Организация разграничения доступа с использованием средств виртуализации

Transcript

1. None

2. Традиционные системы разграничения доступа – минимальная конфигурация Правила разграничения доступа:

   • пользователь – ресурс или • пользователь + процесс – ресурс 2 Блок идентификации и аутентификации БД полномочий Служебные утилиты администрирования Драйвер разграничения доступа

3. 3 Полнофункциональная конфигурация традиционной СРД Служебные утилиты администрирования БД полномочий

   Блок аудита Аппаратные средства защиты Драйвер разграничения доступа Драйвер фильтрации устройств USB Реализация режима паузы неактивности Блок идентификации и аутентификации Блок управления Блок разграничения доступа

4. Аппаратура АПМДЗ Уровень ядра Драйвер разграничения доступа Ring 0 Уровень

   приложений Ring 3 Приложение Приложение с НДВ 4 Принцип работы традиционной СРД

5. 5 Аппаратура АПМДЗ Уровень ядра Драйвер разграничения доступа Ring 0

   Уровень приложений Ring 3 Приложение Драйвер с НДВ 5 Возможность атаки на традиционную СРД

6. Аппаратура АПМДЗ Уровень ядра Драйвер разграничения доступа Ring 0 Гипервизор

   Hook MSR-регистров Функции защиты СЗИ Ring -1 6 Устранение потенциальной уязвимости с помощью гипервизора

7. Разрешённые сетевые ресурсы ОС и приложения пользователя Виртуальный диск с

   разрешёнными данными Сеть Данные Виртуальная машина для пользователя Гипервизор Функции защиты СЗИ и разграничения доступа Доверенная ОС Межсетевой экран Виртуальная машина для защиты сети Антивирус Виртуальная машина для контроля данных 7 Перспективы дальнейшего развития

8. 8