• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Огляд СЗІ НСД Dallas Lock Linux

    1. Вступ
    2. Архітектура і системні вимоги СЗІ НСД Dallas Lock Linux
    3. Робота з СЗІ НСД Dallas Lock Linux
    4. Підсистема контролю цілісності
    5. Підсистема ідентифікації і аутентифікації
    6. Підсистема управління доступом
    7. Підсистема гарантованої зачистки інформації
    8. Підсистема контролю пристроїв
    9. Підсистема реєстрації та обліку
    10. висновки

    1. Вступ
    2. Архітектура і системні вимоги СЗІ НСД Dallas Lock Linux
    3. Робота з СЗІ НСД Dallas Lock Linux
      1. 3.1. установка продукту
      2. 3.2. Підсистема контролю цілісності
      3. 3.3. Підсистема ідентифікації і аутентифікації
      4. 3.4. Підсистема управління доступом
      5. 3.5. Підсистема гарантованої зачистки інформації
      6. 3.6. Підсистема контролю пристроїв
      7. 3.7. Підсистема реєстрації та обліку
    4. висновки

    Вступ

    Одна з важливих складових робіт із забезпечення безпеки інформаційних систем - захист робочих станцій і серверів від несанкціонованого доступу (НСД). Вона полягає в контролі входу користувача в систему, розмежування доступу, контролю цілісності і т. Д. На нашому ринку не так багато сертифікованих продуктів, які дозволяють вирішувати ці завдання.

    Одне з таких рішень - це система захисту інформації від несанкціонованого доступу Dallas Lock Linux. Розробкою і виробництвом товарів лінійки Dallas Lock займається Центр захисту інформації ТОВ «Конфидент» з 1992 року. СЗІ Dallas Lock пройшла еволюційний шлях розвитку від простого замка на включення комп'ютера, що працює під управлінням MS-DOS, до розподіленої системи, що задовольняє сучасним вимогам безпеки.

    Продукти Центру захисту інформації ТОВ «Конфидент» регулярно проходять сертифікацію в системі сертифікації ФСТЕК Росії, а також в галузевих системах сертифікації, а сама компанія має відповідні ліцензії ФСБ Росії, ФСТЕК Росії, Роскомнадзора і Міністерства оборони Росії.

    СЗІ НСД Dallas Lock пройшла сертифікаційні випробування на відповідність 5 класу захищеності від несанкціонованого доступу і 4 рівню контролю відсутності НДВ (сертифікат відповідності ФСТЕК Росії № 3594 від 4 липня 2016).

    СЗІ НСД Dallas Lock Linux - система захисту інформації від несанкціонованого доступу накладного типу, призначена для захисту конфіденційної інформації, в тому числі міститься в автоматизованих системах до класу захищеності 1Г включно, в державних інформаційних системах до 1 класу захищеності включно, в інформаційних системах персональних даних для забезпечення 1 рівня захищеності ПДН, в автоматизованих системах управління виробничими і технологічними процесами до 1 класу захищеності включ даткови.

    СЗІ НСД Dallas Lock Linux забезпечує захист робочих станцій і серверів під управлінням ОС сімейства Linux. При використанні спільно з СЗІ Dallas Lock 8.0 призначеної для захисту Windows-платформ СЗІ Dallas Lock 8.0, можлива побудова комплексної системи захисту інформації в гетерогенному середовищі з централізованим управлінням СЗІ Dallas Lock 8.0 і Dallas Lock Linux через Сервер безпеки Dallas Lock.

    Архітектура і системні вимоги СЗІ НСД Dallas Lock Linux

    Архітектура Dallas Lock Linux складається з наступних підсистем:

    • Підсистема ідентифікації і аутентифікації
    • Підсистема управління доступом
    • Підсистема гарантованої зачистки інформації
    • Підсистема контролю пристроїв (апаратної середовища)
    • Підсистема контролю цілісності
    • Підсистема реєстрації та обліку

    Малюнок 1. Архітектура СЗІ НСД Dallas Lock Linux

    Архітектура СЗІ НСД Dallas Lock Linux

    СЗІ НСД Dallas Lock Linux працює на комп'ютерах під управлінням наступних операційних систем сімейства Linux:

    • Debian 7.11 х64 (systemd, версія ядра 3.18).
    • CentOS 7 x64 (версія ядра 3.18, 4.4). Підтримуються всі мінорні версії дистрибутива в рамках зазначеного мажорного релізу.
    • Red Hat Enterprise Linux Server 7 x64 (версія ядра 3.18, 4.4). Підтримуються всі мінорні версії дистрибутива в рамках зазначеного мажорного релізу.
    • Fedora 24 х64 (версія ядра 4.4, 3.18).
    • OpenSUSE 42 x64 (версія ядра 4.4). Підтримуються всі мінорні версії дистрибутива в рамках зазначеного мажорного релізу.
    • Ubuntu 16.04 x64 (версія ядра 4.4). Підтримуються всі мінорні версії дистрибутива в рамках зазначеного мажорного релізу.
    • ЛотОС2 2.1 x64 (версія ядра 3.18).
    • Alt Linux 8 (буде доступно в рамках планового оновлення).

    Виріб призначений для використання на технічних засобах (ТЗ), таких як: персональні комп'ютери, портативні комп'ютери (ноутбуки), сервера і ТЗ з підтримкою віртуальних середовищ (наприклад, KVM).

    Виріб поставляється у вигляді настановних пакетів для кожної із заявлених підтримуваних операційних систем. До складу пакетів входить локальний клієнт СЗІ НСД. Налагодження та управління СЗІ НСД Dallas Lock Linux здійснюється через графічну (реалізовано для Linux і Windows) або консольну оболонки адміністрування.

    Робота з СЗІ НСД Dallas Lock Linux

    установка продукту

    Установка продукту здійснюється з стандартного для Linux пакета. При установці СЗІ НСД потрібно скачування додаткових пакетів з глобальної мережі. Якщо проводиться установка на автономний комп'ютер, необхідно, щоб в локальній мережі був розташований офіційний репозиторій відповідного дистрибутива операційної системи і були виконані відповідні налаштування інфраструктури.

    Слід звернути увагу, що всі сервіси, які вимагають створення користувачів в системі, рекомендується встановлювати до установки СЗІ НСД. В іншому випадку, якщо після установки СЗІ НСД виникла необхідність встановити будь-якої сервіс, який вимагає створення в системі спеціального користувача, можна створити його засобами СЗІ НСД (з прапором «системний») до установки сервісу. Необхідно враховувати, що цей спосіб може не привести до того, що сервіс встановиться коректно.

    Після установки системи захисту необхідно стежити за терміном дії кореневого і призначеного для користувача сертифікатів і при необхідності вчасно їх оновлювати. Даний сертифікат використовується для взаємодії між системою захисту і консоллю управління. Для перевірки терміну дії сертифіката необхідно виконати команду openssl x509 -noout -text -in <шлях до сертифіката>. В результаті виконання команди будуть надані дані по сертифікату, в тому числі і термін дії.

    Крім установки самого СЗІ необхідно визначити, яким чином буде здійснюватися управління. Існує три можливих варіанти управління:

    • локально встановити оболонку адміністрування (консольну і / або графічну);
    • встановити графічну оболонку адміністрування на АРМ під управлінням Windows;
    • централізованим управлінням через сервер безпеки Dallas Lock 8.0.

    У нашому огляді ми будемо використовувати локальну консольную і графічну оболонку адміністрування.

    Підсистема контролю цілісності

    Підсистема реалізує контроль цілісності апаратної середовища, цілісність об'єктів файлової системи і цілісність програмних компонентів СЗІ, а також відновлення цілісності для програмних компонентів засоби захисту інформації.

    Основу механізмів контролю цілісності являє перевірка відповідності контрольованого об'єкта еталонному зразку. Для цього використовуються контрольні суми.

    Малюнок 2. Контроль цілісності пристроїв СЗІ НСД Dallas Lock Linux

    Контроль цілісності пристроїв СЗІ НСД Dallas Lock Linux

    В консольної оболонці адміністрування ishl аналогічна настройка буде виглядати наступним чином:

    policies hardware-integrity-set set-check-on-boot yes set-generate-audit yes execute

    При використанні консольної оболонки адміністрування необхідні команди можна записати в файл і викликати їх, виконавши наступну команду: ishl -f <ім'я файлу>

    Підсистема ідентифікації і аутентифікації

    Підсистема ідентифікації і аутентифікації реалізує механізми перевірки користувачів при кожному вході в операційну систему і в консольний додаток управління СЗІ НСД. Перевіряється ім'я користувача і пароль.

    Підсистема містить механізми перевірки якості (надійності) задається пароля при його зміні користувачем.

    Малюнок 3. Налаштування пароля в СЗІ НСД Dallas Lock Linux

    Налаштування пароля в СЗІ НСД Dallas Lock Linux

    У СЗІ НСД для посилення процедур ідентифікації і аутентифікації можливе застосування апаратних ідентифікаторів. В ідентифікатор може зберігатися ключ (сертифікат) для посиленої аутентифікації користувача.

    Підсистема управління доступом

    Підсистема управління доступом реалізує механізми, спрямовані на розмежування доступу користувачів до захищених об'єктів - до об'єктів файлової системи і до накопичувачів інформації.

    СЗІ НСД Dallas Lock Linux дозволяє гнучко задавати користувачам права на доступ до захищених об'єктів. Після завдання прав користувачі можуть працювати тільки з тими об'єктами, доступ до яких їм дозволено, і здійснювати над ними тільки санкціоновані операції.

    Під час налаштування доступу до файлів і каталогів передбачено управління як класичними правами UNIX, так і списками розширеного контролю доступу через POSIX ACL.

    Малюнок 4. Налаштування прав доступу на файл в СЗІ НСД Dallas Lock Linux

    Підсистема гарантованої зачистки інформації

    Підсистема контролю гарантованої зачистки інформації реалізує очищення звільняються областей оперативної пам'яті, гарантовану зачистку об'єктів ФС і зовнішніх підключаються накопичувачів.

    Гарантована очищення пам'яті функціонує з моменту установки СЗІ НСД і не вимагає введення додаткових команд в командному додатку управління засобом захисту інформації.

    Для очищення залишкової інформації на знімних накопичувачах і об'єктів ФС необхідно використовувати додаткову утиліту, що поставляється разом з СЗІ НСД.

    Малюнок 5. Гарантоване видалення об'єкта файлової системи в СЗІ НСД Dallas Lock Linux

    Підсистема контролю пристроїв

    Підсистема контролю пристроїв реалізує розмежування доступу користувачів і груп користувачів до блокових пристроїв (змінним накопичувачів інформації), обмеження доступу до бездротових пристроїв передачі інформації, пристроїв виведення на друк з метою запобігання несанкціонованого витоку інформації.

    Підсистема реєстрації та обліку

    Підсистема реєстрації і обліку (підсистема аналізу) реалізує можливість аудиту подій, вироблених користувачами над захищеними об'єктами, аудиту подій входів (виходів) в інформаційну систему, в т. Ч. Мережевих, аудиту системних подій, відчуження інформації на накопичувачі або тверду копію, а також фіксацію таких подій в журналах інформаційної безпеки.

    Малюнок 6. Налаштування аудиту файлів в СЗІ НСД Dallas Lock Linux

    висновки

    На сьогоднішній день для обробки інформації в державних інформаційних системах, інформаційних системах персональних даних або в автоматизованих системах управління виробничими і технологічними процесами організаціям потрібно виконувати вимоги регулятора - Накази №17, №21 та №31 ФСТЕК Росії. Так і СЗІ НСД Dallas Lock Linux призначена для використання в інформаційних системах персональних даних 1 рівня захищеності, в державних інформаційних системах 1 класу захищеності і автоматизованих систем управління виробничими і технологічними процесами до 1 класу захищеності включно, створення захищених багатокористувацьких автоматизованих систем до класу захищеності 1Г включно .

    Процес установки простий і інтуїтивно зрозумілий. Адміністратору безпеки надається можливість управління паролями, доступом до об'єктів файлової системи, підсистемою контролю цілісності.

    переваги

    • Наявність механізмів віддаленого і централізованого управління (в т. Ч. Оболонка адміністрування для Windows).
    • Наявність механізмів перевірки автентичності клієнтських частин СЗІ, сервера безпеки (OpenSSL).
    • Підтримка роботи на великому наборі найбільш популярних дистрибутивів Linux.
    • Механізми централізованого управління для клієнтських частин СЗІ НСД Dallas Lock Linux і сервера безпеки СЗІ Dallas Lock 8.0.
    • Захист від підміни ядра і процедур ініціалізації.
    • Власний механізм дискреційного доступу та аудиту доступу.
    • Для консольної оболонки адміністрування є можливість виконувати команди з файлу.

    недоліки

    • До розгортання системи захисту рекомендується встановити всі сервіси, які створюють облікові записи.
    • Необхідно стежити за терміном дії кореневого і призначеного для користувача сертифікатів і при необхідності вчасно їх оновлювати.
    • На кілька об'єктів файлової системи не можна встановити права доступу і політику аудиту.

    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua