Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014

–Проверку реального предоставления пользователям АРМ системой защиты информации полномочий по доступу к объектам доступа АС (АРМ) в соответствии с установленными моделью СРД полномочиями.

По результатам проверок формируются соответствующие протоколы аттестационных испытаний в виде текстовых файлов.

В качестве объектов доступа АРМ анализатором уязвимостей «НКВД 2.2» рассматриваются:

–логический диск (том) ЖМД АРМ;

–каталог логического диска;

–файл;

–принтер АРМ;

–привод CD-ROM АРМ;

–НГМД АРМ;

–виртуальный логический диск в ОЗУ АРМ;

–сетевой логический диск АРМ;

–сетевой ресурс (диск, каталог или файл, принтер, привод CDROM), к которому разрешен доступ субъектов доступа в АС.

Перечисленные объекты доступа включаются в состав объектов доступа модели СРД АРМ. К ним могут быть установлены следующие виды полномочий доступа:

–Чтение (R) – устанавливается для логических дисков, каталогов, файлов;

–Запись/изменение (W) – устанавливается для логических дисков, периферийных устройств, каталогов, файлов;

–Удаление (D) – устанавливается для логических дисков, периферийных устройств, каталогов, файлов;

–Запуск (E) – устанавливается для логических дисков, каталогов, файлов с расширениями *.bat, *.exe, *.com;

–Создание (C) – устанавливается для логических дисков, каталогов.

Интерфейс программы состоит из двух панелей – левой и правой, строки меню, панели инструментов и строки состояния.

Главное меню состоит из пяти пунктов:

–Файл;

–Сравнение;

–Анализ;

196

–Тестирование;

–?

Подменю «Файл» содержит команды:

–Сканировать ресурсы – сканирование объектов доступа АРМ;

–Открыть файл пользователя – загрузка файла с описанием модели СРД для указанного пользователя;

–Выход – выход из программы.

Файлы с описанием моделей СРД создаются средством моделирования СРД «Анализатор уязвимостей «НКВД 2.3». Он содержит структуру объектов доступа, отображающую структуру ресурсов файловой системы, а также сетевых ресурсов и периферийных устройств, и установленные полномочия доступа к каждому объекту. При этом могут быть установлены полномочия пользователя на совершение следующих операций с объектами доступа:

–Чтение (R) – может быть установлено для логических дисков, каталогов, файлов;

–Запись (W) – может быть установлено для логических дисков, принтеров, каталогов, файлов;

–Удаление (D) – может быть установлено для логических дисков, принтеров, каталогов, файлов;

–Запуск (E) – может быть установлено для логических дисков, каталогов, файлов с расширениями *.bat, *.exe, *.com;

–Создание (C) – может быть установлено для логических дисков, каталогов.

Подменю «Сравнение» содержит команды:

–Сравнить ресурсы – сравнение структуры объектов доступа, полученной путем сканирования ресурсов анализатором уязвимостей «НКВД 2.2», и структуры объектов доступа, содержащейся в описании модели СРД для этого пользователя.

–Внести изменения – занесение изменений, обнаруженных в результате сравнения, в структуру объектов доступа, содержащуюся в описании модели СРД для этого пользователя.

–Сохранить результаты – запись измененного описания модели СРД.

Подменю «Анализ» содержит команды:

–Анализ полномочий – проверка логики и непротиворечивости назначенных прав доступа к защищаемым объектам, установленным в файле пользователя;

197

–Сохранить результаты – запись измененного описания модели СРД.

Подменю «Тестирование» содержит команды:

–Построить план – построение плана проверки реальных полномочий пользователей по отношению к объектам доступа;

–Приступить к тестированию – принятие плана проверки и осуществление в соответствии с ним проверки реально предоставляемых системой защиты информации пользователю полномочий по отношению к объектам доступа.

«Сохранить результаты тестирования» – сохранение результатов о проведенных проверках в файле отчета.

Команда «?» выводит информацию о программе.

Для быстрой работы каждая команда может выполняться сочетанием клавиш, указанным в соответствующих пунктах меню.

На панели инструментов для удобства работы команды «Сканирование ресурсов», «Загрузка пользователя» продублированы экранными кнопками, снабженными всплывающими подсказками об их назначении.

Эксперт, работающий с анализатором уязвимостей «НКВД 2.2», информируется о ходе работы с помощью сообщений в строке состояния.

Левая панель включает четыре закладки: «Сравнение», «Анализ», «Тестирование» и «Сохранение результатов тестирования» (появляется только после окончания тестирования). Каждая закладка содержит панель инструментов, включающую следующие экранные кнопки:

–под закладкой «Сравнение» – экранные кнопки с командами «Сравнить ресурсы», «Сохранить результаты» и «Внести изменения»;

–под закладкой «Анализ» – экранные кнопки с командами «Анализ полномочий» и «Сохранить результаты»;

–под закладкой «Тестирование» – экранные кнопки с командами «Подготовить план», «Сохранить результат», «Приступить к тестированию», «Заменить» – замена объекта доступа в плане, выбранного для проверки полномочий, и «Удалить» – удаление объекта доступа в плане, выбранного для проверки полномочий;

–под закладкой «Результаты» – экранная кнопка с командой «Сохранить результаты тестирования».

198

Все экранные кнопки снабжены всплывающими подсказками. Каждая закладка содержит рабочую область, в которой выводится результат работы соответственно операций сравнения, анализа, тестирования и протокол проверки СРД для пользователя

АРМ.

Правая панель включает (N+1) закладок, где N – количество открытых файлов пользователей.

В рабочей области первой закладки – «Ресурсы» – отображается структура объектов доступа полученная в результате сканирования ресурсов АРМ анализатором уязвимостей «НКВД 2.2». На рабочей области других N закладок в графическом виде представлена модель СРД соответствующего пользователя АРМ, т.е. каждой модели СРД пользователя соответствует закладка с именем пользователя.

Входными данными анализатора уязвимостей «НКВД 2.2» являются:

–данные о структуре ресурсов (объектах доступа) автоматизированного рабочего места АС (хранятся в текстовом файле DEFAULT.TREE, который создается при сканировании объектов доступа анализатором уязвимости «НКВД 2.2»);

–описания моделей системы разграничения доступа (хранятся

втекстовых файлах с расширением .USR отдельно для каждого пользователя) полученные после сканирования программной «НКВД

2.3».

Сканирование объектов доступа АРМ

Для сканирования ресурсов используется команда «Сканировать ресурсы».

Перед сканированием необходимо выполнить настройку – определить набор сканируемых ресурсов. Для этого необходимо выбрать указанную команду и в появившемся диалоговом окне отметить требуемые ресурсы в списке (рис. 8.28).

Если в процессе сканирования будут найдены устройства, которые невозможно прочесть (например, пустой дисковод), анализатор уязвимостей «НКВД 2.2» посчитает, что данный объект доступа закрыт паролем, и предложит его ввести. После завершения сканирования на правой панели в закладке «Ресурсы» выводится структура объектов доступа, тождественная структуре ресурсов файло-

199

вой системы АРМ, а также сетевых ресурсов ЛВС с учетом доступных периферийных устройств.

Рис. 8.28. Закладка сравнения ресурсов

Администратор должен дать описание моделей СРД пользователей, содержимое которых подвергнется проверке анализатором уязвимостей «НКВД 2.2». Отображение содержимого файла производится под закладкой с указанием имени пользователя на правой панели.

При попытке открыть файл с описанием СРД, который уже загружен, администратор получает предупреждение: «Этот пользователь уже открыт!»

Сравнение данных сканирования объектов доступа АРМ с данными описания модели СРД

Для выполнения сравнения структуры объектов доступа, полученной путем сканирования ресурсов анализатором уязвимостей

200