Решение чрез CSZ защитни механизми

За всеки потребител се създават няколко акаунта според броя на ролите;

За всеки акаунт са дефинирани файлови обекти (папки), в които ще се съхранява информация, обработвана като част от изпълнението на ролята;

Механизми за ограничаване на достъпа до ресурси, чието монтиране е разрешено в системата (файлови обекти, локални и споделени в мрежата, на твърдия диск и на външни устройства; мрежови ресурси, принтери и др.), правата за достъп са разграничени между акаунти, във връзка с изпълнението на ролевия модел;

Възможността за обмен на информация между акаунти с различни роли е изолирана (в CSIS се реализира чрез механизма за разделяне на акаунти на файлови обекти, които не се споделят от системата и приложенията, чрез механизма за споделяне на клипборда - в Windows клипбордът не принадлежи на акаунта, а на "десктопа" - не се споделя от системата в многопотребителски режим, например, когато стартирате програмата, като щракнете с десния бутон на мишката върху друг акаунт).

Конфигурационният интерфейс за CSIS механизма, който реализира споделянето между акаунти на файлови обекти, които не се споделят от системата и приложенията (всякакви файлови обекти), е показан на фиг.3.

защитни

Фиг. 3. Интерфейс на механизма за пренасочване на пътя на директорията

Този механизъм за защита на CSIS ви позволява да споделяте всяка папка между акаунти. В същото време за всеки акаунт се създава собствена папка, в която се пренасочват повикванията, направени под този акаунт към оригиналната несподелена папка на системата или приложението. Оригиналната папка става „виртуална“, тя не може да бъде достъпна под никакъв акаунт.

Без този защитен механизъмневъзможно е правилното прилагане на каквато и да е ограничителна политика за достъп до ресурси и още повече модела за подражание на компютърната сигурност.

Коментирайте. За да опрости задачата за администриране на средствата за защита, CSIS коренно промени (в сравнение с внедряването в съвременната ОС) подхода за изграждане на интерфейси за настройка на механизми за защита - правата за достъп се присвояват на потребителите, а не на обектите, броят на атрибутите за достъп е сведен до минимум (много от които се задават автоматично от системата), обектът "Собственост" като такъв е изключен и т.н.

Интерфейсът за настройка на CSIS механизма, който реализира разграничаването на потребителски права за достъп (акаунти) до файлови обекти, е показан на фиг. 4.

решение

Фиг.4. Интерфейс за конфигуриране на потребителски права за достъп до обекти на файловата система

Фигура 4 показва, че ограничителната политика се формира чрез присвояване на права за достъп на потребители (акаунти). Основата е разрешителната политика на сегрегация - „Всичко, което не е позволено, не е изрично посочено, тогава е забранено“ - това е единственото правилно прилагане на политиката на сегрегация за корпоративни приложения (между другото, чието прилагане се изисква от съответния нормативен документ). В същото време (вижте фиг. 4) един интерфейсен прозорец показва цялата политика за ограничителен достъп до всички обекти на файловата система (включително обекти, споделени в мрежата и обекти на външни устройства, включително мобилни), зададени за потребителя (той няма други права за достъп, тъй като те не са разрешени по подразбиране, включително за новосъздадени обекти). Обектът, до който на потребителя е предоставено каквото и да е право на достъп, се присвоява (с помощта на преглед) чрез неговото пълно квалифицирано име на пътя. искампрегледайте политиката за сигурност за друг потребител, изберете неговия акаунт, всички права за достъп, разрешени за него, също ще бъдат показани в един прозорец на интерфейса. Няма нужда да сортирате обекти, да разглеждате техните атрибути - всичко е ясно и информативно!

Коментирайте. Както може да се види от фиг. 4, такъв сложен защитен механизъм като затварянето на софтуерната среда се задава от няколко записа в интерфейса (User1 има право да изпълнява програми само от директориите Windows и Program Files, които му е забранено да променя - не е позволено да бъдат записани).

За безопасното използване на отчуждаеми устройства (например флаш устройства, които могат да бъдат монтирани към системата), за да се предотврати разкриването на информация при кражба на компютър или твърд диск, CSIS използва механизъм за криптографска защита за файлови обекти (локални и споделени в мрежата, на твърдия диск и на външни устройства). Внедрените политики за ключове позволяват да се предотврати неоторизирано разкриване на открадната информация, включително от оторизиран потребител (вътрешен човек), дори ако последният има ключ за криптиране.

За контрол на отпечатаната информация се използва механизмът за скрито копиране на информация, изпратена от потребителите за печат.