Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Основы архитектурного построения систем защиты
Рассмотрим далее основные вопросы архитектурного построения СЗИ, которая, как отмечалось выше, является функциональной подсистемой АСОД. Следовательно, ее архитектура должна быть аналогичной архитектуре АСОД и представлять собой функциональное, организационное и структурное построение. Функциональным построением любой системы называется организованная совокупность тех функций, для регулярного осуществления которых она создается. Под организационным построением понимается общая организация системы, адекватно отражающая концептуальные подходы к ее созданию. Организационно СЗИ состоит из трех частей: механизмов обеспечения защиты информации, механизмов управления механизмами защиты и механизмов общей организации работы системы. В механизмах обеспечения защиты выделяются два организационных компонента: постоянные механизмы и переменные механизмы. При этом под постоянными понимаются такие механизмы, которые встраиваются в компоненты АСОД в процессе создания СЗИ и находятся в рабочем состоянии в течение всего времени функционирования соответствующих компонентов. Переменные же механизмы являются автономными, использование их для решения задач защиты информации предполагает предварительное осуществление операций ввода в состав используемых механизмов. Как показано на рисунке, и встроенные и переменные механизмы могут иметь в своем составе технические, программные и организационные средства обеспечения защиты. Соответственно составу механизмов обеспечения защиты информации, очевидно, должны быть организованы механизмы управления ими что и показано на рисунке. Механизмы общей организации работы СЗИ, как следует из самого названия, предназначены для системной увязки и координации работы всех компонентов СЗИ. В понятие организационного построения СЗИ входит также распределение элементов этой системы по организационно-структурным элементам АСОД. Исходя из этого, в организационном построении СЗИ должны быть предусмотрены подсистемы защиты на объектах (структурных компонентах) АСОД и некоторое управляющее звено, которое специальных публикациях получило название ядра СЗИ. В качестве типовых объектов (самостоятельных структурных элементов) выделяются: терминалы пользователей (или персонала ЭВМ); групповая машина (групповой абонентский пункт); узел связи; линия связи; большой машинный зал; зона ВЗУ; зона приема-выдачи информации по неавтоматизированным каналам связи; зона подготовки данных; хранилище носителей. Ядро системы защиты есть специальный компонент, предназначенный для объединения всех подсистем СЗИ в единую целостную систему организации, обеспечения и контроля ее функционирования. Функции ядра СЗИ: организация и обеспечение блокирования бесконтрольного доступа к базам защищаемых данных; включение компонентов СЗИ в работу при поступлении запросов на обработку защищаемых данных; управление работой СЗИ в процессе обработки защищаемых данных; организация и обеспечение проверок правильности функционирования. СЗИ; организация и ведение массивов эталонных данных СЗИ; обеспечение реагирования на сигналы о несанкционированных действиях; ведение про соколов СЗИ. Выполнение функций ядра СЗИ осуществляется следующим образом: 1. Блокирование бесконтрольного доступа к базам защищаемых данных: 1.1. Помещения АСОД и отдельные их элементы оборудуются средствами охранной сигнализации, пульт управления которыми входит в состав технического обеспечения ядра; 1.2. Носители с защищаемыми данными хранятся в охраняемом помещении и отдельно от носителей с незащищаемыми данными; 1.3. Для установки носителей с защищаемыми данными выделяются строго определенные устройства управления ВЗУ; 1.4. На устройства оборудуются специальными замками, управление которыми осуществляется средствами ядра 2. Включение компонентов СЗИ в работу при поступлении запросов на обработку защищаемых данных: 2.1. Включаются все замки, регулирующие доступ людей в помещения АСОД; 2.2. Загружаются ОС, СУБД и другие компоненты общесистемного программного обеспечения версиями, аттестованными для обслуживания обработки защищаемых данных; 2.3. Инициируется пакет программ СЗИ; 2.4. Включаются в рабочее состояние средства сигнализации СЗИ; 3. Управление работой СЗИ в процессе обработки защищаемых данных: 3.1. Осуществляется динамическое ведение и распределение эталонных данных СЗИ; 3.2. Инициируются технологические схемы функционирования СЗИ в соответствии с характером запроса на обработку защищаемых данных; 3.3. Обеспечивается последовательная передача управления участкам технологических схем защиты; 4. Организация и обеспечение проверок правильности функционирования СЗИ: 4.1. Аппаратных средств - по тестовым программам и организационно; 4.2. Физических средств - организационно; 4.3. Программных средств по специальным контрольным суммам (на целостность и по другим идентифицирующим признакам; 4.4. Регистрационных журналов - программно и организационно на целостность и защищенность; 4.5. Организационных средств защиты - организационно сотрудниками служб защиты; 5. Организация и ведение массивов эталонных данных СЗИ осуществляется службой защиты; 6. Обеспечение реагирования на сигналы о несанкционированных действиях: 6.1. Средства ядра должны обеспечивать регистрацию всех сигналов о несанкционированных действиях в любом структурном элементе АСОД, причем могут быть предусмотрены следующие виды реагирования: · Звуковая; · Световая; · Документальная; 6.2. Зарегистрированный сигнал должен содержать следующую информацию: · Место несанкционированного действия, · Время действия и характер действия; 6.3. Реагирование на сигналы должно обеспечивать прерывание обработки защищаемых данных, уничтожение информации в тех устройствах, которые могут быть доступны вследствие обнаруженных несанкционированных действий, и принятие мер для задержания нарушителя; 7. Ведение протоколов СЗИ заключается в записи в ЗУ ядра следующей информации: 7.1. Время включения и выключения СЗИ; 7.2. Время, характер и результаты работы СЗИ; 7.3. Сведения о запросах на обработку защищаемых данных: · Время, · Шифр терминала, пользователя, массива данных, программ, использовавшихся при обработке, · Название (шифр) и гриф секретности выдаваемых документов, · Сведения о попытках несанкционированного доступа. Содержание выделенных структурных компонентов в общем виде может быть представлено следующим образом. Человеческий компонент составляют те лица (или группы лиц, коллективы, подразделения), которые имеют непосредственное отношение к защите информации в процессе функционирования АСОД. К ним должны быть отнесены: 1. Пользователи АСОД, имеющие доступ к ее ресурсам и участвующие в обработке информации; 2. Администрация АСОД, обеспечивающая общую организацию функционирования системы обработки, в том числе и СЗИ; 3. Диспетчеры и операторы АСОД, осуществляющие прием информации, подготовку ее к обработке, управление средствами ВТ в процессе обработки, контроль и распределение результатов обработки, а также некоторые другие процедуры, связанные с циркуляцией информационных потоков; 4. Администраторы банков данных, отвечающие за организацию, ведение и использование баз данных АСОД; 5. Обслуживающий персонал, обеспечивающий работу технических средств АСОД, в том числе и средств СЗИ; 6. Системные программисты, осуществляющие управление программным обеспечением АСОД; 7. Служба защиты информации, специально создаваемая для организации и обеспечения защиты информации. Эта служба играет ведущую роль в защите информации, что и отмечено на рис.5.12.1 особым положением этой службы в человеческом компоненте СЗИ. Она несет полную ответственность за защиту информации и имеет особые полномочия. Если служба защиты в виде самостоятельного подразделения не создается, то ее функции должны быть возложены на администрацию банков данных с соответствующим изменением ее организационно-правового статуса. Рис. 5.12.1. Общая структурная схема системы защиты информации. Ресурсы информационно-вычислительной системы, необходимые для создания и поддержания функционирования СЗИ, как и любой другой автоматизированной системы, объединяются в техническое, математическое, программное, информационное и лингвистическое обеспечение. Состав и содержание перечисленных видов обеспечения определяются следующим образом: 1. Техническое обеспечение - совокупность технических средств, необходимых для технической поддержки решения всех тех задач защиты информации, решение которых может потребоваться в процессе функционирования СЗИ. В техническое обеспечение СЗИ, естественно, должны быть включены все технические средства защиты, которые могут оказаться необходимыми в конкретной СЗИ. Кроме того, к ним относятся те технические средства, которые необходимы решения задач управления механизмами защиты информации; 2. Математическое обеспечение - совокупность математических методов, моделей и алгоритмов, необходимых для оценок уровня защищенности информации и решения других задач защиты; 3. Программное обеспечение - совокупность программ, реализующих программные средства защиты, а также программ, необходимых для решения задач управления механизмами защиты. К ним должны быть! отнесены также сервисные и вспомогательные программы СЗИ; 4. Информационное обеспечение - совокупность систем классификации и кодирования данных о защите информации, массивы данных СЗИ, а также входные и выходные документы СЗИ; 5. Лингвистическое обеспечение - совокупность языковых средств, необходимых для обеспечения взаимодействия компонентов СЗИ между) собой, с компонентами АСОД и с внешней средой. Организационно-правовое обеспечение, как компонент СЗИ, представляет собою организованные совокупности организационно-технических мероприятий и организационно-правовых актов. Организационно-технические мероприятия, с одной стороны, участвуют в непосредственном решении задач защиты (чисто организационными средствами или совместно с другими средствами защиты), а с другой - объединяют все средства в единые комплексы защиты информации. Организационно-правовые акты являются правовой основой, регламентирующей и регулирующей функционирование всех элементов СЗИ. В целом же организационно-правовое обеспечение служит для объединения всех компонентов в единую систему защиты. Популярное:
|
Последнее изменение этой страницы: 2016-04-11; Просмотров: 1394; Нарушение авторского права страницы