logo search
Пушкарев В

Распределение средств защиты информации и информационных процессов в компьютерных сетях

Точки приложения преднамеренных воздействий связаны прежде всего со входами в систему и выходами информации из нее, т.е. «периметром» системы. Эти входы и выходы могут быть законными и незаконными т.е.:

Анализ компьютерных систем как объекта защиты, возможных каналов несанкционированного доступа (ВКНСД) к информации ограниченного пользования и потенциальных угроз позволяет выбрать и построить соответствующую систему защиты.

Возможные каналы несанкционированного доступа со стороны пользователя-нарушителя требуют создания на программном уровне системы опознания и разграничения доступа к информации со всеми ее атрибутами: средствами идентификации и аутентификации пользователей, а также разграничения их полномочий по доступу к информации файл-сервера и (или) другим субъектом данной сети.

Средства защиты сети позволяют устанавливать, кто имеет право доступа к конкретным каталогам и файлам. При этом защита данных файл-сервера осуществляется одним способом или в различных сочетаниях четырьмя уровнями.

Первым уровнем сетевой защиты является защита данных входным паролем. Защита при входе в сеть применяется по отношению ко всем пользователям.

Администратор безопасности уполномочен установку дополнительных ограничений по входу в сеть:

• период времени, в течение которого пользователь может входить в сеть;

• назначение рабочим станциям специального адреса, с которыми разрешено входить в сеть;

• ограничение количества рабочих станций, с которых можно выйти в сеть;

• установка режима «запрета постороннего вторжения», когда при нескольких несанкционированных попытках с неверным паролем устанавливается запрет на вход в сеть.

Второй уровень защиты данных в сети — попечительская защита данных при работе с файлами в заданном каталоге.

Третий уровень защиты данных в каталоге. Каждый каталог имеет «маску максимальных прав». Ограничения каталога применяются только в одном заданном каталоге. Защита в каталоге не распространяется на его подкаталоги.

Четвертый уровень - защита атрибутами файлов. Защита атрибутами файлов используется в основном для предотвращения случайных изменений или удаления отдельных файлов. В защите данных используются четыре файловых атрибута: «Запись-Чтение/Только чтение» и «Разделяемый/Неразделяемый».

Чтобы исключить возможность обхода систем опознания и разграничения доступа в КС и сетях путем применения отладочных программ, а также проникновения компьютерных вирусов, рекомендуется их работа без дисководов.

Перечисленные уровни защиты, предназначенные для перекрытия ВКНСД к информации, будут выполнять свою задачу, если они составляют замкнутый уровень защиты.

Для расчета и оценки уровня безопасности информации в компьютерной системы предлагается в зависимости от заданной модели нарушителя, ценности и важности обрабатываемой информации использовать три класса защиты. Распределение средств защиты по ВКНСД приведена в таблице 6.1.

Таблица 6. 1 - Распределение средств защиты по ВКНСД

Наименование ВКНСД

Средства защиты

Прочность

Класс защиты

I

II

III

ВКНСД элемента сети (ПЭВМ)

Система безопасности информации элемента сети (ПЭВМ)

Gpc

+

+

+

ВКНСД сервера

Средства контроля доступа на территорию объекта

Р1

+

+

+

Средства контроля доступа в помещение сервера

Р2

+

+

Программа контроля и разграничения доступа к информации ЛВС

Р3

+

+

+

Средства шифрования

P4

+

Организационные мероприятия

P5

+

+

+

ВКНСД со стороны средств контроля и управления конфигурацией, адресными таблицами и функциональным контролем ЛВС

Средства контроля доступа на территорию объекта

Р1

+

+

+

Средства контроля доступа в помещение администратора

P2

+

+

Программа опознания и контроля доступа к информации ПЭВМ

P6

+

+

+

Программа контроля и разграничения доступа к информации ЛВС

Р3

+

+

+

Средства контроля целостности ЛВС

P7

+

+

ВКНСД со стороны линий связи ЛВС

Средства контроля доступа на территорию объекта

Р1

+

+

+

Организационные мероприятия

P5

+

+

Система шифрования

P4

+

ВКНСД со стороны аппаратуры передачи данных в каналы связи, концентраторов, мостов, коммутаторов и т. д.

Средства контроля доступа на территорию объекта

Рi

+

+

+

Средства контроля доступа в помещение

Р2

+

-

-

Средства контроля вскрытия аппаратуры

Р8

+

Оргмероприятия

P5

+

+

+

ВКНСД к информации за счет ПЭМИН

Средства контроля доступа на территорию объекта

Р1

+

Средства уменьшения и зашумления сигналов, несущих секретную информацию

P9

+

ВКНСД со стороны каналов связи и трактов передачи данных

Средства защиты в каналах связи

Ркс

+

+

+

Средства защиты информации в трактах передачи данных

Рпд

+

+

+

ВКНСД со стороны средств контроля и управления безопасностью информации в ЛВС

Средства контроля доступа на территорию объекта

P1

+

+

+

Средства контроля доступа в помещение

Р1

+

+

-

Программа опознания и контроля доступа к информации ПЭВМ

Р6

+

+

+

Программа контроля и разграничения доступа к информации ЛВС

р3

+

+

+

Средства контроля целостности ЛВС

p7

+

+

Средства шифрования информации в ПЭВМ

Р10

+

Средства шифрования информации ЛВС

P4

+

Оргмероприятия

P5

+

+

+

Примечания: 1. Знак "+" означает наличие средства защиты, знак «—» — отсутствие средства защиты.

2. Считается, что все помещения оборудованы системой контроля одного типа.