Москва, ул. Дружинниковская, д. 15, оф. 223

+7 (495) 120-15-37 info@gorizont-vs.ru

Модель защиты ПАК «Горизонт-ВС»

ПАК «Горизонт-ВС» соответствует требованиям руководящего документа ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 5 классу защищенности.

Изделие обеспечивает реализацию функций по защите информации от несанкционированного доступа, которым соответствуют требования безопасности согласно ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» и «Профиля защиты средства доверенной загрузки уровня платы расширения четвёртого класса защиты ИТ.СДЗ.ПР4.ПЗ».

Соответствие показателей защищенности требованиям безопасности приведено в таблице.

Соответствие показателей защищенности требованиям безопасности

Наименование показателя защищённости Функция безопасности изделия
1. Дискреционный принцип контроля доступа FDP_ACC.2 полное управление доступом
FDP_ACV_EXT.1 Управление доступом к компонентам виртуальной инфраструктуры
FDP_ACF.1 управление доступом, основанное на атрибутах безопасности
FMT_MTD.1 Управление данными ФБО
2. Очистка памяти FDP_RIP.1 Ограниченная защита остаточной информации
3. Идентификация и аутентификация FIA_UAU.1 Выбор момента аутентификации
FIA_UID.1 Выбор момента идентификации
4. Гарантии проектирования AGD_FBI_EXT.1 Руководство по функциям безопасности
5. Регистрация FAU_GEN.1 Генерация данных аудита
FAU_SAR.1 Просмотр аудита
FAU_SAR.3 Выборочный просмотр аудита
6. Целостность комплекса средств защиты (КСЗ) FDP_SDI.2 Мониторинг целостности хранимых данных и предпринимаемые действия
7. Тестирование ATE_FUN.1 Функциональное тестирование
8. Руководство пользователя AGD_USR.1 Руководство пользователя
AGD_ADM.1 Руководство администратора
9. Руководство по КСЗ AGD_FBI_EXT.1 Руководство по функциям безопасности
10. Тестовая документация ATE_FUN.1 Функциональное тестирование
AGD_FBI_EXT.1 Руководство по функциям безопасности
11. Конструкторская и проектная документация ADV_CON_EXT.1 Конструкторская и проектная документация

С целью реализации вышеописанных требований РД ФСТЭК России разработана модель защиты, основанная на следующих принципах:

  • защищается информация, хранимая и обрабатываемая в ПАК «Горизонт-ВС»;
  • объектами доступа являются виртуальные машины (ВМ);
  • субъектами доступа являются пользователи;
  • изделие работает только с идентифицированными и аутентифицированными пользователями;
  • механизм аутентификации построен на паре электронный ключ-пароль; доступ разрешается, если ЭК и пароль пользователя совпадают с зарегистрированными в изделии;
  • доступ всех субъектов к объектам контролируется согласно дискреционным принципам контроля доступа. Дискреционный контроль доступа применяется к каждому субъекту и объекту и заключается в том, что на защищаемые объекты устанавливаются при их создании правила разграничения доступа (ПРД) в виде идентификаторов субъектов, которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Права доступа субъектов к объектам представляются посредством матрицы доступа, пример которой приведен в таблице.

Пример матрицы доступа

Субъекты (пользователи) Объекты (виртуальные машины)
O1 O2 On
S1 создание
доступ
модификация
удаление
создание
модификация
доступ
модификация
S2 доступ
Sn доступ

Элементами матрицы могут быть любые комбинации из четырех прав: создание, доступ, модификация, удаление. Размерность матрицы доступа зависит от количества субъектов и объектов в системе.

Решение о доступе принимается следующим образом: если субъект имеет по отношению к объекту право на доступ (создание, доступ, модификация или удаление), тогда соответствующий доступ разрешается, в противном случае запрос на доступ отклоняется.

Права доступа могут быть изменены только администратором средства доверенной загрузки (СДЗ).

Правила изменения ПРД

Для формализации правил изменения ПРД введем ряд обозначений.

1) Множество зарегистрированных в системе пользователей U, включающее администратора СДЗ {Uсдз}. Пользователи U представлены в системе посредством множества субъектов S.

2) Множество объектов доступа O включает: ВМ администратора СДЗ Oсдз, ВМ непривилегированных пользователей Oп. При этом Oсдз È Oп = O.

3) Атрибут владения объектом доступа Ao=<Au0, Au1, Au2, …, AuM>, где Aui – атрибут принадлежности объекта пользователю Ui.

Определим ПРД.

  • Субъекты множества Sсдз имеют неограниченный доступ к множеству объектов доступа Oсдз для эффективного управления ПРД.
  • Субъекты множества Sп не имеют доступа к объектам множества Oсдз.
  • Субъекты, принадлежащие множеству Sсдз, имеют доступ к объектам из множества Oп.

Правила изменения ПРД.

  • Asi назначается для пользователя Ui пользователем Uсдз.
  • Модификации {Ao} могут выполняться пользователем {Uсдз} произвольно.

Такие правила изменения ПРД определяют, что перечень неиерархических категорий объекта доступа не может быть произвольно или непроизвольно расширен. То есть, если начальное состояние системы безопасно, то и все состояния, достижимые из него путем применения конечной последовательности изменений ПРД, безопасны. Таким образом, система, реализующая представленную модель доступа, безопасна.

По регламенту на одном терминале может быть зарегистрирован только один пользователь. В свою очередь каждый терминал конфигурируется на доступ только к одной виртуальной машине. Таким образом, пользователь может получить доступ только к одной виртуальной машине;

Для контроля действий пользователей, особенно имеющих административные полномочия, используется система аудита с функцией протоколирования фактов несанкционированного доступа/нарушений модели безопасности в реальном времени.

В изделии регистрируются:

  • запуск и завершение функций аудита;
  • использование идентификационного и аутентификационного механизма;
  • запрос на доступ к защищаемому ресурсу (ВМ);
  • создание и уничтожение объекта;
  • действия по изменению ПРД.

Контроль целостности выполняется платой МИиКДС «Шина». Контролируются файлы и загрузочные сектора загружаемых USB-носителей. Контрольные суммы на содержимое файла рассчитываются в соответствии с алгоритмом CRC32. На сервере виртуализации, системные файлы которого копируются на жесткий диск, после успешного выполнения контроля целостности USB-носителей платой МИиКДС «Шина» производится контроль целостности неизменяемой части корневой файловой системы на жестком диске. Для каждого файла, находящегося в директории /etc, вычисляется MD5-hash функция, которая сравнивается с аналогичной суммой, вычисленной для данного файла на этапе сборки.

Очистка памяти осуществляется при создании образа диска ВМ посредством перезаписи каждого байта нулями.

В состав ПАК «Горизонт-ВС» входят аппаратные средства, исключающие физический доступ к ПАК «Горизонт-ВС», – МИиКДС «Шина».

После проведения первоначальных настроек КП «Терминал-Сервер» блокируется вход в систему суперпользователя root. Запуск административных утилит будет доступен только администратору СДЗ с помощью управляющей команды.

Смотрите также: