Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014

Описание используемых анализаторов уязвимостей

Анализатор уязвимостей «НКВД 2.3» – средство автоматиза-

ции процесса моделирования системы разграничения доступа (СРД) в АРМ пользователей к объектам доступа (ресурсам файловой системы и периферийным устройствам АРМ, а также к ресурсам локальной вычислительной сети). Программа предназначена для администраторов АС (АРМ), отвечающих за безопасность информации в АС (АРМ).

Анализатор уязвимостей «НКВД 2.3» выполняет следующие функции:

–сканирование ресурсов файловой системы АРМ (логических дисков, каталогов, файлов), периферийных устройств (принтеров, НГМД, приводов CD-ROM), а также объектов доступа ЛВС, доступных пользователю АРМ;

–автоматическое построение по результатам сканирования структуры объектов доступа, применительно к АРМ для каждого зарегистрированного пользователя;

–вывод на экран АРМ структуры объектов доступа исследуемого АРМ и таблицы полномочий доступа к объектам доступа АРМ;

–автоматизация операций моделирования СРД АРМ.

Виды полномочий пользователя по доступу к объектам доступа АРМ:

–чтение (R) объекта доступа;

–запись/изменение (W) объекта доступа;

–удаление (D) объектов доступа;

–запуск (E) исполняемых файлов программ;

–создание(C) новых объектов доступа.

Интерфейс программы состоит из двух рабочих панелей «Пользователи» и «Ресурсы», строки меню, панели инструментов и строки состояния (рис. 8.25).

Главное меню состоит из двух пунктов: «Файл» и «Пользователи». Подменю «Файл» содержит команды:

–Сканировать ресурсы – сканирование выбранных ресурсов;

–Выход – выход из программы.

Подменю «Пользователи» содержит команды:

– Добавить – добавление нового субъекта доступа;

191

–Удалить – удаление существующего субъекта доступа;

–Клонировать – клонирование существующего субъекта дос-

тупа.

Рис. 8.25. Интерфейс программы «НКВД 2.3»

Для быстрой работы каждая команда может выполняться указанным сочетанием клавиш.

На панели инструментов для удобства работы продублированы команды «Добавить пользователя», «Клонировать пользователя», «Удалить пользователя», «Сканировать ресурсы» экранными кнопками с всплывающими подсказками об их назначении.

Администратор АС, работающий с «Анализатором уязвимостей «НКВД 2.3», информируется о ходе работы (процессе сканирования) с помощью сообщений в строке состояния.

Для каждого пользователя АРМ, администратор АС определяет имя пользователя. Список из всех имен пользователей АРМ выводится на панели «Пользователи».

Для добавления нового пользователя необходимо выбрать команду «Добавить» и ввести имя пользователя в строке ввода «Имя пользователя» (рис. 8.26).

192

Рис. 8.26. Диалог добавления пользователя

Для сканирования ресурсов используется команда «Сканировать ресурсы».

Перед сканированием необходимо выполнить настройку – определить набор сканируемых ресурсов. Для этого необходимо выбрать указанную команду и в появившемся диалоговом окне отметить в списке ресурсов требуемые (рис. 8.27):

–Дисководы;

–Локальные диски;

–Диски CD-ROM;

–Сетевые диски;

–Виртуальные диски;

–Сеть;

–Локальные принтеры;

–Сетевые принтеры;

–Неизвестные устройства;

–Все ресурсы.

Рис. 8.27. Выбор ресурсов для сканирования

193

После завершения сканирования и при наличии хотя бы одного зарегистрированного «Анализатором уязвимости «НКВД 2.3» пользователя на панели «Ресурсы» выводится структура объектов доступа, тождественная структуре ресурсов файловой системы АРМ, а также сетевых ресурсов ЛВС с учетом доступных периферийных устройств.

На панели «Пользователи» приводится перечень всех пользователей, для которых уже определены или будут определяться полномочия доступа к объектам доступа. Для установления, изменения или просмотра полномочий доступа к ресурсам одного из зарегистрированных пользователей АРМ администратором АС устанавливается курсорная рамка на имени нужного пользователя, после чего возможно выполнение операций по моделированию СРД АРМ для данного пользователя.

На панели «Ресурсы» выводится структура объектов доступа, отображающая структуру ресурсов файловой системы, а также сетевых ресурсов и периферийных устройств, доступ к которым будет определяться. Администратор АС определяет полномочия доступа для каждого пользователя к каждому объекту. При этом могут быть установлены полномочия на совершение следующих операций с объектами доступа:

–Чтение (R) – полномочие доступа устанавливается для логических дисков, каталогов, файлов.

–Запись (W) – полномочие доступа устанавливается для логических дисков, периферийных устройств, каталогов, файлов.

–Удаление (D) – полномочие доступа устанавливается для логических дисков, периферийных устройств, каталогов, файлов.

–Запуск (E) – полномочие доступа устанавливается для логических дисков, каталогов, файлов с расширениями *.bat, *.exe, *.com.

–Создание(C) – полномочие доступа устанавливается для логических дисков, каталогов.

Для ускорения процесса построения модели в программе предусмотрена автоматическая функция наследования полномочий доступа для каталогов и файлов нижнего уровня. При этом при установке требуемых полномочий пользователя по отношению к объекту (установка разрешения или запрета соответствующего полномочия в таблице полномочий) для логического диска или каталога

194

эти полномочия на совершение соответствующих операций распространяются на все каталоги и файлы нижнего уровня этого диска или каталога.

В случае необходимости установки для каталога или файла других полномочий доступа, не совпадающих с наследуемыми, администратор АС имеет возможность установить их вне зависимости от наследуемых полномочий доступа. При этом изменения в дальнейшем полномочий доступа к каталогу, в котором находится каталог или файл-исключение, не приводят к изменению полномочий доступа к этому каталогу или файлу.

Анализатор уязвимости «НКВД 2.2» – средство автоматиза-

ции проверки соответствия полномочий, предоставляемых пользователям системой защиты информации аттестуемой АС (АРМ) по доступу к объектам доступа АРМ (ресурсам файловой системы ОС и периферийным устройствам, а также к ресурсам АС), полномочиям пользователей, указанным в модели системы разграничения доступа (СРД), разработанной средством моделирования анализатор уязвимостей «НКВД 2.3».

Модель СРД создается администратором АС средством моделирования «Анализатор уязвимости «НКВД 2.3» на основании требований проектной (соответствующий раздел «Положения разрешительной системы..») и эксплуатационной («Описание технологического процесса обработки информации») документации на АС

(АРМ).

Предназначен для органов аттестации объектов информатизации по требованиям безопасности информации и используется для инструментальной проверки правильности предоставления системой защиты информации АС (АРМ) полномочий пользователям по отношению к объектам доступа АС (АРМ).

Анализатор уязвимостей «НКВД 2.2» выполняет следующие функции:

–Сравнение данных, полученных сканированием структуры объектов доступа в АРМ (АС) с данными, указанными в описании модели СРД пользователей к объектам доступа АРМ (АС).

–Проверку установленных в модели СРД АРМ полномочий пользователей по доступу к объектам доступа АС (АРМ) на соответствие установленным ПРД разрешительной системы организации – заявителя.

195