Организация разграничения доступа с использованием...
TRANSCRIPT
Традиционные системы разграничения доступа – минимальная конфигурация
Правила разграничения доступа: • пользователь – ресурс
или • пользователь + процесс – ресурс
2
Блок идентификации и аутентификации
БД полномочий
Служебные утилиты администрирования
Драйвер разграничения доступа
3
Полнофункциональная конфигурация традиционной СРД
Служебные утилиты администрирования
БД полномочий
Блок аудита
Аппаратные средства защиты Драйвер разграничения
доступа Драйвер фильтрации
устройств USB
Реализация режима паузы неактивности
Блок идентификации и аутентификации Блок управления
Блок разграничения доступа
Аппаратура
АПМДЗ
Уровень ядра
Драйвер разграничения
доступа
Ring 0
Уровень приложений
Ring 3 Приложение
Приложение с НДВ
4
Принцип работы традиционной СРД
5
Аппаратура
АПМДЗ
Уровень ядра
Драйвер разграничения
доступа
Ring 0
Уровень приложений
Ring 3 Приложение
Драйвер с НДВ
5
Возможность атаки на традиционную СРД
Аппаратура
АПМДЗ
Уровень ядра
Драйвер разграничения
доступа Ring 0
Гипервизор
Hook MSR-регистров
Функции защиты СЗИ
Ring -1
6
Устранение потенциальной уязвимости с помощью гипервизора
Разрешённые сетевые ресурсы
ОС и приложения пользователя
Виртуальный диск с разрешёнными данными
Сеть Данные
Виртуальная машина для пользователя
Гипервизор
Функции защиты СЗИ и разграничения доступа
Доверенная ОС
Межсетевой экран
Виртуальная машина для защиты сети
Антивирус
Виртуальная машина для контроля данных
7
Перспективы дальнейшего развития
8