246
$(Subj, Obj, SecSrv
(P)) түріндегі ережелер жиыны ретінде
көрінеді.
Бұл ретте Obj объекті үшін ережелердің жоқтығы аталған Obj-
ға кез келген қатынауға тыйым салынатынын білдіреді.
GSM-де кəсіпорын қауіпсіздігінің
мақсаттарын анықтау-
дың қарапайымдылығы үшін, Subj жəне Obj түрінде қатысатын
объектілердің екі түрі қарастырылған. Бұл – пайдаланушы (£/)
жəне қор (/?).
R қоры (ресурс) ақпараттық (//?) немесе желілік
(NR) болуы
мүмкін.
Пайдаланушы мен қор (ресурс), жүйеде ұсталып тұратын:
топ, домендер, рөлдер, департаменттер, каталог бөлімдері агрега-
цияларының кез келген формасында қатысуы мүмкін.
Мысал: ереже (
U, IR, S\)
U пайдаланушының
IR ақпараттық
қорға қатынауы кезінде қамтамасыз етілетін,
SI қорғау ережесі
болып көрінеді. Ереже (//?!,
IR2, S2)
S2 қорғау қасиеттерін қам-
та масыз ету қажеттілігімен екі ақпараттық модульдердің (бағдар-
ламалардың) желілік өзара əрекеттеріне рұқсат етуді білдіреді.
Үнемдеу саясаты корпоративтік жүйелердің
кез келген қорға-
латын объектісіне қатынау үшін тыйым салу ережесі болып
көрінеді: не анық рұқсат етілмеген, не соның бүлінуіне – тыйым
салынған. Осындай ереже кəсіпорын желісінде ақпараттардың
толық қорғалуын қамтамасыз етеді.
Желілердегі құрылғылардың өзара əрекетін қамтамасыз ету
үшін, оған, оларды бір орталықтан басқаруға ғана арналған құ-
рыл ғыларды баптаудың қажетті
ережелерінен тұратын старт-
тық конфигурация – құрылғылар қауіпсіздігінің старттық саяса-
ты əзірленеді жəне беріледі (жалпы желілер арналары бойынша
емес).
Ауқымды қауіпсіздік саясатының ережелері желілік өзара
əрекет етуге, сол сияқты жүйенің өзін бақылау жəне басқару
функцияларына қолданылуы мүмкін.
Ауқымды қауіпсіздік саясаты ережесі функционалдық тұрғы-
дан мынадай топтарға бөлінген:
•
VPN ережесі. Аталған тир ережесі IPSec хаттамалары кө ме-
гімен жүзеге
асырылады; клиенттік құрлығының немесе қауіп-
сіздік шлюзінің (
IP\, IP2, VPNRule) стегіндегі VPN драйвер ере-
жені орындау агенті болып саналады;
247
• дестелік (пакеттік) сүзгі ережесі. Олар stateful жəне stateless
түріндегі дестелік сүзгіден өткізуді қамтамасыз етеді;
• осы ережелерді орындау, VPN-ережені (
IP\, IP2, PacketRule)
орындайтын, сол
агенттерді қамтамасыз етеді;
• «жазға» антивирустық қорғауды
қоса алғанда,
proxy – ереже.
Бұл ереже, берілген қолданбалы хаттамаларды басқару жолымен
берілетін, трафикті сүзгіден өткізуге жауап береді;
proxy-агент
олардың орындаушы агенті болып саналады, мысалы (User,
Protocol, ProxyRule) немесе (Application, Protocol, Proxy-Rule);
•
Single Sign-On ережесін қоса алғанда, аутентификациялан-
ған/авторланған қатынау ережесі.
Single Sign-On қатынауды бас-
қару аталған пайдаланушыға бірыңғай парольде жұмысты не-
месе көптеген ақпараттық қорлармен өзге аутентификациялық
ақпа раттарды қамтамасыз етеді; желілік қатынау ережесінің
символикалық жазуы Single Sign-On (User, Application, Authenti-
cation Scheme)-да оңай таралады.
Осы топ ережелері, VPN-драй-
верден
proxy-агенттерге дейін, əртүрлі деңгейдегі агенттермен
аралас, сұрау-жауап қайтаруды аутентификациялау жүйелері жə-
не үшінші əзірлеушілердің өнімдері осындай ережелерді орын-
дайтын агенттер болуы мүмкін;
• сигнализация мен оқиғаларға жауап беретін, ереже. Хатта-
малау саясатын хаттама жасау агенті жедел жəне бір орталықтан
басқаруы мүмкін; жүйенің бүкіл құраушылары ережелерді орын-
даушылар болып саналады.
Ауқымды қауіпсіздік
саясаты ережелерінің жиыны, жеке-
леген құрылғылар қауіпсіздігінің жергілікті саясаты соның не-
гізінде құрылуы мүмкін, желілер масштабтарында қауіпсіздік
саясатының логикалық тұтастықтағы жəне семантикалық толық
сипаттамасы болып саналады.
Достарыңызбен бөлісу: