Пушкарев В

Распределение средств защиты информации и информационных процессов в компьютерных сетях

Точки приложения преднамеренных воздействий связаны прежде всего со входами в систему и выходами информации из нее, т.е. «периметром» системы. Эти входы и выходы могут быть законными и незаконными т.е.:

все перечисленные штатные средства при незаконном использовании;
технологические пульты и органы управления;
внутренний монтаж аппаратуры;
линии связи между аппаратными средствами КС;
побочные электромагнитное излучение;
побочные наводки на сетях электропитания и заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи КС;
внешние каналы связи.

Анализ компьютерных систем как объекта защиты, возможных каналов несанкционированного доступа (ВКНСД) к информации ограниченного пользования и потенциальных угроз позволяет выбрать и построить соответствующую систему защиты.

Возможные каналы несанкционированного доступа со стороны пользователя-нарушителя требуют создания на программном уровне системы опознания и разграничения доступа к информации со всеми ее атрибутами: средствами идентификации и аутентификации пользователей, а также разграничения их полномочий по доступу к информации файл-сервера и (или) другим субъектом данной сети.

Средства защиты сети позволяют устанавливать, кто имеет право доступа к конкретным каталогам и файлам. При этом защита данных файл-сервера осуществляется одним способом или в различных сочетаниях четырьмя уровнями.

Первым уровнем сетевой защиты является защита данных входным паролем. Защита при входе в сеть применяется по отношению ко всем пользователям.

Администратор безопасности уполномочен установку дополнительных ограничений по входу в сеть:

• период времени, в течение которого пользователь может входить в сеть;

• назначение рабочим станциям специального адреса, с которыми разрешено входить в сеть;

• ограничение количества рабочих станций, с которых можно выйти в сеть;

• установка режима «запрета постороннего вторжения», когда при нескольких несанкционированных попытках с неверным паролем устанавливается запрет на вход в сеть.

Второй уровень защиты данных в сети — попечительская защита данных при работе с файлами в заданном каталоге.

Третий уровень защиты данных в каталоге. Каждый каталог имеет «маску максимальных прав». Ограничения каталога применяются только в одном заданном каталоге. Защита в каталоге не распространяется на его подкаталоги.

Четвертый уровень - защита атрибутами файлов. Защита атрибутами файлов используется в основном для предотвращения случайных изменений или удаления отдельных файлов. В защите данных используются четыре файловых атрибута: «Запись-Чтение/Только чтение» и «Разделяемый/Неразделяемый».

Чтобы исключить возможность обхода систем опознания и разграничения доступа в КС и сетях путем применения отладочных программ, а также проникновения компьютерных вирусов, рекомендуется их работа без дисководов.

Перечисленные уровни защиты, предназначенные для перекрытия ВКНСД к информации, будут выполнять свою задачу, если они составляют замкнутый уровень защиты.

Для расчета и оценки уровня безопасности информации в компьютерной системы предлагается в зависимости от заданной модели нарушителя, ценности и важности обрабатываемой информации использовать три класса защиты. Распределение средств защиты по ВКНСД приведена в таблице 6.1.

Таблица 6. 1 - Распределение средств защиты по ВКНСД

Наименование ВКНСД	Средства защиты	Прочность	Класс защиты
Наименование ВКНСД	Средства защиты	Прочность	I	II	III
ВКНСД элемента сети (ПЭВМ)	Система безопасности информации элемента сети (ПЭВМ)	G_pc	+	+	+
ВКНСД сервера	Средства контроля доступа на территорию объекта	Р₁	+	+	+
	Средства контроля доступа в помещение сервера	Р₂	+	+	—
	Программа контроля и разграничения доступа к информации ЛВС	Р₃	+	+	+
	Средства шифрования	P₄	+	—	—
	Организационные мероприятия	P₅	+	+	+
ВКНСД со стороны средств контроля и управления конфигурацией, адресными таблицами и функциональным контролем ЛВС	Средства контроля доступа на территорию объекта	Р₁	+	+	+
	Средства контроля доступа в помещение администратора	P₂	+	+	—
	Программа опознания и контроля доступа к информации ПЭВМ	P₆	+	+	+
	Программа контроля и разграничения доступа к информации ЛВС	Р₃	+	+	+
	Средства контроля целостности ЛВС	P₇	+	+	—
ВКНСД со стороны линий связи ЛВС	Средства контроля доступа на территорию объекта	Р₁	+	+	+
	Организационные мероприятия	P₅	+	+	—
	Система шифрования	P₄	+	—	—
ВКНСД со стороны аппаратуры передачи данных в каналы связи, концентраторов, мостов, коммутаторов и т. д.	Средства контроля доступа на территорию объекта	Р_i	+	+	+
	Средства контроля доступа в помещение	Р₂	+	-	-
	Средства контроля вскрытия аппаратуры	Р₈	+	—	—
	Оргмероприятия	P₅	+	+	+
ВКНСД к информации за счет ПЭМИН	Средства контроля доступа на территорию объекта	Р₁	+	—	—
ВКНСД к информации за счет ПЭМИН	Средства уменьшения и зашумления сигналов, несущих секретную информацию	P₉	+	—	—
ВКНСД со стороны каналов связи и трактов передачи данных	Средства защиты в каналах связи	Р_кс	+	+	+
ВКНСД со стороны каналов связи и трактов передачи данных	Средства защиты информации в трактах передачи данных	Р_пд	+	+	+
ВКНСД со стороны средств контроля и управления безопасностью информации в ЛВС	Средства контроля доступа на территорию объекта	P₁	+	+	+
	Средства контроля доступа в помещение	Р₁	+	+	-
	Программа опознания и контроля доступа к информации ПЭВМ	Р₆	+	+	+
	Программа контроля и разграничения доступа к информации ЛВС	р₃	+	+	+
	Средства контроля целостности ЛВС	p₇	+	+	—
	Средства шифрования информации в ПЭВМ	Р₁₀	+	—	—
	Средства шифрования информации ЛВС	P₄	+	—	—
	Оргмероприятия	P₅	+	+	+

Примечания: 1. Знак "+" означает наличие средства защиты, знак «—» — отсутствие средства защиты.

2. Считается, что все помещения оборудованы системой контроля одного типа.

Содержание