Организация и технология защиты информации: Введение в специальность. Бабенко Л.К. - 48 стр.

UptoLike

ВУЗ: 

ТТИ ЮФУ | Таганрог

Составители: 

Рубрика: 

48
Каждый субъект кроме уровня прозрачности имеет текущее значение
уровня безопасности, которое может изменяться от некоторого минимального
значения до значения его уровня прозрачности.
Для моделирования полномочного управления доступом используется
модель Белла-Лападула (Bell-LaPadulla model), включающая в себя понятие
безопасного (с точки зрения политики) состояния и перехода. Для принятия
решения на разрешение доступа производится
сравнение метки критичности
объекта с уровнем прозрачности и текущим уровнем безопасности субъекта.
Результат сравнения определяется двумя правилами: простым условием защиты
(simple security condition) и *-свойством (*-property). В упрощенном виде, они
определяют, что информация может передаваться только "наверх", то есть субъ-
ект может читать содержимое объекта, если его текущий уровень безопасности
не ниже метки
критичности объекта, и записывать в него, - если не выше
(*-свойство).
Простое условие защиты гласит, что любую операцию над объектом
субъект может выполнять только в том случае, если его уровень прозрачности
не ниже метки критичности объекта.
Основное назначение полномочной политики безопасностирегули-
рование доступа субъектов системы к объектам с различным уровнем
критич-
ности и предотвращение утечки информации с верхних уровней должностной
иерархии на нижние, а также блокирование возможных проникновений с ниж-
них уровней на верхние. При этом она функционирует на фоне избирательной
политики, придавая ее требованиям иерархически упорядоченный характер (в
соответствии с уровнями безопасности).
5.Сертификация программных продуктов
5.1.Стандарты и рекомендации в области информационной безопасности
В этом подразделе приводятся некоторые сведения о классических кри-
териях оценки информационной безопасности. Знание этих критериев способно
помочь при выборе и комплектовании аппаратно-программной конфигурации
средств защиты информации. Кроме того, в своей повседневной работе адми-
нистратор безопасности вынужден хотя
бы до некоторой степени повторять
действия сертифицирующих органов, поскольку обслуживаемая система время
от времени претерпевает изменения и нужно, во-первых, оценивать
целесообразность модификаций и их последствия, а во-вторых, соответствую-
щим образом корректировать повседневную практику пользования и админи-
стрирования. Если знать, на что обращают внимание при сертификации, можно
сконцентрироваться на
анализе критически важных аспектов, экономя время и
силы и повышая качество защиты /15,16/.

Страницы