Формирование исчерпывающего набора правил разграничения доступа пользователей к объектам

Для каждого сервера, относящегося к информационной системе, определяются поименные перечни пользователей, для которых будут созданы (или уже созданы) учетные записи с соответствующими атрибутами доступа к информации и дополнительными полномочиями.

В соответствии с выбранным способом управления доступом формируются детальные правила разграничения доступа для каждого сервера, каталога и пользователя. Описание правил выполняется на языке выбранной модели управления доступом.

Затем необходимо сформировать единый подход к управлению доступом, по меньшей мере, в рамках основных групп пользователей, для упрощения разграничения доступа каждого пользователя.

Правилами разграничения доступа для групп строго очерчивается круг возможностей, которые имеет каждая группа по отношению к доступному подмножеству ресурсов.

Практическую (экспериментальную) часть курсового проекта следует выполняеть в следующей последовательности.

Разработать структуру ресурсов (каталогов) для заданного количества пользователей АС, приведенных в задании.

Разработать и реализовать таблицу разграничения доступа для пользователей в соответствии с их должностным положением и возможностями прав доступа NTFS к каталогам по их смысловому содержанию. Например, каталог «Общие документы» доступен по чтению для группы «Все сотрудники», каталог «Распоряжения начальника отдела» доступен по чтению для группы «Сотруднтки отдела» и имеет полный доступ для начальника отдела, каталог «Донесения Замначальника отдела» доступен по чтению для начальника отдела, по добавлению для замначальника отдела и недоступен для остальных.

Выполнить с помощью анализатора уязвимостей «Ревизор 2 XP» следующие операции:

1) сканирование ресурсов файловой системы АРМ (введенных каталогов, файлов), доступных пользователю АРМ;

2) автоматическое построение по результатам сканирования структуры объектов доступа, для каждого зарегистрированного пользователя;

3) заполнение таблицы полномочий доступа пользователей к объектам доступа (выполнить вывод на экран и копирование в файл, привести в пояснительной записке).

Выполнить исследование защищенности ресурсов.

«Анализатор уязвимостей «Ревизор 2 XP» - средство автоматизации проверки соответствия полномочий, предоставляемых пользователям системой защиты информации аттестуемой АС по доступу к объектам (ресурсам файловой системы ОС и периферийным устройствам, а также к ресурсам АС), полномочиям пользователей, указанным в модели системы разграничения доступа, разработанной средством моделирования «Анализатор уязвимостей «Ревизор 1 XP».

Выполнить с помощью «Анализатора уязвимостей «Ревизор 2 XP» следующие операции:

1) сравнение данных, полученных сканированием структуры объектов доступа с данными, указанными в описании модели СРД пользователей к объектам доступа;

2) проверку установленных в модели СРД АРМ полномочий пользователей по доступу к объектам доступа на соответствие установленным ПРД.

3) проверку реального предоставления пользователям АРМ системой защиты информации полномочий по доступу к объектам доступа в соответствии с установленными моделью СРД полномочиями.

 

Рисунок 5.1 – Модель таблицы разграничения доступа в программе «Ревизор 2 XP»

Внимание! Планирование проверки реальных полномочий пользователей по отношению к объектам доступа осуществлять только для созданных каталогов. Для этого из плана исключаются все объекты, кроме созданных, по отношению к которым будут выполнены попытки доступа пользователей.

По результатам проверок формируются соответствующие протоколы аттестационных испытаний в виде текстовых файлов, которые приводятся в пояснительной записке.

Рисунок 5.2 – Соответствие полномочий для сотрудника 1