Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Закон'
Настоящая работа посвящена осмыслению сути греха и указанию путей борьбы с ним. Здесь Вы найдете наиболее полный перечень всех грехов, встречающихся ...полностью>>
'Учебное пособие'
Игибаева А.К. История педагогической мысли и образовательной системы Казахстана: Учебное пособие / А.К.Игибаева; ВКГУ. - Усть-Каменогорск: Издательст...полностью>>
'Реферат'
Раздел 2 Социально-экономическое развитие Шумихинского района за 2 -2007гг и целевая динамика основных показателей на перспективу (на 2010,2015,2020гг...полностью>>
'Анализ'
Дошкольное образование в Благовещенском районе осуществляется через сеть дошкольных образовательных учреждений и ГКП (группы кратковременного пребыва...полностью>>

Главная > Документ

Сохрани ссылку в одной из сетей:

Программно-аппаратная защита информации

  1. Компьютерная система как объект защиты информации.

Компьютерная система (КС) является по своему назначению и содержательной сущности информационной системой (ИС), представляющей собой взаимосвязанную совокупность средств, методов и персонала, обеспечивающих сбор, хранение, обработку, передачу и отображение информации в интересах достижения поставленной цели.

Функциональной основой любой ИС являются протекающие в ней информационные процессы. Характер этих процессов определяется соответствующей информационной технологией (ИТ). Информационная технология – это совокупность средств и методов сбора, обработки, передачи данных (первичной информации) для получения информации нового качества (информационного продукта) о состоянии объекта, процесса или явления. Иначе говоря, информационная технология представляет собой процесс, реализуемый в среде информационной системы.

Компьютерная система, подобно любым другим информационным системам, является также объектом защиты. Предметом защиты в КС является информация. Применительно к КС информация материализуется в виде так называемых данных, представленных на машинных носителях или отображаемых физическим состоянием различных электронных и электромеханических устройств. В качестве машинных носителей информации обычно используются бумага, магнитные ленты, диски различных типов. Физическое состояние технических средств КС, участвующих в хранении, обработке и передаче данных, идентифицируется соответствующими уровнями электрических сигналов, представляющих двоично-кодированную информацию.

Для обеспечения безопасности информации в компьютерных системах требуется защита не только аппаратных, но и программных средств таких систем. Программные средства сами по себе являются частью информационного ресурса компьютерной системы, а, кроме того, от их безопасности существенно зависит безопасность любой другой информации, которая хранится, передается или обрабатывается в КС. Таким образом, для защиты информации в КС необходимо защищать технические и программные средства, а также машинные носители от несанкционированных (неразрешенных) воздействий на них.

При решении проблемы защиты информации в КС необходимо учитывать и противоречивость человеческого фактора. Обслуживающий персонал и пользователи могут быть как объектом, так и источником несанкционированного воздействия на информацию. Таким образом, компьютерная система как объект защиты представляет собой совокупность следующих взаимосвязанных компонентов:

Ø информационных массивов, представленных на различных машинных носителях;

Ø технических средств обработки и передачи данных (компьютерных и телекоммуникационных средств);

Ø программных средств, реализующих соответствующие методы, алгоритмы и технологию обработки информации;

Ø обслуживающего персонала и пользователей системы, объединенных по организационному, предметно-тематическому, технологическому и другим принципам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

  1. Понятие угрозы информационной безопасности в КС.

Под угрозой информационной безопасности КС понимают потенциально возможное событие, действие, процесс или явление, которые могут оказать нежелательное воздействие на систему, а также на информацию, которая в ней хранится и обрабатывается. Такие угрозы, воздействия на информацию непосредственно или опосредовано, через другие компоненты компьютерной системы (программно-технические средства, обслуживающий персонал, пользователей), могут привести к уничтожению, искажению, копированию, хищению, несанкционированному распространению информации, к ограничению или блокированию доступа к ней и т.д.

Независимо от специфики конкретных видов угроз информационная безопасность должна сохранять, прежде всего, такие свойства информации и систем ее обработки, как:

Ø целостность;

Ø конфиденциальность;

Ø доступность.

Целостность информации заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Угроза нарушения целостности включает в себя любое умышленное изменение информации, хранящейся в компьютерной системе или передаваемой из одной системы в другую.

Конфиденциальность информации – это свойство, указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Данное свойство информации вытекает из необходимости защиты законных интересов отдельных субъектов информационных отношений. Угроза нарушения конфиденциальности информации может привести к ситуации, в которой данная информация становится известной тому, кто не располагает полномочиями доступа к ней.

Доступность информации – это свойство системы, в которой циркулирует информация, характеризующее способность обеспечивать своевременный и беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в этом возникает необходимость. Угроза недоступности информации возникает всякий раз, когда в результате преднамеренных действий других пользователей или злоумышленников блокируется доступ к некоторому ресурсу компьютерной системы. Такое блокирование может быть постоянным, т.е. запрашиваемый ресурс никогда не будет получен. Блокирование может вызывать только задержку запрашиваемого ресурса, достаточно продолжительную для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан.

Для преодоления существующей системы защиты необходимо предварительно получить тем или иным способом данные о параметрах и характеристиках этой системы. В связи с этим угроза раскрытия параметров КС, включая параметры ее системы защиты, обычно рассматривается как еще один вид угроз информационной безопасности. Данная угроза раскрытия является опосредованной. В результате ее реализации не причиняется, какой-либо ущерб обрабатываемой в КС информации, однако при этом существенно усиливаются возможности проявления названных ранее первичных или непосредственных угроз.

  1. Классификация и общий анализ угроз информационной безопасности в КС.

Классификация угроз информационной безопасности компьютерных систем может быть проведена по ряду базовых признаков.

1. По природе возникновения.

1.1. Естественные угрозы, т.е. угрозы, вызванные воздействиями на КС и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека.

1.2. Искусственные угрозы, т.е. угрозы, вызванные деятельностью человека.

2. По степени преднамеренности проявления.

2.1. Случайные угрозы.

2.2. Преднамеренные угрозы.

3. По непосредственному источнику угроз.

3.1. Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение и т.п.).

3.2. Угрозы, непосредственным источником которых является человек.

Например:

Ø внедрение агентов в число персонал системы;

Ø вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей;

Ø угроза несанкционированного копирования конфиденциальных данных пользователей;

Ø разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.).

3.3. Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства.

Например, в случаях:

Ø ошибок, допущенных при их разработке;

Ø сбоев или отказов в процессе эксплуатации;

Ø некомпетентного использования.

4. Угрозы, непосредственным источником которых являются несанкционированные программно–аппаратные средства.

Например, нелегально внедренные программно-аппаратные "закладки" или деструктивные вредительские программы, часто называемые вирусами.

5. По положению источника угроз.

Угрозы, источник которых расположен вне контролируемой зоны, территории (помещения), на которой находится КС.

Например:

Ø перехват побочных электромагнитных, акустических и других излучений, а также наводок на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, цепи электропитания, заземления и т.п.);

Ø перехват данных, непосредственно передаваемых по каналам связи;

Ø дистанционная фото– и видеосъемка.

6. Угрозы, источник которых расположен в пределах контролируемой зоны, территории (помещения), на которой находится КС.

Например:

Ø хищение производственных отходов (распечаток, записей списанных носителей т.п.);

Ø отключение или вывод из строя подсистем обеспечения функционирования КС (электропитания, линий связи, систем охлаждения и вентиляции и т.п.);

Ø применение подслушивающих устройств.

7. Угрозы, источник которых имеет доступ к периферийным устройства КС (терминалам).

8. Угрозы, источник которых непосредственно расположен в КС и связан либо с некорректным использованием ресурсов КС, либо с количественной или качественной недостаточностью этих ресурсов, которая была изначально заложена на стадии проектирования компьютерной системы.

9. По степени зависимости от активности КС.

Ø Угрозы, проявляемые независимо от активности КС, например, хищение носителей информации (магнитных дисков, лент, микросхем памяти и др.).

Ø Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных, например, угрозы распространения программных вирусов.

10. . По степени воздействия на КС.

Ø Пассивные угрозы, которые ничего не меняют в структуре и функциональной организации КС, например, угроза копирования данных.

Ø Активные угрозы, при реализации которых вносятся изменения в структурную и функциональную организацию КС, например, угроза внедрения аппаратных и программных спецвложений.

11. По этапам доступа пользователей или программ к ресурсам КС.

Ø Угрозы, которые могут проявляться на этапе доступа к ресурсам КС.

Ø Угрозы, которые после разрешения доступа реализуются в результате несанкционированного или некорректного использования ресурсов КС.

12. По способу доступа к ресурсам КС.

Ø Угрозы, использующие прямой стандартный путь доступа к ресурсам КС с помощью незаконно полученных паролей или путем несанкционированного использования терминалов законных пользователей.

Ø Угрозы, использующие скрытый нестандартный путь доступа к ресурсам КС в обход существующих средств защиты.

13. По текущему месту расположения информации, хранящейся и обрабатываемой в КС.

Ø Угроза доступа к информации на внешних запоминающих устройсвах (например, путем копирования данных с жесткого диска).

Ø Угроза доступа к информации в основной памяти (например, путем несанкционированного обращения к памяти).

Ø Угроза доступа к информации, циркулирующей в линиях связи (например, путем незаконного подключения).

Ø Угроза доступа к информации, отображаемой на терминале или печатающем принтере (например, угроза записи отображаемой информации на скрытую видеокамеру).

  1. Случайные угрозы информационной безопасности.

Данные угрозы реализуются в зависимости от случайных факторов в случайные моменты времени. При этом могут происходить уничтожение, модификация, нарушение целостности и доступности информации.

К случайным относят угрозы:

Ø сбои и отказы в работе технических средств;

Ø ошибки при разработке КС, в том числе алгоритмические и программные ошибки;

Ø ошибки обслуживающего персонала и пользователей;

Ø стихийные бедствия и аварии.

сбой – это временное нарушение работоспособности какого–либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции;

отказ – это необратимое нарушение работоспособности какого–либо элемента системы, приводящее к невозможности выполнения им своих функций.

В результате сбоев или отказов нарушается необходимая работоспособность технических средств, что может привести к уничтожению или искажению данных, хранящихся и обрабатываемых в системе. Если это случается на программном уровне, то из-за изменения алгоритма работы отдельных устройств может произойти нарушение конфиденциальности информации в результате несанкционированной ее выдачи на запрещенные устройства (каналы связи, мониторы, печатающие устройства и т.п.).

Для компьютерных систем существует также случайная угроза, связанная с ошибками, допущенными при разработке технических и программных средств. Эти ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств.

  1. Преднамеренные угрозы информационной безопасности.

Возможности осуществления вредительских воздействий в большой степени зависят от статуса злоумышленника по отношению к компьютерной системе.

Злоумышленником может быть:

Ø разработчик КС;

Ø сотрудник из числа обслуживающего персонала;

Ø пользователь;

Ø постороннее лицо.

Разработчик владеет наиболее полной информацией об аппаратных и программных средствах КС и имеет возможность внедрения "закладок" на этапах создания и модернизации систем. Однако он, как правило, не получает непосредственного доступа на эксплуатируемые объекты КС.

Специалисты, обслуживающие КС, обладают различными потенциальными возможностями для злоумышленных действий. Наибольший вред могут нанести сотрудники службы безопасности информации.

Достаточно опасна ситуация, когда нарушителем является пользователь КС, который по эгоистическим или корыстным мотивам, а также в результате несоблюдения установленного порядка работы с информацией осуществляет хищение (копирование) или уничтожение информационных массивов и (или) программ.

Посторонние лица, не имеющие отношения к КС, находятся, по сравнению в другими злоумышленниками, в наименее выгодном положении. Если предположить, что они не имеют доступа к объектам КС, то в их распоряжении имеются только дистанционные средства традиционного шпионажа и возможности диверсионной деятельности.

  1. Понятие политики безопасности в компьютерных системах.

Политика информационной безопасности в компьютерных системах - это совокупность требований к функциям, архитектуре, составу и регламенту функционирования информационной системы, которые определяют траектории информационных процессов и состояния системы, безопасные для обрабатываемой информации.

Безопасность является основной заботой бизнеса, который хочет использовать Интернет в коммерческих целях и для поддержания деловых отношений. Увеличение осведомленности в необходимости защиты вылилось в увеличение количества попыток интегрировать защитные механизмы в компьютерные системы. Механизмы защиты операционной системы играют решающую роль в обеспечении безопасности на более высоких уровнях.

Необходимость наличия встроенных средств защиты на уровне операционной системы бесспорна, операционная система обеспечивает защиту механизмов прикладного уровня от неправильного использования, обхода или навязывания ложной информации. Если она не сможет удовлетворить этим требованиям, появятся уязвимости в масштабах всей системы. Потребность в защищенных операционных системах особенно важна в современных компьютерных средах. Для этого и разрабатывается политика безопасности.

  1. Разработка политики информационной безопасности.

Политика информационной безопасности формируется на основе информационного и технического обследования информационной системы, анализа информационных рисков и оценки защищенности информации, в соответствии с требованиями Российских нормативно-руководящих документов, а также рекомендаций международных стандартов в области защиты информации (например, ISO 17799), что особенно важно для предприятий, осуществляющих взаимодействие с иностранными партнерами.

Необходимо осуществлять непрерывный контроль выполнения правил политики безопасности, как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения, разбираться в их причинах.

Одна из основных форм этого контроля — регулярное проведение как внутреннего, так и внешнего аудита безопасности

Политика безопасности включает в себя 3 уровня защиты

Ø 1-й уровень - защита на уровне аппаратных средств рабочих станций и серверов, активизируемая на каждом компьютере до загрузки ОС;

Ø 2-й уровень - создание замкнутого интерфейсного окружения и защита на уровне локальных компьютерных ресурсов;

Ø 3-й уровень - защита на уровне общих ресурсов компьютерной сети, включая блокирование несанкционированного межсетевого доступа

  1. Методология политики безопасности компьютерных систем.

- Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики - это может помочь добиться соблюдения политики. Эта политика также может определять, учитываются ли другие аспекты работы, не имеющие отношения к безопасности

- Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу.

- Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.

- Роли и обязанности. Необходимо описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики.

- Соблюдение политики. Могут быть явно описаны наказания, которые должны быть увязаны с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.

  1. Основные положения политики информационной безопасности.

В стандарте ISO 17799 даны рекомендации по классификации объектов защиты и указаны аспекты информационной безопасности, которые должны быть определены в политике безопасности, разрабатываемой для конкретной организации:

Ø определение информационной безопасности и перечень составляющих ее элементов, положение о целях управления и принципах информационной безопасности;

Ø разъяснение основных положений политики информационной безопасности, принципов ее построения и стандартов в области защиты информации, соответствие политики безопасности требованиям российского и международного законодательства;

Ø порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе;

Ø организация защиты от компьютерных вирусов и других разрушающих программ средств;

Ø обеспечение непрерывности функционирования информационной системы;

Ø последствия нарушения политики информационной безопасности;

Ø порядок изменения политики информационной безопасности при модернизации системы управления или информационной системы;

Ø должностные обязанности и ответственность за обеспечение информационной безопасности руководителей и сотрудников организации;

Ø организационно-распорядительные документы, которые должны быть изданы при формировании политики (положения, инструкции, регламенты и т.п.).

  1. Жизненный цикл политики безопасности.

Жизненный цикл политики безопасности состоит из 5-и последовательных этапов:

- Первоначальный аудит безопасности. Аудит безопасности - процесс, с которого начинаются любые планомерные действия по обеспечению информационной безопасности в организации. Он включает в себя проведение обследования, идентификацию угроз безопасности, ресурсов, нуждающихся в защите и оценку рисков

- Разработка. Разработка политики безопасности с нуля не всегда является хорошей идеей. Во многих случаях можно воспользоваться существующими наработками, ограничившись адаптацией типового комплекта к специфическим условиям своей организации. Этот путь позволяет сэкономить месяцы работы и повысить качество разрабатываемых документов.

- Внедрение. На этапе внедрения необходимо непросто довести содержание политики до сведения всех сотрудников организации, но также обучить и дать необходимые разъяснения. Для успешного завершения внедрения должна быть создана специальная проектная группа, действующая по согласованному плану.

- Аудит и контроль. Соблюдение положений политики безопасности обязательно для всех сотрудников организации и должно непрерывно контролироваться. Проведение планового аудита безопасности является одним из основных методов контроля работоспособности политики безопасности, позволяющего оценить эффективность внедрения.

- Пересмотр и корректировка. Первая версия политики безопасности обычно не в полной мере отвечает потребностям организации, однако понимание этого приходит с опытом. Скорее всего, после наблюдения за процессом внедрения и оценки эффективности ее применения потребуется осуществить ряд доработок. Как правило, ежегодный пересмотр политики безопасности — норма, которая устанавливается самой политикой.

11. Принципы политики безопасности.

Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

Ø невозможность миновать защитные средства;

Ø усиление самого слабого звена;

Ø невозможность перехода в небезопасное состояние;

Ø минимизация привилегий;

Ø разделение обязанностей;

Ø эшелонированность обороны;

Ø разнообразие защитных средств;

Ø простота и управляемость информационной системы;

Ø обеспечение всеобщей поддержки мер безопасности

- Применительно к межсетевым экранам данный принцип означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через экран. Не должно быть "тайных" модемных входов или тестовых линий, идущих в обход экрана.

- Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост должен оставаться в поднятом состоянии, препятствуя проходу неприятеля.

- Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.

- Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс.

- Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, - протоколирование и аудит.

- Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками

- Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование.

- всеобщая поддержка мер безопасности - носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать, заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.

  1. Архитектура системы программно-аппаратной защиты. НЕТ

  2. Объекты угроз НЕТ. Классификация угроз по способу их осуществления. Классификация объектов угроз.

Классификация угроз по способу их осуществления

Под явными понимаются такие угрозы, которые понятны и однозначно предсказуемы. Явные угрозы связаны с некорректной реализацией и настройкой системы защиты. К ним могут быть отнесены:

Ø некорректность реализации механизма защиты;

Ø неполнота покрытия каналов доступа к информации механизмами защиты;

Ø некорректность (противоречивость) возможных настроек механизмов защиты.

Под скрытыми понимаются такие угрозы, которые не очевидны, и требуют для противодействия им дополнительных предположений о возможных атаках злоумышленника.

При этом скрытая угроза может быть охарактеризована двумя свойствами:

Ø характеристикой объекта угрозы (например, учетная запись пользователя);



Скачать документ

Похожие документы:

  1. Учебная программа по дисциплине информационная безопасность и защита информации скородумов

    Программа
    Общая проблема информационной безопасности информационных систем; защита информации при реализации информационных процессов (ввод, вывод, передача, обработка, накопление, хранение); организационное обеспечение информационной безопасности;
  2. Учебная программа (syllabus) дисциплины «информационная безопасность и защита информации» для студентов специальности 050703 «Информационные системы» Форма обучения очная

    Программа
    Программа курса составлена доцентом кафедры компьютерных технологий Шайхиным Б.М. на основании типового плана специальности 050703 -«Информационные системы»
  3. Учебная программа по дисциплине технические методы и средства защиты информации тихонов Б. И. Цели преподавания дисциплины

    Программа
    Изучение студентами методов и средств обеспечения безопасности информации при ее обработке, хранении и передаче с использованием современных технологий.
  4. Рабочая программа по дисциплине: Методы и средства защиты компьютерной информации Для специальности: 230102 Автоматизированные системы обработки информации и управления

    Рабочая программа
    Рабочая программа составлена на основании Государственного образовательного стандарта ВПО по специальности 230102 – Автоматизированные системы обработки информации и управления
  5. Защита информации и информационная безопасность лекция 2 Конфиденциальная информация

    Лекция
    Под документом, который мы относим к категории ограниченного доступа к нему персонала, подразумевается документированная на любом носителе ценная текстовая, изобразительная или электронная информация.

Другие похожие документы..