- •Организационная структура, основные функции службы компьютерной безопасности
- •13. Материально- техническое и нормативно- методическое обеспечение функционирования ксзи Методическое направление работ по созданию ксзи .
- •Концепция (Политика) безопасности
- •Техническое направление работ по созданию ксзи
- •Физические средства защиты.
- •Аппаратные средства защиты.
- •Программные средства защиты
- •Механизмы управления доступом
- •Диспетчер доступа
- •Криптографические механизмы защиты
- •Механизмы цифровой подписи.
- •Механизмы обеспечения целостности данных
- •Механизмы управления маршрутизацией
- •Механизмы арбитража
Аппаратные средства защиты.
Определение3.Аппаратными средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств АС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.
К настоящему времени применяется значительное число различных аппаратных средств, причем они могут включаться практически во все устройства АС: терминалы пользователей, устройства группового ввода-вывода данных, центральные процессоры, внешние запоминающие устройства, другое периферийное оборудование. Так, например, в терминалах пользователей наибольшее распространение получили устройства предназначенные для предупреждения несанкционированного включения терминала в работу (различного рода замки и блокираторы), обеспечения идентификации терминала (схемы генерирования идентифицирующего ко-
да) и идентификации пользователя (магнитные индивидуальные карточки, дактилоскопические и акустические устройства опознавания и т.п.).
Самостоятельную группу составляют аппаратные средства шифрования данных, которые к настоящему времени получили весьма широкое распространение за рубежом и, в настоящее время, внедряются в нашей стране. Так, например, Центральный банкРоссии в 1992 г. закупил около трех тысяч устройств шифрования данных, передаваемых по каналам телеграфной связи. Современные устройства шифрования могут сопрягаться с помощью стандартных интерфейсов практически с любым устройством АСОД, обеспечивая как шифрование, так и дешифрование данных. Кроме того в больших АС находит применение целый ряд вспомогательных аппаратных средств защиты: устройства уничтожения информации на магнитных носителях, устройства сигнализации о несанкционированных действиях и ряд других. (32)
Программные средства защиты
Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации. В эту группу средств входят:
механизм контроля доступа;
механизм шифрования;
механизм цифровой подписи;
механизмы обеспечения целостности данных;
механизмы управления маршрутизацией;
механизмы арбитража;
антивирусные программы;
программы архивации. (60)
Механизмы управления доступом
Основную роль в обеспечении внутренней безопасности компьютерных систем выполняют системы управления доступом (разграничения доступа) субъектов к объектам доступа, реализующие концепцию единого диспетчера доступа (в английском варианте "reference monitor"- дословно, монитор ссылок).
Диспетчер доступа
Сущность концепции диспетчера доступа состоит в том, что некоторый абстрактный механизм является посредником при всех обращениях субъектов к объектам (Рис.1).
База
данных защиты
Диспетчер доступа Субъект доступа Объект доступа
Системный
журнал
Рис. 1.
Диспетчер доступа должен выполнять следующие функции:
проверять права доступа каждого субъекта к любому объекту на основании информации, содержащейся в базе данных защиты (правил разграничения доступа);
при необходимости регистрировать факт доступа и его параметры в системном журнале.
Основными требованиями к реализации диспетчера доступа являются:
требование полноты контролируемых операций, согласно которому проверке должны подвергаться все операции всех субъектов над всеми объектами системы. Обход диспетчера предполагается невозможным;
требование изолированности, то есть защищенности диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования;
требование формальной проверки правильности функционирования;
минимизация используемых диспетчером ресурсов.
В самом общем виде работа средств управления доступом субъектов к объектам основана на проверке сведений, хранимых в базе данных защиты.
Определение 4. Под базой данных защиты (security database) понимают базу данных, хранящую информацию о правах доступа субъектов системы к объектам и другим субъектам.
Для внесения изменений в базу данных защиты система разграничения доступа должна включать средства для привилегированного пользователя (администратора безопасности) по ведению этой базы. Такие средства управления доступом должны обеспечивать возможность выполнения следующих операций:
добавления и удаления объектов и субъектов;
просмотра и изменения соответствующих прав доступа субъектов к объектам.