Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014

Для просмотра результатов в виде дерева, необходимо нажать

кнопку . После этого на экране появится окно, в котором выявленные в ходе тестирования несоответствия разбиваются на две группы: невыполненные запреты – пользователю запрещен доступ в модели разграничения доступа, но на практике он получил доступ к объекту, и невыполненные разрешения − пользователю разрешен доступ в модели разграничения доступа, но на практике он не получил доступа к объекту. Каждая из этих групп представлена в виде дерева, узлами первого уровня являются права доступа. В случае если выявлены несоответствия, относящиеся к какому-либо праву

доступа, узел отображается значком .

В «Ревизор 2 ХР» имеется возможность создания отчетов по результатам тестирования. Для создания отчета необходимо нажать

кнопку . После этого на экране появится запрос о типе создаваемого отчета. Аналогично двум режимам отображения, существует два типа отчетов:

Отчет с группировкой информации по имени объекта – данные отображаются аналогично режиму просмотра результатов в виде таблицы. Для этого режима дополнительно можно указать, чтобы в отчет были добавлены только те объекты, по отношению к которым были выявлены несоответствия реальных и требуемых прав доступа.

Отчет с группировкой по правам доступа – данные отображаются аналогично режиму просмотра результатов в виде дерева.

Особенности тестирования систем с полномочным управлени-

ем доступом. При тестировании систем с полномочным управлением доступом необходимо учитывать следующие положения:

В случае обращения к файлу, гриф секретности которого выше степени секретности программы, степень секретности программы повышается до грифа секретности файла:

•программа не может осуществлять запись в файлы, гриф секретности которых ниже, чем степень секретности программы;

•невозможно копирование файлов в каталоги, гриф секретности которых ниже грифа секретности файлов;

•в некоторых системах защиты информации файл при копировании наследует гриф секретности от каталога, в который он копируется.

276

Из этого возникают следующие сложности, приводящие к невозможности полноценного тестирования файлов с разными уровнями секретности:

Резервное копирование. Каталог, предназначенный для резервного копирования файлов, должен иметь наибольший гриф секретности копируемых файлов. Если файлы наследуют гриф секретности от каталога, в который они копируются, то автоматическое восстановление файлов, чей гриф секретности был ниже, чем у каталога резервного копирования, будет невозможно.

Запись в протокол тестирования. «Ревизор 2 ХР» в ходе тес-

тирования осуществляет запись о выполняемых операциях в протокол тестирования. Для того чтобы запись была возможна, необходимо, чтобы файл протокола имел наибольший из грифов секретности тестируемых файлов.

Тестирование. При тестировании, получив некоторый уровень секретности, «Ревизор 2 ХР» не сможет осуществить запись данных в файлы с более низким уровнем секретности. Будет зафиксировано отсутствие доступа на запись и добавление данных к этим файлам.

Для разрешения этих проблем в программе есть возможность тестирования объектов с одинаковыми грифами секретности. Отбор таких объектов осуществляется при автоматическом построении плана путем указания требуемого грифа секретности. При выполнении тестирования каталог, предназначенный для резервного копирования файлов и файл протокола тестирования должны иметь тот же гриф секретности, что и тестируемые файлы.

Разграничение доступа к объектам файловой системы АРМ с установленной ОС Windows XP

Windows XP предоставляет возможность разграничения доступа к объектам файловой системы для каждого пользователя, работающего в ней. Назначение прав доступа к объектам выполняется пользователем «Администратор», или любым другим пользователем, наделенным правами администратора.

Создание пользователя. Для создания пользователя необходимо выполнить несколько действий: Перейти в окно оснастки «Локальные Группы и Пользователи». Чтобы открыть оснастку нажмите

277

кнопку «Пуск» и выберите «Панель управления», щелкните дважды значок «Администрирование», а затем «Управление компьюте-

ром» (рис. 10.19).

Рис. 10.19. Оснастка «Локальные Группы и Пользователи»

Далее щелкните правой клавишей мыши, в правой части окна появится меню, с помощью которого можно создать пользователя. По умолчанию созданный пользователь будет принадлежать группе пользователей «Пользователи». При необходимости в свойствах пользователя можно установить или изменить некоторые параметры. Во вкладке «Общие»: «Требование к смене пароля при входе в систему», «Запрет на смену пароля», «Срок действия пароля», «Включение, Отключение учетной записи», «Блокировка учетной записи», во вкладке «Членство в группах» можно определить группы, к которым данный пользователь будет принадлежать. Во вкладке «Профиль» осуществляется работа с профилем пользователя.

Разграничения доступа. Для того чтобы провести разграничение доступа для созданного пользователя к какому-либо объекту

278

файловой системы (файл, папка, приложение) щелкните по нему правой кнопкой мыши, появится список возможных действий с этим объектом (рис. 10.20). Затем перейти к свойствам объекта. Во вкладке «Безопасность» можно настроить доступ локальных пользователей к объекту (рис.10.21).

Рис. 10.20. Список возможных действий с объектом

Внимание! Если вкладка «Безопасность» отсутствует, следует выполнить следующие действия:

1)нажать кнопку «Пуск», затем «Мой компьютер»;

2)в строке меню выбрать вкладку «Сервис», затем «Свойства папки» и вкладку «Вид»;

3)убрать галочку «Использовать простой общий доступ к фай-

лам».

Для того чтобы задать нашему пользователю индивидуальные права, не зависящие от настроек группы к которой он принадлежит, необходимо сделать следующее. Нажать кнопку «Дополнительно» и убрать галочку с пункта «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне» (рис. 10.22).

279

Рис. 10.21. Настройка прав доступа

Далее появляется окно «Безопасность» (рис. 10.23), в котором необходимо нажать кнопку <Копировать>. Если выбрать другое − <Удалить>, то все объекты в поле разрешений удаляться, и доступ к данному объекту будет разрешен только его владельцу.

Теперь необходимо перейти во вкладку «Безопасность» и удалить группу «Пользователи» из списка групп.

Внимание! Без вышеприведенных действий группу «Пользователи» удалить из списка нельзя. Таким образом, можно удалить любую группу из списка.

Итак, группа «Пользователи» больше не имеет никакого доступа к нашему объекту. Теперь остается только добавить созданного пользователя в список и дать ему соответствующие права для использования этого объекта.

280