Понятие изолированной программной среды

Механизм изолированной программной среды позволяет сформировать для любого пользователя компьютера программную среду, определив индивидуальный перечень программ, разрешенных для запуска. Перечень программ, разрешенных для запуска, может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей.

На этапе настройки механизма составляется список исполняемых файлов. Список исполняемых файлов может быть сформирован автоматически по информации об установленных на компьютере программах, а также может быть задан вручную. Для файлов, входящих в этот список, можно включить режим контроля целостности. По этой причине механизм изолированной программной среды и механизм контроля целостности используют единую модель данных (табл. 3.1).

Таблица 3.1

Объект

Пояснение

Ресурс

Ресурсом может быть файл, каталог, переменная реестра, ключ реестра.

Группа

ресурсов

Множество ресурсов, объединяемых по какому-либо признаку. Например файлы одного и того же типа. Или ресурсы, используемые в рамках определенной пользовательской задачи. Или файлы, хранящиеся в одном каталоге.

Задача

Сформированная в соответствии с политикой безопасности задача контроля определенных ресурсов. Например, контроль целостности ресурсов какой-либо прикладной программы. Или построение замкнутой среды для определенной группы пользователей.

Задача должна включать в себя как минимум одну группу контролируемых ресурсов. Одна и та же группа ресурсов может входить в несколько разных задач.

Задание

Процедура проведения контроля с заданными параметрами. К таким параметрам относят методы контроля, алгоритмы расчета контрольных сумм, расписание проведения проверок, реакция системы на обнаруженные ошибки.

Субъект

Компьютер, пользователь или группа пользователей, к которым в соответствии с политикой безопасности относятся то или иное задание. Задания замкнутой программной среды применяются к пользователям и группам пользователей, а задания контроля целостности - к компьютеру.

Объекты одной категории являются подчиненными или вышестоящими по отношению к объектам другой категории. Так, например, ресурсы являются подчиненными по отношению к группам ресурсов, а группы - подчиненными по отношению к задачам. Задачи, в свою очередь, являются вышестоящими объектами по отношению к группам и т.д. Включение ресурсов в группы, групп в задачи, а задач - в задания называется установлением связей между объектами. И в конечном итоге задания назначаются субъектам. Таким образом, модель, включающая в себя объекты всех категорий, между которыми установлены связи, - это подробная инструкция системе Secret Net, определяющая, что и как должно контролироваться.

Структура модели данных

Рис. 3.1. Структура модели данных

Модель данных состоит из двух частей, одна часть относится к замкнутой программной среде, другая - к контролю целостности. Набор заданий по контролю для каждой из частей модели свой, а задачи, группы ресурсов и ресурсы могут входить как в одну, так и в другую часть модели. На вершине этой пирамиды задания связываются с категорией объектов, которые условно названы «субъектами» (пользователями, группами пользователей и компьютерами). Задания по контролю замкнутой программной среды связываются с пользователями, а задания по контролю целостности - с компьютером.

Модель может содержать и объекты, не связанные с другими или неполные цепочки объектов, однако работать в модели будут только те ее фрагменты, которые объединяют все уровни модели. Неактивные фрагменты модели данных могут быть результатом ее незавершенной разработки или быть следствием временного отключения отдельных частей модели в процессе эксплуатации.

Для пользователей можно установить один из двух дополнительных режимов работы изолированной программной среды.

Подсистема изолированной программной среды не контролирует запуск программ пользователями, наделенными привилегией «Изолированная программная среда: не действует». По умолчанию этой привилегией наделяются администраторы компьютера.

Для всех пользователей компьютера можно включить «мягкий» режим работы подсистемы изолированной программной среды. В этом режиме подсистема контролирует все попытки запуска программ пользователем, но разрешает запускать все программы - отсутствующие в списках разрешенных программ и те, целостность которых нарушена. Этот режим обычно используется на этапе настройки механизма.

Механизм изолированной программной среды функционирует следующим образом. При загрузке системы ядро передает режим работы для пользователя и список разрешенных для запуска программ драйверу подсистемы изолированной программной среды. Драйвер контролирует запуск пользователем программ (и загрузку библиотек). Когда пользователь (или программа, запущенная пользователем) осуществляет попытку запуска какой-либо программы, драйвер проверяет, разрешен ли ее запуск и не нарушена ли ее целостность (если включен режим контроля целостности). Если программа содержится в списке разрешенных программ и ее целостность не нарушена, драйвер разрешает запуск. В противном случае запуск программы блокируется, а в журнале Secret Net фиксируется попытка несанкционированного доступа.

Механизм контроля целостности осуществляет слежение за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков (последние только при использовании ПАК «Соболь»). Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути.

Совокупность ресурсов, которые используются для решения определенных производственных задач, объединяется в группы («задачи»). Для каждого из входящих в группу объектов рассчитываются эталонные значения контролируемых параметров.

В системе предусмотрена гибкая возможность выбора времени контроля. В частности, контроль может быть выполнен при загрузке ОС, при входе пользователя в систему, по заранее составленному расписанию. Для этого составляется задание на контроль.

При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:

  • - регистрация события в журнале Secret Net;
  • - блокировка компьютера;
  • - отклонение или принятие изменений.

Вся информация об объектах, методах, расписаниях контроля сосредоточена в единой (для механизма изолированной среды и контроля целостности) модели данных. Модель данных представляет собой иерархический список объектов и описание связей между ними. В модели используются 5 категорий объектов: ресурсы, группы ресурсов, задачи, задания и субъекты активности (пользователи, группы пользователей и компьютер).

Включение ресурсов в группы, групп в задачи, а задач - в задания называется установлением связей между объектами (рис. 3.2). Таким образом, модель, включающая в себя объекты всех категорий, между которыми установлены связи, - это подробная инструкция системе Secret Net, определяющая, что и как должно контролироваться.

Связи между объектами

Рис. 3.2. Связи между объектами

Модель данных состоит из двух частей, одна часть относится к изолированной программной среде, другая - к контролю целостности. Набор заданий по контролю для каждой из частей модели свой, а задачи, группы ресурсов и ресурсы могут входить как в одну, так и в другую часть модели. На вершине этой пирамиды задания связываются с субъектами. Задания по контролю изолированной программной среды связываются с пользователями и компьютером, а задания по контролю целостности - с компьютером.

Подсистема контроля аппаратной конфигурации компьютера предназначена для:

  • - своевременного обнаружения изменений в аппаратной конфигурации компьютера и реагирования на эти изменения;
  • - поддержания в актуальном состоянии списка устройств компьютера, который используется подсистемой разграничения доступа к устройствам.

Изменения аппаратной конфигурации компьютера могут быть вызваны подключением к компьютеру или отключением от него различных устройств, выходом устройств из строя и добавлением или заменой отдельных устройств.

Все контролируемые устройства разделены на 5 групп:

  • - локальные устройства;
  • - устройства, подключаемые к шине USB;
  • - устройства, подключаемые к шине ШЕЕ 1394;
  • - устройства, подключаемые к шине PCMCIA;
  • - устройства, подключаемые к шине Secure Digital.

Каждая группа разделена на классы, в которые входят устройства.

Для объектов каждого уровня определен свой набор параметров.

Аппаратная конфигурация компьютера определяется на этапе установки системы, а значения параметров контроля задаются по умолчанию. Изменение политики контроля устройств заключается в редактировании списка устройств и запрете или разрешении подключения и отключения устройств. Настройку политики контроля можно выполнить индивидуально для каждого устройства или класса, или группы с использованием принципа наследования параметров.

Используются 2 метода контроля конфигурации:

  • 1. Статический контроль конфигурации. Каждый раз при загрузке компьютера, а также при повторном входе пользователя подсистема получает информацию об актуальной аппаратной конфигурации и сравнивает ее с эталонной.
  • 2. Динамический контроль конфигурации. Драйвер-фильтр устройств отслеживает факт подключения или изъятия устройства. При изменении конфигурации определяется класс устройства и выбирается реакция на изменение конфигурации.

Предусмотрено 2 вида реакций:

  • - регистрация события в журнале Secret Net;
  • - блокировка компьютера.

Предусмотрена возможность работы подсистемы в нескольких режимах. Механизм можно включать или отключать, а также использовать его в «мягком» или «жестком» режиме работы. В «жестком» режиме при обнаружении изменений в конфигурации компьютера подсистема регистрирует соответствующие события в журнале Secret Net и выполняет блокировку компьютера. Если в процессе контроля изменений не обнаружено - регистрируется событие успешного завершения контроля.

Работа в «мягком» режиме отличается тем, что при нарушении конфигурации не выполняется блокировка компьютера.

Решение о необходимости блокировки компьютера принимается при загрузке компьютера и зависит от настройки параметров подсистемы. Признак блокировки сохраняется в ядре системы, так что даже после перезагрузки компьютера он по-прежнему будет заблокирован. Разблокировать компьютер может только администратор.

Функциональный контроль подсистем( предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС (т.е. к моменту начала работы пользователя) все ключевые компоненты Secret Net загружены и функционируют. Функциональный контроль осуществляется перед входом пользователя в систему.

При функциональном контроле проверяется наличие в системе и работоспособность следующих компонентов:

  • - ядро Secret Net;
  • - модуль входа в систему;
  • - криптоядро;
  • - модуль репликации;
  • - подсистема контроля целостности;
  • - подсистема аппаратной поддержки.

В случае успешного завершения функционального контроля этот факт регистрируется в журнале Secret Net.

При нарушении функциональной целостности:

  • - в журнале Secret Net регистрируется факт нарушения (это возможно при условии работоспособности ядра Secret Net);
  • - администратор информируется об ошибочном завершении функционального контроля в окне-приглашении ко входу в систему;
  • - вход в систему разрешается только пользователям, входящим в локальную группу администраторов компьютера.

Запуск функционального контроля инициирует модуль входа в систему. При обнаружении нарушений этот модуль управляет административным входом пользователя в систему.

Кроме того, он информирует администратора об ошибках контроля. Если нарушен и сам модуль входа в систему, то функциональный контроль проводит модуль репликации.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >