Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014
Программа администратора системы защиты информации является частью комплекса «Аккорд-АМДЗ». С помощью этой программы администратор СЗИ может добавлять и удалять пользователей, назначать пользователям идентификаторы и пароли, контролировать аппаратную часть ПЭВМ, прикладные и системные файлы, получает доступ к системному журналу контроллера.
Установка и настройка комплекса «Аккорд АМДЗ»
Установка комплекса. Меню администратора. Перед уста-
новкой аппаратной части комплекса необходимо:
1)отключить питание;
2)вскрыть корпус системного блока ПЭВМ, удалить заглушку на задней панели блока и выбрать свободный PCI слот на материнской плате для установки контроллера.
Расположение элементов и разъемов на плате контроллера «Аккорд-5mx» показано на рис. 9.1.
Рис. 9.1. Плата контроллера «Аккорд-5mx»
211
Если в компьютер устанавливается новый контроллер АМДЗ, то при загрузке выполняется инициализация и форматирование внутренней памяти. После завершения этой операции на экран выводится стартовое меню администратора (рис. 9.2). Если в контроллере нет зарегистрированных пользователей, то в этом меню доступны для выбора только пункты «Администрирование» и «Выход в AcDOS».
«Выход в AcDOS» позволяет загрузить компьютер с использованием внутренней операционной системы контроллера (AсDOS). В дальнейших разработках предполагается включение в состав этой ОС средств диагностики контроллера и компьютера.
Рис. 9.2. Стартовое меню администратора
Клавишей <Enter> запустите программу администрирования. На экран выводится главное меню (рис. 9.3).
Главное меню состоит из следующих полей:
•строка команд (левая половина верхней строки);
•информационная строка (правая половина верхней строки);
•статус (HELP) – нижняя строка;
•рабочее поле (все остальное пространство).
Строка команд позволяет вызвать следующие подпрограммы:
•<Польз> – работа со списком пользователей;
•<Контр> – работа со списками контроля целостности;
•<Сервис> – дополнительные настройки;
212
•<Журнал> – работа с внутренним журналом регистрации событий;
•<Помощь> – описание функций и сведения о продукте.
Рис. 9.3. Главное меню администратора
После начальной инициализации в строке команд недоступны пункты <Контр> и <Журнал>, так как в памяти контроллера не зарегистрировано ни одного пользователя (в верхней информационной строке имя текущего пользователя UNKNOWN, т.е. неизвестный). Поэтому первое действие, которое нужно выполнить – это регистрация пользователя с правами администратора.
Назначение пароля и ТМ-идентификатора пользователю. Гл.
администратор (SUPERVISOR). В меню выберите команду <Польз.>. На экран выводится дерево списка пользователей. При инициализации контроллера создаются две зарезервированные группы пользователей – «Администраторы» и «Обычные». Эти две группы нельзя ни переименовать, ни удалить. Для каждой группы можно задать общие параметры, которые будут устанавливаться по умолчанию при создании пользователя в группе. Для каждого зарегистрированного пользователя можно изменить данные параметры при индивидуальной настройке. Такие же правила будут выполняться и для любой группы, созданной администратором.
При инициализации контроллера в базе данных создается учетная запись «Гл. администратор», но поля этой записи не заполне-
213
ны. Для регистрации администратора системы выберите строку <Гл. администратор>, нажмите <Enter>. На экран выводится окно ввода-вывода «Параметры пользователя» (рис. 9.4).
Рис. 9.4. Параметры пользователя
Выберите строку <Идентификатор> (см. рис. 9.4). На экран выводится информация о зарегистрированном идентификаторе. При первой установке контроллера никаких данных об идентификаторе нет (рис. 9.5).
Рис. 9.5. Информация об идентификаторе
214
Выберите команду <Новый>. На запрос идентификатора (рис. 9.6) прикоснитесь идентификатором к съемнику. Для отмены текущей операции, выберите команду <Отмена>.
Рис. 9.6. Запрос идентификатора
Примечание. В том случае, когда в качестве персонального идентификатора используется ПСКЗИ ШИПКА, на запрос идентификатора следует подключать устройство ШИПКА к USB-порту контроллера АМДЗ. Если в качестве идентификатора используется смарт-карта eToken PRO, то следует вставить карту в считыватель.
После использования идентификатора на экране появляется меню генерации секретного ключа (рис. 9.7), который уникален для каждого пользователя и записывается во внутреннюю память регистрируемого идентификатора. Этот секретный ключ используется в мониторе правил разграничения доступа ACRUN, который позволяет каждому пользователю создать изолированную программную среду (ИПС) и персональный набор файлов, контролируемых на целостность. Кроме того, этот параметр позволяет надежно защищать данные о пользователе в энергонезависимой памяти контроллера, так как в качестве уникального признака используется результирующая хеш-функция от номера идентификатора, пароля и секретного ключа.
Внимание! Идентификатор, в котором не записан секретный ключ, воспринимается как недопустимый в процессе идентифика-
215