2015_лекции / Вводная лекция_2015
.pdf
Обобщённый алгоритм подготовки и реализации НСД
1.Тщательный анализ структуры и принципов функционирования КС с целью поиска уязвимостей системы.
2.Анализ найденных слабостей и разработка наиболее действенных способов преодоления системы информационнокомпьютерной безопасности.
3.Выполнение подготовленных атак, оценка результатов.
4.При несоответствии полученных результатов, анализ выполненных атак и переход к 1 пункту.
5.Сокрытие следов
29.05.2015 |
КВ и МНБ, 2015 |
21 |
Программно-технические способы и средства обеспечения информационной безопасности
1.Средства защиты от несанкционированного доступа (НСД):
Средства авторизации:
-Мандатное управление доступом;
-Избирательное управление доступом;
-Управление доступом на основе ролей;
…
Системы аутентификации:
-Пароль;
-Ключ доступа (физический или электронный);
-Сертификат;
-Биометрия.
Журналирование (Аудит).
29.05.2015 |
КВ и МНБ, 2015 |
22 |
Программно-технические способы и средства обеспечения информационной безопасности
2.Системы анализа и моделирования информационных потоков (CASEсистемы).
3.Системы управления информацией и событиями безопасности (SIEMсистемы)
4.Системы мониторинга сетей:
-Системы обнаружения и предотвращения вторжений (IDS/IPS).
-Системы предотвращения утечек конфиденциальной
информации (DLP-системы).
-Анализаторы протоколов.
5.Антивирусные средства.
6.Межсетевые экраны.
7.Криптографические средства:
-Шифрование;
-Цифровая подпись.
29.05.2015 |
КВ и МНБ, 2015 |
23 |
Программно-технические способы и средства обеспечения
информационной безопасности
8.Системы резервного копирования.
9.Системы бесперебойного питания:
-Источники бесперебойного питания;
-Резервирование нагрузки;
-Генераторы напряжения.
10.Средства предотвращения взлома корпусов и краж оборудования.
11.Средства контроля доступа в помещения.
29.05.2015 |
КВ и МНБ, 2015 |
24 |
Типы политик безопасности
•Дискреционная политика,
•Мандатная политика ,
•Ролевая политика,
•Политика изолированной программной среды
•Политика безопасности информационных потоков
29.05.2015 |
КВ и МНБ, 2015 |
25 |
Дискреционная политика доступа
Принципы:
все субъекты и объекты должны быть идентифицированы; права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.
Достоинства:
простота реализации механизмов защиты
Недостатки:
1.статичность модели
2.затрудненность определения правил распределения прав доступа и анализ их влияния на безопасность информационной системы.
29.05.2015 |
КВ и МНБ, 2015 |
26 |
Мандатная политика доступа
Принципы:
•все субъекты и объекты системы должны быть однозначно идентифицированы;
•задан линейно упорядоченный набор меток секретности;
•каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности в ИC;
•каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в ИC – максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем
доступа.
Достоинства:
1.если начальное состояние системы безопасно, и все переходы системы из состояния в состояние не нарушают ограничений, сформулированных политикой безопасности, то любое состояние системы безопасно.
2.более высокая степень надежности (по сравнению с дискреционной)
29.05.2015 |
КВ и МНБ, 2015 |
27 |
Ролевое управление доступом
Решение в стиле объектно-ориентированного подход
пользователь – роль – привилегии
Ролевое управление доступом оперирует следующими понятиями
(NIST, 2001):
1.пользователь (человек, интеллектуальный автономный агент и т.п.);
2.сеанс работы пользователя;
3.роль (определяется в соответствии с организационной структурой);
4.объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД);
5.операция (зависит от объекта; для файлов ОС – чтение, запись, выполнение и т.п.; для таблиц СУБД – вставка, удаление и т.п., для прикладных объектов операции могут быть более сложными);
6.право доступа (разрешение выполнять определенные операции над определенными объектами).
29.05.2015 |
КВ и МНБ, 2015 |
28 |
Политика изолированно программной среды
Цель политики:
•Определение порядка безопасного взаимодействия субъектов системы, обеспечивающих невозможности модификации основных параметров или конфигурации информационной системы, позволяющих изменить политики доступа к ресурсам информационной системы.
•Субъекты информационной системы изолируются друг от друга, а появление новых субъектов информационной системы контролируется таким образом, чтобы в системе могли активироваться только субъекты из определенного списка, при этом контролируется целостность других субъектов ИС, влияющих на функционирование порождаемых субъектов.
29.05.2015 |
КВ и МНБ, 2015 |
29 |
Политика безопасности информационных потоков
Принцип
разделение всех возможных информационных потоков между объектами информационной системы два непересекающихся подмножества: множество благоприятных и множество неблагоприятных информационных потоков.
Цель политики
не допустить возможности возникновения в системе неблагоприятных информационных потоков.
Недостатки:
Труднореализуемая задача на практике, особенно при необходимости обеспечить защиту информационной системы от возникновения неблагоприятных информационных потоков во времени.
Таким образом, обычно эта политика реализуется в совокупности с другими видами политик: мандатной и дискреционной.
29.05.2015 |
КВ и МНБ, 2015 |
30 |