Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекции / all.docx
Скачиваний:
175
Добавлен:
15.06.2014
Размер:
1.79 Mб
Скачать

10.1.2 Многоуровневая защита от закладок

Злоумышленник может совершить хищение информации, если ему ИЗВЕСТНЫ ЗАКЛАДКИ как В ОБЪЕКТЕ ЗАЩИТЫ, так и В ТЕХНИЧЕСКОМ СЗИ. При этом закладки могут быть расположены в различных компонентах программного обеспечения на различных уровнях.

Поэтому, НЕ СЛЕДУЕТ ИСПОЛЬЗОВАТЬ одинаковые программные средства на различных уровнях защищённой системы для уменьшения информированности злоумышленника относительно закладок в обоих технических средствах – в ОБЪЕКТЕ ЗАЩИТЫ и В ВЫДЕЛЕННОМ СЗИ.

Ситуация ОБЕИХ известных закладок возможна только в том случае, если В ОБОИХ технических средствах используются программные средства одного производителя.

Гарантии защищенности от закладок при многоуровневой защите информации обеспечиваются, если техническое СРЕДСТВО ЗАЩИТЫ ИЗГОТАВЛИВАЕТСЯ ОТЕЧЕСТВЕННЫМ ПРОИЗВОДИТЕЛЕМ, причём желательно с применением оригинальных программных компонент.

Если же некоторые из используемых компонент, например ОС, в обоих средствах иностранного производства, при построении многоуровневой защиты целесообразно задумываться о том, чтобы максимально исключить возможность информированности злоумышленника относительно закладок в обоих используемых компонентах.

10.1.3 Многоуровневая защита от нсд

При построении многоуровневой защиты от НСД также НЕОБХОДИМО УЧИТЫВАТЬ следующее.

1 ГАРАНТИРОВАННАЯ ЗАЩИТА может обеспечиваться лишь в случае ПРИМЕНЕНИЯ ОТЕЧЕСТВЕННЫХ технических СЗИ, так как в программных средствах зарубежного производства могут находиться закладки.

2 Ввиду высоких темпов развития информационных технологий, высокой частоты смены соответствующих программных средств обработки информации ВЫСОКА ВЕРОЯТНОСТЬ НАХОЖДЕНИЯ И ИСПОЛЬЗОВАНИЯ ОШИБОК на защищаемом объекте.

Можно сформулировать следующие ТРЕБОВАНИЯ К ПОСТРОЕНИЮ СИСТЕМЫ МНОГОУРОВНЕВОЙ ЗАЩИТЫот НСД:

a) так как невозможно гарантировать высокий уровень защищенности объекта защиты встроенными СЗИ, то ВСЕ СПОСОБЫ ЗАЩИТЫ от НСД, в основе которых находится ИСПОЛЬЗОВАНИЕ ПРИНЦИПА АУТЕНТИФИКАЦИИ, должны быть РЕАЛИЗОВАНЫ НА ВЫДЕЛЕННОМ СЗИ.

Как отмечалось ранее, к таким способам относятся:

использование секретного слова (пароля);

введение санкционированных для пользователя прав доступа, с учётом разделения прав между различными пользователями (механизм разграничения прав доступа), где параметрами доступа могут служить:

идентификатор пользователя и информационного сервера;

имя файла, команда над файлом, время доступа, продолжительность доступа и др;

разграничение прав доступа к информации по уровню (меткам) конфиденциальности информации и допуска пользователя (мандатный механизм управления доступом к информации).

b) Как локальные, так и удаленные ПОЛЬЗОВАТЕЛИ ДОЛЖНЫ ВЗАИМОДЕЙСТВОВАТЬ с защищаемым объектом только ЧЕРЕЗ ВЫДЕЛЕННОЕ ТЕХНИЧЕСКОЕ СРЕДСТВО ЗАЩИТЫ.

c) Техническое СЗИ должно ОБЛАДАТЬ СИСТЕМОЙ РЕГИСТРАЦИИ всех событий, связанных с попытками несанкционированного доступа как К защищаемому ОБЪЕКТУ, так И К СВОИМ ПРОГРАММНЫМ СРЕДСТВАМ И ДАННЫМ.

d) Как В СЗИ, так и в ОБЪЕКТЕ ЗАЩИТЫ должен быть РЕАЛИЗОВАН МЕХАНИЗМ КОНТРОЛЯ ЦЕЛОСТНОСТИ программных средств и данных.

e) Выделенное техническое средство защиты должно ПОДДЕРЖИВАТЬ ВОЗМОЖНОСТЬ ЗАСЕКРЕЧИВАНИЯ (шифрования) информации, передаваемой (получаемой) к (от) пользователю, в случае, если последний является УДАЛЁННЫМ и подключён к выделенному средству защиты информации каналами средств передачи данных общего пользования (СПД ОП).

Шифровать сообщения, передаваемые между защищаемым объектом и выделенным техническим средством защиты, а также файлы, хранящиеся на защищаемом объекте, при реализации многоуровневой защиты не имеет смысла.

Соседние файлы в папке Лекции