Управление доступом

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка. Простой пример реализации таких прав доступа – какой-то пользователь (субъект) вошедший в информационную систему получил право доступа на чтение информации с какого-то диска(объект), право доступа на модификацию данных в каком-то каталоге(объект) и отсутствие всяких прав доступа к остальным ресурсам информационной системы.

Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д.

Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. Например - кто и когда пытался входить в систему, чем завершилась эта попытка, кто и какими информациоными ресурсами пользовался, какие и кем модифицировались информационные ресурсы и много других.

Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

Реализация протоколирования и аудита преследует следующие главные цели:

• обеспечение подотчетности пользователей и администраторов;

• обеспечение возможности реконструкции последовательности событий;

• обнаружение попыток нарушений информационной безопасности;

• предоставление информации для выявления и анализа проблем.

18/21. Аппаратные средства защиты информации.

Аппаратные средства защиты информации

— различные электронные, электронно-механические и.т.п. устройства, встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации ^[1]

— специальные средства, непосредственно входящие в состав технического обеспечения средств вычислительной техники и выполняющие функции защиты как самостоятельно, так и в комплексе с другими средствами ^[2]

— электронные и электронно-механические устройства, включаемые в состав технических средств компьютерной системы и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств компьютерной системы^[3]

Сложно выделить отдельно аппаратные средства, т.к. включают в себя программные.

К аппаратным средствам относятся:

• специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

• генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

• устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

• специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в запоминаемом устройстве, которой принадлежат данные биты;

• схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных;

• устройства для шифрования информации (криптографические методы) ^[4]

Аппаратные средства защиты данных можно разбить на группы согласно типам аппаратуры, в которых они используются:

• средства защиты процессора;

• средства защиты памяти;

• средства защиты устройств ввода-вывода;

• средства защиты каналов связи.

Аппаратные средства защиты включают и вспомогательные устройства, которые обеспечивают функционирование автоматизированной системы. Такими устройствами являются, например, устройства уничтожения информации на машинных носителях, устройства сигнализации о нарушении регистров границ памяти и т.п.

Задачи, решаемые аппаратными СЗИ
Введение избыточности элементов системы	Установка дополнительных средств генерирования информации. Установка дополнительной аппаратуры связи. Выделение дополнительных каналов связи. Установка дополнительной аппаратуры подготовки данных. Установка дополнительных устройств ввода данных. Установка дополнительных процессоров. Установка дополнительных внешних запоминающих устройств. Установка дополнительных терминальных устройств. Установка дополнительных средств выдачи данных. Создание дополнительного запаса сменных носителей информации. Создание дополнительных запасных блоков (ЗИП). Установка дополнительной контрольной аппаратуры. Создание дополнительных систем охраны и наблюдения.
Резервирование элементов системы	Введение в холодный резерв: средств генерирования информации, аппаратуры связи, каналов связи, аппаратуры подготовки данных, аппаратуры ввода данных, процессоров, ВЗУ, терминальных устройств, контрольной и другой обеспечивающей аппаратуры, систем охраны, регулирования, наблюдения и др. Выведение в горячий резерв технических средств, перечисленных предыдущем пункте. Разработка технических средств запуска резервного устройства.
Регулирование доступа к элементам системы	Установка замков на дверях помещений: простых, кодовых, программно-управляемых. Оборудование пультов управления технических средств АС индивидуальными ключами. Оборудование замками устройств управления ВЗУ. Оснащение дверей помещений и устройств АС дистанционно-управляемыми замками. Установка средств опознавания человека (биометрических средств). Оснащение АС микропроцессорными устройствами опознавания.
Регулирование использования элементов системы	Оснащение АС вычислительными машинами, имеющими в своем составе специальные регистры граничных адресов ЗУ и несколько режимов работы процессора.
Защитное преобразование данных	Аппаратура считывания кодов. Аппаратура сравнения кодов. Аппаратура кодирования-декодирования данных. Аппаратура шифрования-расшифрования данных. Аппаратура снятия идентифицирующих данных человека. Аппаратура генерирования маскирующих лучей.
Контроль элементов системы	Аппаратура и системы сбора, обработки и отображения данных о текущем состоянии элементов АС. Аппаратура и системы контроля работоспособности элементов АС. Аппаратура контроля правильности функционирования технических средств АС: по четности, методами специального копирования, методами повторного выполнения операций, методами параллельного выполнения операций. Аппаратура измерения параметров внешней среды.
Регистрация сведений	Регистрация средств состояния обработки данных. Регистрация состояния средств защиты информации. Регистрация состояния параметров внешней среды.
Уничтожение информации	Аппаратура уничтожения данных в оперативных запоминающих устройствах (ОЗУ) и внешних запоминающих устройствах (ВЗУ). Устройства и системы уничтожения носителей. Экраны, препятствующие распространению излучений. Фильтры, поглощающие наводки. Заземление аппаратуры.
Сигнализация	Технические средства сигнализации. Технические средства наглядного отображения.
Реагирование	Схемы выключения/отключения устройств при нарушении правил защиты. Устройства блокирования входа-выхода при попытках несанкционированного проникновения на территорию (в помещения).