Архив автора: admin

Ограничение доступа заключается в создании некоторой физической замкнутой преграды вокруг объекта защиты (территории АИС) с организацией контролируемого доступа лиц, связанных с объектом защиты, по своим функциональным обязанностям.

Ограничение доступа заключается в следующем:

• выделение специальной территории для размещения АИС или АСУ;
• сооружение по периметру зоны специальных ограждений с охранной сигнализацией;
• сооружение специальных зданий или других сооружений;
• выделение специальных помещений в здании;
• создание контрольно-пропускного режима на территории, в здании и помещениях.

Далее →

Контроль вскрытия аппаратуры необходим не только в интересах защиты информации от НСД, но и для соблюдения технологической дисциплины в целях обеспечения нормального функционирования вычислительной системы, потому что часто при эксплуатации параллельно решению основных задач производится ремонт или профилактика аппаратуры, и может случиться, что случайно забыли подключить кабель или с пульта изменили программу обработки информации.

С позиций защиты информации от несанкционированного доступа контроль вскрытия аппаратуры защищает от следующих действий:

• Изменения и разрушения принципиальной схемы вычислительной системы и аппаратуры;
• Подключения постороннего устройства;
• Изменения алгоритма работы вычислительной системы путем использования технологических пультов и органов управления;
• Загрузки посторонних программ и внесения программных «вирусов» в систему;
• Использования терминалов посторонними лицами и т.п.

Далее →

Следует иметь ввиду, что все ранее перечисленные меры ограничения доступа должны применяться в полном объеме. Что касается подготовительных функций технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и т. д., то все они должны быть технически и организационно отделены от основных задач системы. АИС (АСУ) и организация ее обслуживания должны быть построены следующим образом:

• техническое обслуживание АИС в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информации, подлежащей защите;
• перезагрузка программного обеспечения и всякие его изменения должны производиться специально выделенным для этой цели проверенным специалистом;
• функции обеспечения безопасности информации должны выполняться специальным подразделением в организации-владельце АИС, вычислительной сети или АСУ;
• организация доступа пользователей к памяти АИС обеспечивает возможность разграничения доступа к информации, хранящейся в ней, с достаточной степенью детализации и в соответствии с заданными уровнями полномочий пользователей;

Далее →

Для осуществления несанкционированного доступа к информации (НСДИ) чаще всего злоумышленник не применяет никаких аппаратных или программных средств, не входящих в состав АИС. Он осуществляет НСДИ используя:

• знания об АИС и умение работать с ней;
• сведения о системе защиты информации;
• сбои, отказы технических и программных средств;
• ошибки, небрежность обслуживающего персонала и пользователей.

Далее →

По мнению некоторых авторов система разграничения доступа должна содержать четыре блока:

• блок идентификации и аутентификации субъектов доступа;
• диспетчер доступа;
• блок криптографического преобразования информации при ее хранении и передаче;
• блок очистки памяти.

Далее →

Под ядром безопасности понимают локализованную, минимизированную, четко ограниченную и надежно изолированную совокупность программно-аппаратных механизмов, доказательно правильно реализующих функции диспетчера доступа. Правильность функционирования ядра безопасности доказывается путем полной формальной верификации его программ и пошаговым доказательством их соответствия выбранной математической модели защиты.

Применение ядра безопасности требует создания измененных (усовершенствованных) операционных систем и архитектуры ЭВМ.

Для аппаратной поддержки защиты и изоляции ядра в архитектуре ЭВМ должны быть предусмотрены:

• многоуровневый режим выполнения команд;
• использование ключей защиты и сегментирования памяти;
• реализация механизма виртуальной памяти с разделением адресных пространств;
• аппаратная реализация части функций ОС;
• хранение программ в ПЗУ;

Далее →

Не обращаясь к возможностям каждого аппаратно-программного средства, перечислим общие защитные механизмы, обеспечиваемые всем набором программных и аппаратных средств:

• идентификация и аутентификация пользователей;
• разграничение доступа к файлам, каталогам, дискам;
• контроль целостности программных средств и информации;
• возможность создания функционально замкнутой среды пользователя;
• защита процесса загрузки ОС;
• блокировка ПЭВМ на время отсутствия пользователя;
• криптографическое преобразование информации;
• регистрация событий;
• очистка памяти.

Далее →

Примером такого комплекса является DALLAS LOCK 3.1 и его сетевой вариант DALLAS LOCK 3.1 for NET WARE.

Комплекс DALLAS LOCK 3.1 выполняет следующие функции защиты:

• обеспечение возможности доступа к компьютеру и загрузки ОС только по предъявлению личной электронной карты пользователя (электронного ключа) Touch Memory и вводу личного пароля;
• уничтожение полиморфных вирусов (мутантов); защиту системных файлов ОС;
• автоматическую и принудительную блокировку компьютера с гашением экрана дисплея на время отсутствия пользователя;
• обеспечение возможности уничтожения файлов при их удалении;
• защиту файлов пользователя от несанкционированного доступа и контроль целостности дисков;
• сохранение образа системных областей компьютера на дискете с целью их восстановления в случае разрушения системы защиты;
• разграничение полномочий пользователей по доступу к ресурсам компьютера (логическим дискам, периферийным устройствам);
• регистрацию в системных журналах всех событий по входу, выходу и работе пользователей.

Далее →

В наиболее совершенных системах реализуют механизм контроля целостности файлов с использованием хэш-функции. Хэш-функция – метод, который позволяет практически исключить возможность неконтролируемого изменения информации в АИС. Под хэш-функцией понимается процедура получения контрольной характеристики двоичной последовательности, основанная на контрольном суммировании и криптографических преобразованиях. Алгоритм хэш-функции приведен в ГОСТ-Р34.11-94. Некоторую информацию по данному вопросу можно получить в [15].

Далее →

Это мероприятие является очень эффективным механизмом борьбы с НСДИ. Суть механизма состоит в следующем. Для каждого пользователя создается меню, в которое попадает пользователь после загрузки ОС. В нем указываются программы, к выполнению которых допущен пользователь. Пользователь может выполнить любую из программ из меню. Если эти программы не имеют возможностей инициировать выполнение других программ, а так же предусмотрена корректная обработка ошибок, сбоев и отказов, то пользователь не сможет выйти за рамки установленной замкнутой функциональной среды. Такой режим работы вполне осуществим во многих АСУ.

Далее →