Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Организация доступа к ресурсам АС

Читайте также:
  1. II. ОРГАНИЗАЦИЯ МОЛОДЕЖНОГО СЛУЖЕНИЯ В РУССКОЙ ПРАВОСЛАВНОЙ ЦЕРКВИ
  2. III. Организация психологического обследования
  3. IV. 4 Организация мониторинга поствакцинальных осложнений
  4. IV. Организация деятельности
  5. IV. Организация и несение караульной службы в подразделениях
  6. IX. Организация документов в делопроизводстве
  7. VI. Организация документооборота и исполнения документов

Функционирование КСЗИ зависит не только от характеристик созданной системы, но и от эффективности её использования на этапе эксплуатации АС. Основными задачами этапа эксплуатации являются максимальное использование возможностей КСЗИ, заложенных в систему при построении, и совершенствование её защитных функций в соответствии с изменяющимися условиями.

Процесс эксплуатации КСЗИ можно разделить на применение системы по прямому назначению, что предполагает выполнение всего комплекса мероприятий, непосредственно связанных с защитой информации в АС, и техническую эксплуатацию (рис. 1). Применение по назначению предусматривает организацию доступа к ресурсам АС и обеспечение их целостности.

Под организацией доступа к ресурсам понимается весь комплекс мер, который выполняется в процессе эксплуатации АС для предотвращения несанкционированного воздействия на технические и программные средства, а также на информацию.

Организация доступа к ресурсам предполагает:

1) разграничение прав пользователей и обслуживающего персонала по доступу к ресурсам АС в соответствии с функциональными обязанностями должностных лиц;

2) организацию работы с конфиденциальными информационными ресурсами на объекте;

3) защиту от технических средств разведки;

4) охрану объекта;

5) эксплуатацию системы разграничения доступа.

Рис.1. Содержание процесса эксплуатации КСЗИ

1) Права должностных лиц по доступу к ресурсам АС устанавливаются руководством организации, в интересах которой используется АС. Каждому должностному лицу определяются для использования технические ресурсы (рабочая станция, сервер, аппаратура передачи данных и т.д.), разрешённые режимы и время работы. Руководством устанавливается уровень компетенции должностных лиц по манипулированию информацией. Лицо, ответственное за ОБИ в АС, на основании решения руководителя о разграничении доступа должностных лиц обеспечивает ввод соответствующих полномочий доступа в систему разграничения доступа.

2) Руководство совместно со службой безопасности определяет порядок работы с конфиденциальными информационными ресурсами, не используемыми непосредственно в АС, хотя бы и временно. К таким ресурсам относятся конфиденциальная печатная продукция, в том числе и полученная с помощью АС, а также машинные носители информации, находящиеся вне устройств АС. Учётом, хранением и выдачей таких ресурсов занимаются должностные лица из службы безопасности, либо другие должностные лица по совместительству.

3) Службой безопасности выполняется весь комплекс мероприятий противодействия техническим средствам разведки. Контролируется применение пассивных средств защиты от ЭМИ и наводок. Активные средства защиты от угроз этого класса используются в соответствии с графиком работы объекта. Периодически осуществляются проверки помещений на отсутствие в них закладных устройств аудио- и видеоразведки, а также обеспечивается защищённость линий связи от прослушивания.

4) Охрана объекта АС обеспечивает разграничение непосредственного доступа людей на контролируемую территорию, в здания и помещения. Подразделение охраны (охранник) может находиться на объекте, а может охранять несколько объектов. В последнем случае на объекте находятся только технические средства охраны и сигнализации. В соответствии с принятой политикой безопасности руководство совместно со службой безопасности определяют структуру системы охраны. Количественный состав и режим работы подразделения охраны определяется важностью и конфиденциальностью информации АС, а также используемыми техническими средствами охраны и сигнализации.

5) Система разграничения доступа (СРД) является одной из главных составляющих комплексной системы защиты информации. В этой системе можно выделить следующие компоненты:

5.1) средства аутентификации субъекта доступа;

5.2) средства разграничения доступа к техническим устройствам компьютерной системы;

5.3) средства разграничения доступа к программам и данным;

5.4) средства блокировки неправомочных действий;

5.5) средства регистрации событий;

5.6) дежурный оператор системы разграничения доступа.

5.1) Эффективность функционирования системы разграничения доступа во многом определяется надёжностью механизмов аутентификации. Особое значение имеет аутентификация при взаимодействии удалённых процессов, которая всегда осуществляется с применением методов криптографии. При эксплуатации механизмов аутентификации основными задачами являются: генерация или изготовление идентификаторов, их учёт и хранение, передача идентификаторов пользователю и контроль над правильностью выполнения процедур аутентификации в КС. При компрометации атрибутов доступа (пароля, персонального кода и т.п.) необходимо срочное их исключение из списка разрешённых. Эти действия должны выполняться дежурным оператором системы разграничения доступа.

5.2) В больших распределённых АС проблема генерации и доставки атрибутов идентификации и ключей шифрования не является тривиальной задачей. Так, например, распределение секретных ключей шифрования должно осуществляться вне защищаемой компьютерной системы. Значения идентификаторов пользователя не должны храниться и передаваться в системе в открытом виде. На время ввода и сравнения идентификаторов необходимо применять особые меры защиты от подсматривания набора пароля и воздействия вредительских программ типа клавиатурных шпионов и программ-имитаторов СРД.

5.3) Средства разграничения доступа к техническим средствам препятствуют несанкционированным действиям злоумышленника, таким как включение технического средства, загрузка операционной системы, ввод-вывод информации, использование нештатных устройств и т. д. Разграничение доступа осуществляется оператором СРД путём использования технических и программных средств. Так оператор СРД может контролировать использование ключей от замков подачи питания непосредственно на техническое средство или на все устройства, находящиеся в отдельном помещении, дистанционно управлять блокировкой подачи питания на устройство или блокировкой загрузки ОС. На аппаратном или программном уровне оператор может изменять техническую структуру средств, которые может использовать конкретный пользователь.

Средства разграничения доступа к программам и данным используются наиболее интенсивно и во многом определяют характеристики СРД. Эти средства являются аппаратно-программными. Они настраиваются должностными лицами подразделения, обеспечивающего безопасность информации, и изменяются при изменении полномочий пользователя или при изменении программной и информационной структуры. Доступ к файлам регулируется диспетчером доступа. Доступ к записям и отдельным полям записей в файлах баз данных регулируется также с помощью систем управления базами данных.

Эффективность СРД можно повысить за счёт шифрования файлов, хранящихся на внешних запоминающих устройствах, а также за счёт полного стирания файлов при их уничтожении и стирания временных файлов. Даже если злоумышленник получит доступ к машинному носителю путём, например, несанкционированного копирования, то получить доступ к информации он не сможет без ключа шифрования.

В распределённых АС доступ между подсистемами, например удалёнными ЛВС, регулируется с помощью межсетевых экранов. Межсетевой экран необходимо использовать для управления обменом между защищённой и незащищённой компьютерными системами. При этом регулируется доступ как из незащищённой КС в защищённую, так и доступ из защищённой системы в незащищённую. Компьютер, реализующий функции межсетевого экрана, целесообразно размещать на рабочем месте оператора КСЗИ.

5.4) Средства блокировки неправомочных действий субъектов доступа являются неотъемлемой компонентой СРД. Если атрибуты субъекта доступа или алгоритм его действий не являются разрешёнными для данного субъекта, то дальнейшая работа в АС такого нарушителя прекращается до вмешательства оператора КСЗИ. Средства блокировки исключают или в значительной степени затрудняют автоматический подбор атрибутов доступа.

5.5) Средства регистрации событий также являются обязательной компонентой СРД. Журналы регистрации событий располагаются на ВЗУ. В таких журналах записываются данные о входе пользователей в систему и о выходе из неё, о всех попытках выполнения несанкционированных действий, о доступе к определённым ресурсам и т. п. Настройка журнала на фиксацию определённых событий и периодический анализ его содержимого осуществляется дежурным оператором и вышестоящими должностными лицами из подразделения ОБИ. Процесс настройки и анализа журнала целесообразно автоматизировать программным путём.

5.6) Непосредственное управление СРД осуществляет дежурный оператор КСЗИ, который, как правило, выполняет и функции дежурного администратора АС. Он загружает ОС, обеспечивает требуемую конфигурацию и режимы работы АС, вводит в СРД полномочия и атрибуты пользователей, осуществляет контроль и управляет доступом пользователей к ресурсам АС.


Дата добавления: 2015-10-13; просмотров: 105 | Нарушение авторских прав


Читайте в этой же книге: Специальные методы неформального моделирования | Декомпозиция общей задачи оценки эффективности функционирования КСЗИ | Выбор показателей эффективности и критериев оптимальности КСЗИ | Математическая постановка задачи разработки комплексной системы защиты информации | Официальный подход | Создание организационной структуры КСЗИ | Классификация методов и средств контроля эффективности ЗИ в АС | Сканеры безопасности АС | Этапы сканирования | System Security Scanner (S3) |
<== предыдущая страница | следующая страница ==>
RealSecure| Повышение отказоустойчивости АС

mybiblioteka.su - 2015-2024 год. (0.007 сек.)