Принципы реализации политики безопасности и механизмы защиты

Хотя разработка политики безопасности является индивидуальным процессом, который полностью зависит от особенностей конкретной системы, можно выделить общие принципы реализации политики безопасности и механизмы защиты.

Среди общих механизмов защиты следует уделить особое внимание таким.

И. Идентификация, аутентификация и авторизация всех субъектов и объектов системы, а также всей информации.

Для обеспечения надежной и корректной работы каждый субъект и объект любой банковской системы должен быть однозначно определен. Чаще всего это осуществляется с помощью заранее назначенного идентификатора, дается каждому объекту или субъекту системы и является уникальным в сети.

Во автентификацгею следует понимать проверку идентификации пользователя, процесса, устройства или другого компонента системы, а также проверку целостности данных при их хранении или передачи для предотвращения их несанкционированной модификации.

Авторизация - это предоставление пользователям или процессам прав доступа к объектам системы (процессов, компонентов системы и данных) после их проверки (проверки подлинности).

2. Контроль входа пользователя в систему и управление системой паролей. Примером этого процесса может быть вход в систему с введением имени пользователя (идентификация), введением пароля (аутентификация) и получения разрешения на доступ (авторизация). Для больших систем с использованием телекоммуникационных сетей во время входа в систему также следует позаботиться об организации "достоверного" маршрута передачи идентификационной информации в ядро и тому подобное.

3. Регистрация, протоколирование и аудит. Эти функции обеспечивают получение и анализ информации о состоянии ресурсов системы, регистрацию действий, которые могут быть определены как опасные ситуации, ведение журнала системы, который поможет оперативно зафиксировать происходящие в системе. Анализ журнала, если его вести должным образом, может помочь в определении средств, которые использовал злоумышленник во время нарушения системы защиты, в определении реального состояния системы, в выборе способов расследования в случае нарушения и подсказать пути исправления ситуации.

4. Контроль за целостностью, то есть защита от несанкционированной модификации субъектов системы. Это фактически - контроль за целостностью атрибутов субъекта (приоритет, привилегии, набор идентификаторов и т.д.), контроль за последовательностью и полнотой процессов и режимов их выполнения.

5. Определение мероприятий, которые могут обеспечивать полное освобождение памяти или носителей информации от остатков конфиденциальной информации, которую нельзя оставлять после окончания процессов обработки платежных документов на носителях информации или памяти вычислительных машин.

6. Контроль за доступом, то есть ограничение возможностей использования ресурсов системы программами, процессами и пользователями в соответствии с политикой безопасности. Такой контроль следует выполнять во время доступа к оперативной памяти, оборудование прямого или последовательного доступа, программ и подпрограмм, наборов данных. Есть четыре способа распределения доступа к объектам, которые используются совместно:

• физическое распределение доступа - пользователи и другие субъекты системы имеют доступ к различным устройствам, программ или данных;

• распределение доступа во времени - субъекты системы с различными правами получают доступ к программам или данных в разные отрезки времени;

• логичное распределение - субъекты имеют доступ к различным устройствам, процессов или данных, которые используются совместно, в операционной системе, но под контролем средств распределения доступа

• криптографическая распределение доступа - часть информации системы хранится в зашифрованном варианте, и фактически права доступа определяются наличием ключа дешифрования этой информации.

Основным принципом реализации политики безопасности банковских систем можно определить неразрывность защиты информации на всех этапах ее обработки: подготовки, отправки каналами связи, приема и обработки документов, списание или зачисление денег в соответствии с полученным документа и т.

Немаловажную роль в принципах использования механизмов защиты играют механизмы предоставления привилегий. Каждый пользователь или специалист, обслуживающий систему, а также каждый процесс системы должен иметь минимальное количество привилегий, которые необходимы для его работы. Полномочия пользователей определяются в соответствии с их обязанностей. Доступ следует предоставлять только к информации по выполнению конкретных задач (принцип "необходимо знать" для предоставления полномочий). Для упрощения процедур управления доступом часто используется принцип создания групп субъектов системы с одинаковыми правами и одним групповым именем. Один пользователь может быть включен в несколько групп и поэтому иметь различные права для разных задач.

Обобщение основных функций, которые должен выполнять система защиты, выглядит так;

• аутентификация пользователей системы;

• контроль за целостностью сообщения;

• обеспечение конфиденциальности сообщения;

• управления доступом на конечных терминалах системы;

• гарантия доставки сообщения;

• регистрация последовательности сообщений в каналах связи;

• контроль за последовательностью сообщений;

• обеспечение конфиденциальности потока сообщений.

Полнота выполнения этих функций должно базироваться как на указанных принципах реализации политики безопасности, так и на правильном выборе криптографической защиты и системы распределения ключей.

 
< Пред   СОДЕРЖАНИЕ   След >