Оценка защищенности системы
| Для оценки защищенности системы проводят анализ ее уязвимостей. Под
уязвимостями понимаются «слабые места» системы, которыми может воспользоваться
злоумышленник как собственно для атаки, так и для сбора необходимой информации о
системе для будущих атак.
Анализ уязвимостей может быть двух видов: пассивный и активный.
При пассивном анализе производится только сканирование системы —
определяются элементы и механизмы системы, защита которых недостаточна, чем
может воспользоваться злоумышленник. При этом также делаются предположения о
возможности проведения вторжения.
Активный анализ предполагает попытки проведения различного рода атак и, в
большинстве случаев, является более достоверным и эффективным методом. Однако
при его использовании есть вероятность выхода системы из строя.
Практические исследования показали, что уязвимости можно разделить на два
класса:
— операционные дефекты (ошибки реализации);
— ошибки администрирования.
Операционные дефекты характеризуют технологическую безопасность
информационного ресурса и являются результатом ошибок проектирования и
реализации программного обеспечения АС. Для удобства создания систем защиты и
моделирования проникновения в АС целесообразно классифицировать ошибки
проектирования по механизмам (подсистемам) безопасности системы. При этом
основными типами операционных дефектов являются недостатки механизмов
аутентификации, разграничения доступа, целостности данных, криптографии, а также
сетевых протоколов и ошибки программной peaлизации.
Ошибки администрирования характеризуют эксплуатационную : безопасность и
являются результатом некорректных настроек операционной системы и ее приложений
по отношению к назначению АС и требованиям к ее безопасности. Причинами ошибок
администрирования могут быть различные некомпетентные, халатные или
злонамеренные действия администраторов и пользователей АС. Основными типами
ошибок администрирования являются ошибки параметров подключения пользователей,
настройки парольной зашиты и использования легко подбираемых паролей,
конфигурирования сервера, назначения полномочий.
В настоящее время существуют специальные средства контроля защищенности.
Кроме того, многие системы информационной безопасности имеют встроенные средства
для осуществления такого контроля. В любом случае необходимо уделять достаточное
внимание этому этапу создания и функционирования системы защиты, так как наличие
системы защиты, в работе которой возможны серьезные сбои и ошибки, в некоторых
случаях хуже её отсутствия. Это связано с тем, что у пользователей появляется
иллюзия защищенности, хотя на самом деле ситуация прямо противоположная.
Таким образом, для грамотного выбора или построения системы защиты
информации и поддержания ее функционирования необходимо обратить внимание на
следующие моменты:
— выявление всех возможных угроз защищаемой информации;
— грамотное, полное и четкое формулирование политики безопасности
организации в целом и вычислительной системы в частности;
— комплексность построения системы защиты: она должна содержать полный набор
необходимых механизмов и средств защиты и осуществлять их совместное
использование;
— необходимость постоянного слежения за работой системы защиты и ее
периодических проверок;
— правильный выбор фирмы-производителя системы защиты и ее отдельных
компонентов: данная фирма должна хорошо зарекомендовать себя на рынке,
желательно наличие большого опыта работы в данной области и широкой сети
клиентов.
Только при соблюдении перечисленных условий можно говорить об обеспечении
определенного уровня информационной безопасности.
|
| Категория: Инф. безопасность автоматизированных систем и сетей | Добавил: glengine (13.01.2010)
|
| Просмотров: 995 | Комментарии: 20
| Рейтинг: 5.0/1 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] |