КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Методи захисту інформації від НСД в автоматизованих системах
|
|
|
|
Раніше було відмічено, що для здійснення несанкціонованого доступу до інформації, оброблюваної в автоматизованих системах (НСД) зловмисник може не застосовувати спеціальні апаратні або програмні засоби, для цього він може використовувати:
• знання про інформаційну систему й уміння працювати з нею;
• відомості про слабості системи захисту інформації;
• збої, відмови технічних і програмних засобів;
• помилки, недбалість обслуговуючого персоналу й користувачів.
Для захисту інформації від НСД створюється система розмежування доступу до інформації. Одержати несанкціонований доступ до інформації при наявності системи розмежування доступу (СРД) можливо тільки при збоях і відмовах системи, а також використовуючи вразливості в комплексній системі захисту інформації.
Для блокування несанкціонованого дослідження й копіювання інформації використовується комплекс засобів і заходів захисту, які поєднуються в систему захисту від дослідження й копіювання інформації (СЗК).
Таким чином, СРД і СЗК можуть розглядатися як підсистеми системи захисту від НСД.
Вихідною інформацією для створення СРД є рішення власника (адміністратора) системи про допуск користувачів до певних інформаційних ресурсів. Оскільки інформація в системі зберігається, обробляється й передається файлами (частинами файлів), тому порядок доступу до інформації регламентується на рівні файлів (об'єктів доступу).
Складніше організує доступ у базі даних, у яких він може регламентуватися до окремих її частин за певними правилами. При визначенні повноважень доступу адміністратор системи установлює операції, які дозволено виконувати користувачеві (суб'єктові доступу).
|
|
|
Розрізняють наступні операції з файлами:
• читання;
• запис;
• виконання програм.
Операція запису у файл має дві модифікації. Суб'єктові доступу може бути дане право здійснювати запис зі зміною вмісту файлу. Інша організація доступу припускає дозвіл тільки дописування у файл, без зміни старого вмісту,
В автоматизованих системах, залежно від особливостей їх реалізації застосовуються до організації розмежування доступу:
• матричний;
• повноважний (мандатний).
Матричне керування доступом припускає використання матриць доступу. Матриця доступу являє собою таблицю, у якій об'єкту доступу відповідає стовпець, а суб'єктові доступу рядок. На перетинанні стовпців і рядків записуються операції, які допускається виконувати суб'єктові доступу з об'єктом доступу.
Матричне керування доступом дозволяє з максимальною деталізацією встановити права суб'єкта доступу по виконанню дозволених операцій над об'єктами доступу. Такий підхід наочний і легко реалізується.
Однак у реальних системах через велику кількість суб'єктів і об'єктів доступу матриця доступу досягає таких розмірів, при яких складно підтримувати її в адекватному стані.
Повноважний або мандатний метод базується на багаторівневій моделі захисту. Документу присвоюється рівень конфіденційності (гриф таємності), а також можуть присвоюватися мітки, що відображають категорії конфіденційності (таємності) документа.
Таким чином, конфіденційний документ має гриф конфіденційності (конфіденційно, для службового користування, таємно, цілком таємно і т.д.) і може мати одну або кілька міток, які уточнюють категорії осіб, допущених до цього документа (наприклад, «для керівного складу», «для інженерно-технічного складу» тощо).
Суб'єктам доступу встановлюється рівень допуску, що визначає максимальний для даного суб'єкта рівень конфіденційності документа, до якого дозволяється допуск. Суб'єктові доступу встановлюються також категорії, які пов'язані з мітками документа.
|
|
|
Правило розмежування доступу полягає в наступному: особа допускається до роботи з документом тільки в тому випадку, якщо рівень допуску суб'єкта доступу рівний або вище рівня конфіденційності документа, а в наборі категорій, привласнених даному суб'єктові доступу, утримуються всі категорії, певні для даного документа.
Система розмежування доступу до інформації може містити чотири функціональні блоки:
• блок ідентифікації й автентифікації суб'єктів доступу;
• диспетчер доступу;
• блок криптографічного перетворення інформації при її зберіганні й передачі;
• блок очищення пам'яті.
Ідентифікація й автентифікація суб'єктів здійснюється в момент їх доступу до пристроїв, у тому числі й дистанційного.
Диспетчер доступу реалізується у вигляді апаратно-програмних механізмів і забезпечує необхідну дисципліну розмежування доступу суб'єктів до об'єктів (у тому числі й до апаратних блоків, вузлів, пристроїв).
Якщо число спроб суб'єкта допуску одержати доступ до заборонених для нього об'єктам перевищить певну границю (звичайно 3-5 разів), то блок ухвалення рішення на підставі даних блоку реєстрації видає сигнал адміністраторові системи безпеки. Адміністратор може блокувати роботу суб'єкта, що порушує правила доступу в системі та з'ясувати причину порушень.
Крім навмисних спроб НСД диспетчер фіксує порушення правил розмежування, що з'явилися слідством відмов, збоїв апаратних і програмних засобів, а також викликаних помилками персоналу й користувачів.
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 656; Нарушение авторских прав?; Мы поможем в написании вашей работы!