крепления платы крепежным винтом. 7. Подключите к плате считыватель. 8. Закройте корпус системного блока. Выполнив все указанные действия, включите компьютер и перейдите к управлению комплексом «Соболь». Меню администратора Включите питание или выполните перезагрузку компьютера. На экране появится окно, в центре которого будет отображаться запрос персонального идентификатора, предъявите идентификатор администратора и введите пароль. При успешном завершении тестирования на экране появится информационное окно (рис. 9.24). 234 Рис. 9.24. Информационное окно После нажатия на любую клавишу появится окно администратора (рис. 9.25). Рис. 9.25. Окно администратора Команды меню администратора: Список пользователей. Регистрация пользователей, удаление. Настройка параметров пользователя. Журнал регистрации событий. Просмотр записей о событиях, зарегистрированных комплексом «Соболь», представленных в табличной форме. Каждая строка таблицы содержит сведения об одном событии. Первая строка содержит запись о самом последнем из зарегистрированных событий, а нижняя строка − запись о событии, зарегистрированном раньше всех остальных. Расчет контрольных сумм. Расчет эталонных значений контрольных сумм для объектов, заданных шаблонами контроля целостности. Общие параметры системы. Настройка общих параметров комплекса. Смена пароля. Изменение пароля администратора. 235 Смена аутентификатора. Смена аутентификатора администратора. Диагностика платы. Проверка работоспособности комплекса. Пояснение. Аутентификатор − структура данных, хранящаяся в персональном идентификаторе пользователя (аутентифицирующая информация пользователя), которая наравне с паролем пользователя участвует в процедуре аутентификации пользователя. Создание и редактирование пользователей Выберите команду «Список пользователей», чтобы приступить к управлению пользователями. После выбора появится окно «Зарегистрированные пользователи» со списком пользователей в нижней части и настройками учетной записи в верхней (рис. 9.26). Рис. 9.26. Зарегистрированные пользователи В верхней части окна даны сведения о пользователе и перечень параметров учетной записи. • «Имя пользователя». • «Номер ТМ-идентификатора». • «Время последнего входа». 236 • «Общее количество входов». • «Количество неудачных попыток входа». • «Текущий статус пользователя». • «Режим контроля целостности». • «Запрет загрузки с внешних носителей». • «Ограничение срока действия пароля». • «Замена аутентификатора при смене пароля». Количество неудачных попыток входа. Значение данного параметра равно «0», если число неудачных попыток входа, выполненных пользователем во время последнего сеанса входа в систему, меньше значения общего параметра «Предельное число неудачных входов пользователя» и пользователь завершил сеанс успешным входом в систему. Значение данного параметра больше «0», если число неудачных попыток входа, выполненных пользователем во время последнего сеанса входа в систему, достигло числа, заданного общим параметром «Предельное число неудачных входов пользователя». При этом вход пользователя в систему блокируется автоматически. Для разблокирования входа пользователя в систему выберите строку с названием данного параметра и нажмите клавишу <Enter>. Параметр примет значение «0». Затем установите для параметра «Текущий статус пользователя» значение «Не блокирован». Текущий статус пользователя. Управляет блокировкой входа пользователя в систему. Параметр может принимать два значения: «Блокирован» − вход пользователя в систему запрещен, или «Не блокирован» − вход пользователя в систему разрешен. Если вход пользователя в систему запрещен, то при попытке входа в систему, даже если пользователь правильно указал пароль, на экран выводится сообщение «Ваш вход в систему запрещен Администратором» и компьютер блокируется. Режим контроля целостности. Определяет для данного пользователя режим работы подсистемы контроля целостности. Параметр может принимать два значения: «Жесткий» − включен жесткий режим, или «Мягкий» − включен мягкий режим. • Жесткий режим. Если при входе данного пользователя в систему обнаружены нарушения целостности контролируемых объектов, вход пользователя в систему запрещается и компьютер блоки237 руется. В журнале регистрируется событие «Ошибка при контроле целостности». • Мягкий режим. Если при входе данного пользователя в систему обнаружены нарушения целостности заданных файлов и секторов, вход пользователя в систему разрешается. В журнале событий регистрируется событие «Ошибка при контроле целостности». Запрет загрузки с внешних носителей. Позволяет разрешить пользователю загружать операционную систему со съемных носителей − дискет, CD-ROM, ZIP-устройств, магнитооптических дисков, USB-устройств и др. Параметр может принимать два значения: «Да» − загрузка ОС со съемных носителей запрещена, или «Нет» − загрузка ОС со съемных носителей разрешена. Чтобы исключить возможность модификации защищенной энергонезависимой памяти комплекса «Соболь», в режиме совместного использования рекомендуется запретить всем пользователям загрузку ОС со съемных носителей. Ограничение срока действия пароля. Позволяет включить для пользователя режим устаревания пароля. Параметр может принимать два значения: «Да» − режим включен, или «Нет» − режим отключен. При включении этого режима по истечении периода времени, заданного общим параметром «Максимальный срок действия пароля», текущий пароль пользователя перестает быть действительным, и при входе в систему пользователю будет предложено сменить свой пароль, без чего он не сможет загрузить операционную систему. Если для пользователя включен режим замены аутентификатора при смене пароля, то ограничение срока действия распространяется и на аутентификатор пользователя. Для присвоения параметру значения «Да» требуется присутствие данного пользователя. На экране появится диалог для ввода текущего пароля пользователя. Попросите пользователя ввести свой пароль и нажать клавишу <Enter>, затем предъявите персональный идентификатор данного пользователя. Параметр доступен для управления только в том случае, когда пользователю присвоен персональный идентификатор DS1994, имеющий встроенный таймер. Замена аутентификатора при смене пароля. Позволяет включить для пользователя режим принудительной замены аутентификатора при выполнении им процедуры смены пароля. Параметр 238 может принимать два значения: «Да» − режим включен, или «Нет» − режим отключен. Создание пользователя осуществляется нажатием клавиши «Insert». При регистрации нового пользователя в списке пользователей комплекса «Соболь» ему присваиваются следующие атрибуты: • имя; • аутентификатор и пароль для входа в систему; • персональный идентификатор iButton. Служебная информация о пользователе сохраняется в энергонезависимой памяти комплекса «Соболь» − создается учетная запись пользователя. Кроме того, в персональный идентификатор, присвоенный пользователю, записывается служебная информация о регистрации. Процедура регистрации пользователей, так же как и для администратора может выполняться в одном из двух вариантов: первичная регистрация, повторная регистрация. После нажатия на клавишу «Insert» появится окно, в котором необходимо ввести имя пользователя, дальнейшие действия для завершения регистрации пользователя ничем не отличаются от действий регистрации администратора. ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ 1. Установка и настройка «Аккорд–NT/2000» v.3.0 Установить в свободный PCI слот контроллер «Аккорд-АМДЗ» согласно инструкции, приведенной выше в настоящем ТЛП. Выполнить регистрацию администратора ИБ. Если контроллер использовался до этого, то сначала следует очистить его память. Для этого необходимо извлечь контроллер из PCI слота и с помощью отвертки открутить два винта, которые крепят металлическую планку. После этого вставить контроллер в компьютер. Вставить дискету для очистки памяти контроллера, командой IP5x.exe произвести очистку памяти. После того как контроллер будет очищен необходимо будет выключить компьютер, изъять контроллер и прикрутить металлическую планку тем самым вернув контроллер в нормальный режим работы. 239 2. Задание пользователям персональных идентификаторов и паролей для доступа в систему Создать пользователя, задать ему персональный идентификатор и пароль. После регистрации в СЗИ «Аккорд» хотя бы одного пользователя производится контроль аппаратуры при каждой загрузке компьютера после идентификации/аутентификации пользователя. Если обнаруживается несовпадение параметров конфигурации, записанных в памяти контроллера и текущих параметров системы, то выдается сообщение на красном фоне «Разберитесь с ошибками» и загрузка компьютера блокируется для обычного пользователя, или выводится стартовое меню, если идентифицирован администратор. Может встречаться ситуация, когда после перезагрузки «Аккорд» сообщает, что есть ошибки в контрольной сумме BIOS и доп. BIOS, хотя никаких изменений в настройках BIOS не выполнялось. В процедуре контроля аппаратуры видны ошибки, контрольные суммы не совпадают. Администратор обновляет данные, но после перезагрузки все повторяется: снова сообщение об ошибке контроля аппаратуры. В данном случае в компьютере достаточно «интеллектуальная» материнская плата, или устройство с расширенным собственным BIOS. При каждой перезагрузке, или выключении они записывают информацию в определенные области своих BIOS. Бессмысленно каждый раз пересчитывать контрольные суммы того, что меняется при перезагрузке. Нужно исключить меняющиеся параметры из списка контролируемых объектов клавишей <->, или <Del> и пересчитать КС (комбинация клавиш Alt-U). 3. Проведение испытаний организации контроля доступа к АРМ Выполнить вход в систему от созданного пользователя. Убедиться в правильности настроек системы защиты, для этого провести серию испытаний: • воспользоваться другим идентификатором; • ввести неверный пароль при верном идентификаторе, удостовериться в блокировке доступа пользователя к системе после неудачных попыток ввода пароля; 240 • проверить фиксацию попыток НСД в журнале событий. 4. Создание отчета о проделанной работе В отчете указать в краткой форме как организована защита АРМ, привести результаты проверочных испытаний, на основе которых сделать вывод об организации контроля доступа к АРМ. Также при составлении отчета воспользоваться системным журналом (для расшифровки аббревиатур используемых в журнале воспользоваться документацией комплекса «Руководство администратора» (11443195.4012-006 90 04)). 5. Установка и настройка комплекса «Соболь»v.2.0 Чтобы установить комплекс «Соболь», не требуется производить дополнительных действий, как в случае с комплексом «Аккорд» − достаточно придерживаться инструкций, описанных в соответствующем пункте настоящего ТЛП. Установить комплекс. Зарегистрировать администратор. Выполнить пункты 3–5. Тестовые задания к работе 9 Входной контроль 1. Что такое «Аккорд АМДЗ»? a) контроллер аппаратной части; b) считывающее устройство для идентификатора; c) аппаратный модуль доверенной загрузки. 2. Что такое ACDOS? a) утилита для очистки памяти контроллера; b) внутренняя операционная система контроллера «Аккорд АМДЗ»; c) программа администратора для управления пользователями. 3. Почему после начальной инициализации комплекса «Аккорд АМДЗ» в строке команд недоступны пункты «Контр» и «Журнал»? a) нет зарегистрированных пользователей; 241 b) пользователи не имеют доступ к этим пунктам; c) установлен запрет на использование этих пунктов. 4. Кто такой пользователь «SUPERVISOR»? a) системный пользователь комплекса «Аккорд АМДЗ»; b) главный администратор безопасности комплекса «Аккорд АМДЗ»; c) администратор. 5. Что такое идентификация? a) присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов; b) процесс определения пользователей системы; c) проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. 6. Что такое аутентификация? a) присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов; b) процесс определения пользователей системы; c) проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. 7. Для чего предназначен комплекс «Соболь»? a) для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера; b) для того чтобы усилить защиту ПЭВМ, на котором уже установлен комплекс «Аккорд АМДЗ»; c) для обеспечения контроля целостности; d) для создания изолированной среды пользователей. 8. Для чего служат разъемы J0-J1 на плате комплекса «Соболь»? a) для выбора режима инициализации; b) для подключения внешнего считывателя; c) для подключения внутреннего считывателя. 9. Что необходимо сделать, в случае, когда управление не передается в модуль расширения BIOS комплекса «Соболь»? a) необходимо в BIOS Setup разрешить загрузку операционной системы модулей расширения BIOS сетевых плат; 242 b) переустановить плату; c) провести диагностику платы и выявить, почему плата не работает. 10. Что такое повторная регистрация администратора/ пользователя? a) регистрация, при которой администратор/пользователь сможет иметь доступ в систему на нескольких компьютерах; b) обычная регистрация для обновления служебной информации хранящейся в идентификаторе; c) такого типа регистрации не существует. Выходной контроль 1. Какой командой очищается память контроллера «Аккорд АМДЗ»? a) Clrmem.exe; b) IP5x.exe; c) MClr.exe; d) IP5.exe. 2. В каком случае необходимо генерировать секретный ключ для пользователей, на АРМ которых установлен комплекс «Аккорд»? a) каждый раз при регистрации пользователя; b) только, если проводится первичная регистрация; c) если пользователь забыл пароль или потерял идентификатор. 3. Какие действия необходимо выполнить администратору, если возникли ошибки в контрольной сумме BIOS? («Аккорд АМДЗ»)? a) исключить меняющиеся параметры; b) провести обновление контрольных сумм; c) выполнить оба вышеприведенных пункта. 4. Можно ли установить настройки пользователя независимо от настроек группы, к которой он принадлежит? a) да; b) нет; c) только, если эта группа администраторов. 243 5. Что происходит при корректном входе пользователя в систему? a) выполняется загрузка установленной операционной системы; b) появляется меню пользователя; c) выполняется загрузка изолированной программной среды пользователя. 6. Какие компоненты проверяются при диагностике платы «Соболь»? a) тест энергонезависимой памяти; b) тест считывателя iButton; c) тест ДСЧ; d) тест разъемов J0-J1; e) тест разъемов подключения внешних носителей. 7. Какие действия предпринимаются комплексом «Соболь», в случае ввода неверного пароля пользователем, больше допустимого значения установленного администратором? a) блокировка учетной записи пользователя; b) блокировка АРМ; c) перезагрузка АРМ. 8. Какие атрибуты присваиваются новому пользователю при регистрации? a) имя; b) идентификатор; c) аутентификатор и пароль; d) все вышеприведенные. 9. За что отвечает параметр «Текущий статус пользователя»? a) управляет блокировкой доступа пользователя в систему; b) показывает, заблокирован ли вход пользователя или нет, а также причину блокировки; c) показывает, заблокирован вход пользователя или нет. 10. Что необходимо делать, чтобы перевести комплекс «Соболь» в рабочий режим? a) установить перемычки J0-J1; b) установить перемычку J0; c) установить перемычку J1. 244 Работа 10 ПРОВЕРКА НАСТРОЕК РАЗРЕШИТЕЛЬНОЙ СИСТЕМЫ ДОСТУПА К ФАЙЛОВЫМ СИСТЕМАМ С ИСПОЛЬЗОВАНИЕМ СПЕЦИАЛИЗИРОВАННЫХ ТЕСТИРУЮЩИХ СРЕДСТВ И ШТАТНЫХ СРЕДСТВ ИЗ СОСТАВА ОС Цель: получение практических навыков по проведению аттестации объекта информатизации, с помощью сертифицированного программного обеспечения. Разграничение доступа с помощью стандартных средств ОС Windows XP. Предотвращение попыток НСД. Изучение программ «Ревизор 1 ХР», «Ревизор 2 ХР». Разграничение доступа к объектам АРМ. ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Создание проекта разграничения доступа (ПРД). 2. Настройка автоматизированного рабочего места (АРМ) в соответствии с созданным проектом при помощи стандартных средств из состава Windows XР. 3. Проведение тестирования АРМ на соответствие с ПРД, анализ отчета. 4. Моделирование несоответствия реальной модели разграничения доступа реализованной на АРМ с ПРД. Повторное тестирование АРМ, анализ отчета. 5. Подготовка отчета для сдачи лабораторной работы. ОСНОВНЫЕ ВОЗМОЖНОСТИ ПРОГРАММНЫХ СРЕДСТВ КОНТРОЛЯ СИСТЕМЫ РАЗГРАНИЧЕНИЯ ДОСТУПА Работа с программным средством «Ревизор 1 ХР» «Ревизор 1 XP» предназначен для создания и редактирования модели системы разграничения доступа (СРД). В дальнейшем модель СРД будет называться проектом разграничения доступа (ПРД). При этом программой выполняются следующие функции: 245 1. Автоматическое сканирование локальных логических дисков, а также доступных сетевых папок. Выбор ресурсов для сканирования осуществляется администратором АРМ. 2. Автоматическое считывание установленных прав доступа файловой системы NTFS (для АРМ под управлением ОС семейства Windows NT). 3. Построение по результатам сканирования дерева ресурсов, соответствующего структуре ресурсов АРМ и ЛВС. 4. Автоматическое получение списка локальных и доменных пользователей (для АРМ под управлением ОС семейства Windows NT). 5. Ручная регистрация в ПРД пользователей и установка их уровней допуска. 6. Установка прав доступа пользователей к объектам доступа, а также грифов секретности объектов доступа. 7. Отображение всей информации, содержащейся в ПРД, в удобной форме. 8. Создание отчетов на основе информации о субъектах и объектах доступа. Программа выполняется администратором АРМ. Условия применения Требования к техническим средствам. Рекомендуемая конфигурация ПЭВМ АРМ: • процессор – Intel Pentium и выше; • ОЗУ – 64 МБ; • на ЖМД не менее 40 Мбайт дискового пространства; • видеоадаптер – SVGA. При улучшении конфигурации ПЭВМ «Ревизор 1 XP» выполняется быстрее. Требования к программному обеспечению. «Ревизор 1 ХР» работает под управлением ОС Windows 95, 98, Me, NT 4, 2000, XP и Server 2003. Дополнительных требований к программному обеспечению не предъявляется. 246 Входные и выходные данные Входные данные: • Структура ресурсов АРМ и ЛВС. При выполнении сканирования «Ревизор 1 XP» получает информацию об этой структуре и сохраняет ее в ПРД. • Установленные права доступа файловой системы NTFS. • Списки локальных и доменных пользователей системы. • Информация о разрешительной системе. Вносится администратором при обработке ПРД. Выходные данные: • ПРД. Физически ПРД сохраняется в виде файла с расширением ARX. • Отчеты на основе информации, содержащейся в ПРД, в формате HTML. Функции программы Сканирование ресурсов. В ходе сканирования «Ревизор 1 XP» получает информацию о структуре ресурсов АРМ (ЛВС) и сохраняет ее в памяти ПЭВМ. Считывание прав доступа NTFS. В ходе сканирования дисков с файловой системой NTFS «Ревизор 1 XP» считывает установленные права доступа и преобразует их в формат, используемый для представления прав доступа в ПРД. Эта функция доступна при запуске программы под управлением ОС семейства Windows NT. Построение дерева ресурсов. По результатам сканирования «Ревизор 1 XP» автоматически строит иерархическую структуру, соответствующую структуре ресурсов АРМ. Получение списка локальных и доменных пользователей. «Ревизор 1 ХР» получает списки учетных записей пользователей, зарегистрированных как непосредственно на АРМ, так и на контроллере домена (в случае, если АРМ входит в состав домена). Эти пользователи регистрируются в ПРД наравне с другими субъектами доступа. Эта функция доступна при запуске программы под управлением ОС семейства Windows NT. Создание и удаление пользователей. «Ревизор 1 ХР» позволяет вручную добавлять и удалять пользователей ПРД. При создании 247 администратор указывает, какие права доступа получит создаваемый пользователь: либо права доступа по умолчанию, либо права доступа текущего пользователя. При удалении пользователя все установленные для него права доступа теряются. Моделирование разрешительной системы. При моделировании разрешительной системы администратор устанавливает грифы секретности на объекты доступа, а также настраивает права доступа для созданных пользователей. Создание отчетов на основе информации о субъектах и объектах доступа. «Ревизор 1 ХР» формирует отчеты в формате HTML на основе информации, содержащейся в ПРД. Выполнение программы Для установки «Ревизор 1 ХР» нужно скопировать главный исполняемый файл Revizor1XP.exe в любой каталог на жестком диске. Никаких дополнительных действий по установке не требуется. Вызов «Ревизор 1 ХР» осуществляется выполнением главного исполняемого файла Revizor1ХР.exe. Окно программы (рис. 10.1) имеет следующие элементы: • строка меню; • панель инструментов; • дерево каталогов; • список содержимого каталогов; • список пользователей; • строка состояния. Меню дублирует все функции, доступные с панели инструментов. На панели инструментов расположены следующие кнопки: – создание нового проекта; – открытие проекта; – сохранение проекта; – включение/выключение режима наследования разрешений. Если этот режим включен, изменения прав доступа к каталогу будут распространяться на его содержимое; – создание нового пользователя; – удаление пользователя; – создание отчета. 248 Рис. 10.1. Главное окно программы Помимо этого, из меню могут быть дополнительно вызваны следующие функции: • «Сохранить как» − сохранить текущий проект под другим именем. • «Сведения о проекте» − отображение дополнительной информации о проекте, такой как количество пользователей, количество файлов, и прочей. Кнопки панели инструментов имеют всплывающие подсказки, появляющиеся при задержке курсора мыши над ними. Если команда, соответствующая кнопке недоступна, кнопка также недоступна и отображается в сером цвете. Дерево каталогов отображает структуру каталогов, полученную в результате сканирования. При выборе какого-нибудь каталога его содержимое отображается в правой части окна программы (в списке содержимого каталога). Список содержимого каталога отображает список объектов, находящихся в выбранном каталоге, а также права доступа («+» озна249 чает наличие доступа, «−» − отсутствие) и грифы секретности для них. При двойном щелчке на каталоге (или объекте, который имеет дочерние объекты) осуществляется переход в каталог. Список пользователей отображает зарегистрированных в проекте пользователей, а также их уровни допуска. Строка состояния отображает информацию о текущей выполняемой операции. Создание нового ПРД Для создания нового ПРД используется кнопка на панели инструментов или соответствующий пункт меню. После нажатия на эту кнопку на экране появляется окно настройки параметров создаваемого ПРД (рис.10.2). Рис. 10.2. Окно создания нового ПРД Данное окно содержит список доступных для сканирования ресурсов. В список ресурсов изначально включаются имеющиеся на компьютере логические диски. Также в него могут быть добавлены общие сетевые папки. Для этого надо вызвать окно обзора сети с 250 помощью кнопки . При этом программа выполнит сканирование сети и сформирует дерево доступных сетевых ресурсов (рис. 10.3). В появившемся окне нужно отметить требуемые сетевые ресурсы и нажать кнопку «ОК». Отмеченные ресурсы будут добавлены в список выбора ресурсов для сканирования. Рис. 10.3. Окно выбора сетевых ресурсов Следует обратить внимание, что в некоторых случаях сканирование сети, проводимое программой, может занять достаточно длительное время (например, если в сети много доменов или рабочих групп, членом которых не является данное АРМ). В таких случаях может быть использована возможность ручного добавления сетевых ресурсов в список. Для этого нужно ввести в поле редактирования «Сетевой путь» имя общей папки в формате \\<Имя сервера>\<имя общей папки> и нажать кнопку . Удалить ненужные сетевые ресурсы из списка можно нажатием кнопки . В списке ресурсов необходимо отметить те ресурсы, которые должны быть включены в проект. Помимо выбора ресурсов, необходимо еще задать следующие параметры создаваемого проекта: 251 «Получить список пользователей» − определяет, будут ли в ходе создания проекта считываться списки пользователей АРМ и домена. При запуске программы под управлением ОС Windows 9x этот параметр недоступен. «Считывать права доступа NTFS» − определяет, будут ли при сканировании автоматически считываться установленные права доступа NTFS. Для включения данного параметра необходимо, чтобы был включен параметр «Получить список пользователей». В случае если файловая система диска отлична от NTFS, включение данного параметра не окажет никакого эффекта. При запуске программы под управлением ОС Windows 9x этот параметр недоступен. «Права доступа по умолчанию» − определяет, какие права доступа получат пользователи, если не было произведено считывание установленных прав доступа NTFS. Возможен выбор «Все разрешено» или «Все запрещено». После установки параметров проекта и нажатия на кнопку «ОК» программа выполняет сканирование ресурсов. Ход сканирования отображается в окне информации о выполняемой операции. Сканирование может быть прервано нажатием кнопки «Отмена» (рис. 10.4). Рис. 10.4. Окно информации о выполняемой операции При выполнении сканирование следует учитывать, что наличие запущенных антивирусных мониторов или прочих подобных программ может сильно снизить скорость сканирования. Права доступа к объектам Список содержимого каталога реализован в виде таблицы, имеющей семь столбцов. 252 В первом столбце отображаются имена файлов или каталогов. Столбцы со второго по шестой соответствуют правам доступа к объектам. Поддерживаются следующие виды доступа: • чтение (R) – чтение данных из файла; • запись (W) – запись данных в файл; • удаление (D) – удаление файла • добавление (A) – создание файлов в каталоге; • исполнение (X) – запуск исполняемого файла. Отсутствие или наличие права определяется знаком «+» или «−», отображаемом в соответствующем столбце напротив имени файла. Седьмой столбец отображает информацию о грифе секретности объекта. Для объекта доступа гриф секретности может принимать следующие значения: • «−» − несекретный объект; • «Д» − гриф «Для служебного пользования»; • «С» − гриф «Секретно»; • «СС» − гриф «Сов. секретно». Права доступа и грифы секретности изменяются одиночным нажатием правой кнопкой мыши на ячейке таблицы, соответствующей требуемому имени объекта и праву доступа. При этом если включен режим наследования разрешений, изменения распространятся и на дочерние объекты. Работа со списком пользователей После сканирования ресурсов следующим шагом является формирование списка пользователей. Этот список может уже содержать локальные и доменные пользователи в случае, если был включен режим «Получить список пользователей». на Для создания пользователя необходимо нажать кнопку панели инструментов или выбрать соответствующий пункт меню. После нажатия на эту кнопку на экране появляется окно создания нового пользователя (рис. 10.5). В этом окне нужно ввести имя пользователя и указать способ создания пользователя − новый пользователь будет создан с права253 ми доступа по умолчанию или с правами доступа текущего пользователя. Рис. 10.5. Создание нового пользователя При создании нового пользователя требуется, чтобы его имя было уникальным в проекте. Если пользователь с введенным именем уже существует, будет выдано сообщение о невозможности создания пользователя. Для удаления пользователя нужно выделить его имя в списке пользователей и нажать кнопку на панели инструментов. Пользователь будет удален из проекта, назначенные для него права доступа будут утеряны. Открытие и сохранение ПРД Для открытия проекта используется кнопка панели инструментов. После нажатия на нее на экране появляется диалог открытия файла, в котором нужно выбрать файл проекта. Для сохранения проекта используется кнопка панели инструментов. Если проект сохраняется впервые, то на экране появляется диалог сохранения, в котором нужно выбрать файл для сохранения проекта. Дальнейшие сохранения проходят без запроса. Для того чтобы сохранить проект под другим именем используется функция «Сохранить как …», доступная в меню «Файл». Создание отчетов Создание отчета по текущему ПРД осуществляется с помощью кнопки . После нажатия на нее, на экране появляется окно выбора объектов и субъектов доступа (рис. 10.6), которые должны быть 254 включены в отчет (ввиду большого объема информации, обычно содержащейся в ПРД, отчеты, как правило, должны иметь выборочный характер). Рис. 10.6. Окно настройки параметров формирования отчета Следует обратить внимание, что выделение какого-либо узла дерева объектов доступа не приводит к выделению его содержимого. Для выделения содержимого узла необходимо использовать контекстное меню, вызываемое нажатием правой кнопки мыши. Помимо выбора объектов и субъектов доступа, могут быть изменены следующие параметры: «Добавлять информацию о грифах секретности» − в отчет будет включена информация о грифах секретности выделенных объектов доступа. «Добавлять информацию о правах доступа» − в отчет будет включена информация о правах доступа выбранных пользователей по отношению к выбранным объектам доступа. 255 «Добавить список пользователей» − в отчет будет отдельно включен полный список пользователей проекта. После задания параметров и нажатия кнопки «ОК» будет запрошено имя файла для сохранения отчета и создан отчет. Программа формирует отчет в формате HTML. Файлы в этом формате могут быть открыты любым Web-браузером (например, Internet Explorer) либо импортированы в офисные приложения, такие как Microsoft Word. Работа с программным средством «Ревизор 2 ХР» «Ревизор 2 XP» предназначен для автоматизированной проверки соответствия прав пользователей по доступу к защищаемым информационным ресурсам АРМ, описанным в модели системы разграничения доступа (СРД), реальным правам доступа, предоставляемым установленной на АРМ системой защиты информации, либо соответствующей операционной системой. Возможности программы. «Ревизор 2 XP» выполняет следующие функции: 1) отображение всей информации, содержащейся в ПРД (возможен только просмотр); 2) сравнение структуры ресурсов АРМ, описанной в ПРД, с реальной структурой ресурсов; 3) создание отчета по результатам сравнения; 4) построение плана тестирования объектов АРМ; 5) проверка реальных прав доступа пользователей к объектам доступа; 6) создание отчета по результатам тестирования. Условия применения. «Ревизор 2 XP» применяется на АРМ под управлением операционных систем Windows 95, 98, Me, NT4, 2000, XP и Server 2003. При выполнении программы требуется, чтобы права доступа пользователей были установлены в соответствии с проектной и эксплуатационной документацией АРМ, был обеспечен доступ к ресурсам, присутствующим в ПРД. Требования к техническим средствам. Рекомендуемая конфигурация ПЭВМ АРМ: • процессор – Intel Pentium и выше; • ОЗУ – 64 МБ; 256 • на ЖМД не менее 40 Мбайт дискового пространства; • видеоадаптер – SVGA. Требования к программному обеспечению. «Ревизор 2 ХР» работает под управлением ОС Windows 95, 98, Me, NT4, 2000, XP и Server 2003. Дополнительных требований к программному обеспечению не предъявляется. Входные и выходные данные. Входными данными является ПРД, созданный с помощью «Ревизор 2 XP», а также реакция АРМ на попытки доступа к файловым объектам при выполнении тестирования. Выходными данными «Ревизор 2 ХР» являются: • Список отличий структуры ресурсов ПРД от реальной структуры ресурсов АРМ. На его основе может быть создан отчет в формате HTML; • план тестирования объектов доступа АРМ, с целью определения реальных полномочий пользователей по доступу к файловым объектам. Сохраняется в файле с расширением .pln; • протокол тестирования. Сохраняется в файле с расширением .tst; • информация о фактических правах доступа, определенных в ходе тестирования. На ее основе может быть создан отчет в формате HTML. Функции программы. Просмотр. Для работы с ПРД необходимо его открыть. «Ревизор 2 ХР» позволяет просмотреть ПРД в том же виде, в каком он был создан в «Ревизор 1 ХР». Если в проекте отсутствуют пользователи, то такой ПРД не будет открыт. «Ревизор 2 ХР» позволяет только просматривать ПРД, не внося в них изменений (за исключением сравнения ресурсов). Сравнение ресурсов. В случае если дерево ресурсов АРМ изменилось со времени создания проекта, «Ревизор 2 ХР» позволяет произвести сравнение реального дерева ресурсов с деревом ресурсов ПРД. При сравнении заново выполняется сканирование ресурсов. На основе результатов сравнения может быть создан отчет в формате HTML. После просмотра результатов сравнения можно внести их в дерево ресурсов ПРД и при необходимости скорректировать права доступа к ним с помощью «Ревизор 1 ХР». 257 Тестирование. Тестирование представляет собой моделирование доступа пользователя к объектам АРМ. Моделируются следующие виды доступа: • чтение (R) – чтение данных из файла; • запись (W) – запись данных в файл • удаление (D) – удаление файла; • добавление (А) ‒ создание файлов в каталоге; • исполнение (X) – запуск программы. В случае успешного запуска файла его выполнение автоматически прерывается. Выполнение тестирования начинается с построения плана тестирования – списка объектов АРМ с указанием, какие виды доступа к ним должны моделироваться в ходе тестирования. Помимо этого в плане тестирования сохраняется имя пользователя, на основе списка ресурсов которого был создан план. Для удобства в «Ревизор 2 ХР» существует возможность автоматического построения плана тестирования. Построение плана осуществляется двумя способами: случайная выборка объектов и выбор объектов, чьи разрешения отличаются от родительских. Второй способ позволяет добавить в план тестирования объекты из каждой группы, для которой требуется установка администратором прав доступа, отличных от установленных по умолчанию. Для тестирования систем с полномочным управлением доступом предусмотрен режим отбора объектов с заданным грифом секретности. Также возможно тестирование разрешительной системы без учета грифов секретности объектов. После автоматического формирования плана администратор добавляет в него объекты, которые не попали в план при автоматическом формировании. Для удобства ручной работы с планом в «Ревизор 2 ХР» есть функции поиска в плане, а также сортировки плана по имени или расширению файлов. Следующим шагом является удаление из плана тестирования файлов, наличие которых жизненно важно для функционирования операционной системы или установленных средств защиты информации (вместо удаления можно отменить проведение для этих файлов деструктивных тестов, таких как запись и удаление). Нарушение целостности этих файлов может привести к полному или частичному разрушению ОС или СЗИ. 258 В «Ревизор 2 ХР» есть средство автоматического проведения операций корректировки плана тестирования – фильтрация элементов плана. Существуют три вида фильтров: • фильтр для каталога – удаляет из плана все файлы, находящиеся в указанном каталоге и имя которых соответствует заданной маске (например *.ini в каталоге c:\windows). Применяется также для удаления из плана конкретного файла. В качестве маски имени указывается имя файла (например, boot.ini в каталоге c:\); • фильтр для каталога и его подкаталогов – удаляет из плана все файлы, находящиеся в указанном каталоге или его подкаталогах и имя которых соответствует заданной маске (например: *.dll в каталоге C:\WINNT\system32); • глобальный фильтр − удаляет из плана все файлы, имя которых соответствует заданной маске (например, *.vxd). После завершения формирования плана следующей стадией является тестирование. Тестирование включает в себя следующие стадии. Резервное копирование файлов, по отношению к которым будут проведены деструктивные тесты. Для копируемых файлов вычисляются контрольные суммы, по которым проверяется идентичность резервных копий. Резервное копирование осуществляется в указанный администратором каталог. Также может быть включен режим сохранения прав доступа NTFS при резервном копировании (только для АРМ под управлением ОС семейства Windows NT). Тестирование. На этой стадии выполняется моделирование доступа к объектам, включенным в план тестирования. «Ревизор 2 ХР» фиксирует результат попыток доступа к объекту (был ли получен доступ данного вида или нет) и впоследствии сравнивает с матрицей доступа пользователя. Восстановление файлов, которые были удалены или изменены в ходе тестирования. При восстановлении файлов проводится сравнение их контрольных сумм с вычисленными ранее эталонами, что обеспечивает целостность восстанавливаемых файлов. После восстановления файлов тестирование считается завершенным и возможен просмотр результатов. Также восстанавливаются права доступа NTFS, если был включен соответствующий режим. Тестирование может проводиться двумя способами: с использованием автоматического (для АРМ под управлением ОС семейства 259 Windows NT) или ручного входа пользователя в систему. При автоматическом способе все тестирование происходит непрерывно, без необходимости выполнять выход и повторный запуск программы. Однако в случае если используемая СЗИ не позволяет выполнять вход систему с использованием стандартных функций Windows (например, требует предъявления аппаратного идентификатора), то тестирование может быть проведено в ручном режиме. При этом выполняется следующая последовательность действий: • Для текущего плана запускается процесс резервного копирования. При этом необходимо находиться в системе с правами администратора. После завершения процесса резервного копирования осуществляется выход из программы и вход в систему с правами пользователя, для которого проводится тестирование. • Запускается «Ревизор 2 ХР», загружается протокол тестирования и запускается процесс тестирования. • После завершения процесса тестирования осуществляется выход из программы и вход в систему с правами администратора. • Запускается «Ревизор 2 ХР», загружается протокол тестирования и запускается восстановление файлов. После его завершения, тестирование считается завершенным. • После завершения тестирования становятся доступными его результаты, на основе которых может быть сформирован отчет в формате HTML. Установка и настройка программы. Для установки «Ревизор 2 ХР» нужно скопировать главный исполняемый файл Revizor2XP.exe и Revizor2XP_tester.exe в любой каталог на жестком диске. Никаких дополнительных действий по установке не требуется. Вызов «Ревизор 2 ХР» осуществляется выполнением главного исполняемого файла Revizor2XP.exe Интерфейс программы. Программа имеет четыре режима работы. При переключении режимов изменяется и внешний вид программы. Существуют общие для всех режимов элементы интерфейса: • строка меню – содержит пункты, соответствующие режимам работы программы. В соответствующих им подменю продублированы команды с панелей управления, доступных в этих режимах; • строка состояния – отображает информацию о текущей выполняемой операции; 260 • Панель переключения режимов работы. «Ревизор 2 ХР» име- ет следующие режимы работы: − «Просмотр» − режим загрузки и просмотра проекта, выбора текущего пользователя и просмотра его дерева ресурсов; − «Сравнение» − режим сравнения дерева ресурсов ПРД с реальным; − «Планирование» − режим построения плана тестирования для текущего пользователя; − «Тестирование» − режим выполнения тестов разрешительной системы. Режим просмотра. В окне программы (рис. 10.7) имеются следующие элементы: • Список пользователей; • Дерево ресурсов; • Список содержимого папки; • Панель инструментов. Рис. 10.7. Вид окна программы в режиме просмотра 261 В режиме просмотра доступны следующие действия: вызывается диа• Открытие проекта – нажатием на кнопку лог открытия файла. После выбора файла проекта, в списке пользователей отображаются пользователи проекта. В дереве ресурсов и списке содержимого папки отображаются ресурсы первого пользователя проекта. Если в проекте нет пользователей, то такой проект не открывается, о чем выдается сообщение. • Сохранение проекта – нажатием на кнопку выполняется сохранение текущего проекта. Для сохранения проекта под другим именем может быть использована функция «Сохранить как …», доступная в меню «Файл». • Выбор пользователя – осуществляется щелчком левой кнопки мыши на имени пользователя в списке пользователей. Режим сравнения. В этом режиме осуществляется сравнение дерева ресурсов ПРД с реальным (рис.10.8). Рис. 10.8. Вид окна программы в режиме сравнения 262 Сравнение осуществляется нажатием кнопки на панели инструментов. После окончания сканирования выводится список выявленных отличий. Напротив каждого имени объекта присутствует знак «+» или «−». Плюс означает, что объект отсутствует в дереве ресурсов ПРД, но присутствует в реальном дереве ресурсов (объект был создан после создания проекта), минус – отсутствует в реальном дереве ресурсов, но присутствует в дереве ресурсов ПРД (объект был удален со времени создания проекта). После сравнения и просмотра результатов можно сохранить найденные отличия в дереве ресурсов ПРД нажатием кнопки . Также может быть создан отчет по списку обнаруженных изменений (нажатием кнопки ). Режим построения плана тестирования. В этом режиме создается план тестирования (рис. 10.9). Построение плана тестирования осуществляется двумя способами: автоматически или вручную (возможна комбинация этих способов). Рис. 10.9. Вид окна программы в режиме построения плана тестирования 263 Автоматическое построение плана также ведется двумя путями: либо объекты для тестирования выбираются случайным образом, либо для тестирования отбираются те объекты, разрешения или грифы секретности которых отличаются от родительских. После создания плана к нему может быть применен фильтр для удаления из плана файлов, выполнение тестирования которых нежелательно. Панель инструментов имеет следующие кнопки: – построить план тестирования; – открыть план тестирования; – сохранить план тестирования; – добавить объект для тестирования; – далить объект для тестирования; – поиск в плане; – вызвать окно фильтра; – закрыть план тестирования. Также в панели инструментов отображается имя пользователя, для которого создан план. Создание плана тестирования. Для создания плана тестирования необходимо нажать на кнопку . На экране появится окно настройки параметров формирования плана (рис. 10.10). Рис. 10.10. Окно установки параметров формирования плана тестирования 264 Доступны для изменения следующие параметры: «Выбор объектов с разрешениями, отличающимися от родительских» − в создаваемый план тестирования будут автоматически добавлены объекты из каждой группы, для которой требуется установка администратором прав доступа (или грифов секретности), отличных от установленных по умолчанию. «Случайная выборка» − в план тестирования случайным образом добавляются объекты, в объеме, указанном пользователем (в процентах от общего количества объектов). Если установить объем, равный 100 %, то в план тестирования будут добавлены все объекты. Если оба режима автоматического формирования плана отключены, будет создан пустой план тестирования, в который нужно будет вручную добавить объекты. «Проверка режима полномочного управления доступом» − определяет, будут ли учитываться грифы секретности при построении плана тестирования. Также можно указать, объекты с каким грифом секретности отбирать для тестирования и какие права доступа будут тестироваться по умолчанию. После нажатия на кнопку «ОК» будет сформирован план тестирования в соответствии с заданными параметрами. В созданный файл тестирования могут быть вручную добавлены объекты, которые не присутствуют в сформированном плане, а тестирование которых должно быть проведено. Для этого нужно нажать кнопку . На экране появится окно выбора объектов (рис. 10.11), которые должны быть добавлены в план тестирования. Следует обратить внимание, что выделение какого-либо узла дерева объектов доступа не приводит к выделению его содержимого. Для выделения содержимого узла необходимо использовать контекстное меню, вызываемое нажатием правой кнопки мыши. После нажатия кнопки «ОК» выделенные объекты будут добавлены в план тестирования. Удаление объектов плана тестирования осуществляется с пона панели инструментов, либо с помощью кламощью кнопки виши «Delete». Нажатие на нее приводит к удалению выделенных объектов. 265 Рис. 10.11. Окно выбора объектов для добавления в план тестирования В «Ревизор 2 ХР» есть функция поиска в плане тестирования. Для поиска объекта нужно выполнить команду «Поиск» (кнопка ), после чего на экране появится окно задания строки для поиска (рис.10.12). Рис. 10.12. Окно ввода строки поиска При задании строки поиска можно использовать символы «?» и «*». После ввода, поиск осуществляется нажатием кнопки «Найти далее». Если подходящий элемент плана найден, курсор устанавли266 вается на него. Чтобы найти следующий элемент плана, нужно нажать на кнопку «Найти далее». Для удобства просмотра плана тестирования можно использовать функцию сортировки плана по имени, грифу секретности или расширению объектов. Сортировка осуществляется выбором соответствующего пункта контекстного меню, вызываемого нажатием правой кнопки мыши на списке элементов плана. Отображение плана тестирования. Список выбранных объектов для тестирования отображается в виде таблицы, имеющей 7 столбцов. В столбцах с первого по пятый отображаются права доступа к объекту, в шестом отображается гриф секретности, и в седьмом – имя объекта. Права доступа пользователя к объекту отображаются следующим образом: зеленый плюс – пользователю разрешен данный вид доступа к объекту, и это право будет проверено при тестировании; красный плюс – пользователю разрешен данный вид доступа к объекту, но это право при тестировании проверяться не будет; зеленый минус – пользователю запрещен данный вид доступа к объекту, и это право будет проверено при тестировании; красный минус – пользователю запрещен данный вид доступа к объекту, но это право при тестировании проверяться не будет. Грифы секретности отображаются зеленым цветом, если режим тестирования полномочного управления доступом включен, и красным – если отключен. Изменить статус состояние права доступа в плане тестирования можно щелчком левой кнопки мыши по соответствующей ячейке таблицы. Если режим тестирования полномочного управления доступом при построении плана был включен, в плане тестирования используются результирующие права доступа к файлу, которые вычисляются следующим образом: • если пользователь имеет уровень допуска не ниже степени секретности файла – он получает доступ, определенный для него разрешительной системой; • в противном случае у пользователя отсутствует доступ к файлу. Открытие и сохранение плана. Для открытия плана тестировапанели инструментов. После нажатия ния используется кнопка 267 на нее на экране появляется диалог открытия файла, в котором нужно выбрать файл, содержащий план тестирования. Для сохранения плана тестирования используется кнопка панели инструментов. Если план сохраняется впервые, то на экране появляется диалог сохранения, в котором нужно выбрать файл для сохранения плана тестирования. Дальнейшие сохранения проходят без запроса. Для того чтобы сохранить план тестирования под другим именем, используется функция «Сохранить как …», доступная в меню «Файл». Фильтрация элементов плана. Фильтрация позволяет удалять из плана тестирования объекты по маске имени файла. Работа с фильтрами осуществляется через окно (рис.10.13), вызываемое на экран кнопкой . Рис. 10.13. Окно настройки фильтрации элементов плана Вызываемое окно содержит панель инструментов, на которой есть следующие кнопки: – очистить фильтр; – открыть файл фильтра; – сохранить файл фильтра; – добавить элемент фильтра; – удалить элемент фильтра; – применить фильтр к плану. 268 Открытие и сохранение фильтра осуществляется нажатием кнопок и соответственно. Создание нового фильтра (рис.10.14) осуществляется нажатием кнопки , после чего появляется окно выбора типа создаваемого фильтра: либо создавать пустой фильтр, либо фильтр, предназначенный для удаления из плана основных, важных для функционирования системы, файлов. Рис. 10.14. Окно создания нового фильтра Добавление элемента фильтра. Добавление осуществляется нажатием кнопки , после чего на экране появляется окно создания элемента фильтра (рис. 10.15). В нем нужно указать маску имени файла, каталог (не нужно в случае глобального фильтра) и тип фильтра. Каталог и имя файла можно ввести вручную или (если загружен ПРД) выбрать его из дерева ресурсов. Для вызова на экран дерева ресурсов нужно нажать на кнопку , расположенную справа от поля ввода имени каталога. Рис. 10.15. Окно создания нового элемента фильтра 269 После нажатия на нее на экране появляется дерево ресурсов. Выделив нужный каталог или файл, и нажав на кнопку «ОК» в полях ввода маски имени файла (если был выделен файл) и имени каталога появляются требуемые значения. После ввода данных и выбора типа фильтра следует нажать кнопку «ОК», и элемент фильтра будет добавлен. Типы фильтров.Имеются три типа фильтров: • глобальный фильтр – его действие распространяется на все и надписью «все ресурсы» в ресурсы. Отображается значком колонке «область действия»; • фильтр для каталога − его действие распространяется на содержимое указанного каталога. Отображается значком ; • фильтр для каталога, включая подкаталоги − его действие распространяется на содержимое указанного каталога и его подкаталогов. Отображается значком . После того, как фильтр создан, его можно применить к плану тестирования нажатием кнопки . Будут удалены все элементы плана тестирования, удовлетворяющие условиям фильтра. Режим тестирования. В режиме тестирования выполняется проведение тестов над файлами, включенными в план. Тестирование проходит в три этапа: • Резервное копирование файлов. Выполняется с правами администратора. • Проведение тестов над файлами, включенными в план. Выполняется с правами пользователя, для которого проводится тестирование. • Восстановление файлов из резервных копий и удаление временных файлов, созданных в ходе тестирования. Выполняется с правами администратора. Для начала тестирования необходимо нажать кнопку . На экране появится диалог настройки параметров запускаемого тестирования (рис. 10.16). В этом окне необходимо указать имя файла для сохранения протокола тестирования (в нем сохраняется информация о выполняемых операциях и их результатах), а также каталог для сохранения резервных копий файлов. Следует обратить внимание, чтобы этот каталог располагался на диске, имеющем достаточно свободного места для размещения резервных копий. 270 Рис. 10.16. Окно настройки параметров тестирования Помимо этого, доступны следующие параметры проводимого тестирования: «Сохранять права доступа NTFS» − если включить этот режим, то «Ревизор 2 ХР» в ходе резервного копирования сохраняет права доступа в протоколе тестирования и, при последующем восстановлении файлов, восстанавливает их. Этот режим позволяет сохранить установленные права доступа от их повреждения в ходе тестирования. Доступен для АРМ под управлением ОС семейства Windows NT. «Выполнять автоматический вход в систему» − данный режим позволяет провести тестирование без необходимости выполнять выход из программы и ручной вход в систему. Однако использование данного метода невозможно, если установленная СЗИ использует собственную процедуру регистрации в системе (например, с использованием аппаратных идентификаторов), а не стандартную процедуру Windows. Этот режим доступен для АРМ под управлением ОС семейства Windows NT. Перед началом тестирования нужно убедится, что в плане тестирования не присутствуют объекты, целостность которых жизненно важна для функционирования ОС и СЗИ. В противном случае возможен выход из строя АРМ после выполнения 2-го этапа. После нажатия на кнопку «ОК» начинается выполнение резервного копирования. При этом необходимо находиться в системе с правами администратора, чтобы обеспечить программе доступ ко 271 всем ресурсам. При копировании выполняется проверка контрольных сумм исходных файлов и их резервных копий. Значения контрольных сумм исходных файлов сохраняются в протоколе тестирования для проверки восстановления файлов из резервных копий. После завершения резервного копирования дальнейшие действия зависят от того, был ли включен режим автоматического входа в систему. В случае если режим был включен, на экране появится окно настройки параметров запуска процесса тестирования (рис. 10.17). Рис. 10.17. Окно настройки параметров запуска процесса тестирования В этом окне определяется способ, которым будет запущен процесс тестирования. Доступны следующие варианты: «От имени текущего пользователя» − процесс запускается от имени того пользователями, под которым в настоящий момент осуществляется работа. Данный способ используется при выполнении ручного входа в систему. «От имени указанного пользователя» − процесс запускается от имени пользователя, чье имя указывается ниже, в поле «Имя пользователя». Помимо имени, для выполнения программы запуска 272 процесса от имени пользователя необходимо еще указать пароль для входа в систему и домен, к которому принадлежит учетная запись. Если учетная запись расположена на локальном компьютере, то в качестве имени домена может быть введено имя локального компьютера или пустая строка. При запуске программы под управлением ОС Windows 9х этот режим недоступен. Помимо этого, еще следует указать способ запуска процесса тестирования. «Ревизор 2 ХР» предлагает выбор из двух типов запуска: «С использованием службы вторичного входа в систему» − использование данного способа является предпочтительным. Однако он не поддерживается в Windows NT 4, а также требует, чтобы была запущена служба вторичного входа в систему (она запускается по умолчанию в стандартной конфигурации Windows 2000, XP и Server 2003). «С использованием функции CreateProcessAsUser» − данный способ следует использовать при проведении тестирования под управлением Windows NT 4. Недостатком данного способа является то, что он требует назначения администратору, проводящему тестирование, дополнительных привилегий, не предусмотренных стандартной конфигурацией. Не рекомендуется использовать этот способ в системах, отличных от Windows NT 4. Для использования данного способа требуется, чтобы учетной записи администратора, проводящего тестирование, были назначены следующие привилегии (права): • замена маркера уровня процесса; • работа в режиме операционной системы; • увеличение квот. Привилегии могут быть назначены как непосредственно учетной записи, так и группе, членом которой она является. Для назначения привилегий используется программа «Диспетчер пользователей» (в Windows NT 4) или «Локальная политика безопасности» (В Windows 2000 и более поздних версиях). Эти программы доступны из папки «Администрирование». После нажатия на кнопку «ОК», запускается процесс тестирования и выполняется последовательность тестов. Если же процесс от имени требуемого пользователя запустить не удалось (например, из-за неправильного пароля или ограничений политики безопасно273 сти), то будет выдано сообщение с описанием ошибки. Для повторной попытки запуска процесса тестирования следует нажать кнопку . В случае если процесс тестирования не удается запустить после всех попыток, тестирование может быть проведено в ручном режиме. Если процесс тестирования был запущен, то он выполняет моделирование попыток различных видов доступа к ресурсам, в соответствии с планом тестирования, и сохраняет результаты в протоколе тестирования. После выполнения всех запланированных тестов «Ревизор 2 ХР» переходит к стадии восстановления файлов. Восстановление файлов должно выполняться с правами администратора. При восстановлении файлов из резервных копий осуществляется проверка контрольных сумм восстановленных файлов. В случае если файл не был удачно восстановлен, он не удаляется из каталога для резервных копий. Также, если включен режим сохранения прав доступа NTFS, то выполняется их восстановление. После завершения восстановления файлов тестирование считается завершенным и становится доступным просмотр результатов. В случае если тестирование проводится с использованием ручного режима входа в систему, то порядок его выполнения следующий. После резервного копирования, выполняется выход из программы и ручной вход в систему с правами пользователя, для которого проводится тестирование. Выполняется запуск «Ревизор 2 ХР» и выполняется команда «Открыть протокол тестирования» (путем нажатия на кнопку ). После открытия протокола, выполняется команда «Приступить к тестированию» ( ). В окне параметров запуска процесса тестирования следует выбрать «Запуск от имени текущего пользователя» и нажать «ОК». После завершения процесса тестирования, выполняется выход из программы и ручной вход в систему с правами администратора. Затем выполняется запуск «Ревизор 2 ХР» и выполняется команда «Открыть протокол тестирования» (путем нажатия на кнопку ). После открытия протокола, выполняется команда «Приступить к тестированию» ( ). Программа выполнит восстановление файлов, после которого тестирование считается завершенным. 274 Следует отметить, что прерванное вследствие каких-либо проблем тестирование всегда можно продолжить, загрузив протокол тестирования и выполнив команду «Приступить к тестированию» ( ). Отображение результатов тестирования. «Ревизор 2 ХР» имеет два режима для отображения результатов тестирования: в виде таблицы и в виде дерева. В режиме таблицы результаты отображаются непосредственно в главном окне программы (рис. 10.18). Рис. 10.18. Окно результата тестирования Результаты тестирования отображаются в виде, схожем с отображением плана тестирования, однако, помимо прав, установленных в ПРД, отображаются еще и реальные права доступа, определенные в ходе тестирования. Это позволяет сравнить требуемые права доступа (определяемые требованиями политики безопасности) с фактическими. Для удобства объекты, требуемые права доступа к которым не совпадают с фактическими, выделяются розовым цветом. 275 Для просмотра результатов в виде дерева, необходимо нажать кнопку . После этого на экране появится окно, в котором выявленные в ходе тестирования несоответствия разбиваются на две группы: невыполненные запреты – пользователю запрещен доступ в модели разграничения доступа, но на практике он получил доступ к объекту, и невыполненные разрешения − пользователю разрешен доступ в модели разграничения доступа, но на практике он не получил доступа к объекту. Каждая из этих групп представлена в виде дерева, узлами первого уровня являются права доступа. В случае если выявлены несоответствия, относящиеся к какому-либо праву доступа, узел отображается значком . В «Ревизор 2 ХР» имеется возможность создания отчетов по результатам тестирования. Для создания отчета необходимо нажать кнопку . После этого на экране появится запрос о типе создаваемого отчета. Аналогично двум режимам отображения, существует два типа отчетов: Отчет с группировкой информации по имени объекта – данные отображаются аналогично режиму просмотра результатов в виде таблицы. Для этого режима дополнительно можно указать, чтобы в отчет были добавлены только те объекты, по отношению к которым были выявлены несоответствия реальных и требуемых прав доступа. Отчет с группировкой по правам доступа – данные отображаются аналогично режиму просмотра результатов в виде дерева. Особенности тестирования систем с полномочным управлением доступом. При тестировании систем с полномочным управлением доступом необходимо учитывать следующие положения: В случае обращения к файлу, гриф секретности которого выше степени секретности программы, степень секретности программы повышается до грифа секретности файла: • программа не может осуществлять запись в файлы, гриф секретности которых ниже, чем степень секретности программы; • невозможно копирование файлов в каталоги, гриф секретности которых ниже грифа секретности файлов; • в некоторых системах защиты информации файл при копировании наследует гриф секретности от каталога, в который он копируется. 276 Из этого возникают следующие сложности, приводящие к невозможности полноценного тестирования файлов с разными уровнями секретности: Резервное копирование. Каталог, предназначенный для резервного копирования файлов, должен иметь наибольший гриф секретности копируемых файлов. Если файлы наследуют гриф секретности от каталога, в который они копируются, то автоматическое восстановление файлов, чей гриф секретности был ниже, чем у каталога резервного копирования, будет невозможно. Запись в протокол тестирования. «Ревизор 2 ХР» в ходе тестирования осуществляет запись о выполняемых операциях в протокол тестирования. Для того чтобы запись была возможна, необходимо, чтобы файл протокола имел наибольший из грифов секретности тестируемых файлов. Тестирование. При тестировании, получив некоторый уровень секретности, «Ревизор 2 ХР» не сможет осуществить запись данных в файлы с более низким уровнем секретности. Будет зафиксировано отсутствие доступа на запись и добавление данных к этим файлам. Для разрешения этих проблем в программе есть возможность тестирования объектов с одинаковыми грифами секретности. Отбор таких объектов осуществляется при автоматическом построении плана путем указания требуемого грифа секретности. При выполнении тестирования каталог, предназначенный для резервного копирования файлов и файл протокола тестирования должны иметь тот же гриф секретности, что и тестируемые файлы. Разграничение доступа к объектам файловой системы АРМ с установленной ОС Windows XP Windows XP предоставляет возможность разграничения доступа к объектам файловой системы для каждого пользователя, работающего в ней. Назначение прав доступа к объектам выполняется пользователем «Администратор», или любым другим пользователем, наделенным правами администратора. Создание пользователя. Для создания пользователя необходимо выполнить несколько действий: Перейти в окно оснастки «Локальные Группы и Пользователи». Чтобы открыть оснастку нажмите 277 кнопку «Пуск» и выберите «Панель управления», щелкните дважды значок «Администрирование», а затем «Управление компьютером» (рис. 10.19). Рис. 10.19. Оснастка «Локальные Группы и Пользователи» Далее щелкните правой клавишей мыши, в правой части окна появится меню, с помощью которого можно создать пользователя. По умолчанию созданный пользователь будет принадлежать группе пользователей «Пользователи». При необходимости в свойствах пользователя можно установить или изменить некоторые параметры. Во вкладке «Общие»: «Требование к смене пароля при входе в систему», «Запрет на смену пароля», «Срок действия пароля», «Включение, Отключение учетной записи», «Блокировка учетной записи», во вкладке «Членство в группах» можно определить группы, к которым данный пользователь будет принадлежать. Во вкладке «Профиль» осуществляется работа с профилем пользователя. Разграничения доступа. Для того чтобы провести разграничение доступа для созданного пользователя к какому-либо объекту 278 файловой системы (файл, папка, приложение) щелкните по нему правой кнопкой мыши, появится список возможных действий с этим объектом (рис. 10.20). Затем перейти к свойствам объекта. Во вкладке «Безопасность» можно настроить доступ локальных пользователей к объекту (рис.10.21). Рис. 10.20. Список возможных действий с объектом Внимание! Если вкладка «Безопасность» отсутствует, следует выполнить следующие действия: 1) нажать кнопку «Пуск», затем «Мой компьютер»; 2) в строке меню выбрать вкладку «Сервис», затем «Свойства папки» и вкладку «Вид»; 3) убрать галочку «Использовать простой общий доступ к файлам». Для того чтобы задать нашему пользователю индивидуальные права, не зависящие от настроек группы к которой он принадлежит, необходимо сделать следующее. Нажать кнопку «Дополнительно» и убрать галочку с пункта «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне» (рис. 10.22). 279 Рис. 10.21. Настройка прав доступа Далее появляется окно «Безопасность» (рис. 10.23), в котором необходимо нажать кнопку <Копировать>. Если выбрать другое − <Удалить>, то все объекты в поле разрешений удаляться, и доступ к данному объекту будет разрешен только его владельцу. Теперь необходимо перейти во вкладку «Безопасность» и удалить группу «Пользователи» из списка групп. Внимание! Без вышеприведенных действий группу «Пользователи» удалить из списка нельзя. Таким образом, можно удалить любую группу из списка. Итак, группа «Пользователи» больше не имеет никакого доступа к нашему объекту. Теперь остается только добавить созданного пользователя в список и дать ему соответствующие права для использования этого объекта. 280 Рис. 10.22. Дополнительные параметры безопасности Рис. 10.23. Безопасность Во вкладке «Безопасность» нажимаем кнопку «Добавить», далее кнопку «Дополнительно» и «Поиск». Выбираем пользователя, для которого будет проводиться разграничение, и добавляем его в список (рис. 10.24). 281 Рис. 10.24. Настройка прав доступа После чего в поле «Разрешения» можно установить права доступа к этому объекту выбранному пользователю, также можно установить особые права доступа через окно «Дополнительные параметры безопасности». МЕТОДИКА И ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ 1. Создание проекта разграничения доступа (ПРД) Создать тестируемых пользователей «user» и «user1», наличие пароля обязательно. Создать папки «Test» и «Test1» на локальном диске С. Добавить в них папки и файлы согласно шаблону (рис. 10.25). Типы файлов могут быть произвольными. Варианты заданий разграничения доступа для удобства приводятся в виде табл.10.1–10.4. 282 Рис. 10.25. Шаблон для подготовки рабочего места к выполнению задания Вариант № 1 Таблица 10.1 Объект / Пользователь user user1 Test Test4 Test1.* Test2.* Test3.* Test5.exe R R R,A - R,W,D R R,W,D R R R X Таблицы 10.2 Объект / Test1 Test1.4 Test1.1.* Test1.2.* Test1.3.* Test1.5.exe Пользователь user R R,A R R X user1 R,A R R,W,D R,W,D R,W,D X Вариант № 2 Таблица 10.3 Объект/ Пользователь user user1 Test Test4 R,A R,D,A R,A R,A Test1.* Test2.* R R 283 R,W R Test3.* R R,W,D Test5.exe X,D X Таблицы 10.4 Объект/ Test1 Test1.4 Test1.1.* Test1.2.* Test1.3.* Test1.5.exe Пользователь user R R R,W R,W X user1 R,A R R,W R,D - С помощью программы «Ревизор 1 ХР» создать ПРД для АРМ согласно одному из шаблонов. При создании проекта выставить галочки «Считывать права доступа NTFS» и «Получить список пользователей». Так как используется системный диск для проверки, то после построения плана тестирования уже при работе с программой «Ревизор 2 ХР» рекомендуется применить фильтры, или вручную убрать из плана системные папки и файлы. 2. Настройка автоматизированного рабочего места в соответствии с созданным проектом при помощи стандартных средств из состава Windows XР Провести разграничение доступа согласно ПРД созданному в пункте «Создание нового ПРД», таким образом, как было описано в пункте «Разграничение доступа к объектам файловой системы АРМ с установленной ОС Windows XP». Убедиться в правильности разграничения доступа вручную: выполнить вход пользователем «user», а затем «user1» на АРМ и произвести различные действия с объектами такие как чтение, удаление, запись, добавление, и исполнение. 3. Проведение тестирования АРМ на соответствие с ПРД, анализ отчета Протестировать АРМ с помощью программы «Ревизор 2 ХР. Для этого в «Ревизор 2 ХР» необходимо загрузить проект созданный в пункте «Создание нового ПРД». Проводить сравнение не обязательно, так как предполагается, что изменений в АРМ внесено не было. Создать и сохранить план тестирования, использовать фильтры или удалить вручную системные папки и файлы, если они присутствуют. 284 Перейти в режим тестирования. Нажать кнопку «Приступить к тестированию». В настройках указать каталог для резервного копирования тестируемых файлов, и имя файла для сохранения протокола тестирования. Следует отметить, что не получится произвести резервное копирование файла, занятого каким-либо процессом. Внимание! Файл протокола тестирования должен быть доступен для чтения всем пользователям, а программа «Ревизор 2 ХР» могла ими выполняться. Так же ни протокол тестирования, ни «Ревизор 2 ХР» не должны находиться в папках, доступ к которым для тестируемых пользователей закрыт. Если эти условия не будут выполнены, то при тестировании выскочит ошибка – «Неверные параметры запуска». Поставить галочки «Сохранять права доступа NTFS» и «Выполнять автоматический вход в систему». Затем, после того как завершится резервное копирование, необходимо ввести имя тестируемого пользователя, пароль и приступить к тестированию. Можно не ставить галочку «Выполнять автоматический вход в систему», но тогда придется проводить тестирование вручную. После резервного копирования «Ревизор 2 ХР» попросит войти в систему под тестируемым пользователем. Для этого необходимо нажать кнопку «Пуск», затем «Выход из системы» и «Сменить пользователя». После входа в систему нужно будет запустить «Ревизор 2ХР» и в режиме тестирования открыть протокол тестирования, нажать кнопку «Приступить к тестированию» и произвести тестирование от текущего пользователя. Затем нужно будет вернуться в систему под администратором, для того чтобы произвести восстановление файлов, посмотреть и сохранить отчет о тестировании. 4. Моделирование несоответствия реальной модели разграничения доступа реализованной на АРМ с ПРД. Повторное тестирование АРМ, анализ отчета Смоделировать несоответствие реальной модели АРМ путем нарушения правил доступа для пользователя «user1». Для этого надо изменить параметры доступа к папке «Test» («Test1») таким образом, чтобы права пользователя «user» («user1») на работу с данной папкой и файлами отличались от прав, описанных в ПРД, 285 созданного в пункте «Создание нового ПРД». Протестировать АРМ. Сохранить html отчет. Подготовка отчета для сдачи лабораторной работы 1. В отчёте кратко описать выполненные действия. 2. Привести анализ полученных в работе результатов. 3. Затем в качестве полученных результатов приложить html файлы. Тестовые задания к работе 10 Входной контроль 1. Безопасность информации – это... a) состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз; b) состояние защищенности информации, при котором не происходит нарушение ее целостности; c) нет верного ответа. 2. Что такое НСД (несанкционированный доступ)? a) доступ к информации, с целью получения конфиденциальной информации, при помощи специализированных средств; b) доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами; c) доступ к информации, несоответствующий правилам разграничения доступа, с целью получения конфиденциальной информации всевозможными способами. 3. «Ревизор-2XP» предназначен для: a) автоматизированной проверки соответствия прав пользователей по доступу к защищаемым информационным ресурсам АРМ; b) определения потенциально опасных для АРМ субъектов доступа; c) защиты АРМ, путем разграничения доступа субъектов к объектам и проверки прав доступа данных субъектов к информации. 286 4. Во сколько этапов «Ревизор-2XP» проводит тестирование? a) 5; b) 3; c) 1; d) нет верного ответа. 5. Какая модель разграничения доступа используется в данной лабораторной работе? a) мандатная; b) дискреционная; c) смешанная; d) нет правильного ответа. 6. Какие существуют типы фильтров? a) глобальный фильтр; b) фильтр для каталога; c) фильтр для каталога, включая подкаталоги; d) фильтр субъектов; e) нет правильного ответа. 7. Какие существуют режимы тестирования? a) пошаговый; b) ручной; c) автоматический; d) с использованием дополнительного ПО; e) нет верного ответа. 8. С какой целью необходимо использовать функцию вторичного доступа в систему? a) чтобы «Ревизор-2XP» мог запустить процесс тестирования от нужного пользователя; b) чтобы администратор проводящий тестирование мог произвести его от лица другого пользователя; c) нет верного ответа. 9. В каком виде «Ревизор-2ХP» предоставляет отчет? a) аналогично режиму просмотра в виде дерева, указывая фактические права и требуемые; b) а виде html файла; c) виде режима просмотра, но показывая только несоответствия; d) а виде txt файла; e) нет правильного ответа. 287 10. Можно ли продолжить прерванное по каким-либо причинам тестирование? a) можно, загрузив протокол тестирования; b) нельзя; c) в некоторых случаях. 11. «Ревизор-1ХР» предназначен: a) для создания и редактирования системы разграничения доступа; b) для создания правил разграничения доступа, проверка на соответствие этим правилам; c) для определения субъектов доступа, не нарушающих правила разграничения. 12. Функции «Ревизор-1ХР»: a) сканирование ресурсов; b) моделирование разрешительной системы; c) назначение прав доступа пользователей; d) таких функций нет. 13. Что означает режим «Сохранить права доступа NTFS»? a) то, что «Ревизор-2ХР» автоматически меняет права доступа к объекту на «правильные», если реальные права не соответствуют ПРД; b) данный режим сохраняет права в протоколе тестирования и при восстановлении файлов восстанавливает их; c) означает, что при сбое тестирования не будут нарушены права доступа к объектам; d) нет верного ответа. 14. Что означает режим «Права доступа по умолчанию» в «Ревизор-1ХР»? a) если не было произведено чтение прав доступа NTFS, то пользователям даются права – «Все разрешено» или «Все запрещено» для каждого сканированного объекта; b) сбрасываются все настройки прав доступа до установленных по умолчанию; c) такого режима нет в «Ревизор-1ХР»; d) В этом режиме «Ревизор-1ХР» сканирует только те объекты, права доступа к которым не повергались изменениям. 15. Для чего «Ревизор-2ХР» проводит резервное копирование файлов? 288 a) для сохранения файлов на случай, если произойдет сбой; b) на всякий случай; c) для проверки объектов на удаление; d) нет правильного ответа. Выходной контроль 1. Отображение плана тестирования: каким образом отображаются права доступа к объектам? a) зеленый плюс – пользователю разрешен данный вид доступа к объекту, и это право будет проверено при тестировании; b) красный минус – пользователю запрещен данный вид доступа к объекту, но это право при тестировании проверяться не будет; c) зеленый минус – пользователю разрешен данный вид доступа к объекту, и это право не будет проверено при тестировании; d) красный плюс – пользователю запрещен данный вид доступа к объекту, и это право будет проверено при тестировании. 2. Что означает «Случайная выборка» с параметром 100? a) случайным образом выбираются 100 объектов; b) выбираются все объекты; c) нет верного ответа. 3. Какие символы можно использовать при поиске в плане тестирования? a) «*», «?»; b) «?», «/»; c) «&», «*», «?»; d) «**», «$$». 4. Зачем применять фильтры? a) для устранения из плана тестирования объектов, при тестировании которых может быть нанесен вред ОС; b) чтобы исключить системные файлы из плана тестирования; c) для приведения плана тестирования в более удобный для просмотра вид; d) для определения объектов, тестировать которые не рекомендуется. 5. Как установить права доступа субъекта таким образом, чтобы ни один другой субъект не смог выполнить никаких действий с данным объектом? 289 a) свойства:<имя объекта> => Безопасность => Очистить поле «Группы и Пользователи» => Добавить субъекта; b) свойства:<имя объекта> => Безопасность => Дополнительно => Убрать галочку «Наследовать от родительского объекта…» => Нажать Удалить => Добавить субъекта; c) свойства:<имя объекта> => Безопасность => Дополнительно => Убрать галочку «Наследовать от родительского объекта…» => Нажать Копировать => Добавить субъекта. 6. С какой целью необходимо убирать галочку с «Использовать простой общий доступ к файлам»? a) в свойствах объектов появляется вкладка «Безопасность»; b) для более детальной настройки прав разграничения доступа субъектов к объектам; c) не следует убирать эту галочку, так как можно сбить настройки прав доступа для всех субъектов АРМ; d) для того чтобы можно было настраивать права доступа. 7. От лица кого можно запустить процесс тестирования? a) текущего пользователя; b) указанного пользователя; c) администратора или группы пользователей принадлежащих группе «Администраторы»; d) от любого пользователя АРМ. 8. Для чего нужен «Протокол тестирования»? a) для сохранения значений контрольных сумм; b) для сохранения html отчетов по умолчанию; c) для отображения плана тестирования; d) для сохранения резервных копий объектов. 9. Можно ли добавлять в ПРД «Общие сетевые» папки? a) да; b) нет; c) да, но не всегда. 10. Выполняет ли «Ревизор-1ХР» сканирование сетевых ресурсов? a) выполняет; b) не выполняет; c) выполняет сканирование общих сетевых папок. 290 11. Для чего используется способ запуска процесса тестирования с использованием функции CreateProcessAsUser? a) для корректной работы программы «Ревизор-2ХР» и ОС, установленной на АРМ; b) для тестирования в системе под управлением Windows NT4; c) для проведения тестирования в системе с ОС отличной от Windows NT4. 12. Что произойдет, если файл протокола тестирования будет скрыт или недоступен для чтения тестируемым пользователям? a) ничего не произойдет; b) появится ошибка «Отсутствует протокол тестирования»; c) появится ошибка «Неверные параметры запуска»; d) другое. 13. Что означает параметр «Выполнять автоматический вход в систему»? a) выбор автоматического режима тестирования АРМ; b) выбор режима, в котором администратору не приходится проводить дополнительных действий по настройке режима тестирования; c) такого параметра не существует. 14. За что отвечает параметр «Запуск процесса тестирования от текущего пользователя»? a) тестирование выполняется от пользователя, который работает в данный момент в системе; b) тестирование пользователей от лица текущего пользователя, работающего в системе; c) данный параметр предназначен для ручного проведения тестирования. 15. К чему может привести нарушение целостности системных файлов в случае сбоя процесса тестирования? a) к частичному разрушению ОС и СЗИ; b) к полному разрушению ОС и СЗИ; c) оба выше приведенных варианта; d) к тому, что придется проводить процесс тестирования АРМ заново. 291 Работа 11 ПРОВЕРКА ОРГАНИЗАЦИИ КОНТРОЛЯ ДОСТУПА КЛИЕНТ-СЕРВЕРНЫХ ПРИЛОЖЕНИЙ К ОБЪЕКТАМ БАЗ ДАННЫХ. РАЗГРАНИЧЕНИЕ ПОЛНОМОЧИЙ ПОЛЬЗОВАТЕЛЕЙ С ИСПОЛЬЗОВАНИЕМ РОЛЕЙ И ПРИВИЛЕГИЙ Цель: получение навыков практического использования типовых средств СУБД для разграничения полномочий пользователей с использованием ролей и привилегий. ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Установка предметной области, заданной преподавателем в качестве образца. Наделение владельца предметной области («администратора приложения») необходимыми ролями, системными привилегиями для дальнейшего выполнения работы по разграничению полномочий. Создание public synonym таблиц предметной области для упрощенного обращения к ним. 2. Определение двух пользователей – «менеджеров», обладающих всеми объектными привилегиями на две группы таблиц (разных, за исключением одной таблицы, общей для использования обоими «менеджерами»). Определение пользователя – «клерка», обладающего правами только на вставку записей в таблицы одного из «менеджеров». Все объектные привилегии должны быть выданы названным пользователям только через специально созданные роли. Системная привилегия «create session» должна выдаваться пользователям напрямую. 3. Проверка разграничения полномочий пользователей. ОПИСАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ УЧЕБНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ «СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ» Под сертификацией продукции понимается процедура подтверждения соответствия продукции – сертифицированного средства (entity Item) установленным требованиям – стандартам (entity 292 Standart) независимой от производителя (entity Manufctr) организацией – сертификационным центром (entity Certcntr), которая удостоверяет это в письменной форме (в сертификате соответствия, entity Certifct). Информация о сертификации средств защиты информации представляется в виде маркировки знаком соответствия, для использования которого к сертификату выдается лицензия на его использование (SignLic). В соответствии с Законом Российской Федерации «О стандартизации» нормативные документы по стандартизации на продукцию и услуги, подлежащие обязательной сертификации (entity Standart), должны содержать требования, по которым осуществляется обязательная сертификация (Standart.Trebovanie), и правила маркировки средств защиты информации (Standart.LabelRule). Участниками сертификации средств защиты информации являются: • Сертификационный центр средств защиты информации (entity CertcCntr) − орган, проводящий сертификацию средств защиты информации (entity Item). • Испытательная лаборатория (entity TestLab) – лаборатория, проводящая сертификационные испытания средств защиты информации (entity Item). • Производитель средств защиты информации (entity Manufctr). Сертификационный центр, испытательная лаборатория и производитель должны иметь лицензию на проведение работ в области защиты информации (entity ISLicns): • Сертификационный центр должен иметь лицензию на деятельность центра сертификации (entity CCLic). • Испытательная лаборатория должна иметь лицензию на деятельность испытательной лаборатории в области сертификации (entity TLLic). • Производитель должен иметь лицензию на деятельность по производству средств защиты информации (entity ManuLic). Лицензии на проведение работ в области защиты информации выдает центр лицензирования (entity LicCenter) в соответствии с перечнем лицензируемых видов деятельности (entity ISSubjects). В сертификате (entity Certifct) в обязательном порядке указываются: 293 • Код стандарта, на соответствие которому проводилась сертификация (Certifct.Standart_ID). • Код сертификационного центра, выдавшего сертификат (Certifct.CertCenterId). • Код испытательной лаборатории, проводившей испытания (Certifct.TestLabID). Одновременно с сертификатом может выдаваться сертификационная лицензия на применение знака соответствия (entity SignLic), который подтверждает соответствие маркированной им продукции установленным требованиям. Применительно к сфере лицензирования отдельных видов деятельности под лицензией понимается выдаваемое уполномоченным органом (центром лицензирования, entity LicCenter) организациям и физическим лицам специальное разрешение на осуществление отдельных видов деятельности. Ст. 49 ГК РФ предусматривает, что виды деятельности, на осуществление которых требуется лицензия, определяется только законом, поэтому существует перечень лицензируемых видов деятельности (entity ISSubjects). ERD диаграмма предметной области показана на рис. 11.1 и 11.2. На рис. 11.2 красным контуром обведены, таблицы, выполнять все действия, с которыми может пользователь Certif_mgr, синим цветом – таблицы, выполнять все действия с которыми может пользователь Licns_mgr («менеджеры» остальных таблиц в нашей задаче уже не важны). Пользователь Lic_clerc может выполнять только вставку и извлечение информации для таблиц ISLicns, LicCenter. Владельцем всей схемы является пользователь ch_cert. Скрипт создания предметной области – файл test1a_new.sql приведен в приложении 6. Решение задачи разграничения полномочий пользователей с использованием ролей и привилегий Соединение пользователя с правами АБД с БД. При дальнейшем выполнении работы в окно SQL*Plus надо копировать командные строки из нижеследующего описания. 294 295 Рис. 11.1. ERD диаграмма предметной области (русскоязычный вариант) 296 Рис. 11.2 ERD диаграмма предметной области (English) Для обеспечения возможности повторного выполнения скриптов удаляем объекты (если они существуют), команда создания которых приведена ниже: Connect system/system@orcl DROP USER ch_cert CASCADE; DROP USER licns_mgr CASCADE; DROP USER certif_mgr CASCADE; DROP USER lic_clerc CASCADE; DROP ROLE licns_mgr_role; DROP ROLE lic_clerc_role; DROP ROLE certif_mgr_role; DROP PUBLIC SYNONYM cclic; DROP PUBLIC SYNONYM certcntr; DROP PUBLIC SYNONYM certifct; DROP PUBLIC SYNONYM islicns; DROP PUBLIC SYNONYM issubjects; DROP PUBLIC SYNONYM item; DROP PUBLIC SYNONYM liccenter; DROP PUBLIC SYNONYM manufctr; DROP PUBLIC SYNONYM manufctr_audit; DROP PUBLIC SYNONYM manulic; DROP PUBLIC SYNONYM signlic; DROP PUBLIC SYNONYM standart; DROP PUBLIC SYNONYM testlab; DROP PUBLIC SYNONYM tllic; Создаем пользователя – администратора приложения: Connect system/system@orcl CREATE USER ch_CERT IDENTIFIED BY ch_cert DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 1m on users; GRANT connect, resource TO ch_cert; GRANT create user,alter user TO ch_cert; Наделяем администратора приложения группой привилегий: GRANT connect, resource TO ch_cert; GRANT create user,alter user TO ch_cert; 297 Соединяемся с базой данных администратором приложения: connect ch_cert/ch_cert@orcl Создание базы данных сертификации продукции. Поместим в папку c:\tmp скрипт test1a_new.sql (надо скопировать sql текст из приложения 6 и поместить его в текстовый файл с именем test1a_new.sql). В окне SQL*Plus вводим команду: @c:\tmp\test1a_new.sql База данных сертификации продукции создана и заполнена данными. Теперь пользователь CH_CERT, который является администратором (решающим, в числе прочих, и вопросы разграничения полномочий между другими пользователями), создает менеджера licns_mgr. Licns_mgr, который будет обладать всеми правами на таблицы ISLicns, LicCenter, ManuLic, ISSubjects, Manufctr (обведены на диаграмме БД-English.doc линией синего цвета). Администратор приложения создает первого пользователя своего приложения: CREATE USER licns_mgr IDENTIFIED BY licns_mgr DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 1m on users; АБД наделяет администратора приложения недостающими привилегиями: connect system/system@orcl GRANT create role TO ch_cert; Администратор приложения продолжает свою работу по созданию ролей и привилегий: connect ch_cert/ch_cert@orcl Создаем роль licns_mgr_role: CREATE ROLE licns_mgr_role; Даем этой роли привилегии на работы с пятью из 13 вышеназванных таблиц: GRANT select,insert,update,delete ON issubjects TO licns_mgr_role; GRANT select,insert,update,delete ON manufctr TO licns_mgr_role; GRANT select,insert,update,delete ON islicns TO licns_mgr_role; 298 GRANT select,insert,update,delete ON manulic TO licns_mgr_role; GRANT select,insert,update,delete ON liccenter TO licns_mgr_role; Наделяем ролью licns_mgr_role пользователя licns_mgr: GRANT licns_mgr_role TO licns_mgr; Привилегия соединяться с базой данных пользователю LICNS_MGR еще не предоставлена. АБД наделяет пользователя приложения привилегией, которую не может дать администратор приложения: connect system/system@orcl GRANT create session TO licns_mgr; Пользователь приложения соединяется с базой данных: connect licns_mgr/licns_mgr@orcl SELECT table_name FROM user_tables; Так как все таблицы создавались в схеме ch_cert , пользователь licns_mgr не может их увидеть без указания владельца. SELECT * FROM issubjects; SELECT * FROM ch_cert.issubjects; при таком запросе строки выведены --Обращаться к таблицам, набирая имя владельца - неудобно, --поэтому владелец таблиц ch_cert создает на них public synonym: Администратор приложения соединяется с базой данных для создания нужных объектов: connect ch_cert/ch_cert@orcl CREATE PUBLIC SYNONYM standart FOR ch_cert.standart; --команда эта не будет выполнена, так как --привилегия создавать public synonym пользователю --ch_cert не предоставлялась. Администратор базы данных добавляет приложения дополнительную привилегию: connect system/system@orcl GRANT create public synonym TO ch_cert; 299 администратору Администратор приложения вновь соединяется с базой данных для создания нужных объектов: connect ch_cert/ch_cert@orcl --Создаются public synonym на все таблицы базы данных. CREATE PUBLIC SYNONYM standart FOR ch_cert.standart; CREATE PUBLIC SYNONYM cclic FOR ch_cert.cclic; CREATE PUBLIC SYNONYM certcntr FOR ch_cert.certcntr; CREATE PUBLIC SYNONYM certifct FOR ch_cert.certifct; CREATE PUBLIC SYNONYM islicns FOR ch_cert.islicns; CREATE PUBLIC SYNONYM issubjects FOR ch_cert.issubjects; CREATE PUBLIC SYNONYM item FOR ch_cert.item; CREATE PUBLIC SYNONYM liccenter FOR ch_cert.liccenter; CREATE PUBLIC SYNONYM manufctr FOR ch_cert.manufctr; CREATE PUBLIC SYNONYM manulic FOR ch_cert.manulic; CREATE PUBLIC SYNONYM signlic FOR ch_cert.signlic; CREATE PUBLIC SYNONYM testlab FOR ch_cert.testlab; CREATE PUBLIC SYNONYM tllic FOR ch_cert. tllic; Пользователь базы данных соединяется с ней для проверки своих привилегий: connect licns_mgr/licns_mgr@orcl --Проверим работу синонимов: SELECT * FROM manufctr; --теперь не надо указывать имя владельца таблицы --предыдущий запрос вывел строки таблицы, а нижеследующий запрос --показывает, что таблиц в схеме «licns_mgr» нет SELECT table_name FROM user_tables; SELECT * FROM manulic; --А вот с другими, помимо вышеназванных для licns_mgr пяти --таблиц, ему работать не разрешено: SELECT * FROM certifct; --пользователю licns_mgr не дано право работать --с таблицей CERTIFCT SELECT * FROM standart; --пользователю licns_mgr не дано право работать --с таблицей standart --А с таблицей ISSUBJECTS пользователю licns_mgr 300 --работать разрешено: DESC issubjects SELECT * FROM issubjects; INSERT INTO issubjects (isid,name) VALUES (9,'деятельность по теоретической оценке методов шифрования'); --А теперь ch_cert заводит еще одного пользователя - lic_clerc, --предварительно создавая для него роль lic_clerc_role, для которой --предоставляется привилегия select, insert на таблицу islicns Администратор приложения создает нового пользователя и объекты базы данных: connect ch_cert/ch_cert@orcl CREATE ROLE lic_clerc_role; GRANT select, insert ON islicns to lic_clerc_role; CREATE USER lic_clerc IDENTIFIED BY lic_clerc DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 1m ON users; --Пользователь-администратор ch_cert не может предоставлять --привилегию создания сессии с базой данных другим пользователям. GRANT connect TO lic_clerc; --появляется сообщение обошибке --администратор system предоставит ему такую возможность Администратор базы данных добавляет администратору приложения дополнительную привилегию: connect system/system@orcl GRANT connect TO ch_cert WITH ADMIN OPTION; Администратор приложения привилегию: connect ch_cert/ch_cert@orcl GRANT connect TO lic_clerc; 301 добавляет пользователю Новый пользователь соединяется с базой данных для проверки своих привилегий: connect lic_clerc/lic_clerc@orcl SELECT * FROM islicns; --здесь появляется сообщение об ошибке, так как --пользователь-администратор ch_cert забыл назначить --роль lic_clerc_role пользователю lic_clerc: Администратор приложения исправляет свою ошибку: connect ch_cert/ch_cert@orcl GRANT lic_clerc_role TO lic_clerc; Новый пользователь соединяется с базой данных для проверки своих привилегий: connect lic_clerc/lic_clerc@orcl SELECT * FROM islicns; --С другими таблицами, кроме ISLicns, LicCenter, --пользователю lic_clerc привилегии на работу не --предоставлены: SELECT * FROM issubject; SELECT * FROM liccenter; -- после двух последних запросов появляется сообщение об ошибке Администратор приложения добавляет привилегии новому пользователю: connect ch_cert/ch_cert@orcl --Осталось добавить пользователю lic_clerc привилегию --на работу с таблицей liccenter (только --select,insert) - через роль lic_clerc_role: GRANT select,insert ON liccenter TO lic_clerc_role; Новый пользователь проверяет свои привилегии: connect lic_clerc/lic_clerc@orcl SELECT * FROM liccenter; --запрос отрабатывает успешно. Теперь создадим пользователя certif_mgr и дадим ему возможность работать с таблицей Manufctr через роль certif_mgr_role. Другие таблицы в связи с этим пользователем нам не важны, так как 302 дальше, в соответствующей лабораторной работе по аудиту мы попытаемся решить задачу аудита работы двух менеджеров с одной таблицей Manufctr, которая входит в схему обоих менеджеров. Администратор приложения создает третьего пользователя и наделяет его привилегиями: connect ch_cert/ch_cert@orcl CREATE USER certif_mgr identified BY certif_mgr DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 1m ON users; GRANT connect TO certif_mgr; CREATE ROLE certif_mgr_role; GRANT select,insert,update,delete ON manufctr TO certif_mgr_role; GRANT certif_mgr_role TO certif_mgr; Сдача лабораторной работы Сдача лабораторной работы заключается в выполнении студентом задачи разграничения полномочий в предметной области, заданной преподавателем – по такой же схеме, как и в приведенном описании лабораторной работы. Предметные области преподаватель может выбрать из числа поставляемых Oracle вместе с установочной версией СУБД примеров (схемы пользователей scott, hr, sh). Тестовые задания к работе 11 Входной контроль 1. Что мы понимаем под пользователем (базы данных), когда говорим о ролях и привилегиях пользователей (базы данных)? a) пользователя операционной системы; b) учетную запись пользователя операционной системы; c) учетную запись пользователя базы данных; d) пользователя предприятия (в терминах глобальной аутентификации); e) правильных ответов нет. 303 2. Какая (какие) из нижеприводимых строк соответствуют определению привилегий базы данных? a) привилегии пользователя определяют, какие действия над данными и над объектами пользователей являются разрешенными (это разрешения на объекты пользователей, такие как таблицы, представления, последовательности, пакеты и т.п.); b) привилегии пользователя определяют, какие действия в системе (базы данных) являются разрешенными (это разрешения на операции уровня базы данных, например подключение к базе данных, создание пользователей, внесение изменений в конфигурацию базы данных); c) привилегии пользователя определяют, какие действия разрешены над файлами операционной системы реализующими программное обеспечение СУБД; d) привилегии пользователя определяют какие дейсвтия разрешены над файлами операционной системы, реализующими базу данных; e) правильных ответов нет. 3. Укажите, какие из нижеприводимых строк соответствуют типам привилегий пользователей СУБД: a) табличные привилегии; b) объектные привилегии; c) программные привилегии; d) системные привилегии; e) правильных ответов нет. 4. Какие правила определены для управления привилегиями? a) объект принадлежит пользователю, его создавшему (если синтаксисом не указано создание объекта другого пользователя, конечно, при соответствующих полномочиях пользователя, создающего объект другого пользователя); b) владелец объекта может изменять привилегии своего объекта; c) объектная привилегия всегда соотносится с конкретным объектом, а системная ‒ с объектами вообще; d) владелец объекта может отобрать привилегию на его использование у любого пользователя; e) правильных ответов нет. 304 5. В нижеприводимых строках укажите строки с привилегиями, поддерживаемыми языком SQL: a) ALTER; b) SELECT; c) INSERT; d) DROP; e) правильных ответов нет. 6. Укажите верное определение роли: a) роль – специально созданная программа, позволяющая вставлять записи в таблицу пользователя; b) роль – специально создаваемое представление базы данных; c) роль – это набор привилегий, которому присваивается имя; d) роль – специально созданный программный модуль, включающий функции создания и манипулирования объектами пользователя; e) правильных ответов нет. 7. В нижеприводимом списке укажите автоматически создаваемые (при создании базы данных) роли: a) CONNECT; b) RESOURCE; c) DBA; d) USERROLE; e) правильных ответов нет. Выходной контроль 1. АБД (system) создал в сеансе SQL*Plus пользователя U1, определив ему пароль, tablespase s и квоты на них. Укажите, какие роли получил по умолчанию пользователь U1: a) DBA; b) manager, boss; c) connect, resource; d) backup – manager; e) правильных ответов нет; f) я затрудняюсь с ответом на этот вопрос. 2. Польз. u3 имеет роли connect, resource и создал проц-ру getdata, вывод-ю на экран содерж. таблицы u3. tab3_1 и дал привил-ю исполн. этой процедуры польз. u4, имеющему роли 305 "connect", "resource", в схеме которого нет объектов. После каких из нижеприводимых команд пользователь u4 получит в своем сеансе сообщение об ошибке? a) INSERT INTO u2.tab4 VALUES(124,123); b) UPDATE u2.tab4 SET at1=345; c) SELECT * FROM u2.tab4; d) UPDATE u2.tab4 SET at2=345; e) DELETE FROM u2.tab4; f) я затрудняюсь с ответом на этот вопрос. 3. Польз. u3 имеет роли connect, resource и создал проц-ру getdata, вывод-ю на экран содерж. таблицы u3. tab3_1 и дал привил-ю исполн. этой процедуры польз. u4, имеющему роли "connect", "resource", в схеме которого нет объектов. После каких из нижеприводимых команд пользователь u4 получит в своем сеансе сообщение об ошибке? a) SELECT * FROM tab3_1; b) SELECT * FROM u3.tab3_1; c) EXEC getdata; d) EXEC u3.getdata; e) BEGIN u3.getdata; END; / f) я затрудняюсь с ответом на этот вопрос. 4. Пользователю U1 предоставлена системная привилегия "creat e any table", после чего он создает таблицу tab1(at1 numeric) в схеме пользователя U2. Укажите команды, для которых Oracle выдает сообщение об ошибке пользователю U1. a) CREATE TABLE tab1(at1 NUMERIC); b) SELECT * FROM u2.tab1; (таблица уже создана в схеме u2); c) CREATE TABLE u2.tab1(at1 NUMERIC); d) UPDATE TABLE u2.tab1 SET at1=10; e) INSERT INTO u2.tab1 VALUES(5); f) я затрудняюсь с ответом на этот вопрос. 5. Какой пользователь после установки базы данных может запускать в работу и останавливать базу данных? a) SCOTT; b) SYS; c) SYSTEM; d) LBACSYS; 306 e) пользователь с административными правами операционной системы; f) я затрудняюсь с ответом на этот вопрос. 6. Польз-лю U1 даны только привилегии "create session", "create any table", "create public synonym". Он создает в схеме польз-ля U2 таблицу tab2(at1 numeric) и public synonym tabx для нее. Укажите команды, для которых польз-лю U2 будет выдано сообщение об ошибке (u2 имеет роли connect,resource, привилегию create view): a) SELECT * FROM tabx; b) CREATE TABLE tabx(at1 NUMERIC); c) CREATE VIEW tabx AS SELECT * FROM tabx; d) DROP PUBLIC SYNONYM tabx; e) INSERT INTO tabx VALUES(55); f) я затрудняюсь с ответом на этот вопрос. 7. Польз. u1 создан пользователем u2 (АБД): Create user u1 identified by u1 default tablespace my_db temporary tablespace temp quota 1m on my_db; Затем польз. u2 дал польз.u1 роль "connect", после чего польз. u1 соединяется с сервером Oracle. Какая из команд польз. u1 выдаст сообщение об ошибке? a) ALTER USER u1 IDENTIFIED BY my_pwd; b) ALTER USER u1 TEMPORARY TABLESPACE your_db; c) CREATE TABLE tab1(at1 NUMBE R); d) SELECT * FROM user_tables; e) CREATE SEQUENCE my_seq; f) я затрудняюсь с ответом на этот вопрос. 307 Работа 12 ДЕТАЛЬНЫЙ КОНТРОЛЬ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ К БАЗАМ ДАННЫХ Цель: получение навыков практического использования детального контроля доступа пользователей к информации в базе данных. Ознакомление с детальным контролем доступа (FGA – Fine Grained Access) пользователей к информации в базе данных. ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Установка предметной области, заданной преподавателем для настройки детального контроля доступа. 2. Определение политики (правила) безопасности для установленной предметной области. 3. Создание контекста приложения. 4. Создание модуля, устанавливающего контекст и триггера, заставляющего выполнять эту процедуру при соединении с базой данных любого пользователя. 5. Создание функции, воплощающей политику (правило) безопасности. 6. Создание политики (правила) безопасности – обеспечение связи функции по соответствующему пункту с таблицей, для которой сформулирована политика безопасности. ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ 1. Создание предметной области для настройки детального контроля доступа Предметная область приведена на рис.12.1. Скрипты создания предметной области – файлы create.sql, insert.sql приведены в приложении 7. В качестве владельца схемы создадим пользователя t2 и дадим ему необходимые привилегии. Эти действия выполним пользователем SYS. Вся работа проходит в клиентском приложении SQL*Plus, куда копируются нижеприводимые команды. 308 Рис. 12.1. Учебная информационная система «Учёт использования дисплейных классов» connect sys/sys@orcl as sysdba DROP USER t2; DROP USER Зотов; DROP USER Лаврентьев; DROP USER Беззубцев; CREATE USER t2 IDENTIFIED BY t2 DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 1m ON users; GRANT CREATE ANY CONTEXT TO t2; GRANT EXECUTE_CATALOG_ROLE TO t2; GRANT EXECUTE ON dbms_rls TO t2; GRANT EXECUTE ON dbms_fga TO t2; GRANT CREATE USER TO t2; 309 GRANT CREATE SESSION, RESOURCE TO t2 WITH ADMIN OPTION; GRANT SELECT ANY TABLE TO t2 WITH ADMIN OPTION; GRANT CREATE PUBLIC SYNONYM TO t2; GRANT DROP PUBLIC SYNONYM TO t2; Для того чтобы всю работу можно было выполнять повторно, удалим создаваемые ранее (при предыдущем выполнении работы) синонимы: DROP PUBLIC SYNONYM error; DROP PUBLIC SYNONYM f2_1; DROP PUBLIC SYNONYM professor; DROP PUBLIC SYNONYM get_prof_id; Теперь выполним скрипты создания предметной области, предварительно разместив их в папке c:\tmp (скрипты приведены в приложении 7). Connect t2/t2@orcl После выполнения этой команды надо скопировать из приложения 7 тексты скриптов create.sql, insert.sql и поместить их в текстовые файлы с этими же именами. Файлы create.sql, insert.sql надо поместитьь в папку c:\tmp и вслед за тем выполнить в окне SQL*Plus команды: @c:\tmp\create.sql @c:\tmp\insert.sql Теперь таблицы предметной области созданы и заполнены данными. 2. Определение политики (правила) безопасности для приведенной предметной области Определим политику (правило) безопасности для приведенной предметной области (табл. 12.1). В таблице professor в столбце prof_f 3 записи: 'Лаврентьев, Зотов, Беззубцев. Этих трех пользователей создадим. На основании политики безопасности они будут видеть разные строки в таблице Error при одинаковом запросе выборки к этой таблице. После установки предметной области выполним запрос к таблице Error, связав вывод из нее со значением столбца Pro_f в таб310 лице Professor, чтобы в начале работы ознакомиться с тем, какой результат мы должны получить при выполнении запроса к таблице Error разными пользователями из таблицы Professor. t2.Error t2.f2_1 Процедура, устанавливающая контекст t2 Контекст с информацией, реализующей политику для функции Функция, реализующая политику Преподаватель (таблица Professor) может просматривать в таблице Error записи, касающиеся неисправностей компьютеров только в тех аудиториях, в которых этот преподаватель проводит занятия Таблица, для которой создается политика Политика Имя пользователя, который создает политику Таблица 12.1 t2. t2. prof_sec_ctx get_prof_id SELECT DISTINCT error.*,professor.prof_f FROM error,computer,auditory,schedule,professor WHERE error.comp_id=computer.comp_id and computer.aud_id=auditory. aud_id and auditory.aud_id=schedule.aud_id and schedule.prof_id=professor. prof_id ORDER BY professor.prof_f; ERR_ID ERR_DESCRIPTION CLASS_ID PROF_F ERR_TYPE REPAIRED COMP_ID ------------------------------- -------------- ---------- -------- ---------2 Неисправен процессор 1 16 Зотов 3 Сгорел монитор + 8 30 Лаврентьев 1 Сломался USB порт + 5 1 Лаврентьев 311 Из последнего запроса видно, что в соответствии с введенной политикой (см. табл. 12.1) запрос: SELECT * FROM Error; Для пользователя «Зотов» должен вывести одну строку: ERR_ID ERR_DESCRIPTION CLASS_ID ERR_TYPE REPAIRED COMP_ID ------------------------------- -------------- -------------- ---------------2 Неисправен процессор 1 16 Для пользователя «Лаврентьев» - две строки: ERR_ID ERR_DESCRIPTION CLASS_ID ERR_TYPE REPAIRED COMP_ID ------------------------------- -------------- -------------- ---------------3 Сгорел монитор + 8 30 1 Сломался USB порт + 5 1 Для пользователя «Беззубцев» строки не найдены. 3. Создание контекста приложения Прежде чем создавать контекст приложения, создадим нужных нам для иллюстрации детального контроля доступа пользователей. Эти пользователи: Лаврентьев, Зотов, Беззубцев с паролями l, z, b соответственно с ролью Resource, привилегией create session и с квотой 1m на tablespace users. Connect t2/t2@orcl CREATE USER Зотов IDENTIFIED BY z DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 1m ON users; GRANT RESOURCE, CREATE SESSION TO Зотов; Аналогично для пользователей «Лаврентьев», «Беззубцев». После создания пользователей дадим им возможность работать с отдельными таблицами пользователя «t2». GRANT SELECT, INSERT, UPDATE, DELETE ON error TO PUBLIC; CREATE PUBLIC SYNONYM error FOR t2.error; 312 GRANT SELECT ON professor TO PUBLIC; CREATE PUBLIC SYNONYM professor FOR t2.professor; Контекст приложения должен создавать пользователь «t2». Connect t2/t2@orcl CREATE OR REPLACE CONTEXT prof_sec_ctx USING GET_PROF_ID; После этого создадим процедуру, устанавливающую контекст и триггер, заставляющий выполниться эту процедуру при соединении с базой данных любого пользователя Connect t2/t2@orcl CREATE OR REPLACE PROCEDURE get_prof_id AS v_prof_id NUMBER; BEGIN SELECT prof_id INTO v_prof_id FROM professor WHERE UPPER(prof_f)=SYS_CONTEXT('USERENV', 'SESSION_USER'); DBMS_SESSION.SET_CONTEXT('prof_sec_ctx','prof_id1',v_prof_id); EXCEPTION WHEN NO_DATA_FOUND THEN NULL; END get_prof_id; / Дадим возможность всем пользователям выполнять эту процедуру. GRANT EXECUTE ON GET_PROF_ID to public; CREATE PUBLIC SYNONYM get_prof_id FOR t2.get_prof_id; Если процедура «GET_PROF_ID» выполняется, то в контексте «prof_sec_ctx» (являющемся частью системного контекста пользователя) в ячейке с именем «prof_id1» содержится идентификатор того преподавателя из таблицы «Professor», который выполнил процедуру «GET_PROF_ID». Если же процедуру выполняет пользователь, не представленный в таблице «Professor», то в ячейке с именем «prof_id1» будет находиться NULL значение. 313 Триггер создадим пользователем «sys»: Connect syst/sys@orcl as sysdba CREATE OR REPLACE TRIGGER db_trigger AFTER LOGON ON DATABASE BEGIN t2.get_prof_id; END; / 4. Создание функции, воплощающей политику (правило) безопасности Connect t2/t2@orcl CREATE OR REPLACE FUNCTION f2_1 (obj_schema IN VARCHAR2, obj_name IN VARCHAR2) RETURN VARCHAR2 IS v_return VARCHAR2(500); BEGIN v_return:='comp_id in ( SELECT comp_id FROM computer,auditory,schedule,professor WHERE computer.aud_id=auditory.aud_id and auditory.aud_id=schedule.aud_id and schedule.prof_id=professor.prof_id and professor.prof_id=SYS_CONTEXT(''prof_sec_ctx'', ''prof_id1''))'; RETURN v_return; END; / Функция вернет идентификаторы (comp_id) тех компьютеров из таблицы computer, которые установлены в дисплейных классах (таблица auditory), занятия в которых по расписанию (таблица shedule) проводил преподаватель с идентификатором prof_id из таблицы professor (professor.prof_id). Этот идентификатор извлекается из ячейки prof_id1 контекста prof_sec_ctx, созданного как часть системного контекста sys_context (это извлечение 314 задается частью выражением «sys_context(''prof_sec_ctx'', ''prof_id1'')». Полезно проверить возвращаемое функцией значение. SET SERVEROUTPUT ON EXEC DBMS_OUTPUT.PUT_LINE(f2_1('T2', 'ERROR')); Для пользователя «t2» функция вернет: comp_id in ( SELECT comp_id FROM computer,auditory,schedule,professor WHERE computer.aud_id=auditory.aud_id and auditory.aud_id=schedule.aud_id and schedule.prof_id=professor.prof_id and professor.prof_id=SYS_CONTEXT('prof_sec_ctx', 'prof_id1')) Теперь полезно выполнить SELECT, содержащийся в возвращаемом значении, чтобы убедиться в правильности его выполнения: SELECT comp_id FROM computer,auditory,schedule,professor WHERE computer.aud_id=auditory.aud_id and auditory.aud_id=schedule.aud_id and schedule.prof_id=professor.prof_id and professor.prof_id=SYS_CONTEXT('prof_sec_ctx', 'prof_id1'); Ответ «строки не выбраны» свидетельствует о правильности работы функции (пользователя «t2» действительно нет в таблице «Professor»). Осталось еще: GRANT EXECUTE ON f2_1 TO PUBLIC; CREATE PUBLIC SYNONYM f2_1 FOR t2.f2_1; чтобы все пользователи могли выполнять эту функцию. 5. Создание политики (правила) безопасности – обеспечение связи функции с таблицей, для которой сформулирована политика безопасности Connect t2/t2@orcl BEGIN 315 DBMS_RLS.drop_POLICY( OBJECT_SCHEMA => 't2', OBJECT_NAME => 'error', POLICY_NAME => 'prof_id_policy'); end; / BEGIN DBMS_RLS.ADD_POLICY( OBJECT_SCHEMA => 't2', OBJECT_NAME => 'error', POLICY_NAME => 'prof_id_policy', FUNCTION_SCHEMA => 't2', POLICY_FUNCTION => 'f2_1', STATEMENT_TYPES => 'SELECT, UPDATE'); END; / Проверим настроенный нами детальный контроль доступа. connect зотов/z@orcl SELECT * FROM Error; ERR_ID ERR_DESCRIPTION CLASS_ID ERR_TYPE REPAIRED COMP_ID ------------------------------- -------------- -------------- ---------------2 Неисправен процессор 1 16 connect Лаврентьев/l@orcl SELECT * FROM Error; ERR_ID ERR_DESCRIPTION CLASS_ID ERR_TYPE REPAIRED COMP_ID ------------------------------- -------------- -------------- ---------------3 Сгорел монитор + 8 30 1 Сломался USB порт + 5 1 connect Беззубцев/b@orcl SELECT * FROM Error; строки не выбраны Результат совпал с ожидаемым. Проверим еще выполнение UPDATE: connect Лаврентьев/l@orcl 316 UPDATE error SET repaired='-'; 2 строк обновлено. SELECT * FROM Error; ERR_ID ERR_DESCRIPTION CLASS_ID ERR_TYPE REPAIRED COMP_ID ------------------------------- -------------- -------------- ---------------3 Сгорел монитор + 8 30 1 Сломался USB порт + 5 1 Запрос показал, что мы меняем строки, «видимые» только пользователю «Лаврентьев» Вернем таблицу в исходное состояние. ROLLBACK. Сдача лабораторной работы Сдача лабораторной работы заключается в реализации студентом детального контроля доступа на индивидуальной предметной области. Студент сам определяет «родительскую» таблицу, в которой для трех строк символьного столбца с неповторяющимися значениями создает пользователей, а политику разграничения полномочий формирует для какой-либо «дочерней» таблицы, т.е. таблицы, в которой в качестве Foreign Key присутствует Primary Key родительской таблицы. Тестовые задания к работе 12 Входной контроль 1. Среди нижеприводимых укажите строк(у/и) со средствами СУБД, помогающими реализовать принцип «минимальных привилегий»: a) роли, упрощающие администрирование за счет определения групп детализированных привилегий, ограничивающих права доступа; b) представления (view), позволяющие ограничить доступ к данным; c) профили пользователя; 317 d) хранимые процедуры, реализующие корректные транзакции без прямого предоставления привилегий конкретному пользователю; e) правильных ответов нет. 2. Среди нижеприводимых укажите строк(у/и) с компонент(ом/ами), используемым(и) при реализации детального контроля доступа: a) представление таблицы, для которой реализуется детальный контроль доступа; b) контекст приложения; c) политика безопасности; d) функция, реализующая политику безопасности; e) правильных ответов нет. 3. Среди нижеприводимых укажите строк(у/и) с преимуществами детального контроля доступа по сравнению с использованием ролей, представлений, хранимых процедур: a) защиту таблицы придется создавать только однажды на сервере баз данных, а не реализовывать ее многократно в каждом приложении, которое обращается к данным; b) детальный контроль доступа реализуется на уровне базы данных и не принимает в расчет логику конкретных приложений; c) детальный контроль доступа может быть реализован непривилегированным пользователем; d) детальный контроль доступа сокращает время отработки запросов пользователей к базе данных; e) правильных ответов нет. 4. Укажите синонимы детального контроля доступа (Fine Grained Access Control – техническое название): a) Виртуальная частная база данных; b) Безопасность на уровне строк; c) Контекстное разделение; d) Политика разделения групп строк; e) Правильных ответов нет. 5. Укажите, в чем выражается использование детального контроля доступа при обращении с использованием SQL к таблице базы данных: a) каждый пользователь видит в таблице данные только «свои» и данные других пользователей с такими же привилегиями; 318 b) каждый пользователь видит в таблице данные только «свои» и не видит данные других пользователей; c) к запросу любого пользователя во время его выполнения динамически присоединяется предложение where….; d) к запросу любого пользователя во время его выполнения динамически присоединяется предложение group by….; e) правильных ответов нет. 6. Какие привилегии/роли должен иметь разработчик для реализации детального контроля доступа? a) CONNECT; b) RESOURCE; c) EXECUTE_CATALOG_ROLE; d) CREATE ANY CONTEXT; e) правильных ответов нет. 7. Укажите отдельные компоненты, которые включает политика безопасности, создаваемая пакетом dbms_rls при реализации детального контроля доступа: a) имя схемы (имя учетной записи) пользователя, в которой находится таблица, для которой реализуется детальный контроль доступа; b) имя таблицы, для которой реализуется детальный контроль доступа; c) привилегии пользователя на действия по созданию его объектов; d) название функции, реализующей политику безопасности; e) правильных ответов нет. Выходной контроль 1. Укажите, какие из перечисленных ниже действий «участвуют» в создании Virtual Private Database: a) изменить метод аутентификации пользователя с password на external; b) создать модуль, который устанавливает контекст приложения; c) определить все роли, принадлежащие владельцу таблиц, для которых реализуется vpd; d) создать контекст приложения; e) определить цели политики безопасности; 319 f) создать функцию воплощения политики безопасности; g) добавить политику безопасности – связать функцию воплощения политики безопасности с таблицей; h) правильных ответов нет. 2. Укажите верное определение контекста приложения: a) контекст – это неизменный блок данных, которым постоянно обмениваются сервер и клиент Oracle при каждой передаче запрошенных данных; b) контекст – это заголовок списка занятых блоков в буферном кэше SGA; c) контекст – это часть заголовка каждого блока с хранимой информацией схемы пользователя; d) контекст – это именованный набор атрибутов и значений, который можно установить и затем связать с сессией текущего пользователя; e) контекст – результат парсинга запроса пользователя к БД в текущей сессии; f) правильных ответов нет. 3. Какие значения позволяет получить встроенный контекст USERENV? a) номер активного log файла; b) имя пользователя текущей сессии; c) имя компьютера, с которого пользователь установил сессию с сервером Oracle; d) тип аутентификации пользователя; e) имя базы данных; f) имя домена базы данных Oracle; g) правильных ответов нет. 4. Каким компонентом объявления политики DBMS_ RLS.ADD_POLICY обеспечивается возможность выполнения всех действий (select,insert,update,delete) с таблицей, для которой создается новая политика? a) policy_function; b) update_check; c) static_poicy; d) enable; e) statement_types; f) правильных ответов нет. 320 5. Какой программный компонент необходим для того, чтобы была запущена заранее созданная процедура, устанавливающая заранее созданный контекст приложения при соединении пользователя с базой данных? a) специальная функция, запускаемая на выполнение пользователем; b) заголовок специализированного модуля; c) after logon trigger; d) дополнительная процедура, автоматически запускаемая при создании сессии; e) триггер приложения; f) правильных ответов нет. 6. Администратор безопасности создает контекст приложения для пользователя userfga с паролем userfga. Укажите команду, которой может быть создан контекст: a) CREATE SELECTIVE CONTEXT FOR userfga; b) CREATE CONTEXT FOR userfga IDENTIFIED BY userfga; c) CREATE OR REPLACE USER CONTEXT FOR userfga; d) CREATE OR REPLACE CONTEXT prof_sec_ctx USING GET_PROF_ID; e) CREATE OR REPLACE SELECTIVE USER CONTEXT FOR userfga; f) правильных ответов нет. 7. При проверке настроек FGA для работы с таблицей «employee» пользователю была выдана ошибка, смысл которой может быть определен фразой «ошибка на рекурсивном уровне…». Укажите среди нижеперечисленных верную причину этой ошибки: a) не создан контекст приложения; b) не создана процедура, устанавливающая контекст; c) не создана функция, реализующая политику безопасности; d) процедура, устанавливающая контекст, создана с ошибкой; e) функция, устанавливающая контекст, в возвращаемом значении содержит запрос, в котором во фразе «from» указана таблица «employee»; f) правильных ответов нет. 321 Работа 13 МАНДАТНЫЙ КОНТРОЛЬ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ К ИНФОРМАЦИИ В БАЗЕ ДАННЫХ Цель: получение навыков практического использования мандатного контроля доступа пользователей к информации в базе данных. Ознакомление с мандатным контролем доступа (OLS – Oracle Label Security) пользователей к информации в базе данных. ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Установка предметной области, заданной преподавателем для настройки детального контроля, проектирование меток. 2. Установка Oracle Label Security. 3. Создание политики безопасности, воплощающей компоненты меток пользователей (в таблице «Emp») и строк (в таблице «Official»). 4. Определение обязательного компонента меток − уровней доступа (конфиденциальности). 5. Определение второго компонента метки (compartment). 6. Определение третьего компонента метки (group). 7. Создание меток в сочетании трех компонентов с присвоением меткам численной величины. 8. Применение политики к таблице. 9. Создание пользователей и наделение их соответствующими правами. 10. Назначение меток пользователям. 11.Назначение меток строкам таблицы «Official». 12. Проверка всех настроек – демонстрация OLS в работе. ПОРЯДОК ПРОВЕДЕНИЯ РАБОТЫ 1. Установка предметной области для настройки детального контроля, проектирование меток connect sys/sys@orcl as SYSDBA DROP USER scott CASCADE; CREATE USER scott IDENTIFIED BY scott 322 DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; GRANT create session, resource TO scott; connect scott/scott@orcl Скрипт scott_with_official.sql приведен в приложении 8. Перед выполнением нижеприводимой команды надо скопировать скрипт из приложения 8 в текстовый файл с именем scott_with_official.sql и поместить его в папку c:\tmp. @c:\tmp\scott_with_official.sql Эта предметная область основана на предметной области пользователя «Scott», имеющейся в поставляемой с инсталляционной версией Oracle базе данных ORCL. В дополнение к предметной области пользователя «Scott» добавлена таблица «Official» (чиновник), являющаяся дочерней по отношению к таблице «Emp». Служащие компании, представленные в таблице «Emp», общаются с чиновниками, представленными в таблице «Official», причем каждый служащий компании общается с чиновником, соответствующим «своему» или ниже «своего» уровня. Под уровнем понимается не только должность, но и уровень конфиденциальности, и тип отдела. На рис. 13.1 показана иерархия подчиненности и принадлежность к разным отделам служащих в таблице «Emp». Рис.13.1. Иерархия подчиненности и принадлежность разным отделам служащих в таблице «Emp» 323 Для пользователей из таблицы «Emp» определим разные права на просмотр таблицы «Official». Пользователь «KING» имеет право просматривать в таблице «Official» информацию обо всех чиновниках, с которыми общаются все сотрудники компании. Пользователь «CLARK» может просматривать информацию в таблице «Official» о начальнике и всех служащих отдела финансов, пользователь «MILLER» может просматривать в таблице «Official» информацию только о младшем чиновнике – эксперте отдела финансов. Аналогичное разграничение полномочий установлено для служащих отдела «RESEARCH». В таблице «Official» служащим отдела «RESEARCH» соответствуют чиновники отдела исследований. Пользователь «JONES» имеет право просматривать в таблице «Official» информацию обо всех чиновниках отдела исследований. Пользователи «SCOTT», «FORD» могут просматривать информацию о старших экспертах и экспертах отдела исследований. Пользователи «ADAMS», «SMITH» могут просматривать информацию только об экспертах отдела исследований. Наконец, служащим отдела «SALES» соответствуют чиновники отдела торговли из таблицы «Official», и для служащих отдела «SALES» установлено разграничение полномочий при работе с таблицей «Official» сходное с тем, как это сделано для служащих отдела «RESEARCH». Установим метки для строк таблицы «Official». Метки могут состоять из трех компонентов: уровня доступа (LEVEL), отделения (COMPARTMENT) и группы (GROUP). Первый из этих компонентов в OLS Oracle является обязательным, остальные два – опционными. В нашем примере мы будем использовать для формирования меток строк таблицы «Official» и пользователей − сотрудников фирмы из таблицы «Emp» все три компоненты. Определим четыре уровня доступа к строкам таблицы «Official» (табл.13.1): Таблица 13.1 Уровень доступа (LEVEL) HS (Highly sensitive) S (Sensitive) C (Confidential) P (Public) Числовой идентификатор уровня доступа 40 30 20 10 324 Информация о главе департамента МИНФИН имеет уровень «HS». Информация о начальниках отделов обладает уровнем «S». Данные о старших экспертах помечена уровнем «C». Информация об экспертах (подчиненных старших экспертов) имеет гриф «P». Для того чтобы сотрудники фирмы из таблицы «Emp» могли видеть информацию из таблицы «Official» о чиновниках в пределах компетенции своего департамента (табл. 13.2), введем три отделения (по количеству отделов в таблице «Official»; будем полагать, что глава департамента МИНФИНа числится за отделом финансов). Таблица 13.2 Отделения (COMPARTMENT) FIN (FINANCY) ISS (ISSLEDOVANIE) TRG(TORGOVLYA) Числовой идентификатор отделения 10 20 30 В соответствии с существующей иерархией чиновников определим иерархию групп в таблице «Official» (табл.13.3). Таблица 13.3 Группа (GROUP) GD (Glava_Departamenta) NO (Nachalnik_Otdela) SE (Starshiy_Expert) E (Expert) Числовой идентификатор группы 100 80 40 20 Название родительской группы GD NO SE Компоненты метки строк таблицы «Official» показаны на рис. 13.2. Теперь определим метки пользователей (сотрудников фирмы из таблицы «Emp»), которые будут работать со строками таблицы «Official». Уровень (метка) сотрудника фирмы из таблицы «Emp» также определяется тремя измерениями: уровнем доступа (LEVEL), отделением (COMPARTMENT), группой (GROUP). Рис. 13.2 поясняет введенные компоненты метки для строк таблицы «Official». 325 Схожесть рис.13.1 и 13.2 выявляет смысловую обоснованность введения таких же меток для пользователей, занимающих на рис. 13.1 позиции, сходные с позициями чиновников на рис. 13.2. Рис. 13.2. Компоненты метки строк таблицы «OFFICIAL» 2. Установка Oracle Label Security Oracle Label Security не устанавливается по умолчанию в версии Oracle 10g Enterprise Edition. Последовательность действий такова: Надо запустить Oracle Universal Installer. Выберите и установите Oracle Label Security option. При установке укажите верный путь: Disk_s_programmoy_ustanovki_10g\companion\database\stage\pro ducts.xml) к файлу «products.jar» на форме «Specify Source Location». На следующей форме «Select Installation Type Oracle Database 10g…» выберите «Custom», на форме «Specify Home Details» укажите верный путь к директории сервера Oracle. После верного выбора на предыдущих шагах появится форма, в которой для Oracle Label Security надо «кликнуть» checkbox (cправа в строке «Oracle Label Security» написано «not installed»), а затем убрать checkbox в строке «Oracle services for Microsoft Transaction Server 10.2…», после этого надо нажатием «Next» перейти к следующей форме, из которой и надо стартовать установку. 326 После сообщения Oracle Universal Installer об успешном завершении установки необходимо перезагрузить компьютер. Затем пользователем SYS выполните скрипт ORACLE_ HOME\rdbms\ admin\catols.sql следующим образом: CONN sys/sys AS SYSDBA; Здесь предполагается, что пароль для пользователя «sys» установлен «sys». ORACLE_HOME\rdbms\ admin\catols.sql ORACLE_HOME можно найти в реестре (Мой компьютер>HKEY_LOCAL_MACHIN -> SOFTWARE->ORACLE….). Скрипт catols.sql выполняет команду SHUTDOWN IMMEDIATE на последнем этапе выполнения. Затем надо еще раз перезагрузить компьютер, после чего запустите БД заново пользователем «sys». CONN sys/sys AS SYSDBA startup SELECT username FROM dba_users; Вы заметите появление нового пользователя LBACSYS, в схеме которого находятся объекты Oracle Label Security. Его пароль по умолчанию LBACSYS. Этот пользователь будет управлять политиками безопасности. На заметку. Пользователь «LBACSYS» не удаляется обычным образом (DROP USER LBACSYS CASCADE). Для удаления пользователя «LBACSYS», соединившись пользователем SYS AS SYSDBA, запустите на исполнение файл: ORACLE_HOME/rdbms/ admin/catnools.sql. Для включения компонента Oracle Label Security в Oracle 11g необходимо выполнить следующую последовательность шагов: 1. Остановить экземпляр базы данных Shutdown immediate 2. В панели управления остановить службы, связанные с процессом функционирования экземпляра Oracle Database 3. В окне DOS выполнить следующую последовательность команд: cd %ORACLE_HOME%/bin chopt enable lbac 327 4. Запустить в панели управления остановленные ранее службы. 5. Запустить экземпляр Oracle Database командой startup. 3. Создание политики безопасности, воплощающей компоненты меток пользователей (в таблице «Emp») и строк (в таблице «Official») connect lbacsys/lbacsys@orcl --Сначала удалим политику, созданную при предыдущем выполнении лабораторной работы BEGIN sa_sysdba.drop_policy('official_policy'); END; / --теперь создадим политику заново BEGIN sa_sysdba.create_policy('official_policy','scott_col','label_default,re ad_control'); END; / --проверка того, что политика добавилась и действует SELECT policy_name, status from DBA_SA_POLICIES; 4. Определение обязательного компонента меток ‒ уровней доступа (конфиденциальности) connect lbacsys/lbacsys@orcl BEGIN sa_components.create_level ('OFFICIAL_POLICY', 40, 'HS', 'Highly_Sensitive'); sa_components.create_level ('OFFICIAL_POLICY', 30, 'S', 'Sensitive'); sa_components.create_level ('OFFICIAL_POLICY', 20, 'C', 'Confidential'); sa_components.create_level 328 ('OFFICIAL_POLICY', 10, 'P', 'Public'); END; / --проверка созданных уровней SELECT * FROM dba_sa_levels ORDER BY level_num; 5. Определение второго компонента метки (compartment) connect lbacsys/lbacsys@orcl BEGIN sa_components.create_compartment ('OFFICIAL_POLICY', 10, 'FIN','FINANCY'); sa_components.create_compartment ('OFFICIAL_POLICY', 20, 'ISS','ISSLEDOVANIE'); sa_components.create_compartment ('OFFICIAL_POLICY', 30, ' TRG', 'TORGOVLYA'); END; / --проверка второго компонента метки select * from DBA_SA_COMPARTMENTS; 6. Определение третьего компонента метки (group) connect lbacsys/lbacsys@orcl BEGIN sa_components.create_group ('OFFICIAL_POLICY', 100,'GD','Glava_Departamenta'); sa_components.create_group ('OFFICIAL_POLICY', 80,'NO','Nachalnik_Otdela','GD'); sa_components.create_group ('OFFICIAL_POLICY', 40,'SE','Starshiy_Expert','NO'); sa_components.create_group ('OFFICIAL_POLICY', 20,'E','Expert','SE'); END; 329 / --проверка третьего компонента метки select * from DBA_SA_GROUPS; 7. Создание меток в сочетании трех компонентов с присвоением меткам численной величины connect lbacsys/lbacsys@orcl BEGIN sa_label_admin.create_label ('OFFICIAL_POLICY', '100', 'HS:FIN,ISS,TRG:GD', TRUE); sa_label_admin.create_label ('OFFICIAL_POLICY', '200', 'S:FIN:NO', TRUE); sa_label_admin.create_label ('OFFICIAL_POLICY', '300', 'S:ISS:NO', TRUE); sa_label_admin.create_label ('OFFICIAL_POLICY', '400', 'S:TRG:NO', TRUE); sa_label_admin.create_label ('OFFICIAL_POLICY', '500', 'C:FIN:SE', TRUE); sa_label_admin.create_label ('OFFICIAL_POLICY', '600', 'C:ISS:SE', TRUE); sa_label_admin.create_label ('OFFICIAL_POLICY', '700', 'C:TRG:SE', TRUE); sa_label_admin.create_label ('OFFICIAL_POLICY', '800', 'P:FIN:E', TRUE); sa_label_admin.create_label ('OFFICIAL_POLICY', '900', 'P:ISS:E', TRUE); sa_label_admin.create_label ('OFFICIAL_POLICY', '1000', 330 'P:TRG:E', TRUE); END; / -- проверка добавления меток SELECT * FROM dba_sa_labels; 8. Применение политики к таблице connect lbacsys/lbacsys@orcl --посмотрим перечень столбцов таблицы «Official» до применения политики к таблице DESCRIBE scott.official; --свяжем политику с таблицей «Official» BEGIN sa_policy_admin.apply_table_policy ('official_policy','scott','official','label_default,read_control'); END; / --политика, примененная к таблице добавила к ней дополнительный столбец SCOTT_COL. DESCRIBE scott.official; --какие политики к каким таблицам применены SELECT * FROM dba_sa_table_policies; 9. Создание пользователей и наделение их соответствующими правами connect sys/sys@orcl as sysdba --сначала удалим пользователей, созданных при предыдущем выполнении лабораторной работы: DROP USER king; DROP USER jones; DROP USER clark; DROP USER blake; DROP USER allen; DROP USER martin; DROP USER miller; DROP USER james; 331 DROP USER turner; DROP USER ward; DROP USER ford; DROP USER adams; DROP USER smith; --создадим пользователей заново: CREATE USER king IDENTIFIED BY king DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER jones IDENTIFIED BY jones DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER clark IDENTIFIED BY clark DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER blake IDENTIFIED BY blake DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER allen IDENTIFIED BY allen DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER martin IDENTIFIED BY martin DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER miller IDENTIFIED BY miller DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER james IDENTIFIED BY james DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp 332 QUOTA 10m ON users; CREATE USER turner IDENTIFIED BY turner DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER ward IDENTIFIED BY ward DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER ford IDENTIFIED BY ford DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER adams IDENTIFIED BY adams DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; CREATE USER smith IDENTIFIED BY smith DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 10m ON users; --выдадим созданным пользователям обычные привилегии: GRANT create session, resource TO king,jones,clark,blake, allen,martin,miller,james,turner,ward,ford,adams,smith; --выдадим пользователям привилегии для работы с таблицей «Official»: GRANT select, update, insert, delete ON scott.official TO king,jones,clark,blake, allen,martin,miller,james,turner,ward,ford,adams,smith; 10. Назначение меток пользователям connect lbacsys/lbacsys@orcl --устанавливаем метки пользователям: BEGIN sa_user_admin.set_user_labels ('OFFICIAL_POLICY','KING','HS:FIN,ISS,TRG:GD'); 333 sa_user_admin.set_user_labels ('OFFICIAL_POLICY','CLARK','S:FIN:NO'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','JONES','S:ISS:NO'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','BLAKE','S:TRG:NO'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','MILLER','P:FIN:E'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','SCOTT','C:ISS:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','FORD','C:ISS:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','WARD','C:TRG:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','ALLEN','C:TRG:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','MARTIN','C:TRG:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','TURNER','C:TRG:SE'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','ADAMS','P:ISS:E'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','SMITH','P:ISS:E'); sa_user_admin.set_user_labels ('OFFICIAL_POLICY','JAMES','P:TRG:E'); END; / 11. Назначение меток строкам таблицы «Official» --сначала отключим политику, чтобы пользователь «Scott» мог изменять строки таблицы «Official»: connect lbacsys/lbacsys@orcl BEGIN sa_sysdba.disable_policy('official_policy'); END; 334 / --теперь пользователь «Scott» (в его схеме находится таблица «Official») устанавливает метки строкам таблицs «Official»: connect scott/scott@orcl UPDATE scott.official SET scott_col=100 WHERE empno= (SELECT empno FROM scott.emp WHERE ename='KING'); UPDATE scott.official SET scott_col=200 WHERe empno= (SELECT empno FROM scott.emp WHERE ename='CLARK'); UPDATE scott.official SET scott_col=300 WHERE empno= (SELECT empno FROM scott.emp WHERE ename='JONES'); UPDATE scott.official SET scott_col=400 WHERE empno= (SELECT empno FROM scott.emp WHERE ename='BLAKE'); UPDATE scott.official SET scott_col=800 WHERE empno= (SELECT empno FROM scott.emp WHERE ename='MILLER'); UPDATE scott.official SET scott_col=600 WHERE empno= (SELECT empno FROM scott.emp WHERE ename='FORD'); UPDATE scott.official SET scott_col=700 WHERE empno IN (SELECT empno FROM scott.emp WHERE ename='WARD'OR ename='ALLEN' OR ename='TURNER' OR ename='MARTIN'); UPDATE scott.official SET scott_col=900 335 WHERE empno IN (SELECT empno FROM scott.emp WHERE ename='ADAMS' OR ename='SMITH'); UPDATE scott.official SET scott_col=1000 WHERE empno= (SELECT empno FROM scott.emp WHERE ename='JAMES'); --актуализируем политику: connect lbacsys/lbacsys@orcl BEGIN sa_sysdba.enable_policy('official_policy'); END; / 12. Проверка всех настроек – демонстрация OLS в работе connect king/king@orcl SELECT * FROM scott.official; --KING может видеть все строки INSERT INTO scott.official (id,dolzh) VALUES (16,'ministr'); --вставленная строка имеет ту же метку в cтолбце SCOTT_COL, что и пользователь KING SELECT * FROM scott.official; DELETE FROM scott.official WHERE id=16; connect FORD/FORD@orcl SELECT * FROM scott.official; --ford может видеть только информацию о старших экспертах и экспертах отдела исследований INSERT INTO scott.official (id,dolzh) VALUES (16,'spec'); --вставленная строка имеет ту же метку в cтолбце SCOTT_COL, что и пользователь FORD SELECT * FROM scott.official; DELETE FROM scott.official WHERE id=16; connect martin/martin@orcl 336 select * from scott.official; --martin может видеть информацию о всех старших экспертах отдела торговли и об экспертах отдела торговли INSERT INTO scott.official (id,dolzh) VALUES (16,'spec'); --вставленная строка имеет ту же метку в cтолбце SCOTT_COL, что и юзер FORD SELECT * FROM scott.official; DELETE FROM scott.official WHERE id=16; --аналогично WARD, ALLEN,TURNER могут видеть информацию о всех старших экспертах отдела торговли и об экспертах отдела торговли connect ward/ward@orcl SELECT * FROM scott.official; connect james/james@orcl --james увидит только две строки экспертов отдела торговли SELECT * FROM scott.official; connect adams/adams@orcl SELECT * FROM scott.official; --adams, как и SMITH увидят только две строки экспертов отдела исследований connect smith/smith@orcl SELECT * FROM scott.official; Сдача лабораторной работы Заключается в реализации студентом мандатного контроля доступа (только по обязательным компонентам) на индивидуальной предметной области. Студент сам определяет «родительскую» таблицу, в которой для трех строк символьного столбца с неповторяющимися значениями создает пользователей, а политику разграничения полномочий формирует для какой-либо «дочерней» таблицы, т.е. таблицы, в которой в качестве Foreign Key присутствует Primary Key родительской таблицы. 337 Тестовые задания к работе 13 Входной контроль 1. Что является мандатом пользователя при его доступе к строкам таблицы базы данных, для которой выполнена настройка мандатного метода доступа? a) назначаемая пользователю совокупность соответствующих системных привилегий; b) назначаемая пользователю совокупность соответствующих ролей; c) назначаемый пользователю соответствующий профиль; d) назначаемые пользователям соответствующие метки доступа; e) правильных ответов нет. 2. Укажите верн(ое/ые) продолжени(е/я) фразы: для того, чтобы воспользоваться возможностью мандатного метода доступа, надо: a) завести пользователя «ols»; b) завести при установке программного обеспечения СУБД Oracle нужные компоненты; c) наделить администратора базы данных привилегией «Create OLS…»; d) завести необходимые структуры в БД; e) правильных ответов нет. 3. Среди нижеприводимых строк укажите компонент(ы) метки доступа, регламентирующей доступ к строкам таблицы: a) компонент уровня секретности; b) уровень аудита; c) компонент уровня/категории данных; d) компонент уровня безопасности группы; e) правильных ответов нет. 4. Пользователь с какой учетной записью должен запускать скрипт «catols.sql» для обеспечения возможности использования Oracle Label Security? a) system; b) sys; c) dbsnmp; 338 d) sysman; e) правильных ответов нет. 5. Укажите цифру, равную числу максимального количества компонент метки строк таблиц и пользователей, которое может быть использовано при реализации Oracle Label Security. a) 1; b) 2; c) 3; d) 4; e) правильных ответов нет. 6. Какой программой надо воспользоваться для создания компонентов Oracle, необходимых для использования Oracle Label Security? a) Database Configuration Assistant; b) Database Upgrade Assistant; c) Oracle Universal Installer; d) Policy Manager; e) правильных ответов нет. 7. Пользователь LBACSYS был установлен неудачно (он не может создавать политику OLS). Среди нижеприводимых строк укажите верную строку с действиями по переустановке этого пользователя: a) пользователь sys перезапускает скрипт создания пользователя lbacsys; b) пользователь sys выполняет команду «drop user lbacsys», а потом запускает вновь скрипт создания пользователя «lbacsys»; c) пользователь sys переустанавливает базу данных, а потом запускает вновь скрипт создания пользователя «lbacsys»; d) пользователь sys запускает скрипт catnools.sql, а потом запускает вновь скрипт создания пользователя «lbacsys»; e) правильных ответов нет. Выходной контроль 1. Укажите, с помощью какого модуля реализуется связывание вариантов меток безопасности с пользователями в технологиях Oracle Label Security? 339 a) dbms_rls; b) sa_label_admin; c) dbms_session; d) sa_user_admin; e) dbms_fga; f) sa_sysdba; g) правильных ответов нет. 2. С помощью какого модуля определяются (создаются) уровни доступа пользователей к информации, отделения и группы, к которым принадлежат пользователи, и увязываются с политикой безопасности, создаваемой при реализации Oracle Label Security? a) sa_sysdba; b) dbms_session; c) dbms_rls; d) sa_components; e) dbms_fga; f) правильных ответов нет. 3. Укажите, с помощью каких модулей создаются варианты (многомерных) меток безопасности в технологиях Oracle Label Security? a) dbms_rls; b) sa_label_admin; c) dbms_session; d) sa_user_admin; e) dbms_fga; f) sa_sysdba; g) правильных ответов нет. 4. Что необходимо сделать для того, чтобы оператором «update» назначить OLS метки уже существующим строкам таблицы, для которой выполнены все предварительные OLS настройки? a) создать копию этой таблицы; b) назначить «update any table» привилегию «хозяину» этой таблицы; c) включить OLS политику безопасности для этой таблицы; d) отключить OLS политику безопасности для этой таблицы; 340 e) выполнить команду «set serveroutput on»; f) правильных ответов нет. 5. С помощью какой утилиты Oracle можно реализовывать и настраивать OLS? a) Enterprise Manager Console; b) Oracle Security Manager; c) Oracle Directory Manager; d) Policy Manager; e) Wallet Manager; f) правильных ответов нет. 6. Каким пользователем надо соединяться с утилитой реализации и настройки OLS? a) sys as sysdba; b) system; c) «хозяином» таблицы, для которой реализуется и настраивается OLS; d) dbsnmp; e) ordsys; f) правильных ответов нет. 7. Какой пользователь создается в ходе последовательных этапов установки OLS? a) olsuser; b) adminols; c) sysols; d) systemols; e) olscreator; f) правильных ответов нет. 341 Работа 14 ПРОВЕРКА НАСТРОЕК МЕХАНИЗМОВ КОНТРОЛЯ ДОСТУПА СПЕЦИАЛИЗИРОВАННЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НСД СЕТЕВЫХ СРЕДСТВ И ПЭВМ Цель: получение практических навыков работы с программной частью комплекса доверенной загрузки «Аккорд-NT/2000» v.3.0. Проверка настроек мандатного и дискреционного механизмов доступа, а так же прав пользователей, работающих в системе. ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Установка программной части комплекса. 2. Создание пользователей, синхронизация программной и аппаратной частей. 3. Реализация дискреционного механизма разграничения доступа. 4. Активизация подсистемы управления доступом. 5. Проверка настроек дискреционного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР». 6. Реализация мандатного механизма разграничения доступа. 7. Проверка настроек мандатного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР». Работа с сетевыми ресурсами. Создание отчета по проделанной работе. АППАРАТНО-ПРОГРАММНЫЙ КОМПЛЕКС ДОВЕРЕННОЙ ЗАГРУЗКИ Этапы установки комплекса Установка программно-аппаратного комплекса СЗИ НСД «Аккорд- NT/2000» v.3.0 включает четыре основных этапа: 1. Установка в ПЭВМ (РС) аппаратной части комплекса ‒ комплекса СЗИ НСД «Аккорд-АМДЗ», его настройка с учетом конфигурации технических и программных средств ПЭВМ (РС), в том 342 числе регистрация администратора безопасности информации (или нескольких администраторов) и пользователей. 2. Установка в составе ОС драйвера для устройства «АккордАМДЗ». Для PCI контроллеров установка драйвера выполняется стандартным образом, только размещение указывается в папке Drivers/Windows на дистрибутивном носителе, который входит в состав комплекса «Аккорд-NT/2000». Процедура установки драйвера для ISA контроллера описана в файле readme.1st в этой же папке. 3. Установка на жесткий диск ПЭВМ (РС) специального программного обеспечения разграничения доступа с дистрибутивного носителя. 4. Назначение правил разграничения доступа (ПРД) для пользователей ПЭВМ (РС) в соответствии с политикой информационной безопасности, принятой в организации и активизацию подсистемы разграничения доступа с помощью программы настройки комплекса (ACSETUP.EXE). Установка комплекса СЗИ НСД «Аккорд-АМДЗ» Установка и настройка аппаратной части СЗИ НСД «АккордАМДЗ» из состава комплекса «Аккорд-NT/2000» v.3.0 производится точно таким же образом как описано в работе 11. Установка СПО разграничения доступа «Аккорд-NT/2000» на жесткий диск ПЭВМ (РС). Установка СПО на жесткий диск ПЭВМ осуществляется в такой последовательности: 1. После установки «Аккорд-АМДЗ» загрузить ОС с правами Администратора. Установить драйвер нового устройства из папки \Drivers\Windows, которая находится на компакт-диске, поставляемом в составе комплекса. Установку драйвера выполнять в зависимости от типа контроллера АМДЗ и типа ОС. Рекомендации см. в файле readme.1st из той же папки. 2. Запустить находящуюся на диске программу SETUP.EXE из папки ACNT2000. 3. Выбрать диск и каталог для установки ПО комплекса. По умолчанию установка выполняется в папку C:\Accord.NT, но администратор может выбрать другие варианты. Программа создаст на заданном логическом диске папку С:\ACCORD.NT (или имя, за343 данное администратором) со всеми необходимыми подкаталогами и скопирует туда программное обеспечение. В подкаталог DOC копируется комплект эксплуатационной документации. На данном этапе в составе ОС не производится никаких изменений, кроме создания каталогов или файлов на жестком диске. Для нормальной работы комплекса необходимо после установки ПО на жесткий диск скопировать в папку Accord.NT лицензионный файл Accord.key, который поставляется на отдельном носителе. 4. Перезагрузить ПЭВМ (РС) и запустить редактор прав доступа ‒ программу ACED32.EXE из каталога С:\ACCORD.NT для синхронизации файла ПРД подсистемы разграничения доступа комплекса «Аккорд-NT/2000» со списком пользователей, который находится в контроллере комплекса «Аккорд-АМДЗ». 5. Назначить ПРД в соответствии с принятой политикой информационной безопасности и полномочиями пользователей. Описание программы и порядок ее применения описаны выше в данной лабораторной работе. 6. Провести активизацию подсистемы разграничения доступа комплекса и выбрать необходимые механизмы разграничения (дискреционную и мандатную модель разграничения доступа). Для этого необходимо запустить программу ACSETUP.EXE из каталога С:\ACCORD.NT. Основные параметры настройки комплекса. Главное окно программы настройки комплекса «Аккорд-NT/2000» (рис. 14.1). Настройка поля «При старте» В правой части окна размещено поле «При старте», предназначенное для задания режимов загрузки «монитора разграничения доступа» ‒ программы ACRUN.SYS. Пояснение. ACRUN.SYS ‒ ядро системы, выполненное как kernel mode driver. Реализует функции монитора разграничения доступа и обеспечивает статический и динамический контроль целостности файлов/исполняемых модулей. Выбор режима загрузки осуществляется путем установки/снятия соответствующего флага: Спрашивать разрешение – при включении этого режима в момент загрузки ACRUN.SYS выводится запрос и можно отказаться от запуска программы. Этот режим допустим только на период тестирования системы. 344 Перезагрузка при ошибках – если установлен этот флаг, то при обнаружении ошибок (например, пользователь не зарегистрирован в базе данных, выявлены изменения в контролируемых файлах и т.д.) происходит принудительная перезагрузка ПЭВМ (РС). Это основной режим функционирования системы разграничения доступа! Рис. 14.1. Окно настройки комплекса. Программа ACSETUP.EXE В том случае, когда установлен такой режим работы системы защиты, и возникает ошибка, не позволяющая продолжить загрузку, для администратора предусмотрен резервный механизм отключения старта монитора безопасности. Действует он только для пользователя «Гл. администратор», и для его корректной работы в настройке аппаратной части комплекса в параметре «Результаты И/А» должны быть включены первые пять флагов. Если эти требования соблюдены, то в начале загрузки ОС после корректной идентификации в аппаратной части администратор может нажать кла345 вишу с буквой S и остановить загрузку монитора безопасности. Нажимать клавишу следует в тот момент, когда на экран в текстовом режиме начинается вывод сообщений СЗИ «Аккорд». Автоматический логин в ОС ‒ при включении этого режима в момент загрузки модуль ACGINA.DLL получает информацию о пользователе, который был идентифицирован контроллером комплекса «Аккорд-АМДЗ». При этом вход в систему может осуществляться двумя способами: • контроллер комплекса «Аккорд-АМДЗ» передает подсистеме доступа имя пользователя. Первые четыре флага установлены в разделе «Результаты I/A» параметров пользователя. В этом случае при логине в ОС требуется ввести с клавиатуры пароль пользователя. Имя пользователя изменить нельзя; • контроллер комплекса «Аккорд-АМДЗ» передает подсистеме доступа имя и пароль пользователя (первые пять флагов установлены в разделе «Результаты И/А» в настройках контроллера). В этом случае при логине в ОС ввода пароля не требуется. Пояснение. ACGINA.DLL ‒ программа, реализующая процедуры идентификации/ аутентификации, так называемые процедуры winlogon. Представляет собой модификацию (wraper) стандартной библиотеки msgina.dll. Эта программа необходима для входа в систему с идентификационными параметрами, полученными из контроллера комплекса «Аккорд-АМДЗ», отслеживания завершения сеанса работы пользователя и начала нового сеанса работы. Также выполняет функции вывода на экран информации, поступающей от ACRUN.SYS. Если ПЭВМ (РС) подключена к сети, то у пользователя есть возможность выбрать имя домена, или сервера, к которому он может получить доступ, даже если включен параметр «Автологин». Для этого администратору перед активизацией подсистемы разграничения доступа включить расширенный режим входа в систему (кнопка «Параметры» в стандартном окне запроса имени и пароля пользователя). Проверка BOOT сектора ‒ в момент загрузки ядра ОС модуль ACRUN.SYS производит запись в журнал регистрации событий СЗИ «Аккорд». Операционная система Windows определяет факт записи на диск до начала «официального» сеанса работы пользователя и выставляет флаг некорректно завершенного сеанса. Чтобы 346 не запускался при каждой перезагрузке chkdsk, ACRUN.SYS восстанавливает исходное значение загрузочной записи. По умолчанию флаг включен. Отключать его следует только в том случае, если какой-либо системный модуль дополнительно проверяет boot записи логических разделов диска. Поддержка USB клавиатуры – этот флаг необходимо включать, если на вашем компьютере используется USB клавиатура, или мышь. В этом случае при старте операционной системы в нижней части окна появляется запрос, который позволяет изменить параметры загрузки монитора разграничения доступа. Действовать эти настройки будут только в том случае, если установлен флаг «Спрашивать разрешение». Такой алгоритм работы приходится использовать потому, что в момент старта модуля ACRUN.SYS поддержка USB клавиатуры из системного BIOS уже отключена, а драйвер из состава ОС еще не загружен. Кроме того, установка этого флага обеспечивает корректную блокировку USB клавиатуры и мыши при работе хранителя экрана. Настройка поля «Синхронизация». Поле «Синхронизация» определяет режимы синхронизации базы данных пользователей. Флаг «С базой АМДЗ» определяет режим, при котором параметры пользователя из контроллера считываются в базу данных редактора ПРД. При выходе из редактора ПРД выполняется синхронизация с базой данных контроллера. Флаг «С базой пользователей NT» определяет режим, при котором программа-редактор добавляет пользователей СЗИ «Аккорд» в базу операционной системы. Этот флаг необходим, если включен режим «Автоматический логин в ОС». В противном случае пользователь не сможет войти в Windows. Примечание. Учетная запись «Гл. администратор» автоматически синхронизируется с системной учетной записью «Администратор» в русской версии Windows, или с записью «Administrator» в английской версии. Если в составе ОС учетная запись «Администратор» заблокирована, то СЗИ «Аккорд» создает запись Supervisor и включает ее в группу «Администраторы». «Удалять незарегистрированных пользователей» – установка этого дополнительного флага определяет способ синхронизации пользователей СЗИ «Аккорд» с базой ОС Windows. Если флаг не установлен, то пользователи СЗИ просто добавляются в базу поль347 зователей ОС. Если флаг установлен, то в базе пользователей операционной системы останутся ТОЛЬКО пользователи СЗИ «Аккорд». При установленной СЗИ «Аккорд» в автоматизированной системе (компьютер + ПО) появляются три базы пользователей: • база в контроллере АМДЗ; • база в составе СПО NT/2000 (файл Accord.AMZ); • база учетных записей в составе ОС. Есть два флага, отвечающие за синхронизацию этих баз: • флаг «синхронизация с АМДЗ». Если установлен этот флаг, то при старте редактора ПРД ACED32 считываются пользователи из АМДЗ. Если пользователь заведен в программе администрирования АМДЗ, то он автоматически заносится в ACCORD.AMZ с теми ПРД, которые установлены как общие параметры группы, в которую включен пользователь. Если в файле ACCORD.AMZ есть пользователь, но его нет в базе контроллера АМДЗ, то такой пользователь удаляется из ACCORD.AMZ. При завершении работы редактора Aced32 с сохранением изменений файл ACCORD.AMZ полностью синхронизируется с базой пользователей в контроллере АМДЗ, т.е. такие параметры как имя пользователя, идентификатор, пароль, параметры пароля, временные ограничения, результаты И/А, полностью идентичны. • флаг «синхронизация с NT». Если флаг установлен, то при выходе из редактора Aced32 созданные пользователи заносятся в базу пользователей ОС. В этот момент проверяется флаг «Удалять незарегистрированных пользователей». Если он установлен, и если в ОС зарегистрированы пользователи, не существующие в Accord.AMZ, то эти пользователи удаляются из базы NT. При этом администратор должен позаботиться о том, чтобы политики парольной защиты (минимальная длина, набор символов, срок действия) совпадали в настройках ОС и СЗИ «Аккорд». Таким образом, если включены три флага синхронизации: «c АМДЗ» + «c NT» + «Удалять незарегистрированных пользователей», то все три базы идентичны по именам пользователей и паролям. Если флаги не установлены, то возможны случаи, когда в одних базах будет больше/меньше пользователей, чем в других, а пароли одного и того же пользователя различны для включения компьютера (в АМДЗ) и для загрузки ОС. В любом случае СПО «Ак348 корд NT/2000» работает со своей базой (Accord.AMZ). Вы можете установить режимы синхронизации, а можете отдельно завести пользователя в АМДЗ и в редакторе Aced32 (даже с разными паролями), при этом пользователь всегда идентифицируется своим идентификатором. Настройка поля «Механизмы разграничения доступа». Поле «Механизмы разграничения доступа» определяет те методы разграничения доступа, которые будут использоваться при реализации политики безопасности. Существует два механизма: дискреционный и мандатный механизмы. Дискреционный механизм. Требование реализации. Дискреционное управление доступом (англ. Discretionary access control) ‒ разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. КСЗ должен контролировать доступ поименованных субъектов (пользователей) к поименованным объектам (файлам, программам, томам и т.д.). Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов). Для каждой пары (субъект ‒ объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту). Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов. Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т.д.). Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ. Реализация. Для реализации дискреционного механизма разграничения доступа необходимо, по крайней мере, конкретизировать термины, используемые в формальном описании. При этом целесообразно исходить из того, что полученная модель должна, с 349 одной стороны, быть понятна пользователю, с другой ‒ не ограничивать пользователя в реализации процедур разграничения доступа и как можно ближе соответствовать особенностям архитектуры технических средств компьютера и особенностям операционной системы. С этой точки зрения необходимо определить, что целесообразно выбрать в качестве объектов разграничения доступа, и какие допустимые типы доступа целесообразно использовать. Обсуждая этот вопрос, отметим, что в качестве объектов в большинстве ОС используются: диски – каталоги (папки) ‒ файлы (задачи). Выбор типов доступа целесообразно связать с функциями ОС, посредством которых осуществляется доступ к ресурсам. Перехват вызовов этих функций позволит реализовать ПРД для явных действий пользователя. Реализация ПРД для скрытых действий пользователя может быть осуществлена за счет ограничения перечня задач, которые пользователь имеет право запускать. Это означает, что средства ПРД должны содержать возможность явного и недвусмысленного описания перечня задач, запуск которых разрешен пользователю, и средств контроля за использованием этих задач. Формирование перечня должно осуществляться администратором БИ в порядке, предусмотренном для формирования и изменения ПРД. В комплексе «Аккорд-NT/2000» v.3.0. дискреционные правила разграничения доступа устанавливаются присвоением объектам доступа атрибутов доступа. Установленный атрибут означает, что определяемая атрибутом операция может выполняться над данным объектом. В комплексе применяются следующие атрибуты: R ‒ открытие файлов для чтения; W ‒ открытие файлов для записи; O ‒ подмена атрибута R атрибутами RW на этапе открытия файла; C ‒ создание файлов; D ‒ удаление файлов; N ‒ переименование файлов и подкаталогов; V ‒ видимость файлов; M ‒ создание каталогов; E ‒ удаление каталогов; n – переименование каталогов; 350 G ‒ доступность данного каталога (т.е. переход к нему); X ‒ исполнение задач; S ‒ наследование подкаталогами атрибутов родительского каталога. Установленные атрибуты определяют важнейшую часть ПРД пользователя. От правильности выбора и установки атрибутов во многом зависит эффективность работы СЗИ. В этой связи администратор службы безопасности информации должен ясно представлять, от чего и как зависит выбор атрибутов, назначаемых объектам, к которым имеет доступ пользователь. Как минимум, необходимо изучить принцип разграничения доступа с помощью данных атрибутов, а также особенности работы программных средств, которые будут применяться пользователем при работе. Специальная программа – редактор прав доступа, позволяет администратору БИ для каждой пары субъект ‒ объект определить: Для дисков: • доступность, т.е. пользователю доступны только те логические диски, которые явно описаны в ПРД. Для каталога: • доступность (переход к данному каталогу); • видимость (данный каталог будет виден пользователю из файловых оболочек типа Windows Commander или Explorer); • наследование подкаталогами атрибутов каталога. Для содержимого каталога: • создание подкаталогов; • удаление подкаталогов; • переименование подкаталогов; • открытие файлов для записи; • открытие файлов для чтения; • создание файлов; • переименование файлов; • удаление файлов; • видимость файлов; • «фиктивное» открытие файлов для записи. Для задач: • исполнение. 351 Дополнительно могут определяться Права доступа к отдельным файлам (с указанием полного пути доступа) ‒ эти права будут обеспечиваться в безусловном порядке, даже если файл расположен в каталоге, доступа к которому данный пользователь не имеет, или атрибуты доступа для файла отличны от атрибутов каталога, в котором он находится. Предусмотрено определение следующих прав: • открытие файлов для записи; • открытие файлов для чтения; • создание файлов; • удаление файлов; • переименование файлов; • видимость файлов; • «фиктивное» открытие файлов для записи; • запуск задач. Существует также и «черный список». Это файлы, или каталоги, которые присутствуют в списке объектов, для которых не установлен ни один атрибут доступа. Объекты, описанные в «черном списке», становятся недоступными пользователю, даже если они расположены в каталогах, к которым пользователь имеет доступ. В «черный список» можно включать также логические имена устройств и драйверы устройств. Эти объекты после такого описания становятся недоступны пользователю. Таким образом, осуществляется сопоставление пользователя и доступных ему устройств. Кроме этого, в подсистеме дискреционного доступа реализованы два дополнительных атрибута, предназначенных для регистрации обращения пользователя к отдельным ресурсам. Атрибут «r» ‒ определяет регистрацию операций чтения для отдельного объекта, атрибут «w» ‒ регистрацию операций записи. Использование этих атрибутов целесообразно в случае, когда администратору безопасности необходимо иметь информацию обо всех случаях обращения (даже санкционированным) к критичным ресурсам, а не только сообщения об НСД. Мандатный механизм разграничения доступа. Требования по реализации. Мандатное управление доступом (англ. Mandatory access control) ‒ разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности инфор352 мации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ). КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого субъекта: • субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта; • субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта. Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами. В КСЗ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объек353 там, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации. Реализация. Разграничение доступа с использованием мандатного механизма управления доступом комплекса «АккордNT/2000» v.3.0 осуществляется путем присвоения (задания) объектам доступа категории доступа (грифа), которые характеризуются уровнем доступа от 0 (самый низкий) до 8 (максимальный). Установленный для объекта доступа гриф является его меткой конфиденциальности. Пользователям и процессам (опционально) присваиваются категории доступа (уровни допуска), также изменяющиеся от 0 до 8. Доступ пользователя или процесса возможен тогда и только тогда, когда его уровень допуска не ниже грифа объекта доступа. Категории доступа могут быть поименованы как уровни секретности, либо другим, более удобным для Администратора БИ образом. Для активизации мандатного механизма разграничения доступом необходимо в файле ACCORD.INI в секции [ACED] установить ключ MandatoryAccess=Yes. Если в мандатный механизм необходимо ввести контроль доступа процессов, тогда в этой же секции необходимо установит ключ CheckProcess=Yes. Названия и количество категорий (меток конфиденциальности) задаются в файле ACCORD.INI в секции [MANDATORY]. По умолчанию в комплексе определены пять категорий конфиденциальности (секретности): Level0 – общедоступно; Level1 – общий ресурс; Level2 – конфиденциально; Level3 – секретно; Level4 – совершенно секретно. Администратор БИ имеет право изменять названия и количество категорий конфиденциальности. С увеличением номера категории повышается конфиденциальность данных. Далее необходимо установить уровень допуска пользователей. Это делается с помощью программы ACED32 ‒ пункт меню «Команды», далее «Уро354 вень доступа». После этого Администратор БИ может назначать как для каталогов, так и для отдельных файлов требуемые уровни доступа. Проверка прав доступа субъекта (пользователя или процесса) к какому-либо объекту доступа (ресурсу ПЭВМ, либо АС) осуществляется в следующем порядке: 1. Проверяется, имеет ли пользователь права на доступ, установленные дискреционным механизмом комплекса. 2. Если пользователю установлены права по доступу дискреционным механизмом комплекса, то проверяется уровень допуска пользователя и гриф (метка конфиденциальности) объекта доступа (ресурса ПЭВМ (РС), либо АС). 3. Доступ будет разрешен только в том случае, если уровень допуска пользователя больше, либо равен грифу (метке конфиденциальности) объекта доступа (ресурса ПЭВМ (РС), либо АС). В комплексе «Аккорд-NT/2000» v.3.0 реализована дополнительная функция, позволяющая устанавливать уровень доступа исполняемому процессу, когда он загружается в оперативную память. Исполняемому файлу (программе) присваивается метка конфиденциальности (уровень доступа) как объекту на диске ПЭВМ (РС). При этом файл (программа) будет запускаться только пользователем с определённым уровнем допуска. После успешной загрузки в оперативную память исполняемый файл (программа), получает метку уровня доступа как субъект доступа, который работает с объектами (ресурсами). В этом случае проверка доступа к ресурсу осуществляется в следующем порядке: 1. Проверяется, имеет ли пользователь право на доступ в соответствии с дискреционным механизмом. 2. При наличии дискреционных прав доступа пользователя средствами мандатного механизма комплекса проверяется уровень его допуска и гриф (метка конфиденциальности) объекта доступа (ресурса). 3. Если доступ разрешен, то проверяется, имеет ли текущий процесс уровень допуска больше, либо он равен уровню доступа объекта (ресурса), к которому обратился пользователь с помощью этого процесса. 4. Доступ будет разрешен только в случае успешного выполнения трех вышеописанных проверок. 355 При такой реализации механизма управления потоками информации, обработка информации определенного уровня конфиденциальности выполняется только с помощью выделенных программ (процессов). Настройка поля «ТМ-контроллер». В поле «ТМ-контроллер» только один параметр – «Использовать страницу ТМ». По умолчанию он установлен в 0. Изменять этот параметр КАТЕГОРИЧЕСКИ НЕ РЕКОМЕНДУЕТСЯ! В эту и следующую страницу памяти идентификатора записывается секретный ключ пользователя при его регистрации. Изменение этого параметра приведет к тому, что ранее зарегистрированные идентификаторы будут восприниматься системой защиты как недопустимые. Изменение этого параметра возможно, если используется ПО сторонних производителей и записывает свою информацию в те же страницы памяти. После изменения этого параметра ВСЕ используемые идентификаторы должны быть перерегистрированы с генерацией нового секретного ключа пользователя. Программа редактирования ПРД ACED32.EXE Назначение программы. Программа ACED32.EXE ‒ редактор параметров (атрибутов) доступа пользователей, используемых в комплексе СЗИ НСД «Аккорд-NT/2000» v.3.0. дискреционного и мандатного механизмов доступа субъектов (пользователей) к объектам ПЭВМ или АС – предназначена для администрирования подсистемы разграничения доступа комплекса. Программа используется администратором БИ (Безопасности Информации) при установке и эксплуатации комплекса «АккордNT/2000» для описания (назначения пользователям) принятых в организации (учреждении и т.п.) правил разграничения доступа (ПРД) в соответствии с полномочиями пользователей. Программа ACED32.EXE входит в состав специального ПО комплекса, инсталлируется на жесткий диск ПЭВМ (РС) при установке комплекса. Порядок запуска программы. Для редактирования параметров (атрибутов) доступа пользователей необходимо запустить программу C:\ACCORD.NT\ACED32.EXE. Можно воспользоваться ярлыком «Редактор прав доступа» в группе программ Accord-NT, 356 которая создается при инсталляции СПО на жесткий диск компьютера. На экран выводится запрос идентификатора пользователя, показанный на рис. 14.2. Далее программа запрашивает пароль администратора БИ (если пароль задан при установке комплекса «Аккорд-АМДЗ» и хранится в ЭНП контроллера). Рис. 14.2. Запрос идентификатора пользователя Если идентификация/аутентификация администратора прошла успешно, то выполняется синхронизация базы данных редактора прав доступа с базой данных пользователей, находящейся в ЭНП контроллера «Аккорд-АМДЗ» и на экран выводится главное окно программы, показанное на рис. 14.3. Рис. 14.3. Главное окно программы 357 При первом запуске программы в списке пользователей обязательно отображаются группы «Администраторы» и «Обычные» и пользователь «Гл. администратор». Если записи не отображаются, это означает, что нарушена синхронизация с аппаратной частью комплекса – контроллером АМДЗ, так как эти учетные записи создаются автоматически при инициализации контроллера. Проверьте правильность установки драйвера контроллера. Редактирование учетных записей пользователей Регистрация нового пользователя. В подменю <Команды> главного меню программы ACED32 (см. рис. 14.3) выберите команду <Создать>. Можно воспользоваться соответствующей кнопкой на панели задач. На экран выводится окно, предлагающее выбрать тип создаваемого объекта. Установите отметку на строке «Пользователь» и введите имя нового пользователя (рис. 14.4). После этого следует выбрать кнопку «OК». В главном окне программы появится новый пользователь. Примечание. Если список пользователей активен, то при нажатии клавиши <Insert> также Рис. 14.4. Окно создания можно «создать» нового пользонового пользователя вателя. Удаление пользователя из списка, переименования пользователя в списке. С помощью мыши или клавиатуры выделите пользователя, которого Вы хотите удалить. В подменю <Команды> выберите <Удалить>, или на панели инструментов нажмите кнопку «Удалить пользователя». Программа выдает запрос «Вы действительно хотите удалить пользователя (указывается имя_пользователя)?» Подтвердите операцию удаления, если Вы действительно хотите удалить выбранного пользователя. Таким же образом можно удалить группу пользователей. Примечание. Если список пользователей активен, то можно удалить выделенного пользователя, нажав на клавишу <Delete>. 358 Внимание! Нельзя удалить группы «Администраторы» и «Обычные», а также пользователя «Гл. администратор». Эти учетные записи создаются при инициализации контроллера «АккордАМДЗ» и защищены от удаления. С помощью мыши или клавиатуры выделите пользователя, которого Вы хотите переименовать. В подменю <Команды> выберите <Переименовать> или щелкните правой кнопкой мыши на выделенном пользователе и выберите из всплывшего меню команду <Переименовать>. На экран выводится окно (рис.14.5) для ввода нового имени пользователя. «ОК» или <Enter> ‒ изменение имени, «Отмена» ‒ отмена операции переименоваРис. 14.5. Переименование пользователя ния. Примечание. Если список пользователей активен, то можно переименовать выделенного пользователя, нажав на клавишу <F2>. Поиск пользователя по идентификатору. По идентификатору можно найти соответствующего ему пользователя. Для этого необходимо выбрать в подменю <Команды> пункт <Поиск> или на панели инструментов нажать кнопку «Поиск пользователя по идентификатору» ‒ на экран выводится запрос идентификатора (рис. 14.6). Если прислонить идентификатор к считывателю в отведенный интервал времени, то в списке пользователей активизируется (выделяется) пользователь, которому приРис. 14.6. Запрос идентификатора надлежит данный идентифидля поиска катор. Примечание. В том случае, когда в качестве персонального идентификатора используется ПСКЗИ ШИПКА, на запрос идентификатора следует подключать устройство ШИПКА к USB-порту контроллера АМДЗ. Если в качестве идентификатора используется смарт-карта eToken PRO, на запрос идентификатора следует вста359 вить карту в карт-ридер, подключенный к порту на плате контроллера АМДЗ. Синхронизация параметров пользователя с параметрами группы. Синхронизация может понадобиться при изменении параметров группы и последующем присвоении этих параметров пользователю. В списке пользователей с помощью мыши или клавиш «стрелка вверх», «стрелка вниз» выделите пользователя, параметры которого Вы хотите синхронизировать. Правой кнопкой мыши щелкните на имени выделенного пользователя, на экране появится всплывающее меню. Выберите из него пункт <Синхронизировать> ‒ на экране появится окно «Выбор параметров синхронизации», показанное на рис. 14.7. В этом окне перечислены параметры, являющиеся общими для синхронизируемых объектов. Установите те параметры пользователя, которые хотите синхронизировать. Для выполнения синхронизации нажмите кнопку «Синхронизация» или клавишу <F2>, для отмены ‒ «Отмена» или <Esc>. Рис. 14.7. Параметры синхронизации Администрирование подсистемы разграничения доступа. Администратор БИ может производить изменение списка пользователей и групп, а также параметров доступа субъектов к объектам (ресурсам) защищаемого компьютера. Рассмотрим более подробно 360 процедуру регистрации нового пользователя и назначения этому пользователю правил разграничения доступа (ПРД). Для этого в списке пользователей добавим в группу «Обычные» пользователя с именем MAIN_USER (процедура создания описана в соответствующем пункте). Примечание. Некоторые параметры являются обязательными, без которых невозможен ввод остальных, например, «Идентификатор» и «Пароль». Группы «Администраторы» и «Обычные» создаются при инициализации контроллера «Аккорд», и их нельзя переименовать или удалить. Параметры группы являются универсальным шаблоном для задания «Параметров пользователя» и присваиваются по умолчанию каждому создаваемому пользователю. Администратор должен присваивать каждому пользователю уникальное в данной вычислительной среде (отдельный компьютер или локальная сеть) имя. Параметр «Полное имя» не является обязательным параметром, а задается по желанию администратора, и может использоваться для идентификации пользователя в АС, например, при работе в сети для доступа к контроллеру домена. Если в программе настройки комплекса установлен параметр «Использовать полное имя в учетных записях NT», то полное имя будет использовано при создании учетной записи пользователя в базе ОС. В противном случае основным является короткое имя, а полное записывается как дополнительный параметр. Регистрация идентификатора пользователя. После создания пользователя в поле «Идентификатор» главного окна (рис. 14.8) отображается информация «Не назначен», а другие параметры пользователя недоступны. Для вызова процедуры регистрации нового идентификатора нажмите на кнопку, расположенную справа в поле «Идентификатор». На экране появится окно «Работа с ключом пользователя» (рис. 14.9). Секретный ключ пользователя генерируется с использованием датчика случайных чисел (ДСЧ), установленного на плате контроллера «Аккорд-АМДЗ», и записывается в энергонезависимую память идентификатора. Идентификатор, в котором не записан ключ пользователя, считается недопустимым в СЗИ «Аккорд». 361 Рис. 14.8. Параметры пользователя после его создания Рис. 14.9. Работа с ключом пользователя Возможны три варианта работы с ключами пользователей: 1. «Уже записан в Идентификатор». Секретный ключ может быть уже записан в идентификаторе, например, при регистрации в составе комплекса «Аккорд NT/2000», или в составе комплекса СЗИ «Аккорд-АМДЗ», на другой ПЭВМ (РС). В этом случае КАТЕГОРИЧЕСКИ НЕ РЕКОМЕНДУЕТСЯ генерировать новый секретный ключ, т.к. старое 362 значение будет безвозвратно утрачено и на других ПЭВМ пользователь не сможет успешно пройти процедуру идентификации/аутентификации. Поэтому режим работы с секретным ключом по умолчанию устанавливается в варианте «Уже записан в Идентификатор». Для регистрации идентификатора следует щелкнуть «мышью» по кнопке «Далее» или нажать клавишу <F2>. На экран выдается запрос на считывание данных из идентификатора ‒ выводится окно, показанное на рис. 14.8. Следует подключить идентификатор пользователя к контактному устройству съемника информации. Программа выполнит считывание серийного номера и значения ключа пользователя. 2. «Сгенерировать». Генерация нового секретного ключа требуется, если этот идентификатор никогда не использовался в составе комплексов СЗИ «Аккорд», или необходимо записать в идентификатор новое значение. В этом случае, при нажатии кнопки «Далее» или клавиши <F2>, генерируется секретный ключ с помощью ДСЧ и выдается запрос идентификатора (см. рис. 14.8). Следует приложить идентификатор пользователя к контактному устройству съемника информации, или подключить ПСКЗИ ШИПКА к USB порту контроллера АМДЗ, или вставить карту в карт-ридер, подключенный к порту на плате контроллера АМДЗ. Происходит регистрация идентификатора и запись в него секретного ключа пользователя. Удерживайте идентификатор на контактном устройстве, пока полностью не завершится эта операция. 3. «Потерян». В этом случае, после нажатия кнопки «Далее» или клавиши <F2> поле «Идентификатор» данного пользователя примет значение «Не назначен». Установка параметров пароля. После регистрации идентификатора в главном окне (см. рис. 14.9) становятся доступными поля ввода пароля и настройки параметров парольной защиты. Для выбора параметров пароля щелкните левой кнопкой мыши по кнопке, расположенной справа в поле «Параметры пароля». На экран выводится окно настроек (рис. 14.10). Параметры пароля включают в себя следующие поля: «Минимальная длина пароля» – параметр определяет количество символов, контролируемое при создании и смене пароля. Нельзя 363 ввести пароль меньшей длины. Если предполагается для авторизации пользователя использовать только идентификатор, то значение этого параметра нужно установить в 0 (пароль задавать не обязательно). По умолчанию длина пароля установлена равной 8 символам, максимальное допустимое значение ‒ 12 символов. Рис. 14.10. Параметры пароля пользователя «Время действия» ‒ время действия пароля до смены в календарных днях: от 0 (смены пароля не требуется) до 99 дней. «Попыток для смены» ‒ количество попыток смены пароля: от 0 (не ограничено) до 5. Этот параметр определяет допустимое число попыток смены пароля, если пользователю разрешено самому выполнять такую операцию. Если за отведенное число попыток пароль не сменен корректно, то работа данного пользователя блокируется, и для разблокировки, и смены пароля потребуется вмешательство администратора БИ. «Кто может менять пароль» ‒ установка прав на смену пароля (только администратор или администратор и пользователь). «Алфавит для генерации пароля» ‒ определяет набор символов, которые обязательно должны использоваться при вводе пароля. Напри364 мер, если в алфавите заданы цифры и буквы, то нельзя ввести пароль, состоящий из одних цифр. При установке флага «Только генерировать» пароль будет генерироваться случайным образом из символов заданного алфавита при смене пароля пользователя. Обратите внимание! Если пароль уже задан, то изменения его параметров вступят в силу только при смене пароля. Для выхода из режима редактирования с сохранением измененных параметров нажмите кнопку «Запись» или клавишу <F2>, без сохранения – «Отмена» или <Esc>. Задание пароля пользователю. В поле «Пароль» главного окна (см. рис. 14.3) отображается информация о том, назначен или нет пароль выделенному пользователю. Выберите режим редактирования, нажав на кнопку, расположенную справа в поле «Пароль» или клавишу <Enter>. На экране появится окно «Ввод пароля» (рис. 14.11). Рис. 14.11. Задание пароля пользователя Рис. 14.12. Ввод пароля с использованием процедуры генерации Введите пароль и повторите ввод пароля для подтверждения. Нажмите клавишу <Ok>. Можно воспользоваться клавишей «Сгенерировать» для случайной генерации последовательности символов. После генерации полученная последовательность символов автоматически вводится в первое поле пароля в виде звездочек, а в нижней части окна выводится значение пароля и требуется его повторный ввод для подтверждения (рис. 14.12). 365 Установка правил разграничения доступа (ПРД) к объектам доступа СЗИ НСД «Аккорд» поддерживает два типа управления правилами разграничения доступа: • дискреционный механизм ПРД; • мандатный механизм ПРД. Система атрибутов доступа и особенности ее реализации описаны в соответствующем пункте данной лабораторной работы. Можно использовать отдельно каждый механизм управления. Возможен вариант использования комбинированной политики безопасности с применением обоих механизмов задания ПРД. Установка доступа к объектам с использованием дискреционного метода ПРД Если в файле accord.ini установлены параметры Discrete Access = Yes и Mandatory Access = No, то используется только дискреционный механизм задания и контроля ПРД. Выбор механизма управления ПРД можно осуществлять в программе настройки комплекса «Аккорд». В главном окне программы (рис. 14.13) нажмите мышкой правую кнопку в строке «Разграничение доступа», и на экран выводится окно со списком правил доступа пользователя к ресурсам ПЭВМ (АС), показанное на рисунке. По умолчанию выведен перечень всех доступных корневых каталогов (для корневых каталогов смонтированных сетевых дисков указано полное сетевое имя), ключей реестра (строки, начинающиеся с «\HKEY_»), сетевых и локальных принтеров. В этом окне нет деления на диски, каталоги, файлы и т.д., а ведется один общий список объектов. Для того чтобы запретить доступ к логическому диску, достаточно исключить корневой каталог этого диска из списка объектов. Если какой-либо объект (каталог, файл, раздел реестра, сетевой ресурс, устройство или очередь печати) ЯВНО прописан в списке, то для него действуют установленные ПРД, независимо от атрибутов наследования объектов вышестоящего уровня. Для того чтобы сделать какой-либо файл, или каталог «скрытым», т.е. полностью 366 запретить к нему доступ, нужно включить его в список объектов, но не назначать ни одного атрибута доступа. В список объектов для обычных пользователей уже включены ограничения, которые защищают от модификации программные компоненты комплекса «Аккорд». Рис. 14.13. Окно установки дискреционных ПРД к объектам В списке объектов (см. рис. 14.13) можно выбрать строку с именем объекта и нажать кнопку «Редактировать», или клавишу <Enter> ‒ выводится окно атрибутов доступа данного объекта, показанное на рис. 14.14. При установке дискреционных ПРД могут использоваться следующие атрибуты доступа. Операции с файлами: R ‒ разрешение на открытие файлов только для чтения. W ‒ разрешение на открытие файлов для записи. C ‒ разрешение на создание файлов на диске. D ‒ разрешение на удаление файлов. 367 N ‒ разрешение на переименование файлов. V ‒ видимость файлов. Позволяет делать существующие файлы невидимыми для пользовательских программ. Доступ возможен только по полному пути в формате Windows NT. Этот параметр имеет более высокий приоритет, чем R,W,D,N,O. О ‒ эмуляция разрешения на запись информации при открытии файла. Этот параметр имеет более низкий приоритет, чем W (открыть для записи). Параметр может пригодиться в том случае, если программа по умолчанию открывает файл для чтения/записи, а мы хотим разрешить пользователю только просмотр файла. Рис. 14.14. Атрибуты доступа к объекту Операции с каталогом: M ‒ создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут). 368 Е ‒ удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут). G ‒ разрешение перехода в этот каталог. n – переименование каталога. В ОС Windows, например, удаление папки в «корзину» – это, на самом деле, переименование каталога. Прочее: Х ‒ разрешение на запуск программ. Регистрация: r ‒ в журнале регистрируются все операции чтения для данного объекта. w ‒ в журнале регистрируются все операции записи для данного объекта. Эти два атрибута могут понадобиться в том случае, когда доступ к объекту разрешен, но по регламенту должны фиксироваться факты работы пользователя с данным объектом. При низком уровне детальности журнала (это нормальный рабочий режим) фиксируются попытки НСД и запуск программ. Вместо увеличения уровня детальности, что приведет к резкому росту объема журналов, можно использовать атрибуты принудительной регистрации для отдельных объектов. Для каталогов, в том числе и корневого каталога диска, устанавливается отдельный атрибут, который очень важен для реализации ПРД – это параметр наследования прав доступа. Параметр наследования прав доступа может принимать три значения: S – параметры доступа наследуются существующими и созданными в дальнейшем подкаталогами всех уровней текущего каталога, т.е. для них устанавливаются те же параметры доступа, что и у "родительского" каталога, при этом для отдельных подкаталогов можно явно определять атрибуты доступа; 1 – параметры доступа текущего каталога наследуется только подкаталогами следующего уровня; 0 – параметры доступа текущего каталога не наследуются подкаталогами. Например, если для корня дерева каталогов диска C:\ установить атрибут 0, доступными будут только файлы в корневом каталоге, а остальные каталоги для данного пользователя как бы не су369 ществуют. Каталог на диске C:\ будет доступен пользователю (с любой непротиворечивой комбинацией атрибутов) только при явном его описании в списке прав доступа. Если для корневого каталога C:\ установить атрибут S, то все его файлы, каталоги и подкаталоги доступны пользователю и правила доступа к ним определяется атрибутами, установленными для C:\. В этом случае отдельный каталог можно включить в список ПРД и установить для него персональные атрибуты, отличные от "родительских". Еще раз подчеркиваем, что, если какой-либо объект явно прописан в списке доступа, то для него действуют установленные ПРД, независимо от атрибутов наследования объектов вышестоящего уровня. Примечание. При вводе имени файла можно пользоваться простым групповым обозначением имени файла, используя шаблон *.расширение. Например, можно *.bak, *.exe и т.п., нельзя *a.exe, a*.bat, &a.dat, ?a.dat, a.* и т.п. Если необходимый объект отсутствует в списке (рис. 14.13), его можно добавить, нажав кнопку «Новый» или клавишу <Insert> – на экран выводится расширенное окно «Атрибуты доступа к объектам» (рис. 14.15). Слева в этом окне отображен список всех объектов. Каждый объект выделен цветом, соответствующим наследованию прав доступа и наличию объекта в списке разграничения прав доступа (табл. 14.1). Таблица 14.1 Наличие объекта в списке Есть Есть Есть Нет Нет Атрибут наследования прав доступа Полное наследование Наследование на один уровень Нет наследования Атрибуты доступа наследуются Нет доступа Цвет Зеленый Синий Красный Коричневый Черный Если переместить курсов в поле «Имя объекта», то объект можно ввести с клавиатуры, соблюдая правила синтаксиса, и установить для него необходимые атрибуты. С помощью мыши также 370 можно выбрать объект, щелкнув левой кнопкой мыши на имени объекта в дереве объектов, тогда в поле «Имя объекта» отобразится имя выделенного объекта, а в поле «Тип объекта» ‒ его тип (каталог, файл, реестр, съемный диск, принтер). Рис. 14.15. Окно выбора нового объекта и установки ПРД Если у выделенного объекта уже установлены ПРД, то будут отмечены соответствующие флаги, если нет, то все флаги атрибутов будут сброшены. При установке ПРД можно воспользоваться клавишами <Сброс>, <Чтение>, <Полный> в нижней части панели. Клавиша <Сброс> снимает все флаги атрибутов доступа. Объект с такими атрибутами становится запрещенным, т.е. недоступным для ВСЕХ программ и процессов, включая и системные. Клавиша <Чтение> устанавливает для выбранного объекта «файл» атрибуты R – открыть для чтения, V – видимость и X – запуск программ. Для объекта «папка» добавляется атрибут G – переход в данную папку и S – наследование. Клавиша <Полный> включает все атрибуты 371 для полного доступа. При работе в ОС Windows может случиться такая ситуация, что объект с набором атрибутов «Чтение» не будет открываться некоторыми программами. Это происходит потому, что многие программы (например, большинство приложений Microsoft Office) по умолчанию открывают файл на чтение/запись. В этом случае придется добавить атрибут O – запись, который имитирует разрешение на запись при открытии файла, но не позволяет модифицировать файл. Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «Запись» или клавишу <F2>. По умолчанию доступ к сетевым ресурсам обычному пользователю запрещен (если сетевой каталог не смонтирован заранее, то он отсутствует в списке объектов доступа). Для разрешения доступа нужно явно указать полное сетевое имя ресурса и назначить ему атрибуты. Это относится и к сетевым принтерам, или очередям печати. Если правила доступа к сетевым ресурсам определяются администратором домена (сервера), то можно задать универсальный сетевой ресурс. Для этого в список нужно включить объект \\ (ввести с клавиатуры), установить ему полный доступ и наследование на все подкаталоги. Внимание! При задании параметров доступа к сетевым ресурсам, необходимо указывать полное сетевое имя ресурса, например: \\SERVER1\VOL2\DOC1\. Установка доступа к объектам с использованием мандатного метода контроля ПРД Если в файле accord.ini установлен параметр MandatoryAccess = =Yes, то включается мандатный механизм задания и контроля ПРД. Этот параметр можно изменить с помощью программы настройки комплекса «Аккорд» – ACSETUP.EXE. В главном окне программы редактора ПРД (рис. 14.16) появляется кнопка «Уровень доступа» на панели инструментов и пункт «Уровень доступа» в меню «Команды». С помощью этой команды можно установить, или изменить уровень доступа пользователя (рис. 14.17). Мандатный механизм доступа реализуется по следующему правилу: если уровень доступа пользователя (субъекта) выше или ра372 вен метке доступа каталога, файла, сетевого ресурса (объекта), то доступ к объекту предоставляется данному субъекту. Если при этом установлены дискреционные ПРД, то операции, которые пользователь может выполнять с разрешенным объектом, определяются этими ПРД. Рис. 14.16. Окно редактора ПРД при включенном мандатном контроле Рис. 14.17. Установка уровня доступа пользователя 373 Для присвоения объектам меток доступа нажмите кнопку на панели инструментов с изображением компьютера, или выберите пункт «Метки мандатного доступа» в меню «Команды». Выводится окно со списком объектов (рис. 14.18). Рис. 14.18. Установка меток доступа объектов при использовании мандатных ПРД По умолчанию всем объектам присваивается самый низкий уровень – общедоступно. Для изменения метки доступа установите курсор на нужную строку и нажмите Enter, или мышью кнопку «Редактировать». Откроется окно атрибутов, в котором для объекта можно изменить только два параметра – уровень доступа и наследование прав доступа. Уровень доступа меняется нажатием мышью на кнопку в строке «Уровень доступа» и выбором значения из списка. Если необходимый Вам объект отсутствует в списке (см. рис. 14.18), нажмите кнопку «Новый» или клавишу <Insert>. На экран выводится расширенное окно «Атрибуты доступа к объектам» (рис. 14.19). Справа в этом окне отображен список всех объектов. Введите в поле «Имя объекта» имя объекта и установите для него необ374 ходимые атрибуты. С помощью мыши также можно выбрать объект, щелкнув левой кнопкой мыши на имени объекта, тогда в поле «Имя объекта» отобразится имя выделенного объекта, а в поле «Тип объекта» – его тип (каталог, файл, реестр). В правом нижнем секторе окна доступна функция установки меток доступа объекта. Установите указатель мыши на стрелку в правой части строки «Метка доступа» и нажмите левую кнопку мыши. Появится список, из которого можно выбрать значение метки доступа выбранного объекта. Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «Запись» или клавишу <F2>. Объект, которому не присвоена метка доступа считается недоступным для всех пользователей, кроме администраторов. Рис. 14.19. Выбор нового объекта и установка для него метки доступа Атрибут «Наследование прав доступа» действует по тем же правилам, как в дисциплине дискреционного доступа. Правила описания доступа к сетевым ресурсам аналогичны правилам из 375 пункта «Установка доступа к объектам с использованием дискреционного метода ПРД». Механизм управления мандатным доступом допускает использование восьми уровней доступа. Администратор безопасности с помощью программы настройки комплекса может менять количество используемых в конкретной системе уровней допуска и их названия. ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ 1. Установка программной части комплекса Установите СПО на жесткий диск. Описание процесса установки СПО приведено в пункте «Этапы установки комплекса». Если аппаратная часть комплекса не установлена необходимо установить ее и настроить согласно описанию, приведенному в первой лабораторной работе. 2. Создание пользователей Запустите программу ACED32.EXE. Предъявите идентификатор администратора ИБ, если идентификация/аутентификация администратора прошла успешно, то выполняется синхронизация базы данных редактора прав доступа с базой данных пользователей, находящейся в ЭНП контроллера «Аккорд-АМДЗ». Если в аппаратной части был зарегистрирован пользователь «user», то необходимо создать еще одного пользователя «user1». Если нет, то создать двух пользователей «user», «user1». Задать пользователям пароли и личные идентификаторы. 3. Реализация дискреционного механизма разграничения доступа Запустите программу ACSETUP.EXE, в поле «Механизмы разграничения доступа» установите флаг «Дискреционный». Подготовьте рабочее место для выполнения задания: используйте шаблоны из лабораторной работе № 10. Создайте папки «Test» и «Test1»на локальном диске C. Добавьте в них папки и файлы согласно шаблону (рис. 14.20). 376 Рис. 14.20. Шаблон для выполнения рабочего задания Запустите программу ACED32.EXE. Разграничьте доступ пользователям «user» и «user1» согласно вариантам приведенным ниже (табл. 14.2–14.5). Вариант № 1 Таблица 14.2 Объект / Пользователь user user1 Test Test4 Test1.* Test2.* Test3.* Test5.exe R R R,A - R,W,D R R,W,D R R R X Таблица 14.3 Объект / Пользователь user user1 Test1 Test1.4 Test1.1.* Test1.2.* Test1.3.* Test1.5.exe R R,A R,A R R,W,D 377 R R,W,D R R,W,D X X Вариант № 2 Таблица 14.4 Объект / Пользователь user user1 Test Test4 Test1.* Test2.* Test3.* Test5.exe R,A R,A R,D,A R,A R R R,W R R R,W,D X,D X Таблица 14.5 Объект / Пользователь user user1 Test1 Test1.4 Test1.1.* Test1.2.* Test1.3.* Test1.5.exe R R,A R R R,W R,W R,D R,W - X - 4. Активизация подсистемы управления доступом Выполните следующие действия: запустите программу ACSETUP.EXE, перейдите Команды => Инсталлировать или нажмите кнопку на панели задач Инсталляция (рис. 14.21). Рис. 14.21. Активизация подсистемы управления доступом После этих действий выполните перезагрузку ПЭВМ (PC). 378 5. Проверка настроек дискреционного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР» С помощью программы «Ревизор 1 ХР» создайте проект разграничения доступа согласно одному из вариантов описанных выше. Выполните тестирование с помощью программы «Ревизор 2ХР». Сохраните html отчет. 5. Реализация мандатного механизма разграничения доступа Для реализации мандатного механизма запустите программу ACSETUP.EXE. В поле «Механизмы разграничения» установите флаг «Мандатный». В пункте меню «Параметры» можно изменить дополнительные параметры и настройки. Пункт меню «Категории доступа» позволяет редактировать список категорий доступа, который используется в реализации мандатного механизма разграничения доступа (рис. 14.22). Рис. 14.22. Редактирование списка категорий доступа Сделайте четыре категории доступа: Общедоступно, Конфиденциально, Секретно, Совершенно секретно. Вариант № 1. Установите уровни доступа для пользователей: 379 • «user» – Секретно («С»); • «user1» – Общедоступно («-»). В скобках приведены обозначения, которые используют «Ревизор 1 ХР» и «Ревизор 2 ХР». Установите уровни доступа для объектов (табл. 14.6). Таблица 14.6 Папка Local disk C Test Test1 Уровень доступа Общедоступно («-») Конфиденциально («Д») Общедоступно («-») Вариант № 2. Установите уровни доступа для пользователей: • «user» – Конфиденциально («Д»); • «user1» – Секретно («С»). Установите уровни доступа для объектов (табл. 14.7). Таблица 14.7 Папка Local disk C Test Test1 Уровень доступа Конфиденциально («Д») Секретно («С») Конфиденциально («Д») 7. Проверка настроек мандатного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР» С помощью программы «Ревизор 1 ХР» создайте проект разграничения доступа согласно одному из вариантов описанных выше. Запустите «Ревизор 2 ХР». Перейдите к построению плана тестирования. Обязательно исключить из плана тестирования системные файлы! В параметрах построения плана тестирования (рис. 14.23) необходимо поставить флаг на параметре «Проверка полномочного режима управления доступом». При тестировании систем с полномочным управлением доступом необходимо учитывать следующие положения: 380 Рис. 14.23. Параметры настройки плана тестирования • В случае обращения к файлу, гриф секретности (уровень доступа) которого выше степени секретности программы, степень секретности программы повышается до грифа секретности файла. • Программа не может осуществлять запись в файлы, гриф секретности которых ниже, чем степень секретности программы. • Невозможно копирование файлов в каталоги, гриф секретности которых ниже грифа секретности файлов. • В некоторых системах защиты информации файл при копировании наследует гриф секретности от каталога, в который он копируется. Из этого возникают следующие сложности, приводящие к невозможности полноценного тестирования файлов с разными уровнями секретности: Резервное копирование. Каталог, предназначенный для резервного копирования файлов, должен иметь наибольший из грифов секретности копируемых файлов. Если файлы наследуют гриф 381 секретности от каталога, в который они копируются, то автоматическое восстановление файлов, чей гриф секретности был ниже, чем у каталога резервного копирования, будет невозможно. Запись в протокол тестирования. «Ревизор 2 ХР» в ходе тестирования осуществляет запись о выполняемых операциях в протокол тестирования. Для того чтобы запись была возможна, необходимо, чтобы файл протокола имел наибольший гриф секретности тестируемых файлов. Тестирование. При тестировании, получив некоторый уровень секретности, «Ревизор 2 ХР» не сможет осуществить запись данных в файлы с более низким уровнем секретности. Будет зафиксировано отсутствие доступа на запись и добавление данных к этим файлам. Для разрешения этих проблем в программе есть возможность тестирования объектов с одинаковыми грифами секретности. Отбор таких объектов осуществляется при автоматическом построении плана путем указания требуемого грифа секретности. При выполнении тестирования каталог, предназначенный для резервного копирования файлов и файл протокола тестирования должны иметь тот же гриф секретности, что и тестируемые файлы. Выбрать объекты с определенным грифом, в зависимости от варианта лабораторной работы и провести тестирование. 8. Работа с сетевыми ресурсами Для выполнения данного пункта лабораторной работы необходимо объединиться в пары. После чего на одном рабочем месте создать сетевой объект (каталог, файл, программа) с именем «Test» (можно использовать ранее созданный каталог «Test» или «Test1»). Для того чтобы открыть доступ к данному объекту, надо нажать правой клавишей мыши на нем. Появиться окно свойств объекта. Перейти по вкладке «Доступ» и установить флаг на поле «Открыть общий доступ к этой папке» (рис. 14.24). Теперь с помощью программы ACED32.EXE выполнить разграничения доступа к этой папке для пользователей «user» и «user1», используя дискреционную модель (табл.14.8). С помощью программы «Ревизор 2 ХР» провести тестирование АРМ. 382 Таблица 14.8 Объект / Пользователь user user1 Test R,W R,D,A Рис. 14.24. Настройка общего доступа к объекту Подготовка отчета по проделанной работе 1 В отчете указать, как проводилась подготовка АРМ для проведения лабораторной работы. 2 Подробно описать настройку программы «Ревизор «2 ХР» для проведения тестирования. 3 В качестве полученных результатов приложить html файлы тестирования и сделать выводы о настройках механизмов разграничения. Тестовые задания к работе 14 Входной контроль 1. Цель типовой лабораторной работы? a) получение практических навыков работы с программной частью комплекса «Аккорд»; b) проверка настроек механизмов контроля доступа; c) организация защиты автоматического рабочего места. 383 2. Что такое ACRUN.SYS? a) ядро системы, реализующее функции монитора разграничения доступа; b) ядро системы, обеспечивающее статический и динамический контроль целостности; c) оба вышеприведенных ответа; d) нет верного ответа. 3. Какие процедуры реализует модуль ACGINA.DLL? a) процедура шифрования; b) процедура автологина; c) процедура идентификации; d) процедура аутентификации. 4. Что произойдет, если в контроллере АМДЗ в разделе «результаты I/A» установлены первые четыре флага? a) при логине в ОС требуется ввод пароля; b) при логине в ОС не требуется ввод пароля; c) при логине в ОС требуется прислонить идентификатор и ввести пароль. 5. За что отвечает поле «Синхронизация в окне настройки комплекса (Программа ACSETUP.EXE)? a) за синхронизацию баз контроллера АМДЗ и программы ACED32.EXE; b) за синхронизацию баз редактора ПРД (ACED32.EXE) и ОС; c) оба вышеприведенных; d) нет верного ответа. 6. Определение дискреционного механизма разграничения доступа? a) разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту; b) разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности; c) нет верного ответа. 7. Определение мандатного механизма разграничения доступа? 384 a) разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту; b) разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности; c) нет верного ответа. 8. Какие атрибуты доступа предоставляет «Аккорд NT 2000»? a) M, W; b) r; c) U; d) C; e) нет таких атрибутов. 9. При реализации дискреционного механизма КЗИ должен контролировать доступ… a) наименованных субъектов к наименованным объектам; b) наименованных субъектов к файлам; c) наименованных субъектов к ОС; d) нет верного. 10. Механизм, реализующий дискреционный принцип контроля доступа должен предусматривать возможности… a) санкционированное изменение ПРД; b) санкционированное изменение списка пользователей; c) санкционированное изменение списка защищенных объектов; d) все вышеприведенные. 11. Для реализации мандатного метода должны… a) сопоставляться классификации метки субъектов и объектов; b) назначаться классификационные уровни; c) оба вышеприведенные. 12. В КСЗ должен быть реализован диспетчер доступа (при работе мандатного механизма). Что такое диспетчер доступа? a) средство, осуществляющее перехват всех обращений пользователей; 385 b) средство, осуществляющее разграничение доступа в соответствии с принципом разграничения; c) средство, контролирующее не только единичный доступ пользователя, но и потоки информации. 13. Сколько уровней доступа предоставляет СПО «АккордNT/2000»? a) 0-5; b) 0-3; c) 0-8; d) 0-7. 14. Возможно ли копирование объектов при реализации мандатного механизма разграничения доступа из объекта высокого уровня доступа в более низкий? a) да; b) нет; c) только, если действия производит администратор. 15. Назначение программы ACED32.EXE? a) редактирование атрибутов доступа пользователей; b) программа, активизирующая средство защиты; c) контроль целостности файлов; d) нет верного ответа. Выходной контроль 1. Каким образом можно выбирать механизм разграничения доступа? a) файл accord.ini; b) файл access.ini; c) программа ACSETUP.EXE; d) программа ACED32.EXE. 2. Что нужно сделать, чтобы сделать объект невидимым для пользователя? a) включить объект в список и не назначать атрибутов доступа; b) назначить атрибут X; c) снять атрибут V; d) нет верного ответа. 386 3. Чем отличаются разграничения доступа к сетевым объектам и локальным? a) ничем; b) для сетевых объектов необходимо прописывать полный путь; c) дополнительной настройкой. 4. Что означает атрибут «S»? a) не наследуются права доступа на все подкаталоги; b) наследуются права доступа; c) права доступа наследуются только на один уровень. 5. Что означает атрибут «O»? a) разрешение перехода в каталог; b) переименование каталога; c) эмуляция разрешения на запись; d) видимость объекта для пользовательских программ. 6. Для каталога установлен атрибут «S», а для файлов в этом каталоге явно прописаны правила разграничения доступа. Что произойдет? a) для файлов будут действовать явно установленные права доступа; b) будут действовать ПРД для каталога; c) возникнет противоречивая ситуация. 7. Каким групповым обозначением можно пользоваться при настройках атрибутов доступа к объектам в программе ACED32.EXE? a) *.[расширение объекта]; b) !.[расширение объекта]; c) **.[расширение объекта]; d) &.[расширение объекта]. 8. Что означает, если объект в списке всех объектов программы ACED32.EXE выделен черным цветом? a) наличие объекта в списке – отсутствует. Атрибут наследования – нет доступа; b) наличие объекта в списке – присутствует. Атрибут наследования – нет доступа; c) наличие объекта в списке – отсутствует. Атрибут наследования – атрибуты доступа наследуются; d) наличие объекта в списке – присутствует. Атрибут наследования – не наследуется. 387 9. Что означает, если объект в списке всех объектов программы ACED32.EXE выделен зеленым цветом? a) наличие объекта в списке – отсутствует. Атрибут наследования – нет доступа; b) наличие объекта в списке – присутствует. Атрибут наследования – нет доступа; c) наличие объекта в списке – отсутствует. Атрибут наследования – атрибуты доступа наследуются; d) наличие объекта в списке – присутствует. Атрибут наследования – полное наследование. 10. Что означает, если объект в списке всех объектов программы ACED32.EXE выделен красным цветом? a) наличие объекта в списке – отсутствует. Атрибут наследования – нет доступа; b) наличие объекта в списке – присутствует. Атрибут наследования – наследование на один уровень; c) наличие объекта в списке – отсутствует. Атрибут наследования – атрибуты доступа наследуются; d) наличие объекта в списке – присутствует. Атрибут наследования – нет наследования. 11. Что означает, если объект в списке всех объектов программы ACED32.EXE выделен коричневым цветом? a) наличие объекта в списке – отсутствует. Атрибут наследования – нет доступа; b) наличие объекта в списке – присутствует. Атрибут наследования – нет доступа; c) наличие объекта в списке – отсутствует. Атрибут наследования – атрибуты доступа наследуются; d) наличие объекта в списке – присутствует. Атрибут наследования – не наследуется. 12. Что означает, если объект в списке всех объектов программы ACED32.EXE выделен синим цветом? a) наличие объекта в списке – отсутствует. Атрибут наследования – нет доступа; b) наличие объекта в списке – присутствует. Атрибут наследования – наследуются на один уровень; c) наличие объекта в списке – отсутствует. Атрибут наследования – атрибуты доступа наследуются; 388 d) наличие объекта в списке – присутствует. Атрибут наследования – не наследуется. 13. По каким правилам действует атрибут наследования при мандатном разграничение доступа? a) по таким же, как и для дискреционного метода; b) атрибут недоступен; c) наследование только на один уровень. 14. Что надо учитывать при проведении тестирования АРМ с разграничением доступа с помощью мандатного механизма разграничения? a) невозможно копирование файлов в каталоги, гриф секретности которых ниже грифа секретности файлов; b) невозможно копирование файлов в каталоги, гриф секретности которых выше грифа секретности файлов; c) программа не может осуществлять запись в файлы, гриф секретности которых ниже, чем степень секретности программы; d) программа не может осуществлять запись в файлы, гриф секретности которых выше, чем степень секретности программы. 15. Как правильно прописать путь к сетевому объекту «Test», который расположен на компьютере с именем «SERVER»? a) \\SERVER\Test; b) :\SERVER\Test; c) \SERVER\Test. 389 КОНТРОЛЬ ПОДСИСТЕМ АУДИТА (РЕГИСТРАЦИИ И УЧЕТА ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ) В состав тематики входят две работы (15, 16). Работа 15 КОНТРОЛЬ АУДИТА ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ СРЕДСТВАМИ РАЗРАБОТЧИКА, ВСТРОЕННЫМИ СРЕДСТВАМИ СУБД ORACLE, АУДИТ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ С ПРИВИЛЕГИЕЙ «SYSDBA» Цель: получение практических навыков проведения аттестационных испытаний по требованиям безопасности информации в части проверки соответствия АС требованиям стандартов и других нормативных документов по защите информации, утвержденных (согласованных) ФСТЭК России или иными органами государственного управления в пределах их компетенции от НСД и получение практических навыков применения методов контроля подсистем систем аудита (регистрации и учета действий пользователей) СУБД Oracle. ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Настройка одной из предметных областей для использования в аудите действий пользователя средств разработчика (создание необходимых объектов) и проверка выполнения аудита средствами разработчика (с помощью триггера событий). 2. Настройка и проверка в работе аудита действий пользователя встроенными средствами аудита СУБД Oracle, аудит действий пользователя с привилегией «sysdba» в СУБД Oracle. ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ 1. Настройка предметной области для использования в аудите действий пользователя средств разработчика и проверка выполнения аудита средствами разработчика В качестве предметной области используем предметную область пользователя ch_cert из работы 11. Приведем здесь еще раз схему предметной области этого пользователя (рис. 15.1). 390 391 Рис. 15.1 ERD диаграмма предметной области (English) На схеме видно, что два пользователя: Certif_mgr и Licns_mgr имеют «общую» таблицу «Manufctr», с которой оба эти пользователя могут выполнять однотипные действия изменения данных в этой таблице. Для того чтобы знать, какой пользователь, какие действия по изменению данных выполнял, создадим таблицу manufactr_audit. В эту таблицу будем также заносить информацию о прежнем и новом значении строк таблицы manufctr, формируемых пользователями, имеющими право работы с ней. Работа выполняется копированием нижеприводимых команд в окно SQL*Plus. CREATE TABLE manufctr_audit ( CHANGE_TYPE CHAR(1) NOT NULL, CHANGED_BY VARCHAR2(10) NOT NULL, TIMESTAMP DATE NOT NULL, Old_ManuID NUMBER(5), Old_Name VARCHAR2(25), Old_Address VARCHAR2(35), Old_Phone VARCHAR2(12), New_ManuID NUMBER(5), New_Name VARCHAR2(25), New_Address VARCHAR2(35), New_Phone VARCHAR2(12) ); Создадим синоним этой таблицы, чтобы к ней можно было обращаться без ввода имени схемы: CREATE PUBLIC SYNONYM manufctr_audit FOR ch_cert.manufctr_audit; Теперь создадим триггер, обеспечивающий занесение информации аудита в таблицу manufctr_audit: CREATE OR REPLACE TRIGGER LogManufctr BEFORE INSERT OR DELETE OR UPDATE ON Manufctr FOR EACH ROW DECLARE v_ChangeType CHAR(1); BEGIN IF INSERTING THEN v_ChangeType := 'I'; ELSIF UPDATING THEN 392 v_ChangeType := 'U'; ELSE v_ChangeType := 'D'; END IF; INSERT INTO Manufctr_audit (change_type, changed_by, timestamp, old_manuid, old_name, old_address, old_phone, new_manuid, new_name, new_address, new_phone) VALUES (v_ChangeType, USER, SYSDATE, :old.manuid, :old.name, :old.address, :old.phone, :new.manuid, :new.name, :new.address, :new.phone); END LogManufctr; / Проверим выполнение аудита изменений в таблице manufctr_audit. connect licns_mgr/licns_mgr@orcl insert into manufctr values(3,'Наши друзья','Территория МИФИ','324-34-54'); update manufctr set manuid=4, name='Их люди',address='Коломенское',phone='112-11-21' where manuid=3; delete from manufctr where manuid=4; Так как привилегия просмотра таблицы «manufctr_audit» пользователям licns_mgr и certif_mgr не предоставлялась, просматривать таблицу manufctr_audit может ее «хозяин» ch_cert. connect ch_cert/ch_cert@orcl select * from manufctr_audit; C CHANGED_BY TIMESTAM OLD_MANUID OLD_NAME OLD_ADDRESS OLD_PHONE NEW_MANUID NEW_NAME NEW_ADDRESS NEW_PHONE - ---------- -------- ---------- ------------------------- ----------------------------------- ------------ ---------- ------------------------ ----------------------------------- -----------I LICNS_MGR 21.05.10 3 Наши друзья Территория МИФИ 324-34-54 U LICNS_MGR 21.05.10 3 Наши друзья Территория МИФИ 324-34-54 4 Их люди Коломенское 112-11-21 D LICNS_MGR 21.05.10 4 Их люди Коломенское 112-11-21 393 Выводимая информация позволяет проконтролировать выполнение аудита действий пользователей и показывает, кто, когда, какие действия по изменению таблицы «manufctr» выполнял и, что особенно важно, прежние и новые значения изменяемых строк этой таблицы. 2. Настройка и проверка в работе аудита действий пользователя встроенными средствами аудита СУБД Oracle, аудит действий пользователя с привилегией «sysdba» в СУБД Oracle Регистрация действий пользователей с объектами. Для регистрации таких действий надо задействовать аудит – установить инициализационный параметр audit_trail в значение «DB» или «TRUE». Connect sys/sys@orcl as sysdba Проверим значение этого параметра командой: Show parameter audit_trail Если значение параметра «TRUE» или «DB», для очистки таблицы аудита Oracle выполним команду: delete from aud$; Теперь мы освободились от записей аудита предыдущих сеансов и можем продолжать работу «с чистого листа». Если значение параметра «NONE», установим этот параметр в значение «TRUE» или «DB» и перестартуем инстанцию: ALTER SYSTEM SET audit_trail=db SCOPE=SPFILE; Shutdown immediate Startup Проверим еще раз значение параметра audit_trail: Show parameter audit_trail Теперь выполним команду, включающую аудит таблицы «manufctr»: AUDIT select,insert,update,delete ON manufctr; Убедимся, что таблица «aud$», регистрирующая аудит, пуста: SELECT userid,ses$actions,obj$name FROM aud$; Если же в ней есть записи, удалим их: DELETE FROM aud$; И проверим, как выполняется аудит действий с таблицей «manufctr»: 394 connect licns_mgr/licns_mgr@orcl SELECT * FROM manufctr; Посмотрим, зарегистрирован ли этот «select»: Connect sys/sys@orcl as sysdba SELECT userid,ses$actions,obj$name FROM aud$; USERID SES$ACTIONS OBJ$NAME ------------------------------------------------LICNS_MGR ---------S------MANUFCTR Знак «S» в столбце таблицы «aud$» говорит о том, что зарегистрирован успешный «SELECT» к этой таблице; отметим, что этот знак занимает седьмую позицию справа в этом столбце; проверим выполнение двух команд «select» к таблице «manufctr» в одном сеансе, предварительно очистив таблицу aud$: delete from aud$; connect licns_mgr/licns_mgr@orcl SELECT * FROM manufctr WHERE manuid=0; SELECT * FROM manufctr WHERE manuid=1; Посмотрим, как зарегистрированы эти «SELECT»: Connect sys/sys@orcl as sysdba SELECT userid,ses$actions,obj$name FROM aud$; USERID SES$ACTIONS OBJ$NAME ----------------- ------------------- ------ ---------LICNS_MGR ---------S------ MANUFCTR Отсутствие новых строк в таблице «aud$» говорит о том, что в ней регистрируется факт выполнения «SELECT» в сеансе, но не регистрируется каждая из этих команд. Это объясняется тем, что команда «AUDIT select, insert, update, delete ON manufctr;» по умолчанию выполняется с опцией «BY SESSION». Выполним теперь эту команду с опцией «BY ACCESS», предварительно очистив таблицу «aud$»: Connect sys/sys@orcl as sysdba DELETE FROM aud$; AUDIT select, insert, update, delete ON manufctr BY ACCESS; connect licns_mgr/licns_mgr@orcl SELECT * FROM manufctr WHERE manuid=0; SELECT * FROM manufctr WHERE manuid=1; Connect sys/sys@orcl as sysdba Немного изменим запрос к таблице «aud$»: 395 SELECT userid,ACTION#,OBJ$NAME FROM aud$; USERID ACTION#OBJ$NAME ------------------ ----------- ------------LICNS_MGR 3 MANUFCTR LICNS_MGR 3 MANUFCTR Из таблицы словаря «audit_actions» мы найдем, что значению «3» столбца «ACTION#» соответствует команда «SELECT». В столбце «ses$actions» появляются значения при аудите таблицы «manufctr» только с опцией «BY SESSION» (устанавливаемой по умолчанию). Отметим здесь, что разным операциям с таблицей «manufctr» соответствуют символы в столбце «ses$actions» на разных позициях, значения этих символов также могут быть разными: «S» − успешное выполнение команды, «F» − неудачное выполнение команды, «B» − сочетание успешного и неуспешного выполнения команды и др. Убедимся в этом: Connect sys/sys@orcl as sysdba AUDIT select,insert,update,delete ON manufctr; connect licns_mgr/licns_mgr@orcl INSERT INTO manufctr VALUES(2,'ooooooo','iiiiiii','111111'); UPDATE manufctr SET manuid='3',name='eeee',address='wwwww' WHERE manuid=2; UPDATE manufctr SET manuid='4',name='eeee',address='wwwww' WHERE manuid=3; DELETE FROM manufctr WHERE manuid=4; Connect sys/sys@orcl as sysdba SELECT userid,ses$actions,obj$name FROM aud$; USERID SES$ACTIONS OBJ$NAME ------------------- -------------------------------LICNS_MGR ---S--S---S----MANUFCTR При аудите с опцией «BY ACCESS» информация в столбце «ses$actions» не записывается. Но зато в столбце «action#» Фиксируются коды выполняемых команд, значение которых представлены в таблице словаря «audit_actions». Для регистрации выполняемых пользователем команд, а также действий пользователя по созданию других объектов схемы (например, триггеров, процедур) выполним следующие команды: Connect sys/sys@orcl as sysdba 396 AUDIT select, insert, update, delete ON manufctr BY ACCESS; AUDIT procedure, trigger by ch_cert; ALTER SYSTEM SET audit_trail= db,extended SCOPE=SPFILE; Последняя команда включила расширенный аудит, при котором Фиксируются выполняемые пользователем, в отношении которого установлен аудит, DML команды, тексты создаваемых процедур, триггеров. shutdown immediate startup DELETE FROM aud$; connect ch_cert/ch_cert@orcl SELECT * FROM manufctr; SELECT * FROM manufctr WHERE manuid=0; CREATE OR REPLACE PROCEDURE pr1 AS BEGIN NULL; END; / CREATE OR REPLACE TRIGGER tr1 BEFORE insert OR update ON item FOR EACH ROW BEGIN NULL; END; / CREATE OR REPLACE TRIGGER tr2 BEFORE insert OR update ON item FOR EACH ROW BEGIN NULL END; / Последний триггер создается с ошибкой, так как после команды «NULL» нет знака «;». DELETE PROCEDURE pr1; DELETE TRIGGER tr1; DELETE TRIGGER tr2; Connect sys/sys@orcl as sysdba 397 ALTER SESSION SET NLS_DATE_FORMAT='yyyy.mm.dd:hh:mi'; В столбце «extenden_timestamp» представления «dba_audit_ object», к которому мы будем обращаться, есть расширенный формат даты, но с большими подробностями, чем нам сейчас требуется. set linesize 300 SELECT user_name, audit_option, success, failure FROM dba_stmt_audit_opts; USER_NAME AUDIT_OPTION SUCCESS FAILURE ----------------------- ----------------------------- ---------- ---------CH_CERT PROCEDURE BY ACCESS BY ACCESS CH_CERT TRIGGER BY ACCESS BY ACCESS В столбцах «SUCCESS» и «FAILURE» после выполнения команды «AUDIT procedure, trigger by ch_cert;» установлены значения «BY ACCESS», что означает регистрацию каждого из поворяющихся действий пользователя «ch_cert» при создании процедур и триггеров, будь эти действия успешны или неуспешны. Опция «BY ACCESS» устанавливается для DDL команд по умолчанию. Отметим здесь также, что команда «AUDIT procedure, trigger by ch_cert;» задает аудит сразу нескольких вариантов DDL предложений, связанных с процедурами и триггерами (не только «CREATE», но и «DELETE», «ALTER TRIGGER …ENABLE (DISABLE)»). SELECT username, timestamp, action_name, sql_text FROM dba_audit_object; USERNAME TIMESTAMP ACTION_NAME SQL_TEXT --------------- ---------------- ----------------------- -------------------CH_CERT 2010.05.22:09:50 CREATE TRIGGER CREATE OR REPLACE TRIGGER tr2 BEFORE insert OR update ON item FOR EACH ROW BEGIN NULL END; CH_CERT 2010.05.22:09:49 CREATE TRIGGER CREATE OR REPLACE TRIGGER tr1 BEFORE insert OR update 398 ON item FOR EACH ROW BEGIN NULL; END; CH_CERT 2010.05.22:09:49 CREATE PROCEDURE CREATE OR REPLACE PROCEDURE pr1 AS BEGIN NULL; END; CH_CERT 2010.05.22:09:49 SELECT CH_CERT CH_CERT CH_CERT CH_CERT 2010.05.22:09:49 SELECT 2010.05.22:09:51 2010.05.22:09:51 2010.05.22:09:51 SELECT * FROM manufctr WHERE manuid=0 SELECT * FROM manufctr DROP TRIGGER DROP TRIGGER DROP PROCEDURE Отключим аудит действий пользователя в схеме «ch_cert», а также – расширенный аудит: Connect sys/sys@orcl as sysdba NOAUDIT select, insert, update, delete ON manufctr; NOAUDIT procedure, trigger by ch_cert; ALTER SYSTEM SET audit_trail= db SCOPE=SPFILE; Shutdown immediate Startup 3. Общие настройки аудита для регистрации действий обычных и с привилегией «sysdba» пользователей с базой данных Действия пользователя «SYS» с привилегией «SYSDBA» не регистрируются в таблице словаря «AUD$». Для регистрации в системном журнале ОС всех действий этого пользователя установим параметр «audit_sys_operations» в значение «TRUE» и перестартуем инстанцию Oracle. Connect sys/sys@orcl as sysdba 399 ALTER SYSTEM SET audit_sys_operations=true SCOPE=SPFILE; Shutdown immediate Startup DELETE FROM aud$; Здесь отметим, что возможно включение аудита для регистрации широкого спектра действий пользователей с объектами базы данных, предполагающих использование всех системных привилегий. Если выполнить запрос: SELECT 'audit ',name||';' FROM system_privilege_map; Он выведет более полутора сотен строк – по всем системным привилегиям. При выполнении всех выведенных строк, как команд аудита (для этого надо скопировать выведенные предыдущим запросом строки и вставить в окно SQL*Plus, как выполняемые команды), они будут выполнены успешно, и в таблице «dba_stmt_audit_opts» мы по запросу: SELECT audit_option, success, failure FROM dba_stmt_audit_opts; увидим включенный аудит практически по всем системным привилегиям. Не забудьте, затем выполнить запрос: SELECT 'noaudit ',name||';' FROM system_privilege_map; после которого скопировать все выведенные строки и выполнить их, как команды, отменяющие аудит. На практике нет необходимости задействовать аудит в таком широком диапазоне. Мы проверим аудит действий всех пользователей по нескольким системным привилегиям: AUDIT alter system, user,procedure, trigger, role; Аудит таких общих (в команде аудита не указан конкретный пользователь) действий регистрируется для случая, когда параметр «audit_trail» установлен в значение «DB». Для значения этого параметра «db,extended» аудит в таблице «aud$» не регистрируется. Посмотрим, какие опции аудита у нас сейчас установлены: SELECT audit_option, success, failure FROM dba_stmt_audit_opts; AUDIT_OPTION SUCCESS FAILURE ------------------------------------ ---------- ---------ALTER SYSTEM BY ACCESS BY ACCESS USER BY ACCESS BY ACCESS 400 PROCEDURE BY ACCESS BY ACCESS TRIGGER BY ACCESS BY ACCESS ROLE BY ACCESS BY ACCESS Проверим включенные опции. Connect ch_cert/ch_cert@orcl CREATE ROLE r1; CREATE USER user1 IDENTIFIED BY user1; CREATE OR REPLACE PROCEDURE pr1 AS BEGIN NULL; END; / CREATE OR REPLACE TRIGGER tr1 BEFORE insert OR update ON item FOR EACH ROW BEGIN NULL; END; / CREATE OR REPLACE TRIGGER tr2 BEFORE insert OR update ON item FOR EACH ROW BEGIN NULL END; / CREATE OR REPLACE TRIGGER tr2 BEFORE insert OR update ON item FOR EACH ROW BEGIN NULL; END; / Alter system set nls_language=’RUSSIAN’; Alter system set nls_language= RUSSIAN; Connect sys/sys@orcl as sysdba 401 SELECT userid,name name_for_audit,obj$name aud$,audit_actions WHERE aud$.action#=audit_actions.action; USERID NAME_FOR_AUDIT OBJ$NAME ------------------ -----------------------------------CH_CERT CREATE ROLE R1 CH_CERT CREATE USER USER1 CH_CERT CREATE PROCED URE PR1 CH_CERT CREATE TRIGGER TR1 CH_CERT CREATE TRIGGER TR2 CH_CERT CREATE TRIGGER TR2 CH_CERT ALTER SYSTEM CH_CERT ALTER SYSTEM FROM Несмотря на то, что отдельные действия выполнялись с ошибкой, аудит зарегистрировал все действия пользователя «ch_cert»/ Соединимся теперь пользователем «scott» и выполним те же действия, что и пользователь «ch_cert». Connect scott/scott@orcl CREATE ROLE r2; CREATE USER user2 IDENTIFIED BY user2; CREATE OR REPLACE PROCEDURE pr1 AS BEGIN NULL; END; / CREATE OR REPLACE TRIGGER tr1 BEFORE insert OR update ON item FOR EACH ROW BEGIN NULL; END; / CREATE OR REPLACE TRIGGER tr2 BEFORE insert OR update ON item FOR EACH ROW BEGIN NULL 402 END; / CREATE OR REPLACE TRIGGER tr2 BEFORE insert OR update ON item FOR EACH ROW BEGIN NULL; END; / Alter system set nls_language=’RUSSIAN’; Alter system set nls_language= RUSSIAN; Connect sys/sys@orcl as sysdba SELECT userid,name name_for_audit,obj$name FROM aud$,audit_actions WHERE aud$.action#=audit_actions.action ORDER BY userid; USERID NAME_FOR_AUDIT OBJ$NAME --------------------------------------------------CH_CERT CREATE ROLE R1 CH_CERT ALTER SYSTEM CH_CERT ALTER SYSTEM CH_CERT CREATE PROCEDURE PR1 CH_CERT CREATE TRIGGER TR2 CH_CERT CREATE TRIGGER TR1 CH_CERT CREATE USER USER1 CH_CERT CREATE TRIGGER TR2 SCOTT CREATE USER USER2 SCOTT CREATE ROLE R2 SCOTT ALTER SYSTEM SCOTT CREATE TRIGGER TR2 SCOTT CREATE TRIGGER TR2 SCOTT CREATE TRIGGER TR1 SCOTT ALTER SYSTEM SCOTT CREATE PROCEDURE PR1 Выше мы установили параметр «audit_sys_operations» в значение «TRUE». После этого мы не раз делали пользователем «SYS» запросы к словарю. Полезно при выполнении лабораторных работ 403 использовать консоль «Oracle Enterprise Manager Console» пользоватетем «sys», так как в этой консоли удобно просматривать содержимое таблиц и представлений аудита без того, чтобы набирать соответствующие команды в окне SQL*Plus. Все действия ползователя «sys», в том числе и в консоли «Oracle Enterprise Manager Console», можно увидеть в окне просмотра событий ОС. На рис. 15.2. приведен снимок окна программы «Просмотр событий» со строками событий. Рис. 15.2. Окно просмотра событий На рис. 15.3 представлен снимок окна, соответствующего одной из строк в окне просмотра событий на рис. 15.2 запросу, который выполнял пользователь «sys». В окне представлен текст запроса, представлены дата и время запроса, указано с какого компьютера запрос выполнялся. При включении аудита с опцией «OS»: ALTER SYSTEM SET audit_trail= OS SCOPE=SPFILE; Информация аудита будет писаться в журнал событий операционной системы вместо журнала базы данных (таблица «aud$»). Например, если пользователь «ch_cert» выполнит команду «alter user 404 user1 identified by user1;» в программе «Просмотр событий» появится новая строка, которой соответствует окно на рис. 15.4. Рис. 15.3. Окно просмотра конкретного события (появляется при двойном клике мышки на строке в окне программы просмотра событий) Рис. 15.4. Регистрация события в журнале событий ОС 405 Наконец, при использовании «XML» опции параметра аудита «audit_trail»: На рис. 15.4 указан код «34» действия пользователя «ch_cert». Этому коду в таблице «audit_actions» словаря соответствует значение «alter user». ALTER SYSTEM SET audit_trail= XML SCOPE=SPFILE; События аудита будут писаться в xml файлы в папке, указанной параметром «audit_file_dest». По умолчанию он имеет значение «ORACLE_BASE/admin/orcl/adump» для базы данных «orcl». Есть один ньюанс при таком способе аудита. При входе в ОС пользователем ОС на кириллице xml файлы аудита не читаются. Просмотр xml файлов аудита браузером или редактором xml текстов мало эффективен, так как в файлах много дополнительных символов и строк. Представление Oracle «v_$xml_audit_trail» позволяет просматривать информацию аудита запросами, подобными тем, которыми мы извлекали информацию из таблицы «aud$». Сдача лабораторной работы Сдача лабораторной работы заключается в демонстрации преподавателю всех рассмотренных в настоящей лабораторной работе технологий аудита на заданных преподавателем трех разных предметных областях. Задание для подготовки к сдаче включает: 1. Владельцы предметных областей 1 (ПО1), 2 (ПО2) манипулируют данными с отдельной (любой по выбору студента) таблицей предметной области 3 (ПО3). Эти действия надо зарегистрировать с помощью триггера событий и специально создаваемой таблицы аудита. 2. Пользователь «sys» выполняет настройки аудита встроенными средствами СУБД Oracle для регистрации действий любого другого пользователя по изменению системы, по созданию пользователей, процедур, триггеров, ролей, а также настройки аудита – для регистрации текстов создаваемых процедур, тиггеров, выполняемых отдельными пользователями команд. 3. Пользователь «sys» выполняет настройки аудита встроенными средствами СУБД Oracle для регистрации действий пользователя с привилегией «sysdba». 406 Тестовые задания к работе 15 Входной контроль 1. Укажите строки, относящиеся к аудиту стойкости паролей и парольной политики: a) выявление паролей по умолчанию; b) выявление простых паролей; c) определение парольных компонентов профилей пользователя; d) поиск паролей в таблицах словаря СУБД; e) правильных ответов нет. 2. Аудит базы данных проводится с использованием (укажите верные строки): a) утилиты Net Configuration Assistant; b) вручную исполняемыми командами администратора безопасности; c) специально созданными скриптами администратора безопасности; d) сканеров безопасности баз данных; e) правильных ответов нет. 3. Укажите строки, определяющие, что должно явиться результатом аудита: a) описание выявленных уязвимостей; b) обнаруженные недостатки конфигурации СУБД и прав доступа; c) перечень всех непривилегированных пользователей; d) рекомендации по повышению защищенности; e) правильных ответов нет. 4. Какая основная проблема возникает перед администраторами баз данных при использовании обычного аудита средствами Oracle? a) резкое снижение производительности в работе с пользователями базы данных; b) затруднение доступа пользователей к базе данных; c) учащение сбоев в работе СУБД; d) заметное увеличение затрат памяти на хранение данных аудита; e) правильных ответов нет. 407 5. Какие пользователи/учетные записи требуют специального аудита, отличного от обычного системного аудита Oracle? a) пользователи с ролью DBA; b) пользователи с привилегией sysdba; c) пользователи, обладающие ролями числом от двух до пяти; d) пользователи, имеющие ОС аутентификацию; e) правильных ответов нет. 6. Какое средство позволяет просмотреть зарегистрированные аудитом после соответствующей настройки СУБД действия пользователя с привилегией sysdba? a) Enterprise Edition console; b) Policy manager; c) Database Configuration Assistant; d) утилитой «Просмотр событий» консоли управления компьютером; e) правильных ответов нет. 7. С помощью каких объектов схемы пользователя создаются средства аудита разработчика? a) триггер; b) последовательность; c) дополнительная таблица аудита; d) представление; e) правильных ответов нет. Выходной контроль 1. Укажите верную команду аудита любых (в том числе и повторяющихся) действий с журналом аудита: a) AUDIT INSERT on sys.aud$; b) AUDIT ALL on sys.aud$ by access; c) AUDIT ALL on sys.aud$ by SESSION; d) AUDIT ALL on sys.aud$; e) AUDIT INSERT, UPDATE, DELETE, SELECT on sys.aud$; f) правильных ответов нет. 2. В чем отличие системного аудита средствами Oracle действий пользователя БД от аудита действий того же пользователя с использованием процедур и триггеров разработчика приложений? 408 a) системный аудит не отлавливает команды SELECT; b) спрограммированный аудит разработчика приложений не отлавливает действий пользователя по соединению с БД; c) системный аудит не отлавливает команды UPDATE; d) системный аудит БД конфликтует с аудитом средствами ОС; e) системный аудит не отлавливает повторяющихся действий пользователя с таблицей (DML) в одной сессии с Oracle; f) правильных ответов нет. 3. Какими командами обеспечивается возможность регистрации событий аудита в журнале событий консоли управления компьютером? a) ALTER SYSTEM SET audit_trail= OS SCOPE=SPFILE; b) ALTER SESSION SET audit_trail= OS SCOPE=SPFILE; c) shutdown immediate; d) ALTER SESSION SET audit_trail= OS; e) startup; f) правильных ответов нет. 4. Если события аудита пишутся в XML файлы, читать их удобно с помощью… a) редактора «Блокнот»; b) редактора «Текстовый редактор WordPad»; c) запросов к представлению словаря «v_$xml$»; d) интернет браузера; e) запросов к представлению словаря «v_$xml_audit_trail»; f) правильных ответов нет. 5. Для обеспечения аудита действий пользователя «sys» с объектами базы данных требуется выполнения, в частности, таких действий: a) запросов к таблице aud$; b) запросов к представлению dba_audit_trail; c) выполнения команд ALTER SYSTEM SET audit_sys_operations=true SCOPE= SPFILE; Shutdown immediate Startup d) запросов к таблице «onlyforsys»; e) выполнения команд 409 ALTER SESSION SET audit_sys_operations=true SCOPE= SPFILE; Shutdown immediate Startup f) правильных ответов нет. 6. В какой столбец таблицы «aud$» записывается информация о кодах выполняемых пользователями команд при аудите с опцией «BY ACCESS»? a) statement; b) ses$actions; c) action#; d) comment$text; e) sqlbind; f) правильных ответов нет. 7. Какие команды позволяют обеспечить возможность аудита действий пользователя с регистрацией выполняемых им SQL, PL/SQL кодов? a) ALTER SYSTEM SET audit_trail=extendeddb SCOPE= SPFILE; shutdown immediate startup b) ALTER SYSTEM SET audit_trail=db,extended SCOPE= SPFILE; shutdown immediate startup c) ALTER SYSTEM SET audit_trail= extended SCOPE=SPFILE; shutdown immediate startup d) ALTER SYSTEM SET audit_trail= true,fulldb SCOPE=SPFILE; shutdown immediate startup e) ALTER SYSTEM SET audit_trail=fulldb SCOPE=SPFILE; shutdown immediate startup f) правильных ответов нет. 410 Работа 16 КОНТРОЛЬ ДЕТАЛЬНОГО АУДИТА ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ В СУБД ORACLE Цель: получение практических навыков работы с методами контроля подсистем систем аудита (регистрации и учета действий пользователей) СУБД Oracle. ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Выбор предметной области и пользователей для проверки FGAudit. Определение политики (правила) аудита без обработки событий для выбранной предметной области. Проверка выполнения детального аудита в соответствии с определенной политикой. 2. Проверка выполнения запросов, включающих переменные привязки, ретроспективных запросов, с использованием FGAudit. 3. Определение политики (правила) аудита с обработкой событий для выбранной предметной области. Проверка выполнения детального аудита с обработкой событий в соответствии с определенной политикой. ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ 1. Выбор предметной области и пользователей для проверки FGAudit В качестве предметной области будем использовать предметную область пользователя «scott» (присутствует в поставке Oracle, т.е. скрипты для нее не требуются), так как в ней есть таблица «emp», в которой представлены личные сведения о сотрудниках фирмы. Защита личных сведений – понятная цель для задействования и демонстрации возможностей детального аудита. Лабораторная работа выполняется копированием и выполнением нижеприводимых команд в окно SQL*Plus. Посмотрим содержимое таблицы «emp»: conn scott/scott@orcl SELECT * FROM emp; 411 EMPNO ----------7839 7698 7782 7566 7902 7788 7369 7499 7521 7654 7844 7876 7900 7934 ENAME JOB MGR HIREDATE SAL COMM DEPTNO ---------- --------------------- -------- ----------------- ------ ---------- -------------KING PRESIDENT 17.11.81 5000 10 BLAKE MANAGER 7839 01.05.81 2850 30 CLARK MANAGER 7839 09.06.81 2450 10 JONES MANAGER 7839 02.04.81 2975 20 FORD ANALYST 7566 03.12.81 3000 20 SCOTT ANALYST 7566 19.04.87 3000 20 SMITH CLERK 7902 17.12.80 800 20 ALLEN SALESMAN 7698 20.02.81 1600 300 30 WARD SALESMAN 7698 22.02.81 1250 500 30 MARTIN SALESMAN 7698 28.09.81 1250 1400 30 TURNER SALESMAN 7698 08.09.81 1500 0 30 ADAMS CLERK 7788 23.05.87 1100 20 JAMES CLERK 7698 03.12.81 950 30 MILLER CLERK 7782 23.01.82 1300 10 Мы могли бы установить аудит на все действия с этой таблицей (с сохранением текста DML предложений) обычными средствами аудита, но при этом в таблице или в файле аудита будет накапливаться много лишней информации. Можно было бы, как мы делали это в предыдущей лабораторной работе, создать триггер регистрации действий с таблицей «emp» в специальной таблице аудита. Но триггер не работает на «SELECT». Для создания политики аудита создадим пользователя «main» и наделим его соотвтетствующими привилегиями: Conn sys/sys@orcl as sysdba GRANT SELECT,INSERT,UPDATE,DELETE ON scott.emp TO PUBLIC; DROP USER main CASCADE; CREATE USER main IDENTIFIED BY main DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 1m ON users; GRANT connect, resource TO main; GRANT execute ON dbms_fga TO main; GRANT select ON dba_fga_audit_trail TO main; GRANT DELETE on dba_fga_audit_trail to main; GRANT select ON dba_audit_policies TO main; GRANT FLASHBACK ANY TABLE TO main; 412 GRANT EXECUTE ON dbms_flashback TO main; Conn main/main@orcl Удалим политику аудита, созданную предыдущим выполнением лабораторной работы: DELETE FROM dba_fga_audit_trail; begin DBMS_FGA.DROP_POLICY( OBJECT_SCHEMA => 'scott', OBJECT_NAME => 'emp', policy_name => 'CHK_EMPA'); end; / Создадим политику аудита таблицы «emp», предусматривающую регистрацию DML действий пользователей (команды «select», «insert», «update», «delete») с этой таблицей таких, которые затрагивают столбец «ename» и включают условие «'sal > 1500'». BEGIN DBMS_FGA.ADD_POLICY( OBJECT_SCHEMA => 'SCOTT', OBJECT_NAME => 'EMP', POLICY_NAME => 'chk_empa', AUDIT_CONDITION => 'sal > 1500', AUDIT_COLUMN => 'ename', HANDLER_SCHEMA=>null, HANDLER_MODULE=>null, ENABLE=>true); END; / Проверим, что зарегисторирует политика FGA 'chk_empa'. conn king/king@orcl --команда 1 SELECT * FROM scott.emp; --команда 2 SELECT empno,ename FROM scott.emp; --команда 3 SELECT empno, deptno FROM scott.emp; --команда 4 UPDATE scott.emp SET deptno=40 WHERE deptno=20; 413 ROLLBACK; Посмотрим, что зарегистрировал аудит. conn main/main@orcl Alter session set nls_date_format = 'yyyy-mon-dd:HH:MI:SS'; select db_user, sql_text, timestamp from dba_fga_audit_trail; DB_USER SQL_TEXT TIMESTAMP ----------------- ----------------------------------- --------------------------------KING SELECT * FROM scott.emp 2010-май-29:02:32:10 KING SELECT empno, ename FROM scott.emp 2010-май-29:02:32:10 Команда 3 не зарегистрирована, так как команда 3 не затрагивает запросом столбцы, указанные в политике «chk_empa». Команда 4 не зарегистрирована, так как параметр «statement_types» политики по умолчанию имеет значение «SELECT». Скорректируем политику для учета действий с таблицей «emp» командами «INSERT, UPDATE, DELETE». Добавим условие, по которому аудит выпоняется и для столбца «sal». Так как программы UPDATE_POLICY не существует, сначала: conn main/main@orcl begin DBMS_FGA.DROP_POLICY( OBJECT_SCHEMA => 'scott', OBJECT_NAME => 'emp', policy_name => 'CHK_EMPA'); end; / Затем: BEGIN DBMS_FGA.ADD_POLICY( OBJECT_SCHEMA => 'scott', OBJECT_NAME => 'emp', POLICY_NAME => 'chk_empa', AUDIT_CONDITION => 'sal >1500', AUDIT_COLUMN => 'ename,sal', STATEMENT_TYPES => 'select, insert, update, delete', HANDLER_SCHEMA=>null, HANDLER_MODULE=>null, ENABLE=>true); 414 END; / DELETE FROM dba_fga_audit_trail; Проверим, что зарегистрирует скорректированная политика FGA 'chk_empa'. conn king/king@orcl --команда 1 SELECT * FROM scott.emp; conn smith/smith@orcl --команда 2 SELECT * FROM scott.emp; --команда 3 SELECT empno,job FROM scott.emp WHERE sal>1500; --команда 4 SELECT empno,job FROM scott.emp WHERE sal<1500; --команда 5 SELECT empno, deptno FROM scott.emp; --команда 6 SELECT ename FROM scott.emp; --команда 7 SELECT sal FROM scott.emp; --команда 8 UPDATE scott.emp SET sal=1600 WHERE sal<1500 AND job='CLERK'; ROLLBACK; Посмотрим, что зарегистрировал аудит. conn main/main@orcl Alter session set nls_date_format = 'yyyy-mon-dd:HH:MI:SS'; select db_user, sql_text, timestamp from dba_fga_audit_trail; DB_USER SQL_TEXT TIMESTAMP ----------------- --------------------------------------- -------------------KING SELECT * FROM scott.emp 2010-май-29:06:20:24 SMITH SELECT * FROM scott.emp 2010-май-29:06:20:24 SMITH SELECT empno,job FROM scott.emp 2010-май-29:06:20:25 WHERE sal>1500 SMITH SELECT ename FROM scott.emp 2010-май-29:06:20:25 415 SMITH SMITH SELECT sal FROM scott.emp 2010-май-29:06:20:25 UPDATE scott.emp SET sal=1600 2010-май-29:06:20:26 WHERE sal<1500 AND job='CLERK' «UPDATE» пользователя «smits» зарегистрирован, несмотря на откат транзакции. Извлечение только всех имен пользователей, а также в отдельном запросе только всех зарплат также регистрируется, так как эти столбцы указаны в политике и для отдельных строк таблицы с извлекаемыми значениями имен и зарплат выполняется условие sal>1500. На самом деле извлечение по отдельности столбцов имен пользователей и зарплаты может не представлять особой угрозы безопасности, так как явной связи значений этих столбцов нет. Поэтому полезно было бы потребовать Фиксировать обращение к таблице «emp» только если в запросе указаны оба столбца вместе. Такая возможность есть. В создаваемой политике FGAudit есть параметр «audit_column_opts» по умолчанию имеющий значение «dbms_fga.any_columns». Но если мы хотим потребовать Фиксировать обращение к таблице «emp» только если в запросе указаны оба столбца вместе, этот пароаметр надо устанавливать в значение «dbms_fga.all_columns». Проверим настройку этого параметра с таким значением: conn main/main@orcl begin DBMS_FGA.DROP_POLICY( OBJECT_SCHEMA => 'scott', OBJECT_NAME => 'emp', policy_name => 'CHK_EMPA'); end; / Затем: BEGIN DBMS_FGA.ADD_POLICY( OBJECT_SCHEMA => 'scott', OBJECT_NAME => 'emp', POLICY_NAME => 'chk_empa', AUDIT_CONDITION => 'sal >1500', AUDIT_COLUMN => 'ename,sal', 416 STATEMENT_TYPES => 'select, insert, update, delete', AUDIT_COLUMN_OPTS => dbms_fga.all_columns, HANDLER_SCHEMA=>null, HANDLER_MODULE=>null, ENABLE=>true); END; / DELETE FROM dba_fga_audit_trail; conn smith/smith@orcl --команда 1 SELECT ename FROM scott.emp; --команда 2 SELECT sal FROM scott.emp; --команда 3 SELECT ename, sal FROM scott.emp; conn main/main@orcl Alter session set nls_date_format = 'yyyy-mon-dd:HH:MI:SS'; select db_user, sql_text, timestamp from dba_fga_audit_trail; DB_USER SQL_TEXT TIMESTAMP ---------------------- ------------------------------------------ -------------------SMITH SELECT ename, sal FROM scott.emp 2010-май-29:07:46:49 Наша политика сработала верно. Зарегистрирован только один запрос с извлечением одновременно двух столбцов. В представлении словаря «dba_audit_policies» можно увидеть созданную политику: conn main/main@orcl SELECT * FROM dba_audit_policies; 2. Проверка выполнения запросов, включающих переменные привязки, ретроспективных запросов, с использованием FGAudit В предыдущем разделе был приведен пример политики FGAudit, в котором вводилось условие «sal>1500». Если в запросе в явном виде присутствует предикат, включающий это условие, запрос будет зарегистрирован детальным аудитом. Но ведь запрос может быть написан с использованием переменных привязки. 417 Сможет ли детальный аудит зарегистрировать такие запросы? Да, такая возможность есть. conn main/main@orcl DELETE FROM dba_fga_audit_trail; Conn ford/ford@orcl var empno number var ename varchar2(10) begin :empno:=7900; :ename:='JAMES'; end; / select ename, sal from scott.emp where empno=:empno and ename=:ename; ENAME SAL ------------------JAMES 950 begin :empno:=7839; :ename:='KING'; end; / select ename, sal from scott.emp where empno=:empno and ename=:ename; ENAME SAL ------------------KING 5000 conn main/main@orcl Alter session set nls_date_format = 'yyyy-mon-dd:HH:MI:SS'; col sql_bind format a30 col sql_text format a100 select db_user, sql_text, sql_bind, timestamp from dba_fga_audit_trail; DB_USER SQL_TEXT SQL_BIND TIMESTAMP ------------ -------------------------------------- --------------------- -------------------------------------------FORD select ename, sal from scott.emp #1(4):7839 #2(4):KING 2010-май-30:01:10:12 where empno=:empno and ename=:ename 418 Запрос с ename=JAMES не зарегистрирован, так как зарплата JAMES < 1500, запрос с FORD зарегистрирован, так как выполняется условие «sal>1500». Детальный аудит в столбце «sql_bind» заФиксировал обе переменные привязки и их значения. В столбце «sql_bind» #1 означает первую переменную привязки, #2 – вторую, (4) число символов в переменной привязки, а затем приводится само значение переменной привязки. Возможность «ловить» переменные привязки и их значения важна не только в целях аудита, но и при решении частных задач, связанных с повышением производительности системы, когда приходится определять, какие типы значений чаще всего выбираются пользователями из базы данных. При создании политики детального аудита возможность регистрировать переменные привязки, как и текст запроса, определяется параметром «audit_trail» процедуры «dbms_fga.add_policy», который по умолчанию имеет значение «db_extended». Для отключения возможности регистрировать переменные привязки этот параметр надо установить в значение «dbms_fga.db». conn main/main@orcl begin DBMS_FGA.DROP_POLICY( OBJECT_SCHEMA => ‘scott’, OBJECT_NAME => ‘emp’, policy_name => ‘CHK_EMPA’); end; / Затем: BEGIN DBMS_FGA.ADD_POLICY( OBJECT_SCHEMA => ‘scott’, OBJECT_NAME => ‘emp’, POLICY_NAME => ‘chk_empa’, AUDIT_CONDITION => ‘sal >1500’, AUDIT_COLUMN => ‘ename,sal’, STATEMENT_TYPES => ‘select, insert, update, delete’, AUDIT_COLUMN_OPTS => dbms_fga.all_columns, AUDIT_TRAIL => dbms_fga.db, HANDLER_SCHEMA=>null, 419 HANDLER_MODULE=>null, ENABLE=>true); END; / При анализе данных детального аудита бывает полезно не только видеть запрос, выданный пользователем, но и извлеченное им значение по этому запросу. Момент анализа данных детального аудита во времени может отстоять на несколько дней от момента, когда был сделан заФиксированный детальным аудитом запрос. За эти несколько дней содержимое таблицы, к которой был сделан этот запрос, изменилось, поэтому неясно, что же именно увидел потенциальный нарушитель, выполнивший свой запрос. Установим параметр AUDIT_TRAIL политики детального аудита в значение «dbms_fga.db_extended». Conn main/main@orcl begin DBMS_FGA.DROP_POLICY( OBJECT_SCHEMA => ‘scott’, OBJECT_NAME => ‘emp’, policy_name => ‘CHK_EMPA’); end; / Затем: begin DBMS_FGA.DROP_POLICY( OBJECT_SCHEMA => ‘scott’, OBJECT_NAME => ‘emp’, policy_name => ‘CHK_EMPA’); end; / BEGIN DBMS_FGA.ADD_POLICY( OBJECT_SCHEMA => ‘scott’, OBJECT_NAME => ‘emp’, POLICY_NAME => ‘chk_empa’, AUDIT_CONDITION => ‘sal >1500’, AUDIT_COLUMN => ‘ename,sal’, STATEMENT_TYPES => ‘select, insert, update, delete’, 420 AUDIT_COLUMN_OPTS => dbms_fga.all_columns, AUDIT_TRAIL => dbms_fga.db_extended, HANDLER_SCHEMA=>null, HANDLER_MODULE=>null, ENABLE=>true); END; / DELETE FROM dba_fga_audit_trail; Выполним пользователем «FORD» запрос: Conn ford/ford@orcl SELECT * FROM scott.emp; Затем пользователем «MAIN» изменим значение столбца «sal». Conn main/maint@orcl Alter session set nls_date_format = ‘yyyy-mon-dd:HH:MI:SS’; col sql_text format a100 Update scott.emp set sal= 6000 where ename=’KING’; Commit; Теперь, если извлекать строки таблицы «emp», в строке KING зарплата будет иметь значение «6000». А что видел FORD? Выполним запрос к представлению «dba_fga_audit_trail», в котором выведем значение SCN (sytem change number – можно сказать, соответствует отсчету внутренних часов Oracle) для запроса FORD: select db_user, sql_text, timestamp,scn from dba_fga_audit_trail WHERE db_user=’FORD’; DB_USER SQL_TEXT TIMESTAM SCN ---------- -------------------------------------- ---------------------- ----------FORD SELECT*FROM scott.emp 2010-май-30:02:55:11 13705104 А теперь выполним команду, которая позволит просмотреть строки таблицы «emp» на момент с SCN=13705104, т.е. на тот момент, когда запрос делал FORD: select * from scott.emp as of SCN 13705104; EMPNO ENAME JOB MGR HIREDATE SAL COMM DEPTNO ---------- ---------- --------- ---------- -------- ---------- ---------- ---------7839 KING PRESIDENT 17.11.81 5000 10 421 Остальные строки, кроме KING-а нам неинтересны, ведь изменялось значение только в этой строке. Для того чтобы пользователь «main» мог выполнять такое извлечение прошлого состояния строки, ему была дана привилегия «FLASHBACK ANY TABLE». 3. Определение политики (правила) аудита с обработкой событий для выбранной предметной области. Проверка выполнения детального аудита с обработкой событий в соответствии с определенной политикой В предыдущих разделах этой лабораторной работы мы в числе параметров процедуры DBMS_FGA.ADD_POLICY указывали, но не задавали значения, параметры «HANDLER_SCHEM», «HANDLER_MODULE». Эти два параметра задают владельца модуля обработки данных детального аудита и название этого модуля. Создадим в схеме «main» таблицу (с незначительной корректировкой) и процедуру для обработки данных детального аудита по образцу, приведенному в книге «Oracle PL/SQL для администраторов баз данных» авторов Аруп Нанда и Стивен Фейерштейн, изданной издательством «Символ-Плюс» в 2008 году. conn main/main@orcl CREATE TABLE flagged_access ( fgasid NUMBER(20), entryid NUMBER(20), audit_date DATE, fga_policy VARCHAR2(30), db_user VARCHAR(30), os_user VARCHAR2(30), authent_type VARCHAR2(30), client_id VARCHAR2(100), client_info VARCHAR2(64), host_name VARCHAR2(54), instance_id NUMBER(2), ip VARCHAR2(30), term VARCHAR2(30), 422 schema_owner VARCHAR2(20), table_name VARCHAR2(30), sql_text VARCHAR2(64), SCN NUMBER(10) ); create or replace procedure access_flagger ( p_table_owner in varchar2, p_table_name in varchar2, p_fga_policy in varchar2 ) is l_fgasid number(20); l_entryid number(20); l_term varchar2(2000); l_db_user varchar2(30); l_os_user varchar2(30); l_authent_type varchar2(2000); l_client_id varchar2(100); l_client_info varchar2(64); l_host_name varchar2(30); l_instance_id number(2); l_ip varchar2(30); l_sql_text varchar2(4000); l_scn number; begin l_fgasid := sys_context('USERENV','SESSIONID'); l_entryid := sys_context('USERENV','ENTRYID'); l_term := sys_context('USERENV','TERMINAL'); l_db_user := sys_context('USERENV','SESSION_USER'); l_os_user := sys_context('USERENV','OS_USER'); l_authent_type := sys_context('USERENV','AUTHENTICATION_TYPE' ); l_client_id := sys_context('USERENV','CLIENT_IDENTIFIER'); l_client_info := sys_context('USERENV','CLIENT_INFO'); l_host_name := sys_context('USERENV','HOST'); 423 l_instance_id := sys_context('USERENV','INSTANCE'); l_ip := sys_context('USERENV','IP_ADDRESS'); l_sql_text := sys_context('USERENV','CURRENT_SQL'); l_scn := sys.dbms_flashback.get_system_change_number; insert into flagged_access ( fgasid, entryid, audit_date, fga_policy, db_user, os_user, authent_type, client_id, client_info, host_name, instance_id, ip, term, schema_owner, table_name, sql_text, scn ) values ( l_fgasid, l_entryid, sysdate, p_fga_policy, l_db_user, l_os_user, l_authent_type, l_client_id, l_client_info, l_host_name, l_instance_id, l_ip, 424 l_term, p_table_owner, p_table_name, l_sql_text, l_scn ); end; / Обратим внимание на то, что в созданную нами таблицу аудита вставляется информация из системного контекста, идентифицирующая атрибуты клиента, выполнившего запрос, в том числе и такая, какой нет в представлении «dba_fga_audit_trail». Для того чтобы использовать обработчик в приведенном варианте, пользователю «main» была дана привилегия, на основании которой при выполнении процедуры можно будет извлекать и записывать SCN в таблицу flagged_access: GRANT EXECUTE ON dbms_flashback TO main; Пересоздадим политику: begin DBMS_FGA.DROP_POLICY( OBJECT_SCHEMA => 'scott', OBJECT_NAME => 'emp', policy_name => 'CHK_EMPA'); end; / BEGIN DBMS_FGA.ADD_POLICY( OBJECT_SCHEMA => 'scott', OBJECT_NAME => 'emp', POLICY_NAME => 'chk_empa', AUDIT_CONDITION => 'sal >1500', AUDIT_COLUMN => 'ename,sal', STATEMENT_TYPES => 'select, insert, update, delete', AUDIT_COLUMN_OPTS => dbms_fga.all_columns, AUDIT_TRAIL => dbms_fga.db_extended, 425 HANDLER_SCHEMA=>'main', HANDLER_MODULE=>'access_flagger', ENABLE=>true); END; / col sql_text format a100 Alter session set nls_date_format = 'yyyy-mon-dd:HH:MI:SS'; select db_user, sql_text, timestamp,scn from dba_fga_audit_trail WHERE db_user='SMITH'; DB_USER SQL_TEXT TIMESTAM SCN -------------- -------------------------------------- ---------------------- ----------SMITH SELECT*FROM scott.emp 2010-май-30:08:35:12 13731785 select db_user, sql_text, audit_date,scn from flagged_access WHERE db_user='SMITH'; DB_USER SQL_TEXT AUDIT_DATE SCN -------------- -------------------------------------- ---------------------- ----------SMITH SELECT*FROM scott.emp 2010-май-30:08:35:12 13731785 C данными аудита в таблице flagged_access можно выполнять любую обработку, не затрагивая словаря базы данных. Сдача лабораторной работы Заключается в демонстрации студентом детального аудита на индивидуальной предметной области, заданной преподавателем. Студент сам создает и обеспечивает возможность демонстрации преподавателю (совокупностью скриптов) политики детального аудита в работе: А) без обработки событий детального аудита; Б) с регистрацией переменных привязки и выводимой по зарегистрированному детальным аудитом запросу на момент выполнения этого запроса; В) с обработкой событий детального аудита. В ходе выполнения скриптов студент отвечает на вопросы преподавателя в связи с их (скриптов) работой. 426 Тестовые задания к работе 16 Входной контроль 1. Укажите недостатки аудита (средствами разработчика) команды «select»: a) команды «select» не ко всем таблицам могут быть зарегистрированы этим аудитом; b) команды «select» не всех (помимо пользователя sys) могут быть зарегистрированы этим аудитом; c) триггер, используемый для такого аудита, требует длительного времени для срабатывания на команду «select»; d) триггер на команду «select» не может быть создан; e) правильных ответов нет. 2. На каком пакете построена функциональность детального аудита? a) DBMS_RLS; b) DBMS_JOB; c) DBMS_FGA; d) DBMS_OUTPUT; e) правильных ответов нет. 3. Какому пользователю принадлежит традиционный журнал аудита базы данных Oracle? a) system; b) sys; c) sysaud; d) dbsnmp; e) правильных ответов нет. 4. В какой таблице хранится традиционный журнал аудита Oracle? a) user$; b) association$; c) aud$; d) aw$; e) правильных ответов нет. 5. Через какие представления доступна пользователю информация традиционного словаря данных? a) dba_audit_trail; 427 b) dba_audit_session; c) dba_audit_objects; d) user_objects; e) Правильных ответов нет. 6. В приведенном ниже перечне укажите строки, в которых указана причина, почему детальный аудит был создан (помимо стандартного) для администраторов баз данных: a) повышение безопасности; b) анализ выполнения SQL запросов; c) эмуляция триггеров на select; d) оптимизация производительности при использовании переменных связывания; e) правильных ответов нет. 7. Для каких SQL операторов может выполняться детальный аудит? a) insert; b) update; c) delete; d) select; e) правильных ответов нет. Выходной контроль 1. Какие привилегии даются пользователю для того, чтобы он своими командами мог задействовать детальный аудит? a) GRANT connect, resource TO main; b) GRANT execute ON dbms_fga TO main; c) GRANT select ON dba_fga_audit_trail TO main; d) GRANT FLASHBACK ANY TABLE TO main; e) GRANT EXECUTE ON dbms_flashback TO main; f) правильных ответов нет. 2. В какое значение необходимо установить параметр «AUDIT_TRAIL» политики детального аудита, чтобы посмотреть данные, извлекаемые зарегистрированным детальным аудитом запросом на момент этого запроса? a) AUDIT_TRAIL => dbms_fga.db_extended; b) AUDIT_TRAIL => dbms_fga.extended; c) AUDIT_TRAIL =>extended; 428 d) AUDIT_TRAIL =>db, extended; e) AUDIT_TRAIL => dbms_fga.db, extended; f) правильных ответов нет. 3. Запросом к представлению «dba_fga_audit_trail» найден для зарегистрированного аудитом к таблице «employee» пользователя «demo»SQL запроса SCN=13705104. Каким запросом можно посмотреть значение, извлекаемое из этой таблицы запросом с найденным SCN? a) select spx.name from dba_audit_trail where SCN= 13705104; b) select * from scott.emp as of SCN 13705104; c) select action from dba_audit_session where SCN= 13705104; d) select ses$action from aud$ where SCN= 13705104; e) select * from scott.emp where SCN= 13705104; f) правильных ответов нет. 4. Пользователю дается привилегия «GRANT EXECUTE ON dbms_flashback TO main;». Какую информацию может извлекать пользователь на основании этой привилегии? a) запрос на определенный прошлый момент; b) результат запроса на определенный прошлый момент; c) SCN; d) название политики детального аудита; e) условие детального аудита; f) правильных ответов нет. 5. Пользователю дается привилегия «GRANT FLASHBACK ANY TABLE TO main;» Какую информацию может извлекать пользователь на основании этой привилегии? a) параметры политики детального аудита; b) запросы к таблицам схемы пользователя; c) результаты запросов на определенный момент в прошлом; d) извлекать информацию из всех таблиц и представлений словаря, содержащих информацию аудита; e) прошлое состояние строки таблицы в схеме пользователя; f) правильных ответов нет. 6. Задана политика детального аудита: BEGIN DBMS_FGA.ADD_POLICY( OBJECT_SCHEMA => 'scott', OBJECT_NAME => 'emp', 429 POLICY_NAME => 'chk_empa', AUDIT_CONDITION => 'sal >1500', AUDIT_COLUMN => 'ename,sal', STATEMENT_TYPES => 'select, insert, update, delete', AUDIT_COLUMN_OPTS => dbms_fga.all_columns, HANDLER_SCHEMA=>null, HANDLER_MODULE=>null, ENABLE=>true); END; / Укажите в приведенном ниже перечне запросы пользователя к таблице «emp», которые будут зарегистрированы детальном аудитом: a) SELECT ename FROM scott.emp; b) SELECT sal FROM scott.emp; c) SELECT ename, sal FROM scott.emp; d) SELECT * FROM scott.emp; e) SELECT * FROM scott.emp WHERE empno is NULL; f) правильных ответов нет. 7. Какую информацию дает столбец «sql_bind» представления «dba_fga_audit_trail»? a) текст SQL запроса с присоединенным к нему результатом; b) порядковые в сеансе номера переменных привязки; c) число символов в переменных привязки; d) связанный с SQL запросом SCN, соответствующий этому запросу; e) значения переменных привязки; f) правильных ответов нет. 430 КОНТРОЛЬ ПОДСИСТЕМЫ ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ В состав тематики входят четыре лабораторные работы (17–20). Работа 17 НАСТРОЙКА СРЕДСТВ КОНТРОЛЯ ЦЕЛОСТНОСТИ НА ОСНОВЕ ОПЕРАЦИЙ КОНТРОЛЬНОГО СУММИРОВАНИЯ Цель: получение практических навыков выполнения контроля целостности программного обеспечения и специализированных средств защиты информации от НСД с помощью программы фиксации и контроля исходного состояния программного комплекса «ФИКС-2.0.1». ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Предварительная настройка «ФИКС-2.0.1». 2. Фиксация исходного состояния. 3. Контроль целостности. 4. Моделирование нарушения целостности контролируемых ресурсов. 5. Контроль исходного состояния комплексов. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ «ФИКС 2.0.1» Назначение программы Программа фиксации и контроля исходного состояния программного комплекса (ФИКС 2.0.1) предназначена для выполнения следующих функций: • фиксации исходного состояния файлов программного комплекса; • контроля исходного состояния программного комплекса; • фиксации и контроля каталогов; • контроля различий в заданных файлах; • контроля целостности файлов программного комплекса. 431 Под «файлами программного комплекса», в зависимости от исполняемой функции (режима), могут пониматься также и записи реестра. В этом случае понятие «каталог» отождествляется с понятием «ключ реестра». Целостность информации − способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения). Настройка программы Интерфейс программы «ФИКС 2.0.1» позволяет настраивать ее для работы в различных типовых режимах с помощью двух закладок основного окна: «Настройка» и «Задание». Любая настройка программы «ФИКС 2.0.1» и работа с ней осуществляется после запуска на выполнение файла Isx_Sost.exe. или завершения отработки предыдущего задания. Закладка «Настройка». С использованием закладки «Настройка» основного окна (рис. 17.1), осуществляется настройка переключателей следующих групп и символьных полей, описанные ниже. Рис. 17.1. Внешний вид закладки «Настройка» 432 Группа переключателей «Листы отчета» предназначена для установки форматов, параметров страниц и кодирования текстовых файлов с результатами отработки заданий программой «ФИКС 2.0.1»: − если включен переключатель «Полистно», становится доступно поле для изменения параметра количества строк в странице главного отчета. Его значение необходимо задавать, исходя из способа выдачи отчета на печать. Если главный отчет предполагается выдавать с использованием MS Word, то значение выбирается, исходя из размера шрифта для печати. По умолчанию задан параметр, рассчитанный на выдачу сформированного отчета в MS Word шрифтом Courier New Cyr размером 7; − если включен переключатель «Кодировать файлы», кодируются некоторые служебные текстовые файлы для исключения возможного ручного вмешательства в них. При выключенном переключателе файлы не кодируются; − в поле параметра «Ширина» задается максимальная ширина столбца, в котором отображаются имена контролируемых файлов в таблице главного отчета. Если длина имени файла превышает заданную ширину столбца, то имя в отчете разрывается и его остаток размещается справа от таблицы отчета в той же строке; − переключатель «Строка» позволяет получать доступ к отдельным строкам информации, находящимся в некоторых окнах на закладках основной формы. Если он включен, то при двух следующих подряд отдельных кликах (не двойной клик!) на строке некоторого окна появляется элемент редактирования этой строки, из которого можно, например, копировать информацию в буфер обмена; − если включен переключатель «Сокр. Ктлг.», то в текстовом файле главного отчета и в его отображении на закладке «Гл. Отчет» допускается сокращать имена каталогов, если они не помещаются в отведенное поле. В этом случае главный отчет не может служить в качестве эталонного списка имен файлов и их контрольных сумм для последующего контроля целостности исследуемого программного комплекса; − если включен переключатель «EXCEL», то в дополнение к текстовому файлу главный отчет формируется в *.csv-формате для 433 дальнейшего экспортирования в MS Excel (только в режиме «Фиксация версии»); − если включен переключатель «БД», то формируется специальная пара файлов с расширениями *.SCH и *.TXT для последующей загрузки в базу данных (только в режиме «Фиксация версии»); − «ФИКС 2.0.1» выдает также результаты отработки задания в файлы формата HTML. Управление форматом *.html-файлов осуществляется с помощью конфигурационного файла _HTML_ Reports.cfg. Группа переключателей «Расширения файлов» («Маски файлов»), название которой зависит от включенной в ней кнопки «Для счета строк» («Для полного учета»), предназначена для указания параметров фильтрации файлов при их выборе на обработку программой «ФИКС 2.0.1» и дополнительно содержит следующие подгруппы переключателей «По умолч.» и «Доп.»: − если включен переключатель «Для счета строк», то в текстовом поле выбора можно задать расширения файлов, для которых в главном отчете должна дополнительно указываться их длина в строках текста. В подгруппе переключателей «По умолч.» можно указать или изменить набор из типовых расширений текстовых файлов, которые будут использоваться программой «ФИКС 2.0.1» по умолчанию; − если включен переключатель «Для полного учета», то в текстовом поле можно задать список масок, которым должны удовлетворять файлы, включаемые или исключаемые из обработки программой «ФИКС 2.0.1». Если в подгруппе переключателей «Доп.» включена кнопка «T.», то обрабатываются файлы, ТОЛЬКО удовлетворяющие какой-либо из заданных масок. Если нажата кнопка «K.», то, наоборот, обрабатываются все файлы, КРОМЕ удовлетворяющих какой-либо из заданных масок (рис. 17.2); − пиктограммы позволяют загружать /сохранять файлы с расширениями (масками), добавлять /исключать расширения (маски) файлов из текущего списка, а также обрабатывать файлы, созданные в заданный промежуток времени 434 . Рис. 17.2. Внешний вид закладки «Настройка» при включенной кнопке «Для полного учета» Группа переключателей «Подсказка» предназначена для включения контекстных подсказок или их исключения, а также для задания или отмены выдачи уточняющих запросов пользователю во время работы. Группа переключателей «Повтор» позволяет определить для работы программы «ФИКС 2.0.1» в данном режиме использование упорядоченных списков сканирования файлов и/или каталогов, полученных ранее, без повторного сканирования каталогов и списка файлов того же самого исследуемого программного комплекса. Группа переключателей «Конфигурация» позволяет сохранять, загружать сохраненные или восстанавливать установленные в программе по умолчанию состояния переключателей и кнопок на закладках «Задание» и «Настройка». Выбранное действие производится после нажатия кнопки «Применить». Кнопка «Engl-1»/«Rus»/«Engl-2» позволяет переключить язык основных надписей над объектами окна и форм программы «ФИКС 2.0.1» (русский, английский, русский латиницей). Поле выпадающего списка «Задать» позволяет определить полный путь, в каталоге нижнего уровня которого будет создаваться 435 подкаталог для записи результатов работы программы «ФИКС 2.0.1». Поле выпадающего списка «Выбрать» позволяет задать (выбрать) имя подкаталога для записи результатов работы программы «ФИКС 2.0.1». Закладка «Задание». С использованием закладки «Задание» основного окна (рис. 17.3) настраиваются переключатели следующих групп и символьные поля, описанные ниже. Основной группой переключателей является «Режим», которая содержит пять кнопок, задающих основные режимы обработки контролируемого программного комплекса и внешний вид закладки: «Фиксация версии», «Кнтрл. Целостности», «Фикс./Конт. ктлг.», «Сравнение версий», «Сравнение файлов». Рис. 17.3. Внешний вид закладки «Задание» Режим «Фиксация версии», включаемый соответствующей кнопкой, определяет задание работы программы «ФИКС 2.0.1» по первоначальному контрольному суммированию (Фиксации) файлов программного комплекса. При этом дополнительно доступны группы переключателей «Комплекс», «Алгоритм КС», «К выбору файлов», а также: 436 − переключатель «Выбор файлов» − используется для поиска и дополнительного указания файлов исследуемого комплекса, размещенных в заранее подготовленных списках или задаваемых в диалоге; − переключатель «Поиск дублей» − используется для поиска файлов, имеющих одинаковые контрольные суммы и/или одинаковые имена после завершения их контрольного суммирования; − переключатель «Уточнение» − используется для исключения из контрольного суммирования отдельных файлов или какой-либо информации внутри файлов; − переключатель «Семантика» − используется для формирования дополнительной контрольной суммы КС-2, которая рассчитывается для файлов некоторых типов; − переключатель «Zip» − используется для обработки списка файлов, находящихся в упакованном формате .zip и .arj; − переключатель «Sorted» − используется для задания сортировки каталогов и файлов в отчетных документах. Группа переключателей «Комплекс» содержит две кнопки «OLD» или «NEW» для присвоения комплексу, подлежащему контрольному суммированию, некоторого условного статуса. Группа переключателей «Алгоритм КС» содержит четыре кнопки «ВКС», «Уровень-1», «Уровень-2», «Уровень-3», а также переключатель «No», определяющие выбор алгоритма контрольного суммирования или его отмену. Используются четыре различных алгоритма контрольного суммирования: − взвешенное контрольное суммирование (ВКС), длина контрольной суммы − 32 бита; − алгоритм «Уровень-1» , длина контрольной суммы − 32 бита; − алгоритм «Уровень-2» , длина контрольной суммы − 136 бит; − алгоритм «Уровень-3» , длина контрольной суммы − 32…256 бит. Группа переключателей «Код» содержит две кнопки «Const» или «Задать», определяющие для алгоритмов «Уровень-x» способ задания значений констант для начальных кодов генерации – вручную или по умолчанию. Для алгоритма «Уровень-3» становится доступно поле для изменения параметра количества 32-битных разрядов в контрольной сумме (от 1 до 8). 437 Поле отображения «Контролируемые файлы» предназначено для выбора каталогов и файлов, подлежащих контрольному суммированию, формирования специального файла проекта. Это поле определяет основной способ задания файлов для программы «ФИКС 2.0.1». Слева над полем имеется кнопка-индикатор наличия текущего проекта; Группа переключателей «К выбору файлов» доступна при включенном переключателе «Выбор файлов». Она содержит две группы кнопок «Список» и «Вручную», которые определяют дополнительный способ задания файлов для контрольного суммирования. Режим «Контроль целостности», включаемый соответствующей кнопкой (рис. 17.4), определяет задание работы программы «ФИКС 2.0.1» по выполнению контрольного суммирования файлов программного комплекса и сравнению полученных результатов с эталонными контрольными суммами. В этом режиме доступны переключатели «Периодически» и «Полнота». Переключатель «Периодически» делает дополнительно доступными группы переключателей «Параметры» и «Реакция» для выбора параметров автоматического периодического запуска работы программы «ФИКС 2.0.1» в данном режиме. Рис. 17.4. Внешний вид закладки «Задание» при включенной кнопке «Контроль целостности» 438 Группа переключателей «Параметры» содержит два переключателя «Свернуть в Tray», «Автозапуск» и символьное поле «Период», определяющих возможности автоматического запуска программы «ФИКС 2.0.1» при загрузке операционной системы. Группа переключателей «Реакция» содержит три переключателя «Звук», «Протокол» и «Диалог», которые определяют соответствующие дополнительные параметры в случае не нормы результата при периодическом контроле программного комплекса. При установке переключателя «Полнота» предполагается, что в эталонный отчет были включены все файлы просуммированных каталогов. В этом случае программа производит поиск не только измененных и отсутствующих файлов в текущем каталоге, но и добавленных в этот каталог файлов. Режим «Фикс./Конт.ктлг.», включаемый соответствующей кнопкой, определяет задание работы программы «ФИКС 2.0.1» по выполнению первоначального контрольного суммирования и/или контролю целостности файлов программного комплекса с учетом их размещения по каталогам (рис. 17.5). Рис. 17.5. Внешний вид закладки «Задание» при включенной кнопке «Фикс./Конт.ктлг.» В этом режиме результаты фиксации записываются в каждый проконтролированный каталог в виде скрытого файла с именем $.$. 439 При последующем контроле каталогов осуществляется сверка вновь полученных результатов контрольного суммирования с записанными ранее в файле $.$. В этом режиме доступны группа переключателей «Подрежим» и Поле отображения «Контролируемые файлы». Группа переключателей «Подрежим» содержит переключатель «Фиксация», «Контроль» и «~», которые используются для задания соответствующих подрежимов режима «Фикс./Конт.ктлг.». Режим «Сравнение версий», включаемый соответствующей кнопкой (рис. 17.6), определяет задание работы программы «ФИКС 2.0.1» по выполнению сравнения двух версий программного комплекса, заФиксированных ранее в режиме «Фиксация версии». В этом режиме контрольное суммирование файлов не производится, а все сравнение осуществляется на основе информации, полученной ранее в режиме Фиксации. В этом режиме доступен переключатель «С учетом каталогов», включение которого делает дополнительно доступным группу кнопок «Уровень», и «По Гл. Отчету». Рис. 17.6. Внешний вид закладки «Задание» при включенной кнопке «Сравнение версий» Группа переключателей «Уровень» содержит кнопки «1», «2», «3» «=», определяющие для файлов, которые подлежат сравнению, 440 части полного пути доступа, которые присоединяются к имени файла для его идентификации, переключатель «Ktlg» для выдачи отчета о результатах сравнения на уровне каталогов, и переключатель «Ext» для получения отчета по расширениям сравниваемых файлов. Переключатель «По Гл. Отчету» определяет, что в качестве исходных данных для сравнения двух версий программных комплексов используется содержимое соответствующих главных отчетов, полученных ранее. В противном случае (определено по умолчанию) сравнение осуществляется по информации файлов 4.old и 4.new, полученных ранее в режиме Фиксации. Режим «Сравнение файлов», включаемый соответствующей кнопкой, определяет задание работы программы «ФИКС 2.0.1» по выполнению сравнения заданной пары файлов (рис.17.7). Задание файлов и режимов работы осуществляется после нажатия кнопки «Пуск». Рис. 17.7. Внешний вид закладки «Задание» при включенной кнопке «Сравнение файлов» В процессе работы программы «ФИКС 2.0.1» заполняются поля закладок «Файлы», «Гл.Отчет», «Отчет1», «Отчет2», «Сообщения». 441 Режимы функционирования Фиксация исходного состояния комплекса на машинном носителе заключается в вычислении для каждого файла исследуемого программного комплекса контрольной суммы и формировании соответствующих отчетов и рабочих файлов, в которых Фиксируются полученные контрольные суммы. Результаты Фиксации исходного состояния с рабочими файлами и файлом главного отчета записываются в каталог, определяемый пользователем. Ряд рабочих файлов имеют атрибут «скрытый» и предназначены для последующей реализации режима контроля исходного состояния или режима сравнения версий исследуемого программного комплекса. Основным способом определения перечня файлов для контрольного суммирования программного комплекса является проект. Проект создается пользователем или выбирается из уже существующих (ранее созданных) файлов проектов с помощью всплывающих меню поля «Контролируемые файлы» на закладке «Задание». Если в проект предполагается поместить только один элемент выбора поля «Контролируемые файлы», то допускается не помещать его предварительно в проект, а сразу после выбора нажать кнопку «Пуск». Если проект создан, то программа работает по проекту, независимо от того, что в данный момент выбрано в дереве каталогов в поле «Контролируемые файлы». Следует особо отметить, что если окно с проектом закрыть с помощью кнопки-индикатора или кнопки управления окном, то это не означает, что проект перестал существовать, он лишь скрыт от пользователя. Существование проекта в данном случае подтверждается зеленым или красным цветом кнопки-индикатора, над левым верхним углом поля «Контролируемые файлы». Зеленый цвет кнопки-индикатора означает, что проект создан пользователем, красный цвет означает, что проект создан пользователем и скорректирован программой. Программа корректирует проект, добавляя в него файлы, заданные списком и вручную, при установленном переключателе «Выбор файлов». По завершении выполнения режима Фиксации текущий проект записывается в каталог с результатами. 442 Если каталог для записи результатов уже существует, то имеющиеся в нем отчеты и рабочие файлы будут замещены текущими. Контроль целостности. Контроль целостности файлов программного комплекса на машинном носителе заключается в вычислении для каждого файла исследуемого программного комплекса контрольной суммы и сравнении ее с полученной ранее и заФиксированной в главном отчете, принимаемом за эталонный. Фиксация и контроль каталогов. Режим Фиксации и контроля каталогов «Фикс/Контр.ктлг» целесообразно применять для поиска изменений в каталогах программного комплекса. Отличие данного режима от режимов «Фиксация версии» и «Контроль целостности» состоит в том, что все файлы отчетов работы программы «ФИКС 2.0.1» записываются не только в каталог результатов, но и в каждый каталог исследуемого программного комплекса в файл с именем $.$. Контроль исходного состояния комплексов. Контроль исходного состояния заключается в проверке факта наличия или отсутствия изменений в файлах текущей версии исследуемого программного комплекса и предыдущей версии того же программного комплекса. Данный режим может быть выполнен только в случае, если предварительно дважды выполнен режим Фиксации исходного состояния комплексов. Сравнение файлов. Данный режим может быть выполнен только в случае, если предварительно дважды выполнен режим Фиксации исходного состояния файлов с одинаковыми значениями преФикса и одинаковыми алгоритмами контрольного суммирования. Одна Фиксация должна быть выполнена с включенным переключателем «OLD», вторая − с включенным переключателем «NEW» в группе элементов «Комплекс» на закладке «Задание». Данный режим позволяет в диалоге просмотреть все изменения в заданной паре файлов. МЕТОДИКА И ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ 1. Предварительная настройка «Фикс-2.0.1» 1. Запустите «Фикс-2.0.1» (запустить на выполнение файл Isx_Sost.exe). 443 2. Перейдите на вкладку «Настройки». 3. В поле «Конфигурация» выберите «Умолчание» и нажмите кнопку «Применить». 4. В качестве имя подкаталога для записи результатов работы программы укажите свою фамилию и определите полный путь, в каталоге нижнего уровня которого будет создаваться подкаталог для записи результатов работы программы «ФИКС 2.0.1». 5. Сравните заданные вами настройки с рис. 17.8. Рис. 17.8. Настройка «Фикс-2.0.1» 2. Фиксация исходного состояния 1. Перейдите на вкладку «Задание». 2. В группе элементов «Алгоритм КС» задайте алгоритм контрольного суммирования «ВКС» (взвешенное контрольное суммирование, длина контрольной суммы − 32 бита). 3. В группе элементов «Комплекс» выберите «Old». 4. В поле «Контролируемые файлы» найдите каталог программы «Фикс-2.0.1» (...\fix-2.0.1), выделите его и нажмите правую кла444 вишу мыши. В появившемся контекстном меню сначала выберите пункты «Проект...», «Создать» для создания нового проект, а потом (в том же контекстном меню) «Добавить в проект…», «с подкаталогами» для добавления «Фикс-2.0.1» в проект. 5. Сохраните созданный проект в каталоге программы, указав в качестве имени проекта свою фамилию: «Проект...», «Сохранить». 6. Затем нажмите кнопку «Пуск». 7. Изучите содержание вкладок «Гл.Отчет», «Отчет1», «Отчет2» и «Сообщения». 3. Контроль целостности 1. На вкладке «Задание» выберите «Кнтрл. целостности» и произведите все необходимые настройки, в соответствии с рис. 17.9. Рис. 17.9. Контроль целостности 2. Затем нажмите «Пуск». В появившемся диалоговом окне откройте файл «Report_Old.isx» (…\FixResult\<Фамилия>\ Report_ Old.isx). 445 3. Изучите полученный отчёт. Для файла, изменившего контрольную сумму, по сравнению с данными эталонного отчета, в новом главном отчете формируется две одинаковые строки, отличающиеся только контрольными суммами. Одна строка помечается символом «#» и содержит новое значение суммы, следующая за ней строка помечается символами «##» и содержит прежнее значение контрольной суммы. Строки с отсутствующими файлами помечаются символами «–». 4. Перезагрузите компьютер и убедитесь в том, что при загрузке системы автоматически проверяется целостность контролируемых ресурсов и выводится отчет. 4. Моделирование нарушения целостности контролируемых ресурсов 1. Еще раз зафиксируйте исходное состояние, загрузив ранее созданный проект (пункт «Фиксация исходного состояния»). 2. Удалите из каталога результатов файл «Report_Old_0.html». 3. Внесите произвольные изменения в файл «Report_Old.csv». 4. Перезагрузите компьютер и изучите полученные отчёты. 5. Контроль исходного состояния комплексов 1. Аналогично пункту «Фиксация исходного состояния» заФиксируйте новую версию, указав в качестве статуса комплекса «New» и загрузив ранее созданный проект. 2. На вкладке «Задание » выберите «Сравнение версий». 3. Установите галочку напротив поля «По Гл. Отчету». 4. Нажмите кнопку «Пуск». 5. В появившемся диалоговом окне выберите сначала файл нового отчета «Report_New.isx», а затем – старого «Report_Old.isx». 6. Изучите полученные отчеты. Подготовка отчета 1. В отчёте кратко опишите выполненные действия. 2. Приведите анализ полученных в работе результатов. 3. Затем в качестве полученных результатов приложите html файлы отчетов из каталога «...\FixResult\<Фамилия>\». 446 Тестовые задания к работе № 17 Входной контроль 1. Целостность информациио: a) это состояние информации, при котором она остается неизменной в условиях случайного и (или) преднамеренного искажения (разрушения); b) это способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения); c) нет верного ответа. 2. К основным функциям программы «ФИКС 2.0.1» относятся: a) фиксация и контроль каталогов; b) подсчёт контрольных сумм; c) фиксация исходного состояния записей реестра; d) контроль исходного состояния программного комплекса; e) создание базы эталонных контрольных сумм. 3. Настройка программы «ФИКС 2.0.1» осуществляется с помощью двух закладок основного окна: a) «Настройка» и «Файлы»; b) «Отчёт1» и «Отчёт2»; c) «Задание» и «Настройка»; d) «Файлы» и «Задание». 4. Для указания параметров фильтрации файлов при их выборе на обработку программой «ФИКС 2.0.1» предназначена: a) группа переключателей «Расширения файлов» («Маски файлов»); b) группа переключателей «Листы отчета»; c) группа переключателей «Конфигурация»; d) группа переключателей «К выбору файлов». 5. Группа переключателей «Подсказка» предназначена для: a) включения контекстных подсказок; b) задания выдачи уточняющих запросов пользователю во время работы; 447 c) отмены выдачи уточняющих запросов пользователю во время работы; d) исключения контекстных подсказок. 6. Основные режимы обработки контролируемого программного комплекса: a) «Фиксация версии»; b) «Кнтрл. Целостности»; c) «Фикс./Конт.ктлг.»; d) «Фикс./Конт.фйлв.»; e) «Сравнение версий»; f) «Сравнение файлов». 7. Контроль целостности файлов программного комплекса на машинном носителе заключается: a) в вычислении для каждого файла исследуемого программного комплекса контрольной суммы и сравнении ее с эталонной; b) в проверке для каждого файла исследуемого программного комплекса совпадения имен и размеров с эталонными; c) нет верного ответа. 8. Для различных алгоритмов контрольного суммирования, используемых в программе «ФИКС 2.0.1», длина контрольной суммы не может быть равной: d) 256 бит; a) 16 бит; e) 512 бит; b) 32 бита; f) 2048 бит. c) 136 бит; 9. Группа переключателей «Комплекс» содержит две кнопки «OLD» или «NEW»: a) для выбора соответствующего комплекса (старого или нового) и проведения контрольного суммирования; b) для присвоения комплексу, подлежащему контрольному суммированию, некоторого условного статуса; c) нет верного ответа. 10. Переключатель «По Гл. Отчету» (в режиме «Сравнение версий») определяет, что в качестве исходных данных для сравнения двух версий программных комплексов используется: a) содержимое соответствующих главных отчетов, которые будут получены в процессе выполнения сравнения версий; 448 b) информация из файлов 4.old и 4.new, полученных ранее в режиме Фиксации; c) нет верного ответа. Выходной контроль 1. В программе «ФИКС 2.0.1» сравнение файлов может быть выполнено только в случае: a) если предварительно выполнен режим фиксации исходного состояния файлов; b) если предварительно выполнен режим фиксации исходного состояния каталогов; c) если предварительно выполнена фиксация версии; d) нет верного ответа. 2. Режим фиксации и контроля каталогов целесообразно применять: a) для поиска изменений в каталогах программного комплекса; b) для поиска ошибок в каталогах программного комплекса; c) нет верного ответа. 3. В процессе своей работы программа «ФИКС 2.0.1» не заполняет поля закладок: a) «Задание»; b) «Файлы»; c) «Гл.Отчет»; d) «Отчет1»; e) «Отчет2»; f) «Сообщения». 4. Результаты фиксации исходного состояния с рабочими файлами и файлом главного отчета записываются: a) в каталог, определяемый пользователем; b) в каталог, определяемый программой «ФИКС 2.0.1»; c) в каталог, определяемый операционной системой; d) нет верного ответа. 5. Ряд рабочих файлов программы «ФИКС 2.0.1» имеют атрибут «скрытый» и предназначены: a) для режима сравнения версий исследуемого программного комплекса; b) для хранения скрытых служебных данных (логины и пароли); 449 c) для последующей реализации режима контроля исходного состояния; d) нет верного ответа. 6. Проверка факта наличия или отсутствия изменений в файлах текущей версии исследуемого программного комплекса и предыдущей версии того же программного комплекса реализуется с помощью: a) контроля целостности; b) фиксации исходного состояния; c) контроля исходного состояния комплексов; d) сравнения файлов; e) нет верного ответа. 7. Символами «−−» в отчёте помечаются файлы: a) которые отсутствуют; b) которые изменились; c) которые не изменились; d) нет верного ответа. 8. Символами «#» и «##» в отчёте помечаются файлы: a) которые отсутствуют; b) которые изменились; c) которые не изменились; d) нет верного ответа. 9. Автоматический запуск работы программы «ФИКС 2.0.1» осуществляется в режиме «Контроль целостности» с помощью переключателя: a) «автоматически»; b) «полнота»; c) «периодически»; d) нет верного ответа. 10. Алгоритм контрольного суммирования «ВКС»: a) это контрольное суммирование по алгоритму Верхоффа, длина контрольной суммы – 64 бита; b) это взвешенное контрольное суммирование, длина контрольной суммы – 64 бита; c) это контрольное суммирование по алгоритму Верхоффа, длина контрольной суммы – 32 бита; d) это взвешенное контрольное суммирование, длина контрольной суммы – 32 бита. 450 Работа 18 КОНТРОЛЬ НАСТРОЕК И РАБОТЫ АНТИВИРУСНЫХ СРЕДСТВ Цель: получение навыков выполнения контроля настроек и работы антивирусных средств на примере программы «Антивирус Касперского 7.0». ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. Настройка Файлового Антивируса. 2. Настройка Почтового Антивируса. 3. Настройка Web-Антивируса. 4. Настройка Проактивной защиты. 5. Тестирование работоспособности антивируса. 6. Контроль целостности приложения. АНТИВИРУСНАЯ ЗАЩИТА Файловый Антивирус В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения − Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые файлы. По умолчанию Файловый Антивирус проверяет только новые или измененные файлы, т.е. файлы, которые добавились или изменились со времени последнего обращения к ним. Процесс проверки файла выполняется по следующему алгоритму: 1. Обращение пользователя или некоторой программы к каждому файлу перехватывается компонентом. 2. Файловый Антивирус проверяет наличие информации о перехваченном файле в базе iChecker™ и iSwift™. На основании полученной информации принимается решение о необходимости проверки файла. 451 Процесс проверки включает следующие действия: 1. Файл анализируется на присутствие вирусов. Распознавание вредоносных объектов происходит на основании баз приложения. Базы содержат описание всех известных на настоящий момент вредоносных программ, угроз, сетевых атак и способов их обезвреживания. 2. В результате анализа возможны следующие варианты поведения приложения: • если в файле обнаружен вредоносный код, Файловый Антивирус блокирует файл, помещает его копию в резервное хранилище и пытается вылечить файл. В результате успешного лечения файл становится доступным для работы, если же лечение произвести не удалось, файл удаляется; • если в файле обнаружен код, похожий на вредоносный, но стопроцентной гарантии этого нет, файл подвергается лечению и помещается в специальное хранилище − карантин; • если в файле не обнаружено вредоносного кода, он сразу же становится доступным для работы. То, каким образом осуществляется защита файлов на компьютере, определяется набором параметров. Их можно разбить на следующие группы: • параметры, определяющие типы файлов, подвергаемые анализу на вирусы; • параметры, формирующие защищаемую область; • параметры, задающие список файлов, которые не проверяются Файловым Антивирусом; • параметры, определяющие использование методов эвристического анализа Файловым Антивирусом; • дополнительные параметры работы Файлового Антивируса. Почтовый Антивирус В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту входящей и исходящей почты на наличие опасных объектов, − Почтовый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все почтовые сообщения 452 по протоколам POP3, SMTP, IMAP, MAPI1 и NNTP, а также через защищенные соединения (SSL) по протоколам POP3 и IMAP. По умолчанию защита почты осуществляется по следующему алгоритму: 1. Каждое письмо, принимаемое или отправляемое пользователем, перехватывается Почтовым Антивирусом. 2. Почтовое сообщение разбирается на составляющие его части: заголовок письма, тело, вложения. 3. Тело и вложения почтового сообщения (в том числе вложенные OLE-объекты) проверяются на присутствие в нем опасных объектов. Распознавание вредоносных объектов происходит на основании баз, используемых в работе приложения, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах. 4. В результате проверки на вирусы возможны следующие варианты поведения: • если тело или вложение письма содержит вредоносный код, Почтовый Антивирус блокирует письмо, помещает копию зараженного объекта в резервное хранилище и пытается обезвредить объект. В результате успешного лечения письмо становится доступным для пользователя, если же лечение произвести не удалось, зараженный объект из письма удаляется. В результате антивирусной обработки в тему письма помещается специальный текст, уведомляющий о том, что письмо обработано Антивирусом Касперского; • если тело или вложение письма содержит код, похожий на вредоносный, но стопроцентной гарантии этого нет, подозрительная часть письма помещается в специальное хранилище − карантин; • если в письме не обнаружено вредоносного кода, оно сразу же становится доступным для пользователя. Правила, по которым осуществляется проверка почты, определяются набором параметров. Их можно разбить на следующие группы: • параметры, определяющие защищаемый поток сообщений; 453 • параметры, задающие список объектов, которые не проверяются Почтовым Антивирусом; • параметры, определяющие использование методов эвристического анализа Почтовым Антивирусом; • параметры, определяющие действия над опасными объектами почтовых сообщений. Web-Антивирус Для обеспечения безопасности работы в интернете Антивирус Касперского включает специальный компонент − Web-Антивирус. Он защищает информацию, поступающую на компьютер по HTTPпротоколу, а также предотвращает запуск на компьютере опасных скриптов. Web-Антивирус состоит из двух модулей, обеспечивающих: защиту HTTP-трафика − проверку всех объектов, поступающих на компьютер пользователя по протоколу HTTP; проверку скриптов – проверку всех скриптов, обрабатываемых в Microsoft Internet Explorer, а также любых WSH-скриптов (JavaScript, Visual Basic Script и др.), запускаемых при работе пользователя на компьютере, в том числе и в интернете. Защита HTTP-трафика обеспечивается по следующему алгоритму: 1. Каждая Web-страница или файл, к которому происходит обращение пользователя или некоторой программы по протоколу HTTP, перехватывается и анализируется Web-Антивирусом на присутствие вредоносного кода. Распознавание вредоносных объектов происходит на основании баз, используемых в работе Антивируса Касперского, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах. 2. В результате анализа возможны следующие варианты поведения: • если Web-страница или объект, к которому обращается пользователь, содержат вредоносный код, доступ к нему блокируется; 454 • если файл или Web-страница не содержат вредоносного кода, они сразу же становятся доступны для пользователя. Проверка скриптов выполняется по следующему алгоритму: 1. Каждый запускаемый на Web-странице скрипт перехватывается Web-Антивирусом и анализируется на присутствие вредоносного кода. 2. Если скрипт содержит вредоносный код, Web-Антивирус блокирует его. 3. Если в скрипте не обнаружено вредоносного кода, он выполняется. Пользователь может настроить ряд параметров WebАнтивируса, направленных на повышение скорости работы компонента, а именно: • определить алгоритм проверки, выбрав использование полного или ограниченного набора баз приложения; • сформировать список адресов, содержанию которых вы доверяете. Помимо этого пользователь может выбрать действие над опасным объектом HTTP-трафика, которое будет выполнять WebАнтивирус. Проактивная защита Антивирус Касперского защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах приложения. Это обеспечивает специально разработанный компонент − Проактивная защита. Превентивные технологии, на которых построена Проактивная защита Антивируса Касперского, позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред компьютеру. За счет чего это достигается? В отличие от реактивных технологий, где анализ выполняется на основании записей баз приложений, превентивные технологии распознают новую угрозу на компьютере по последовательности действий, выполняемой некоторой программой. В поставку программы включен набор критериев, позволяющих определять, насколько активность той или иной программы опасна. Если в результате анализа активности последовательность действий какой-либо программы вызывает подозрение, 455 Антивирус Касперского применяет действие, заданное правилом для активности подобного рода. Опасная активность определяется по совокупности действий программы. Например, при обнаружении таких действий как самокопирование некоторой программы на сетевые ресурсы, в каталог автозапуска, системный реестр, а также последующая рассылка копий, можно с большой долей вероятности предположить, что это программа – червь. К опасным действиям также относятся: • изменения файловой системы; • встраивание модулей в другие процессы; • скрытие процессов в системе; • изменение определенных ключей системного реестра Microsoft Windows. Все опасные операции отслеживаются и блокируются Проактивной защитой. В процессе работы Проактивная защита использует набор правил, включенных в поставку программы, а также сформированных пользователем при работе с приложением. Правило – это набор критериев, определяющих совокупность подозрительных действий и реакцию Антивируса Касперского на них. Отдельные правила предусмотрены для активности приложений, контроля изменений системного реестра и запускаемых на компьютере программ. Пользователь может изменять правила по своему усмотрению, добавляя, удаляя или изменяя их. Правила могут быть запрещающими или разрешающими. Рассмотрим алгоритм работы Проактивной защиты. 1. Сразу после запуска компьютера Проактивная защита анализирует следующие аспекты: • действия каждого запускаемого на компьютере приложения. История выполняемых действий и их последовательность Фиксируется и сравнивается с последовательностью, характерной для опасной активности (база видов опасной активности включена в поставку Антивируса Касперского и обновляется вместе с базами приложения); • целостность программных модулей установленных на компьютере приложений, что позволяет избежать подмены модулей приложения, встраивания в них вредоносного кода; • каждую попытку изменения системного реестра (удаление, добавление ключей системного реестра, ввод значений для ключей в 456 недопустимом формате, препятствующем их просмотру и редактированию, и т.д.); 2. Анализ производится на основании разрешающих и запрещающих правил Проактивной защиты. 3. В результате анализа возможны следующие варианты поведения: • если активность удовлетворяет условиям разрешающего правила Проактивной защиты, либо не подпадает ни под одно запрещающее правило, она не блокируется; • если активность описана в запрещающем правиле, дальнейшая последовательность действий компонента соответствует инструкциям, указанным в правиле. Обычно такая активность блокируется. На экран выводится уведомление, где указывается приложение, тип его активности, история выполненных действий. Пользователю нужно самостоятельно принять решение, запретить или разрешить такую активность. Вы можете создать правило для такой активности и отменить выполненные действия в системе. Проактивная защита осуществляется в строгом соответствии с параметрами, определяющими: 1) подвергается ли контролю активность приложений на компьютере. Такой режим работы Проактивной защиты регулируется флажком «Включить анализ активности». По умолчанию режим включен, что обеспечивает строгий анализ действий любой программы, запускаемой на компьютере. Выделен набор опасной активности, для каждой из которых вы можете настроить порядок обработки приложений с такой активностью. Также предусмотрена возможность формирования исключений Проактивной защиты, где пользователь может отменить контроль активности избранных приложений; 2) включен ли контроль целостности приложений. Данная функциональность отвечает за целостность модулей установленных на компьютере приложений и регулируется флажком «Включить контроль целостности». Целостность отслеживается по составу модулей приложения и контрольной сумме образа самого приложения. Пользователь может сформировать правила контроля над целостностью модулей какого-либо приложения, для этого необходимо внести это приложение в список контролируемых; 457 3) обеспечивается ли контроль изменений системного реестра. По умолчанию флажок «Включить мониторинг системного реестра» установлен, а значит, Антивирус Касперского анализирует все попытки внести изменения в контролируемые ключи системного реестра Microsoft Windows. МЕТОДИКА И ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ 1. Настройка Файлового Антивируса 1. Откройте главное окно программы «Антивирус Касперского 7.0». 2. Нажмите кнопку «Настройка», находящуюся в нижней части главного окна. 3. В появившемся окне настроек (рис. 18.1) выберите пункт «Файловый Антивирус». Рис. 18.1. Окно настроек антивируса 458 4. Убедитесь, что установлен флажок «Включить Файловый Антивирус» и что в качестве «Действия» выбрано «Запросить действие». Такие настройки обеспечивают следующее: • Файловый Антивирус работает; • при обнаружении опасности пользователю будет предоставлена возможность самому выбрать необходимые действия. 5. Нажмите на кнопку «Настройка», в появившемся окне настроек Файлового Антивируса изучите возможные варианты настроек на всех вкладках. 6. Попробуйте изменять произвольным образом данные настройки и проследите, как в зависимости от установленных настроек меняется производительность программы. 7. Проанализируйте полученную информацию. 8. Нажмите кнопку «ОК» окна «Настройка: Файловый антивирус» для того чтобы закрыть его, а затем нажмите кнопку «По умолчанию», таким образом будут восстановлены стандартные настройки Файлового Антивируса. 2. Настройка Почтового Антивируса 1. Откройте главное окно программы «Антивирус Касперского 7.0». 2. Нажмите кнопку «Настройка», находящуюся в нижней части главного окна. 3. В появившемся окне настроек выберите пункт «Почтовый Антивирус». 4. Убедитесь, что установлен флажок «Включить Почтовый Антивирус», что в качестве «Действия» выбрано «Запросить действие» и что установлены все флажки в пункте «Встраивание в систему». Такие настройки обеспечивают следующее: • Почтовый Антивирус работает; • при обнаружении опасности пользователю будет предоставлена возможность самому выбрать необходимые действия; • проверяются все почтовые сообщения вне зависимости от почтового клиента; • используется специальный модуль для почтовых клиентов «Microsoft Office Outlook» и «The Bat!». 459 5. Нажмите на кнопку «Настройка», в появившемся окне настроек Почтового Антивируса изучите возможные варианты настроек на всех вкладках. 6. Проанализируйте полученную информацию. 7. Нажмите кнопку «Отмена» окна «Настройка: Почтовый антивирус» для того чтобы закрыть его. 3. Настройка Web-Антивируса 1. Откройте главное окно программы «Антивирус Касперского 7.0». 2. Нажмите кнопку «Настройка», находящуюся в нижней части главного окна. 3. В появившемся окне настроек выберите пункт «WebАнтивирус». 4. Убедитесь, что установлен флажок «Включить WebАнтивирус», что в качестве «Действия» выбрано «Запросить действие» и что установлены все флажки в пункте «Встраивание в систему». Такие настройки обеспечивают следующее: • Web-Антивирус работает; • при обнаружении опасности пользователю будет предоставлена возможность самому выбрать необходимые действия; • проверяется весь трафик, передаваемый по протоколу HTTP; • используется специальный встраиваемый модуль для «Microsoft Internet Explorer». 5. Нажмите на кнопку «Настройка», в появившемся окне настроек Web-Антивируса изучите возможные варианты настроек на всех вкладках. 6. Проанализируйте полученную информацию. 7. Нажмите кнопку «Отмена» окна «Настройка: WebАнтивирус», для того чтобы закрыть его. 4. Настройка Проактивной защиты 1. Откройте главное окно программы «Антивирус Касперского 7.0». 2. Нажмите кнопку «Настройка», находящуюся в нижней части главного окна. 460 3. В появившемся окне настроек выберите пункт «Проактивная защита». 4. Убедитесь, что установлены флажки «Включить Проактивную защиту», «Включить анализ активности», «Включить контроль целостности» и «Включить мониторинг системного реестра». При необходимости установите недостающие флажки. 5. Изучите всевозможные настройки «Проактивной Защиты». 6. Проанализируйте полученную информацию. 5. Тестирование работоспособности антивируса и контроль целостности приложения Контроль работы антивируса. Перейдите на официальный сайт организации EICAR (The European Institute for Computer Antivirus Research) по ссылке http://www.eicar.org/anti_virus_test_ file.htm. Если это не представляется возможным, обратитесь к инженеру (учебно-вспомогательный персонал), сопровождающему проведение учебных занятий в данной учебной лаборатории. 1. Поочередно попробуйте загружать и запускать предложенные «тестовые вирусы», делая скрин-шоты сообщений антивируса. 2. Проанализируйте работу антивируса. Контроль целостности приложений: 1. Откройте главное окно программы «Антивирус Касперского 7.0». 2. Нажмите кнопку «Настройка», находящуюся в нижней части главного окна. 3. В появившемся окне настроек выберите пункт «Проактивная защита». 4. Нажмите кнопку «Настройка...» в поле «Контроль целостности приложений». 5. В появившемся окне (рис. 18.2), на вкладке «контролируемые приложения» нажмите кнопку «Добавить...», а затем «Обзор...». 6. Найдите и выберите произвольный исполняемый файл (*.exe), нажав кнопку «Открыть». 7. В поле «Отслеживать запуск следующих приложений», выделите добавленное приложение. 461 Рис. 18.2. Окно настроек контроля целостности 8. В нижней части текущего окна, в поле «Запуск» нажмите на «Разрешить», после чего эта надпись изменится на «Запросить действие». Таким образом, произведено ограничение на запуск выбранного приложения. 9. Сохраните изменения настроек, нажав кнопку «ОК» окна «Настройка: контроль целостности», а затем кнопку «Применить» главного окна настроек программы. 10. Найдите и попробуйте запустить выбранное в пункте 6 приложение. 11. Проанализируйте работу антивируса, сделайте скрин-шот сообщения антивируса. 12. Отмените произведенные ранее настройки «Антивируса Касперского 7.0», удалив добавленное в пункте 10 приложение из списка контролируемых. 462 Подготовка отчёта 1. В отчете кратко опишите выполненные действия. 2. Затем в качестве полученных результатов предоставьте скрин-шоты сообщений антивируса. 3. Приведите анализ полученных в работе результатов. Тестовые задания к работе 18 Входной контроль 1. Средство защиты от НСД: a) это программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа; b) это программное, техническое или программно-техническое средство, предназначенное для полного и гарантированного предотвращения несанкционированного доступа; c) нет верного ответа. 2. Основные компоненты защиты, реализованные в программе «Антивирус Касперского 7.0»: a) Файловый Антивирус; b) Почтовый Антивирус; c) Web-Антивирус; d) Проактивная защита. 3. Компонент, который запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все почтовые сообщения: a) Файловый Антивирус; b) Почтовый Антивирус; c) Web-Антивирус; d) Проактивная защита. 4. Компонент, который защищает информацию, поступающую на компьютер по HTTP-протоколу, а также предотвращает запуск на компьютере опасных скриптов: a) Файловый Антивирус; b) Почтовый Антивирус; 463 c) Web-Антивирус; d) Проактивная защита. 5. Компонент, который запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые файлы: a) Файловый Антивирус; b) Почтовый Антивирус; c) Web-Антивирус; d) Проактивная защита. 6. Компонент, который защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах приложения: a) Файловый Антивирус; b) Почтовый Антивирус; c) Web-Антивирус; d) Проактивная защита. 7. Проверка почтовых сообщений осуществляется по протоколам: a) IMAP; b) ACAP; c) DMSP; d) MAPI1; e) NNTP. 8. Обращение пользователя или некоторой программы к каждому файлу перехватывается компонентом «Файловый Антивирус»: a) да; b) нет; c) не определено. 9. Web-Антивирус состоит из двух модулей, обеспечивающих: a) защиту FTP-трафика; b) защиту HTTP-трафика; c) защиту HTTPS-трафика; d) проверку скриптов; e) проверку исходных кодов программ. 464 10. Проактивная защита Антивируса Касперского построена на основе: a) реактивных технологий; b) превентивных технологий; c) ревентивных технологий; d) нет верного ответа. Выходной контроль 1. Процесс проверки файлов может включать следующие действия: a) лечение и перемещение в карантин; b) удаление; c) анализ на присутствие вирусов; d) передача на анализ в Web-центр поддержки; e) нет верного ответа. 2. Правила, по которым осуществляется проверка почты, можно разбить на следующие группы: a) параметры, определяющие защищаемый поток сообщений; b) параметры, задающие список объектов, которые не проверяются Почтовым Антивирусом; c) параметры, определяющие использование методов эвристического анализа Почтовым Антивирусом; d) параметры, определяющие список проверяемых почтовых протоколов; e) параметры, определяющие действия над опасными объектами почтовых сообщений. 3. К опасным действиям, Фиксируемым Проактивной Защитой, не относятся: a) самокопирование некоторой программы; b) изменения файловой системы; c) встраивание модулей в другие процессы; d) скрытие процессов в системе; e) изменение определенных ключей системного реестра; f) нет верного ответа. 4. Файловый Антивирус проверяет наличие информации о перехваченном файле в базе: a) iVirus™; 465 b) iChecker™; c) iSwift™; d) iFolder™. 5. Если в файле обнаружен код, который похож на вредоносный, то этот файл: a) удаляется; b) подвергается лечению; c) проходит повторную проверку; d) отправляется в карантин; e) сразу же становится доступным для работы; f) нет верного ответа. 6. Если тело или вложение письма содержит вредоносный код, Почтовый Антивирус: a) передает письмо пользователю; b) удаляет письмо; c) помещает копию зараженного объекта в резервное хранилище и пытается обезвредить объект; d) блокирует письмо; e) нет верного ответа. 7. Почтовый Антивирус имеет специальные модули для работы с почтовыми клиентами: a) «Microsoft Office Outlook»; b) «The Bat!»; c) «DreamMail»; d) «Mozilla Thunderbird». 8. Пользователь может настроить ряд параметров WebАнтивируса, направленных на повышение скорости работы компонента, а именно: a) определить алгоритм проверки; b) определить скорость проверки; c) сформировать список адресов, содержанию которых пользователь не доверяет; d) сформировать список адресов, содержанию которых пользователь доверяет; e) нет верного ответа. 9. Если Web-страница или объект, к которому обращается пользователь, содержат вредоносный код, то Web-Антивирус: a) разрешает доступ к нему; 466 b) разрешает ограниченный доступ к нему; c) блокирует доступ к нему; d) лечит его. 10. Сразу после запуска компьютера Проактивная защита анализирует следующие аспекты: a) целостность программных модулей установленных на компьютере приложений; b) каждую попытку изменения файловой системы; c) действия каждого запускаемого на компьютере приложения; d) каждую попытку изменения системного реестра; e) нет верного ответа. 467 Работа 19 КОНТРОЛЬ ВОССТАНОВЛЕНИЯ БАЗЫ ДАННЫХ ПРИ РАЗНЫХ СЦЕНАРИЯХ ПОТЕРИ/ПОВРЕЖДЕНИЯ ФАЙЛОВ, ФИЗИЧЕСКОГО КОПИРОВАНИЯ И АРХИВИРОВАНИЯ ДАННЫХ Цель: получение навыков практического решения конкретных задач восстановления базы данных с использованием физических копий и архивированных данных. ПЛАН ПРОВЕДЕНИЯ РАБОТЫ 1. База данных переведена в режиме noarchivelog (не архивируется). Имеется «холодная» резервная копия файла users01.dbf базы данных. После формирования «холодной» копии выполняется транзакция в схеме пользователя, данные которого находятся в файле users01.dbf. В ходе работы с БД (после выполненной завершенной транзакции) «утерян» файл данных users01.dbf. Требуется восстановить утерянный файл. 2. База данных находится в режиме archivelog (архивируется). Формируем «горячую» резервную копию файла users01.dbf базы данных. После формирования «холодной» копии выполняется транзакция в схеме пользователя, данные которого находятся в файле users01.dbf. В ходе работы