ПАК Аккорд-X К

Среди большого разнообразия средств защиты информации не так уж и много средств, предназначенных для операционной системы (ОС) Linux. Одно из немногих - нашедший широкое применение программно-аппаратный комплекс средств защиты информации (ПАК СЗИ) Аккорд-Х, разработанный компанией ОКБ САПР. Он позволяет реализовать следующие основные функции безопасности:

  • доверенная загрузка компьютера;
  • идентификация/аутентификация пользователя;
  • контроль целостности системной области диска, системных файлов, программ и данных;
  • разграничение доступа пользователей к ресурсам компьютера;
  • ведение протокола регистрируемых событий.

Однако для некоторых систем обеспечение доверенной загрузки компьютера не требуется. К таким относятся:

  • системы, для которых необходима защита информационных ресурсов от несанкционированного доступа, но целостность критичных файлов ОС уже достоверно подтверждена до загрузки ОС;
  • системы, в которых для удовлетворения требований по безопасности не требуется обеспечение доверенной загрузки средств вычислительной техники. Это государственные информационные системы, в которых обрабатывается информация минимального уровня значимости[1], или государственные информационные системы регионального или объектового масштаба, в которых обрабатывается информация низкого уровня значимости[2] (в соответствии с приказом ФСТЭК № 17), а также информационные системы персональных данных 3 и 4 уровня защищенности (в соответствии с приказом ФСТЭК № 21).

В таких случаях при применении Аккорд-Х набор функций защиты будет избыточным. Поэтому компанией ОКБ САПР был разработан ПАК СЗИ, реализующий все функции Аккорд-Х, кроме функции доверенной загрузки, не требуемой для указанных систем — Аккорд-Х К.

ПАК СЗИ Аккорд-Х К предназначен для разграничения доступа к рабочим станциям, функционирующим под управлением ОС семейства Linux.

Возможности

  1. Защита от несанкционированного доступа;
  2. Идентификация/аутентификация пользователей для входа в ОС;
  3. Статический и динамический контроль целостности данных, их защита от несанкционированных модификаций;
  4. Создание индивидуальной для каждого пользователя изолированной программной среды;
  5. Разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
  6. Разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа;
  7. Автоматическое ведение протокола регистрируемых событий;
  8. Контроль печати на локальных и сетевых принтерах.

Основные характеристики

ПАК СЗИ Аккорд-Х К:

  • позволяет установить предельно допустимый порог неудачных попыток аутентификации;
  • позволяет контролировать целостность системных файлов, программ и данных;
  • имеет собственную систему разграничения доступа;
  • предотвращает доступ к остаточной информации при освобождении (распределении) памяти;
  • поддерживает управление потоками информации, при этом обработка информации определённого уровня конфиденциальности выполняется только с помощью выделенных программ (процессов);
  • позволяет блокировать множество параллельных сессий пользователя;
  • поддерживает механизм блокировки экрана после некоторого установленного времени неактивности, который дополнен функцией идентификации пользователя при разблокировании СВТ;
  • позволяет контролировать печать из любого прикладного программного обеспечения и маркировать выводимые на печать документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).

Программное обеспечение комплекса позволяет администратору безопасности информации реализовать правила разграничения доступа на основе набора атрибутов:

Дискреционные ПРД для объектов

R

разрешение на открытие файлов только для чтения

W

разрешение на открытие файлов для записи

Х

открытие объекта на выполнение

О

подмена атрибута R атрибутами RW на этапе открытия объекта

C

разрешение на создание файлов на диске

D

разрешение на удаление файлов

N

разрешение на переименование файлов

L

разрешение на создание жесткой ссылки для объекта

Дискреционные ПРД для контейнеров

M

создание каталогов

E

удаление каталогов

G

разрешение перехода в этот каталог

n

переименование подкаталогов

S

наследование прав на все вложенные подкаталоги

1

наследование прав на 1 уровень вложенности

0

запрет наследования прав на все вложенные подкаталоги

меток доступа, которые могут быть поименованы как уровни секретности либо другим, более удобным образом (количество меток допуска может достигать шестнадцати);

параметров:

  • перечень объектов и прав доступа к ним для группы субъектов;
  • перечень объектов, целостность которых должна контролироваться системой (статический и/или динамический контроль целостности), для конкретного субъекта;
  • перечень объектов, целостность которых должна контролироваться системой (статический и/или динамический контроль целостности), для группы субъектов;
  • перечень системных возможностей субъекта;
  • перечень системных настроек;
  • уровень детальности журнала регистрации событий;
  • назначение/изменение пароля для аутентификации;
  • назначение/изменение идентификатора;
  • временные ограничения - время по дням недели (с дискретностью 30 мин), в которое разрешено начало работ для данного субъекта.

Аккорд-X K выпускается в двух вариантах исполнения:

1) Аккорд-X К — программно-аппаратный комплекс, состоящий из специального ПО разграничения доступа, которое устанавливается на СВТ под управлением ОС Linux, и средств идентификации пользователя.

2) Аккорд-X К в составе средства обеспечения доверенного сеанса связи (СОДС) МАРШ! — программно-аппаратный комплекс, состоящий из СОДС «МАРШ!» с предустановленным на этапе производства специальным ПО разграничения доступа и средств идентификации пользователя.

Вариант исполнения 1 подходит для случаев, когда работа выполняется на компьютерах, расположенных в пределах контролируемой зоны, и производится загрузка ОС, установленной на СВТ.

Вариант исполнения 2 подходит для случаев, когда работа выполняется на недоверенных компьютерах либо возможна смена пользователем рабочего места в пределах контролируемой зоны. Аккорд-Х К в варианте исполнения 2 не оставляет на компьютере после отключения «МАРШ!» никаких следов работы - пользователь работает в ОС, загружаемой из защищенной от записи памяти устройства «МАРШ!».

Вариант исполнения 2 стоит рассмотреть подробнее. Это связано с тем, что наложение дополнительного СЗИ на ПАК СОДС «МАРШ!», единственной функцией которого является обеспечение защищенного соединения с сервером, при поверхностном рассмотрении может показаться неоправданным, поскольку ОС запускается с защищенного от записи раздела памяти (с атрибутом доступа к памяти ReadOnly), а значит, критичные для функционирования ОС файлы не могут быть модифицированы.

Для применения встроенного средства защиты в таком случае есть две группы оснований.

1. Существует всего два основных подхода к обеспечению безопасности данных на АРМ:

  • использование сертифицированных ОС;
  • использование встроенных средств защиты.

С учетом того, что целостность ОС, предустановленной на МАРШ!, защищена технологически, применение сертифицированной ОС без «навесных» средств защиты вполне приемлемо. Однако сертифицированная ОС значительно уступает в гибкости встроенным средствам защиты — она не может быть изменена по желанию заказчика или своевременно обновлена.

Обновляемость ОС и возможность ее комплектации компонентами по выбору Заказчика — это один из основных блоков функциональности СОДС МАРШ! и отказываться от него было бы неверно. Применение Аккорд-Х К позволяет сохранить гибкость работы с ОС, а также обеспечить безопасность и соответствие требованиям нормативной базы.

 

2. Помимо раздела ReadOnly ПАК СОДС «МАРШ!» может содержать разделы с другими атрибутами доступа:

  • ReadWriteHidden (для хранения обновлений, дополнений функционального ПО, ключевой информации VPN и пр.);
  • AddOnly (для хранения аппаратных журналов событий безопасности);
  • ReadWrite (для хранения пользовательских данных).

Данные разделов, доступных для записи, не защищены от несанкционированной модификации. Контроль их целостности может выполняться с помощью механизмов Аккорд-Х К.

Для того чтобы обеспечить доступ пользователей к ресурсам СОДС «МАРШ!» в соответствии с их функциональными обязанностями, Аккорд-Х К реализует функцию разграничения доступа пользователей. Необходимость выполнения соответствующих настроек Аккорд-Х К обусловливает введение в ролевую структуру СОДС «МАРШ!» привилегированного пользователя — администратора информационной безопасности.

Комплекс в рассматриваемом варианте исполнения обеспечивает выполнение СОДС «МАРШ!» также следующих функций:

  • контроль печати;
  • очистка внешней памяти путем записи маскирующей информации в память при её освобождении (распределении);
  • защита от воздействия вредоносного кода (за счет функции контроля запуска задач).

На последнем стоит остановиться подробнее.

Технологически СОДС «МАРШ!» защищен от атаки с целью внедрения вредоносного кода, так как после окончания доверенного сеанса связи содержимое RO раздела приходит в исходное состояние, и вирус, возможно, полученный в ходе сеанса, не записывается на «МАРШ!». Однако добавление в структуру СОДС «МАРШ!» разделов с другими атрибутами доступа делает вероятным запись вирусов в эти разделы. Особенно высока эта вероятность в случае наличия «пользовательского» раздела диска RW, предназначенного для записи пользователем нужных ему для работы в сеансе файлов.

Возможность создания белого списка задач, разрешенных к запуску, исключит вероятность запуска вируса, даже если он запишется на СОДС «МАРШ!».

Кроме того, регулируя атрибутами доступа работу с разными разделами, можно запретить запуск любых задач из любых разделов, кроме раздела RO, оставив возможность только читать данные из остальных разделов и/или писать в них при необходимости.

 

Сравнение с ПАК СЗИ Аккорд-Х

Для реализации функций защиты (в первую очередь доверенной загрузки) Аккорд-Х использует контроллер. Отсутствие контроллера в составе Аккорд-Х К обуславливает некоторые различия в реализации функций. Различия рассмотрены в таблице ниже.

Различие

Аккорд-Х

Аккорд-Х К

Способ реализации процедур контроля целостности

Аппаратный, программный

Программный

Место процедур контроля целостности в поэтапной загрузке компьютера

Выполняется до загрузки ОС и после загрузки ядра ОС

Выполняется после загрузки ядра ОС

Место процедур идентификации/аутентификации в поэтапной загрузке компьютера

Выполняется до загрузки ОС и в процессе штатной идентификации/аутентификации пользователя в ОС

Выполняется в процессе штатной идентификации/аутентификации пользователя в ОС

Хранение эталонных значений контрольных сумм

КС файлов, целостность которых проверяется до загрузки ОС, хранятся в энергонезависимой памяти (ЭНП) контроллера, а КС файлов, целостность которых проверяется после загрузки ядра ОС, хранятся в базе данных (БД) на жестком диске компьютера

В БД на жестком диске компьютера (вариант исполнения 1)/в памяти СОДС "МАРШ!«[3] (вариант исполнения 2)

Хранение идентификационной информации пользователей

Идентификационная информация пользователей АМДЗ хранится в ЭНП контроллера, идентификационная информация пользователей ПО Аккорд-Х — в БД на жестком диске компьютера

В БД на жестком диске компьютера (вариант исполнения 1)/в БД СОДС «МАРШ!» (вариант исполнения 2)

Класс защиты

До 1Б включительно

 

Дополнительные материалы:

Документация:

Аккорд-X K

 

Галерея скриншотов:

 

 

 

Скачать лицензионный продукт ОКБ САПР


[1] Информация имеет минимальный уровень значимости, если обладателем информации и (или) оператором степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не может быть определена, но при этом информация подлежит защите в соответствии с законодательством РФ.

[2] Информация имеет низкий уровень значимости, если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.

 

[3] Изначально раздел с БД имеет атрибуты ReadOnly. В случае необходимости изменения данных администратор может назначить разделу атрибуты ReadWrite на время выполнения административных функций.


Данный текст взят с сайта http://www.accord.ru