Компьютерная система как объект информационной безопасности (на материалах ООО ПКФ «Полёт»). Компьютерная система как объект информационной безопасности на материалах ооо пкф полёт
 Скачать 119.69 Kb.
|
3.2 Программно-технические меры защиты информацииПрограммно-технические меры защиты информации - это совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты конфиденциальности информации. На предприятии осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т.е. спецификация и контроль действий пользователей над информационными ресурсами организации. Центральным для программно-технического уровня является понятие сервиса безопасности, к которому относятся следующие основные и вспомогательные сервисы: идентификация и аутентификация, протоколирование и аудит, шифрование, контроль целостности, экранирование, обеспечение отказоустойчивости, RFID – технологии, штрих – технологии. Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, «проходная» информационного пространства организации. Идентификация - процесс, позволяющий установить имя пользователя. Примером идентификации может служить вручение визитной карточки, где указаны имя, должность и другая информация о конкретном лице. Аутентификация - процесс проверки подлинности введенного в систему имени пользователя. Например, проверка подлинности имени пользователя через сличение его внешнего вида с фотографией. Сервер аутентификации Kerberos. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем. Система Kerberos представляет собой доверенную третью сторону (то есть сторону, которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности. В информационных технологиях способы идентификации и аутентификации являются средством обеспечения его доступа в информационное пространство организации в целом или отдельные разделы этого пространства. Выделяют следующие способы идентификации и аутентификации: парольные методы; методы с применением специализированных аппаратных средств; методы, основанные на анализе биометрических характеристик пользователя. Наиболее перспективным в настоящее время считается использование средств идентификации пользователя по биометрическим признакам: отпечатку пальца, рисунку радужной оболочки глаз, отпечатку ладони. Эти методы обладают достаточно высокой надежностью и не требуют от пользователя запоминания сложных паролей или заботы о сохранности аппаратного идентификатора. В процессе обеспечения информационной безопасности особое внимание уделяется протоколированию и аудиту информации. Протоколирование - это сбор и накопление информации о событиях, происходящих в информационно-вычислительной системе. При осуществлении протоколирования и аудита преследуются следующие цели: · обеспечить подотчетность пользователей и администраторов; · обеспечить возможность реконструкции последовательности событий; · обнаружить попытки нарушений информационной безопасности; · предоставить информацию для выявления и анализа проблем. Обеспечение подобной подотчетности считается одним из средств сдерживания попыток нарушения информационной безопасности, поскольку реконструкция событий позволяет выявить слабости в защите, найти виновника, определить способ устранения проблемы и вернуться к нормальной работе. Криптография, или шифрование. Эта область информационной безопасности занимает центральное место среди программно - технических средств безопасности. Контроль целостности. Механизм контроля целостности осуществляет слежение за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием. Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование. В системе предусмотрена возможность выбора времени контроля. В частности, контроль может быть выполнен при загрузке ОС, при входе пользователя в систему или после входа пользователя, по заранее составленному расписанию. При обнаружении несоответствия могут применяться различные варианты реакции на возникающие ситуации нарушения целостности, например, регистрация события в журнале Secret Net, блокировка компьютера. Вся информация об объектах, методах, расписаниях контроля сосредоточена в модели данных. Модель данных хранится в локальной базе данных системы Secret Net 6 и представляет собой иерархический список объектов и описание связей между ними. В модели используются 5 категорий объектов: ресурсы, группы ресурсов, задачи, задания и субъекты активности (компьютеры, пользователи и группы пользователей). Модель, включающая в себя объекты всех категорий, между которыми установлены связи, — это подробная инструкция системе Secret Net 6, определяющая, что и как должно контролироваться. Модель данных является общей для механизмов контроля целостности и замкнутой программной среды. Каждая из централизованных моделей данных является общей для всех защищаемых компьютеров под управлением версий ОС Windows соответствующей разрядности (32- или 64-разрядные версии). При изменении параметров централизованной модели, которые должны применяться на защищаемом компьютере, выполняется локальная синхронизация этих изменений. Новые параметры из централизованного хранилища передаются на компьютер, помещаются в локальную модель данных и затем используются защитными механизмами. Редактирование централизованных моделей данных осуществляется со следующими особенностями: для редактирования доступна та модель данных, которая соответствует разрядности ОС Windows на рабочем месте администратора. Модель данных другой разрядности доступна только для чтения (при этом можно экспортировать данные из этой модели в другую). Таким образом, если в системе имеются защищаемые компьютеры с версиями ОС различной разрядности, для централизованного управления моделями данных администратору следует организовать два рабочих места — на компьютере с 32-разрядной версией ОС Windows и на компьютере с 64-разрядной версией ОС. |