Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Программно-технический уровень ИБ ⇐ ПредыдущаяСтр 7 из 7
Вводится понятие сервиса безопасности. Рассматриваются вопросы архитектурной безопасности, предлагается классификация сервисов. Особенности современных ИС, существенные с точки зрения безопасности Информационная система типичной современной организации является весьма сложным образованием, построенным в многоуровневой архитектуре клиент/сервер, которое пользуется многочисленными внешними сервисами и, в свою очередь, предоставляет собственные сервисы вовне. Даже сравнительно небольшие магазины, обеспечивающие расчет с покупателями по пластиковым картам (и, конечно, имеющие внешний Web-сервер), зависят от своих информационных систем и, в частности, от защищенности всех компонентов систем и коммуникаций между ними.
Программно-технические меры направлены на контроль компьютерных объектов, оборудования, программ и данных, образуют последний и самый важный рубеж информационной безопасности. Напомним, что ущерб наносят в основном действия легальных пользователей. Главные враги - некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять. Центральным для программно-технического уровня является понятие сервиса безопасности Сервис безопасности Сервис безопасности - набор средств, обеспечивающих надежную защиту на программно-техническом уровне: 1. идентификация и аутентификация (использование электронной подписи и электронных серти фикатов); 2. управление доступом (разграничение прав пользователей и доступа к информаци онным ресурсам); 3. протоколирование и аудит; 4. шифрование ( криптографическое кодирование информа ции); 5. контроль целостности; 6. экранирование ( установку межсетевых экранов); 7. анализ защищенности; 8. обеспечение отказоустойчивости; 9. обеспечение безопасного восстановления; 10. туннелирование; Ограничение доступа к документам путем установки паро лей на открытие файлов и на разрешение для изменения данных, а также установка атрибутов "скрытый" или "только для чтения"; Технические средства включают в себя различные аппаратные способы защиты информации: • экраны на аппаратуру; • ключ для блокировки клавиатуры;
•использование специального технического устройства (электронного ключа), подключаемого к порту ввода-вывода компьютера и др.; •применение биометрических систем распознавания личности - анализа отпечатков пальцев, радужной оболочки глаз, тембра голоса и т. п. Программные средства предусматривают. • криптографическое кодирование (шифрование) информации; • использование электронной подписи и электронных серти фикатов; • установку межсетевых экранов; • разграничение прав пользователей и доступа к информаци онным ресурсам; • ограничение доступа к документам путем установки паро лей на открытие файлов и на разрешение для изменения данных, а также установка атрибутов "скрытый " или " только для чтения"; 1. Идентификация и аутентификация Идентификация - присвоение какому-либо объекту или субъекту уникального имени или образа; Аутентификация - установление подлинности объекта или субъекта, т. е. проверка, является ли этот субъект (объект) тем, за кого он себя выдает. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему. Что служит аутентификатором (то есть используется для подтверждения подлинности субъекта)? Субъект может подтвердить свою подлинность, предъявив: пароль, личный идентификационный номер, криптографический ключ, свои биометрические характеристики (голос, отпечатки пальцев, узор сетчатки глаза и т.п.) 2. Управление доступом (разграничение прав пользователей и доступа к информаци онным ресурсам); Механизмы контроля доступа осуществляют проверку полномочий объектов сети (программ и пользователей) на доступ к ее ресурсам. При доступе к ресурсу через соединение контроль выполняется как в точке инициализации обмена, так и в конечной точке, а также в промежуточных точках. Основой для реализации этих механизмов являются матрица прав доступа и различные варианты ее реализации. Мандатные списки включают метки безопасности, присвоенные объектам, которые дают право на использование ресурса. К другому типу относятся списки прав доступа, основанные на аутентификации объекта и последующей проверке его прав в специальных таблицах (базах контроля доступа), существующих для каждого ресурса.
3. Протоколирование и аудит. Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Реализация протоколирования и аудита решает следующие задачи: · обеспечение подотчетности пользователей и администраторов; · обеспечение возможности реконструкции последовательности событий; · обнаружение попыток нарушений информационной безопасности; · предоставление информации для выявления и анализа проблем. При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию: · дата и время события; · уникальный идентификатор пользователя – инициатора действия; · тип события; · результат действия (успех или неудача); · источник запроса (например, имя терминала); · имена затронутых объектов (например, открываемых или удаляемых файлов); · описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта). 4. Шифрование ( криптографическая защита). Криптография - тайнопись, специальная система изменения обычного письма, используемая с целью сделать текст понятным лишь ограниченному числу лиц, знающих эту систему. Криптография необходима для реализации, по крайней мере, трех сервисов безопасности: · шифрование; · контроль целостности; · а утентификация (этот сервис был рассмотрен нами ранее). Шифрование – наиболее мощное средство обеспечения конфиденциальности. Во многих отношениях оно занимает центральное место среди программно-технических регуляторов безопасности Шифрование может быть симметричным и асимметричным. Симметричное - основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Асимметричное - характеризуется тем, что для шифрования используется ключ, являющийся общедоступным, а для дешифрования – другой являющийся секретным. При этом знание общедоступного ключа не дает возможности определить секретный ключ. Для реализации механизма шифрования нужна организация специальной служб генерации ключей и их распределения между абонентами сети. 5. Контроль целостности. Механизмы обеспечения целостности применяются как к отдельным блокам данных, так и к информационным потокам. Целостность обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем с последующим сравнением контрольных криптографических сумм. Возможно и использование более простых методов типа нумерации блоков или их дополнения так называемым клеймом (меткой) времени. Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов (таких как поток сообщений); определять подлинность источника данных; гарантировать невозможность отказаться от совершенных действий ("неотказуемость"). В основе криптографического контроля целостности лежат два понятия:
· хэш-функция; · электронная цифровая подпись (ЭЦП). Хэш-функция – это труднообратимое преобразование данных (односторонняя функция), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции. Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажений информации в электронном документе. Механизмы цифровой подписи используются для реализации служб аутентификации. Эти механизмы основываются на алгоритмах асимметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура обеспечивай шифрование блока данных либо его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя. При использовании асимметричных методов шифрования (и, в частности, электронной цифровой подписи) необходимо иметь гарантию подлинности пары (имя пользователя, открытый ключ пользователя). Для решения этой задачи в спецификациях X.509 вводятся понятия цифрового сертификата и удостоверяющего центра. 6. Экранирование ( установку межсетевых экранов) Межсетевые экраны - файерволы (firewall), брандмауэры - являются программно-аппаратными средствами, которые представляют собой барьер, защищающий от несанкционированного вторжения во внутреннюю локальную сеть и обеспечивающий безопасный доступ к внешней сети. Межсетевые экраны являются барьерами на пути информационных потоков между внутренней информационной системой и внешними сетями для того, чтобы защитить данные локальной сети извне, от посягательств злоумышленников, стремящихся либо скопировать, изменить или стереть информацию, либо воспользоваться памятью или вычислительной мощностью работающих в этой сети компьютеров. Формальная постановка задачи экранирования, состоит в следующем. Пусть имеется два множества информационных систем. Экран – это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем
7. Анализ защищенности. Сервис анализа защищенности предназначен для выявления уязвимых мест с целью их оперативной ликвидации. Сам по себе этот сервис ни от чего не защищает, но помогает обнаружить (и устранить) пробелы в защите раньше, чем их сможет использовать злоумышленник. Системы анализа защищенности (называемые также сканерами защищенности), как и рассмотренные выше средства активного аудита, основаны на накоплении и использовании знаний. В данном случае имеются в виду знания о пробелах в защите: о том, как их искать, насколько они серьезны и как их устранять. В принципе, могут выявляться бреши самой разной природы: наличие вредоносного ПО (в частности, вирусов), слабые пароли пользователей, неудачно сконфигурированные операционные системы, небезопасные сетевые сервисы, неустановленные заплаты, уязвимости в приложениях и т.д Антивирусную защиту мы причисляем к средствам анализа защищенности, не считая ее отдельным сервисом безопасности Системы анализа защищенности снабжены автообнаружением, помогающим, в частности, эффективно работать с протоколом сканирования.
8. Обеспечение отказоустойчивости Рассматриваются два вида средств поддержания высокой доступности: обеспечение отказоустойчивости (нейтрализация отказов, живучесть) и обеспечение безопасного и быстрого восстановлени я после отказов (обслуживаемость). Информационная система предоставляет своим пользователям определенный набор услуг (сервисов). Говорят, что обеспечен нужный уровень доступности этих сервисов, если следующие показатели находятся в заданных пределах: Эффективность услуги определяется в терминах максимального времени обслуживания запроса, количества поддерживаемых пользователей и т.п. Требуется, чтобы максимальная продолжительность периода недоступности и суммарное время недоступности за некоторый период (месяц, год) не превышали заранее заданных пределов В сущности, требуется, чтобы информационная система почти всегда работала с нужной эффективностью Для некоторых критически важных систем (например, систем управления) время недоступности должно быть нулевым, без всяких "почти". Для решения данной задачи создавались и создаются специальные отказоустойчивые системы, стоимость которых, как правило, весьма высока.
9. Обеспечение безопасного восстановления. Быстрое время восстановлени я (обслуживаемость) - минимизация времени простоя отказавших компонентов, а также отрицательного влияния ремонтных работ на эффективность информационных сервисов, то есть быстрое и безопасное восстановление после отказов). 10. Туннелирование. Туннелирование следует рассматривать как самостоятельный сервис безопасности. Его суть состоит в том, чтобы "упаковать" передаваемую порцию данных, вместе со служебными полями, в новый "конверт". В качестве синонимов термина " туннелирование " могут использоваться " конвертование " и " обертывание ".
Туннелирование может применяться как на сетевом, так и на прикладном уровнях. Например, стандартизовано туннелирование для IP и двойное конвертование для почты X.400. Комбинация туннелирования и шифрования (наряду с необходимой криптографической инфраструктурой) на выделенных шлюзах и экранирования на маршрутизаторах поставщиков сетевых услуг (для разделения пространств "своих" и "чужих" сетевых адресов в духе виртуальных локальных сетей) позволяет реализовать такое важное в современных условиях защитное средство, как виртуальные частные сети. Подобные сети, наложенные обычно поверх Internet, существенно дешевле и гораздо безопаснее, чем собственные сети организации, построенные на выделенных каналах.
11. Управление Согласно стандарту X.700, управление подразделяется на:
На практике обычно используются комбинированные способы защиты информации от несанкционированного доступа.
|
|||||||||
Последнее изменение этой страницы: 2021-12-15; просмотров: 274; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.145.115.195 (0.028 с.) |