|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Методы и средства защиты информацииМетоды обеспечения безопасности информации в ИС: · препятствие; · управление доступом; · механизмы шифрования; · противодействие атакам вредоносных программ; · регламентация; · принуждение; · побуждение. Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.). Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции зашиты: · идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора); · опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору; · проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту); · разрешение и создание условий работы в пределах установленного регламента; · регистрацию (протоколирование) обращений к защищаемым ресурсам; · реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий. Механизмы шифрования – криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным. Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС. Овладение этим комплексом мер и средств требует знакомства со специальной литературой. Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени. Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм. Вся совокупность технических средств подразделяется на аппаратные и физические. Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу. Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п. Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС. Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений. Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя. Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США. Вопросы организации защиты информации должны решаться уже на стадии предпроектной разработки ИС. Опыт проектирования систем защиты еще не достаточен. Однако уже можно сделать некоторые обобщения. Погрешности защиты могут быть в значительной мере устранены, если при проектировании учитывать следующие основные принципы построения системы защиты: 1. Простота механизма защиты. Этот принцип общеизвестен, но не всегда глубоко осознается. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением трудоемких действий при обычной работе законных пользователей. 2. Постоянство защиты. Надежный механизм, реализующий это требование, должен быть постоянно защищен от несанкционированных изменений. Ни одна компьютерная система не может рассматриваться как безопасная, если основные аппаратные и программные механизмы, призванные обеспечивать безопасность, сами являются объектами несанкционированной модификации или видоизменения. 3. Всеобъемлющий контроль. Этот принцип предполагает необходимость проверки полномочий любого обращения к любому объекту и лежит в основе системы защиты. 4. Не секретность проектирования. Механизм защиты должен функционировать достаточно эффективно даже в том случае, если его структура и содержание известны злоумышленнику. Не имеет смысла засекречивать детали реализации системы защиты, предназначенной для широкого использования. Эффективность защиты не должна зависеть от того, насколько опытны потенциальные нарушители. Защита не должна обеспечиваться только секретностью структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно способствовать ее преодолению (даже автору). 5. Идентификация. Каждый объект ИС должен однозначно идентифицироваться. При попытке получения доступа к информации решение о санкционировании его следует принимать на основании данных претендента и определения высшей степени секретности информации, с которой ему разрешается работать. Такие данные об идентификации и полномочиях должны надежно сохраняться и обновляться компьютерной системой для каждого активного участника системы, выполняющего действия, затрагивающие ее безопасность. Пользователи должны иметь соответствующие полномочия, объекты (файлы) — соответствующий гриф, а система должна контролировать все попытки получения доступа. 6. Разделение полномочий. Применение нескольких ключей защиты. Это удобно в тех случаях, когда право на доступ определяется выполнением ряда условий. 7. Минимальные полномочия. Для любой программы и любого пользователя должен быть определен минимальный круг полномочий, необходимых для работы. 8. Надежность. Система ЗИ должна иметь механизм, который позволил бы оценить обеспечение достаточной надежности функционирования СЗИ (соблюдение правил безопасности, секретности, идентификации и отчетности). Для этого необходимы выверенные и унифицированные аппаратные и программные средства контроля. Целью применения данных механизмов является выполнение определенных задач методом, обеспечивающим безопасность. 9. Максимальная обособленность механизма защиты означает, что защита должна быть отделена от функций управления данными. 10. Защита памяти. Пакет программ, реализующих защиту, должен размещаться в защищенном поле памяти, чтобы обеспечить системную локализацию попыток проникновения извне. Даже попытка проникновения со стороны программ операционной системы должна автоматически фиксироваться, документироваться и отвергаться, если вызов выполнен некорректно. 11. Удобство для пользователей: схема защиты должна быть в реализации простой, что бы механизм защиты не создавал для пользователей дополнительных трудностей. 12. Контроль доступа на основании авторизации пользователя по его физическому ключу и личному PIN коду. Это обеспечивает защиту от атак неавторизованных пользователей на доступ: - к ресурсам ПК; - к областям HD ПК; - к ресурсам и серверам сети; - к модулям выполнения авторизации пользователей. 13. Авторизация пользователя на основании физического ключа позволяет исключить непреднамеренную дискредитацию его прав доступа. 14. Отчетность. Необходимо защищать контрольные данные от модификации и несанкционированного уничтожения, чтобы обеспечить обнаружение и расследование выявленных фактов нарушения безопасности. Надежная система должна сохранять сведения о всех событиях, имеющих отношение к безопасности, в контрольных журналах. Кроме того, она должна гарантировать выбор интересующих событий при проведении аудита, чтобы минимизировать стоимость аудита и повысить эффективность анализа. Наличие программных средств аудита или создание отчетов еще не означает ни усиления безопасности, ни наличия гарантий обнаружения нарушений. 15. Доступность к исполнению только тех команд операционной системы, которые не могут повредить операционную среду и результат контроля предыдущей аутентификации. 16. Наличие механизмов защиты от: - несанкционированного чтения информации; - модификации хранящейся и циркулирующей в сети информации; - навязывания информации; - несанкционированного отказа от авторства переданной информации. Механизмы защиты ресурсов должны контролировать доступ к объектам. 17. Системный подход к защите информации предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенных для обеспечения безопасности ИС. 18. Возможность наращивания защиты. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности. 19. Комплексный подход предполагает согласованное применение разнородных средств защиты информации. 20. Адекватность — обеспечение необходимого уровня защиты (определяется степенью секретности подлежащей обработке информации) при минимальных издержках на создание механизма защиты и обеспечение его функционирования. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и масштаб возможного ущерба были бы приемлемыми (задача анализа риска). 21. Минимизация привилегий в доступе, предоставляемых пользователям, т.е. каждому пользователю должны предоставляться только действительно необходимые ему права по обращению к ресурсам системы и данным. 22. Полнота контроля — обязательный контроль всех обращений к защищаемым данным. 23. Наказуемость нарушений. Наиболее распространенная мера наказания — отказ в доступе к системе. 24. Экономичность механизма — обеспечение минимальности расходов на создание и эксплуатацию механизма. 25. Принцип системности сводится к тому, что для обеспечения надежной защиты информации в современных ИС должна быть обеспечена надежная и согласованная защита во всех структурных элементах, на всех технологических участках автоматизированной обработки информации и во все время функционирования ИС. 26. Специализация, как принцип организации защиты, предполагает, что надежный механизм защиты может быть спроектирован и организован лишь профессиональными специалистами по защите информации. Кроме того, для обеспечения эффективного функционирования механизма защиты в состав ИС должны быть включены соответствующие специалисты. 27. Принцип не формальности означает, что методология проектирования механизма защиты и обеспечения его функционирования в основе своей — неформальна. В настоящее время не существует инженерной (в традиционном понимании этого термина) методики проектирования механизма защиты. Методики проектирования, разработанные к настоящему времени, содержат комплексы требований, правил, последовательность и содержание этапов, которые сформулированы на неформальном уровне, т.е. механическое их осуществление в общем случае невозможно. 28. Гибкость системы защиты. Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. 29. Принцип непрерывности защиты предполагает, что защита информации — это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС. Разработка системы защиты должна осуществляться параллельно с разработкой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные защищенные информационные системы. Корпоративный портал (англ. Enterprise portal) — это, в общем случае, веб-интерфейс для доступа сотрудника к корпоративным данным и приложениям. Часто корпоративный портал воспринимается, как синоним интранета. Альтернативная точка зрения состоит в том, что корпоративный портал — это лишь видимая для пользователя часть интранета. С развитием веб-технологий назначение и возможности корпоративных порталов претерпели ряд изменений. Ниже приведены основные группы функциональных возможностей корпоративных порталов, которые появились в ходе этого развития. Первоначальным назначением корпоративных порталов являются функции внутреннего сайта организации: - публикация новостей и других материалов для сотрудников; - создание базы файлов и документов; - форум для внутреннего общения.
Многие программные продукты для создания внутренних порталов до сих пор ограничиваются данным функционалом. Основным отличием таких порталов от публичных сайтов является система управления правами доступа, которая обеспечивает безопасность коммерческой информации. Следующим этапом в развитии корпоративных порталов стало появление в их составе инструментов для совместной работы. Как правило, современные корпоративные порталы позволяют создавать виртуальные рабочие пространства для отдельных проектов или подразделений организации. В таком рабочем пространстве сотрудники могут использовать такие инструменты, как: - групповой календарь; - хранилище документов с контролем версий; - система управления задачами; И, наконец, последней стадией эволюции корпоративных порталов стала их роль в качестве инструмента интеграции корпоративных данных и приложений. Целью этой интеграции является предоставление пользователю единой точки доступа к информационной инфраструктуре организации. Преимуществом данной модели являются: · возможность работы с несколькими корпоративными приложениями (например, с почтой, CRM, ERP) в одном интерфейсе; · персонализация этого интерфейса для каждого отдельного пользователя сквозная система аутентификации пользователей; · возможность использования данных, хранящихся в различных хранилищах в сети компании. Для интеграции с другими корпоративными приложениями, порталы используют портлеты (основанные на Java технологиях) или виджеты (основанные на технологиях HTML, JavaScript).
Примерные вопросы к студентам 1. Дайте определение каналам утечки информации. 2. Перечислите наиболее известные способы несанкционированного доступа к компьютерной информации через каналы утечки данных. 3. Приведите примеры «косвенных» и прямых» каналов утечки информации. 4. Какие «типы» нарушителей в системе Вы знаете? 5. Перечислите методы и средства защиты информации. 6. Что такое «Корпоративный портал»?
Заключение В ходе изучения данной дисциплины Вы узнали о возможных каналах утечки и несанкционированного доступа к информации, а также, основные методы и средства защиты информации и баз данных организации и принципах проектирования системы защиты.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.014 сек.) |