Дискреционное разграничение доступа.
Для дискреционного разграничения доступа к ресурсам файловой системы, системному реестру и системным средствам управления компьютером используются стандартные механизмы ОС Windows XP. Для разграничения доступа к дискам, портам и другим устройствам используются средства SecretNet - механизм разграничения доступа к устройствам. Все устройства подключаемые к защищенным ПК делятся на 5 групп: локальные,USB,PCMCI,IEEE1394,SD. Группы включаются в себя классы, а те уже сами устройства.
Разграничение доступа пользователей к устройствам выполняется на основании списков устройств, формируемых механизмом контроля аппаратной конфигурации. При установке SecretNet -устанавливаются и права доступа к устройствам по умолчанию. Они предоставляют полный доступ трем стандартным группам пользователей - Система, Администраторы, Все. к устройствам компьютера - т.е всем пользователям разрешен доступ без ограничения ко всем устройствам подключенным к компьютеру на момент установки ПО.
Права доступа складываются из разрешения и запретов на выполнение определенных операций. Набор операций зависит от типа устройства.
Механизм разграничения доступа к устройствам может работать в следующих режимах:
Жесткий - несанкционированные операции пользователя запрещаются.
мягкий - несанкционированный доступ разрешается, но регистрируется
отключение - доступ к устройствам не контролируется и не регистрируется.
Если в процессе работы в системе появляется новое устройство, система защиты определяет его и относит к соответствующей группе (классу). Доступ пользователей к этому устройству устанавливается автоматически в соответствии с правилами действующими для группы или класса устройства.в рамках локальной политики права доступа для каждого объекта определяются в соответствии с правилами наследования от групп к классам, от классов к устройствам.
Администрирование
Средства управления SecretNet - для локальный и доменных пользователей встроены в стандартную оснастку "Управление компьютером" группы "Администрирование" панели управления, доступной через опцию "Управление компьютером", группы программ SecretNet с их помощью можно управлять:
1.персональными идентификаторами пользователей.
2.криптографическими ключами пользователей
3.уровнем допуска пользователей к конфиденциальной информации.
Для настройки параметров для доменного пользователя работающего на данном компьютере, необходимо его зарегистрировать в ПО.далее присвоить ему персональные идентификаторы
Привилегии пользователей
В механизме полномочного разграничения доступа используются 3 привилегии
пользователя:
· Управление категориями конфиденциальности :
Пользователь может изменять (повышать и понижать) категорию конфиденциальности как файла, так и каталога в рамках своего уровня доступа. Пользователь может изменять значение параметра автоматического наследования категории конфиденциальности у каталогов
· Печать конфиденциальных документов :
Используется для разрешения пользователю выводить на принтер конфиденциальные документы. Привилегия применяется при включенном режиме
контроля печати конфиденциальных документов.
· Вывод конфиденциальной информации:
Пользователю разрешается выводить конфиденциальную информацию на внешние носители.
Привилегия "Управление категориями конфиденциальности" предоставляется пользователям, уполномоченным изменять категории конфиденциальности ресурсов (файлов и каталогов). Привилегия может быть предоставлена пользователю только в том случае, если ему установлен уровень допуска "конфиденциально" или "строго конфиденциально". Пользователь, не имеющий данной привилегии, может только повышать категорию конфиденциальности файла в пределах уровня конфиденциальности сессии. Привилегии "Печать конфиденциальных документов" и "Вывод конфиденциальной информации" используются соответственно в режимах контроля печати и вывода конфиденциальной информации на внешние носители
Так же как и уровни допуска, привилегии предоставляются доменным пользователям — средствами централизованного управления, а локальным — средствами локального управления.
После установки SecretNet 5.0 пользователи по умолчанию привилегий не имеют.
Электронные ключи.
Представляют собой один из популярных методов защиты ПО. Они предполагают нестандартное использование порта компьютера.
На определенную комбинацию ключ должен посылать определенный ответ. Программа сравнивает его с эталонным значением. Для посылки могут использоваться псевдослучайные числа.
Виды ключей:
1) Простейшие (работают по принципу проверки наличия ключа). Первые электронные ключи с примитивной логикой счетчиках и дешифраторах. Ключ легко было подделать, использовали микросхему и печатный…
2) Стандартные (по принципу внешнего запоминания устройства) Принцип работы описывает y=f(x), x- данные, передаваемые ключу от программы, y- возвращаемые данные.
3) На базе программируемых логических матриц(Реализуют функцию (?), x и y – могут представлять последовательность чисел)
4) Электронные ключи энергозависимой программируемой памятью(имеется возможность дистанционного перепрограммирования ключей.Ключи можно подделать или смоделировать, поэтому часто используются комбинированные ключи)
5) На базе микроконтроллера (обладает высокой стойкостью ОЗУ.Способны реализовать сложную функцию y=f(x). Конкретный вид функции может определяться дискретно. Входные и выходные последовательности могут достигать сотен байт)
Достоинства электронных ключей:
1) Высокая стойкость ко взлому по сравнению с программной защитой.
2) Идеальная совместимость. Дискетная совместимость.
3) Легкость использования за счет быстрой защиты уже готовых приложений.
4) Возможность усиленной защиты за счет встраиваемой функции.
5) Возможность защиты от НСД к данным за счет их шифрования с использованием параметров электронного ключа.
6) Возможность выбирать схему защиты.
7) Простота тиражируемости.
8) Удобство поддержки поставки новых версий за счет технологии дистанционного прочтения ключей. Возможно использовать единый дистрибутив.
9) Простота преобразований demo-версий в полнофункциональный.
10) Возможность лизинга или аутсортинга. Взять на прокат.
11) Возможность лицензирования с использованием одного ключа.
12) Удобство конечного пользователя (небольшие размера, простота установки)
13) Возможность создания неограниченного числа резервных копий.
14) Возможность закончить (продолжить) работу дома.
15) Возможность проверки программы при запуске на наличие вирусов или изменений.