2015-06-26
1175
Учитывается:
1. Наличие объекта контроля
2. Его объем
3. Данные даты и времени создания
4. Данные даты и времени модификация
5. Контрольная сумма данных объекта контроля
Контроль целостности должен осуществляться на программно-аппаратном уровне при этом подразумевается сбор средств и из верификация
На программном уровне (опрос по ранее указанным параметрам модулей системы)
Контроль целостности
При контроле целостности программных модулей осуществляется два типа выборки контролируемых объектов:
1. Контроль критических областей и объектов
2. Контроль секторов в соответствии с параметрами поддержки функциональности СЗИ
3. Комплексный подход
Второй тип всегда присутствует по умолчанию в СЗИ.
Как правило в СЗИ существует децентрализованная система контроля целостности.
Модуль поддержки политики безопасности.
Данный модуль присутствует всегда в программе обеспечения СЗИ и представляет собой подсистему контроля параметры доступа к различным объектам от субъектов.
|
|
|
Параметром доступа может подразумевается любой параметр использующийся для настройки ПБ.
Как правило настрагиваемый параметр безопасности представлены в четырех группах:
1. Политика учетных записей (контроль паролей и поддержка блокировки)
2. Политика прав доступа
3. Политика аудита
4. Контроль параметров безопасности
Параметры первой группы(политика учетных записей)
1. Максимальный срок действия пароля
2. Блокировка по вводу пароля
3. Длина пароля
4. Требования к сложности пароля
5. Блокировка учетной записи
Политика прав доступа
1. Владелец
2. Принадлежность объекта владельцу
3. Тип владения
4. Поддержка профиля юзера
5. Политика профиля системы для юзера
6. Поддержка аудита для юзера
7. Поддержка доступа к функциональным ресурсам системы (выключен те доступа к сети)
8. Отключение модулей или системы (восстановление и архивирование)
Контроль параметров безопасности
1. Скрытие параметров пользователей для активных в данный момент субъектовкроме собственных параметров субъекта.
2. Уничтожение информации о работе субъекта в виртуальной памяти
3. Разрешение доступа к ресурсам только действительно присутствующим за терминалом субъекту
4. Контроль регистрации пользователя при входе в систему
Аудит
1. Аудит системных областей
2. Аудит ресурсов пользователя
3. Аудит процессов пользователя
Подсистема уничтожения остаточной информации
Существует проблема "технологического мусора" часть информации не уклеятся после работы пользователя
Типы технологического мусора:
1. Виртуальной памяти
2. По внешне памяти
|
|
|
Технологический мусор представлен в виде отдельных удаляемых файлов которые были неоднозначно удалены, временные файлы, незанятое пространство внешнего накопителя, отдельные локи файлов, собственно файлы виртуальной памяти
Очистка тех мусора:
1. Затираните информации новой информацией. (Пустышкой, либо записать туда используемые в данный момент системные данные)
2. Пересоздание файлов виртуальной памяти на тех же самых областях где и существовала старая
Физически подсистема представлена в виде набора модулей, работающие в рамках политики безопасности. Существует два способа:
1. Интерактивное затирание
2. Затирание при окончании сеанса работы
Все модули и подсистемы СЗИ представляются как правило только в совокупности в соответствии с задачами защиты информации и параметрами, зафиксированными в требованиях государственных аттестующ органов.
Типовой набор подсистем СЗИ от НСД
1. Система управления доступом
1. Подсистема доверенной загрузки
1. Подсистема аутентификации и идентификации
2. Подсистема контроля целостности системного по
2. Подсистема разграничения доступом
3. Подсистема замкнутой программной среды
2. Система регистрации и контроля критичных событий
3. Система контроля целостности данных
4. Система криптографической защиты
1. Подсистема защиты трафика
2. Подсистема уничтожения остаточной информации
3. Подсистема шифрования данных
4. Открытый интерфейс подсистемы криптозащиты
Из данных модулей формируется СЗИ, система комплексной защиты информации, СЗИ сетевого назначения.
Другая типология СЗИ делит на аппаратные и программно-аппаратные.
Наиболее актуальные на сегодняшний момент СКЗИ
Пинцыпы построения СКЗИ:
Цели построения
1. Повышения защищенности от НСД
2. Максимальное увеличением время действия криптообрахования
Для обеспевения приемлемом уровня защиты используются следущие методы:
1. Обеспечение минимально возможного взаимодействия ПО и ОС с аппаратными средствами
1. Используется процедурный интерфейс доступа по и ОС к ресурсам АС через применение ключей доступа
2. Взаимодействие ПО с автоматизированной системой через прозрачный для пользователя буфер обмена
3. Хранение криптографических алгоритмов и исполняемых модулей в энергонезависимой памяти в зашифрованном виде в АС
2. Применение резервированного генетратора случайных числе для формирования ключей заданной длины
3. Загрузка исполняемых криптографических алгоритмов в шифрованном виде в рам или ОЗУ
4. Контроль целостности шифрованных данных в энергонезависимой памяти
5. Передача данных по шинам АС только в шифрованном виде
6. Применение специального защитного экрана в рамках в целом используемой ас
7. Включение аппаратного расширения БИОС для контроля целостности ОС и по.
Повышение скорости работы криптографических модулей:
1. Используется RISС архитектура
2. Применение активно загружаемой схемотники
3. Применение многопроцессорных структур*
Повышение надежных аппаратных СКЗИ за счет дублирования аппаратных расширения и дублирования каналов резервирования
