В разделе материалов: 47
Показано материалов: 1-10 |
Страницы: 1 2 3 4 5 » |
|
Для оценки защищенности системы проводят анализ ее уязвимостей. Под
уязвимостями понимаются «слабые места» системы, которыми может воспользоваться
злоумышленник как собственно для атаки, так и для сбора необходимой информации о
системе для будущих атак.
Анализ уязвимостей может быть двух видов: пассивный и активный.
При пассивном анализе производится только сканирование системы —
определяются элементы и механизмы системы, защита которых недостаточна, чем
может воспользоваться злоумышленник. При этом также делаются предположения о
возможности проведения вторжения.
Активный анализ предполагает попытки проведения различного рода атак и, в
большинстве случаев, является более достоверным и эффективным методом. Однако
при его использовании есть вероятность выхода системы из строя.
Практические исследования показали, что уязвимости можно разделить на два
класса:
— операционные дефекты (ошибки реализации);
— ошибки администрирования.
Операционные дефекты характеризуют технологическую безопасность
информационного ресурса и являются результатом ошибок проектирования и
реализации программного обеспечения АС. Для удобства создания систем защиты и
моделирования проникновения в АС целесообразно классифицировать ошибки
проектирования по механизмам (подсистемам) безопасности системы. При этом
основными типами операционных дефектов являются недостатки механизмов
аутентификации, разграничения доступа, целостности данных, криптографии, а также
сетевых протоколов и ошибки программной peaлизации. |
|
также ее
соответствующие подсистемы.
К механизмам поддержки ПБ относятся:
— средства идентификации и аутентификации пользователей;
— средства контроля доступа;
— криптографические средства (т. е. средства шифрования информации);
— средства электронно-цифровой подписи;
— средства контроля целостности;
— средства аудита, т. е. фиксации действий пользователей системы;
— механизмы защиты трафика;
— механизмы управления маршрутизацией.
Средства идентификации и аутентификации пользователей системы
Идентификация пользователя — процесс распознавания пользователя системы по
некоторому признаку. Обычно в компьютерных системах для идентификации
используется некоторое кодовое имя пользователя.
Аутентификация — подтверждение того факта, что пользователь, предъявляющий
системе некоторый идентификатор, действительно является тем, за кого себя
выдает. |
|
В широком смысле политика безопасности (ПБ) представляет собой правила
обращения с информацией, принятые в данной организации. Применительно к защите
информации в вычислительных системах можно сформулировать следующее определение.
Политикой безопасности называется совокупность правил, законов и
практических рекомендаций, на основе которых строится управление, защита,
распределение конфиденциальной информации в системе.
ПБ должна охватывать все особенности процесса обработки информации и
определять поведение системы в различных ситуациях. Политика безопасности
представляет собой набор требований, реализуемых с помощью организационных мер и
программно-аппаратных средств. Эти требования определяют архитектуру системы
защиты информации.
Реализация политики безопасности для конкретной автоматизированной системы
осуществляется с помощью соответствующих механизмов защиты и средств управления
ими. Для конкретной организации ПБ должна быть индивидуальной, зависящей от
применяемых технологий обработки информации, используемых программных и
технических средств, существующих угроз защищаемой информации и прочих условий. |
|
Наиболее распространенным видом компьютерных нарушений считается
несанкционированный доступ (НСД) к информации. Нормативные документы
Гостехкомиссии РФ определяют НСД как «доступ к информации, нарушающий
установленные правила разграничения доступам с использованием штатных средств,
предоставляемых средствами вычислительной техники (СВТ) и автоматизированными
системами (АС). Под штатными средствами понимается совокупность программного,
микропрограммного и технического обеспечения СВТ и АС».
Реализация НСД может проходить по двум направлениям.
Активные способы воздействия. Это означает, что можно преодолеть
систему защиты, т. е. путем различных воздействий на нее прекратит ее работу в
отношении пользователя (злоумышленника) или других программ. Этот путь сложный,
но достаточно эффективный.
Пассивные способы воздействия. Позволяют определить, какие наборы
данных, представляющие интерес для злоумышленника, открыты для доступа по
недосмотру или умыслу администратора системы, из-за ошибок в программном
обеспечении или сбоев оборудования, противоречивости правил разграничения
доступа и т. п. Такой НСД легко осуществить. Но, хотя обнаружить подобные
воздействия не очень просто, защита от пассивных способов реализации угроз
несложна.
Для осуществления НСД необходимо выполнение следующих условий:
— вычислительные ресурсы злоумышленника и санкционированного пользователя
должны находиться в единой программной среде, (в некоторых случаях необходимо и
совпадение моментов времени работы санкционированного пользователя и действий
злоумышленника);
— злоумышленник должен с помощью некоторого набора программ (команд)
организовать путь в данной среде от своего вычислительного ресурса к ресурсу
санкционированного пользователя;
— злоумышленник должен иметь возможность с помощью данных программ выполнить
несанкционированное чтение (запись) из (в) ресурса санкционированного
пользователя. |
|
построения
системы защиты.
Под угрозой защищаемой информации будем понимать некоторую ситуацию (или
потенциально существующую возможность ее осуществления), которая может привести
к нарушению установленного статуса информации.
Вообще говоря, понятие угрозы является комплексным и включает в себя
несколько составляющих: источники угроз, виды угроз и способы их реализации.
В качестве источников угроз защищаемой информации могут выступать
люди, средства обработки, передачи и хранения информации, другие технические
средства и системы, не связанные непосредственно с обработкой защищаемой
информации, стихийные бедствия и природные явления.
Наиболее опасным источником угроз является человек. Он может
производить широкий спектр различных негативных воздействий на информацию как
преднамеренных, так и непреднамеренных (случайных). Воздействие со стороны всех
остальных источников угроз всегда носит случайный характер.
Средства обработки, передачи и хранения информации могут представлять
для нее угрозу в случае выхода их из строя или появления сбоев в работе. Кроме
того, при обработке информации с помощью ЭВМ необходимо организовать защиту от
возникающих в процессе Работы побочных электромагнитных излучений и наводок. |
|
Развитие компьютерных средств телекоммуникации и переход к распределенной
обработке информации в современных автоматизированных системах способствовали
выделению информационной безопасности компьютерных сетей в отдельную задачу.
Главной целью автоматизированных информационных сетей является
предоставление необходимой информации определенным лицам, т. е. обеспечение ее
постоянной доступности. Вместе с тем с развитием преступности в сфере высоких
технологий возникла проблема противодействия различного рода негативным
влияниям.
Таким образом, возникает необходимость выполнить два противоречивых
требования. С одной стороны, должен быть обеспечен постоянный доступ к
информационным ресурсам тех сотрудников, которым это разрешено и необходимо. С
другой стороны, информация не должна быть открыта для посторонних, причем
посторонними в данном случае считаются также и сотрудники, в компетенцию
кото¬рых данные сведения не входят.
Реализовать такой набор требований можно только при создании единой и
целостной системы обеспечения информационной безопасности. В настоящее время
организациям-владельцам автоматизированных систем уже не нужно самостоятельно
заниматься построением системы защиты из отдельных элементов: на рынке появился
ряд готовых продуктов — комплексных систем обеспечения информационной
безопасности автоматизированных систем, в том числе защищенных АСУ.
Развитие информационных технологий привело к возникновению дополнительных
трудностей при обеспечении информационной безопасности АСУ. Повсеместный переход
к распределенным информационным системам позволяет оперативно осуществлять
управление отдаленными друг от друга объектами, но при прохождении по сетям
связи информация может быть изменена. Кроме того, из открытых внешних сетей
доступ к АСУ может получить постороннее лицо, в том числе воспользовавшись
именем реального сотрудника — пользователя АСУ. Более того, значительно
усложнившееся программное обеспечение стало практически невозможно
контролировать. Поэтому построение системы защиты информации в
автоматизированных информационных системах должно быть комплексным и
всесторонним.
Процесс создания системы защиты информации в автоматизированных системах
(АС) подразумевает прохождение следующих этапов:
— выявление угроз защищаемой информации;
— определение политики безопасности;
— создание механизмов поддержки политики безопасности;
— оценка защищенности системы. |
|
сферах деятельности на первый план выходит информация, а следовательно, и
процессы, связанные с ее получением, обработкой и использованием. Информация
стала определяющим ресурсом для успешной деятельности почти любого предприятия.
Утверждение «Кто владеет информацией, тот владеет миром» становится реальностью.
Как мы установили в предыдущих главах, для успешного осуществления
управленческой деятельности необходима информация – один из наиболее ценных
управленческих ресурсов.
Любая информация, необходимая для удовлетворения потребностей субъекта
информационного обмена, должна отвечать следующим требованиям:
— полнота, т. е. достаточность имеющейся информации для принятия правильных
решений;
— достоверность, т. е. отсутствие в полученной информации искажений,
внесенных случайно или намеренно;
— своевременность, т. е. получение информации именно в тот момент времени,
когда она необходима.
Получение неполной или искаженной информации, а также блокирование доступа к
ней могут привести к принятию неправильных решений в области управления.
Кроме того, в большинстве случаев информация имеет наибольшую ценность
только в силу неизвестности конкурентам или злоумышленникам. Такую информацию
будем называть конфиденциальной или информацией, составляющей коммерческую тайну
организации. Подобная информация должна быть защищена от утечки. |
|
Интернет сделал возможным свободный обмен информацией, невзирая на
расстояния и государственные границы. Датой начала использования сети Интернет в
нашей стране считается август 1990 года, когда на базе РНЦ «Курчатовский
институт» была создана сеть Редком (от RELiable COMmunications — надежная
связь). В работах по созданию сети принимали участие специалисты кооператива
«Демос» (в настоящее время — ООО «Компания «Демос»), большинство из которых
являлись сотрудниками Курчатовского института. Уже к концу года было подключено
около 30 организаций, среди которых были российские научные центры Серпухова,
Санкт-Петербурга, Новосибирска, Дубны. Сеть базировалась исключительно на
технологии электронной почты, причем с возможностью переписки и на русском
языке. Двадцать восьмого августа 1990 г. состоялся первый сеанс связи с
Финляндией по международному телефону.
Основными услугами, предоставляемыми абонентам сети РЕЛКОМ, являются:
— электронная почта;
— просмотр новостей и организация телеконференций с использованием
электронной почты;
— возможность доступа к архивам файлов, размещенных на компьютерах сети;
— использование факсимильной, телетайпной и телексной связи;
— получение информации из базы данных с помощью электронной почты.
РЕЛКОМ обеспечивает обмен сообщениями электронной почты для пользователей
сетей Интернет, EUnet, BITNET и др.
По соглашению с информационными агентствами абоненты Редком могут получать
различные аналитические материалы по экономическим вопросам, политические и
экономические новости, а также обзоры материалов популярных изданий.
Кроме того, пользователи могут ознакомиться с состоянием Рынка ценных бумаг,
получать предложения и результаты биржевых торгов из различных регионов. |
|
Интернет представляет собой в достаточной степени свободное пространство, не
имеющее централизованного управляющего органа. Однако даже Интернет — сеть,
независимая по своей сути, — не сможет существовать без неких стандартизирующих
организаций, которые будут следить за внесением корректив в единые стандарты, а
также выполнять другие подобные функции.
Internet Society (ISOC) — профессиональное сообщество, занимающееся
вопросами роста и эволюции Интернет, способами ее использования, а также
социальными, политическими и техническими последствиями такого использования.
ISOC обеспечивает поддержку групп и организаций, участвующих в использовании,
управлении и развитии Интернет в виде собраний, на которых обсуждаются вопросы
технического и организационного характера; предоставляет информацию о сети
Интернет; выпускает бюллетень Internet Society News.
Internet Architecture Board (IAB), входящая в состав ISOC, координирует
развитие протоколов TCP/IP, представляет на рассмотрение ISOC результаты
исследований, объединяет различные группы по развитию Интернет: IESG, IETF,
IRTF, IANA, CERT.
Internet Engineering Steering Group (IESG), входящая в структуру IAB,
занимается рассмотрением стандартов и техническими работами для IETF. Она
работает по правилам и процедурам, устанавливаемым советом ISOC, анализирует
состояние дел и заключительные редакции предложений по стандартам. IESG состоит
из выборных членов IETF. |
|
Основными направлениями развития данной сети в будущем считаются следующие.
В области развития технических средств и технологий организации связи:
— увеличение скорости обмена информацией;
— широкое внедрение средств беспроводного доступа;
— создание более быстродействующих средств коммутации и маршрутизации;
— внедрение магистральных линий связи с более широкой полосой пропускания;
— создание новых типов программ клиентов и серверов.
Внедрение данных технологий позволит улучшить качество обслуживания
пользователей сети и даст им возможность работать с новыми прикладными
программами.
В области развития приложений в сети Интернет выделяются следующие основные
направления:
— широкое внедрение IР-телефонии;
— предоставление пользователям гарантированного качества обслуживания;
— развитие средств передачи аудио- и видеоинформации;
— появление и развитие мультисервисных сетей. |
|