Задачи и общие принципы построения СОРДИ
Основная задача системы опознания и разграничения доступа — это перекрытие несанкционированного и контроль санкционированного доступа к информации, подлежащей защите. При этом разграничение доступа к информации и программным средствам ее обработки должно осуществляться в соответствии с функциональными обязанностями и полномочиями должностных лиц—пользователей, обслуживающего персонала, просто пользователей.
Основной принцип построения СОРДИ состоит в том, что допускаются и выполняются только такие обращения к информации, в которых содержатся соответствующие признаки разрешенных полномочий.
В указанных целях осуществляются идентификация и аутентификация пользователей, устройств, процессов и т. д., деление информации и функций ее обработки, установка и ввод полномочий.
Деление информации и функций ее обработки обычно производится по следующим признакам:
F по степени важности;
F по степени секретности;
F по выполняемым функциям пользователей, устройств;
F по наименованию документов;
F по видам документов;
F по видам данных;
F по наименованию томов, файлов, массивов, записей;
F по имени пользователя;
F по функциям обработки информации: чтению, записи, исполнению;
F по областям оперативной и долговременной памяти;
F по времени дня.
Выбор конкретных признаков деления и их сочетаний производится в соответствии с техническим заданием при проектировании программного обеспечения вычислительной системы.
Информация, подлежащая защите, должна быть размещена в непересекающихся областях памяти. В любой из этих областей хранится совокупность информационных объектов, каждый из которых подлежит защите. В функцию "охраны" входят опознание пользователя по коду предъявленного пароля и при положительном результате проверки допуск его к информации в соответствии с выделенными ему полномочиями. Эти процедуры выполняются при каждом обращении пользователя: запросе, выдаче команд и т. д. Чтобы не набирать каждый раз пароль, удобно предъявляемый пароль хранить на специальном физическом носителе (ключе, карте), который перед входом в вычислительную систему должен вставляться пользователем в специальное гнездо в терминале. Если же требования к защите информации для конкретной системы позволяют применение набора пароля вручную, необходимо сделать так, чтобы предъявляемый пароль при повторных обращениях в процессе работы с информацией находился в памяти данного терминала. Хранение в центральном вычислителе допускается только при обеспечении его связки с условным номером данного терминала, т. е. все последующие обращения в центральном вычислителе должны приниматься на обработку только с условным номером терминала, с которого предъявлялся хранимый код пароля. По окончании работы для исключения возможности несанкционированного доступа со стороны посторонних пользователей необходимо с терминала ввести соответствующую команду, по которой предъявленный ранее и хранимый пароль стирается. О факте стирания на терминал должно быть выдано сообщение.
Средства контроля и управления доступом
К системе опознания и разграничения доступа относятся: специальное программное обеспечение по управлению доступом, терминал службы безопасности информации (ТСБИ), с которого осуществляется централизованное управление доступом, комплект физических носителей кодов паролей — магнитных карт, пропусков, кредитных карточек и т. д., а также аппаратура записи кодов паролей (АЗКП) на эти носители. Необходимой составной частью СОРДИ должны быть также средства защиты кодов паролей (СЗКП). Учитывая накопленный опыт, рекомендуется действительные значения кодов паролей в вычислительной системе не хранить. В вычислительной системе хранятся только значения паролей, преобразованных с помощью криптографических методов. Подобный метод обеспечивает высокий уровень защиты кодов паролей и, следовательно, малую вероятность обхода защиты.
На эффективность работы СОРДИ влияют:
• выбор параметров паролей;
• метод защиты кодов паролей, хранимых в вычислительной системе;
• метод запоминания и хранения кодов паролей для пользователя
вне вычислительной системы;
• организация контроля и управления доступом к информации и
средствам ее обработки в вычислительной системе.
Дата добавления: 2016-02-27; просмотров: 624;