CC BY
58
ВЫБОР НАИБОЛЕЕ НАДЕЖНОГО И ПОДХОДЯЩЕГО ПРОГРАММНО-АППАРАТНОГО СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА Лукин Е.С. Email: Lukin641@scientifictext.ru
Лукин Евгений Сергеевич - студент, кафедра проектирования и безопасности компьютерных систем, факультет безопасности информационных технологий, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, г. Санкт-Петербург
Аннотация: в статье анализируются три варианта программно-аппаратных средств защиты информации, позволяющих создавать защиту от несанкционированного доступа для существующей рабочей среды (компьютеры под управлением операционной системы семейства Windows). Основным вопросом, рассматриваемым в данной статье, является выбор одного из приведенных средств системными администраторами, которые ставят перед собой задачи разграничения и контроля доступа, а также сохранения целостности хранящейся информации в автоматизированных рабочих местах. Раскрыты основные преимущества каждого средства защиты.
Ключевые слова: анализ, несанкционированный доступ, безопасность, администрирование, автоматизированные системы.
SELECTION OF THE MOST RELIABLE AND SUITABLE SOFTWARE AND HARDWARE MEANS OF INFORMATION PROTECTION AGAINST
UNAUTHORIZED ACCESS Lukin E.S.
Lukin Evgeniy Sergeevich - Student, DEPARTMENT OF COMPUTER SYSTEMS DESIGN AND SECURITY, FACULTY OF INFORMATION TECHNOLOGY SECURITY, ST. PETERSBURG NATIONAL RESEARCH UNIVERSITY OF INFORMATION TECHNOLOGIES, MECHANICS AND OPTICS, ST. PETERSBURG
Abstract: the article analyzes three variants of software and hardware information security tools that allow you to create protection against unauthorized access to an existing working environment (computers running the Windows operating system). The main issue addressed in this article is the choice of one of these tools by system administrators, who set themselves the task of differentiation and access control, as well as preserving the integrity of stored information in automated workplaces. The main advantages of each means ofprotection are revealed.
Keywords: аnalysis, unauthorized access, security, administration, automated systems.
УДК 004.45
Для анализа были взяты три варианта программно-аппаратных средств защиты информации:
• Secret Net от компании «Код безопасности»
• Страж NT от НПЦ «Модуль»
• Dallas Lock
Secret Net
Многие проблемы возникают из-за незнания практически фундаментального свойства установленного средства защиты информации (далее СЗИ) — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии.
Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки.
| 37 | ВЕСТНИК НАУКИ И ОБРАЗОВАНИЯ № 5(41) 2018. Том 1
Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.
В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий».
Страж NT
Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.
Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.
Dallas Lock
Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.
Первая ошибка связана с возможным использованием двух паролей — для Dallas Locto и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».
Вторая связана со скрытым по умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.
Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру [1].
Все продукты примерно равны по характеристикам (особенно с появлением в версии 7.7 Dallas Locto контроля USB-устройств), вопрос о применении конкретного средства решается либо на основе возможности установки в целевую систему, либо на основе уровня взаимоотношений с поставщиками.
Под возможностью установки понимается различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор [2]. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало, было проще воспользоваться другим СЗИ).
В нашем случае, когда автоматизированное рабочие место автономно — фаворитом выходит Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа.
Список литературы / References
1. Корпоративный портал продукции Dallas. [Электронный ресурс]. Режим доступа:
https://dallaslock.ra/закрытый/ (дата обращения: 10.04.2018).
2. ГОСТ-Р ИСО/МЭК 13335-1-2006. [Электронный ресурс]. Режим доступа:
http://rfcmd.ru/spЫder/docsЛnfoSec/GOST-RJSOJEC_13335-Ш06.htm,свободньIЙ/ (дата
обращения: 14.04.2018).
ВЕСТНИК НАУКИ И ОБРАЗОВАНИЯ № 5(41) 2018. Том 1 | 38 |
