Содержание

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »


Принимая решение о допустимости хранения конфиденциальной информации на сменных (и не на сменных) носителях, следует помнить, что 

наличие физического доступа к носителю позволяет прочитать с него всё, что там хранится,
независимо от наличия и содержания мандатных меток

Для предотвращения утечки информации следует в обязательном порядке

  • ограничить физический доступ к носителям,
  • и применять защитное преобразование хранящейся информации

Поддерживаемые файловые системы

ext4
vfat

Порядок работы

Для работы с конфиденциальной информацией нужно создать для USB носителя правила доступа в графическом инструменте fly-admin-smc.
Для
 этого:

  • не подключая накопитель к компьютеру, запустить инструмент  fly-admin-smc,
    в меню инструмента выбрать "Устройства и правила" > "Устройства" 
    и нажать кнопку "+" ("новый элемент").

  • после появления окна с приглашением "Подсоедините устройство"  подключить носитель к компьютеру,

  • дождаться, пока с носителя прочитается информация, и из появившегося списка выбрать логическое устройство 
    (обычно - самый последний элемент в списке), и нажать кнопку ДА.

  • в закладке "Общие"
    • указать наименование устройства
    • выбрать пользователя (владельца устройства) и группу - владельца
    • указать для всех права доступа

  • в закладке МРД 
    • указать необходимый максимальный "Уровень" конфиденциальности для этого носителя
    • и допустимые категории доступа

  • в закладке Аудит указать необходимые параметры аудита

  • в правом верхнем углу поставить отметку "Включено"

  • сохранить изменения
Для USB устройств с файловой системой vfat:

работа возможна только при входе пользователя на уровне конфиденциальности,
который назначен администратором для данного устройства во fly-admin-smc.


Для USB устройств с файловой системой ext4:

работа на учтенном для данного пользователя USB носителе возможна при входе пользователя на всех уровнях конфиденциальности.
При этом, доступ к данным осуществляется согласно правилам МРД, заданным в контейнерах (каталогах),
которые администратор должен предварительно создать в файловой системе ext4 данного носителя.


Все пользователи, для которых включается режим работы с конфиденциальной информацией на USB носителях
обязательно должны быть исключены из группы floppy
(при обработке конфиденциальной информации это должны быть все пользователи, кроме администраторов из группы astra-admin).


Сценарии для подготовки USB носителей ext4

  1. Для подготовки USB носителя с файловой системой ext4 к работе на нескольких уровнях
    можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):

    #!/bin/bash
    USERNAME="user"
    DEVICE="/dev/sdc1"
    mkfs.ext4 $DEVICE
    mkdir -p /media/usb
    mount $DEVICE /media/usb
    #multilevel
    pdpl-file 3:0:-1:ccnr /media/usb/
    mkdir /media/usb/{0,1,2,3}
    pdpl-file 0:0:0:0 /media/usb/0
    pdpl-file 1:0:0:0 /media/usb/1
    pdpl-file 2:0:0:0 /media/usb/2
    pdpl-file 3:0:0:0 /media/usb/3
    chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
    ls -la /media/usb/
    pdp-ls -M /media/usb/
    umount /media/usb
  2. Для подготовки USB носителя с файловой системой ext4 к работе для работы на одном (например, 2-м)
    уровне можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):

    #!/bin/bash
    USERNAME="user"
    DEVICE="/dev/sdc1"
    mkfs.ext4 $DEVICE
    mkdir -p /media/usb
    mount $DEVICE /media/usb
    #one level
    pdpl-file 2:0:0:0 /media/usb/
    chown -R ${USERNAME}:${USERNAME} /media/usb/
    ls -la /media/usb/
    pdp-ls -M /media/usb/
    umount /media/usb
  • No labels