ПОДСИСТЕМА РАЗГРАНИЧЕНИЯ ДОСТУПА - Разработка модели программно-аппаратной защиты на предприятии

Разграничение доступа очень эффективный способ сохранения ресурсов системы от утечек и несанкционированного доступа. Существует множество программно-аппаратных решений. В зависимости от ценовой политики и требований к основным возможностям рекомендую подобрать систему разграничения доступа. Например, система "Криптон-Щит". Данная система соответствует всем требованиям руководящих документов Гостехкомиссии (ФСТЭК России) по уровню защиты гостайны - реализуя мандатный принцип разграничения доступа по набору иерархических и неиерархических категорий и используя полную матрицу доступа "пользователи-процессы-ресурсы". Сама система представляет собой аппаратно-программный комплекс средств защиты информации, предназначенный для защиты от несанкционированного доступа к информации в 32 и 64-битных операционных системах Microsoft Windows. "КРИПТОН-ЩИТ" функционирует как на автономных персональных компьютерах, так и на средствах вычислительной техники, объединенных в локальную сеть.

Основные возможности системы включают в себя идентификацию и аутентификацию пользователей:

    - Реализована единая и одноразовая идентификация и аутентификация для пользователя, с формированием профиля прав доступа; - Контроль доступа к ресурсам компьютера; - Контроль целостности операционной среды методом контрольного суммирования; - Мандатный и дискреционный принцип разграничения доступа к ресурсам ОС; - Интегрированная настройка и описание пользователей, прав доступа пользователей к ресурсам; - Автоматическая блокировка доступа к ресурсам персонального компьютера во время отсутствия пользователя (период неактивности пользователя, характеризующийся отсутствием работы с клавишами клавиатуры и мыши); - Возможность трассировки обращений к ресурсам программного обеспечения в специальном отладочном режиме; - Разграничение доступа к процедурам (программам); - Обеспечение единого интерфейса пользователя для работы с процедурами (программами), одновременно выполняющего разграничение доступа к процедурам для каждой категории пользователя; - Ролевая модель разграничения доступа к процедурам (программам); - Поддержка многошаговых процедур с возможностью наследования полномочий и без него.

Компоненты, входящие в систему разграничения доступа "КРИПТОН-ЩИТ":

    - Подсистема контроля целостности эталонного программного обеспечения, интегрированная с аппаратными средствами (КРИПТОН-ЗАМОК/У); - Подсистема идентификации и аутентификации пользователей, интегрированная с аппаратными средствами (КРИПТОН-ЗАМОК/У); - Подсистема разграничения доступа к процедурам (диспетчер меню), реализующая ролевую модель, и рабочим станциям; - Подсистема разграничения доступа к ресурсам операционной системы, реализующая дискреционный и мандатный принцип доступа; - Подсистема управления, реализующая контроль исполнения процессов (процедур) в системе; - Подсистема протоколирования работы пользователя и фиксации событий несанкционированного доступа в специальном журнале учета; - Средства администратора защиты и программиста сопровождения по настройке прав доступа пользователей к процедурам и ресурсам системы и другие служебные утилиты; - Средства получения справок о событиях и попытках НСД в системе; - Программа реализации паузы неактивности, обеспечивающая блокировку персонального компьютера во время отсутствия пользователя.

Архитектура системы представлена на рисунке

Другим примером подсистемы разграничения доступа является "Аккорд-РАУ"- это программное обеспечение для автоматизации управления защитой информации в автоматизированной системе. Она объединяет Автоматизированное рабочее место администратора безопасности информации (АРМ АБИ) и пользовательские терминалы, оснащенные средствами защиты информации семейства "АККОРД".

К основным возможностям относятся:

    - Оперативное наблюдение и управление 1. получать информацию о том, кто работает на данной станции, о версии ОС, под управлением которой идет работа, о списке задач, которые выполняются на этой станции в текущий момент времени; 2. просматривать все события подсистемы разграничения доступа со всех станций в одном окне; 3. при необходимости детального анализа работы одной станции, получать все поступающие события в отдельное окно; 4. выбирать для просмотра только те рабочие станции или только те события, которые в данный момент представляют особенный интерес; 5. оперативно изменять уровень детальности журнала на рабочих станциях; 6. просматривать экран выбранной рабочей станции; 7. просматривать диски рабочих станций (до уровня файлов). - Оперативное управление работой пользователя - это возможность:
      1. посылать пользователю сообщения; 2. обмениваться с пользователем файлами; 3. включать пользователю Screensaver, который может быть разблокирован только TM-идентификатором АБИ; 4. управлять "мышью" и клавиатурой рабочих станций; 5. перегружать рабочие станции.
    - Удаленное администрирование (Централизованный сбор журналов регистрации СЗИ НСД Аккорд) 1. получение журналов подсистемы разграничения доступа с рабочих станций; 2. получение журналов контроллеров АМДЗ с рабочих станций; 3. осуществление очистки журналов регистрации. - Работа со списком зарегистрированных рабочих станциях 1. редактирование списка станций ; 2. рассылка обновленного списка по рабочим станциям - Работа с базами пользователей и файлами конфигурации на рабочих станциях 1. получение файлов конфигурации с выбранной станции; 2. редактирование и замену файлов конфигурации выбранной станции; 3. редактирование базы пользователей рабочих станций на АРМ: 4. удаление пользователей станции или изменение настроек их полномочий, 5. добавление новых пользователей станции и назначение им полномочий; 6. синхронизация баз пользователей на рабочих станциях (в том числе, находящиеся в контроллерах) 7. сразу после изменения базы или в момент начала работы рабочей станции.

Похожие статьи




ПОДСИСТЕМА РАЗГРАНИЧЕНИЯ ДОСТУПА - Разработка модели программно-аппаратной защиты на предприятии

Предыдущая | Следующая