Автор: domenik | 12268 | 11.08.2009 09:47 |
Столкнулся с проблемой настройки Secret Net 5.0C(автономный). Допустим имеется у нас тестовая машина на которой мы хотим работать с секретной информацией и присваиваем ей класс защищенности для АС 1В. Создаем двух юзеров с разными правами на секретую папку и вот какая проблема. В РД для АС написаны требования для данного класса защищенности и в требованиях присутствует пункт: "Управление потоками информации", который обязателен для данного класса защищенности. Так вот Secret Net 5.0C когда я включаю в SecretNet функцию управления потоками конфиденциальности то в режиме работы "Секретно" не работают нормально ни MS Word ни Adobe Reader. Кроме Notepad вообще ничерта не работает нормально. Хотя полномочное управление досутпом работат отлично. Например запускаю я MS Word но он не сохраняетфайлы и вообще половина опций не работает. Роешся в журнале SecretNet и там безконца мелькают такие фразы, что метка конфиденциальности файла ниже чем нужно. Уже и на всю папку юзера с файлами ставил гриф нужный и на Temp папку но это же не дело. Ведь если я понаставлю на всякие папки Temp грифов и прочие то нцжно будет заносить в документы типа разрешительной системы и там их будет куча. В общем вопрос как вы решаете проблему совместимости работы SecretNet и прикладных программ при включенной опции управления потоками конфиденциальности в режиме работы "Секретно". Очень надеюсь на ваши ответы так как этот момент очень хотелось бы прояснить. На техподдержку информзащиты не посылайте так как току никакого от них =(
|
Автор: Чеширский Кот | 12275 | 11.08.2009 11:16 |
Так Вы все правильно делаете - читайте сообщения в журнале, давайте нужные права на папки и добивайтесь прекрашения таких сообщений в журнале. Увы, но другого пути нет...
Эти прикладные программы ведь не были расчитаны на мандатное управление доступом. |
Автор: А.Щеглов, НПП "Информационные технологии в бизнесе" | 12276 | 11.08.2009 11:47 |
Прикладные программы в большинстве своем вообще не предназначены для безопасной работы. Многие из них для корректной работы требуют прав доступа к одному объекту на запись и исполнение, если это разрешить - остается "забыть" о безопасности компьютера. Если не разрешать - остается отказаться от подобных программ, а их, к сожалению, много.
Чтобы хоть как-то обеспечить корректную работу приложений при требуемом уровне безопасности, необходимо иметь возможность задавать разграничения для процессов (системных и прикладных), как отдельных субъектов доступа. В противном случае, все приложения будут работать с правами текущего пользователя, и ничего вы не добъетесь разграничениями. Такое решение реализовано в средствах защиты семейства "Панцирь" (кстати, запатентованное). |
Автор: domenik | 12277 | 11.08.2009 11:55 |
Чеширский Кот: в том то и дело, что например тот же MS Word удалось запустить проставив гриф конфиденциально на папки Temp и Application Data в папки юзера, но проблема не исчерпывает себя так как MS Word например сохранять докуменнты то стал но вот почему то SecretNet в журнале ругается на файлы которых нету. То есть в журнале при уже более менее рабочем MS Word появляется 2 события отказов после запуска MS Word говорящих о том что такой то и такой то файлы имеют метку конфиденциальности ниже чем нужно, но самих файлов нету по этим путям что указаны в журнале. Причем у меня показывает скрытые и системные файлы. Тот же Acrobat Reader не смог запуститься вообще потому что не может получить какой то нужный для работы файл даже с проставленными грифами на Temp и Application Data. Ну ясно что SecretNet просто не повышает метку конфиденциальности нового файла но дак его и нету =). Акробат ругается на то что не может найти нужный ему файл или открыть, но в журнале SecretNet в аудите отказов так же происходит отказ из за метки конфиденциальности файла которого нет на диске. Чтож получается. Создается временный файл и SecretNet не присваевает нужную ему метку и из-за этого не может работать Acrobat Reader. Я перепробовал все что только можно уже. В принципе кроме как MS Word никому больше ничего и не нужно использовать в режиме конфиденциально при включенной опции управления потоками информации. Но вот попался клиент которому и Acrobat Reader нужен для работы с секретными документами и я не знаю вообще как решить проблему =(.
|
Автор: domenik | 12279 | 11.08.2009 12:15 |
А.Щеглов:
Вот вы говорите "Многие из них для корректной работы требуют прав доступа к одному объекту на запись и исполнение" Вообще программ таких которые требуют изменения своих исполняемых файлов для корректной работы единицы. Обычно это исполняемые файлы только на исполнение а временные на чтение и запись либо просто запись. А вообще любой процесс запущенный во время текущей пользовательской сессии будет работать с правами текущего пользователя. Если процесс во время пользовательской сессии был запущен драйвером(то есть с правами SYSTEM) или системной службой то это будут системные процессы. Ну а на счет СЗ Панцирь я посмотрю спасибо, хотя лучьше просветить эти дела в SecretNet =) |
Автор: А.Щеглов, НПП "Информационные технологии в бизнесе" | 12281 | 11.08.2009 13:15 |
domenik,
1. Относительно программ, все не так просто. Если бы Вы попытались разграничить права доступа именно для отдельных программ (не для пользователя) и посмотреть аудит при отказах, у Вас было бы иное мнение. Например, попытайтесь открыть проводником far файл с расширением .doc - посмотрите по аудиту, что происходит. С точки зрения разграничений для процессов, в том-то и суть, что Вы разграничиваете права доступа для отдельного приложения, либо системного процесса, напримем, winlogon.exe, или например, winword.exe (при этом права пользователя, в том числе, System, можете учитывать, либо нет). Для конкретного приложения Вы сможете как усечь, так и расширить пользовательские права. При этом права доступа различных приложений при работе с ними одного пользователя могут кардинально различаться. К слову, взгляните на возможности подобных разграничений, приведенные, например, по ссылке: 2. Я не призываю Вас "пересесть" на "Панцирь" - речь о технологиях. Вы указали именно на технологическую проблемму. Убежден, что без разграничений для процессов (приложений) корректное решение наиболее актуальных задач защиты невозможно (это мое личное мнение). 3. Возможности SecretNet и Ваш исходный тезис в заглавии темы комментировать не буду. Это к разработчикам данной системы. |
Автор: domenik | 12282 | 11.08.2009 13:33 |
А.Щеглов:
Спасибо за ответы. Я понял что вы хотели до меня донести =) Но проблема осталась. Товарищи кто занимается НСД и работает с SecretNet подскажите как вы реализовываете работу сторонних программ с включенной опцией контроля потоков информации. |
Автор: А.Щеглов, НПП "Информационные технологии в бизнесе" | 12284 | 11.08.2009 14:58 |
domenik, и опять о теории.
Несколько насторожил Ваш тезис: ",,,Ведь если я понаставлю на всякие папки Temp грифов и прочие то нцжно будет заносить в документы типа разрешительной системы и там их будет куча...". Одно из требований к мандатному принципу доступа следующим образом сформулировано в РД (СВТ, 4 класс): "Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии". Другими словами, каждый объект в системе (и папка Windows, и папка Program Files, и всевозможные TEMP) и каждый субъект, в том числе, пользователь System, должны быть Вами размечены (им всем должны быть присвоены метки, или уровни). К неразмеченным объектам (как и неразмеченным субъектам) любой доступ должен быть априори (или в соответствии с требованиями РД) запрещен. В противном случае теряет смысл собственно мандатный принцип контроля доступа, как таковой. Если Вы решили использовать данный принцип (модель Белла-Лападулы), и он реализован корректно, придется потрудиться с разметкой всех объектов и всех субъектов. А еще есть объекты, не разделяемые системой и приложениями (куда нужно разрешить доступ всем пользователям). При этом увидите, что не только приложения, но и ОС мало приспособлены для реализации данного принципа контроля доступа внешними средствами. |
Автор: domenik | 12288 | 11.08.2009 16:20 |
А.Щеглов:
Хотелось бы узнать ваш контактный email или icq или jabber. Если у вас будет время то можно будет пообщаться плотнее. А так еще раз спасибо за ответы вам. Некоторые моменты проясняют суть дела. |
Автор: А.Щеглов, НПП "Информационные технологии в бизнесе" | 12289 | 11.08.2009 16:38 |
domenik, пожалуйста:
|
Просмотров темы: 60918