Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2007
Тип роботи:
Звіт
Предмет:
Організаційно-технічні засоби систем захисту інформації
Частина тексту файла (без зображень, графіків і формул):
Міністерство освіти і науки України
Національний університет „Львівська політехніка”
ІКТА
кафедра ЗІ
ЗВІТ
З предмету: ”ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ЗАСОБИ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ ”
Обґрунтування вибору політики безпеки
Львів – 2007
Фундаментальним поняттям захисту інформації є політика безпеки (ПБ). Важливість цього поняття важко переоцінити - існують ситуації, коли правильно сформульована політика є чи не єдиним механізмом захисту від НСД.
З ПБ пов'язується поняття оптимальності рішень з організації та підтримки системи захисту. Іноді вдається досягти загально прийнятного розуміння оптимальності прийнятого рішення і навіть довести його існування. Однак, коли розв'язок багатоальтернативний, то загально прийнятного розуміння оптимальності немає, а в тих випадках, коли розглядається питання про оптимальний у якомусь сенсі розв'язок, то його існування, частіше за все, вдається довести лише в окремих задачах .
Під поняттям ПБ інформації розуміється організована сукупність документованих керівних рішень, спрямованих на захист інформації й асоційованих з нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованого в системі комплексу заходів із захисту інформації.
Формування ПБ є дуже складним аналітичним процесом, який важко формалізувати. Існують різні типи конкретних політик, причому деякі з них передбачають достатньо високий рівень формалізації. Більше того, існують точні доказові методи оцінки ПБ.
Дотримання ПБ має забезпечити виконання того компромісу між альтернативами, який вибрали власники цінної інформації для її захисту. Вочевидь, будучи результатом компромісу, ПБ ніколи не задовольнить усі сторони, що беруть участь у взаємодії з інформацією, що захищається. У той же час вибір ПБ - це кінцеве вирішення проблеми: що - добре і що - погано при роботі з цінною інформацією. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Таким чином, побудована система захисту інформації добра, якщо вона надійно підтримує виконання правил ПБ.
ПБ інформації в АС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики у галузі захисту інформації. Для кожної АС ПБ інформації може бути індивідуальною і залежить від технології обробки інформації, що реалізується, особливостей ОС, фізичного середовища і багатьох інших чинників. Тим більше одна й та сама АС може реалізовувати декілька різноманітних технологій обробки інформації. Тоді і ПБ інформації в такій АС буде складеною, і її частини, що відповідають різним технологіям, можуть істотно відрізнятись.
ПБ інформації, що реалізуються різними КС, будуть відрізнятися не тільки тим, що реалізовані в них функції захисту можуть забезпечувати захист від різних типів загроз, а й у зв'язку з тим, що ресурси КС можуть істотно відрізнятись. Так, якщо операційна система оперує файлами, то СУБД має справу із записами, розподіленими в різних файлах.
Основна функція узагальненої ПБ є визначення програми ЗІ, призначення відповідальних за її виконання осіб, формулювання цілей і об'єктів захисту, а також вироблення схеми для забезпечення додержання розроблених правил і вказівок. Компонентами узагальненої ПБ вважаються призначення, сфера поширення, визначення цілей ЗІ, розподіл відповідальності за виконання і методи забезпечення додержання правил.
Проблемно-орієнтована ПБ необхідна для виділення певних проблемних сфер і визначення позицій організації щодо них.
Якщо узагальнена ПБ описує глобальні аспекти ЗІ і її схему, то окремі ПБ розробляються для деяких видів діяльності й у деяких випадках для конкретних систем (наприклад, для захисту електронної кореспонденції). Таким чином, окремі ПБ стандартизують роботу і зменшують потенційний ризик, який виникає при некоректному використанні інформаційних ресурсів. Проблемно-орієнтована ПБ частково визначає керівні принципи при створенні функціональних інструкцій для співробітників організації. Формуючи окрему ПБ, виділяють такі її компоненти: формулювання проблеми, визначення позиції організації, визначення сфери поширення, ролей і відповідальності, а також призначення осіб для контактів у даному питанні. Частина ПБ, яка регламентує правила доступу користувачів і процесів до ресурсів КС, складає правила розмежування доступу (ПРД)
Створення життєздатної ПБ - важливе і складне завдання, яке вимагає розуміння цілей ЗІ, а також потенційної користі від її розробки. Тому необхідно розробляти структурні підходи для формування ПБ, які включали б способи розподілу обов'язків, підходи для розробки узагальненої й окремих компонент у вигляді узгодженої політики ЗІ, а також рекомендації щодо формування на її основі наборів функціональних інструкцій. Політика ЗІ допомагає визначити стандарти, керівні інструкції і правила для всіх працівників в організації.
Я обираю рольову політику безпеки, оскільки вона має ряд переваг і відмінностей над МПБ і ДПБ:
* керування доступом у ній здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів. РПБ базується на компромісі між гнучкістю керування доступом, яка є характерною для ДПБ, і жорсткістю правил контролю доступу, яка притаманна МПБ.
* РПБ менш складна у порівнянні з МПБ для практичної реалізації і не вимагає значних ресурсів обчислювальної системи
* виникають поняття користувач і роль. Користувач - це людина, яка працює з системою і виконує певні службові обов'язки. Роль - це активно діюча в системі абстрактна сутність, з якою пов'язаний обмежений, логічно зв'язаний набір повноважень, необхідних для здійснення певної діяльності.
* користувачі, що працюють у системі, діють не від свого власного імені - вони завжди здійснюють певні службові обов'язки, тобто виконують деякі ролі, які аж ніяк не пов'язані з їх особистістю. Керування доступом і призначення повноважень здійснюється не реальним користувачам, а абстрактним (не персоніфікованим) ролям, які представляють учасників певного процесу обробки інформації. Такий підхід до ПБ дозволяє врахувати розподіл обов'язків і повноважень між учасниками прикладного інформаційного процесу, оскільки з точки зору РПБ має значення не особистість користувача, що здійснює доступ до інформації, а те, які повноваження йому необхідні для виконання його службових обов'язків.
* керування доступом здійснюється в дві стадії: по-перше, для кожної ролі вказується набір повноважень, що являють собою набір прав доступу до об'єктів, і, по-друге, кожному користувачу призначається список доступних йому ролей. Повноваження призначаються ролям відповідно до принципу найменших привілеїв, з якого випливає, що кожний користувач повинен мати тільки мінімально необхідні для виконання своєї роботи повноваження.
Найпоширеніший тип рольової моделі - ієрархічна організація ролей, яка дуже точно відображає реальне відношення підпорядкованості між учасниками процесів обробки інформації і розподіл між ними сфер відповідальності. Ролі в ієрархії упорядковуються за рівнем наданих повноважень. Чим вища роль в ієрархії, тим більше з нею пов'язано повноважень, оскільки вважається, що коли користувачу надана деяка роль, то йому автоматично призначаються і всі підпорядковані їй за ієрархією ролі. Ієрархічна організація ролей є характерною для систем військового призначення.
Завдяки гнучкості та широким можливостям РПБ суттєво перевершує інші політики, хоча іноді її певні властивості можуть виявитися негативними. Так, вона практично не гарантує безпеки за допомогою формального доведення, а тільки визначає характер обмежень, виконання яких і є критерієм безпеки системи. Хоча такий підхід дозволяє отримати прості і зрозумілі правила контролю доступу (перевага), які легко застосовувати на практиці, але позбавляє систему теоретичної доказової бази (вада). В деяких ситуаціях ця обставина утруднює використання РПБ, однак, у будь-якому разі, оперувати ролями набагато зручніше, ніж суб'єктами (знову перевага), оскільки це більше відповідає поширеним технологіям обробки інформації, які передбачають розподіл обов'язків і сфер відповідальності між користувачами.
Крім того, РПБ може використовуватися одночасно з іншими ПБ, коли повноваження ролей, що призначаються користувачам, контролюються ДПБ або МПБ, що дає змогу будувати багаторівневі схеми контролю доступу.
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора