Опазване на поверителна информация. Урок: Система за мобилни сили (MSMS) - Потребителски и групови правила Инсталиране на MSWS 5.0

Когато инсталирате през мрежа с помощта на сървър, са необходими няколко допълнителни предварителни стъпки:

• 
  създаване на набор от флопи дискове за зареждане на вашия компютър и организиране достъп до мрежатакъм сървъра;
• 
  избор на опция за мрежова инсталация;
• 
  настройка на мрежа и организиране на мрежов достъп до сървъра.

1. Инсталация от CD

Преди инсталиране трябва да конфигурирате BIOS на компютъратака че компактдискът да е първи в списъка с устройства за зареждане, и поставете компактдиска с модула за зареждане на MCWS 3.0 OS в CD устройството.

Ако BIOS не поддържа зареждане от компактдиск, трябва допълнително да поставите дискета за зареждане в устройството и да конфигурирате BIOS на компютъра така, че първото устройство за зареждане в списъка да е дискетата. Съвременни компютриПо правило те поддържат зареждане от компактдиск, така че необходимостта от стартираща дискета може да възникне само при инсталиране на MCWS 3.0 OS на „стар“ компютър.

След това трябва да рестартирате компютъра си. На екрана на монитора ще се появи подкана:

Във формата на тази подкана е възможно да подадете допълнителни параметри към инсталатора. Например командата:

зареждане: MCBC mem=128M

казва на инсталатора, че обемът оперативна паметна този компютър е 128 MB.

За да започнете да зареждате инсталационната програма, трябва да натиснете клавиш. Ще започне зареждането на ядрото на MSWS 3.0 OS, придружено от диагностични съобщения, след което ще стартира инсталационната програма, която ще автоматичен режимще зареди драйвери за CD устройство и контролер твърди дискове, налични в компютъра и поддържани от MSWS 3.0 OS.

Ако инициализацията е неуспешна, това означава, че for от този тип CD устройство или харддисктрябва да изтеглите допълнителен драйвер. Инсталаторът ще предложи списък с драйвери, от които трябва да изберете подходящия драйвер и да щракнете върху „Да“.

Ако сте стартирали от стартираща дискета, след стартиране на инсталатора ще се появи диалогов прозорец Driver Disk, който ви инструктира да поставите дискетата с драйвери в устройството. В този случай дискетата за зареждане трябва да се извади и да се постави дискетата с драйвери.

След зареждане на необходимите драйвери, на екрана на монитора ще се появи подкана (Фигура 9-1).

1.1.41.Избор на манипулатор на мишката

Изберете типа „мишка“, например „Обикновена PS/2 мишка“ и ако „мишката“ има два бутона, тогава можете да използвате емулация на режим с три бутона. За да направите това, трябва да активирате емулация на третия бутон и да щракнете върху бутона „Да“.

1.1.42. Разделяне на твърдия диск

В повечето случаи разделянето на твърдия диск, дискови масиви, обемите на LVM се появяват в програмата Disk Druid. Освен това режимът „Автоматично разделяне“ е специален случай на работа с Disk Druid с автоматично изчисляване на пропорциите дисково пространствов съответствие с реално инсталираното оборудване. Ако работите на ниско ниво с харддисктрябва да използвате помощната програма fdisk.

Изберете Disk Druid и натиснете клавиша.

Диалоговият прозорец Partitioning, който се появява (Фигура 9-4), ще покаже списък с налични дискове и съществуващи дялове.

Също така в този прозорец има бутони за работа със секции: „Ново“, „Редактиране“, „Изтриване“, „RAID“, „Да“, „Назад“.

Долният ред предоставя съвети за използване на клавишни комбинации: „F1-Помощ, F2-Ново, F3-Редактиране, F4-Изтриване, F5-Нулиране, F12-Да.“

IN общ случай MSWS 3.0 OS е инсталирана на компютър с празен твърд диск. В този случай можете да го разделите или с помощта на Дискова програма Druid, или като изберете автоматично разделяне.

За да инсталирате успешно MSWS 3.0 OS, е достатъчно да създадете два дяла: основния дял “/” и дяла за суап. Размерът на основния дял трябва да бъде поне 1200 MB.

Можете да поставите директориите /boot, /home, /var, /tmp и други на отделни дялове. Това ви позволява да изолирате например домашните директории на потребителите от корена файлова система.

ВНИМАНИЕ! В MSWS 3.0 OS не можете да поставите директорията /usr на отделен дял!

За да преместите директория в отделен дял, трябва да създадете дял с файловата система “ext3” и да му зададете точка на монтиране, съответстваща на името на директорията.

За да създадете раздел, изберете бутона „Нов“ и натиснете клавиша. В диалоговия прозорец „Добавяне на раздел“, който се появява (редактиране на нов раздел) (фиг. 9-5):

• 
  изберете типа на файловата система (за раздела за суап - "swap", в други случаи - "ext3").
• 
  размер на дяла в мегабайти (ако е необходимо, можете да „разтегнете“ дяла, за да покриете целия диск);
• 
  точка на монтиране, за главния дял е “/” за суап дяла, настройката на точката на монтиране не е необходима.

Когато приключите със създаването на дялове, щракнете върху бутона „Да“ в прозореца „Дял“.

На екрана на монитора ще се появи диалоговият прозорец „Запазване на промените“.

Щракнете върху бутона „Да“.

Следващата стъпка е форматирането на създадените дялове. На екрана на монитора ще се появи диалогов прозорец със заглавие "Внимание!" и списък с дялове, които ще бъдат форматирани, когато щракнете върху бутона „Да“ (фиг. 9-6).

1.1.43. Настройка на буутлоудъра

На екрана ще се появи диалоговият прозорец „Настройки на зареждащия механизъм“ (Фигура 9-7). В този прозорец трябва да изберете опцията за инсталиране на системата със или без буутлоудър. Буутлоудърът ви позволява да имате няколко опции за стартиране на системата или избира операционната система за зареждане (ако има повече от една). В режим без буутлоудър ядрото на MCWS 3.0 OS ще бъде ексклузивно заредено на тази система.

Щракнете върху бутона „Да“.

След това на екрана ще се появи диалогов прозорец (фиг. 9-8), който ще ви подкани да въведете Допълнителни опции, който ще се използва при зареждане. По подразбиране този прозорец е настроен да използва флага за режим LBA32 (използвайки 32-битови логически адреси на блокове на твърдия диск), тъй като този режим в повечето случаи е необходим за поддръжка на дискове с голям капацитет.

Ако компютърът има IDE CD записващо устройство, инсталационната програма ще постави ред като „hdc=ide-scsi“ в полето за въвеждане на параметри (например, ако устройството е свързано в режим Master към втори IDE контролер).

Ако не е необходимо да подавате никакви други параметри нито към зареждащия механизъм на LILO, нито към ядрото, препоръчително е да оставите параметрите, предложени от инсталатора, и да щракнете върху бутона Да.

Следващата процедура при настройка на буутлоудъра е задаване на парола за достъп до промяна на началните параметри на системата. Тъй като, ако има буутлоудър, е възможно да се прехвърлят специализирани параметри на ядрото от клавиатурата при стартиране на системата, за да се осигури необходимото ниво на сигурност тази възможностзащитени с парола. В следващия диалогов прозорец, който се появява (фиг. 9-9), въведете парола, чийто размер не трябва да бъде по-малък от 8 знака. Потвърдете паролата си, като я въведете отново на следващия ред на прозореца.

Щракнете върху бутона „Да“.

На екрана ще се появи диалогов прозорец за избор на дялове за зареждане (Фиг. 9-10), който ще ви подкани да посочите други дялове за зареждане, които могат да бъдат заредени с помощта на MSWS 3.0 OS boot loader. Например, ако вашият компютър има друга операционна система, можете да я обозначите и да я стартирате с помощта на MSWS 3.0 OS зареждащо устройство.

Въведете необходимите данни в съответните редове и щракнете върху бутона „Да“.

Следващият прозорец (фиг. 9-11) указва местоположението на буутлоудъра на диска. Има две опции: основният запис за зареждане (MBR) на твърдия диск (препоръчва се в повечето случаи) или записът за зареждане на съответния дял, където се извършва инсталацията.

Направете избор и щракнете върху бутона „Да“.

1.1.44. Настройка на мрежата

Ако инсталационната програма открие поне един мрежова карта, на екрана ще се появи поредица от диалогови прозорци „Мрежови настройки за ethX“ (фиг. 9-12), където X е сериен номер, в който са конфигурирани параметрите за всяка мрежова карта.

протоколи автоматични настройкимрежовите параметри BOOTP и DHCP се използват, когато в мрежата има специален сървър, който предоставя услуга за автоматично конфигуриране при поискване от клиентската машина.

Ако няма DHCP сървър, трябва да инсталирате мрежови параметриочевидно, за което изберете „Активиране при зареждане“. След това в прозореца ще бъдат маркирани няколко реда, в които трябва да зададете параметри мрежова връзка.

Мрежовите адреси се представят в десетичен формат с точка (например 192.168.1.1). Информация за попълване на полетата трябва да бъде предоставена от мрежовия администратор.

Мрежов адрес – IP адрес на компютър в мрежата.

Мрежовата маска е параметър, характеризиращ класа на мрежов сегмент.

Шлюзът по подразбиране е възел, който обслужва комуникациите на тази локална мрежа с външни мрежови сегменти.

Основният сървър за имена е възел, който поддържа услугата за разрешаване на имена на домейни, използвайки DNS протокола към IP адреси. Въведете IP адресите на допълнителни сървъри за имена (DNS) в съответните полета. Ако вашата мрежа използва един сървър за имена, тези полета могат да бъдат оставени празни.

Щракнете върху бутона „Да“.

Щракнете върху бутона „Да“.

1.1.45.Избор на часова зона

Следният диалогов прозорец „Избор на часова зона“ ще се появи на екрана, в който можете да конфигурирате настройките за системно време. В MSWS 3.0 OS времето се отчита в локален режим, т.е. Хардуерният часовник на системата определя еднозначно своето време без допълнително преобразуване спрямо различни референтни точки като UTC.

В прозореца трябва да изберете руската часова зона, която най-точно съответства на местоположението на компютъра, като посочите разликата в стандартното време спрямо „нулевата“ зона - Европа/Москва (фиг. 9-14).

Щракнете върху бутона „Да“.

1.1.46.Избор и инсталиране на пакети

На екрана ще се появи диалоговият прозорец „Избор на комплекси“ (фиг. 9-15).

В този диалогов прозорец ще бъдете подканени да изберете следните комплекси:

• 
  Основна конфигурация на ОС;
• 
  Подсистема за графичен интерфейс;
• 
  Инструменти за разработка.

Избирането на групата „Основна конфигурация на ОС“ е задължително; необходими компонентиза работата на OS MSWS 3.0 в основната версия (без допълнителни инструменти).

Режимът на инсталиране „Всички (включително незадължителни)“ означава инсталирането на всички пакети на дистрибуцията, включително модификации на ядрото на ОС, които не са специфични за даден компютър и набор от пакети, необходими за създаване на диск за зареждане за MSWS 3.0 OS .

За по-подробен избор на пакети (евентуално за да спестите дисково пространство, заето от ОС), трябва да поставите отметка в опцията „Избор на индивидуален пакет“ и да щракнете върху бутона „Да“. Ще се появи прозорецът „Избор на пакети“ (Фигура 9-16) със списък от групи пакети и самите пакети.

Група може да бъде свита/разширена чрез начертаване на подчертаваща линия към нея и натискане на клавиш. За да получите информация за пакет, трябва да нарисувате подчертаваща линия към него и да натиснете клавиша. Включването/деактивирането на пакети в списъка за инсталация става с натискане на клавиша .

След като завършите избора на пакети, щракнете върху бутона „Да“.

Ако сте избрали персонализиран списък с пакети за инсталиране, може да възникне ситуация, в която сред тях да се появят неудовлетворени зависимости. Това означава, че избраният списък съдържа пакети, които изискват инсталиране на други пакети от диска за зареждане на WSWS 3.0 OS, които не са избрани. Зависимостите на пакетите ще бъдат разрешени автоматично от инсталатора.

След като приключите с избора на пакети, диалоговият прозорец Започнете инсталиране ще се появи на вашия екран. Този прозорец ще съдържа информация за /root/log файла, в който инсталационната програма ще запише списък с инсталираните пакети след завършване.

Действителното разделяне на диска и инсталирането на пакети ще започне само след щракване върху бутона „Да“ в прозореца „Стартиране на инсталацията“. Ако е необходимо, можете да прекъснете инсталационния процес преди тази точка, като рестартирате компютъра. В този случай всички данни на твърдите дискове ще останат непроменени.

За да започнете инсталирането на пакетите, щракнете върху бутона „Да“.

На екрана ще се появи прозорецът „Инсталиране на пакет“ (Фигура 9-17).

На този етап можете да наблюдавате процеса на инсталиране на избраните пакети, който се извършва автоматично. За всеки пакет се показва Кратко описание, а също така показва статистическа информация за процеса на инсталиране на текущия пакет и всички пакети заедно.

1.1.47.Задаване на парола за суперпотребител

На екрана ще се появи диалогов прозорец “Root User Password” (Фигура 9-18). Задайте парола в реда „Парола“ и потвърдете въвеждането й в реда „Потвърждаване на паролата“ (ограниченията за типа и размера на паролата се определят от изискванията за сигурност на системата; по подразбиране размерът на паролата е най-малко осем знаци). Когато задавате парола с помощта на клавиатурата, от съображения за сигурност на екрана се показват звездички вместо въведени знаци. Щракнете върху бутона „Да“.

1.1.48.Създаване на стартиращи дискети

На екрана ще се появи следният диалогов прозорец “Boot Disk Set” (Фигура 9-19). Комплект дискети за зареждане може да е необходим, ако записът за зареждане на вашия твърд диск е повреден.

За да създадете стартиращи дискети, щракнете върху бутона „Да“. След това следвайте инструкциите, дадени в диалогови прозорци.

Ако не е необходимо да създавате комплект за зареждане, щракнете върху Не. В бъдеще ще бъде възможно да се създаде диск за зарежданес помощта на графична помощна програма или командата mkbootdisk.

1.1.49. Настройка на видеокартата и монитора

Следващата стъпка е да конфигурирате графичната система. За да направите това, следвайте инструкциите в диалоговите прозорци, за да въведете информация за видеокартата и монитора.

Ако инсталационната програма автоматично открие типа на видеокартата, ще се появи информация за нея (Фигура 9-20).

Ориз. 9-19. Създаване на стартиращи дискети.

Ориз. 9-20. Избор на видео карта.

В противен случай ще се появи диалоговият прозорец Избор на карта. Изберете неговия тип от списъка. Ако необходимата видеокарта не е в списъка, изберете „Неопределена карта“.

В прозореца „Избор на сървър“ изберете X сървър, с който вашата съществуваща видеокарта може да работи.

След това ще се появи диалоговият прозорец „Настройки на монитора“ (Фигура 9-21). Ако инсталаторът не открие автоматично вашия тип монитор, изберете подходящия монитор от списъка Промяна.

Ако е необходимо, можете да зададете параметрите на монитора „ръчно“. За да направите това, изберете елемента от типа „Други“ в списъка и задайте работната честота на вертикално и хоризонтално сканиране на изображения (60~100Hz).

Щракнете върху бутона „Да“.

След като изберете монитора, на екрана ще се появи прозорецът “Advanced” (Фиг. 9-22). Изберете необходимата дълбочина на цвета и резолюция на монитора в прозореца. Освен това в този прозорец можете да изберете режим на влизане „Графика“ (препоръчително) или „Текст“. Ако изберете графично влизане, GUI системата ще стартира по подразбиране. Направете избор и щракнете върху бутона „Да“.

След настройка на графичната система ще се появи информационният прозорец „Инсталацията е завършена“ (Фигура 9-23) със съобщението „Поздравления, инсталацията на MSWS 3.0 OS е завършена“.

Щракнете върху бутона „Да“, за да рестартирате. Компютърът ще започне да се рестартира. По време на рестартиране CD тавата ще се извади автоматично. Извадете диска от тавата.

Ориз. 9-23. Инсталацията е завършена.

Ориз. 9-24. Метод на инсталиране

WSWS 3.0е сигурна многопотребителска многозадачна операционна система за споделяне на време, разработена на Linux. Операционната система осигурява многостепенна приоритетна система с превантивна многозадачност, виртуална организацияпамет и пълен мрежова поддръжка; работи с мултипроцесорни (SMP - симетрична многопроцесорна обработка) и включени клъстерни конфигурации Intel платформи, MIPS и SPARC. Специална характеристика на MSVS 3.0 са вградените средства за защита срещу неоторизиран достъп, които отговарят на изискванията на Ръководния документ на Държавната техническа комисия към президента на Руската федерация за компютърно оборудване от клас 2. Функциите за сигурност включват задължителен контрол на достъпа, списъци за контрол на достъпа, модел за подражание и разширени инструменти за одит (регистриране на събития).

Файловата система MSWS 3.0 поддържа имена на файлове с дължина до 256 знака с възможност за създаване на имена на файлове и директории на руски език, символни връзки, квотна система и списъци с права за достъп. Възможно е монтиране на файл FAT системии NTFS, както и ISO-9660 (CD). Механизмът на квотите ви позволява да контролирате как потребителите използват дисково пространство, броя на стартираните процеси и количеството памет, разпределено за всеки процес. Системата може да бъде конфигурирана да издава предупреждения, когато ресурсите, поискани от потребителя, достигнат определена квота.

WSWS 3.0 включва графична системабазиран на X Window. За работа в графична среда се доставят два мениджъра на прозорци: IceWM и KDE. Повечето програми в WSWS са проектирани да работят в графична среда, което създава благоприятни условия не само за потребителите, но и за преминаването им от Windows OS към WSWS.

MSVS 3.0 идва в конфигурация, която в допълнение към ядрото включва набор от допълнителни софтуерни продукти. Самата операционна система се използва като основен елемент за организиране на автоматизирани работни станции (АРМ) и изграждане на автоматизирани системи. Допълнителен софтуер може да бъде инсталиран по избор и е фокусиран върху максимална автоматизация на управлението и администрирането на домейни, което ви позволява да намалите разходите за обслужване на работни станции и да се концентрирате върху потребителите, изпълняващи целевата си задача. Инсталационната програма ви позволява да инсталирате операционната система от стартиращ компактдиск или през мрежата, използвайки FTP. Обикновено инсталационният сървър първо се инсталира и конфигурира от дискове, а след това останалите компютри се инсталират по мрежата. Инсталационният сървър в работещ домейн изпълнява задачата за актуализиране и възстановяване на софтуера на работните станции. Нова версиясе излага само на сървъра и след това се случва автоматична актуализацияСофтуер на работното място. Ако софтуерът на работните станции е повреден (например, когато програмен файл е изтрит или контролните суми на изпълними или конфигурационни файлове не съвпадат), преинсталациясъответния софтуер.

По време на инсталацията администраторът получава подкана да избере един от стандартните типове инсталация или потребителска инсталация. Стандартните типове се използват при инсталиране на стандартни работни станции и покриват основните стандартни опции за организиране на работни станции, базирани на MSWS 3.0 OS (фиг. 1). Всеки стандартен типопределя набора от софтуерни продукти, които трябва да бъдат инсталирани, дисковата конфигурация, набора от файлови системи и редица системни настройки. Персонализираната инсталация ви позволява изрично да зададете всички посочени характеристики на крайната система, чак до избора на отделни софтуерни пакети. Ако изберете персонализирана инсталация, можете да инсталирате WSWS 3.0 на компютър, който вече има инсталирана друга операционна система (например Windows NT).

WSWS 3.0 включва една системадокументация (USD) с информация за различни аспекти от работата на системата. ESD се състои от сървър за документи и база данни, съдържаща описателни текстове, които могат да бъдат достъпни чрез браузъри. При инсталиране на допълнителен софтуер, съответните секции за справка се инсталират в базата данни ESD. Унифицираната система за документация може да бъде разположена локално на всяка работна станция или може да бъде разпределен специален сървър за документация в WSWS домейна. Последната опция е полезна за използване в големи WSWS домейни, за да спестите общо дисково пространство, да опростите процеса на управление и да актуализирате документацията. Достъпът до документация от други работни станции е възможен чрез уеб браузъра, доставен с MSWS 3.0.

WSWS 3.0 е русифициран както в буквено-цифров, така и в графични режими. Поддържат се виртуални терминали, превключването между тях се извършва с помощта на клавишна комбинация.

Ключов момент от гледна точка на целостта на системата е регистрацията на нови WSWS потребители, която дефинира потребителските атрибути, включително атрибутите за сигурност, според които системата за контрол на достъпа впоследствие ще контролира работата на потребителя. Основата на мандатния модел е информацията, въведена при регистрация на нов потребител.

За прилагане на дискреционен контрол на достъпа се използват традиционни Unix механизми на битове за права за достъп и списъци за контрол на достъпа (ACL). И двата механизма са реализирани на ниво файлова система MSVS 3.0 и се използват за задаване на права за достъп до обектите на файловата система. Битовете ви позволяват да дефинирате права за три категории потребители (собственик, група, други), но това не е достатъчно гъвкав механизъм и се използва при задаване на права за повечето OS файлове, които се използват по същия начин от повечето потребители. С помощта на ACL можете да зададете права на ниво отделни потребители и/или потребителски групи и по този начин да постигнете значителна детайлност в задаването на права. Списъците се използват при работа с файлове, които изискват например различни права за достъп за няколко конкретни потребители.

Един от съществените недостатъци на традиционните Unix системи, от гледна точка на сигурността, е наличието на суперпотребител с най-широки правомощия. Характеристика на WSWS 3.0 е децентрализацията на функциите на суперпотребител. Задачата на системното администриране е разделена на няколко части, за които има администратори за конфигурация, сигурност и одит. От гледна точка на операционната система, тези администратори са обикновени потребители, на които е дадена възможност за стартиране на специални административни програми и достъп до съответните конфигурационни файлове. Създаване на акаунти системни администраторивъзниква по време на инсталационната фаза на MSVS 3.0.

Всеки от администраторите е отговорен за изпълнението само на собствените си задачи, например администраторът на конфигурацията управлява файлови системи, мрежови интерфейси, настройка на системни услуги и т.н. Администраторът по сигурността отговаря за политиката за сигурност и контролира системните настройки, свързани със сигурността: минимална дължина на паролата, брой неуспешни опитипотребителско влизане и др. В този случай всички събития, свързани със сигурността, се регистрират, включително действията на администраторите. Управлението на одита е отговорност на администратора на одита, който може например да „почисти“ журналите за одит.

Децентрализацията на функциите на суперпотребителя позволява прилагането на принципа на „четирите очи“. Например, регистрирането на нов потребител на WSWS 3.0 се извършва на два етапа. Първо администраторът на конфигурацията създава акаунт за новия потребител и след това администраторът по сигурността регистрира новия потребител в базата данни за защита. Едва след това е възможно нов потребител да влезе в системата.

За изпълнение на административни задачи дистрибуцията включва пакета „Инструменти за администриране“, който включва програми за управление на потребители, файлове, сигурност, одит, системни и мрежови настройки.

Първата задача, която трябва да бъде изпълнена след инсталирането на WSWS 3.0, е администраторът да формулира политика за сигурност, която да бъде приложена в дадена организация. Един от компонентите на тази задача е създаването на задължителен механизъм за контрол на достъпа. На фиг. Фигура 2 показва изглед на програмата за контрол на мандатния механизъм, която ви позволява да конфигурирате много мандатни атрибути на субекти и обекти на MSVS 3.0. В горната част на прозореца на програмата можете да конфигурирате нивата на защита, възможни стойностикоето може да бъде например „неповерително“ и „поверително“. В долната част се създават много категории, които описват предметната област, за която се отнася информацията: „служители“ „ технически средства" и така нататък. Възможно е да се създават надмножества от категории (например „Категория_1_2“), които включват няколко отделни категории и други надмножества. Работата с нива е най-удобна, когато се представят в десетична форма, тъй като нивата имат йерархична организация. От своя страна, когато работите с категории, е удобно да ги представяте в двоична форма, тъй като категориите не са йерархичен набор.

На фиг. Фигура 3 показва изглед на един от прозорците на програмата за управление на потребителите. Тази програма може да се изпълнява само от администратори за конфигурация и сигурност. Освен това всеки от тях може да задава или променя само тези потребителски атрибути, управлението на които е в неговата компетентност.

На фиг. Фигура 4 показва пример на прозорец на програма за управление на файлове, който ви позволява да преглеждате и променяте стойностите на атрибутите на файла. Визуализацията на дървовидната структура на файловата система от лявата страна на прозореца улеснява навигацията и избора желания файл. Дясната страна показва атрибутите на избрания файл, групирани според техните функционално предназначение. Всяка група има отделен раздел. Разделът Общи показва традиционните Unix файлови атрибути като тип, размер, брой твърди връзки, дискреционни атрибути и времеви отпечатъци. Характеристика на файловете MSVS 3.0 е наличието на задължителни атрибути и разширяването на дискреционните атрибути със списък с права за достъп. Задължителните атрибути са представени в раздела „Етикет на кандидата“. За да управлявате ACL файла, разделът „Права за достъп“ е маркиран. Освен това, когато избирате директории, за които е възможно да създадете ACL по подразбиране, се активира разделът „Права за достъп по подразбиране“. На фиг. Фигура 5 показва прозореца за работа с ACL файл. Възможно е да добавите или единичен запис за потребител или група, или множество записи с еднакви права за достъп. Както и в случая предишна програма, само администратори за конфигурация и сигурност могат да стартират програмата за управление на файлове. Всеки от тях може да променя само онези файлови атрибути, които са в неговата компетентност да управлява.

WSWS услуги 3.0

WSWS, както всяка друга операционна система, служи за създаване оптимални условияда изпълнява услуги и приложения, които осигуряват автоматизация и повишават ефективността на потребителите.

Една от основните услуги на всяка ОС е услугата за печат. MSVS 3.0 включва система за печат, която ви позволява да отпечатвате документи в съответствие с изискванията за сигурни системи. Сред характеристиките на системата за печат MSVS 3.0, които я отличават от подобни системи, е поддръжката на задължителен механизъм за контрол на достъпа, който позволява на етапа на генериране на задание за печат да се определи нивото на поверителност на документа и автоматично да се изпрати заданието на конкретен принтер в съответствие с правилата за печат, приети в дадена организация. Всеки отпечатан лист автоматично се маркира с атрибути за отчитане на документа, включително името на потребителя, който е отпечатал документа, и името на компютъра, от който е изпратено заданието за печат. Едно от предимствата на системата за печат е нейната неизменност по отношение на приложенията, които имат достъп до услугата за печат. Това означава, че не е обвързано с съществуващи приложенияи не се променя, когато се появят нови приложения. В резултат на това приложенията за печат трябва да вземат под внимание маркировките на листа и да напуснат свободно място. Фактът на отпечатване се записва в специален журнал за регистриране на възпроизвеждането на отпечатани документи. За да работите с този дневник, използвайте специална програма, което ви позволява да преглеждате, редактирате някои полета от записи и да ги отпечатвате (фиг. 6).

Важен елемент от системата за сигурност WSWS 3.0 е системата за идентификация/удостоверяване. За успешно удостоверяване, потребителят трябва да въведе правилната парола. Очевидно качеството на избраната парола определя устойчивостта на системата срещу натрапници. За генериране на потребителски пароли MSVS 3.0 включва специална програма (фиг. 7).

За наблюдение на компютрите в домейна се използва система за наблюдение на производителността (CF), състояща се от сървър и специални агенти. Агентите се инсталират на компютрите в домейна и отчитат състоянието си на сървъра. Системата CF ви позволява да получавате информация за различни аспекти на функционирането на компютрите (състояние на процесите, дискова подсистема, подсистеми на ядрото) и наблюдавайте производителността мрежови услуги(ftp, ssh и др.). Информацията, влизаща в сървъра, се натрупва в специални регистрационни файлове, което ви позволява да наблюдавате не само текущото състояние на домейна, но и да изучавате състоянието му през целия период на работа на системата.

WSWS домейн

WSWS 3.0 се използва за създаване на домейни, на базата на които се създават защитени автоматизирани системи. Физически домейнът е реализиран като локална мрежа от компютри, повечето от които се използват за организиране на потребителски работни станции. Някои от тях са необходими за организиране на ресурси обща употребакато файлов сървър, сървър на база данни, сървър за печат, пощенски сървър. Логично MSVS домейнът е набор от компютри, които прилагат единна политика за сигурност и формират единно пространство за администриране. Една унифицирана политика за сигурност предполага, че всички компютри в домейна поддържат един набор от субекти и обекти за достъп, атрибути за сигурност и също така работят единни правиладискреционен и задължителен контрол на достъпа. В този смисъл домейнът WSWS също е защитен домейн.

Единното пространство за администриране предполага единно администриране на информационните ресурси (компютри) на WSWS домейна. Неговата основа е едно потребителско пространство на WSWS домейна.

• За всеки потребител на домейн на работното му място се поддържа Сметка, включително необходимата информация за потребителя (логическо име, парола, пълно име и атрибути за защита на потребителя). Тази информацияизползвани за извършване на процедури за идентификация/удостоверяване на потребител при влизане в WSWS домейна.
• На всеки компютър от домейна със споделени ресурси (сървър), на който може да работи даден потребител, за него има абсолютно същия акаунт, както на работното му място.
• Работното място на администратора по сигурността поддържа база данни с информация за всички потребители на домейна, включително техния акаунт, разширена информация (например позиция, име/номер на отдел), както и името на техния компютър и всички сървъри, до които имат достъп.

Така акаунтът е единичен за даден потребителв домейна на WSWS и чрез него потребителят има достъп до информационни ресурсидомейн.

Хетерогенни домейни

В момента, когато се разработва сигурна автоматизирана система, съществуваща локални мрежи, които са склонни да бъдат доминирани от сървъри и работни станции на Базиран на WindowsН.Т. Невъзможността за незабавен преход на една организация към платформата WSWS повдига проблема за нейната интеграция с Windows. Тук могат да се разграничат два аспекта: изборът на оптимална стратегия за преход към WSWS и техническите трудности, които съпътстват този преход.

В резултат на анализа на информационните потоци в защитена автоматизирана система е възможно да се идентифицират области, които са най-важни от гледна точка на сигурността. На първо място, такива области включват потоци за импортиране/експортиране на информация, тъй като именно чрез тези потоци поверителна информация (както получена отвън, така и генерирана вътрешно) навлиза във външния свят: сървъри за печат и експортиране на информация на дискове и ленти. Вторите по важност области са зоните за съхранение на информация: файлови сървърии потребителски работни станции.

В процеса на трансформиране на Windows мрежа в защитена, автоматизирана система, онези области от мрежата, които са най-критични от гледна точка на сигурността, трябва първо да бъдат модифицирани. Първата стъпка е да се минимизират и контролират изходящите информационни потоци. Както беше казано, MSVS 3.0 има разработена система за запис и контрол на отпечатването на документи и позволява в мрежа, изградена на нейна база, да се реализират изискванията за издаване на печатни документи на хартиен носител.

Втората стъпка е да мигрирате файловите сървъри от Windows платформи. WSWS 3.0 предоставя разработена система за управление на потребителския достъп до информационните ресурси на операционната система, която ви позволява да организирате защитата на потребителските данни на правилното ниво.

При интегрирането на MSWS и Windows възникват редица технически проблеми, най-важните от които са проблеми със съвместимостта на схемите за идентификация/удостоверяване на потребителите, принципите за контрол на потребителския достъп, използвани в тези системи за кодиране на кирилица.

Първите два проблема са, че средата на Windows NT поддържа схема за влизане на потребители за NT домейн, базирана на една база данни, съхранявана на специален сървър за управление - домейн контролер. Тази схема е фундаментално различна от схемата, използвана в MSWS. В допълнение, на архитектурата на Windows NT липсва поддръжка за задължителен контрол на достъпа и не може да нанесе много от атрибутите за сигурност на операционната система WSWS към нея. Windows системите използват CP1251 кодиране, докато MSWS 3.0 (като наследство от Linux) използва KOI8-R, но натрупаните данни (за работа с които се нуждаете Windows среда), като правило, се съхраняват в CP1251. В същото време представянето на данни на потребителите, тяхното въвеждане и редактиране се извършва в средата на WSWS, така че е необходимо да се извърши прекодиране „в движение“. В допълнение, за решаване на проблеми с управлението на данни (например задачата за сортиране на данни), кодирането CP1251 е по-приемливо от KOI8-R.

За изграждане на защитена автоматизирана система, базирана на MSWS 3.0 с възможност за временна съвместимост с NT, е разработена система за терминален достъп (фиг. 8). Тази система ви позволява да организирате работата с Windows приложения в MSVS по следния начин: файлови и печатни сървъри, както и клиентски сайтове, са изградени на базата на MSVS 3.0, а за работа с Windows приложения, сървър на приложения, базиран на NT Разпределено е издание на терминален сървър, което е достъпно по специален начин. Едно от предимствата на тази опция е гъвкавостта при организиране на работата на потребителите, които реално получават възможността да работят едновременно в две операционни среди и да използват приложения от всяка от тях. Недостатък е необходимостта от създаване на сървър за приложения със специален достъп, което води до ограничения в политиката за сигурност. В резултат на това проблемът с интегрирането на MSVS и Windows NT се решава чрез създаване на MSVS домейн с базиран на NT сървър на приложения и използване на система за терминален достъп.

Нека сега разгледаме как един потребител работи в разнороден WSWS домейн. Потребителят влиза в домейна през своята работна станция. За достъп до сървър на приложения, базиран на Windows NT, потребителят осъществява достъп до клиент за терминален достъп. В специална база данни, съхранявана на сървъра на приложения, има съответствие между името на потребителя и името на неговия компютър, което се използва при картографиране на мрежови устройства за този потребител. В резултат на това, когато работи в NT сесия, потребителят вижда само съдържанието на домашната си директория като мрежово устройство на работното си място, както и споделени ресурсидомейн (файлови сървъри и принтери). Може да изпълнява Windows приложения, но ще работи само с ограничен брой файлове (собствени или споделени), съхранявани на компютри, работещи с WSWS 3.0.

За организиране на печатането на поверителни документи в домейна е разпределен сървър за печат, базиран на MSVS, който отговаря за изпълнението и отчитането на печата, което предотвратява неотчетено възпроизвеждане на изходни поверителни документи. За да отпечатате неповерителна информация, е възможно да се свържете местни принтерикъм работната станция. Потребител, работещ с Windows приложенияили MSWS, изпраща документа за печат, като няма значение къде се намира документът - на локалната машина или на файлов сървър. С помощта на инструментите на WSWS се анализира нивото на поверителност на документа. Ако документът е поверителен, заданието се пренасочва към сървъра за печат; ако не е, документът се отпечатва локално.

Предложените варианти позволяват да се организира постепенен преход от информационна инфраструктура към Базиран на Windows NT към защитено автоматизирани системиобработка на информация на базата на MSWS 3.0.

Литература

1. Държавна техническа комисия на Русия. Ръководен документ. Компютърни съоръжения. Защита срещу неоторизиран достъп до информация. Индикатори за сигурност срещу неоторизиран достъп до информация. Москва, 1992 г

2. Д.В. Ефанов. Счетоводна система за отпечатване на документи // ACS и контролери. 2001, № 1

Андрей Тюлин- служител на руското министерство на отбраната. Игор Жуков, Дмитрий Ефанов ([имейл защитен]) - служители на Всеруския научноизследователски институт за автоматизация на управлението в неиндустриалната сфера (Москва).