ПАЗИ 1. Место пази в системе кзи
Скачать 1.38 Mb.
|
Ценность информации изменяется во времени. Как правило, со временем ценность информации уменьшается. C(t) =C0e-2,3t/τ, где C0- ценность информации в момент ее возникновения (получения); t- время от момента возникновения информации до момента определения ее стоимости; τ- время от момента возникновения информации до момента ее устаревания. Для организации КСЗИ в общем случае может быть предусмотрено 4 защитных уровня.
Первые три уровня обеспечивают в основном физическое препятствие доступу путем ограждения, системы сигнализации, организации пропускного режима, экранирования проводов и т. д. Последний уровень предусматривает логическую защиту информации в том случае, когда физический доступ к ней имеется. Для защиты информационной системы требуется сочетать меры следующих уровней:
Для физической защиты применяются следующие средства: лазерные и оптические системы, реагирующие на пересечение нарушителями световых лучей; телевизионные системы наблюдения за охраняемыми объектами; системы защиты окон и дверей от несанкционированного проникновения, а также наблюдения и подслушивания; механические и электронные замки на двери и ворота;
Ущерб наносят в основном действия легальных пользователей, главные враги – некомпетентность и неаккуратность. Только программно-технические меры способны им противостоять. В связи с этим именно компьютер (особенно находящийся в составе сети) следует в первую очередь рассматривать в качестве объекта защиты, а конечного пользователя – в качестве ее наиболее вероятного потенциального нарушителя. На практике сегодня существует два подхода к обеспечению компьютерной безопасности: 1) использование только встроенных в ОС и приложения средств защиты; 2) применение, наряду со встроенными, дополнительных механизмов защиты. Этот подход заключается в использовании так называемых технических средств добавочной защиты – программных, либо программно-аппаратных комплексов, устанавливаемых на защищаемые объекты. Аппаратная защита реализуется аппаратурой в составе ЭВМ или с помощью специализированных устройств. Основными аппаратными средствами защиты являются средства защиты процессоров и основной памяти, устройств ввода-вывода, систем передачи данных по каналам связи, систем электропитания, устройств внешней памяти (зеркальные диски) и т. д. Аппаратные средства защиты процессоров производят контроль допустимости выдаваемых из программ команд. Средства защиты памяти обеспечивают режим совместного использования и разграничения оперативной памяти при выполнении программ. К аппаратным средствам защиты устройств ввода-вывода относятся различные схемы блокировки от несанкционированного использования. Средства защиты передачи данных по каналам связи представляют собой схемы засекречивания (шифрования) информации. электронные ключи и SMART-карты. платы аппаратного шифрования межсетевой экран модули доверенной загрузки К настоящему времени разработано значительное число аппаратных средств различного назначения: -специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности; -генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства; -устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации; -специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты; -схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы). К основным аппаратным средствам защиты информации относятся:
Программная защита реализуется с помощью различных программ: операционных систем, программ обслуживания, антивирусных пакетов, инструментальных систем (СУБД, электронных таблиц, текстовых процессоров, систем программирования и т. д.), специализированных программ защиты и готовых прикладных программ. Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций. К основным программным средствам защиты информации относятся:
К основным сервисам (или функциям) безопасности относятся: - идентификация и аутентификация; Идентификация пользователя - это, с одной стороны, присвоение пользователю идентификатора - некоторого уникального признака (или нескольких); с другой стороны, процесс, во время которого пользователь указывает присвоенный ему идентификатор. Аутентификация пользователя - установление подлинности пользователя на основе сравнения с эталонным идентификатором. Авторизация пользователя- установление прав пользователя. Авторизованный пользователь (авторизованное лицо) - пользователь (лицо), который получил определенные права на работу с информацией. - управление доступом позволяет специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами. Управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных; - протоколирование и аудит Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически; - конфиденциальность; - контроль целостности осуществляет слежение за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием. При этом основу механизмов контроля целостности файловых объектов представляет проверка соответствия контролируемого объекта эталонному образцу. Для контроля могут использоваться контрольные суммы и ряд иных признаков, например, дата последней модификации объекта и т.д Циклический избыточный код (в частности, CRC8, CRC16, CRC32) применяется для проверки целостности передачи данных. Программы-архиваторы включают CRC исходных данных в созданный архив для того, чтобы получающий мог удостовериться в корректности полученных данных. Такая контрольная сумма проста в реализации и обеспечивает низкую вероятность возникновения коллизий. MD5 и другие криптографические хеш-функции используются, например, для подтверждения целостности и подлинности передаваемых данных.; - экранирование Экран – это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана аключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны (бранд-мауары (firewalls)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду; - анализ защищенности Сканирование внешних сетевых адресов ЛВС из сети Интернет, Сканирование ресурсов ЛВС изнутри, Анализ конфигурации серверов и рабочих станций ЛВС; - обеспечение отказоустойчивости; - обеспечение безопасного восстановления (резервное копирование); - туннелирование суть состоит в том, чтобы "упаковать" передаваемую порцию данных, вместе со служебными полями, в новый "конверт". В качестве синонимов термина " туннелирование " могут использоваться " конвертование " и " обертывание ". Туннелирование может применяться для нескольких целей: -передачи через сеть пакетов, принадлежащих протоколу, который в данной сети не поддерживается (например, передача пакетов IPv6 через старые сети, поддерживающие только IPv4); -обеспечения конфиденциальности (в первую очередь конфиденциальности трафика) за счет сокрытия истинных адресов и другой служебной информации; обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими сервисами; - управление. |