Содержание

Skip to end of metadata
Go to start of metadata

Данная статья применима к:

  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1

Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что 

наличие физического доступа к любому носителю информации
позволяет прочитать с него всё, что там хранится,
независимо от наличия и содержания мандатных меток

Для предотвращения утечки информации следует в обязательном порядке

  • ограничить физический доступ к носителям,
  • и применять защитное преобразование хранящейся информации

При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что  в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО.

Подробности см.  Твердотельные накопители (SSD): особенности применения

Поддерживаемые файловые системы

ext2/ext3/ext4
vfat
При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.

Порядок работы

Для работы с конфиденциальной информацией нужно создать для USB носителя правила доступа в графическом инструменте fly-admin-smc.
Для
 этого:

  • не подключая накопитель к компьютеру, запустить графический инструмент  fly-admin-smc
    (меню "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности";
    в меню инструмента выбрать "Устройства и правила" > "Устройства" ;
    и нажать кнопку "+" ("новый элемент");

  • после появления окна с приглашением "Подсоедините устройство"  подключить носитель к компьютеру;

  • дождаться, пока с носителя прочитается информация, и из появившегося списка выбрать логическое устройство 
    (обычно - самый последний элемент в списке), и нажать кнопку ДА;

  • в закладке "Общие"
    • указать наименование устройства;
    • выбрать пользователя (владельца устройства) и группу - владельца;
    • указать для всех права доступа;

  • в закладке МРД 
    • указать необходимый максимальный "Уровень" конфиденциальности для этого носителя;
    • и допустимые категории доступа;

  • в закладке Аудит указать необходимые параметры аудита;

  • в правом верхнем углу поставить отметку "Включено";

  • сохранить изменения;


Для того, чтобы изменения ограничений мандатного доступа вступили в силу,  следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.

Для USB устройств с файловой системой vfat:

работа возможна только при входе пользователя на уровне конфиденциальности,
который назначен администратором для данного устройства во fly-admin-smc.


Для USB устройств с файловой системой ext4:

работа на учтенном для данного пользователя USB носителе возможна при входе пользователя на всех уровнях конфиденциальности.
При этом, доступ к данным осуществляется согласно правилам МРД, заданным в контейнерах (каталогах),
которые администратор должен предварительно создать в файловой системе ext4 данного носителя (типовые сценарии для созданий контейнеров см. ниже).


Все пользователи, для которых включается режим работы с конфиденциальной информацией на USB носителях
обязательно должны быть исключены из группы floppy (ОС СН Смоленск 1.5 и ОС СН Смоленск 1.6) и из группы fuse (ОС СН Смоленск 1.5).
(при обработке конфиденциальной информации это должны быть все пользователи, кроме администраторов из группы astra-admin).

Исключить пользователя из группы floppy можно командой:

gpasswd -d username floppy


Сценарии для подготовки USB носителей ext4

  1. Для подготовки USB носителя с файловой системой ext4 к работе на нескольких уровнях
    можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):

    #!/bin/bash
    USERNAME="user"
    DEVICE="/dev/sdc1"
    mkfs.ext4 $DEVICE
    mkdir -p /media/usb
    mount $DEVICE /media/usb
    #multilevel
    pdpl-file 3:0:-1:ccnr /media/usb/
    mkdir /media/usb/{0,1,2,3}
    pdpl-file 0:0:0:0 /media/usb/0
    pdpl-file 1:0:0:0 /media/usb/1
    pdpl-file 2:0:0:0 /media/usb/2
    pdpl-file 3:0:0:0 /media/usb/3
    chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
    ls -la /media/usb/
    pdp-ls -M /media/usb/
    umount /media/usb
  2. Для подготовки USB носителя с файловой системой ext4 к работе для работы на одном (например, 2-м)
    уровне можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):

    #!/bin/bash
    USERNAME="user"
    DEVICE="/dev/sdc1"
    mkfs.ext4 $DEVICE
    mkdir -p /media/usb
    mount $DEVICE /media/usb
    #one level
    pdpl-file 2:0:0:0 /media/usb/
    chown -R ${USERNAME}:${USERNAME} /media/usb/
    ls -la /media/usb/
    pdp-ls -M /media/usb/
    umount /media/usb