Полная версия

Главная arrow Информатика arrow Безопасность и управление доступом в информационных системах

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

СИСТЕМА ОПОЗНАНИЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА К ИНФОРМАЦИИ (СОРДИ)

Задачи и общие принципы построения системы опознания и разграничения доступа

Основная задача системы опознания и разграничения доступа — это перекрытие несанкционированного и контроль санкционированного доступа к информации, подлежащей защите. При этом разграничение доступа к информации и программным средствам ее обработки должно осуществляться в соответствии с функциональными обязанностями и полномочиями должностных лиц — пользователей, обслуживающего персонала, просто пользователей.

Основной принцип построения системы состоит в том, что допускаются и выполняются только такие обращения к информации, в которых содержатся соответствующие признаки разрешенных полномочий.

В указанных целях осуществляется идентификация и аутентификация пользователей, устройств, процессов и т. д., деление информации и функций ее обработки, установка и ввод полномочий.

Деление информации и функций ее обработки обычно производится по следующим признакам:

  • • по степени важности;
  • • степени секретности;
  • • выполняемым функциям пользователей, устройств;
  • • наименованию документов;
  • • видам документов;
  • • видам данных;
  • • наименованию томов, файлов, массивов, записей;
  • • имени пользователя;
  • • функциям обработки информации:
    • — чтению;
    • — записи;
    • — исполнению по областям оперативной и долговременной памяти;
  • • времени дня.

Выбор конкретных признаков деления и их сочетаний производится в соответствии с техническим заданием при проектировании программного обеспечения информационной системы.

Информация, подлежащая защите, должна быть размещена в непересекающихся областях памяти. В любой из этих областей хранится совокупность информационных объектов, каждый из которых подлежит защите. Защита в этом случае сводится к тому, что доступ к информационному объекту осуществляется через единственный охраняемый проход. В функцию «охраны» входят опознание пользователя по коду предъявленного пароля и при положительном результате проверки допуск его к информации в соответствии с выделенными ему полномочиями. Эти процедуры выполняются при каждом обращении пользователя: запросе, выдаче команд и т. д. Чтобы не набирать каждый раз пароль, удобно предъявляемый пароль хранить на специальном физическом носителе (ключе, карте), который перед входом в информационную систему должен вставляться пользователем в специальное гнездо в терминале. Если же требования к защите информации для конкретной системы позволяют применение набора пароля вручную,

170 Раздел IV. Построение системы обеспечения безопасности информации

Алгоритм контроля и управления разграничением доступа к информации

Рис. 1. Алгоритм контроля и управления разграничением доступа к информации: УНДЛ — условный номер должностного лица; КП — ключ-пароль; ТКП — таблица КП; АРМ СБ — АРМ службы безопасности необходимо сделать так, чтобы предъявляемый пароль при повторных обращениях в процессе работы с информацией находился в памяти данного терминала. Хранение в центральном вычислителе допускается только при обеспечении его связки с условным номером данного терминала, т. е. все последующие обращения в центральном вычислителе должны приниматься на обработку только с условным номером терминала, с которого предъявлялся хранимый код пароля. По окончании работы для исключения возможности несанкционированного доступа со стороны посторонних пользователей необходимо с терминала ввести соответствующую команду, по которой предъявленный ранее и хранимый пароль стирается. О факте стирания на терминал должно быть выдано сообщение. Для проверки последней операции полезно повторить одно из предыдущих обращений без пароля и убедиться по отрицательной реакции информационной системы, что обращение в обработку не принимается.

Типовой пример алгоритма контроля и управления разграничением доступа приведен на рис. 1.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>