МНОГОУРОВНЕВЫЙ КОНТРОЛЬ ДОСТУПА В СИСТЕМАХ ВИДЕОКОНФЕРЕНЦСВЯЗИ XIX ОБЩЕРОССИЙСКАЯ НАУЧНО-ТЕХНИЧЕСКАЯ КОНФЕРЕНЦИЯ «МЕТОДЫ И ТЕХНИЧЕСКИЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ» Докладчик: А.С. Котылевский ООО «НеоБИТ», г. Санкт-Петербург

Специфика систем ВКС ООО «НеоБИТ»2 АИС Системы связи Системы ВКС

КД в рамках сеанса связи КД к функциям связи КД к обору- дованию связи ООО «НеоБИТ»3 Многоуровневый контроль доступа (КД)

ООО «НеоБИТ»4 КОНТРОЛЬ ДОСТУПА В РАМКАХ СЕАНСА СВЯЗИ Ролевой КД КОНТРОЛЬ ДОСТУПА К ФУНКЦИЯМ СВЯЗИ Мандатный КДДискреционный КД КОНТРОЛЬ ДОСТУПА К ОБОРУДОВАНИЮ СВЯЗИ Действующие режимные меры

КД к оборудованию связи В общем случае ограничения на доступ к оборудованию зависят от действующих в организации режимных мер. Для удобства работы с системой ВКС контроль доступа к ней должен быть организован аналогично тому, как организован контроль доступа к системе телефонной связи. ООО «НеоБИТ»5

КД к функциям связи S – множество субъектов доступа, {s 1,…,s n }; C – множество текущих сеансов связи, {c 1,…,c n }; O – множество объектов доступа, {o 1,…,o n }, O S C; OP – множество операций доступа, {call, hang-up}, call(s) – операция создания двухточечного сеанса связи, call(s 1,…,s m ) – операция создания многоточечного сеанса, call(c) – субъект осуществляет доступ к текущему сеансу, hang-up() – отключение от текущего сеанса связи. ООО «НеоБИТ»6

КД к функциям связи Мандатный КД SC – множество уровней секретности, {l 1,…,l n }; cl – функция определения уровня секретности; cl(s) = l s, cl(c)=max(cl(s 1 ),…,cl(s m )), где {s 1,…,s m } c Дискреционный КД CP – множество разрешений на вызов, {cp 1,…,cp n }; cp описывается парой (p-owner; p-subject) ООО «НеоБИТ»7

8 кому кто Субъект СвободенВ сеансе связи Подчиненный Коллега Начальник Подчиненный Коллега Начальник Субъект (при согласии субъекта и с разрывом текущего сеанса) Сеанс связи (при согласии субъекта и с разрывом текущего сеанса) КД к функциям связи Таблица 1. Мандатный КД для операции call()

КД в рамках сеанса связи По различным оценкам соотношение количества информации, передаваемой различными способами: – 5-7% слова; – 35% - 38% интонации и модуляции голоса; – 55% - 65% жесты, позы, мимика и пр. КД в рамках сеанса связи может использоваться для: – управления чувствительностью микрофонов или соотношением громкости каналов звука от различных участников; – управления раскладкой изображений, транслируемых от различных участников; – выполнения прочих режиссерских функций. ООО «НеоБИТ»9

КД в рамках сеанса связи P – множество участников сеанса связи, {p 1,…,p n }; R – множество ролей, {director, speaker, listener}; PA – текущее соотношение участников и их ролей, PA P × R; множества P и PA могут изменяться в течении сеанса связи. ООО «НеоБИТ»10 P участники сеанса R роли PA участники активные роли

Особенности подхода ООО «НеоБИТ»11 Оптимальный баланс между безопасностью и удобством использования. Распределение функций обеспечения безопасности между различными системами защиты. Простота настройки в соответствии с реально существующей административно-служебной иерархией (мандатный КД). Обеспечение гибкости настройки путем определения индивидуальных разрешений на вызов (дискреционный КД). Автоматизация функций режиссера по управлению сеансом связи (ролевой КД).

СПАСИБО ЗА ВНИМАНИЕ! Доклад подготовил: Котылевский Артур Суренович ООО «НеоБИТ», г. Санкт-Петербург 12

Архитектура КУП «Купидон» ООО «НеоБИТ»13 Шлюз контроля доступа (ШКД) средство разграничения и контроля доступа; обеспечивает выполнение правил политики безопасности; защищает от угрозы подмены идентифицирующей информации. Центр управления доступом (ЦУД) средство мониторинга и управления; используется как АРМ администратора ИТКС; позволяет осуществлять надзор за функционированием системы. Пульт управления средство идентификации операций доступа; используется для санкционирования операций доступа абонентами системы ИТКС.

Архитектура КУП «Купидон» (продолжение) ООО «НеоБИТ»14

Механизм авторизации сеансов связи в КУП «Купидон» 1. Запрос создания сеанса связи. 2. Проверка запроса по политике безопасности. 3. Запрос авторизации сеанса связи. 4. Авторизация сеанса связи. 5. Разрешение канала связи между абонентами А и Б. 6. Информирование о начале сеанса связи. 7. Обмен данными. ООО «НеоБИТ»15