Распределение средств защиты информации и информационных процессов в компьютерных сетях

Точки приложения преднамеренных воздействий связаны прежде всего со входами в систему и выходами информации из нее, т.е. «периметром» системы. Эти входы и выходы могут быть законными и незаконными т.е.:

· все перечисленные штатные средства при незаконном использовании;

· технологические пульты и органы управления;

· внутренний монтаж аппаратуры;

· линии связи между аппаратными средствами КС;

· побочные электромагнитное излучение;

· побочные наводки на сетях электропитания и заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи КС;

· внешние каналы связи.

Анализ компьютерных систем как объекта защиты, возможных каналов несанкционированного доступа (ВКНСД) к информации ограниченного пользования и потенциальных угроз позволяет выбрать и построить соответствующую систему защиты.

Возможные каналы несанкционированного доступа со стороны пользователя-нарушителя требуют создания на программном уровне системы опознания и разграничения доступа к информации со всеми ее атрибутами: средствами идентификации и аутентификации пользователей, а также разграничения их полномочий по доступу к информации файл-сервера и (или) другим субъектом данной сети.

Средства защиты сети позволяют устанавливать, кто имеет право доступа к конкретным каталогам и файлам. При этом защита данных файл-сервера осуществляется одним способом или в различных сочетаниях четырьмя уровнями.

Первым уровнем сетевой защиты является защита данныхвходным паролем. Защита при входе в сеть применяется по отношению ко всем пользователям.

Администратор безопасности уполномочен установку дополнительных ограничений по входу в сеть:

• период времени, в течение которого пользователь может входить в сеть;

• назначение рабочим станциям специального адреса, с которыми разрешено входить в сеть;

• ограничение количества рабочих станций, с которых можно выйти в сеть;

• установка режима «запрета постороннего вторжения», когда при нескольких несанкционированных попытках с неверным паролем устанавливается запрет на вход в сеть.

Второй уровень защиты данных в сети —попечительская защита данных при работе с файлами в заданном каталоге.

Третий уровень защиты данных в каталоге. Каждый каталог имеет «маску максимальных прав». Ограничения каталога применяются только в одном заданном каталоге. Защита в каталоге не распространяется на его подкаталоги.

Четвертый уровень - защита атрибутами файлов. Защита атрибутами файлов используется в основном для предотвращения случайных изменений или удаления отдельных файлов. В защите данных используются четыре файловых атрибута: «Запись-Чтение/Только чтение» и «Разделяемый/Неразделяемый».

Чтобы исключить возможность обхода систем опознания и разграничения доступа в КС и сетях путем применения отладочных программ, а также проникновения компьютерных вирусов, рекомендуется их работа без дисководов.

Перечисленные уровни защиты, предназначенные для перекрытия ВКНСД к информации, будут выполнять свою задачу, если они составляют замкнутый уровень защиты.

Для расчета и оценки уровня безопасности информации в компьютерной системы предлагается в зависимости от заданной модели нарушителя, ценности и важности обрабатываемой информации использовать три класса защиты. Распределение средств защиты по ВКНСД приведена в таблице 6.1.

Таблица 6. 1 - Распределение средств защиты по ВКНСД

Наименование ВКНСД	Средства защиты	Прочность	Класс защиты
I	II	III
ВКНСД элемента сети (ПЭВМ)	Система безопасности информации элемента сети (ПЭВМ)	Gpc	+	+	+
ВКНСД сервера	Средства контроля доступа на территорию объекта	Р1	+	+	+
Средства контроля доступа в помещение сервера	Р2	+	+	—
Программа контроля и разграничения доступа к информации ЛВС	Р3	+	+	+
Средства шифрования	P4	+	—	—
Организационные мероприятия	P5	+	+	+
ВКНСД со стороны средств контроля и управления конфигурацией, адресными таблицами и функциональным контролем ЛВС	Средства контроля доступа на территорию объекта	Р1	+	+	+
Средства контроля доступа в помещение администратора	P2	+	+	—
Программа опознания и контроля доступа к информации ПЭВМ	P6	+	+	+
Программа контроля и разграничения доступа к информации ЛВС	Р3	+	+	+
Средства контроля целостности ЛВС	P7	+	+	—
ВКНСД со стороны линий связи ЛВС	Средства контроля доступа на территорию объекта	Р1	+	+	+
Организационные мероприятия	P5	+	+	—
Система шифрования	P4	+	—	—
ВКНСД со стороны аппаратуры передачи данных в каналы связи, концентраторов, мостов, коммутаторов и т. д.	Средства контроля доступа на территорию объекта	Рi	+	+	+
Средства контроля доступа в помещение	Р2	+	-	-
Средства контроля вскрытия аппаратуры	Р8	+	—	—
Оргмероприятия	P5	+	+	+
ВКНСД к информации за счет ПЭМИН	Средства контроля доступа на территорию объекта	Р1	+	—	—
Средства уменьшения и зашумления сигналов, несущих секретную информацию	P9	+	—	—
ВКНСД со стороны каналов связи и трактов передачи данных	Средства защиты в каналах связи	Ркс	+	+	+
Средства защиты информации в трактах передачи данных	Рпд	+	+	+
ВКНСД со стороны средств контроля и управления безопасностью информации в ЛВС	Средства контроля доступа на территорию объекта	P1	+	+	+
Средства контроля доступа в помещение	Р1	+	+	-
Программа опознания и контроля доступа к информации ПЭВМ	Р6	+	+	+
Программа контроля и разграничения доступа к информации ЛВС	р3	+	+	+
Средства контроля целостности ЛВС	p7	+	+	—
Средства шифрования информации в ПЭВМ	Р10	+	—	—
Средства шифрования информации ЛВС	P4	+	—	—
Оргмероприятия	P5	+	+	+

Примечания: 1. Знак "+" означает наличие средства защиты, знак «—» — отсутствие средства защиты.

2. Считается, что все помещения оборудованы системой контроля одного типа.