![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Разработка системы программно-технических мер защиты КС
Система программно-техническихмер защиты КС соответствует аппаратному (2), системному (3) и прикладному (4) уровням СЗИ. В процессе ее разработки выполняются следующие группы действий (мероприятий). На аппаратном уровне (защита ТС обработки информации и технические средства защиты) (см. рис. 19) осуществляется: Рис. 19.Аппаратный уровень СЗИ По направлению А: -разработка технологий обработки информации с использованием специализированных серверов с ограниченным набором функций и информационных ресурсов (серверы баз данных, серверы приложений, серверы доступа, web-серверы, почтовые серверы, файл-серверы и т.д.); -планирование минимизации числа устройств копирования данных на внешние носители (флоппи-дисководов, сменных винчестеров, CD-RW, магнитооптики, принтеров и т.д.) в пользовательских компьютерах); -разработка схем применения ТС разграничения доступа к элементам КС (смарт-карты, биометрические датчики и т.п.); -проектирование сетевой инфраструктуры с использованием специализированных устройств разделения доступа и трафика (маршрутизаторы, брандмауэры); -планирование использования активных и пассивных средств защиты от побочных электромагнитных излучений (ПЭМИН) (заземление, экранирование, генераторы шума). По направлению Б: -проектирование системы бесперебойного электропитания; -планирование установки дублирующих элементов и датчиков рабочих параметров в ключевых и наиболее уязвимых ТС (магнитные диски, источники питания в серверах, датчики температуры и т.д.); -проектирование физических средств защиты каналов связи (стальные трубы, специальные кабели, короба и т.п.). На системном уровне (средства защиты сетевых операционных систем и СУБД, администраторские надстройки над ними) (см. рис. 20) осуществляется: По направлению А: -планирование политики аутентификации пользователей; -разработка способов применения штатных средств разделения доступа к информационным ресурсам; -выбор средств управления ЛВС и надстроек над штатными средствами защиты. -проектирование технологии работы с базами данных без физического доступа к файлам и без регистрации на сервере БД (" клиент-сервер"); -планирование использования штатных средств СУБД для разделения доступа пользователей к функциям, таблицам, столбцам и т.д.; -планирование использования шифрации записей в БД и паролей, передаваемых по сети. Рис. 20. Системный уровень СЗИ По направлению Б: -настройка механизмов восстановления удаленных файлов, защиты файлов от удаления, защиты ядра ОС от разрушения; -планирование разделения прав воздействия пользователей на БД (владелец, администратор, пользователь…); -настройка механизмов блокировки/отката транзакций и восстановления данных (протоколирование запросов, средства архивации данных); -планирование регламента использования инструментария тестирования БД и исправления нарушений структуры данных; -организация технологии информирования администратора КС о возникающих в процессе работы ОС и СУБД ошибках. Следует отметить, что используемые в КС государственных органов и организаций системные и защитные программные средства должны иметь сертификаты Гостехкомиссии или ФСБ. На прикладном уровне (инструментальное ПО приложений, пользовательские интерфейсы, индивидуальное защитное ПО) (см. рис. 21) осуществляется: Рис. 21. Прикладной уровень СЗИ По направлению А: -проектирование надежной и защищенной подсистемы аутентификации пользователей; -проектирование механизма контроля полномочий пользователей по агрегации информации (при сборке отчетов и т.п.); -разработка гибкой многоуровневой системы задания ограничений на доступ к конкретным электронным документам (как единицам хранения информации в КС); -планирование и разработка разделения полномочий доступа к ветвям и объектам интерфейса и их реквизитам.
По направлению Б: -разработка программ тестирования баз данных (БД) на отсутствие записей-дублей, на логическую непротиворечивость, на отсутствие ошибок и т.д.; -разработка средств дублирующего протоколирования воздействий пользователей на БД; -разработка (выбор) средств авторизации вводимых в БД данных, подготавливаемых электронных документов, отправляемых сообщений (фиксация даты, адреса и пользователя); -планирование ограничений прав пользователей на удаление и коррекцию данных в условиях многопользовательского доступа к КС; -разработка средств автоматизированной идентификации и контроля корректности вводимых данных.
|