Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ПАЗИ 1.doc
Скачиваний:
248
Добавлен:
13.03.2016
Размер:
1.44 Mб
Скачать
  1. Место пази в системе кзи.

Ценность информации изменяется во времени.Как правило, со временем ценность информации уменьшается.

C(t) = C0e-2,3t/τ, гдеC0 - ценность информации в момент ее возникновения (получения);t - время от момента возникновения информации до момента определения ее стоимости;τ - время от момента возникновения информации до момента ее устаревания.

Для организации КСЗИ в общем случае может быть предусмотрено 4 защитных уровня.

  1. Внешний уровень, охватывающий всю территорию расположения ВС.

  2. Уровень отдельных сооружений или помещений расположения устройств ВС и линий связи с ними.

  3. Уровень компонентов ВС и внешних носителей информации.

  4. Уровень технологических процессов хранения, обработки и передачи информации.

Первые три уровня обеспечивают в основном физическое препятствие доступу путем ограждения, системы сигнализации, организации пропускного режима, экранирования проводов и т. д. Последний уровень предусматривает логическую защиту информации в том случае, когда физический доступ к ней имеется.

Для защиты информационной системы требуется сочетать меры следующих уровней:

  1. Нормативно-правовая защита основывается на нормах информационного права (формирует ответственность).

  2. Организационная защита - изучение обстановки на объекте - разработка программы защиты - деятельность по введению указанной программы - контроль выполнения  установленных правил.

  3. Физическая защитасостоит в физическом преграждении доступа посторонних лиц в помещения на пути к данным и процессу их обработки.

Для физической защиты применяются следующие средства:

лазерные и оптические системы, реагирующие на пересечение наруши­телями световых лучей;

телевизионные системы наблюдения за охраняемыми объектами;

системы защиты окон и дверей от несанкционированного проникновения, а также наблюдения и подслушивания;

механические и электронные замки на двери и ворота;

  1. Программно-аппаратная защита меры, направленные на контроль компьютерных сущностей – оборудования, программ и данных, образуют последний и самый важный рубеж ИБ. Программно-технические меры реализуются программным и аппаратным обеспечением узлов и сети.

Ущерб наносят в основном действия легальных пользователей, главные враги – некомпетентность и неаккуратность. Только программно-технические меры способны им противостоять. В связи с этим именно компьютер (особенно находящийся в составе сети) следует в первую очередь рассматривать в качестве объекта защиты, а конечного пользователя – в качестве ее наиболее вероятного потенциального нарушителя.

На практике сегодня существует два подхода к обеспечению компьютерной безопасности: 1) использование только встроенных в ОС и приложения средств защиты; 2) применение, наряду со встроенными, дополнительных механизмов защиты. Этот подход заключается в использовании так называемых технических средств добавочной защиты – программных, либо программно-аппаратных комплексов, устанавливаемых на защищаемые объекты.

Аппаратная защитареализуется аппаратурой в составе ЭВМ или с помощью специализированных устройств. Основными аппаратными средствами защиты являются средства защиты процессоров и основной памяти, устройств ввода-вывода, систем передачи данных по каналам связи, систем электропитания, устройств внешней памяти (зеркальные диски) и т. д.

Аппаратные средства защиты процессоров производят контроль допустимости выдаваемых из программ команд. Средства защиты памяти обеспечивают режим совместного использования и разграничения оперативной памяти при выполнении программ. К аппаратным средствам защиты устройств ввода-вывода относятся различные схемы блокировки от несанкционированного использования. Средства защиты передачи данных по каналам связи представляют собой схемы засекречивания (шифрования) информации.

электронные ключи и SMART-карты.

платы аппаратного шифрования

межсетевой экран

модули доверенной загрузки

К настоящему времени разработано значительное число аппаратных средств различного назначения:

-специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

-генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

-устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

-специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты;

-схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

К основным аппаратным средствам защиты информации от­носятся:

  • устройства для ввода идентифицирующей пользователя ин­формации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);

  • устройства для шифрования информации;

  • устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).

Программная защитареализуется с помощью различных программ: операционных систем, программ обслуживания, антивирусных пакетов, инструментальных систем (СУБД, электронных таблиц, текстовых процессоров, систем программирования и т. д.), специализированных программ защиты и готовых прикладных программ.

Под программными средствами защиты информации понима­ют специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функ­ций.

К основным программным средствам защиты информации от­носятся:

  • программы идентификации и аутентификации пользователей КС;

  • программы разграничения доступа пользователей к ресур­сам КС;

  • программы шифрования информации;

  • программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компью­терных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.

К основным сервисам (или функциям) безопасности относятся:

- идентификация и аутентификация;

Идентификация пользователя- это, с одной стороны, присвоение пользователю идентификатора - некоторого уникального признака (или нескольких); с другой стороны, процесс, во время которого пользователь указывает присвоенный ему идентификатор.

Аутентификация пользователя- установление подлинности пользователя на основе сравнения с эталонным идентификатором.

Авторизация пользователя - установление прав пользователя.

Авторизованный пользователь (авторизованное лицо)- пользователь (лицо), который получил определенные права на работу с информацией.

- управление доступом позволяет специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами. Управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных;

- протоколирование и аудит Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически;

- конфиденциальность;

- контроль целостности осуществляет слежение за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием. При этом основу механизмов контроля целостности файловых объектов представляет проверка соответствия контролируемого объекта эталонному образцу. Для контроля могут использоваться контрольные суммы и ряд иных признаков, например, дата последней модификации объекта и т.д

Циклический избыточный код (в частности, CRC8, CRC16, CRC32) применяется для проверки целостности передачи данных. Программы-архиваторы включают CRC исходных данных в созданный архив для того, чтобы получающий мог удостовериться в корректности полученных данных. Такая контрольная сумма проста в реализации и обеспечивает низкую вероятность возникновения коллизий.

MD5 и другие криптографические хеш-функции используются, например, для подтверждения целостности и подлинности передаваемых данных.;

- экранирование Экран – это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана аключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны (бранд-мауары (firewalls)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду;

- анализ защищенности Сканирование внешних сетевых адресов ЛВС из сети Интернет, Сканирование ресурсов ЛВС изнутри, Анализ конфигурации серверов и рабочих станций ЛВС;

- обеспечение отказоустойчивости;

- обеспечение безопасного восстановления (резервное копирование);

- туннелирование суть состоит в том, чтобы "упаковать" передаваемую порцию данных, вместе со служебными полями, в новый "конверт". В качестве синонимов термина " туннелирование " могут использоваться " конвертование " и " обертывание ".

Туннелирование может применяться для нескольких целей:

-передачи через сеть пакетов, принадлежащих протоколу, который в данной сети не поддерживается (например, передача пакетов IPv6 через старые сети, поддерживающие только IPv4);

-обеспечения конфиденциальности (в первую очередь конфиденциальности трафика) за счет сокрытия истинных адресов и другой служебной информации;

обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими сервисами;

- управление.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]