Главная страница
Навигация по странице:

  • Нормативно-правовая защита

  • Физическая защита

  • Программно-аппаратная защита

  • Аппаратная защита

  • Программная защита

  • ПАЗИ 1. Место пази в системе кзи


    Скачать 1.38 Mb.
    НазваниеМесто пази в системе кзи
    АнкорПАЗИ 1.doc
    Дата14.04.2018
    Размер1.38 Mb.
    Формат файлаdoc
    Имя файлаПАЗИ 1.doc
    ТипДокументы
    #18075
    страница1 из 20
      1   2   3   4   5   6   7   8   9   ...   20
    1. Место ПАЗИ в системе КЗИ.


    Ценность информации изменяется во времени. Как правило, со временем ценность информации уменьшается.

    C(t) =C0e-2,3t/τ, где C0- ценность информации в момент ее возникновения (получения); t- время от момента возникновения информации до момента определения ее стоимостиτ- время от момента возникновения информации до момента ее устаревания.

    Для организации КСЗИ в общем случае может быть предусмотрено 4 защитных уровня.

    1. Внешний уровень, охватывающий всю территорию расположения ВС.

    2. Уровень отдельных сооружений или помещений расположения устройств ВС и линий связи с ними.

    3. Уровень компонентов ВС и внешних носителей информации.

    4. Уровень технологических процессов хранения, обработки и передачи информации.

    Первые три уровня обеспечивают в основном физическое препятствие доступу путем ограждения, системы сигнализации, организации пропускного режима, экранирования проводов и т. д. Последний уровень предусматривает логическую защиту информации в том случае, когда физический доступ к ней имеется.

    Для защиты информационной системы требуется сочетать меры следующих уровней:

    1. Нормативно-правовая защита основывается на нормах информационного права (формирует ответственность).

    2. Организационная защита - изучение обстановки на объекте - разработка программы защиты - деятельность по введению указанной программы - контроль выполнения  установленных правил.

    3. Физическая защита состоит в физическом преграждении доступа посторонних лиц в помещения на пути к данным и процессу их обработки.

    Для физической защиты применяются следующие средства:

    лазерные и оптические системы, реагирующие на пересечение наруши­телями световых лучей;

    телевизионные системы наблюдения за охраняемыми объектами;

    системы защиты окон и дверей от несанкционированного проникновения, а также наблюдения и подслушивания;

    механические и электронные замки на двери и ворота;

    1. Программно-аппаратная защита меры, направленные на контроль компьютерных сущностей – оборудования, программ и данных, образуют последний и самый важный рубеж ИБ. Программно-технические меры реализуются программным и аппаратным обеспечением узлов и сети.

    Ущерб наносят в основном действия легальных пользователей, главные враги – некомпетентность и неаккуратность. Только программно-технические меры способны им противостоять. В связи с этим именно компьютер (особенно находящийся в составе сети) следует в первую очередь рассматривать в качестве объекта защиты, а конечного пользователя – в качестве ее наиболее вероятного потенциального нарушителя.

    На практике сегодня существует два подхода к обеспечению компьютерной безопасности: 1) использование только встроенных в ОС и приложения средств защиты; 2) применение, наряду со встроенными, дополнительных механизмов защиты. Этот подход заключается в использовании так называемых технических средств добавочной защиты – программных, либо программно-аппаратных комплексов, устанавливаемых на защищаемые объекты.

    Аппаратная защита реализуется аппаратурой в составе ЭВМ или с помощью специализированных устройств. Основными аппаратными средствами защиты являются средства защиты процессоров и основной памяти, устройств ввода-вывода, систем передачи данных по каналам связи, систем электропитания, устройств внешней памяти (зеркальные диски) и т. д.

    Аппаратные средства защиты процессоров производят контроль допустимости выдаваемых из программ команд. Средства защиты памяти обеспечивают режим совместного использования и разграничения оперативной памяти при выполнении программ. К аппаратным средствам защиты устройств ввода-вывода относятся различные схемы блокировки от несанкционированного использования. Средства защиты передачи данных по каналам связи представляют собой схемы засекречивания (шифрования) информации.

    электронные ключи и SMART-карты.

    платы аппаратного шифрования

    межсетевой экран

    модули доверенной загрузки

    К настоящему времени разработано значительное число аппаратных средств различного назначения:

    -специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

    -генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

    -устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

    -специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты;

    -схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

    К основным аппаратным средствам защиты информации от­носятся:

    • устройства для ввода идентифицирующей пользователя ин­формации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);

    • устройства для шифрования информации;

    • устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).

    Программная защита реализуется с помощью различных программ: операционных систем, программ обслуживания, антивирусных пакетов, инструментальных систем (СУБД, электронных таблиц, текстовых процессоров, систем программирования и т. д.), специализированных программ защиты и готовых прикладных программ.

    Под программными средствами защиты информации понима­ют специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функ­ций.

    К основным программным средствам защиты информации от­носятся:

    • программы идентификации и аутентификации пользователей КС;

    • программы разграничения доступа пользователей к ресур­сам КС;

    • программы шифрования информации;

    • программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компью­терных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.


    К основным сервисам (или функциям) безопасности относятся:

    - идентификация и аутентификация;

    Идентификация пользователя - это, с одной стороны, присвоение пользователю идентификатора - некоторого уникального признака (или нескольких); с другой стороны, процесс, во время которого пользователь указывает присвоенный ему идентификатор.

    Аутентификация пользователя - установление подлинности пользователя на основе сравнения с эталонным идентификатором.

    Авторизация пользователя- установление прав пользователя. 

    Авторизованный пользователь  (авторизованное лицо) - пользователь (лицо), который получил определенные права на работу с информацией.

    - управление доступом позволяет специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами. Управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных;

    - протоколирование и аудит Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически;

    - конфиденциальность;

    - контроль целостности осуществляет слежение за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием. При этом основу механизмов контроля целостности файловых объектов представляет проверка соответствия контролируемого объекта эталонному образцу. Для контроля могут использоваться контрольные суммы и ряд иных признаков, например, дата последней модификации объекта и т.д

    Циклический избыточный код (в частности, CRC8, CRC16, CRC32) применяется для проверки целостности передачи данных. Программы-архиваторы включают CRC исходных данных в созданный архив для того, чтобы получающий мог удостовериться в корректности полученных данных. Такая контрольная сумма проста в реализации и обеспечивает низкую вероятность возникновения коллизий.

    MD5 и другие криптографические хеш-функции используются, например, для подтверждения целостности и подлинности передаваемых данных.;

    - экранирование Экран – это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана аключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны (бранд-мауары (firewalls)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду;

    - анализ защищенности Сканирование внешних сетевых адресов ЛВС из сети Интернет, Сканирование ресурсов ЛВС изнутри, Анализ конфигурации серверов и рабочих станций ЛВС;

    - обеспечение отказоустойчивости;

    - обеспечение безопасного восстановления (резервное копирование);

    - туннелирование суть состоит в том, чтобы "упаковать" передаваемую порцию данных, вместе со служебными полями, в новый "конверт". В качестве синонимов термина " туннелирование " могут использоваться " конвертование " и " обертывание ".

    Туннелирование может применяться для нескольких целей:

    -передачи через сеть пакетов, принадлежащих протоколу, который в данной сети не поддерживается (например, передача пакетов IPv6 через старые сети, поддерживающие только IPv4);

    -обеспечения конфиденциальности (в первую очередь конфиденциальности трафика) за счет сокрытия истинных адресов и другой служебной информации;

    обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими сервисами;

    - управление.

      1   2   3   4   5   6   7   8   9   ...   20


    написать администратору сайта