- •Угрозы программно-математического воздействия
- •Защиты от несанкционированного доступа
- •Принципы защиты информации
- •Принцип обоснованности доступа.
- •Принцип достаточной глубины контроля доступа.
- •Принцип разграничения потоков информации.
- •Принцип чистоты повторно используемых ресурсов.
- •Принцип персональной ответственности.
- •Принцип целостности средств защиты.
- •Основные принципы контроля доступа в свт Избирательный принцип контроля доступа
- •Мандатный принцип контроля доступа
- •Программно-технические методы обнаружения вирусов
- •Сканирование
- •Эвристический анализ
- •Антивирусные мониторы
- •Обнаружение изменений
- •Защита, встроенная в bios компьютера
- •Особенности защиты корпоративной интрасети
- •Защита файловых серверов
- •Защита почтовых серверов
- •Защита серверов систем документооборота
- •Защита нестандартных информационных систем
- •Сетевой центр управления антивирусами
- •Многоуровневые системы с Web-интерфейсом
- •Административно-технологические методы защиты
- •Проблема домашних компьютеров
- •Установка персональных брандмауэров
- •1.2. Классификация и характеристика технических каналов утечки информации, обрабатываемой тспи
- •1.2.1. Электромагнитные каналы утечки информации
- •1.2.2. Электрические каналы утечки информации
- •1.2.3. Параметрический канал утечки информации
Принцип достаточной глубины контроля доступа.
Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов автоматизированной системы, которые в соответствии с принципом обоснованности доступа следует разделять между пользователями. При создании типовых средств защиты информации такие механизмы должны охватывать все возможные виды ресурсов, различаемые программно-аппаратными средствами системы, так как глубина детализации контролируемых ресурсов определяется спецификой конкретной автоматизированной системы.
Принцип разграничения потоков информации.
Для предупреждения нарушений информационной безопасности, например при записи секретной информации на несекретные носители (тома, распечатки) и в несекретные файлы, ее передаче программам и процессам, не предназначенным для обработки секретной информации, а также передачи секретной информации по незащищенным каналам и линиям связи необходимо осуществлять соответствующее разграничение потоков информации.
Для проведения такого разграничения все ресурсы, содержащие конфиденциальную информацию (сети ЭВМ, ЭВМ, внешние устройства, тома, файлы, разделы ОП и т.п.), должны иметь соответствующие метки, отражающие уровень конфиденциальности (гриф секретности) содержащейся в них информации.
Принцип чистоты повторно используемых ресурсов.
Заключается в очистке (обнулении, исключении информативности) ресурсов, содержащих конфиденциальную информацию (разделов ОП, файлов, буферов и т.п.), при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.
Принцип персональной ответственности.
Заключается в том, что каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможные нарушения ее защиты, т.е. какие-либо случайные или умышленные действия, которые приводят или направлены на несанкционированное ознакомление с конфиденциальной информацией, ее искажение или уничтожение, или делают такую информацию недоступной для законных пользователей. Для проведения данного принципа необходимо выполнение следующих требований:
индивидуальная идентификация пользователей и инициированных ими процессов (выполняющихся программ, задач, заданий и т.п.), т.е. установление и закрепление за каждым пользователем и его процессом уникального идентификатора (метки), на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа (правилами предоставления доступа). В связи с этим такие идентификаторы и метки должны содержать сведения о форме допуска пользователя и его прикладной области (производственной деятельности);
проверка подлинности пользователей и их процессов по предъявленному идентификатору или метке (аутентификация);
регистрация (протоколирование) работы механизмов контроля доступа к ресурсам системы с указанием даты и времени, идентификаторов запрашивающего и запрашиваемого ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа.
Принцип целостности средств защиты.
В автоматизированной системе необходимо обеспечивать целостность средств защиты информации, т.е. такие средства должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей, а для своего сопровождения включать специальный защищенный интерфейс для средств контроля, сигнализации о попытках нарушения защиты информации и воздействия на процессы в системе. С этой целью построение комплекса средств защиты должно проводится в рамках отдельного монитора обращений, контролирующего любые запросы к данным или программам со стороны пользователей (или их программ) по установленным для них видам доступа к этим данным и программам. При этом "монитор обращений" контролирует взаимодействие ресурсов в программно-аппаратной среде, используя матрицу доступа в соответствии с разрешительной системой доступа.
Билет 6
Принципы организации разноуровневого доступа в автоматизированных информационных системах (АИС)
Информация отсутствует в интернете
Билет 7
Понятия клиента, прав доступа, объекта доступа в современных АИС.
Клие́нт — это аппаратный или программный компонент вычислительной системы, посылающий запросы серверу.
Программа, являющаяся клиентом, взаимодействует с сервером, используя определённый протокол. Она может запрашивать с сервера какие-либо данные, манипулировать данными непосредственно на сервере, запускать на сервере новые процессы и т. п. Полученные от сервера данные клиентская программа может предоставлять пользователю или использовать как-либо иначе, в зависимости от назначения программы. Программа-клиент и программа-сервер могут работать как на одном и том же компьютере, так и на разных. Во втором случае для обмена информацией между ними используется сетевое соединение.
Разновидностью клиентов являются терминалы — рабочие места на многопользовательских ЭВМ, оснащённые монитором с клавиатурой, и не способные работать без сервера. В 1990-е годы появились сетевые компьютеры — нечто среднее между терминалом и персональным компьютером. Сетевые компьютеры имеют упрощённую структуру и во многом зависят от сервера. Иногда под терминалом понимают любой клиент, или только тонкий клиент.
Тем не менее не всегда под клиентом подразумевается компьютер со слабыми вычислительными ресурсами. Чаще всего понятия «клиент» и «сервер» описывают распределение ролей при выполнении конкретной задачи, а не вычислительные мощности. На одном и том же компьютере могут одновременно работать программы, выполняющие как клиентские, так и серверные функции. Например, веб-сервер может в качестве клиента получать данные для формирования страниц от SQL-сервера (так работает Википедия).
Права доступа — совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы (информации, её носителям, процессам и другим ресурсам) установленных правовыми документами или собственником, владельцем информации.
Права доступа определяют набор действий (например, чтение, запись, выполнение), разрешённых для выполнения субъектам (например, пользователям системы) над объектами данных. Для этого требуется некая система для предоставления субъектам различных прав доступа к объектам. Это система разграничения доступа субъектов к объектам, которая рассматривается в качестве главного средства защиты от несанкционированного доступа к информации.