ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
         

Подсистема разграничения доступа ACCESS-TM SHELL


Подсистема разграничения доступа предназначена для предотвращения несанкционированного доступа к компьютеру, на который установлен программно-аппаратный комплекс "ФПСУ X.25", и базируется на использовании платы "Аккорд" и электронных идентификаторов touch-memory. Плата "Аккорд", устанавливаемая в компьютер, производится фирмой "ОКБ САПР" и её наличие обязательно для установки и функционирования комплекса.

Функционирование СЕТЕВОГО ФИЛЬТРА X.25 под управлением ACCESS-TM SHELL даёт возможность избежать случайного или умышленного неквалифицированного вмешательства в работу комплекса, изменения таблиц разрешенных соединений, конфигурации, установки/изъятия данных для аутентификации или дистанционного управления и т.п.

Подсистема ACCESS-TM SHELL является неотъемлемой частью программно-аппаратного комплекса "ФПСУ X.25". После установки подсистема разграничения доступа создаёт на компьютере замкнутую функциональную среду, в которой работает ФПСУ. Вмешательство в логику работы самого комплекса невозможно и любая попытка использовать ФПСУ не по назначению будет блокирована. В то же время собственная среда комплекса содержит широкий ряд возможностей по управлению МЭ и его функциями, подключению дополнительного оборудования и дополнительного программного обеспечения разработчика, просмотру и анализу регистрационной информации и т.д.

Структурная схема подсистемы ACCESS-TM SHELL:

Как видно из схемы, подсистема состоит из следующих основных модулей:

  • модуля контроля полномочий на старте ПЭВМ;

  • модуля защиты данных на жестком диске от НСД;

  • модуля разграничения полномочий пользователей;

  • модуля регистрации локальных администраторов.

    • Подсистема ACCESS-TM SHELL функционирует в три этапа.



    Этап 1. При включении компьютера после выполнения диагностических тестов BIOS компьютера плата "АККОРД" осуществляет запуск модуля контроля полномочий на старте, который проводит идентификацию пользователя (по предъявленной им таблетке touch-memory) для выдачи разрешения на запуск.
    В случае отсутствия платы "АККОРД" на компьютере или её неисправности загрузка подсистемы производиться не будет.



    Этап 2.     В случае успешной идентификации пользователя загружается модуль защиты от НСД данных на жестком диске, который будет защищать информацию на жестком диске от просмотра и модификации и пресекать попытку запуска компьютера с системной дискеты. В случае неполадок в компьютере жёсткий диск с установленным на нем комплексом может быть переставлен на другую машину, оснащенную платой "Аккорд" при условии, что диск будет единственным.



    Этап 3.     В случае успешного осуществления этапов 1 и 2 выполнение стартового BIOS будет продолжено. После загрузки всей подсистемы модуль разграничения полномочий пользователей будет производить контроль за правом доступа пользователей на управление работой комплекса. Контроль доступа осуществляется путем выдачи приглашения на прижатие электронной ТМ-таблетки к съемнику информации, подсоединенному к плате "АККОРД", идентификации таблетки, сопоставления соответствующих данных с данными о зарегистрированных комплексом идентификаторах и принятии решения о допуске. Администратор, не предъявивший или предъявивший некорректный, незарегистрированный или несоответствующий заказанной операции идентификатор, к подсистемам комплекса допущен не будет.

    ACCESS-TM SHELL осуществляет контроль и разграничение доступа местных администраторов в соответствии с их логическим разделением на 4 различных класса. Таблица 5-2 отображает реализованные в комплексе "ФПСУ-Х.25" классы администраторов и доступные для них действия.



    Таблица -2





    Класс

    администратора

    Разрешенные действия


    Оператор

  • запуск компьютера МЭ

    		•


    Инженер

  • запуск компьютера МЭ


  • конфигурирование сетевых адаптеров


  • подключение дополнительного оборудования


  • просмотр регистрационной информации

    		•


    Администратор

  • запуск компьютера МЭ


  • конфигурирование сетевых адаптеров


  • подключение дополнительного оборудования


  • просмотр регистрационной информации


  • установка и редактирование конфигурации МЭ


  • регистрация ТМ-идентификаторов


  • регистрация удалённых администраторов и установка их прав


  • установка пароля условно-постоянного действия на администрирование

    		•


    Главный

    администратор

  • запуск компьютера МЭ


  • конфигурирование сетевых адаптеров


  • подключение дополнительного оборудования


  • просмотр регистрационной информации


  • установка и редактирование конфигурации МЭ


  • регистрация ТМ-идентификаторов


  • регистрация удалённых администраторов и установка их прав


  • установка пароля условно-постоянного действия на администрирование


  • установка изменений и дополнений к программным модулям комплекса


  • специальный контроль целостности исполнимых модулей МЭ с использованием нелинейного алгоритма расчета - вычислением их хеш-функций

    		•
    <


    Программно-аппаратный комплекс "ФПСУ X.25" содержит модуль регистрации и учета электронных идентификаторов ТМ, идентифицирующих обслуживающий персонал МЭ. Вся информация о зарегистрированных данным МЭ ТМ-идентификаторах содержится в специальной таблице, доступ к которой имеет только пользователь класса "Администратор" при подтверждении таких полномочий. Одна таблетка (инсталляционная) поставляется вместе с программным обеспечением комплекса и регистрируется с правами основной таблетки главного администратора при установке. Другие таблетки средствами программно-аппаратного комплекса "ФПСУ X.25" могут быть зарегистрированы по любому необходимому классу, кроме основной таблетки администратора (которой и является инсталляционная ТМ-таблетка). Если таблетка уже зарегистрирована МЭ, она может быть проверена комплексом на корректность хранимой в ней информации, очищена или перерегистрирована по другому классу (кроме инсталляционной ТМ-таблетки).


    Содержание раздела