Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Смирнов - Методы и средства ЗКИ / Лекция №4 / НСД / 09 Построение подсистем защиты от НСД.ppt
Скачиваний:
85
Добавлен:
20.02.2016
Размер:
1.64 Mб
Скачать

ПЗ

Построение, состав и алгоритмы функционирования типовых подсистем защиты информации от НСД и программно-технических воздействий. Защитные механизмы, реализуемые в типовых автоматизированных системах.

Состав подсистем защиты информации от несанкционированного доступа

Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих подсистем:

управления доступом; регистрации и учета; криптографической;

обеспечения целостности.

Подбор средств защиты информации от несанкционированного доступа определяется их функциональными возможностями по реализации требований к автоматизированным системам различных групп.

Подсистема управления доступом

Назначение - защита ПЭВМ от посторонних пользователей, управление доступом к объектам доступа и организация

совместного их использования зарегистрированными пользователями в соответствии с установленными правилами разграничения доступа.

Обеспечивается:

идентификацией (сравнением предъявленного идентификатора с перечнем зарегистрированных на ПЭВМ)

персональные идентификаторы типа Touch Memory;

аутентификацией (подтверждением подлинности), которая обычно осуществляется путем ввода пароля определенной длины.

Принципы управления доступом

При дискреционной модели

права доступа задаются матрицей доступа, элементами которой являются разрешенные права доступа субъекта к объекту.

Контроль доступа осуществляется непосредственно путем анализа прав доступа к объекту запрашивающего доступ субъекта.

При этом анализируется, есть ли в матрице информация о разрешении доступа данного субъекта к данному объекту, или нет.

В рамках мандатного механизма каждому субъекту (пользователю, приложению и т.д.) и каждому объекту (файлу, каталогу и т.д.) ставятся в соответствие специальные классификационные метки. Посредством этих меток субъектам и объектам назначаются классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий.

Контроль и управление доступом осуществляется путем сопоставления классификационных меток субъекта и объекта доступа, отражающих их место в соответствующей иерархии.

Подсистема регистрации и учета

Назначение - для регистрации в системном журнале, представляющем собой специальный файл, размещаемый на жестком диске ПЭВМ, различных событий, происходящих при работе ПЭВМ.

В системном журнале регистрируются:

дата и время события;

имя и идентификатор пользователя, осуществляющего регистрируемое действие;

действия пользователя (сведения о входе/выходе пользователя в/из системы, запусках программ, событиях НСД, изменении полномочий и др.).

Доступ к системному журналу возможен только администратору ИБ.

События, регистрируемые в системном журнале,

определяются администратором СЗИ.

Подсистема обеспечения целостности

Назначение - для исключения несанкционированных модификаций (как случайных, так и злоумышленных) программной и аппаратной среды ПЭВМ, в том числе программных средств комплекса и обрабатываемой информации, обеспечивая при этом защиту ПЭВМ от внедрения программных закладок и вирусов.

Реализуется:

проверкой уникальных идентификаторов аппаратных частей ПЭВМ;

контролем обращения к операционной системе напрямую, в обход прерываний DOS;

исключением возможности использования ПЭВМ без аппаратного контроллера комплекса;

механизмом создания замкнутой программной среды, запрещающей запуск привнесенных программ, исключающих несанкционированный выход в ОС.

Подсистема криптографической защиты

Назначение - для усиления защиты пользовательской информации, хранящейся на жестком диске ПЭВМ или сменных носителях.

Позволяет пользователю зашифровать/расшифровать свои данные с использованием индивидуальных ключей, как правило, хранящихся в персональном ТМ - идентификаторе.

Требования к защите конфиденциальной информации

Подсистема управления доступом:

1.Идентифицировать и проверять подлинность субъектов доступа при входе в систему. Причем это должно осуществляться по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

2.Идентифицировать терминалы, ЭВМ, узлы компьютерной сети, каналы связи, внешние устройства ЭВМ по их логическим адресам (номерам).

3.По именам идентифицировать программы, тома, каталоги, файлы, записи и поля записей.

4.Осуществлять контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.