- •Лекция
- •Система защиты информации от несанкционированного доступа
- •Подсистемы и требования
- •Подсистемы и требования
- •Подсистемы и требования
- •Подсистемы и требования
- •Подсистемы и требования
- •Подсистема управления доступом
- •Принципы управления доступом
- •При дискреционной модели
- •В рамках мандатного механизма каждому субъекту (пользователю, приложению и т.д.) и каждому объекту
- •Подсистема управления доступом для КИ:
- •Подсистема управления доступом для ГТ:
- •Должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ:
- •Подсистема регистрации и учета
- •Подсистема регистрации и учета для КИ:
- •Для АС класса 1Г
- •должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию.
- •должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым
- •должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с
- •Подсистема регистрации и учета для ГТ:
- •Должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. Выдача должна сопровождаться
- •Должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки
- •Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым
- •Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа:
- •Должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа.
- •Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с
- •Должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой
- •Подсистема обеспечения целостности
- •Подсистема обеспечения целостности для КИ:
- •должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в
- •Подсистема обеспечения целостности для ГТ:
- ••целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ; 3А,
- •Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала
- •Должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные
- •Подсистема криптографической защиты
- •Криптографическая подсистема для ГТ:
- •Аппаратный контроллер
- •Считыватель информации
- •Персональный идентификатор пользователя
- •Дополнительные механизмы защиты от несанкционированного доступа к ПЭВМ
- •периодическое осуществление проверки целостности системных файлов, в том числе файлов программной части системы
Считыватель информации
Устройство, предназначенное |
для |
В качестве считывателей информации |
||||
считывания |
информации |
с |
могут использоваться считыватели |
|||
предъявляемого |
|
пользователем |
смарт-карт (Smart Card Reader) |
|||
персонального идентификатора. |
|
контактные и бескотактные, а также |
||||
Наиболее часто в комплексах защиты |
биометрические |
считыватели |
||||
от НСД |
применяются считыватели |
информации, |
позволяющие |
|||
информации |
с |
персональных |
идентифицировать |
пользователя по |
||
идентификаторов типа Touch Memory |
его биометрическим характеристикам |
|||||
(Ibutton) |
DS199X, |
представляющие |
(отпечаток пальца, личная подпись и |
|||
собой контактные устройства. |
|
т.п.). |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Персональный идентификатор пользователя
Аппаратное устройство, обладающее уникальными некопируемыми характеристиками.
Наиболее часто в системах защиты от НСД используются идентификаторы типа Touch-Memory (Ibutton), представляющие собой электронную схему, снабженную элементом питания и обладающую уникальным идентификационным номером длиной 64 бита, который формируется технологически. Срок эксплуатации электронного идентификатора, составляет около 10 лет.
Помимо ТМ-идентификаторов, в системах защиты от НСД используются идентификаторы типа Smart Card («Смарт-карта»). Смарт-карта представляет собой пластиковую карточку, со встроенной в нее микросхемой, содержащей энергонезависимую перезаписываемую память.
Дополнительные механизмы защиты от несанкционированного доступа к ПЭВМ
ограничение времени «жизни» пароля и его минимальной длины, исключая возможность быстрого его подбора в случае утери пользователем персонального идентификатора;
использование «временных ограничений» для входа пользователей в систему путем установки для каждого пользователя интервала времени по дням недели, в котором разрешена работа;
установка параметров управления хранителя экрана - гашение экрана через заранее определенный интервал времени (в случае если в течение указанного интервала действия оператором не выполнялись). Возможность продолжения работы предоставляется только после проведения повторной идентификации по предъявлению персонального идентификатора пользователя (или пароля);
установка для каждого пользователя ограничений по выводу защищаемой информации на отчуждаемые носители (внешние магнитные носители, порты принтеров и коммуникационных устройств и т.п.);
периодическое осуществление проверки целостности системных файлов, в том числе файлов программной части системы защиты, а также пользовательских программ и данных;
контроль обращения к операционной системе напрямую, в обход прерываний ОС, для исключения возможности функционирования программ отладки и разработки, а также программ «вирусов»;
исключение возможности использования ПЭВМ при отсутствии аппаратного контроллера системы защиты, для исключения возможности загрузки операционной системы пользователями со снятой системой защиты;
использование механизмов создания изолированной программной среды, запрещающей запуск исполняемых файлов с внешних носителей либо внедренных в ОС, а также исключающей несанкционированный вход незарегистрированных пользователей в ОС;
индикация попыток несанкционированного доступа к ПЭВМ и защищаемым ресурсам в реальном времени путем подачи звуковых, визуальных или иных сигналов.