Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Информатика

Средства защиты информации

Системы разграничения доступа

Такие системы предназначены для реализации правил разграничения доступа субъектов к данным, сетевым устройствам создания твердых копий и обмена данными между субъектами сетей, а также для управления потоками данных в целях предотвращения записи данных на носители и др.

Разграничение доступа заключается в том, чтобы каждому зарегистрированному пользователю предоставить возможности беспрепятственного доступа к информации в пределах его полномочий и исключить возможности превышения этих полномочий. Для каждого пользователя устанавливаются его полномочия в отношении файлов, каталогов, логических дисков и других системных ресурсов.

Для распределения полномочий субъектов по отношению к объектам используется матричная модель доступа, рассмотренная в параграфе 12.2. Разграничение может осуществляться:

  • • по уровням секретности (секретно, совершенно секретно и т.п.). Пользователю разрешается доступ только к данным своего или более низких уровней. Защищаемые данные распределяются по массивам таким образом, чтобы в каждом массиве содержались данные одного уровня секретности;
  • • специальным спискам. При этом разграничении доступа для каждого элемента защищаемых данных (файла, программы, базы) составляется список всех тех пользователей, которым предоставлено право доступа к соответствующему элементу. Возможен обратный вариант, когда для каждого зарегистрированного пользователя составляется список тех элементов защищаемых данных, к которым ему предоставлено право доступа;
  • • матрицам полномочий.

При организации доступа к оборудованию существенное значение имеют идентификация и аутентификация пользователей, а также контроль и автоматическая регистрация их действий. Для опознания пользователя могут быть использованы пароли и индивидуальные идентификационные карточки, а для управления доступом к оборудованию такие простые, но эффективные меры, как отключение питания или механические замки и ключи для устройств.

Организация доступа обслуживающего персонала к устройствам информационной системы отличается от организации доступа пользователей тем, что устройство освобождается от конфиденциальной информации и отключаются все информационные связи. Техническое обслуживание и восстановление работоспособности устройств выполняются под контролем должностного лица.

По виду управления доступом системы разграничения разделяют [1]:

  • • на системы с дискреционным управлением, позволяющим контролировать доступ поименованных субъектов (пользователей) к поименованным объектам (файлам, программам и т.п.) в соответствии с матрицей доступа. Контроль доступа применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов). Кроме того, имеется возможность санкционированного изменения списка пользователей и списка защищаемых объектов, предусмотрены средства управления, ограничивающие распространение прав на доступ как для явных, так и для скрытых действий пользователя;
  • • мандатные системы. Для реализации мандатного принципа управления доступом каждому субъекту и каждому объекту назначаются классификационные метки, отражающие их уровень (уязвимости, категории секретности и т.п.) в соответствующей иерархии. Эти метки служат основой мандатного разграничения доступа:
  • – субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта,
  • – субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.

Обеспечивающие средства для системы разграничения доступа выполняют идентификацию и аутентификацию субъектов; регистрацию действий субъекта и его процесса; изменение полномочий субъектов и включение новых субъектов и объектов доступа; тестирование всех функций защиты информации специальными программными средствами и ряд других функций.

Учету подлежат создаваемые защищаемые файлы, каталоги, тома, области оперативной памяти и другие объекты. Для каждого события должна регистрироваться информация (субъект, дата и время, тип события и др.) с выдачей печатных документов соответствующего образца. Кроме того, может автоматически оформляться учетная карточка документа с указанием даты выдачи, учетных реквизитов, наименования, вида, шифра, кода и уровня конфиденциальности документа.

Особенности реализации системы. В системе разграничения доступа должен быть использован диспетчер, осуществляющий разграничение доступа в соответствии с заданным принципом разграничения. Разграничение доступа к информационным объектам осуществляется в соответствии с полномочиями субъектов. Основой такого разграничения является выбранная модель управления доступом, реализуемая диспетчером доступа (рис. 12.8). Диспетчер обеспечивает выполнение правил разграничения доступа субъектов к объектам доступа, которые хранятся в базе полномочий и характеристик доступа. Запрос на доступ субъекта к некоторому объекту поступает в блок управления базой и регистрации событий. Полномочия субъекта и характеристики объекта анализируются в блоке принятия решений. По результатам анализа формируется сигнал разрешения или отказа в допуске ("Допустить", "Отказать"). Если число сигналов "Отказать" превысит заданный уровень (например, 5 раз), который фиксируется блоком регистрации, то блок принятия решений выдает

Диспетчер доступа

Рис. 12.8. Диспетчер доступа

сигнал "Несанкционированный доступ". На основании этого сигнала администратор системы безопасности может заблокировать работу субъекта для выяснения причины таких нарушений.

Защита информации от утечки по техническим каналам осуществляется проведением организационных и технических мер [1].

Организационные меры.

  • • привлечение к работам по строительству, реконструкции объектов технических средств переработки информации (ТСПИ), монтажу аппаратуры организаций, имеющих лицензию на деятельность в области защиты информации;
  • • установление контролируемой зоны вокруг объекта ТСПИ, а также организация контроля и ограничение доступа на объекты ТСПИ и в выделенные помещения;
  • • введение ограничений (территориальных, частотных, энергетических, пространственных и временных) на режимы использования технических средств, подлежащих защите;
  • • отключение от линий связи на период закрытых мероприятий таких технических средств, как электроакустические преобразователи и т.д.

Технические меры по защите информации предусматривают применение специальных технических решений и средств, направленных на закрытие каналов утечки информации, например, путем ослабления уровня информационных сигналов или уменьшением отношения сигнал/шум в местах возможного размещения источников. Принимаются технические меры с использованием:

  • • пассивных средств, к которым относятся:
    • – установка на объектах ТСПИ и в выделенных помещениях технических средств и систем ограничения и контроля доступа;
    • – локализация излучений путем экранирования ТСПИ и их соединительных линий;
    • – заземление ТСПИ и экранов их соединительных линий;
    • – звукоизоляция выделенных помещений;
    • – установка автономных или стабилизированных источников электропитания ТСПИ;
    • – установка в цепях электропитания ТСПИ, а также в линиях осветительной и розеточной сетей выделенных помещений помехоподавляющих фильтров;
  • • активных средств, к которым относятся:
  • – пространственное электромагнитное зашумление, создание акустических и вибрационных помех с использованием генераторов шума;
  • – зашумление линий электропитания и др.;
  • • выявление портативных электронных устройств перехвата информации (закладных устройств) с использованием пассивных и активных средств.

Средства охраны объекта

Объект, на котором ведется работа с конфиденциальной информацией, имеет иерархию рубежей защиты (территория – здание – помещение – носитель информации – программа – конфиденциальная информация). Система охраны объекта создается с целью предотвращения несанкционированного проникновения на территорию и в помещения объекта посторонних лиц, обслуживающего персонала и пользователей. В общем случае она включает в себя следующие основные компоненты [1]:

  • • инженерные конструкции, предназначенные для создания препятствий к проникновению злоумышленников (бетонные и кирпичные заборы, надежные двери, решетки на окнах и др.);
  • • охранную сигнализацию, предназначенную для обнаружения попыток проникновения на охраняемую территорию;
  • • средства непрерывного наблюдения, реализуемые обычно с помощью телевизионных систем видеоконтроля;
  • • организацию и контроля доступа на территорию объекта и другие средства. Широкое распространение получил атрибутивный способ идентификации людей, при котором идентификаторами служат пароль, пропуск, жетон, ключ и пластиковая карта и т.п. В особо важных случаях используется биометрический способ (капиллярные узоры пальцев человека, узоры сетчатки глаз, форма кисти руки, особенности речи, форма и размеры лица, динамика подписи, ритм работы на клавиатуре).
 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

Популярные страницы