- •Состав подсистем защиты информации от несанкционированного доступа
- •Подсистема управления доступом
- •Принципы управления доступом
- •При дискреционной модели
- •В рамках мандатного механизма каждому субъекту (пользователю, приложению и т.д.) и каждому объекту
- •Подсистема регистрации и учета
- •Подсистема обеспечения целостности
- •Подсистема криптографической защиты
- •Требования к защите конфиденциальной информации
- •Подсистема регистрации и учета должна:
- •3.Регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
- •5.Регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ,
- •Подсистема обеспечения целостности должна:
- •Требования к защите секретной информации
- •Подсистема регистрации и учета должна:
- •3.Регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
- •5.Регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ,
- •8.Проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением
- •Подсистема обеспечения целостности должна:
- •3.Предусматривать наличие администратора или целой службы защиты информации, ответственных за ведение, нормальное функционирование
- •Аппаратный контроллер
- •Считыватель информации
- •Персональный идентификатор пользователя
- •Дополнительные механизмы защиты от несанкционированного доступа к ПЭВМ
- •периодическое осуществление проверки целостности системных файлов, в том числе файлов программной части системы
- •Защита от несанкционированного межсетевого доступа
- •Схема подключения межсетевого экрана
- •Брандмауэр не является симметричным.
- •Брандмауэр должен иметь возможность анализа и использования:
- •Идентификация и аутентификация пользователей при обращении к межсетевому экрану позволяет разграничить их доступ
ПЗ
Построение, состав и алгоритмы функционирования типовых подсистем защиты информации от НСД и программно-технических воздействий. Защитные механизмы, реализуемые в типовых автоматизированных системах.
Состав подсистем защиты информации от несанкционированного доступа
Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих подсистем:
управления доступом; регистрации и учета; криптографической;
обеспечения целостности.
Подбор средств защиты информации от несанкционированного доступа определяется их функциональными возможностями по реализации требований к автоматизированным системам различных групп.
Подсистема управления доступом
Назначение - защита ПЭВМ от посторонних пользователей, управление доступом к объектам доступа и организация
совместного их использования зарегистрированными пользователями в соответствии с установленными правилами разграничения доступа.
Обеспечивается:
идентификацией (сравнением предъявленного идентификатора с перечнем зарегистрированных на ПЭВМ)
персональные идентификаторы типа Touch Memory;
аутентификацией (подтверждением подлинности), которая обычно осуществляется путем ввода пароля определенной длины.
Принципы управления доступом
При дискреционной модели
права доступа задаются матрицей доступа, элементами которой являются разрешенные права доступа субъекта к объекту.
Контроль доступа осуществляется непосредственно путем анализа прав доступа к объекту запрашивающего доступ субъекта.
При этом анализируется, есть ли в матрице информация о разрешении доступа данного субъекта к данному объекту, или нет.
В рамках мандатного механизма каждому субъекту (пользователю, приложению и т.д.) и каждому объекту (файлу, каталогу и т.д.) ставятся в соответствие специальные классификационные метки. Посредством этих меток субъектам и объектам назначаются классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий.
Контроль и управление доступом осуществляется путем сопоставления классификационных меток субъекта и объекта доступа, отражающих их место в соответствующей иерархии.
Подсистема регистрации и учета
Назначение - для регистрации в системном журнале, представляющем собой специальный файл, размещаемый на жестком диске ПЭВМ, различных событий, происходящих при работе ПЭВМ.
В системном журнале регистрируются:
дата и время события;
имя и идентификатор пользователя, осуществляющего регистрируемое действие;
действия пользователя (сведения о входе/выходе пользователя в/из системы, запусках программ, событиях НСД, изменении полномочий и др.).
Доступ к системному журналу возможен только администратору ИБ.
События, регистрируемые в системном журнале,
определяются администратором СЗИ.
Подсистема обеспечения целостности
Назначение - для исключения несанкционированных модификаций (как случайных, так и злоумышленных) программной и аппаратной среды ПЭВМ, в том числе программных средств комплекса и обрабатываемой информации, обеспечивая при этом защиту ПЭВМ от внедрения программных закладок и вирусов.
Реализуется:
проверкой уникальных идентификаторов аппаратных частей ПЭВМ;
контролем обращения к операционной системе напрямую, в обход прерываний DOS;
исключением возможности использования ПЭВМ без аппаратного контроллера комплекса;
механизмом создания замкнутой программной среды, запрещающей запуск привнесенных программ, исключающих несанкционированный выход в ОС.
Подсистема криптографической защиты
Назначение - для усиления защиты пользовательской информации, хранящейся на жестком диске ПЭВМ или сменных носителях.
Позволяет пользователю зашифровать/расшифровать свои данные с использованием индивидуальных ключей, как правило, хранящихся в персональном ТМ - идентификаторе.
Требования к защите конфиденциальной информации
Подсистема управления доступом:
1.Идентифицировать и проверять подлинность субъектов доступа при входе в систему. Причем это должно осуществляться по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
2.Идентифицировать терминалы, ЭВМ, узлы компьютерной сети, каналы связи, внешние устройства ЭВМ по их логическим адресам (номерам).
3.По именам идентифицировать программы, тома, каталоги, файлы, записи и поля записей.
4.Осуществлять контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.