Задачи и общие принципы построения СОРДИ

Основная задача системы опознания и разграничения доступа — это перекрытие несанкционированного и контроль санкционированного доступа к информации, подлежащей защите. При этом разграничение доступа к информации и программным средствам ее обработки должно осуществляться в соответствии с функциональными обязанностями и полномочиями должностных лиц—пользователей, обслуживающего пер­сонала, просто пользователей.

Основной принцип построения СОРДИ состоит в том, что допуска­ются и выполняются только такие обращения к информации, в которых содержатся соответствующие признаки разрешенных полномочий.

В указанных целях осуществляются идентификация и аутентифика­ция пользователей, устройств, процессов и т. д., деление информации и функций ее обработки, установка и ввод полномочий.

Деление информации и функций ее обработки обычно производится по следующим признакам:

F по степени важности;

F по степени секретности;

F по выполняемым функциям пользователей, устройств;

F по наименованию документов;

F по видам документов;

F по видам данных;

F по наименованию томов, файлов, массивов, записей;

F по имени пользователя;

F по функциям обработки информации: чтению, записи, исполнению;

F по областям оперативной и долговременной памяти;

F по времени дня.

Выбор конкретных признаков деления и их сочетаний производится в соответствии с техническим заданием при проектировании програм­много обеспечения вычислительной системы.

Информация, подлежащая защите, должна быть размещена в непере­секающихся областях памяти. В любой из этих областей хранится сово­купность информационных объектов, каждый из которых подлежит за­щите. В функцию "охраны" входят опознание пользователя по коду предъявлен­ного пароля и при положительном результате проверки допуск его к ин­формации в соответствии с выделенными ему полномочиями. Эти про­цедуры выполняются при каждом обращении пользователя: запросе, вы­даче команд и т. д. Чтобы не набирать каждый раз пароль, удобно предъяв­ляемый пароль хранить на специальном физическом носителе (ключе, карте), который перед входом в вычислительную систему должен встав­ляться пользователем в специальное гнездо в терминале. Если же требо­вания к защите информации для конкретной системы позволяют приме­нение набора пароля вручную, необходимо сделать так, чтобы предъяв­ляемый пароль при повторных обращениях в процессе работы с инфор­мацией находился в памяти данного терминала. Хранение в центральном вычислителе допускается только при обеспечении его связки с условным номером данного терминала, т. е. все последующие обращения в цент­ральном вычислителе должны приниматься на обработку только с услов­ным номером терминала, с которого предъявлялся хранимый код пар­оля. По окончании работы для исключения возможности несанкциони­рованного доступа со стороны посторонних пользователей необходимо с терминала ввести соответствующую команду, по которой предъявленный ранее и хранимый пароль стирается. О факте стирания на терминал должно быть выдано сообщение.

Средства контроля и управления доступом

К системе опознания и разграничения доступа относятся: специаль­ное программное обеспечение по управлению доступом, терминал службы безопасности информации (ТСБИ), с которого осуществляется централизованное управление доступом, комплект физических носителей кодов паролей — магнитных карт, пропусков, кредитных карточек и т. д., а также аппаратура записи кодов паролей (АЗКП) на эти носители. Необходимой составной частью СОРДИ должны быть также средства за­щиты кодов паролей (СЗКП). Учитывая накопленный опыт, рекоменду­ется действительные значения кодов паролей в вычислительной системе не хранить. В вычислительной системе хранятся только значения паролей, преобразованных с помощью криптографических методов. Подобный метод обеспечивает высокий уровень защиты кодов паролей и, следовательно, малую вероятность обхода защиты.

На эффективность работы СОРДИ влияют:

• выбор параметров паролей;

• метод защиты кодов паролей, хранимых в вычислительной системе;

• метод запоминания и хранения кодов паролей для пользователя
вне вычислительной системы;

• организация контроля и управления доступом к информации и
средствам ее обработки в вычислительной системе.








Дата добавления: 2016-02-27; просмотров: 624;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.005 сек.