Основы архитектурного построения систем защиты

Рассмотрим далее основные вопросы архитектурного построения СЗИ, которая, как отмечалось выше, является функциональной подсисте­мой АСОД. Следовательно, ее архитектура должна быть аналогичной архитектуре АСОД и представлять собой функциональное, организаци­онное и структурное построение.

Функциональным построением любой системы называется органи­зованная совокупность тех функций, для регулярного осуществления ко­торых она создается.

Под организационным построением понимается общая организа­ция системы, адекватно отражающая концептуальные подходы к ее соз­данию. Организационно СЗИ состоит из трех частей: механизмов обеспечения защиты информации, механизмов управления механизмами защиты и механизмов общей организации работы системы.

В механизмах обеспечения защиты выделяются два организацион­ных компонента: постоянные механизмы и переменные механизмы. При этом под постоянными понимаются такие механизмы, которые встраи­ваются в компоненты АСОД в процессе создания СЗИ и находятся в ра­бочем состоянии в течение всего времени функционирования соответ­ствующих компонентов. Переменные же механизмы являются автономными, использование их для решения задач защиты информации предпо­лагает предварительное осуществление операций ввода в состав исполь­зуемых механизмов. Как показано на рисунке, и встроенные и перемен­ные механизмы могут иметь в своем составе технические, программные и организационные средства обеспечения защиты.

Соответственно составу механизмов обеспечения защиты информа­ции, очевидно, должны быть организованы механизмы управления ими что и показано на рисунке.

Механизмы общей организации работы СЗИ, как следует из самого названия, предназначены для системной увязки и координации работы всех компонентов СЗИ.

В понятие организационного построения СЗИ входит также рас­пределение элементов этой системы по организационно-структурным элементам АСОД. Исходя из этого, в организационном построении СЗИ должны быть предусмотрены подсистемы защиты на объектах (струк­турных компонентах) АСОД и некоторое управляющее звено, которое специальных публикациях получило название ядра СЗИ.

В качестве типовых объектов (самостоятельных структурных эле­ментов) выделяются: терминалы пользователей (или персонала ЭВМ); групповая машина (групповой абонентский пункт); узел связи; линия связи; большой машинный зал; зона ВЗУ; зона приема-выдачи информации по неавтоматизированным каналам связи; зона подготовки данных; хра­нилище носителей.

Ядро системы защиты есть специальный компонент, предназначен­ный для объединения всех подсистем СЗИ в единую целостную систему организации, обеспечения и контроля ее функционирования. Функции ядра СЗИ: организация и обеспечение блокирования бесконтрольного доступа к базам защищаемых данных; включение компонентов СЗИ в ра­боту при поступлении запросов на обработку защищаемых данных; управление работой СЗИ в процессе обработки защищаемых данных; ор­ганизация и обеспечение проверок правильности функционирования. СЗИ; организация и ведение массивов эталонных данных СЗИ; обеспече­ние реагирования на сигналы о несанкционированных действиях; ведение про соколов СЗИ.

Выполнение функций ядра СЗИ осуществляется следующим образом:

1. Блокирование бесконтрольного доступа к базам защищаемых данных:

1.1. Помещения АСОД и отдельные их элементы оборудуются средствами охранной сигнализации, пульт управления которыми входит в состав технического обеспечения ядра;

1.2. Носители с защищаемыми дан­ными хранятся в охраняемом помещении и отдельно от носителей с незащищаемыми данными;

1.3. Для установки носителей с защищаемыми данными выделяются строго определенные устройства управления ВЗУ;

1.4. На устройства оборудуются специальными замками, управление которыми осуществляется средствами ядра

2. Включение компонентов СЗИ в работу при поступлении запросов на обработку защищаемых данных:

2.1. Включаются все замки, регулирую­щие доступ людей в помещения АСОД;

2.2. Загружаются ОС, СУБД и другие компоненты общесистемного программного обеспечения версиями, атте­стованными для обслуживания обработки защищаемых данных;

2.3. Иниции­руется пакет программ СЗИ;

2.4. Включаются в рабочее состояние средства сигнализации СЗИ;

3. Управление работой СЗИ в процессе обработки защищаемых данных:

3.1. Осуществляется динамическое ведение и распределение эталон­ных данных СЗИ;

3.2. Инициируются технологические схемы функциониро­вания СЗИ в соответствии с характером запроса на обработку защи­щаемых данных;

3.3. Обеспечивается последовательная передача управления участкам технологических схем защиты;

4. Организация и обеспечение проверок правильности функциони­рования СЗИ:

4.1. Аппаратных средств - по тестовым программам и органи­зационно;

4.2. Физических средств - организационно;

4.3. Программных средств по специальным контрольным суммам (на целостность и по другим идентифицирующим признакам;

4.4. Регистрационных журналов - про­граммно и организационно на целостность и защищенность;

4.5. Организаци­онных средств защиты - организационно сотрудниками служб защиты;

5. Организация и ведение массивов эталонных данных СЗИ осу­ществляется службой защиты;

6. Обеспечение реагирования на сигналы о несанкционированных действиях:

6.1. Средства ядра должны обеспечивать регистрацию всех сигна­лов о несанкционированных действиях в любом структурном элементе АСОД, причем могут быть предусмотрены следующие виды реагирова­ния:

· Звуковая;

· Световая;

· Документальная;

6.2. Зарегистрированный сигнал должен содержать следующую информацию:

· Место несанкционированно­го действия,

· Время действия и характер действия;

6.3. Реагирование на сигна­лы должно обеспечивать прерывание обработки защищаемых данных, уничтожение информации в тех устройствах, которые могут быть до­ступны вследствие обнаруженных несанкционированных действий, и принятие мер для задержания нарушителя;

7. Ведение протоколов СЗИ заключается в записи в ЗУ ядра сле­дующей информации:

7.1. Время включения и выключения СЗИ;

7.2. Время, характер и результаты работы СЗИ;

7.3. Сведения о запросах на обработку защищаемых данных:

· Время,

· Шифр терминала, пользователя, массива данных, программ, использовавшихся при обработке,

· Название (шифр) и гриф секретности выдаваемых документов,

· Сведения о попытках несанкционированного доступа.

Содержание выделенных структурных компонентов в общем виде может быть представлено следующим образом. Человеческий компонент составляют те лица (или группы лиц, коллективы, подразделения), кото­рые имеют непосредственное отношение к защите информации в процессе функционирования АСОД. К ним должны быть отнесены:

1. Пользовате­ли АСОД, имеющие доступ к ее ресурсам и участвующие в обработке ин­формации;

2. Администрация АСОД, обеспечивающая общую организа­цию функционирования системы обработки, в том числе и СЗИ;

3. Дис­петчеры и операторы АСОД, осуществляющие прием информации, под­готовку ее к обработке, управление средствами ВТ в процессе обработки, контроль и распределение результатов обработки, а также некоторые другие процедуры, связанные с циркуляцией информационных потоков;

4. Администраторы банков данных, отвечающие за организацию, ведение и использование баз данных АСОД;

5. Обслуживающий персонал, обес­печивающий работу технических средств АСОД, в том числе и средств СЗИ;

6. Системные программисты, осуществляющие управление про­граммным обеспечением АСОД;

7. Служба защиты информации, специ­ально создаваемая для организации и обеспечения защиты информации.

Эта служба играет ведущую роль в защите информации, что и отмечено на рис.5.12.1 особым положением этой службы в человеческом компоненте СЗИ. Она несет полную ответственность за защиту информации и имеет особые полномочия. Если служба защиты в виде самостоятельного под­разделения не создается, то ее функции должны быть возложены на ад­министрацию банков данных с соответствующим изменением ее органи­зационно-правового статуса.

Рис. 5.12.1. Общая структурная схема системы защиты информации.

Ресурсы информационно-вычислительной системы, необходимые для создания и поддержания функционирования СЗИ, как и любой дру­гой автоматизированной системы, объединяются в техническое, матема­тическое, программное, информационное и лингвистическое обеспечение. Состав и содержание перечисленных видов обеспечения определяются следующим образом:

1. Техническое обеспечение - совокупность технических средств, не­обходимых для технической поддержки решения всех тех задач защиты информации, решение которых может потребоваться в процессе функ­ционирования СЗИ. В техническое обеспечение СЗИ, естественно, должны быть включены все технические средства защиты, которые могут оказаться необходимыми в конкретной СЗИ. Кроме того, к ним относятся те технические средства, которые необходимы решения задач управления механизмами защиты информации;

2. Математическое обеспечение - совокупность математических методов, моделей и алгоритмов, необходимых для оценок уровня защищенности информации и решения других задач защиты;

3. Программное обеспечение - совокупность программ, реализующих программные средства защиты, а также программ, необходимых для решения задач управления механизмами защиты. К ним должны быть! отнесены также сервисные и вспомогательные программы СЗИ;

4. Информационное обеспечение - совокупность систем классификации и кодирования данных о защите информации, массивы данных СЗИ, а также входные и выходные документы СЗИ;

5. Лингвистическое обеспечение - совокупность языковых средств, необходимых для обеспечения взаимодействия компонентов СЗИ между) собой, с компонентами АСОД и с внешней средой.

Организационно-правовое обеспечение, как компонент СЗИ, пред­ставляет собою организованные совокупности организационно-технических мероприятий и организационно-правовых актов. Организацион­но-технические мероприятия, с одной стороны, участвуют в непосредст­венном решении задач защиты (чисто организационными средствами или совместно с другими средствами защиты), а с другой - объединяют все средства в единые комплексы защиты информации.

Организационно-правовые акты являются правовой основой, рег­ламентирующей и регулирующей функционирование всех элементов СЗИ. В целом же организационно-правовое обеспечение служит для объединения всех компонентов в единую систему защиты.

⇐ Предыдущая21222324252627282930Следующая ⇒

Поделиться:

Популярное:

1. B. Функции языка как театральной коммуникативной системы
2. I. Основы экономики и организации торговли
3. I. ФИЛОСОФИЯ ПРАВА В СИСТЕМЕ НАУК
4. II этап. Обоснование системы показателей для комплексной оценки, их классификация.
5. II. НЕПОСРЕДСТВЕННОЕ ОБСЛЕДОВАНИЕ ДЫХАТЕЛЬНОЙ СИСТЕМЫ У ДЕТЕЙ
6. LANGUAGE IN USE - Повторение грамматики: система времен английских глаголов в активном залоге
7. Linux - это операционная система, в основе которой лежит лежит ядро, разработанное Линусом Торвальдсом (Linus Torvalds).
8. SWIFT как система передачи данных.
9. VI. ОРАТОРСКАЯ РЕЧЬ В СИСТЕМЕ
10. VI. Приемно-комплексная система
11. VI. Разработка теории систем и теории компромиссов
12. VI. Разработка теории систем и теории компромиссов