Традиционные системы разграничения доступа – минимальная конфигурация

Правила разграничения доступа: • пользователь – ресурс

или • пользователь + процесс – ресурс

2

Блок идентификации и аутентификации

БД полномочий

Служебные утилиты администрирования

Драйвер разграничения доступа

3

Полнофункциональная конфигурация традиционной СРД

Служебные утилиты администрирования

БД полномочий

Блок аудита

Аппаратные средства защиты Драйвер разграничения

доступа Драйвер фильтрации

устройств USB

Реализация режима паузы неактивности

Блок идентификации и аутентификации Блок управления

Блок разграничения доступа

Аппаратура

АПМДЗ

Уровень ядра

Драйвер разграничения

доступа

Ring 0

Уровень приложений

Ring 3 Приложение

Приложение с НДВ

4

Принцип работы традиционной СРД

5

Аппаратура

АПМДЗ

Уровень ядра

Драйвер разграничения

доступа

Ring 0

Уровень приложений

Ring 3 Приложение

Драйвер с НДВ

5

Возможность атаки на традиционную СРД

Аппаратура

АПМДЗ

Уровень ядра

Драйвер разграничения

доступа Ring 0

Гипервизор

Hook MSR-регистров

Функции защиты СЗИ

Ring -1

6

Устранение потенциальной уязвимости с помощью гипервизора

Разрешённые сетевые ресурсы

ОС и приложения пользователя

Виртуальный диск с разрешёнными данными

Сеть Данные

Виртуальная машина для пользователя

Гипервизор

Функции защиты СЗИ и разграничения доступа

Доверенная ОС

Межсетевой экран

Виртуальная машина для защиты сети

Антивирус

Виртуальная машина для контроля данных

7

Перспективы дальнейшего развития

8