Функциональные требования по защите данных пользователя.

Достигается организацией защиты от НСД. В ОС предусмотрена парольная защита доступа к файлам и папкам, а также к данным, содержащимся в них. (MS OFFIS, Acrobat, архиваторы и др.) В задачу управления доступом в общем случае входит не только защита данных субъектов (в данном случае пользователей) от несанкционированного их прочтения другими субъектами, но и защита данных субъектов от возможности их искажения другими субъектами. Этим, кстати говоря, защита данных средствами защиты от НСД принципиально отличается от защиты данных (управления доступом) с использованием средств криптографической защиты.

Функциональные требования по разграничению доступа к компонентам вычислительных систем.

Реализуется использованием диспетчера доступа, включаемого как в состав ОС, так и использованием аппаратных и программных средств. Принципы их построения были рассмотрены ранее.

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ. Подобный подход обычно реализуют в рамках системы меню (пользователю показывают лишь допустимые варианты выбора) или посредством ограничивающих оболочек, таких как restricted shell в ОС Unix.

При организации сетевого взаимодействия важную роль играют межсетевые экраны, осуществляющие фильтрацию трафика внутренней и внешней сети.

Для блокирования угроз, исходящих из общедоступной системы, используется специальное программное или аппаратно-программное средство, которое получило название межсетевой экран (Firewall). Как правило, межсетевой экран реализуется на выделенной ЭВМ, через которую защищенная РКС (ее фрагмент) подключается к общедоступной сети (рис. 1.4).

Межсетевой экран реализует контроль за информацией, поступающей в защищенную РКС и (или) выходящей из защищенной системы

Рис. 1.4. Межсетевой экран реализует контроль за информацией, поступающей в защищенную РКС и (или) выходящей из защищенной системы

Межсетевой экран выполняет четыре функции:

  • - фильтрация данных;
  • - использование экранирующих агентов;
  • - трансляция адресов;
  • - регистрация событий.

Основной функцией межсетевого экрана является фильтрация входного (выходного) трафика. В зависимости от степени защищенности корпоративной сети могут задаваться различные правила фильтрации. Правила фильтрации устанавливаются путем вы последовательности фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.

Межсетевой экран осуществляет фильтрацию на канальном, сетевом, транспортном и на прикладном уровнях. Чем большее количество уровней охватывает экран, тем он совершеннее. Межсетевые экраны, предназначенные для защиты информации высокой степени важности, должны обеспечивать:

  • - фильтрацию по адресам отправителя и получателя (или по другим эквивалентным атрибутам);
  • - фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
  • - фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
  • - фильтрацию с учетом любых значимых полей сетевых пакетов
  • - фильтрацию на транспортном уровне запросов на установление виртуальных соединений;
  • - фильтрацию на прикладном уровне запросов к прикладным сервисам;
  • - фильтрацию с учетом даты и времени;
  • - возможность сокрытия субъектов доступа защищаемой компьютерной

сети;

- возможность трансляции адресов.

Другим методом разделения доступа выступает прокси-сервер, это специальная программа, которая позволяет остальным компьютерам этой сети эмулировать выход в Ыете1:, оставаясь при этом «невидимыми» со стороны глобальной сети.

Основное назначение прокси-сервера - это обеспечение трансляции сетевых адресов, например, когда при помощи одного public IP в Интернет может ходить вся сеть с private IP (Ю.х.х.х, 172.16.х.х-172.31.х.х, 192.168.х.х). Прокси- сервер при прохождении пакета через него меняет в этом пакете IP-адрес и номер порта (а при получении ответного пакета производит те же операции в обратном направлении). Однако, помимо этой базовой функции, прокси-серверы обычно предлагают еще и множество других:

  • - управление разрешениями. Можно определить, каким пользователям в какое время/по каким протоколам/к каким Web-ресурсам/в каком объеме можно выходить в Интернет;
  • - кэширование - за счет кэширования страниц на прокси-сервере снижается трафик работы в Интернет и происходит ускорение доступа пользователей;
  • - протоколирования работы в Интернете. Обычно обращения пользователей в Интернет протоколируются и на основе логов делаются отчеты, которые позволяют например, выяснить, какой из пользователей как поучаствовал в трафике;
  • - фильтрации трафика - например, режутся баннерные сети, спам-трафик по SMTP и т.п.
  • - часто в прокси-сервер встраиваются дополнительные возможности, например, брандмауэров, средств обнаружения вторжений и т.п.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >