Штатні засоби захисту станції 5ESS

Система комутації 5ESS забезпечена вбудованими можливостями по захисту інформації , основними з яких є: контроль цілісності програмного забезпечення , ідентифікація й автентифікація користувачів ( ім ’я/пароль ), розподіл прав доступу ( повноважень ) за персональними та термінальними принципами , реєстрація всіх команд , звітів і змін в базі даних . Розглянемо кожен із засобів захисту інформації на 5ESS детальніше .

1. Контроль цілісності програмного забезпечення ( ПЗ ) забезпечується на всіх етапах . Файли системного та прикладного ПЗ перевіряються за контрольними сумами . Спеціальні підпрограми (audit) перевіряють наявність невідповідність у програмах або даних ; якщо будуть знайдені помилки , то вірні файли будуть узяті з дубльованого блока, або з блока вищої ієрархії , або з жорсткого диска станції , в крайньому випадку – з первинної завантажувальної стрічки . Програми різних audit-застосувань запускаються як автоматично за розкладом , так і у разі підозри на помилку в програмі або даних . Верхній рівень audit-программ – рівень ядра встановленої операційної системи – перевіряється підпрограмою System Integrity Monitor (SIM). Крім цього , audit-програми перевіряють центральний процесор , файлову систему , менеджер пам ’яті , базу даних обладнання , буфер повідомлень , ініціалізацію процесів .

2. Ідентифікація й автентифікація користувачів в 5ESS також надійна як і в будь-якій unix-подібній операційній системі . За будь -якого входження в 5ESS користувач повинен відкрити діалог у терміналі й ввести свої ім .’ я (user name) і пароль (password). Перший пароль користувачу дає так званий « супер -користувач », тобто інженер станції , що відповідає за СЗІ і розподіл повноважень ( прав ); при першому входженні станція 5ESS просить змінити пароль , після чого він відомий лише самому користувачу ( інженеру ) станції . Пароль зберігається у файловій системі 5ESS у зашифрованому виді , і при його втраті немає ніякої можливості увійти до термінала 5ESS або змінити пароль . Для надійної автентифікації

довжина пароля повинна бути великою , не менше 7 символів , і містити літери латиниці , цифри і знаки .

Для захисту від злому ( підборання ) пароля число спроб ( помилок ) введення пароля обмежено , після чого термінал закриває діалог , і його ім ’я (tty name) видається у звіті про спробу несанкціонованого доступу .

Крім того , для надійнішого захисту пароля в 5ESS настроюється « час життя » пароля , після якого користувач повинен змінити пароль . Якщо він не змінить пароль , то його доступ в станцію блокується до зміни пароля .

Більше того , зберігається історія паролів , так що три останні паролі користувача не можуть повторюватися.

3. Розподіл прав доступу « управління повноваженнями » користувачів ( інженерів ) за персональними і термінальними принципами засновано на їх ідентифікації й автентифікації . Користувач , що увійшов до термінала станції 5ESS може вводити різні команди ( з експлуатації і техобслуговування станції , вимірювання трафіка тощо ). Всі команди 5ESS поділені на групи (command group). Кожна група відповідає , по -перше , типу об ’єкта ( канали , абоненти , стан обладнання , система , БД і так далі ); по -друге , типу дії ( читання або створення /змінення /видалення ). Дані класи команд « супер -користувач ( інженер , що відповідає за розподіл повноважень )», тобто адміністратор , призначає кожному користувачу (user name) і кожному терміналу (tty name). Лише у випадку , якщо команда , яку намагається виконати користувач ( інженер 5ESS), дозволена і йому , і терміналу , з якого він її ввів , команда буде поставлена в чергу на виконання , і всі результати з її виконання « звіт » – report будуть видані і на даний термінал (tty), і на загальностанційний термінал -«принтер » для всіх звітів (rop = receive only printer).

Для зручності управління персональними (user) і термінальними (tty) повноваженнями на станції 5ESS існують так звані « профілі команд » (command group profile), які інженер , що відповідає за розподіл повноважень , може створювати на свій розсуд , вносячи в їх бажані набори командних груп (command group). Тоді при створенні нового користувача – інженера станції 5ESS – замість призначення великого числа класів команд буде достатньо призначити йому відповідні « командні профілі », наприклад такі , як : лише переглядання обладнання або БД , або зміни стану обладнання , або зміни БД , або для управління системою , або техобслуговування , або для обліку трафіка і так далі в будь -якій комбінації профілів.

4. Реєстрація всіх команд і змін БД в лог -файлах « журналах », реєстраційних файлах – це важливий засіб протоколювання всіх дій користувачів ( інженерів ). В станції 5ESS існує велика кількість ( декілька десятків ) лог -файлів , два з яких містять команди користувачів :

– CMDLOG – лог -файл команд «command log», яка містить усі команди , введені в станцію ; крім команди і її параметрів вказано номер діалогу та ім ’я користувача (user id);

- ORIGLOG – лог -файл модифікацій БД ODD (Office-Dependent Database), яка містить інформацію про будь -які додавання , зміни і видалення записів у БД ODD; при вставленні або зміні запису файл містить поточний запис ( параметри і значення ), при видаленні запису з ODD цей лог -файл містить оригінальний , первинний запис ( тому і називається original log).

Реєстрація всіх звітів станції 5ESS теж проводиться в різні лог - файли , що дозволяє мати інформацію для відновлення послідовності подій у разі потреби аналізу ситуації , пов ’язаної із захистом інформації . Всі звіти розбиті на класи (message classes), що допомагає збирати й аналізувати інформацію про події .

Поиск по сайту: