Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначенные для поддерживания проводов на необходимой высоте над землей, водой...
Своеобразие русской архитектуры: Основной материал – дерево – быстрота постройки, но недолговечность и необходимость деления...
Топ:
Техника безопасности при работе на пароконвектомате: К обслуживанию пароконвектомата допускаются лица, прошедшие технический минимум по эксплуатации оборудования...
Теоретическая значимость работы: Описание теоретической значимости (ценности) результатов исследования должно присутствовать во введении...
Оценка эффективности инструментов коммуникационной политики: Внешние коммуникации - обмен информацией между организацией и её внешней средой...
Интересное:
Инженерная защита территорий, зданий и сооружений от опасных геологических процессов: Изучение оползневых явлений, оценка устойчивости склонов и проектирование противооползневых сооружений — актуальнейшие задачи, стоящие перед отечественными...
Аура как энергетическое поле: многослойную ауру человека можно представить себе подобным...
Лечение прогрессирующих форм рака: Одним из наиболее важных достижений экспериментальной химиотерапии опухолей, начатой в 60-х и реализованной в 70-х годах, является...
Дисциплины:
2021-04-18 | 637 |
5.00
из
|
Заказать работу |
|
|
К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств КС.
К основным аппаратным средствам защиты информации относятся:
• устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);
• устройства для шифрования информации;
• устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).
Примеры вспомогательных аппаратных средств защиты информации:
• устройства уничтожения информации на магнитных носите лях;
• устройства сигнализации о попытках несанкционированных действий пользователей КС и др.
Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций.
К основным программным средствам защиты информации относятся:
• программы идентификации и аутентификации пользователей КС;
• программы разграничения доступа пользователей к ресурсам КС;
• программы шифрования информации;
• программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.
|
Заметим, что под идентификацией, применительно к обеспечению информационной безопасности КС, понимают однозначное распознавание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта).
Примеры вспомогательных программных средств защиты информации:
• программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т. п.);
• программы аудита (ведения регистрационных журналов) со бытий, связанных с безопасностью КС, для обеспечения возмож ности восстановления и доказательства факта происшествия этих
событий;
• программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);
• программы тестового контроля защищенности КС и др К преимуществам программных средств защиты информации относятся:
• простота тиражирования;
• гибкость (возможность настройки на различные условия при менения, учитывающие специфику гроз информационной безопасности конкретных КС);
• простота применения — одни программные средства, напри мер шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя ни
каких новых (по сравнению с другими программами) навыков;
Программное средство защиты информации | Защищаемая система | |
Рис. 1.1. Пример пристыкованного программного средства защиты
Защищаемая | ||
Программное средство защиты информации | ||
система |
Рис. 1.2. Пример встроенного программного средства защиты
• практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации.
К недостаткам программных средств защиты информации относятся:
• снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирование программ защиты;
|
• более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты,например шифрования);
• пристыкованность многих программных средств защиты (а не их встроенность в программное обеспечение КС, рис. 1.1 и 1.2), что создает для нарушителя принципиальную возможность их об
хода;
• возможность злоумышленного изменения программных средств защиты в процессе эксплуатации КС.
Требования к комплексным системам защиты информации
Поскольку потенциальные угрозы безопасности информации весьма многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации (КСЗЙ), под которой понимается совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в КС.
Основные требования к комплексной системе защиты информации:
• разработка на основе положений и требований существующих законов, стандартов и нормативно-методических документов по обеспечению информационной безопасности;
• использование комплекса программно-технических средств и организационных мер для защиты КС;
• надежность, производительность, конфигурируемость;
• экономическая целесообразность (поскольку стоимость КСЗИ включается в стоимость КС, стоимость средств защиты не должна быть выше возможного ущерба от потери информации);
• выполнение на всех этапах жизненного цикла обработки информации в КС (в том числе при проведении ремонтных и регламентных работ);
• возможность совершенствования;
• обеспечение разграничения доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию(обеспечение не только пассивной, но и активной защиты);
• взаимодействие с незащищенными КС по установленным для этого правилам разграничения доступа;
• обеспечение проведения учета и расследования случаев нарушения безопасности информации в КС;
• сложная для пользователя (не должна вызывать у него психологического противодействия и стремления обойтись без применения ее средств);
• возможность оценки эффективности ее применения.Впервые основные категории требований к защищенности КС были сформулированы в документе Министерства обороны США «Trusted Computer System Evaluation Criteria» («Критерии оценки безопасности компьютерных систем», или «Оранжевая книга»), 1985 г. В этом документе предложены три основные категории требований.
|
1. Политика:
• наличие явной и хорошо определенной политики обеспечения безопасности;
• использование маркировки объектов КС для управления доступом к ним.
2. Подотчетность:
• индивидуальная идентификация субъектов КС;
• сохранение и защита информации аудита.
3. Гарантии:
• включение в состав КС программно-аппаратных средств для получения гарантий выполнения требований категорий 1 и 2;
• постоянная защищенность средств обеспечения безопасности информации в КС от их преодоления и (или) несанкционированного изменения.
В «Оранжевой книге» были введены семь классов защищенности КС — от минимальной защиты (класс D1) до верифицированной (формально доказанной) защиты (класс А1). Требования «Оранжевой книги» явились первой попыткой создать единый стандарт безопасности КС, рассчитанный на проектировщиков, разработчиков (программистов), пользователей подобных систем и специалистов по их сертификации.
Отличительной чертой этого стандарта является ориентация на государственные (в первую очередь военные) организации и операционные системы.
В 1992 г. Гостехкомиссия России опубликовала первый комплект руководящих документов по защите средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа.
СВТ не решают непосредственно прикладных задач, а используются в качестве элементов АС. Примерами СВТ являются плата расширения BIOS с соответствующим аппаратным и программным интерфейсом для аутентификации пользователей АС или программа «прозрачного» шифрования информации на жестком диске.
В руководящих документах Гостехкомиссии России определены семь классов защищенности СВТ от несанкционированного доступа к обрабатываемой (сохраняемой, передаваемой) с помощью этих средств информации (наиболее защищенным является первый класс),
АС рассматривается как комплекс СВТ и имеет дополнительные характеристики: полномочия пользователей, модель нарушителя, технология обработки информации. Типичным примером АС является многопользовательская и многозадачная операционная система.
|
В руководящих документах Гостехкомиссии России определены девять классов защищенности АС от несанкционированного доступа, объединенных в три группы:
• однопользовательские АС с информацией, размещенной на
носителях одного уровня конфиденциальности (класс ЗБ и ЗА);
• многопользовательские АС с одинаковыми полномочиями пользователей и информацией на носителях разного уровня конфиденциальности (классы 2Б и 2А);
• многопользовательские АС с разными полномочиями пользователей и информацией разного уровня конфиденциальности (в порядке возрастания защищенности от класса 1Д до класса 1А).
Под несанкционированным доступом к информации в руководящих документах Гостехкомиссии России понимается доступ к информации, нарушающий установленные правила разграничения доступа и использующий штатные возможности СВТ и АС. Руководящие документы Гостехкомиссии России, подобно «Оранжевой книге», ориентированы прежде всего на применение в КС силовых структур Российской Федерации. Дальнейшее развитие стандартов в области информационной безопасности КС привело к появлению европейских «Критериев оценки безопасности информационных технологий» (Information Technology Security Evaluation Criteria), американских «Федеральных критериев безопасности информационных технологий» (Federal Criteria for Information Technology Security), канадских «Критериев оценки безопасности компьютерных продуктов» (Canadian Trusted Computer Product Evaluation Criteria) и завершилось на сегодняшний день принятием «Общих критериев оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation).
«Общие критерии...» адресованы трем группам специалистов (пользователям, разработчикам и экспертам по классификации КС) и представляют собой новый межгосударственный уровень в стандартизации безопасности информационных технологий.
В Российской Федерации «Общие критерии...» изданы в качестве ГОСТа (ГОСТ РИСО/МЭК 15408-2001 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»).
В «Общих критериях...» предложена система функциональных требований к защищенным КС и критерии их независимого ранжирования.
Иначе говоря, в этих стандартах не устанавливается линейная шкала уровней безопасности КС, характерная для «Оранжевой книги». Это объясняется тем, что для одних КС наиболее важным требованием является идентификация и аутентификация пользователей, а для других — реализация конкретной политики разграничения доступа к ресурсам или обеспечение доступности информации.
|
33Способы несанкционированного доступа к информации в компьютерных системах и защиты от него ■■<
В руководящих документах Гостехкомиссии России приведены следующие основные способы несанкционированного доступа к информации в КС:
• непосредственное обращение к объекту с конфиденциальной информацией (например, с помощью управляемой пользователем программы, читающей данные из файла или записывающей
их в него);
• создание программных и технических средств, выполняющих обращение к объекту в обход средств защиты (например, с использованием случайно или намеренно оставленных разработчи
ком этих средств, так называемых люков);
• модификация средств защиты для осуществления несанкционированного доступа (например, внедрение программных закладок);
• внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих структуру и функции этих средств для осуществления несанкционированного доступа
(например, путем загрузки на компьютере иной, незащищенной операционной системы).
Модель нарушителя в руководящих документах Гостехкомиссии России определяется исходя из следующих предположений:
• нарушитель имеет доступ к работе со штатными средствами КС;
• нарушитель является специалистом высшей квалификации (знает все о КС и, в частности, о системе и средствах ее защиты).
Можно выделить следующие уровни возможностей нарушителя, предоставляемые ему штатными средствами КС (каждый следующий уровень включает в себя предыдущий):
1) запуск программ из фиксированного набора (например,подготовка документов или получение почтовых сообщений);
2) создание и запуск собственных программ (возможности опытного пользователя или пользователя с полномочиями отладки программ);
3) управление функционированием КС — воздействие на ее базовое программное обеспечение, состав и конфигурацию КС (например, внедрение программной закладки);
4) весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт средств КС, вплоть до включения в состав КС собственных СВТ с новыми функциями.
С учетом различных уровней возможностей нарушителя выделяют следующие вспомогательные способы несанкционированного доступа к информации в КС, позволяющие нарушителю использовать перечисленные ранее основные способы:
• ручной или программный подбор паролей путем их полного
перебора или при помощи специального словаря (взлом КС);
• подключение к КС в момент кратковременного прекращения работы легального пользователя, работающего в интерактивном режиме и не заблокировавшего свой терминал;
• подключение к линии связи и перехват доступа к КС после отправки пакета завершения сеанса легального пользователя, работающего в удаленном режиме;
• выдача себя за легального пользователя с применением похищенной у него или полученной обманным путем (с помощью так называемой социальной инженерии) идентифицирующей информации — «маскарад»;
• создание условий для связи по компьютерной сети легального пользователя с терминалом нарушителя, выдающего себя залегального объекта КС (например, одного из ее серверов), — «ми
стификация»;
• создание условий для возникновения в работе КС сбоев, которые могут повлечь за собой отключение средств защиты информации или нарушение правил политики безопасности;
• тщательное изучение подсистемы защиты КС и используемой в ней политики безопасности, выявление ошибочных участков в программных средствах защиты информации в КС, введение про
граммных закладок, разрешающих доступ нарушителю.
Приведем пример использования способа несанкционированного доступа к информации в КС, основанный на создании аварийной ситуации. Если у нарушителя есть физический доступ хотя бы к одной рабочей станции локальной вычислительной сети (ЛВС) организации или к линии связи, то он сможет внедрить на рабочей станции программную закладку (или подключить к линии связи специальное устройство), перехватывать все пакеты подключения легального пользователя этой рабочей станции к серверу ЛВС и искажать имя пользователя в этих пакетах (иначе говоря, создать условия, при которых легальный пользователь КС никогда не сможет подключиться к серверу).
В этой ситуации на атакуемую рабочую станцию рано или поздно придет администратор ЛВС для того, чтобы разобраться в причинах сбоев при подключении к серверу. Если при этом администратор пошлет пакет подключения к серверу под своей привилегированной учетной записью, в которой оставлено имя администратора по умолчанию (например, «Supervisor» в операционной системе Novell Netware или «Администратор» в операционных системах Windows NT/2000/XP Professional), то тем самым цель нарушителя (перехват пароля администратора) будет достигнута.
Причиной успеха описанной в данном примере атаки является нарушение администратором системы правил политики безопасности, в соответствии с которыми он должен использовать привилегированную учетную запись только для выполнения административных функций и только с защищенной рабочей станции, а для выполнения других действия требуется создать другую учетную запись администратора с отличным от принятого по умолчанию именем.
В соответствии с руководящими документами Гостехкомиссии России основными направлениями обеспечения защиты СВТ и АС от несанкционированного доступа являются создание системы разграничения доступа (СРД) субъектов к объектам доступа и создание обеспечивающих средств для СРД.
К основным функциям СРД относятся:
• реализация правил разграничения доступа субъектов и их процессов к информации и устройствам создания ее твердых копий;
• изоляция процессов, выполняемых в интересах субъекта доступа, от других субъектов;
• управление потоками информации в целях предотвращенияее записи на носители несоответствующего уровня конфиденциальности;
• реализация правил обмена информацией между субъектами в компьютерных сетях.
К функциям обеспечивающих средств для СРД относятся:
• идентификация и аутентификация субъектов и поддержание привязки субъекта к процессу, выполняемому для него;
• регистрация действий субъекта и активизированного им процесса;
• исключение и включение новых субъектов и объектов доступа, изменение полномочий субъектов;
• реакция на попытки несанкционированного доступа (сигнализация, блокировка, восстановление объекта после несанкционированного доступа);
• учет выходных печатных форм в КС;
• контроль целостности программной и информационной части СРД и обеспечивающих ее средств.
Итак, основными способами защиты от несанкционированного доступа к информации в компьютерных системах являются аутентификация, авторизация (определение прав доступа субъекта к объекту с конфиденциальной информацией) и шифрование информации.
|
|
Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим...
История развития хранилищ для нефти: Первые склады нефти появились в XVII веке. Они представляли собой землянные ямы-амбара глубиной 4…5 м...
История развития пистолетов-пулеметов: Предпосылкой для возникновения пистолетов-пулеметов послужила давняя тенденция тяготения винтовок...
Особенности сооружения опор в сложных условиях: Сооружение ВЛ в районах с суровыми климатическими и тяжелыми геологическими условиями...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!