Анализ системы защиты данных "Dallas Lock"

Автор работы: Пользователь скрыл имя, 09 Января 2013 в 19:00, реферат

Описание работы

Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа. СЗИ Dallas Lock 7.7 может быть установлена на компьютеры, работающие под управлением следующих ОС: Windows ХР (Service Pack не ниже 3), Windows Server 2003 (SP не ниже 2), Windows Vista (SP не ниже 2), Windows Server 2008 (SP не ниже 2), Windows 7. Dallas Lock 7.7 поддерживает только 32-х битные версии операционных систем.
Система Dallas Lock 7.7 представляет собой программное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров с возможностью подключения аппаратных идентификаторов.

Скачать архив (41.84 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

ОБИБС-Реферат (DallasLock).doc

— 171.50 Кб (Скачать файл)

Подсистема прозрачного  преобразования жесткого диска состоит из двух частей:

  • прозрачное преобразования диска до загрузки ОС в реальном режиме работы процессора, которое обеспечивает работу подсистемы проверки целостности и начальную загрузку ОС;
  • драйвер прозрачного преобразования диска, обеспечивающий прозрачное преобразование диска на этапе загрузки ОС и в ходе ее работы.
  1. Подсистема аудита. Обеспечивает ведение и настройку журналов.
  1. Подсистема аудита печати и печати штампов.
  2. Подсистема зачистки остаточной информации.
  3. Подсистема аппаратной идентификации. Осуществляет работу с различными типами аппаратных идентификаторов.
  4. Подсистема внедрения в интерфейс windows explorer (“проводник”). Обеспечивает отображение пунктов меню, нужных для настройки СЗИ,  в контекстном меню объектов файловой системы.
  5. Подсистема контроля целостности программно-аппаратной среды ПЭВМ.

Общие принципы организации защиты компьютера

Общие сведения

Система защиты Dallas Lock 7.7 обеспечивает многоуровневую защиту локальных ресурсов компьютера. Существуют следующие уровни защиты:

  1. Защита от несанкционированного входа на компьютер (защита по входу).
  2. Разграничение доступа к ресурсам.
  3. Защита данных путем преобразования диска.

Пользователей, зарегистрированных в системе защиты, будем называть зарегистрированными  пользователями, всех остальных - посторонними пользователями.

Защита от несанкционированного входа предназначена для защиты компьютера от посторонних пользователей, или от зарегистрированных пользователей, пытающихся войти на компьютер в неразрешенное время.

Действие защиты по входу сводится к проверке полномочий пользователя на вход при попытке  войти в систему. При проверке авторизационных данных (пароль и идентификатор) и совпадении разрешенного времени работы с фактическим, наличия полномочий пользователя на загрузку ПЭВМ, пользователь получает право на вход в систему и может работать с теми ресурсами компьютера, доступ к которым для него разрешен. При отсутствии требуемых полномочий вход в систему пользователю запрещается.

Разграничение доступа к ресурсам предназначено  для управления доступом к ресурсам файловой системы зарегистрированными  пользователями. С помощью средств  разграничения доступа для каждого  пользователя устанавливаются определенные права доступа к определенным ресурсам. Пользователю разрешается использовать ресурсы файловой системы только в рамках установленных для него прав. При отсутствии таковых доступ к ресурсу запрещается.

Защита данных путем преобразования диска предназначена для защиты информации от несанкционированного ознакомления в обход системы защиты.

Пользователи  системы защиты

В системе Dallas Lock 7.7 каждому зарегистрированному пользователю назначаются соответствующие права на доступ к ресурсам файловой системы и полномочия на администрирование системы защиты. Число зарегистрированных пользователей на каждом защищенном компьютере может достигать максимального значения 8192. Один пользователь может быть зарегистрирован на нескольких ПЭВМ с разными правами и полномочиями.

Полномочия и  статус пользователя

В Dallas Lock 7.7 полномочия на администрирование системы защиты определяют статус пользователя.

В системе защиты всегда существует суперадминистратор. Суперадминистратором автоматически становится пользователь, установивший систему защиты.

Для инсталляции  и активации СЗИ необходимо обладать правами администратора в ОС.

Суперадминистратор обладает всеми полномочиями администрирования (управления) системы защиты и всеми правами по доступу к ресурсам, причем эти права и полномочия в дальнейшем невозможно изменить. Суперадминистратор регистрирует в системе защиты других пользователей. При этом он может делегировать зарегистрированному пользователю все или часть своих полномочий на администрирование.

В зависимости  от предоставленных полномочий на администрирование, каждый пользователь может быть отнесен  к одной из трех категорий:

  1. Администратор безопасности (администратор) - пользователь, наделенный всеми полномочиями на администрирование системы защиты. Администраторов безопасности может быть несколько.
  2. Привилегированный пользователь - пользователь, наделенный некоторыми полномочиями на администрирование системы защиты.
  3. Рядовой пользователь - пользователь, не имеющий полномочий на администрирование системы защиты.

Администратор может выполнять следующие действия по управлению работой системы защиты:

  1. Управлять регистрацией пользователей (создавать и удалять пользователей и группы пользователей, управлять составом групп).
  2. Изменять свойства пользователей.

Каждый пользователь характеризуется свойствами:

  • порядок изменения пароля;
  • срок действия учетной записи;
  • параметры загрузки;
  • расписание;
  • наличие/отсутствие аппаратного идентификатора.
  1. Управлять работой пользователей.
  1. Управлять параметрами безопасности.
  2. Управлять доступом к файловым ресурсам.
  3. Переустанавливать, удалять и отключать систему защиты.
  4. Управлять аудитом (ведением, просмотром, очисткой журналов).

Права пользователя на доступ к ресурсам файловой системы

Каждый пользователь системы Dallas Lock 7.7 наделяется определенными правами на доступ к ресурсам файловой системы. Эти права определяются:

  • параметрами доступа, присвоенными пользователю по отношению к ресурсам (к конкретному ресурсу) файловой системы;
  • категориями конфиденциальности (классификационной меткой), присвоенными ресурсам файловой системы, а также уровнем допуска к конфиденциальной информации (уровнем доступа), установленным для пользователя.

Вся информация о пользователе хранится в учетной  записи пользователя, которая является элементом матрицы доступа. Если учетная запись пользователя заблокирована или отключена, то это означает, что он лишен права доступа на защищенный компьютер.

Группы пользователей

В системе Dallas Lock 7.7 предусмотрен механизм группирования пользователей, при использовании которого любой пользователь компьютера может быть включен в любую группу. После этого он наделяется соответствующими правами доступа ко всем ресурсам и полномочиями на администрирование, которыми владеет данная группа пользователей. Один пользователь может входить в несколько групп. Группа пользователей однозначно определяется в системе защиты ее названием.

Защита  от несанкционированного входа на компьютер

Механизм идентификации  и аутентификации

Защита от несанкционированного входа предназначена для защиты компьютера от посторонних пользователей, или от зарегистрированных пользователей, пытающихся войти на компьютер в неразрешенное время.

Защита от несанкционированного входа реализуется механизмом идентификации  и аутентификации пользователей, обеспечивающим (в том числе с помощью аппаратных средств) защиту от входа постороннего пользователя в систему при загрузке компьютера.

Идентификация (распознавание) и аутентификация (проверка подлинности) пользователей осуществляется при каждом входе пользователя на защищенный компьютер и при входе в ОС.

При загрузке компьютера система Dallas Lock 7.7 запрашивает у пользователя его имя и пароль (если пользователю присвоены аппаратные средства, то запрашивается идентификатор). Затем осуществляется проверка наличия в системе зарегистрированного пользователя с указанным именем. После этого проверяется правильность указанного пользователем пароля. Если сведения указаны верно, то система анализирует время входа. Если оно попадает в отведенный для работы промежуток, то пользователю разрешается вход в систему, иначе вход в систему пользователю запрещается.

Для идентификации  пользователей в системе Dallas Lock 7.7 могут использоваться следующие виды идентификаторов:

  • уникальные имена длиной до 32 символов;
  • уникальные номера персональных аппаратных идентификаторов (может быть назначено до двух идентификаторов для каждого пользователя).

Имя присваивается  пользователю при его регистрации в системе Dallas Lock 7.7. Если компьютер оснащен устройством чтения персональных идентификаторов, пользователю может быть присвоен один или два персональных аппаратных идентификатора, номера которых могут использоваться для идентификации пользователя.

Аутентификация  пользователя осуществляется после  его идентификации для подтверждения  того, что пользователь действительно является тем, кем представился.

При аутентификации пользователя осуществляется проверка правильности указанного им пароля.

В Dallas Lock 7.7 поддерживается работа с паролями длиной до 32 символов.

Для пароля могут  быть заданы следующие атрибуты:

  • минимальная длина пароля;
  • правила, обеспечивающие сложность пароля (наличие цифр, специальных символов и т.д.);
  • максимальный срок действия пароля;
  • минимальный срок действия пароля.

Чем больше длина пароля и чем он сложнее, тем надежнее защита. СЗИ производит процесс идентификации и аутентификации дважды: первый раз при входе на компьютер и второй раз при входе в ОС, причем вход на защищенный компьютер может осуществить один пользователь, а вход в ОС другой. Пользователю можно запретить вход в ОС на локальном или удаленном компьютере. Есть режим автоматического входа, когда идентификационная информация введенная до начала загрузки ОС автоматически передается в ОС.

Вводимый пароль не отображается на экране компьютера. Если пароль при входе указан неверно, то система защиты сообщает об этом, и в системном журнале регистрируется попытка несанкционированного доступа к компьютеру. Если пользователь несколько раз подряд неверно указал пароль и превысил число попыток, отводящихся ему для правильного ввода пароля, то выдается сообщение о блокировании учетной записи этого пользователя. Теперь этот пользователь может осуществить новую попытку входа только после разблокирования учетной записи, которое производится либо администратором, либо автоматически по истечении установленного времени.

Пароли пользователей  хранятся в базе данных системы защиты в преобразованном виде, по которым нельзя восстановить их исходное значение.

Пароль может  быть изменен только самим пользователем  или администратором безопасности (пользователем, имеющим соответствующие  полномочия).

Администратор может назначать пользователям новые пароли, но не имеет возможности узнать значения старых паролей.

Администратор может заставить пользователя принудительно  сменить пароль при очередном  входе на компьютер.

Механизм программной  защиты от загрузки ОС со съемных носителей

Для предотвращения загрузки операционной системы со сменных носителей (дискет, CD-ROM дисков, USB-накопителей и т.д.) в обход средств защиты Dallas Lock 7.7, а так же для предотвращения несанкционированного ознакомления с содержимым жестких дисков, путем подключения жестких дисков к другому компьютеру, существует специальный механизм, который позволяет сделать диск “невидимым”.

При использовании  этой защитной функции каждый сектор жесткого диска преобразуется по специальному алгоритму с использованием индивидуального для каждого компьютера ключа (этот ключ генерируется случайным образом в момент активации системы). В результате при загрузке со сменного носителя в обход системы Dallas Lock 7.7 или подключения жесткого диска к другому компьютеру (даже если на этом компьютере тоже установлен Dallas Lock 7.7) пользователь не сможет работать с этим диском, соответственно, данные останутся защищены. Сектора жесткого диска могут преобразовываться по выбору администратора с использованием нескольких алгоритмов (на данный момент реализованы алгоритмы XOR32 и ГОСТ 28147-89). Возможен выбор дисков, которые будут преобразованы и размеры преобразуемых областей.

Система прозрачного преобразования запускается при загрузке компьютера только после ввода пользователем имени, пароля, предъявления аппаратных идентификаторов и проверки этих данных в СЗИ.

Механизмы управления доступом и защиты объектов

Разграничение доступа к объектам

В системе  защиты Dallas Lock 7.7 имеется возможность ограничивать перечень доступных объектов - дисков, папок и файлов компьютера - для каждого пользователя в рамках его функциональных обязанностей. Возможны ограничения на чтение данных, запись данных, выполнение (запуск), создание файлов, создание папок, удаление файлов, удаление папок, обзор содержимого папки.

При попытке  пользователя запустить программу, запрещенную для доступа или выполнения, операционная система вместо загрузки программы будет выдавать сообщение об ошибке, например:

Доступ  запрещен

Информация о работе Анализ системы защиты данных "Dallas Lock"