Руководство администратора
АННОТАЦИЯ
Настоящий документ является руководством администратора программно-аппаратного комплекса средств защиты информации от НСД – аппаратного модуля доверенной загрузки – «Аккорд-АМДЗ», далее по тексту «Аккорд- АМДЗ», и предназначен для лиц, планирующих и организующих защиту информации с его использованием в системах и средствах информатизации на базе ПЭВМ.
В документе приведены основные функции и особенности эксплуатации комплексов СЗИ НСД «Аккорд-АМДЗ», работающих на основе контроллеров:
-
Аккорд-5.5(e), Аккорд-LE, Аккорд-GX, Аккорд-GXM, Аккорд-GXMH, Аккорд-GXМ2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемого по ТУ 4012-038- 11443195-2011);
-
Аккорд-GX, Аккорд-GXMH, Аккорд-GXМ2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемых по ТУ 4012-054-11443195-2013, ТУ 26.20.40.140-102-37222406- 2021 и ТУ 26.20.40.140-097-37222406-2021);
-
Аккорд-GX, Аккорд-GXМ2 (для СЗИ НСД «Аккорд-АМДЗ», выпускаемых по ТУ 26.20.40.140-106-37222406-2021);
-
Аккорд-GXM2 v.P, Аккорд-GXM2 v.S на базе микроконтроллера PIC18, Аккорд-GXM2 v.S на базе микроконтроллера PIC32 (для СЗИ НСД «Аккорд- АМДЗ», выпускаемых по ТУ 26.20.40.140-108-37222406-2022);
-
Аккорд-GX, Аккорд-GXM, Аккорд-GXMH, Аккорд-GXM2, Аккорд-GXM2 v.P, Аккорд-GXM2 v.S (для СЗИ НСД «Аккорд-АМДЗ», выпускаемых по ТУ 26.20.40.140-079-37222406-2019).
Перед установкой и эксплуатацией комплексов СЗИ НСД «Аккорд-АМДЗ» необходимо внимательно ознакомиться с комплектом эксплуатационной документации, а также принять рекомендуемые защитные организационные меры.
Применение защитных средств комплексов должно дополняться общими мерами технической безопасности.
скачать документ PDF
если вам есть что скрывать
Особое
конструкторское бюро систем
автоматизированного проектирования
Фирма “ИнфоКрипт лтд”
ГОСУДАРСТВЕННАЯ
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
УТВЕРЖДЕН
11443195.4012-006
90 17-ЛУ
КОМПЛЕКС
«АККОРД-АМДЗ»
Руководство
администратора.
11443195.4012-006
90 17
Литера
01
Москва, 1999г.
1. Работа с
программой. 3
1.1 Список
пользователей. 4
1.2 Общие параметры
группы “Администраторы”. 5
1.2.1 Параметры
пароля. 6
1.2.2 Результаты
ИА. 6
1.3 Общие параметры
группы “Обычные” (пользователи). 7
1.3.1 Временные
ограничения. 8
1.3.2 Загрузка
ОС. 9
1.3.3 Форма
допуска. 10
1.3.4 Доступ к
логическим дискам. 10
1.3.5 Управление
устройствами (для контроллера с
установленными реле управления). 10
1.4 Регистрация
супервизора (администратора безопасности
информации). 12
1.4.1 Назначение
ТМ-идентификатора. 12
1.4.2 Генерация
секретного ключа. 12
1.4.3 Назначение
пароля. 15
1.5 Регистрация
нового пользователя. 16
1.6 Удаление
пользователя из списка зарегистрированных. 16
1.7 Редактирование
параметров пользователей. 17
1.8 Контроль. 17
1.8.1 Контроль
аппаратуры. 17
1.8.2 Контроль
целостности служебных областей жестких
дисков. 18
1.8.3 Контроль
целостности файлов. 19
1.9 Системный
журнал. 20
1.10 Сервис 21
2. Выход из
программы. 22
Назначение
Программа
администратора системы защиты информации
является частью комплекса «АККОРД-АМДЗ»
и не требует установки какого-либо
дополнительного ПО. С помощью этой
программы администратор СЗИ может
добавлять и удалять пользователей,
назначать пользователям TM-идентификаторы
и пароли, контролировать аппаратную
часть ПЭВМ, прикладные и системные
файлы, получает доступ к системному
журналу контроллера.
Термины.
Пользователь— субъект доступа к объектам (ресурсам)
ПЭВМ.
Администратор— администратор службы безопасности
информации.
ТМ-идентификатор
(или ТМ)— идентификатор Touch-memory DS-199X.
Использовать
ТМ-идентификатор— приложить
ТМ-идентификатор к съемнику.
Меню — окно
с изображением кнопок с названиями
команд. Перемещения по меню осуществляется
с помощью мыши или <Tab>. Выбор команды
— мышью (левая клавиша) или <Enter>, выход
из меню — <Esc> или командой в меню.
Окно ввода/вывода— служит для ввода и отображения
буквенно-цифровой информации, а так же
может выполнять функции меню. Содержит
окно для ввода буквенно-цифровой
информации, окна списков, кнопки команд,
окна флагов. Ввод буквенно-цифровой
информации должен заканчиваться <Enter>
или перемещением в другое окно, движение
списка в окне — с помощью стрелок или
мышью. Перемещение по окнам и кнопкам
команд, выбор команд и выход из окна —
аналогично работе с меню.
Сообщения —
информация, выводимая на дисплей, которая
сообщает о действиях, требуемых от
пользователя, о состоянии программы и
о нормально завершенных действиях.
Ошибки—
информация, выводимая на дисплей,
указывающая на неправильность действий,
сбои, аварии комплекса.
Пояснения—
в описании некоторых команд даются
пояснения и рекомендации администратору
для использования этих команд. Пояснения
выделены мелким шрифтом.
Предложите, как улучшить StudyLib
(Для жалоб на нарушения авторских прав, используйте
другую форму
)
Ваш е-мэйл
Заполните, если хотите получить ответ
Оцените наш проект
1
2
3
4
5
Примечание: В зависимости от используемых серверов, «Аккорд-АМДЗ» может поставляться в различных форм-факторах от PCI до USB.
3.4Установка и настройка «Аккорд Win32/64 TSE» на сервере vCenter
3.4.1Общие сведения
Процедура установки и настройки «Аккорда Win32/64 TSE» описана в соответствующей документации, входящей в комплект поставки «Аккорда Win32/64» («Руководство по установке» (11443195.4012-036 98), «Руководство администратора» (11443195.4012-036 90) – для «Аккорд Win32»; «Руководство по установке» (11443195.4012-037 98), «Руководство администратора» (11443195.4012-037 90) – для «Аккорд Win64»). Ниже описаны только особенности настройки «Аккорда Win32/64 TSE» на сервере с vCenter.
3.4.2Особенности настройки: разделение ролей администраторов
В инфраструктуре виртуализации необходимо выделить две роли: администратор безопасности информации (АБИ) и администратор инфраструктуры виртуализации (АВИ) (подробнее см. «Принятые термины, обозначения и сокращения»).
Для этого в сервере vCenter АБИ должен быть администратором в «Аккорд Win32/64» и пользователем в Windows. И наоборот, АВИ должен быть пользователем в «Аккорд Win32/64» и администратором в Windows. В таком случае администратор безопасности имеет возможность управлять распределением прав доступа (механизмами «Аккорд Win32/64»), но не имеет доступа к самим ресурсам (в силу соответствующих настроек Windows).
Учетная запись АБИ должна иметь полный доступ к папке «Аккорда-В.»
“C:Program FilesOKB SAPR JSCAccord-V” – данный пункт настраивается средствами ОС. Дополнительно необходимо с помощью «Аккорд Win32/64 TSE» оставить эту папку доступной только для АБИ.
Доступ к управлению инфраструктурой виртуализации через vSphere Client должен осуществляться только локально. Удаленный доступ должен быть запрещен путем закрытия портов 443, 8080 и 8443 для удаленных подключений на всех серверах vCenter.
При этом удаленная работа с инфраструктурой виртуализации возможна. Для этого администраторам должен быть разрешен и соответствующим образом настроен терминальный доступ по протоколам RDP или ICA1. После создания терминальной сессии администратор инфраструктуры виртуализации может запустить vSphere Client и локально подключиться к службе vCenter.
3.5Установка ПО ПСКЗИ ШИПКА на сервер vCenter, инициализация и форматирование устройства
Процедура установки ПО ПСКЗИ описана в «Руководстве администратора» (11443195.4012-022 90 01), входящем в комплект поставки ПСКЗИ ШИПКА.
После установки ПО необходимо инициализировать и отформатировать хотя бы одну ШИПКу администратора информационной безопасности (в случае распределения сертификатов с помощью ПСКЗИ ШИПКА она будет использоваться для распределения сертификатов между всеми элементами инфраструктуры виртуализации).
Процедуры инициализации и форматирования также описаны в «Руководстве администратора» (11443195.4012-022 90 01) на ПСКЗИ ШИПКА.
3.6Установка системы администрирования «Аккорд-В.» на сервер vCenter
Внимание! Перед началом установки убедитесь, что:
– ПО «Аккорд-Win32/64» и ПО для ПСКЗИ ШИПКА уже установлено и соответствующим образом сконфигурировано;
– время на всех ESX(i) серверах и сервере vCenter синхронизовано, и часовые пояса заданы корректно.
Чтобы начать установку системы управления, необходимо запустить исполняемый файл Accord-V.exe, который находится на диске с дистрибутивом в папке «Accord-V for vCenter».
В появившемся окне следует выбрать язык установки (рисунок 3).
Рисунок 3 — Выбор языка установки.
Далее на экран выводится диалоговое окно мастера установки. Следует выбрать пункт «Я принимаю условия соглашения» и нажать кнопку <Далее> (рисунок 4).
Рисунок 4 — Лицензионное соглашение с пользователем.
В появившемся далее окне необходимо указать путь к каталогу установки. По умолчанию установка всех программных компонентов выполняется в каталог Program FilesOKB SAPR JSCAccord-V. Каталог, предлагаемый по умолчанию, может быть изменен посредством ручного редактирования или задан с помощью стандартного диалога ОС Windows, вызываемого по нажатии кнопки <Обзор…>. Если указанный каталог не существует, он будет создан программой установки автоматически. После выбора каталога установки следует нажать кнопку <Далее> (рисунок 5). Начнется процесс установки ПО.
Рисунок 5 — Выбор пути установки
В случае успешного завершения процесса установки, в появившемся на экране окне выводится сообщение об окончании процесса установки с рекомендацией перезагрузить компьютер. Следует выбрать пункт «Да, перезагрузить компьютер сейчас» и нажать кнопку <Завершить> (рисунок 6).
Рисунок 6 — Завершение установки.
В случае если по каким-либо причинам перезагрузку необходимо отложить, следует выбрать пункт «Нет, я произведу перезагрузку позже» и нажать кнопку <Завершить>. При этом следует помнить, что для корректного завершения установки «Аккорд-В.» необходимо обязательно выполнить перезагрузку компьютера.
После установки необходимо разрешить администраторам безопасности доступ к каталогу установки «Аккорд-В.» на чтение, а к каталогам с журналами – на запись. После этого необходимо открыть в межсетевом экране порт TCP 51178 в обоих направлениях. Соответствующие настройки производятся как в «Аккорд Win32/64», так и в операционной системе. После выполнения настроек следует перезагрузить сервер.
Далее следует перейти к установке и настройке модулей защиты «Аккорд-В.» для ESX(i)-серверов.
Сложности с загрузкой или настройкой ОС на устройстве с программным комплексом Аккорд-МКТ или аппаратным комплексом Аккорд АМДЗ, СЗИ НСД «ИНАФ»
Если ваше устройство (компьютер, моноблок, планшет) оборудовано программным комплексом Аккорд-МКТ или аппаратным комплексом Аккорд АМДЗ, СЗИ НСД «ИНАФ» и вы испытываете сложности с загрузкой ПК, то вам необходимо выполнить следующие действия:
- Уточнить информацию по временным учетным данным (логин и пароль) для Аккорд, которые помогут загрузить ПК и выполнить первоначальную настройку Аккорд. Эти данные, как правило, указаны в документации или находятся на этикетке, размещенной на внешней части корпуса ПК.
- В отдельных случаях для загрузки ПК могут потребоваться дополнительные устройства аутентификации, такие как Рутокен или ШИПКА. Комплект поставки уточняйте у поставщика или интегратора.
- Обратиться к системному администратору.
- Для первоначальной настройки ПК с установленным Аккорд МКТ или Аккорд АМДЗ, СЗИ НСД «ИНАФ» необходимо воспользоваться документацией — руководством пользователя и руководством администратора: https://www.okbsapr.ru/support/docs/
- Наиболее часто задаваемые вопросы, связанные с использованием Аккорд-МКТ, Аккорд АМДЗ, СЗИ НСД «ИНАФ», размещены по адресу: https://www.okbsapr.ru/support/faq/
- Если вы столкнулись с проблемой настройки или загрузки комплексов Аккорд, то можете обратиться в техническую поддержку ОКБ САПР: https://www.okbsapr.ru/support/
По электронной почте: [email protected]
Телефону: +7 (495) 994-49-96, +7 (495) 994-49-97, +7 (926) 762-17-72
Если все выполненные действия были безуспешны, то причиной проблемы загрузки ПК может являться аппаратный сбой компьютера, в этом случае необходимо обратиться в службу технической помощи https://iru.ru/support/help/