Add to collection(s) Add to saved
  1. Инженерия
  2. Информатика
  3. Управление данными

А.В. ОЩЕПКОВ, В.В. ПИВОВАРОВ КОНФИГУРИРОВАНИЕ АППАРАТНО-ПРОГРАММНОГО КОМПЛЕКСА ЗАЩИЩЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

advertisement 
УДК 615.9(06)+577.3(06) Медицинская физика и техника, биофизика
А.В. ОЩЕПКОВ, В.В. ПИВОВАРОВ
Московский инженерно-физический институт (технический университет)
КОНФИГУРИРОВАНИЕ АППАРАТНО-ПРОГРАММНОГО
КОМПЛЕКСА ЗАЩИЩЕННЫХ ИНФОРМАЦИОННЫХ
СИСТЕМ
В докладе описывается схема конфигурирования программно аппаратного комплекса для создания защищенных
информационных систем.
Системы защиты информации предаваемой по компьютерным вычислительным сетям нуждаются в
сложной настройке, в которую входит указание правил взаимодействия элементов системы и параметры их
взаимодействия, такие как секретные ключи, пароли и т.д. Проблема конфигурирования системы и хранение
конфигурации является основной проблемой комплексов защиты информации, так как изменение
конфигурации или утеря секретных ключей может скомпрометировать работу всей системы. В
разрабатываемом комплексе существует два основных варианта работы «ЛОКАЛЬНЫЙ» и «СЕРВЕРНЫЙ».
В варианте «ЛОКАЛЬНЫЙ» вся настроечная информация, необходимая для работы адаптера, статически
хранится в постоянном запоминающем устройстве самого адаптера. Заноситься и обновляться она должна
регулярно вручную администратором для каждого адаптера индивидуально. Для этого администратору
необходимо лично прошивать конфигурации в каждый адаптер с помощью специального программного
обеспечения локально на каждом компьютере. Конфигурации для адаптеров и программу прошивки он
должен переносить с собой, например, на гибком диске. В варианте «СЕРВЕРНЫЙ» все текущие настройки
работы адаптеров хранятся в центральном хранилище на сервере. Адаптеры локально содержат только
базовые конфигурации режимов работы и параметры, которые не меняются со временем. Базовые
конфигурации и параметры в каждый адаптер заносятся вручную на этапе предустановочного
конфигурирования. Если потребуется их поменять уже в процессе эксплуатации, то данную операцию
необходимо будет произвести вручную с каждым адаптером индивидуально. Можно выделить три типа
серверов комплекса: сервер авторизации, сервер конфигурирования, сервер управления.
Авторизация или настройка текущих правил работы адаптера, или и то и другое вместе, производятся с
использованием удаленного сервера авторизации и/или сервера конфигурирования. Это означает, что при
включении питания или при подключении к адаптеру смарт-карты сперва выполняется запрос на
центральный сервер авторизации, где производится авторизация, затем сервер конфигурирования передает в
адаптер текущие настройки работы, актуальные в данное время для данного пользователя на данном
компьютере. После выключения питания или при извлечении смарт-карты из адаптера настройки теряются,
и их необходимо снова получать от сервера конфигурирования.
Сервер управления может использоваться как в варианте «ЛОКАЛЬНЫЙ», так и в варианте
«СЕРВЕРНЫЙ». Сервер управления заключает в себе базу данных и управляющую программу, которые
используются администратором для добавления, удаления и редактирования различных настроек. Через
графический или консольный интерфейс программы управления администратор задает все настройки
комплекса с тем, чтобы сконфигурировать его под потребности конкретной информационной системы.
Настройки и конфигурации могут задаваться с различной степенью детализации и с различной степенью
абстракции. Например, могут быть детально заданы конкретные числовые значения различных полей
политик безопасности протокола IPSec. Либо может быть просто введено абстрактное определение групп
компьютеров и пользователей и степеней их допуска к конфиденциальной информации, и исходя из такого
высокоуровневого задания требований, система сама сгенерирует необходимые значения конкретных
параметров, которые будут загружаться в адаптеры. В варианте «ЛОКАЛЬНЫЙ» результатом работы
программы управления является набор конфигурационных данных (файлов), которые затем прошиваются в
адаптеры в зашифрованном виде. В варианте «СЕРВЕРНЫЙ» конфигурационные данные хранятся в
зашифрованном виде на сервере конфигураций, откуда она передаются по запросу в адаптеры. Серверы
могут быть размещены как на одной, так и на разных ЭВМ. Все сетевые обмены между серверами и
адаптерами осуществляются по защищенным каналам с использованием криптографической защиты на
аппаратном уровне. Преимущество использования режима «СЕРВЕРНЫЙ» заключается в простоте
управления, централизованном учете активности, возможности оперативного изменения конфигураций при
обнаружении возможных компрометаций адаптеров или смарт-карт.
Список литературы
1. Соколов А.В. Защита информации в распределенных корпоративных сетях и системах. ДМК Пресс, 2002.
2. Чирилло Дж. Обнаружение хакерских атак. Для профессионалов. Питер, 2002.
Related documents
АКТ установки оборудования
АКТ установки оборудования
(СД(М).Ф.11) - факультете информатики ТГУ.
(СД(М).Ф.11) - факультете информатики ТГУ.
этот файл PDF - "Вестник Казну" Серия Экономическая
этот файл PDF - "Вестник Казну" Серия Экономическая
Введение в конфигурирование в системе 1С:Предприятие 8
Введение в конфигурирование в системе 1С:Предприятие 8
разработка системы автоматического
разработка системы автоматического
Download
advertisement