Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что
наличие физического доступа к любому носителю информации
позволяет прочитать с него всё, что там хранится,
независимо от наличия и содержания мандатных меток
Для предотвращения утечки информации следует в обязательном порядке
- ограничить физический доступ к носителям,
- и применять защитное преобразование хранящейся информации
Данная статья применима к:
- ОС СН Смоленск 1.6
Поддерживаемые файловые системы
vfat
Порядок работы
Для работы с конфиденциальной информацией нужно создать для USB носителя правила доступа в графическом инструменте fly-admin-smc.
этого:
Для
- не подключая накопитель к компьютеру, запустить графический инструмент
fly-admin-smc
(меню "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности";
в меню инструмента выбрать "Устройства и правила" > "Устройства" ;
и нажать кнопку "+" ("новый элемент"); - после появления окна с приглашением "Подсоедините устройство" подключить носитель к компьютеру;
- дождаться, пока с носителя прочитается информация, и из появившегося списка выбрать логическое устройство
(обычно - самый последний элемент в списке), и нажать кнопку ДА; - в закладке "Общие"
- указать наименование устройства;
- выбрать пользователя (владельца устройства) и группу - владельца;
- указать для всех права доступа;
- в закладке МРД
- указать необходимый максимальный "Уровень" конфиденциальности для этого носителя;
- и допустимые категории доступа;
- в закладке Аудит указать необходимые параметры аудита;
- в правом верхнем углу поставить отметку "Включено";
- сохранить изменения;
Для того, чтобы изменения ограничений мандатного доступа вступили в силу, следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.
работа возможна только при входе пользователя на уровне конфиденциальности,
который назначен администратором для данного устройства во
fly-admin-smc
.Для USB устройств с файловой системой ext4:
работа на учтенном для данного пользователя USB носителе возможна при входе пользователя на всех уровнях конфиденциальности.
При этом, доступ к данным осуществляется согласно правилам МРД, заданным в контейнерах (каталогах),
которые администратор должен предварительно создать в файловой системе ext4 данного носителя (типовые сценарии для созданий контейнеров см. ниже).
Все пользователи, для которых включается режим работы с конфиденциальной информацией на USB носителях
обязательно должны быть исключены из группы floppy (ОС СН Смоленск 1.5 и ОС СН Смоленск 1.6) и из группы fuse (ОС СН Смоленск 1.5).
(при обработке конфиденциальной информации это должны быть все пользователи, кроме администраторов из группы astra-admin).
Исключить пользователя из группы floppy можно командой:
Сценарии для подготовки USB носителей ext4
Для подготовки USB носителя с файловой системой ext4 к работе на нескольких уровнях
можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#multilevel
pdpl-file 3:0:-1:ccnr /media/usb/
mkdir /media/usb/{0,1,2,3}
pdpl-file 0:0:0:0 /media/usb/0
pdpl-file 1:0:0:0 /media/usb/1
pdpl-file 2:0:0:0 /media/usb/2
pdpl-file 3:0:0:0 /media/usb/3
chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usbДля подготовки USB носителя с файловой системой ext4 к работе для работы на одном (например, 2-м)
уровне можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):#!/bin/bash
USERNAME="user"
DEVICE="/dev/sdc1"
mkfs.ext4 $DEVICE
mkdir -p /media/usb
mount $DEVICE /media/usb
#one level
pdpl-file 2:0:0:0 /media/usb/
chown -R ${USERNAME}:${USERNAME} /media/usb/
ls -la /media/usb/
pdp-ls -M /media/usb/
umount /media/usb