Полная версия

Главная arrow Информатика arrow Безопасность и управление доступом в информационных системах

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

БЕЗОПАСНОСТЬ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СЕТЯХ И АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ

АНАЛИЗ ОБЪЕКТОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И ПОСТАНОВКА ЗАДАЧИ

В качестве объекта защиты информации выбираем автоматизированную систему управления (см. рис. 6, гл. 1, разд. 3) как более универсальную систему. В нее входят практически все виды автоматизированных информационных систем по классификации (см. рис. 1, гл. 2, разд. 1), согласно которой автоматизированная система управления может включать различные виды автоматизированных систем, в том числе информационные и вычислительные системы и сети.

Большая автоматизированная система управления, как правило, состоит из нескольких территориально удаленных информационных систем (комплексов средств автоматизации, комплексов аппаратно-программных средств), связанных между собой информационной сетью, которая, в свою очередь, состоит из нескольких узлов коммутации, связанных между собой и с вычислительными системами каналами связи. Узел коммутации — это совокупность средств коммуникации и передачи данных, который по составу технических средств можно рассматривать и как информационную систему, являющуюся элементом сети. Такой подход с позиций защиты информации позволяет выделить некоторый обобщенный элемент автоматизированной системы, на базе которого, по существу, она строится, — комплекс средств автоматизации обработки информации.

Анализ объекта защиты будем вести с позиций, изложенных в разд. 3.

Предметом защиты в этом случае может служить следующая информация:

  • • структура, состав, назначение и принципы построения автоматизированной системы управления;
  • • структура, состав, назначение и принципы построения сети обмена информацией и данными в автоматизированной системе управления;
  • • состояние направлений связи в сети передачи информации и данных;
  • • адресные таблицы автоматизированной системы управления и сети;
  • • таблицы полномочий элементов автоматизированной системы управления и сети;
  • • информация, циркулирующая в комплексе средств автоматизации обработки информации и каналах связи.

Согласно принципам построения данная информация (кроме последней), если в сети заложен принцип обмена «каждый с каждым» (одноранговые сети), размещается на каждом элементе сети. Обмен информацией может происходить между процессами разных элементов сети, между их пользователями, между пользователем и процессом разных элементов сети.

В автоматизированных системах управления каждый пользователь и процесс имеет свой уровень полномочий. Персонал узла коммутации сети, через который транзитом проходит абонентская информация, не должен ее видеть и документировать, а обработка данной информации должна исключать ее запись в долговременную память.

Наличие на элементе автоматизированной системы управления, сети и каналах связи информации, различной по назначению и уровню защиты, предполагает соответствующие системные средства защиты, объединенные в систему защиты информации от несанкционированного доступа в автоматизированной системе управления.

Средства защиты информации так же, как и основные средства ее обработки в системе, реализуются на программном, аппаратном и организационном уровнях. При этом они выполняют свои функции в тесном взаимодействии с основными компонентами комплексов средств автоматизации автоматизированной системы управления и сети. Совокупность определенных средств защиты на уровнях комплексов средств автоматизации обработки информации, систем передачи информации и данных и автоматизированной системе управления образуют на каждом уровне свою систему защиты информации. Причем, с одной стороны, средства защиты являются общесистемными ресурсами, а с другой — в силу специфики решаемых задач, система защиты для каждого уровня может быть представлена в виде самостоятельной структуры, которая нуждается в собственном управлении в целях координации и контроля своих процессов по обеспечению безопасности информации.

Согласно изложенной выше концепции защиты информации для создания замкнутого контура (оболочки, периметра) защиты необходимо объединить средства защиты в целостный механизм — встроенную автоматизированную систему защиты, обеспечивающую централизованные подготовку, контроль и управление безопасностью информации в автоматизированной системе управления.

Анализ принципов построения автоматизированной системы управления показал, что обработка и обмен информацией в ней производится на четырех уровнях:

  • • на уровне комплекса средств автоматизации обработки информации автоматизированной системы управления;
  • • на уровне комплекса средств автоматизации системы передачи информации (сети передачи информации);
  • • на уровне автоматизированной системы управления в целом;
  • • на уровне системы передачи информации в целом.

На каждом из уровней образуется своя автоматизированная система, выполняющая свои задачи, связанные с вводом-выводом, хранением, обработкой и передачей определенной информации, соответствующей функциональным обязанностям должностных лиц и пользователей в структуре автоматизированной системы управления и системы передачи информации.

Аналогичным образом целесообразно распределить в автоматизированной системе управления функции обеспечения безопасности информации, подлежащей защите от утечки, модификации и утраты, и создать в автоматизированной системе управления на соответствующих уровнях встроенные системы защиты информации. Эти системы должны удовлетворять определенным требованиям. Так, для защиты передаваемой информации по тракту передачи данных от пользователя одного комплекса средств автоматизации обработки информации к пользователю другого они должны содержать средства абонентского шифрования.

Система защиты информации в трактах передачи информации должна включать средства абонентского шифрования, средства обеспечения цифровой подписи передаваемых сообщений, систему генерации и распределения соответствующих ключей шифрования, действительные значения которых вырабатываются и распределяются с помощью средств управления службой безопасности (защиты) информации автоматизированной системы управления.

Безопасность информации в системе передачи должна содержать средства линейного шифрования.

В каждой из перечисленных систем должна быть система опознания, разграничения доступа и средства контроля и управления, с помощью которых в рамках данной системы можно выполнять следующие функции:

  • • составление перечня, ранжирование по важности и степени секретности и назначение сроков действия документов и других данных, подлежащих защите от несанкционированного доступа;
  • • разграничение, распределение и контроль полномочий должностных лиц-пользователей по отношению к информации и функциям управления;
  • • организацию и поддержку функционирования системы безопасности информации в системе;
  • • подготовку, выбор, распределение и периодическую замену ключей шифрования информации и кодов цифровой подписи;
  • • своевременное обнаружение, блокировку, сбор, регистрацию и документирование фактов несанкционированного доступа;
  • • своевременное установление места, времени и причины несанкционированного доступа;
  • • взаимодействие со службой функционального контроля и администраторами системы;
  • • взаимодействие со службами безопасности других систем;
  • • взаимодействие со службой безопасности нижестоящих объектов управления (комплексы средств автоматизации обработки информации).

К числу наиболее важных функций, определяющих необходимость создания системы защиты информации в автоматизированной системе, относятся: периодическая подготовка, распределение и периодическая замена ключей абонентского шифрования и кодов подписи, действительные значения которых должны быть доступны только должностным лицам этой службы и пользователям в соответствии с назначенными им полномочиями. Распределение ключей, помимо разграничения доступа к информации, позволяет обеспечить выполнение требований по иерархии системных отношений между должностными лицами автоматизированной системы управления и системы передачи информации.

Учитывая изложенное, на уровне комплекса средств автоматизации обработки информации должны быть предусмотрены, кроме собственных средств, средства защиты, работающие в интересах выполнения перечисленных выше системных функций.

В конечном итоге в обобщенном виде каждый комплекс средств автоматизации обработки информации должен содержать следующие средства обеспечения безопасности информации:

  • • систему защиты информации в данном комплексе средств автоматизации обработки информации;
  • • средства взаимодействия со средствами управления выше- и нижестоящих комплексов средств автоматизации обработки информации;
  • • средства абонентского шифрования информации;
  • • средства обеспечения цифровой подписи сообщений;
  • • средства линейного шифрования информации.

При этом функции средств взаимодействия определяются положением комплекса средств автоматизации обработки информации в структуре автоматизированной системы управления и системы передачи информации. Комплекс средств автоматизации обработки информации верхних звеньев управления должен обладать соответствующими средствами управления безопасностью информации в подчиненной ему структуре.

Отметим, что в последнее время в результате совершенствования средств шифрования появилась возможность отказа от средств линейного шифрования и этому способствует концепция защиты информации в автоматизированной системе управления, предложенная в разд. 3.

При построении системы защиты информации в автоматизированной системе управления необходимо определить следующие исходные данные:

  • • структуру, состав и назначение автоматизированной системы управления и ее элементов;
  • • структуру, состав и принципы построения сети передачи информации;
  • • информационные процессы, подлежащие автоматизации;
  • • задачи и функции управления, их распределение между исполнителями;
  • • схему информационных потоков и места сосредоточения информации, подлежащей защите;
  • • структуру, состав и размещение информационной базы автоматизированной системы управления;
  • • перечень и сроки сохранения сведений, подлежащих защите;
  • • состав и выполняемые функции должностных лиц-пользо- вателей;
  • • перечень, форму и количество входных, внутренних и выходных документов;
  • • режим использования автоматизированной системы управления (открытый, закрытый и т. д.);
  • • вероятностно-временные характеристики обработки сообщений;
  • • органы управления и их размещение в автоматизированной системе управления;
  • • органы управления сетью передачи информации и их размещение в автоматизированной системе управления.
 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>