Файл: лекции по ксзи.pdf

11.5.2.  Осуществление доступа субъекта  к объекту

Последовательность  операций  по  доступу  субъекта  к  объекту 

похожа  на  последовательность при  создании  объекта.  Субъект не 
может самостоятельно  осуществить доступ,  все  запросы  перехва­

тывает АРД 

(Ard).

1. 

Comm(Sj)

—

—

>Oj.

2

.

Authent(Ard) ->

5

,.

3.  Если  результат  положительный,  то 

Quest 

c

q

(ArJ)

 —> 

Ad.

4- 

RPl 0

, ^ Art­

'S.

  Если  ответ положительный,  то 

Comm(Sj)

—

—

>Oh

Назовем  активным  объект,  способный  порождать  субъекты. 

Такие  объекты  могли  бы  самостоятельно  контролировать доступ 
к  себе,  но  это  противоречит  предлагаемой  модели  безопасности 

(все  контролирует АРД).  В  таком  случае  АРД  просто должен  со­

общить  объекту о  разрешении  к нему доступа субъекта.

11.5.3.  Взаимодействие с  внешними  сетями

Пусть  субъект  желает  передать  свои  данные  в  другую  локаль­

ную  сеть.

1. 

Comm(Si)

— 4 * ^ Л*,  где 

Avs  -

  ABC.

2

.

Authent(Ard)

 - »

Sh

3.  Если  результат  положительный,  то 

Quests  ^ ( А ^ )   —> Ad-

4- 

R

p

I

s

„

a

M ^  

Ard,Avs.

5.  Если  ответ положительный,  то 

Comm(S

, )—

—> 

Avs.

Таким образом,  при  посредничестве АРД и АУД субъект полу­

чил доступ  к ABC.  Теперь он  начинает взаимодействовать с этим 
администратором.  АУД  уже  сообщил  ABC  права  и  атрибуты  без­
опасности субъекта. Атрибуты безопасности нужны для того, что­
бы ABC самостоятельно выполнил аутентификацию,  иначе суще­
ствует  опасность  атаки  с  перехватом  сессии  после  аутентифика­
ции.

6

.

Quest (Avs)

 -> 

5

,.

7. 

Rpl(Sj) —> Ars;  Quest(Sj)

—

—

>АЮ

  (одновременно  с  отве­

том  на  запрос  аутентификации  субъект  посылает  запрос  на  вы­
полнение  действий).

8.  Если  результат  аутентификации  положительный  и  запрос 

субъекта  соответствует  его  правам,  то  ABC  дает  разрешение  на 

выполнение  передачи данных (или,  например,  на доступ  к серве­

ру  электронной  почты):

9. 

R p K A J ^ S i .

Если  пользователь  желает  передать  данные  в  другую  локаль­

ную  сеть,  то  перед  этим  ABC  устанавливает  безопасное  соедине­
ние  с  ABC  другой  локальной  сети,  которую  запросил  пользова­
тель.  При этом выполняется протокол взаимной аутентификации, 
возможно,  с  выработкой  сессионного  ключа,  который  здесь  не 
рассматривается.

10. ABC передает АБС другой сети адрес  вызываемого субъекта:

IP_addr(Aus)

  -> 

AVSi.

11. ABC другой сети  находит в своей  базе нужного пользовате­

ля,  устанавливает  с  ним  связь,  аутентифицирует  его  и  дает  под­
тверждение  ABC  «нашей»  сети  о  готовности  к  приему данных:

RplIP_addr(Aus^)  У A

vs

2'

12.  Пользователь посылает данные ABC,  a ABC —по зашифро­

ванному каналу ABC другой сети.  ABC другой сети расшифровы­
вает данные  и  пересылает  их  пользователю.  В  обратную  сторону 
идут  квитанции,  подтверждающие  прием  пакетов  сообщения.

Примерно  так  же  происходит  прием  сообщений  из  внешней 

сети.  Вначале  аутентифицируется  ABC  другой  сети  (без  участия 

АУД,  АРД),  затем  проверяется  субъект  «нашей  сети»  (с  участием 
АРД,  АУД),  устанавливаются  защищенные  соединения  и  прини­

маются данные.

11.5.4.  Удаление  субъекта — объекта

При  удалении  может  не  происходить  полного  уничтожения 

субъекта  и  объекта,  записи  о  них  переносятся  в  резервную  об­

ласть  памяти,  где  хранятся  в  течение  обусловленного  времени. 

Конечно,  чаще  всего  фактически  выполняется  удаление  только 

субъекта  или  только  объекта,  но  и  эти  случаи  можно  рассматри­
вать  как удаление  пары  субъект—объект.

Опишем  сценарий  удаления  субъекта,  который  является  по 

существу  обратным  последовательности  его  создания.

I. 

Вначале выполняется уничтожение объектов, ассоциирован­

ных только  с  этим  субъектом  и  не  являющихся  нужными другим. 

Например,  таким  объектом  может  стать  личная  папка  (файлы) 

пользователя.  Данная  операция  осуществляется  под  управлением 
администратора сети 

Modify(As)

 -> 0 , где 0  означает пустой объект.

2. Удаление у субъекта атрибутов информационной безопасно­

сти  и  прав  доступа  осуществляет АУД  после  получения управле­
ния  от  администратора  сети,  подтверждающего  факт  обнуления

объекта: 

DelAttribs (A d

) — 4—>5,.

3.  Удаление  «нулевой»  пары  субъект—объект  (модификация 

базы данных АУД)  производится АУД:

Modify(As)

  -> 

Оы.

С  помощью  введенных  формальных  операций  можно описать 

поведение  АС  в  соответствии  с  разработанной  политикой  без­
опасности.  При  выполнении  требований  обеспечения  информа­

ционной безопасности,  предъявляемых к объектам и субъектам,  а 
также к процедурам взаимодействия с ними, АС будет находиться 
в безопасном состоянии,  в рамках выполнения описанного набо­

ра операций.  В итоге использования модели удается сформулиро­

вать набор априорно неочевидных требований к компонентам сети 
и  системе  защиты.  Совокупности  этих требований  должны  отве­

чать  компоненты  сети  и  проектируемая  система  защиты.

Г л а в а   12

Технологическое

и  организационное  построение  КСЗИ

12.1.  Общее  содержание  работ

по  организации  КСЗИ

Как  говорилось  ранее  (см.  гл.  5),  при  создании  комплексной 

системы  защиты  информации  ограниченного  доступа  защищать 
необходимо  все  компоненты  информационной  структуры  пред­
приятия  —  документы,  сети  связи,  персонал  и  т.д.

Основные  организационно-методические  мероприятия  по  со­

зданию  и  поддержанию  функционирования  комплексной  систе­
мы  защиты:

• создание службы защиты информации,  включая подбор, рас­

становку и  обучение  ее  персонала;

•  создание  основных  нормативных  и  организационно-распо­

рядительных  документов,  необходимых  для  организации  комп­

лексной  системы  защиты  информации.

КСЗИ  предприятия  целесообразно  строить  с  учетом  реальных 

угроз,  в  результате  осуществления  которых  предприятию  (или  в 
отношении  государственной  тайны  —  государству)  может  быть 

нанесен  ущерб.

Наиболее  значимыми  угрозами  информационной  безопасно­

сти  предприятия  являются  (в  порядке,  соответствующем  частоте 
проявления):

•  непреднамеренные  ошибочные  действия  сотрудников  пред­

приятия;

•  злоумышленные  действия  сотрудников  предприятия;

•  неправомерные  действия  третьих  лиц  (в  том  числе  государ­

ственных  органов,  контрагентов,  клиентов  предприятия);

•  проявления  ошибок  в  программном  обеспечении,  отказы  и 

сбои  технических  средств,  аварии.

КСЗИ  предприятия  необходимо  строить  с  учетом  того,  что:

• основной задачей обеспечения ЗИ должна быть защита инте­

ресов  предприятия,  его  персонала,  контрагентов  и  клиентов  от 

нанесения  им  ущерба  (материального,  морального,  физического 
и  др.)  путем  неправомерного  использования  информации  или 
воздействия  на  нее;

• интересы предприятия в информационной сфере должны быть 

юридически  защищены  от  противоправных действий  со  стороны 
персонала,  контрагентов,  клиентов  и  третьих  лиц  с  учетом  и  на 
основании  нормативно-правовых актов в информационной сфере;

•  сотрудники  и  командированные лица  на  предприятии долж­

ны быть допущены только к той информации и техническим сред­
ствам ее обработки, которые необходимы им для выполнения слу­

жебных  обязанностей  (принцип  Need-to-Know);

• действия персонала предприятия  с  носителями  и источника­

ми  информации  ограниченного доступа должны  регистрировать­
ся  в  целях  получения  объективных данных и  определения  ответ­

ственного  за  совершение  того  или  иного  противоправного  дей­

ствия;

• дифференциация защиты информации с учетом ее  ценности, 

реальности  реализации угроз (принцип разумной достаточности), 
затраты  не  должны  превышать  возможный  ущерб;

• защита информации должна осуществляться на всех этапах ее 

жизненного  цикла,  комплексно  и  всесторонне.

КСЗИ должна  обеспечивать:

• точную  и  своевременную реализацию  политики  информаци­

онной  безопасности  предприятия;

•  гибкость  применения  положений  политики  информацион­

ной безопасности с учетом особенностей функционирования раз­

личных  подсистем  предприятия;

•  минимизацию  затрат  на  реализацию  управляющих  воздей­

ствий;

•  соответствие  принимаемых мер  и  применяемых современно­

му уровню  развития  информационных  технологий.

Для  эффективного  функционирования  КСЗИ  предприятия 

необходимо:

• наличие системы взаимосвязанных нормативно-методических 

и  организационно-распорядительных документов;

•  четкое  распределение  функций  и  определение  порядка  взаи­

модействия  подразделений  предприятия  при  решении  вопросов 
ЗИ,  зафиксированные  в  организационно-распорядительных  до­
кументах;

•  наличие  подразделения  защиты  информации,  наделенного 

необходимыми полномочиями и непосредственно отвечающего за 
формирование и  реализацию единой  политики  информационной 
безопасности  предприятия,  осуществляющего  контроль  и  коор­

динацию действий других  структурных  подразделений  предприя­

тия  по  вопросам  ЗИ.

В  целях  выработки  и  обеспечения  единого  понимания  всеми 

должностными  лицами  предприятия  проблем  и  задач  по  обеспе­

чению  защиты  информации  на  предприятии  разрабатывается 

Концепция защиты информации

 (или, как правило, соответству­