Материал: Горбатов Аттестационные испытания автоматизированных систем от 2014
пункта «Установка доступа к объектам с использованием дискреционного метода ПРД».
Механизм управления мандатным доступом допускает использование восьми уровней доступа. Администратор безопасности с помощью программы настройки комплекса может менять количество используемых в конкретной системе уровней допуска и их названия.
ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ
1. Установка программной части комплекса
Установите СПО на жесткий диск. Описание процесса установки СПО приведено в пункте «Этапы установки комплекса».
Если аппаратная часть комплекса не установлена необходимо установить ее и настроить согласно описанию, приведенному в первой лабораторной работе.
2. Создание пользователей
Запустите программу ACED32.EXE. Предъявите идентификатор администратора ИБ, если идентификация/аутентификация администратора прошла успешно, то выполняется синхронизация базы данных редактора прав доступа с базой данных пользователей, находящейся в ЭНП контроллера «Аккорд-АМДЗ».
Если в аппаратной части был зарегистрирован пользователь «user», то необходимо создать еще одного пользователя «user1». Если нет, то создать двух пользователей «user», «user1». Задать пользователям пароли и личные идентификаторы.
3. Реализация дискреционного механизма разграничения доступа
Запустите программу ACSETUP.EXE, в поле «Механизмы разграничения доступа» установите флаг «Дискреционный».
Подготовьте рабочее место для выполнения задания: используйте шаблоны из лабораторной работе № 10. Создайте папки «Test» и «Test1»на локальном диске C. Добавьте в них папки и файлы согласно шаблону (рис. 14.20).
376
Рис. 14.20. Шаблон для выполнения рабочего задания
Запустите программу ACED32.EXE. Разграничьте доступ пользователям «user» и «user1» согласно вариантам приведенным ниже
(табл. 14.2–14.5).
Вариант № 1
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 14.2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Объект / |
|
Test |
|
Test4 |
|
Test1.* |
|
Test2.* |
Test3.* |
Test5.exe |
|
||
Пользователь |
|
|
|
|
|||||||||
user |
|
R |
|
R,A |
|
R,W,D |
|
R,W,D |
R |
X |
|
||
user1 |
|
R |
|
- |
|
R |
|
R |
R |
- |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 14.3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Объект / |
Test1 |
|
Test1.4 |
Test1.1.* |
Test1.2.* |
|
Test1.3.* |
Test1.5.exe |
|
||||
Пользова- |
|
|
|
||||||||||
тель |
|
|
|
|
|
|
|
|
|
|
|
|
|
user |
|
R |
|
|
R,A |
- |
|
R |
|
R |
X |
|
|
user1 |
R,A |
|
|
R |
|
R,W,D |
|
R,W,D |
|
R,W,D |
X |
|
|
|
|
|
|
|
|
377 |
|
|
|
|
|
|
|
Вариант № 2
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 14.4 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Объект / |
|
Test |
Test4 |
|
Test1.* |
Test2.* |
|
Test3.* |
|
Test5.exe |
|
||||
Пользователь |
|
|
|
|
|||||||||||
user |
|
R,A |
R,D,A |
|
R |
R,W |
|
R |
|
X,D |
|
||||
user1 |
|
R,A |
R,A |
|
R |
R |
|
R,W,D |
|
X |
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 14.5 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Объект / |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Пользова- |
Test1 |
Test1.4 |
Test1.1.* |
Test1.2.* |
|
Test1.3.* |
Test1.5.exe |
|
|||||||
тель |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
user |
R |
|
R |
|
- |
|
R,W |
|
|
R,W |
|
X |
|
||
user1 |
R,A |
|
R |
|
R,W |
|
R,D |
|
- |
- |
|
||||
4. Активизация подсистемы управления доступом
Выполните следующие действия: запустите программу ACSETUP.EXE, перейдите Команды => Инсталлировать или нажмите кнопку на панели задач Инсталляция (рис. 14.21).
Рис. 14.21. Активизация подсистемы управления доступом
После этих действий выполните перезагрузку ПЭВМ (PC).
378
5.Проверка настроек дискреционного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР»
Спомощью программы «Ревизор 1 ХР» создайте проект разграничения доступа согласно одному из вариантов описанных выше. Выполните тестирование с помощью программы «Ревизор 2ХР». Сохраните html отчет.
5.Реализация мандатного механизма разграничения доступа
Для реализации мандатного механизма запустите программу ACSETUP.EXE. В поле «Механизмы разграничения» установите флаг «Мандатный». В пункте меню «Параметры» можно изменить дополнительные параметры и настройки.
Пункт меню «Категории доступа» позволяет редактировать список категорий доступа, который используется в реализации мандатного механизма разграничения доступа (рис. 14.22).
Рис. 14.22. Редактирование списка категорий доступа
Сделайте четыре категории доступа: Общедоступно, Конфиденциально, Секретно, Совершенно секретно.
Вариант № 1. Установите уровни доступа для пользователей:
379
•«user» – Секретно («С»);
•«user1» – Общедоступно («-»).
В скобках приведены обозначения, которые используют «Ревизор 1 ХР» и «Ревизор 2 ХР».
Установите уровни доступа для объектов (табл. 14.6).
Таблица 14.6
Папка |
Уровень доступа |
Local disk C |
Общедоступно («-») |
Test |
Конфиденциально («Д») |
Test1 |
Общедоступно («-») |
Вариант № 2. Установите уровни доступа для пользователей:
•«user» – Конфиденциально («Д»);
•«user1» – Секретно («С»).
Установите уровни доступа для объектов (табл. 14.7).
|
Таблица 14.7 |
|
|
|
|
Папка |
Уровень доступа |
|
Local disk C |
Конфиденциально («Д») |
|
Test |
Секретно («С») |
|
Test1 |
Конфиденциально («Д») |
|
7. Проверка настроек мандатного механизма разграничения доступа с помощью программ «Ревизор 1 ХР» и «Ревизор 2 ХР»
С помощью программы «Ревизор 1 ХР» создайте проект разграничения доступа согласно одному из вариантов описанных выше. Запустите «Ревизор 2 ХР». Перейдите к построению плана тестирования.
Обязательно исключить из плана тестирования системные файлы!
В параметрах построения плана тестирования (рис. 14.23) необходимо поставить флаг на параметре «Проверка полномочного режима управления доступом».
При тестировании систем с полномочным управлением доступом необходимо учитывать следующие положения:
380