Механизм полномочного управления доступом обеспечивает:
• разграничение доступа пользователей к информации, которой назначена
категория конфиденциальности (конфиденциальная информация);
• контроль подключения и использования устройств с назначенными
категориями конфиденциальности;
• контроль потоков конфиденциальной информации в системе;
• контроль использования сетевых интерфейсов, для которых указаны
допустимые уровни конфиденциальности сессий пользователей;
• контроль печати конфиденциальных документов.
По умолчанию в системе предусмотрены следующие категории конфиден-
циальности: "неконфиденциально" (для общедоступной информации),
"конфиденциально" и "строго конфиденциально". При необходимости можно
увеличить количество используемых категорий и задать для них названия в соот-
ветствии со стандартами, принятыми в вашей организации. Максимально
возможное количество категорий — 16.
Категорию конфиденциальности можно назначить для следующих ресурсов:
• локальные физические диски (кроме диска с системным логическим
разделом) и любые устройства, включаемые в группы устройств USB, PCMCIA,
IEEE1394 или SecureDigital;
• каталоги и файлы на дисках.
Доступ пользователя к конфиденциальной информации осуществляется в соот-
ветствии с его уровнем допуска. Если уровень допуска пользователя ниже, чем
категория конфиденциальности ресурса, — система блокирует доступ к этому
ресурсу. После получения доступа к конфиденциальной информации уровень
конфиденциальности программы (процесса) повышается до категории
конфиденциальности ресурса. Это необходимо для того, чтобы исключить
возможность сохранения конфиденциальных данных в файлах с меньшей кате-
горией конфиденциальности.
Полномочное разграничение доступа на уровне устройств осуществляется следу-
ющим образом. Если устройство подключается во время сеанса работы пользо-
вателя c уровнем допуска ниже, чем категория устройства, система блокирует
подключение устройства. При подключении такого устройства до начала сеанса
работы пользователя — запрещается вход пользователя в систему. В режиме
контроля потоков уровень конфиденциальности сессии пользователя должен
соответствовать категориям всех подключенных устройств.
Функционирование устройства разрешено независимо от уровня допуска пользо-
вателя, если для этого устройства включен режим "Устройство доступно без
учета категории конфиденциальности". Данный режим включен по умолчанию.
Доступ к содержимому конфиденциального файла предоставляется пользо-
вателю, если категория файла не превышает уровень допуска пользователя. При
этом категория конфиденциальности устройства, на котором располагается
файл, также анализируется и имеет более высокий приоритет по сравнению с
категорией конфиденциальности файла. Если категория файла ниже категории
конфиденциальности устройства — система считает категорию файла равной
категории устройства. При обратной ситуации, когда категория файла превы-
шает категорию конфиденциальности устройства, такое состояние
расценивается как некорректное и доступ к файлу запрещается.__
Контроль печати
Механизм контроля печати обеспечивает:
• разграничение доступа пользователей к принтерам;
• регистрацию событий вывода документов на печать в журнале SecretNet
Studio;
• вывод на печать документов с определенной категорией конфиден-
циальности;
• автоматическое добавление грифа в распечатываемые документы
(маркировка документов);
• теневое копирование распечатываемых документов.
Принципы построения
Для реализации функций маркировки и/или теневого копирования
распечатываемых документов в систему добавляются драйверы "виртуальных
принтеров". Виртуальные принтеры соответствуют реальным принтерам,
установленным на компьютере. Список виртуальных принтеров автоматически
формируется при включении контроля печати и режима теневого копирования.
Печать в этом случае разрешается только на виртуальные принтеры.
При печати на виртуальный принтер выполняются дополнительные преоб-
разования для получения образа распечатываемого документа в формате
XML PaperSpecification (XPS). Далее XPS- документ копируется в хранилище
теневого копирования (если для принтера включена функция теневого копиро-
вания), модифицируется нужным образом и после этого передается для печати в
соответствующее печатающее устройство.
Межсетевой экран
Система SecretNetStudio обеспечивает контроль сетевого трафика на сетевом,
транспортном и прикладном уровнях на основе формируемых правил фильт-
рации.
Подсистема межсетевого экранирования SecretNetStudio реализует следующие
основные функции:
• фильтрация на сетевом уровне с независимым принятием решений по каж-
дому пакету;
• фильтрация пакетов служебных протоколов (ICMP, IGMP и т.д.),
необходимых для диагностики и управления работой сетевых устройств;
• фильтрация с учетом входного и выходного сетевого интерфейса для про-
верки подлинности сетевых адресов;
• фильтрация на транспортном уровне запросов на установление виртуальных
соединений (TCP-сессий);
• фильтрация на прикладном уровне запросов к прикладным сервисам
(фильтрация по символьной последовательности в пакетах);
• фильтрация с учетом полей сетевых пакетов;
• фильтрация с учетом даты/времени суток.
Фильтрация сетевого трафика осуществляется на интерфейсах Ethernet (IEEE
802.3) и Wi-Fi (IEEE 802.11b/g/n).События, связанные с работой межсетевого
экрана, регистрируются в журнале SecretNetStudio.
Обнаружение и предотвращение вторжений
Сочетание сигнатурного и эвристического методов анализа сетевого трафика. Защита ПК от атак в сети и внешних источников. Блокировка обнаруженной атаки в реальном времени в режиме предотвращения вторжения. Централизованное управление с распределением полномочий администраторов на разных уровнях иерархии управления.