Полная версия

Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ: ОСНОВЫ ТЕОРИИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Задача обеспечения корректной реализации базового уровня защиты

Обеспечение корректной реализации базового уровня защиты связано с формированием и реализацией требований к корректности реализации средств ЗИ (средств контроля доступа), необходимый и достаточный набор которых определяется при решении основной задачи ЗИ. При формировании подобных требований не только решается задача, каким образом корректно строить необходимые для решения определенных функциональных задач средства ЗИ, но и, как увидим далее, формируются требования к дополнительному необходимому и достаточному набору средств ЗИ, использование которых позволяет корректно реализовать разграничительную политику доступа.

Информационная система, в отношении которой не решены соответствующие задачи достаточности и корректности реализации средств ЗИ (т.е. не сформулированы и не реализованы соответствующие требования к их построению), априори может быть отнесена к «полностью незащищенным».

Данные требования формируются с использованием соответствующих абстрактных моделей контроля доступа, изложенных выше, посредством соответствующего их системного анализа на предмет построения безопасной системы.

Задача защиты в данном случае сводится к нейтрализации угроз безусловных технологических уязвимостей, позволяющих безусловно (без возникновения в системе каких-либо уязвимостей реализации) обойти разграничительную политику доступа, реализуемую в рамках решения основной задачи СЗИ — реализации методами контроля доступа ролевой и (или) сессионной модели контроля доступа.

Таким образом, построение СЗИ базового уровня защиты предполагает:

  • • определение угроз безусловных технологических уязвимостей, позволяющих без возникновения в системе каких-либо дополнительных условий обойти разграничительную политику доступа к ресурсам, реализуемую в рамках решения основной задачи ЗИ;
  • • формирование требований к корректности реализации средств контроля доступа, реализующих ролевую и (или) сессионную модель контроля доступа при необходимости.
 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>