Vvmebel.com

Новости с мира ПК
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Локальная система безопасности это

СОБГ — Система Обеспечения Безопасности Города

«Электронная Москва» — городская целевая программа города Москвы, определяющая состав мероприятий по применению информационно-коммуникационных технологий в городском управлении и социальной сфере. Одним из пунктов программы является создание «Системы обеспечения безопасности населения города (СОБГ)»

Программой безопасный город предусматривается организация в Москве общегородской системы видеонаблюдения (СВН) за входами в подъезды домов и в служебные помещения, а также за придворовыми территориями. Помимо обеспечения видеонаблюдения, система СОБГ предусматривает установку панелей СЭС (система экстренной связи), которая обеспечивает вызов экстренных городских служб. Сигнал с видеокамер и панелей СЭС централизованно передается в диспетчерскую правоохранительных органов. Программа нацелена на повышение безопасности за счет своевременного получения информации об обстановке в городе.

Такая комплексная система способна осуществлять интеллектуальную обработку изображения, обнаруживать вторжения и оценивать текущую ситуацию в Охраняемых зонах, выделять видеокамеру, зарегистрировавшую нештатную ситуацию звуковым или световым сигналом на пульте оператора, транслировать информацию с неё в тревожном режиме, координировать работу Охранного оборудования и поворотных устройств телекамер.
Применение на нижнем уровне СОБГ записывающих видеорегистраторов с использованием децентрализации записи — один из путей решения проблемы архивирования, который также обеспечивает возможность обращаться к любой записанной информации из центрального архива.

Распоряжение заместителя Мэра Москвы в Правительстве Москвы от 27 марта 2007 г. N 53-РЗМ Об утверждении региональных нормативов градостроительного проектирования. «Временный порядок проектирования и строительства локальных систем безопасности (ЛСБ) и магистральных сетей (МССБ) при подключении объектов-новостроек к Системе Обеспечения Безопасности Города (СОБГ).» (Скачать >>> (rar, 236 kb))

Временный порядок разработан в целях оснащения объектов-новостроек (массового жилищного строительства, социальной сферы и др.) локальными системами безопасности в составе систем видеонаблюдения, экстренной связи, Охранного телевидения и техническими средствами передачи информации (магистральными сетями) для подключения к локальным центрам мониторинга Системы обеспечения безопасности или городской мультисервисной транспортной сети, а также для обеспечения координации действий организаций, осуществляющих проектирование, создание и эксплуатацию компонентов СОБГ, общегородской информационно-телекоммуникационной инфраструктуры СОБГ и систем жилищно-коммунального хозяйства.

Задача СОБГ:

  • Обеспечение повышения уровня общественной безопасности и правопорядка, противодействия террористическим угрозам, повышение оперативности и эффективности работы правоОхранительных органов за счет своевременного получения информации об оперативной обстановке в городе.
  • Получение информации о текущей обстановке, чрезвычайных, аварийных или нештатных ситуациях, имеющих место на контролируемой территории. Повышение эффективности работы аварийных и спасательных служб.
  • Обеспечение возможности восстановления хода событий (расследования происшествий) на основе анализа архивов информации.

Группа компаний «Объединенные Комплексные Системы» проводит работы в области проектирования, строительства, монтажа и эксплуатации подсистем системы обеспечения безопасности города (СОБГ), таких как: система видеонаблюдения, система экстренной связи (СЭС), система Охранного телевидения (СОТ) и технические средства передачи информации (магистральные сети).

Проект СОБГ состоит из двух разделов: локальной системы безопасности (проект ЛСБ) и магистральной сети системы безопасности (проект МССБ). Проектирование СОБГ включает в себя согласование проекта с ДЭЗ и ГУ ИС, а также с ГУП МГ ЕИАЦ. В соответствии с МРР-3.2.21.02-07 «Методические рекомендации по определению стоимости разработки ПСД для систем видеонаблюдения» средняя сметная стоимость проектирования подключения к системе обеспечения безопасности города (проект СОБГ) составляет:

  • проектирование локальной системы безопасности (проект ЛСБ) – от 25000 руб.
  • проектирование магистральной сети системы безопасности (проект МССБ) – от 35000 руб.

Основные компоненты системы безопасности ОС Windows

В данной лекции будут рассмотрены вопросы структуры системы безопасности, особенности ролевого доступа и декларируемая политика безопасности системы.

Система контроля дискреционного доступа — центральная концепция защиты ОС Windows, однако перечень задач, решаемых для обеспечения безопасности, этим не исчерпывается. В данном разделе будут проанализированы структура, политика безопасности и API системы защиты.

Изучение структуры системы защиты помогает понять особенности ее функционирования. Несмотря на слабую документированность ОС Windows по косвенным источникам можно судить об особенностях ее функционирования.

Рис. 14.1. Структура системы безопасности ОС Windows

Система защиты ОС Windows состоит из следующих компонентов (см. рис. 14.1).

· Процедура регистрации (Logon Processes), которая обрабатывает запросы пользователей на вход в систему. Она включают в себя начальную интерактивную процедуру, отображающую начальный диалог с пользователем на экране, и удаленные процедуры входа, которые позволяют удаленным пользователям получить доступ с рабочей станции сети к серверным процессам Windows NT. Процесс Winlogon реализован в файле Winlogon.exe и выполняется как процесс пользовательского режима. Стандартная библиотека аутентификации Gina реализована в файле Msgina.dll.

· Подсистема локальной авторизации (Local Security Authority, LSA), которая гарантирует, что пользователь имеет разрешение на доступ в систему. Этот компонент — центральный для системы защиты Windows NT. Он порождает маркеры доступа, управляет локальной политикой безопасности и предоставляет интерактивным пользователям аутентификационные услуги. LSA также контролирует политику аудита и ведет журнал, в котором сохраняются сообщения, порождаемые диспетчером доступа. Основная часть функциональности реализована в Lsasrv.dll.

· Менеджер учета (Security Account Manager, SAM), который управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей. Данная служба реализована в Samsrv.dll и выполняется в процессе Lsass.

· Диспетчер доступа (Security Reference Monitor, SRM), проверяющий, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить. Этот компонент обеспечивает легализацию доступа и политику аудита, определяемые LSA. Он предоставляет услуги для программ супервизорного и пользовательского режимов, чтобы гарантировать, что пользователи и процессы, осуществляющие попытки доступа к объекту, имеют необходимые права. Данный компонент также порождает сообщения службы аудита, когда это необходимо. Это компонент исполнительной системы: Ntoskrnl.exe.

Все компоненты активно используют базу данных Lsass, содержащую параметры политики безопасности локальной системы, которая хранится в разделе HKLMSECURITY реестра.

Как уже говорилось во введении, реализация модели дискреционного контроля доступа связана с наличием в системе одного из ее важнейших компонентов — монитора безопасности. Это особый вид субъекта, который активизируется при каждом доступе и в состоянии отличить легальный доступ от нелегального и не допустить последний. Монитор безопасности входит в состав диспетчера доступа (SRM), который, согласно описанию, обеспечивает также управление ролевым и привилегированным доступом.

Политика безопасности

При оценке степени защищенности операционных систем действует нормативный подход, в соответствии с которым совокупность задач, решаемых системой безопасности, должна удовлетворять определенным требованиям — их перечень определяется общепринятыми стандартами. Система безопасности ОС Windows отвечает требованиям класса C2 «оранжевой» книги [1] и требованиям стандарта Common Criteria, которые составляют основу политики безопасности системы. Политика безопасности подразумевает ответы на следующие вопросы: какую информацию защищать, какого рода атаки на безопасность системы могут быть предприняты, какие средства использовать для защиты каждого вида информации.

Требования, предъявляемые к системе защиты, таковы

1. Каждый пользователь должен быть идентифицирован уникальным входным именем и паролем для входа в систему. Доступ к компьютеру предоставляется лишь после аутентификации. Должны быть предприняты меры предосторожности против попытки применения фальшивой программы регистрации (механизм безопасной регистрации).

2. Система должна быть в состоянии использовать уникальные идентификаторы пользователей, чтобы следить за их действиями (управление избирательным или дискреционным доступом). Владелец ресурса (например, файла) должен иметь возможность контролировать доступ к этому ресурсу.

3. Управление доверительными отношениями. Необходима поддержка наборов ролей (различных типов учетных записей). Кроме того, в системе должны быть средства для управления привилегированным доступом.

4. ОС должна защищать объекты от повторного использования. Перед выделением новому пользователю все объекты, включая память и файлы, должны быть проинициализированы.

5. Системный администратор должен иметь возможность учета всех событий, относящихся к безопасности (аудит безопасности).

6. Система должна защищать себя от внешнего влияния или навязывания, такого, как модификация загруженной системы или системных файлов, хранимых на диске.

Надо отметить, что, в отличие от большинства операционных систем, ОС Windows была изначально спроектирована с учетом требований безопасности, и это является ее несомненным достоинством. Посмотрим теперь, как в рамках данной архитектуры обеспечивается выполнение требований политики безопасности.

Ролевой доступ. Привилегии

Понятие привилегии

С целью гибкого управления системной безопасностью в ОС Windows реализовано управление доверительными отношениями (trusted facility management), которое требует поддержки набора ролей (различных типов учетных записей) для разных уровней работы в системе. Надо сказать, что эта особенность системы отвечает требованиям защиты уровня B «оранжевой» книги, то есть более жестким требованиям, нежели перечисленные в разделе «Политика безопасности». В системе имеется управление привилегированным доступом, то есть функции администрирования доступны только одной группе учетных записей — Administrators (Администраторы.).

Читать еще:  Цель политики безопасности

В соответствии со своей ролью каждый пользователь обладает определенными привилегиями и правами на выполнение различных операций в отношении системы в целом, например, право на изменение системного времени или право на создание страничного файла. Аналогичные права в отношении конкретных объектов называются разрешениями. И права, и привилегии назначаются администраторами отдельным пользователям или группам как часть настроек безопасности. Многие системные функции (например, LogonUser и InitiateSystemShutdown ) требуют, чтобы вызывающее приложение обладало соответствующими привилегиями.

Каждая привилегия имеет два текстовых представления: дружественное имя, отображаемое в пользовательском интерфейсе Windows, и программное имя, используемое приложениями, а также Luid — внутренний номер привилегии в конкретной системе. Помимо привилегий в Windows имеются близкие к ним права учетных записей. Привилегии перечислены в файле WinNT.h, а права — в файле NTSecAPI.h из MS Platform SDK. Чаще всего работа с назначением привилегий и прав происходит одинаково, хотя и не всегда. Например, функция LookupPrivelegeDisplayName, преобразующая программное имя в дружественное, работает только с привилегиями.

Ниже приведен перечень программных и отображаемых имен привилегий (права в отношении системы в данном списке отсутствуют) учетной записи группы с административными правами в ОС Windows 2000.

1. SeBackupPrivilege (Архивирование файлов и каталогов)

2. SeChangeNotifyPrivilege (Обход перекрестной проверки)

3. SeCreatePagefilePrivilege (Создание страничного файла)

4. SeDebugPrivilege (Отладка программ)

5. SeIncreaseBasePriorityPrivilege (Увеличение приоритета диспетчирования)

6. SeIncreaseQuotaPrivilege (Увеличение квот)

7. SeLoadDriverPrivilege (Загрузка и выгрузка драйверов устройств)

8. SeProfileSingleProcessPrivilege (Профилирование одного процесса)

9. SeRemoteShutdownPrivilege (Принудительное удаленное завершение)

10. SeRestorePrivilege (Восстановление файлов и каталогов)

11. SeSecurityPrivilege (Управление аудитом и журналом безопасности)

12. SeShutdownPrivilege (Завершение работы системы)

13. SeSystemEnvironmentPrivilege (Изменение параметров среды оборудования)

14. SeSystemProfilePrivilege (Профилирование загруженности системы)

15. SeSystemtimePrivilege (Изменение системного времени)

16. SeTakeOwnershipPrivilege (Овладение файлами или иными объектами)

17. SeUndockPrivilege (Извлечение компьютера из стыковочного узла)

Важно, что даже администратор системы по умолчанию обладает далеко не всеми привилегиями. Это связано с принципом предоставления минимума привилегий (см. лекцию 15 ). В каждой новой версии ОС Windows, в соответствии с этим принципом, производится ревизия перечня предоставляемых каждой группе пользователей привилегий, и общая тенденция состоит в уменьшении их количества. С другой стороны общее количество привилегий в системе растет, что позволяет проектировать все более гибкие сценарии доступа.

Внутренний номер привилегии используется для специфицирования привилегий, назначаемых субъекту, и однозначно связан с именами привилегии. Например, в файле WinNT.h это выглядит так:

#define SE_SHUTDOWN_NAME TEXT(«SeShutdownPrivilege»)

Управление привилегиями

Назначение и отзыв привилегий — прерогатива локального администратора безопасности LSA (Local Security Authority), поэтому, чтобы программно назначать и отзывать привилегии, необходимо применять функции LSA. Локальная политика безопасности системы означает наличие набора глобальных сведений о защите, например, о том, какие пользователи имеют право на доступ в систему, а также о том, какими они обладают правами. Поэтому говорят, что каждая система, в рамках которой действует совокупность пользователей, обладающих определенными привилегиями в отношении данной системы, является объектом политики безопасности. Объект политики используется для контроля базы данных LSA. Каждая система имеет только один объект политики, который создается администратором LSA во время загрузки и защищен от несанкционированного доступа со стороны приложений.

Использование функций LSA начинается с получения описателя объекта политики ( PolicyHandle ) при помощи функции LsaOpenPolicy, которая открывает описатель объекта на локальной или удаленной машине. Имя целевого компьютера передается функции в качестве одного из параметров. После завершения работы с объектом политики необходимо его закрыть, вызвав функцию LsaClose(PolicyHandle).

Управление привилегиями пользователей включает в себя задачи перечисления, задания, удаления, выключение привилегий и ряд других. Извлечь перечень привилегий конкретного пользователя можно, например, из маркера доступа процесса, порожденного данным пользователем. Там же, в маркере, можно отключить одну или несколько привилегии. О том, как это сделать, будет рассказано позже. Однако формировать список привилегий можно только при помощи LSA API.

Папиллярные узоры пальцев рук — маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни.

Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ — конструкции, предназначен­ные для поддерживания проводов на необходимой высоте над землей, водой.

Локальная система оповещения (ЛСО)

Презентация компании

Содержание:

Локальная система оповещения

Локальная система оповещения (ЛСО) – это совокупность технических средств объектовой и части территориальной (городской, областной) систем оповещения. Система централизованного оповещения объекта экономики строится на базе городской, а также производственной сети связи и сети проводного вещания объекта с применением специальной аппаратуры. В качестве средств оповещения здесь используются электрические и электронные сирены, уличные и абонентские громкоговорители.

Построение ЛСО и основные требования были определены Федеральными законами от 21 декабря 1994 № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» и от 12 февраля 1998 № 28-ФЗ «О гражданской обороне».

Задачи локальной системы оповещения

  • оповещение руководителей и персонала объекта;
  • оповещение руководителей (дежурных служб) объектов и организаций в зоне действия ЛСО:
    а) в районе размещения ядерно- и радиационно опасного объекта — в радиусе 5 км вокруг объекта (включая пристанционный поселок (город);
    б) в районе размещения химически опасного объекта — в радиусе до 2,5 км вокруг объекта;
    в) в районе размещения гидротехнического объекта (в нижнем бьефе, в зоне затопления) — на расстоянии до 6 км от объекта.
  • оповещение ЦУКС по субъекту РФ, ЕДДС муниципального образования;
  • оповещение населения, проживающего в зоне действия ЛСО при появлении угрозы их жизни и здоровью о способах защиты и действиях в сложившейся ситуации.

Структура подраздела ЛСО

Структура подраздела ЛСО проектной документации

1. Общие положения.

2. Описание функционирования системы.

3. Описание комплекса технических средств.

4. Общие технические решения.

5. Мероприятия по подготовке системы к вводу в действие.

6. Перечень заданий на создание системы.

7. Перечень используемых сокращений.

8. Нормативно-правовая база.

Структура подраздела рабочей документации ЛСО

2. Схема структурная ЛСО.

3. Схема внешних подключений оборудования ЛСО.

4. План расположения оборудования и проводок.

5. Расположение оборудования ЛСО на высотных конструкциях.

6. Зона оповещения ЛСО.

7. Кабельный журнал.

8. Сводная ведомость потребности в силовых и информационных кабелях.

9. Спецификация оборудования и материалов.

На каких объектах создаются локальные системы оповещения

Федеральным законом РФ от 28 декабря 2013 года № 404-ФЗ «О внесении изменений в статью 14 Федерального закона
«О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» и Федеральный закон «О гражданской обороне» определен перечень объектов, которые должны создавать и поддерживать в состоянии готовности ЛСО. В частности, им определено, что организации, эксплуатирующие ОПО I и II классов опасности, особо радиационно опасные и ядерно опасные производства и объекты, гидротехнические сооружения чрезвычайно высокой опасности и гидротехнические сооружения высокой опасности, создают и поддерживают в состоянии готовности локальные системы оповещения.

Этапы разработки

  • Этап I. Сбор исходных данных.
  • Этап II. Анализ проектных решений.
  • Этап III. Подбор оборудования.
  • Этап IV. Проектирование локальной системы оповещения населения.

Стоимость ЛСО

Хотите узнать стоимость локальной системы оповещения для вашего объекта?
Позвоните нам по номеру: 8 (499) 705-07-31 или отправьте письмо: info@safetycenter.ru .
Мы отправим коммерческое предложение в течение рабочего дня.

Срок разработки подразделаот 3-х дней (после предоставления Заказчиком необходимых данных).

Перечень исходных данных для разработки

Перечень ИД для оценки сложности

1. Исходный данные и требования для разработки раздела ПМ ГОЧС, с требованием разработки ЛСО.

2. Генеральный план с экспликацией.

3. Задание на проектирование.

4. Технические условия на ЛСО.

Перечень ИД для разработки

Данный перечень не является исчерпывающим и при необходимости пополняется дополнительной информацией.

1. Исходный данные и требования для разработки раздела ПМ ГОЧС, с требованием разработки ЛСО.

2. ТУ на присоединение к ОПУ РСЧС.

3. Свободная емкость существующего активного сетевого оборудования на объекте.

4. ТУ на подключение к оборудованию поставщика услуг связи (при необходимости).

5. Генплан с указанием существующих и проектируемых кабельных трасс по территории объекта.

6. Требования к исполнению корпусов оборудования, шкафов.

7. Требования к типам и маркам применяемого оборудования.

8. Сведения об источниках электропитания оборудования (оформляется отдельными заданиями).

Оценим подраздел в течение дня. Нужно только задание на проектирование!

Федеральный закон от 12.02.1998 № 28-ФЗ «О гражданской обороне».

Читать еще:  Определение политики безопасности

Федеральный закон от 21.12.1994 № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера».

Федеральный закон от 21.07.1997 № 116-ФЗ «О промышленной безопасности опасных производственных объектов».

Федеральный закон от 07.07.2003 № 126-ФЗ «О связи».

Постановление Правительства Российской Федерации от 30.12.2003 № 794 «Положение о единой государственной системе предупреждения и ликвидации чрезвычайных ситуаций».

Распоряжение Правительства Российской Федерации от 14.10.2004 № 1327-р «Об обеспечении граждан информацией о чрезвычайных ситуациях и угрозе террористических актов».

Постановление Правительства Российской Федерации от 31.12.2004 № 895 «Об утверждении Положения о приоритетном использовании, а также приостановлении или ограничении использования любых сетей связи и средств связи во время чрезвычайных ситуаций природного и техногенного характера».

Постановление Совета Министров – Правительства Российской Федерации от 01.03.1993 № 177 «Об утверждении Положения о порядке использования действующих радиовещательных и телевизионных станций для оповещения и информирования населения Российской Федерации в чрезвычайных ситуациях мирного и военного времени».

Постановление Совета Министров – Правительства Российской Федерации от 01.03.1993 № 178 «О создании локальных систем оповещения в районах размещения потенциально опасных объектов».

Приказ МЧС России, Министерства информационных технологий и связи Российской Федерации и Министерства культуры и массовых коммуникаций Российской Федерации «Об утверждении Положения о системах оповещения населения» от 25.07.2006 № 422/90/376.

ГОСТ Р 55199–2012 «Гражданская оборона. Оценка эффективности топологии оконечных устройств оповещения населения. Общие требования».

ГОСТ Р 55201–2012 «Безопасность в чрезвычайных ситуациях. Порядок разработки перечня мероприятий по гражданской обороне, мероприятий по предупреждению чрезвычайных ситуаций природного и техногенного характера при проектировании объектов капитального строительства».

СП 133.13330.2012 «Сети проводного радиовещания и оповещения в зданиях и сооружениях. Нормы проектирования».

РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».

ВРД 39-1.10-069-2002 «Положение по технической эксплуатации газораспределительных станций магистральных газопроводов».

ВСН 64-86/Минхимпром «Методические указания по установке сигнализаторов и газоанализаторов контроля довзрывоопасных и предельно допустимых концентраций химических веществ в воздухе производственных помещений».

Приказ ОАО «Газпром» от 10.11.2011 № 324 «Об утверждении Положения о корпоративной системе предупреждения и ликвидации чрезвычайных ситуаций ОАО «Газпром» и порядка подготовки к ведению и ведения гражданской обороны в ОАО «Газпром».

Методические рекомендации по созданию в районах размещения потенциально опасных объектов локальных систем оповещения, утвержденные МЧС России от 24.12.2002.

Временные методические рекомендации по реконструкции (созданию) локальных систем оповещения в районах размещения потенциально опасных объектов на базе комплекса программно-технических средств автоматизированной системы оповещения (КПТС АСО) – М.: ФГБУ ВНИИ ГОЧС, 2011. (Утверждены МЧС России от 25.11.2011.

Термины приведены в соответствии с СП 133.13330.2012 «Сети проводного радиовещания и оповещения в зданиях и сооружениях. Нормы проектирования».

Звуковое вещание (здесь) – вид электросвязи, предназначенный для формирования звуковых программ и их передачи территориально рассредоточенным слушателям.

Локальная система оповещения; ЛСО (здесь) – система оповещения населения в районах размещения потенциально опасных объектов, представляющая собой организационно-техническое объединение дежурно-диспетчерских служб потенциально опасного объекта, специальной аппаратуры управления и средств оповещения, а также линий связи, обеспечивающих передачу сигналов оповещения до персонала объекта и населения в зоне ответственности локальной системы оповещения данного объекта.

Местная система оповещения – система оповещения, обеспечивающая доведение сигнала (распоряжения) и информации оповещения от органов управления ГОЧС до: руководящего состава гражданской обороны и РСЧС города, городского и сельского районов, оперативных дежурных служб (диспетчеров) потенциально опасных объектов экономики, имеющих важное оборонное и экономическое значение или представляющих высокую степень опасности возникновения чрезвычайных ситуаций; населения, проживающего на территории города, городского или сельского района.

Объектовая система оповещения – совокупность технических и организационных средств оповещения, обеспечивающая доведение сигналов и информации оповещения до руководителей и персонала объекта, объектовых сил и служб гражданской обороны.

Радиотрансляционная точка – часть линейных сооружений сети, начинающаяся от ограничительной коробки или ограничительной перемычки и оканчивающаяся абонентской розеткой включительно, которая обеспечивает подачу к абонентскому устройству (пользовательскому оборудованию) абонента программ проводного вещания.

Региональная автоматизированная система централизованного оповещения; РАСЦО – региональное организационно-техническое объединение сил, средств связи и оповещения, сетей вещания, каналов сети связи общего пользования, обеспечивающих доведение информации и сигналов оповещения до органов управления подсистемы РСЧС и населения.

Основные компоненты системы безопасности ОС Windows

В данной лекции будут рассмотрены вопросы структуры системы безопасности, особенности ролевого доступа и декларируемая политика безопасности системы.

Система контроля дискреционного доступа — центральная концепция защиты ОС Windows, однако перечень задач, решаемых для обеспечения безопасности, этим не исчерпывается. В данном разделе будут проанализированы структура, политика безопасности и API системы защиты.

Изучение структуры системы защиты помогает понять особенности ее функционирования. Несмотря на слабую документированность ОС Windows по косвенным источникам можно судить об особенностях ее функционирования.

Рис. 14.1. Структура системы безопасности ОС Windows

Система защиты ОС Windows состоит из следующих компонентов (см. рис. 14.1).

· Процедура регистрации (Logon Processes), которая обрабатывает запросы пользователей на вход в систему. Она включают в себя начальную интерактивную процедуру, отображающую начальный диалог с пользователем на экране, и удаленные процедуры входа, которые позволяют удаленным пользователям получить доступ с рабочей станции сети к серверным процессам Windows NT. Процесс Winlogon реализован в файле Winlogon.exe и выполняется как процесс пользовательского режима. Стандартная библиотека аутентификации Gina реализована в файле Msgina.dll.

· Подсистема локальной авторизации (Local Security Authority, LSA), которая гарантирует, что пользователь имеет разрешение на доступ в систему. Этот компонент — центральный для системы защиты Windows NT. Он порождает маркеры доступа, управляет локальной политикой безопасности и предоставляет интерактивным пользователям аутентификационные услуги. LSA также контролирует политику аудита и ведет журнал, в котором сохраняются сообщения, порождаемые диспетчером доступа. Основная часть функциональности реализована в Lsasrv.dll.

· Менеджер учета (Security Account Manager, SAM), который управляет базой данных учета пользователей. Эта база данных содержит информацию обо всех пользователях и группах пользователей. Данная служба реализована в Samsrv.dll и выполняется в процессе Lsass.

· Диспетчер доступа (Security Reference Monitor, SRM), проверяющий, имеет ли пользователь право на доступ к объекту и на выполнение тех действий, которые он пытается совершить. Этот компонент обеспечивает легализацию доступа и политику аудита, определяемые LSA. Он предоставляет услуги для программ супервизорного и пользовательского режимов, чтобы гарантировать, что пользователи и процессы, осуществляющие попытки доступа к объекту, имеют необходимые права. Данный компонент также порождает сообщения службы аудита, когда это необходимо. Это компонент исполнительной системы: Ntoskrnl.exe.

Все компоненты активно используют базу данных Lsass, содержащую параметры политики безопасности локальной системы, которая хранится в разделе HKLMSECURITY реестра.

Как уже говорилось во введении, реализация модели дискреционного контроля доступа связана с наличием в системе одного из ее важнейших компонентов — монитора безопасности. Это особый вид субъекта, который активизируется при каждом доступе и в состоянии отличить легальный доступ от нелегального и не допустить последний. Монитор безопасности входит в состав диспетчера доступа (SRM), который, согласно описанию, обеспечивает также управление ролевым и привилегированным доступом.

Политика безопасности

При оценке степени защищенности операционных систем действует нормативный подход, в соответствии с которым совокупность задач, решаемых системой безопасности, должна удовлетворять определенным требованиям — их перечень определяется общепринятыми стандартами. Система безопасности ОС Windows отвечает требованиям класса C2 «оранжевой» книги [1] и требованиям стандарта Common Criteria, которые составляют основу политики безопасности системы. Политика безопасности подразумевает ответы на следующие вопросы: какую информацию защищать, какого рода атаки на безопасность системы могут быть предприняты, какие средства использовать для защиты каждого вида информации.

Требования, предъявляемые к системе защиты, таковы

1. Каждый пользователь должен быть идентифицирован уникальным входным именем и паролем для входа в систему. Доступ к компьютеру предоставляется лишь после аутентификации. Должны быть предприняты меры предосторожности против попытки применения фальшивой программы регистрации (механизм безопасной регистрации).

2. Система должна быть в состоянии использовать уникальные идентификаторы пользователей, чтобы следить за их действиями (управление избирательным или дискреционным доступом). Владелец ресурса (например, файла) должен иметь возможность контролировать доступ к этому ресурсу.

3. Управление доверительными отношениями. Необходима поддержка наборов ролей (различных типов учетных записей). Кроме того, в системе должны быть средства для управления привилегированным доступом.

4. ОС должна защищать объекты от повторного использования. Перед выделением новому пользователю все объекты, включая память и файлы, должны быть проинициализированы.

Читать еще:  Политика безопасности сети предприятия

5. Системный администратор должен иметь возможность учета всех событий, относящихся к безопасности (аудит безопасности).

6. Система должна защищать себя от внешнего влияния или навязывания, такого, как модификация загруженной системы или системных файлов, хранимых на диске.

Надо отметить, что, в отличие от большинства операционных систем, ОС Windows была изначально спроектирована с учетом требований безопасности, и это является ее несомненным достоинством. Посмотрим теперь, как в рамках данной архитектуры обеспечивается выполнение требований политики безопасности.

Ролевой доступ. Привилегии

Понятие привилегии

С целью гибкого управления системной безопасностью в ОС Windows реализовано управление доверительными отношениями (trusted facility management), которое требует поддержки набора ролей (различных типов учетных записей) для разных уровней работы в системе. Надо сказать, что эта особенность системы отвечает требованиям защиты уровня B «оранжевой» книги, то есть более жестким требованиям, нежели перечисленные в разделе «Политика безопасности». В системе имеется управление привилегированным доступом, то есть функции администрирования доступны только одной группе учетных записей — Administrators (Администраторы.).

В соответствии со своей ролью каждый пользователь обладает определенными привилегиями и правами на выполнение различных операций в отношении системы в целом, например, право на изменение системного времени или право на создание страничного файла. Аналогичные права в отношении конкретных объектов называются разрешениями. И права, и привилегии назначаются администраторами отдельным пользователям или группам как часть настроек безопасности. Многие системные функции (например, LogonUser и InitiateSystemShutdown ) требуют, чтобы вызывающее приложение обладало соответствующими привилегиями.

Каждая привилегия имеет два текстовых представления: дружественное имя, отображаемое в пользовательском интерфейсе Windows, и программное имя, используемое приложениями, а также Luid — внутренний номер привилегии в конкретной системе. Помимо привилегий в Windows имеются близкие к ним права учетных записей. Привилегии перечислены в файле WinNT.h, а права — в файле NTSecAPI.h из MS Platform SDK. Чаще всего работа с назначением привилегий и прав происходит одинаково, хотя и не всегда. Например, функция LookupPrivelegeDisplayName, преобразующая программное имя в дружественное, работает только с привилегиями.

Ниже приведен перечень программных и отображаемых имен привилегий (права в отношении системы в данном списке отсутствуют) учетной записи группы с административными правами в ОС Windows 2000.

1. SeBackupPrivilege (Архивирование файлов и каталогов)

2. SeChangeNotifyPrivilege (Обход перекрестной проверки)

3. SeCreatePagefilePrivilege (Создание страничного файла)

4. SeDebugPrivilege (Отладка программ)

5. SeIncreaseBasePriorityPrivilege (Увеличение приоритета диспетчирования)

6. SeIncreaseQuotaPrivilege (Увеличение квот)

7. SeLoadDriverPrivilege (Загрузка и выгрузка драйверов устройств)

8. SeProfileSingleProcessPrivilege (Профилирование одного процесса)

9. SeRemoteShutdownPrivilege (Принудительное удаленное завершение)

10. SeRestorePrivilege (Восстановление файлов и каталогов)

11. SeSecurityPrivilege (Управление аудитом и журналом безопасности)

12. SeShutdownPrivilege (Завершение работы системы)

13. SeSystemEnvironmentPrivilege (Изменение параметров среды оборудования)

14. SeSystemProfilePrivilege (Профилирование загруженности системы)

15. SeSystemtimePrivilege (Изменение системного времени)

16. SeTakeOwnershipPrivilege (Овладение файлами или иными объектами)

17. SeUndockPrivilege (Извлечение компьютера из стыковочного узла)

Важно, что даже администратор системы по умолчанию обладает далеко не всеми привилегиями. Это связано с принципом предоставления минимума привилегий (см. лекцию 15 ). В каждой новой версии ОС Windows, в соответствии с этим принципом, производится ревизия перечня предоставляемых каждой группе пользователей привилегий, и общая тенденция состоит в уменьшении их количества. С другой стороны общее количество привилегий в системе растет, что позволяет проектировать все более гибкие сценарии доступа.

Внутренний номер привилегии используется для специфицирования привилегий, назначаемых субъекту, и однозначно связан с именами привилегии. Например, в файле WinNT.h это выглядит так:

#define SE_SHUTDOWN_NAME TEXT(«SeShutdownPrivilege»)

Управление привилегиями

Назначение и отзыв привилегий — прерогатива локального администратора безопасности LSA (Local Security Authority), поэтому, чтобы программно назначать и отзывать привилегии, необходимо применять функции LSA. Локальная политика безопасности системы означает наличие набора глобальных сведений о защите, например, о том, какие пользователи имеют право на доступ в систему, а также о том, какими они обладают правами. Поэтому говорят, что каждая система, в рамках которой действует совокупность пользователей, обладающих определенными привилегиями в отношении данной системы, является объектом политики безопасности. Объект политики используется для контроля базы данных LSA. Каждая система имеет только один объект политики, который создается администратором LSA во время загрузки и защищен от несанкционированного доступа со стороны приложений.

Использование функций LSA начинается с получения описателя объекта политики ( PolicyHandle ) при помощи функции LsaOpenPolicy, которая открывает описатель объекта на локальной или удаленной машине. Имя целевого компьютера передается функции в качестве одного из параметров. После завершения работы с объектом политики необходимо его закрыть, вызвав функцию LsaClose(PolicyHandle).

Управление привилегиями пользователей включает в себя задачи перечисления, задания, удаления, выключение привилегий и ряд других. Извлечь перечень привилегий конкретного пользователя можно, например, из маркера доступа процесса, порожденного данным пользователем. Там же, в маркере, можно отключить одну или несколько привилегии. О том, как это сделать, будет рассказано позже. Однако формировать список привилегий можно только при помощи LSA API.

Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.

Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов (88‰).

Локальная система оповещения

Локальная система оповещения (ЛСО) ставит своей основной задачей максимально быстрое донесение звуковых, световых и иных сигналов и информации оповещения о чрезвычайной ситуации до руководителей дежурных служб организаций, расположенных в зоне действия данной ЛСО, а также объектовых служб гражданской обороны. Частным случаем локальных систем оповещения являются так называемые объектовые системы оповещения, использующиеся на предприятиях. Их мы и рассмотрим в данной статье.

Локальные системы оповещения, их структура и функциональные особенности

Локальная система оповещения в отдельной организации приходит в действие в случае аварии или происшествия, последствия которого не выходят за пределы объекта. Такая система, как правило, выстраивается на следующих уровнях:

  • существующая информационная сеть объекта оповещения
  • сеть звукового обеспечения предприятия
  • специализированная аппаратура системы оповещения

Локальные системы оповещения интегрируются в существующую информационную инфраструктуру организации, прежде всего, с целью повышения эффективности их деятельности. Так, например, благодаря интеграции с охранным видеонаблюдением система оповещения может своевременно подать соответствующий сигнал о появлении потенциального злоумышленника. А ее функционирование в одной связке с охранно-пожарной сигнализацией (ОПС) позволит оперативно передать тревожное сообщение, сформированное на основании информации, поступившей с пожарных датчиков.

Монтаж системы оповещения реализует подачу предупредительного сигнала «сирена» или речевой информации, которые разъясняют ситуацию и передают команды, управляющие действиями персонала компании и других людей, находящихся на территории объекта. При этом в наиболее распространенных случаях аппаратура, исполняющая функции оповещения, одновременно используется и в системе местного вещания – например, для трансляции фоновой музыки, объявлений рекламного характера, воспроизведения информационно-образовательных программ. При этом система позволяет заранее формировать или выбирать варианты оповещения, а управление системой может осуществляться в том числе и в режиме удаленного доступа.

Кстати, следует заметить, что и заранее записанные сообщения о тревоге, и голосовые объявления следует воспроизводить спокойным женским голосом: статистика показывает, что именно он воспринимается слушателями наиболее положительно и заставляет более чутко прислушиваться к сказанному. При этом в случае с объявлениями о чрезвычайном происшествии предпочтение следует отдавать именно заранее записанным сообщениям, ибо недостаточно хладнокровный голос диктора может лишь усилить паническую реакцию людей.

Для обеспечения дополнительного удобства формирования тревожных сообщений и объявлений во многих локальных системах оповещения имеются программные синтезаторы речи с неограниченным словарем, позволяющие легко менять тембр голоса, а также его возрастную и половую принадлежность. А усовершенствованные управляющие программы позволяют хранить и своевременно запускать полученные сообщения, как говорится, на все случаи жизни.

Кроме того многие локальные системы оповещения снабжены функцией автоматического дозвона до абонентов по телефону. При этом программа поддерживает создание и хранение телефонных номеров абонентов вместе с характерными для различных ситуаций сценариями оповещения, в специализированной базе данных. Таким образом, данная функция, помимо решения вопросов безопасности, может с успехом использоваться и в коммерческой деятельности – например, для автоматического телефонного оповещения клиентов о действующих скидках и акциях, новых поступлениях товара и т. д.

Компания «Флайлинк» – многоопытный системный интегратор, на счету которого успешная реализация нескольких сотен разноплановых проектов информационных систем в Москве, Подмосковье и других городах России. Спроектированная и установленная нашими специалистами локальная система оповещения – надежный часовой на службе безопасности Вашего предприятия.

Ссылка на основную публикацию
Adblock
detector