Данную серию статей об инструментальном контроле несанкционированного доступа мы посвятим двум программным продуктам. Это «Ревизор 1ХР» и «Ревизор 2ХР». Эти «двое» работают в паре. «Ревизор 1ХР» строит модель разграничения прав доступа пользователей к ресурсам автоматизированного рабочего места (АРМ), а «Ревизор 2ХР» проверяет соответствие настроенных в операционной системе (или системе защиты информации) прав доступа пользователей с моделью, составленной в «Ревизоре 1ХР». А теперь подробнее о каждом из них. «Ревизор 1ХР» Данный программный продукт предназначен для: • сканирования ресурсов АРМ - в ходе сканирования «Ревизор 1 XP» получает информацию о структуре ресурсов АРМ (ЛВС) и сохраняет ее в памяти. • считывая прав доступа NTFS - «Ревизор 1 XP» считывает установленные права доступа и преобразует их в формат, используемый для представления прав доступа в модели прав доступа. • построения дерева ресурсов - по результатам сканирования «Ревизор 1 XP» автоматически строит иерархическую структуру, соответствующую структуре ресурсов АРМ. • получения списка доменных и локальных пользователей - «Ревизор 1 ХР» получает списки учетных записей пользователей, зарегистрированных как непосредственно на АРМ, так и на контролере домена (в случае, если АРМ входит в состав домена). Эти пользователи регистрируются в модели разграничения прав доступа наравне с другими субъектами доступа. • создания и удаления пользователей - «Ревизор 1 ХР» позволяет вручную добавлять и удалять пользователей. При создании администратор указывает, какие права доступа получит создаваемый пользователь: либо права доступа по умолчанию, либо права доступа текущего пользователя. При удалении пользователя все установленные для него права доступа теряются. • моделирования разрешительной системы доступа - при моделировании разрешительной системы администратор устанавливает грифы секретности на объекты доступа, а также настраивает права доступа для созданных пользователей • создания отчетов на основе информации о субъектах и объектах доступа - «Ревизор 1 ХР» формирует отчеты в формате HTML на основе информации, содержащейся в модели разграничения прав доступа. Интерфейс программы выглядит следующим образом: Интерфейс «Ревизора 1ХР» Теперь нам необходимо создать новый проект. Для этого выбираем в меню «Файл» пункт «Создание нового проекта». Перед Вами появится окно выбора ресурсов АРМ. Нужно установить флаг рядом с теми ресурсами, которые Вам нужно сканировать. В этом же окне необходимо установить флаг рядом с «Получить список пользователей» и «Считывать права NTFS». Последние два действия необходимы для того, чтобы «Ревизор 1ХР» выполнил сканирование существующих пользователей и их прав доступа к ресурсам АРМ. Окно выбора ресурсов АРМ После выбора объектов, нажимаем кнопку «ОК» для начала процесса сканирования: Окно сканирования ресурсов По окончании сканирования, слева в окне будут представлены дерево ресурсов АРМ и список пользователей, а справа подробный обзор ресурсов АРМ. Справа вверху Вы можете видеть обозначения прав доступа: • Чтение (в программе обозначается как R) – чтение данных из файла. • Запись (W) – запись данных в файл. • Удаление (D) – удаление файла • Добавление (A) – создание файлов в каталоге. • Исполнение (X) – запуск исполняемого файла. Отсутствие или наличие права определяется знаком «+» или «-», отображаемом в соответствующем столбце напротив имени файла. Седьмой столбец отображает информацию о грифе секретности объекта. Для объекта доступа гриф секретности может принимать следующие значения: • «-» - несекретный объект • «Д» - гриф «Для служебного пользования» • «С» - гриф «Секретно» • «СС» - гриф «Сов. секретно» Так же грифы секретности необходимо установить рядом с именами пользователей. В целом, на данном этапе Вам необходимо выполнить следующее: • обозначить максимальный гриф информации к которому допущен пользователь; • обозначить грифы каждого ресурса каждого пользователя; • установить права доступа каждого пользователя к каждому ресурсу (имеет доступ или нет). После этого, сохраните проект в файл и сформируйте отчет кнопкой «Создать отчет». Перед Вами появится окно: Окно создания отчета В этом окне необходимо указать те ресурсы и тех пользователей, доступ которым Вы настраивали. После этого «Ревизор 1ХР» сформирует отчет. Как выглядит отчет можно посмотреть в этой статье. «Ревизор 2ХР» Данный программный продукт является средством автоматизированной проверки соответствия прав пользователей по доступу к защищаемым информационным ресурсам АРМ, описанных в модели системы разграничения доступа (СРД), реальным правам доступа, предоставляемым установленной на АРМ системой защиты информации, либо соответствующей операционной системой. Для работы «Ревизору 2ХР» необходим сохраненный проект «Ревизора 1ХР». На основании этого проекта «Ревизор 2ХР» будет выполнять проверку разграничения прав доступа пользователей к ресурсам АРМ. «Ревизор 2ХР» выполняет следующие функции: • Сравнение ресурсов - в случае если дерево ресурсов АРМ изменилось со времени создания проекта, «Ревизор 2 ХР» позволяет произвести сравнение реального дерева ресурсов с деревом ресурсов модели разграничения прав доступа. При сравнении заново выполняется сканирование ресурсов. На основе результатов сравнения может быть создан отчет в формате HTML. После просмотра результатов сравнения можно внести их в дерево ресурсов и при необходимости скорректировать права доступа к ним с помощью «Ревизор 1 ХР». • Тестирование - тестирование представляет собой моделирование доступа пользователя к объектам АРМ. Моделируются следующие виды доступа:
После запуска программы, Вам необходимо выбрать в меню «Файл» пункт «Открыть проект» и выбрать проект сохраненный «Ревизором 1ХР». Окно «Ревизора 2ХР», Просмотр Слева Вы видите четыре раздела: «Просмотр», «Сравнение», «Планирование» и «Тестирование». В Разделе «Просмотр» Вы видите проект «Ревизора 1ХР» таким, каким Вы его сохранили. В данном окне Вам необходимо выделить пользователя, для которого будет проводиться тестирование. Окно «Ревизор 2ХР» - Сравнение В этом режиме осуществляется сравнение дерева ресурсов модели разграничения прав доступа с реальным. После окончания сканирования выводится список выявленных отличий. Напротив каждого имени объекта присутствует знак «+» или «-». Плюс означает, что объекта отсутствует в дереве ресурсов модели разграничения прав доступа, но присутствует в реальном дереве ресурсов (объект был создан после создания проекта), минус – отсутствует в реальном дереве ресурсов, но присутствует в дереве ресурсов модели разграничения прав доступа (объект был удален со времени создания проекта). После сравнения, необходимо построить план тестирования. Для этого мы переходим в раздел «Планирование». Окно «Ревизор 2ХР» - Планирование Нажимаем кнопку «Добавить объект для тестирования», в появившемся окне снимаем флаг рядом с «Выбор объектов с разрешениями, отличающихся от родительских» и «Случайная выборка». Окно параметров построения плана тестирования Нажимаем кнопку «ОК». Перед Вами появится окно выбора объектов тестирования: Окно выбора объектов тестирования В данном окне необходимо поставить флаг рядом с теми же ресурсами, которые Вы указывали при создании модели прав доступа в «Ревизор 1ХР». После добавления ресурсов, Вы увидите какие права доступа к этому ресурсу имеет пользователь выделенный Вами в разделе «Просмотр». Теперь переходим к разделу «Тестирование». Для начала тестирования необходимо нажать кнопку “Запуск тестирования”. На экране появится диалог настройки параметров запускаемого тестирования: Окно настройки проводимого тестирования После окончания настройки проводимого тестирования, нажимаем кнопку «ОК» и запускаем тестирование. Тестирование включает в себя следующие стадии:
После завершения тестирования становятся доступными его результаты, на основе которых может быть сформирован отчет в формате HTML. Окно «Ревизор 2ХР» - Результат тестирования. После этого нажимаем кнопку «Сформировать отчет». Пример отчета можно посмотреть в этой статье. Читайте ещеТолько авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |