- •3 Уровень включает 3 подуровня
- •3) По непосредственному источнику угроз:
- •6. Шифрование заменой (подстановка)
- •9. Шифрование методом гаммирования
- •12 Источники и пути реализации несанкционированного доступа к информации в аис
- •16. Понятие политики безопасности в современных аис
- •17. Обеспечение безопасности ресурсов с помощью разрешений ntfs.
- •18. Изменение параметров учетных записей пользователей
- •Изменение параметров учетных записей
- •Настройка параметров безопасности операционной системы.
- •Настройте параметры безопасности браузера Internet Explorer:
- •22.Основные методы защиты от воздействия вирусов
- •23.Антивирусное программное обеспечение. Методы антивирусной защиты.
12 Источники и пути реализации несанкционированного доступа к информации в аис
Одним из наиболее распространенных и многообразных способов воздействия на информационную систему, позволяющим нанести ущерб любой из составляющих информационной безопасности является несанкционированный доступ. Несанкционированный доступ возможен из-за ошибок в системе защиты, нерационального выбора средств защиты, их некорректной установки и настройки.
Каналы НСД классифицируются по компонентам автоматизированных информационных систем:
Через человека:
хищение носителей информации;
чтение информации с экрана или клавиатуры;
чтение информации из распечатки.
Через программу:
перехват паролей;
расшифровка зашифрованной информации;
копирование информации с носителя.
Через аппаратуру:
подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;
перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т. д
13.Средства и механизмы защиты информации от несанкционированного доступа
1. Аутентификация пользователей. Данная мера требует, чтобы пользователи выполняли процедуры входа в компьютер, используя это как средство для идентификации в начале работы. Для аутентификации личности каждого пользователя нужно использовать уникальные пароли, не являющиеся комбинациями личных данных пользователей, для пользователя. Необходимо внедрить меры защиты при администрировании паролей, и ознакомить пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению. Если в компьютере имеется встроенный стандартный пароль, его нужно обязательно изменить.
2. Защита пароля.
Следующие правила полезны для защиты пароля:
· нельзя делится своим паролем ни с кем;
· пароль должен быть трудно угадываемым;
· для создания пароля нужно использовать строчные и прописные буквы, а еще лучше позволить компьютеру самому сгенерировать пароль;
· не рекомендуется использовать пароль, который является адресом, псевдонимом, именем родственника, телефонным номером или чем-либо очевидным;
· предпочтительно использовать длинные пароли, так как они более безопасны, лучше всего, чтобы пароль состоял из 6 и более символов;
· пароль не должен отображаться на экране компьютера при его вводе;
· нельзя записывать пароли на столе, стене или терминале, его нужно держать в памяти;
· пароль нужно периодически менять и делать это не по графику;
· на должности администратора паролей должен быть самый надежный человек;
· не рекомендуется использовать один и тот же пароль для всех сотрудников в группе;
· когда сотрудник увольняется, необходимо сменить пароль;
· сотрудники должны расписываться за получение паролей.
3. Процедуры авторизации.
В организации, имеющей дело с критическими данными, должны быть разработаны и внедрены процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям.
В организации должен быть установлен такой порядок, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля требуется разрешение тех или иных начальников.
4. Предосторожности при работе.
Рекомендуется:
· отключать неиспользуемые терминалы;
· закрывать комнаты, где находятся терминалы;
· разворачивать экраны компьютеров так, чтобы они не были видны со стороны двери, окон и прочих мест, которые не контролируются;
· установить специальное оборудование, ограничивающее число неудачных попыток доступа, или делающее обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру
· использовать программы отключения терминала после определенного периода неиспользования;
5. Физическая безопасность.
В защищаемых компьютерных системах необходимо принимать меры по предотвращению, обнаружению и минимизации ущерба от пожара, наводнения, загрязнения окружающей среды, высоких температур и скачков напряжения.
6. Защита носителей информации (исходных документов, лент, картриджей, дисков, распечаток).
Для защиты носителей информации рекомендуется:
· вести, контролировать и проверять реестры носителей информации;
· обучать пользователей правильным методам очищения и уничтожения носителей информации;
· делать метки на носителях информации, отражающие уровень критичности содержащейся в них информации;
14. ПРД-совокупность правил, регламентирующий права доступа субъектов к бъектам доступа. Субъект-лицо или процесс, действия кот регламентируется правилами разграничения доступа. Объект доступа -единица и-го ресурса АС, досткп к кот регламентируется правилами разграничения доступа. Разграничение доступа
После выполнения идентификации и аутентификации необходимо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в АС. Такой процесс называется разграничением (логическим управлением) доступа.
Обычно полномочия субъекта представляются: списком ресурсов, доступным пользователю, и правами по доступу к каждому ресурсу из списка. В качестве вычислительных ресурсов могут быть программы, данные, логические устройства, объем памяти, время процессора, приоритет.
Можно выделить следующие методы разграничения доступа:
• по спискам
• с использованием матрицы установления полномочий
• по уровням секретности и категориям
• парольное
При разграничении доступа по спискам задаются следующие соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и прав их доступа к данному ресурсу. Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в большинстве ОС и СУБД
Разграничение доступа по уровням секретности и категориям состоит в том, что ресурсы АС разделяются в соответствии с уровнями секретности или категориями. При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь обладает правом доступа ко всем данным с уровнем (грифом) секретности не выше, чем он имеет. При разграничении по категориям задается и контролируется ранг категории, соответствующей пользователю, а все ресурсы АС декомпозируют по уровню важности, причем каждому уровню отвечает определенный ранг персонала (например, руководитель, администратор, пользователь).
Парольное разграничение задается на основе методов доступа субъектов к объектам по паролю. При этом применяются все методы парольной защиты. Очевидно, что постоянное использование паролей создает неудобства пользователям и временные задержки. Поэтому указанные методы реализуют в исключительных ситуациях.
На практике обычно сочетают различные методы разграничения доступа. Например, первые три метода усиливают парольной защитой.
Существуют два различных метода разграничения доступа: дискреционный и мандатный.
Дискреционное управление доступом представляет собой разграничение доступа между поименованными субъектами (пользователями) и поименованными объектами (файлы, программы, тома). При данном виде разграничения доступа для каждой пары (субъект – объект) должно задаваться явное и недвусмысленное перечисление допустимых типов доступа (читать, писать), т.е. тех типов доступа, которые являются санкционированными для данного субъекта к данному ресурсу (объекту). Такой вид разграничения доступа организуется на базе методов разграничения по спискам или с помощью матрицы.
Мандатное управление доступом – разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Другими словами, для реализации мандатного управления доступом каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни (уровни уязвимости, категории секретности), являющиеся комбинациями иерархических и неиерархических категорий. Мандатное управление доступом реализуется на основе методов разграничения по уровням секретности и категориям.