Замкнутая программная среда! - Форум по вопросам информационной безопасности
Замкнутая программная среда! - Форум по вопросам информационной безопасности
| Автор: oko | 69866 | 22.03.2017 19:25 |
|
to sekira
А в случае с ЗПС что помешает? "Неуязвимость" самой СЗИ НСД? :) Вывод один: автоматчик за спиной - лучшая защита от НСД. + еще один автоматчик за спиной первого. + еще один... и т.д. Если мы говорим о "потенциале угрозы" в аспекте крайностей, то орг.меры = техн.мерам. Если о "защите от дурака", то, конечно, ЗПС желательна. Но вовсе не обязательна... Поэтому в текущих документах по ГИС/ПДн механизм ЗПС также не однозначен и явно характерен только для высших классов (сиречь, для наиболее умелых нарушителей)... ЗЫ Понимаю, что это все рассуждения, а не явный ответ. Однако, поправьте меня, если ошибаюсь, но в 90х гг. такого понятия как "ЗПС" (в текущей ее реализации в составе СЗИ НСД) не существовало, ага... |
|
| Автор: oko | 69867 | 22.03.2017 19:39 |
|
Вдогонку. Рискну утверждать, что более-менее качественный механизм ЗПС (который "в лоб" реально сложно обойти, ибо контрольное суммирование каждого исполняемого файла и скрипта) есть только в SN7 (удивительно, что приходится такое говорить, ага)... В остальных СЗИ НСД ЗПС реализована через маркировку исполняемых файлов, не более... ну, если не брать в расчет Панцирь+, где сам черт ногу сломит, ага...
Так что, товарищи, если этот механизм и полезен, то только супротив неподготовленного злоумышленника, вся хитрость которого заключается в юзании portable-софта (предварительно скопировав его на учтенный МНИ - и как он этого добился?)... |
|
| Автор: Dfg | 69890 | 23.03.2017 07:12 |
|
Так называемая замкнутая пс реально помогает прибивать часть троянов, которые не распознал антивирь. Особенно полезно для Ас подцепленных к интернету, регулярно получающих подарки по почте.
Однако реализация в лоб, даёт большие трудности по применению обновлений в больших сетях. Хороший выход предлагают некоторые производители в виде готовых белых списков безопасного софта, списки постоянно обновляются по мере выхода обновлений. Т.е весь головняк по хэшированию берет на себя производитель, нужно только вовремя качать базы софта. Правда те решения что видел не сертифицированные по этой теме, так что для аттестации SN и все врукопашку. |
|
| Автор: Дядя-с-усами | 69891 | 23.03.2017 08:54 |
|
Есть еще СЗИ, где ЗПС включен по умолчанию, и надо добавлять исключения - это СТРАЖ NT, но я его врагу не пожелал бы.
По поводу того, что в далеком 1992 году не было программных средств ЗПС, так с этого времени и требование ЗПС не материализовалось, значит, регулятору это не надо. |
|
| Автор: CrBiNsk | 69893 | 23.03.2017 09:30 |
|
to Дядя-с-усами
В далеком 1992 году документ рассекретили и сделали общедоступным, а выпущен он раньше.... |
|
| Автор: oko | 69896 | 23.03.2017 09:56 |
|
to Dfg
Вопрос-то про ГТ (первое сообщение от тов. "ыыы" в этой теме). А там риск троянов и необходимость обновлений ПО - крайне сомнительные вещи... to Дядя-с-усами Дык, тов. sekira привел цитату из РД ГТК от НСД про необходимость "неизменности программной среды". Правда, либо "с подвохом" привел (дабы отправить нас почитать РД), либо "додумал" РД самостоятельно, поскольку даже в максимальном случае - АС класса 1Б - необходимо всего лишь: "При этом: - целостность СЗИ НСД проверяется по контрольным суммам...; - целостность программной среды обеспечивается качеством приемки программных средств...; - должна осуществляться физическая охрана СВТ...; - должен быть предусмотрен администратор (служба) защиты информации...; - должно проводиться периодическое тестирование всех функций СЗИ НСД...; - должны быть в наличии средства восстановления СЗИ НСД...; - должны использоваться сертифицированные средства защиты..." Т.е. никакой ЗПС (пусть даже в трактовке "должен осуществляться запуск только заранее разрешенного к эксплуатации ПО") для АС под ГТ нет в принципе, согласно РД ГТК от НСД. А неизменность ПС, как я и говорил ранее, контролируется орг.мерами от лица администратора... *в сторону* пальчики... помнят пальчики... (с) ЗЫ Зря вы так про СТРАЖ. Вот 4 версия сыровата и 2.5-2.0 были еще тем поделием, а 3.0 была весьма "правильным СЗИ НСД". Жесткие диски, конечно, не жалела и в сеть объединялась с трудом, но отсутствие "сессионности", так приевшейся в SN, DL и т.п., нивелирует все недостатки :) Кстати, в DL8.0-C ЗПС тоже как бы включена по умолчанию. Вернее, требует минимальной настройки при редактировании пункта "Параметры ФС по умолчанию", подлежащего однозначной настройке практически в любых АС. |
|
| Автор: sekira | 69901 | 23.03.2017 14:49 |
|
"Правда, либо "с подвохом" привел (дабы отправить нас почитать РД), либо "додумал" РД самостоятельно, поскольку даже в максимальном случае - АС класса 1Б - необходимо всего лишь"
стр 12 (вопрос про 2А был) 1 абзац Подсистема обеспечения целостности: |
|
| Автор: oko | 69902 | 23.03.2017 15:00 |
|
to sekira
Я догадался, спасибо... Вопрос в другом, как трактовать "При этом"? Как перечисление всех необходимых или всех дополнительных (уточняющих) функций? Т.е. помимо "При этом" надо как-то обеспечить "неизменность программной среды" или мероприятия по оной "неизменности..." как раз перечисляются в "При этом"? imho, РД указал конкретный перечень мероприятий. И ЗПС в нем (в современной трактовке этого термина) отсутствует... что для 2А, что для 1В и 1Б... |
|
Страницы: < 1 2 3 4
Просмотров темы: 12683
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"