![](/user_photo/2706_HbeT2.jpg)
- •Состав подсистем защиты информации от несанкционированного доступа
- •Подсистема управления доступом
- •Принципы управления доступом
- •При дискреционной модели
- •В рамках мандатного механизма каждому субъекту (пользователю, приложению и т.д.) и каждому объекту
- •Подсистема регистрации и учета
- •Подсистема обеспечения целостности
- •Подсистема криптографической защиты
- •Требования к защите конфиденциальной информации
- •Подсистема регистрации и учета должна:
- •3.Регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
- •5.Регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ,
- •Подсистема обеспечения целостности должна:
- •Требования к защите секретной информации
- •Подсистема регистрации и учета должна:
- •3.Регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
- •5.Регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ,
- •8.Проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением
- •Подсистема обеспечения целостности должна:
- •3.Предусматривать наличие администратора или целой службы защиты информации, ответственных за ведение, нормальное функционирование
- •Аппаратный контроллер
- •Считыватель информации
- •Персональный идентификатор пользователя
- •Дополнительные механизмы защиты от несанкционированного доступа к ПЭВМ
- •периодическое осуществление проверки целостности системных файлов, в том числе файлов программной части системы
- •Защита от несанкционированного межсетевого доступа
- •Схема подключения межсетевого экрана
- •Брандмауэр не является симметричным.
- •Брандмауэр должен иметь возможность анализа и использования:
- •Идентификация и аутентификация пользователей при обращении к межсетевому экрану позволяет разграничить их доступ
![](/html/2706/962/html_06olwSeING.nucv/htmlconvd-WCigCi22x1.jpg)
3.Предусматривать наличие администратора или целой службы защиты информации, ответственных за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС.
4.Проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью специальных программных средств не реже одного раза в год.
5.Иметь в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
6.Использовать только сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.
![](/html/2706/962/html_06olwSeING.nucv/htmlconvd-WCigCi23x1.jpg)
Аппаратный контроллер
Представляет собой плату (ISA/PCI), устанавливаемую в
один из слотов расширения материнской платы ПЭВМ. Аппаратный контроллер содержит ПЗУ с программным обеспечением, разъем для подключения считывателя информации и дополнительные устройства.
В качестве дополнительных устройств на аппаратном контроллере могут быть установлены реле блокировки загрузки внешних устройств (FDD, CD-ROM, SCSI, ZIP и т.п.); аппаратный датчик случайных чисел; энергонезависимая память.
![](/html/2706/962/html_06olwSeING.nucv/htmlconvd-WCigCi24x1.jpg)
Считыватель информации
Устройство, |
предназначенное |
для |
В качестве считывателей информации |
||||
считывания |
|
информации |
с |
могут использоваться считыватели |
|||
предъявляемого |
|
пользователем |
смарт-карт (Smart Card Reader) |
||||
персонального идентификатора. |
контактные и бескотактные, а также |
||||||
Наиболее часто в комплексах защиты |
биометрические |
считыватели |
|||||
от НСД применяются |
считыватели |
информации, |
позволяющие |
||||
информации |
|
с |
персональных |
идентифицировать |
пользователя по |
||
идентификаторов |
типа |
Touch |
его биометрическим характеристикам |
||||
Memory |
(Ibutton) |
DS199X, |
(отпечаток пальца, личная подпись и |
||||
представляющие |
собой |
контактные |
т.п.). |
|
устройства.
![](/html/2706/962/html_06olwSeING.nucv/htmlconvd-WCigCi25x1.jpg)
Персональный идентификатор пользователя
Аппаратное устройство, обладающее уникальными некопируемыми характеристиками.
Наиболее часто в системах защиты от НСД используются идентификаторы типа Touch-Memory (Ibutton), представляющие собой электронную схему, снабженную элементом питания и обладающую уникальным идентификационным номером длиной 64 бита, который формируется технологически. Срок эксплуатации электронного идентификатора, составляет около 10 лет.
Помимо ТМ-идентификаторов, в системах защиты от НСД используются идентификаторы типа Smart Card («Смарт-карта»). Смарт-карта представляет собой пластиковую карточку, со встроенной в нее микросхемой, содержащей энергонезависимую перезаписываемую память.
![](/html/2706/962/html_06olwSeING.nucv/htmlconvd-WCigCi26x1.jpg)
Дополнительные механизмы защиты от несанкционированного доступа к ПЭВМ
ограничение времени «жизни» пароля и его минимальной длины, исключая возможность быстрого его подбора в случае утери пользователем персонального идентификатора;
использование «временных ограничений» для входа пользователей в систему путем установки для каждого пользователя интервала времени по дням недели, в котором разрешена работа;
установка параметров управления хранителя экрана - гашение экрана через заранее определенный интервал времени (в случае если в течение указанного интервала действия оператором не выполнялись). Возможность продолжения работы предоставляется только после проведения повторной идентификации по предъявлению персонального идентификатора пользователя (или пароля);
установка для каждого пользователя ограничений по выводу защищаемой информации на отчуждаемые носители (внешние магнитные носители, порты принтеров и коммуникационных устройств и т.п.);
![](/html/2706/962/html_06olwSeING.nucv/htmlconvd-WCigCi27x1.jpg)
периодическое осуществление проверки целостности системных файлов, в том числе файлов программной части системы защиты, а также пользовательских программ и данных;
контроль обращения к операционной системе напрямую, в обход прерываний ОС, для исключения возможности функционирования программ отладки и разработки, а также программ «вирусов»;
исключение возможности использования ПЭВМ при отсутствии аппаратного контроллера системы защиты, для исключения возможности загрузки операционной системы пользователями со снятой системой защиты;
использование механизмов создания изолированной программной среды, запрещающей запуск исполняемых файлов с внешних носителей либо внедренных в ОС, а также исключающей несанкционированный вход незарегистрированных пользователей в ОС;
индикация попыток несанкционированного доступа к ПЭВМ и защищаемым ресурсам в реальном времени путем подачи звуковых, визуальных или иных сигналов.
![](/html/2706/962/html_06olwSeING.nucv/htmlconvd-WCigCi28x1.jpg)
Защита от несанкционированного межсетевого доступа
Основные угрозы: |
|
угрозы неправомерного вторжения во внутреннюю сеть из |
|
|
внешней |
Цели: |
|
|
несанкционированного использования ресурсов внутренней сети |
|
нарушения ее работоспособности. |
угрозы несанкционированного доступа во внешнюю сеть
из внутренней В случае наличия ограничений установленных для:
для предотвращения утечки конфиденциальных данных
при запрете доступа, например, в учебных заведениях, к информации нецензурной и нежелательной направленности
в случае запрета служебного доступа к развлекательным компьютерным
ресурсам в рабочее время
![](/html/2706/962/html_06olwSeING.nucv/htmlconvd-WCigCi29x1.jpg)
Схема подключения межсетевого экрана
![](/html/2706/962/html_06olwSeING.nucv/htmlconvd-WCigCi30x1.jpg)
Брандмауэр не является симметричным.
Для него отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю сеть и наоборот.
В общем случае работа межсетевого экрана основана на динамическом выполнении двух групп функций:
1. фильтрации проходящих через него информационных потоков
Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано.
Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности.
2. посредничества при реализации межсетевых взаимодействий.
![](/html/2706/962/html_06olwSeING.nucv/htmlconvd-WCigCi31x1.jpg)
Брандмауэр должен иметь возможность анализа и использования:
Информации о соединениях - информации от всех семи уровнях в пакете
Истории соединений - информации, полученной от предыдущих соединений. Например, исходящая команда PORT сессии FTP должна быть сохранена для того, чтобы в дальнейшем можно было проверить входящее соединение FTP data
Состояния уровня приложения - информации о состоянии, полученной из других приложений. Например, аутентифицированному до настоящего момента пользователю можно предоставить доступ через брандмауэр только для авторизованных видов сервиса
Агрегирующих элементов - вычислений разнообразных выражений, основанных на всех вышеперечисленных факторах.