Inicio Explorar Ayuda
Iniciar sesión
u22-26dunaev
/
EASvZI36
forked de ypv/EASvZI
1
0
Fork 0
Archivos
Árbol: 53295760ab
Ramas Etiquetas
EASvZI36
/
Лекции
/
П2.5.300_Разграничение_доступа
/
tyshkevich.md

tyshkevich.md 9.7 KB
Histórico Raw

Разграничение доступа к устройствам

Механизм разграничения доступа к устройствам предназначен для управления доступом к дискам, портам и другим устройствам с целью предотвращения несанкционированной утечки информации с защищаемого компьютера. Для поддержания в актуальном состоянии списка устройств, контролируемых механизмом, используется механизм контроля аппаратной конфигурации.

По умолчанию к устройствам компьютера предоставлен полный доступ трем стандартным группам пользователей: "Система", "Администраторы" и "Все". Т. е. всем пользователям разрешен доступ без ограничений ко всем устройствам, подключенным к компьютеру на момент установки Secret Net 6.

Права доступа складываются из разрешений и запретов на выполнение определенных операций. Набор операций зависит от типа устройства. Если в процессе работы в системе появляется новое устройство, система защиты определяет его и относит к соответствующей группе. Доступ пользователей к этому устройству устанавливается автоматически в соответствии с правилами, действующими для группы или класса устройств.

Механизм разграничения доступа к устройствам может функционировать в трех режимах:

  • "Жесткий" режим. Механизм контролирует все попытки обращения пользователя к устройствам и проверяет права пользователя на доступ к устройству. В журнале Secret Net 6 регистрируются все удачные и неудачные попытки доступа к устройствам. Несанкционированные операции пользователя запрещаются.

  • "Мягкий" режим. Механизм контролирует все попытки обращения пользователя к устройствам и проверяет права пользователя на доступ к устройству. В журнале Secret Net 6 регистрируются все санкционированные и несанкционированные попытки доступа к устройствам. Пользователю разрешаются любые операции с устройствами.

  • Механизм отключен. В этом случае пользователю разрешены все операции с устройствами, и регистрация событий в журнале Secret Net 6 не осуществляется.

Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и т. д. должны быть технически и организационно отделены от основных задач системы. Информационная система в целом, а также комплекс средств автоматизации и организация их обслуживания должны быть построены следующим образом:

  • техническое обслуживание комплекса средств автоматизации в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информации, подлежащей защите;
  • перезагрузка программного обеспечения и всякие его изменения должны производиться специально выделенным для этой цели проверенным специалистом;
  • функции обеспечения безопасности информации должны выполняться специальным подразделением в организации — владельце комплекса средств автоматизации, компьютерной сети, автоматизированной системы управления или информационной системы в целом;
  • организация доступа пользователей к устройствам памяти (хранения) информационной системы должна обеспечивать возможность разграничения доступа к информации, хранящейся на них, с достаточной степенью детализации и в соответствии с заданными уровнями (политиками) полномочий пользователей;
  • регистрация и документирование технологической и оперативной информации должны быть разделены.

При проектировании и эксплуатации комплекса средств автоматизации, автоматизированной системы управления и информационной системы в целом (сети) на их базе производятся:

  • разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации как в рамках данного комплекса средств автоматизации, так и информационной системы в целом;
  • разработка аппаратных средств идентификации и аутентификации пользователя;
  • разработка программных средств контроля и управления разграничением доступа;
  • разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа. В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и комплекса средств автоматизации. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители — электронные ключи или карточки.

###Обычно выделяют следующие методы разграничения доступа:

  • разграничение доступа по спискам;

  • использование матрицы установления полномочий;

  • по уровням секретности и категориям;

  • парольное разграничение доступа.

###На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.

###Заметим, что руководящие документы могут регламентировать два вида (принципа) разграничения доступа:

  • дискретное управление доступом;

  • мандатное управление доступом.

Список литературы

http://certsrv.ru/sn5help.ru/uf_hardware_access_control.htm#:~:text=%D0%9C%D0%B5%D1%85%D0%B0%D0%BD%D0%B8%D0%B7%D0%BC%20%D1%80%D0%B0%D0%B7%D0%B3%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0%20%D0%BA%20%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%B0%D0%BC,%D1%83%D1%82%D0%B5%D1%87%D0%BA%D0%B8%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8%20%D1%81%20%D0%B7%D0%B0%D1%89%D0%B8%D1%89%D0%B0%D0%B5%D0%BC%D0%BE%D0%B3%D0%BE%20%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%B0.

https://studref.com/482340/informatika/razgranichenie_kontrol_dostupa_informatsii_sisteme

https://scask.ru/a_book_ss.php?id=20