- •Основы и методы защиты информации
- •Общие понятия информационной безопасности
- •Основные понятия информационной безопасности
- •Анализ угроз информационной безопасности
- •Юридические основы информационной безопасности
- •Критерии защищенности средств компьютерных систем
- •Политика безопасности в компьютерных системах
- •Меры по поддержанию работоспособности компьютерных систем
- •Способы и средства нарушения конфиденциальности информации
- •Основные методы реализации угроз информационной безопасности
- •Типичные приёмы атак на локальные и удалённые компьютерные системы
- •Основы противодействия нарушению конфиденциальности информации
- •Методы разграничения доступа
- •Идентификация и аутентификация и пользователей
- •Методы ограничения доступа к информации
- •Методы мониторинга несанкционированных действий
- •Криптографические методы защиты данных Основные принципы криптографии
- •Шифрование заменой (подстановка)
- •Шифрование методом перестановки
- •Методы шифрования, использующие ключи
- •Защита информации от компьютерных вирусов
- •Определение и классификация вирусов
- •Способы защиты от вирусов
- •Классификация антивирусных средств
- •Популярные антивирусные средства
-
Политика безопасности в компьютерных системах
Защищённая КС обязательно должна иметь средства разграничения доступа пользователей к ресурсам КС, проверки подлинности пользователя и противодействия выводу КС из строя.
Интегральной характеристикой защищённости КС является политика безопасности – качественное выражение свойств защищённости в терминах, представляющих систему. Политика безопасности для конкретной КС не должна быть чрезмерной – ужесточение защиты приводит к усложнению доступа пользователей к КС и увеличению времени доступа. Политика безопасности должна быть адекватна предполагаемым угрозам, и обеспечивать заданный уровень защиты.
Политика безопасности включает:
-
множество субъектов;
-
множество объектов;
-
множество возможных операций над объектами;
-
множество разрешённых операций, для каждой пары субъект-объект, являющееся подмножеством множества возможных состояний.
Элементы множества операций над объектами выбираются в зависимости от назначения КС, решаемых задачах и конфиденциальности информации. Например, операции "создание объекта", "удаление объекта", "чтение данных", "запись данных" и т.д.
В защищённой КС всегда присутствует субъект, выполняющий контроль операций субъектов над объектами, например, в операционной системе Windows таким субъектом является псевдопользователь SYSTEM. Этот компонент фактически отвечает за реализацию политики безопасности, которая реализуется путём описания доступа субъектов к объектам.
Существуют два типа политики безопасности: дискретная (дискреционная) и мандатная (полномочная). Основой дискретной политики безопасности является дискреционное управление доступом, которое определяется двумя свойствами:
-
все субъекты и объекты должны быть идентифицированы;
-
права доступа субъекта к объекту определяются на основе некоторого задаваемого набора правил.
К достоинствам дискретной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты. Этим обусловлен тот факт, что большинство используемых в настоящее время КС обеспечивают именно дискретную политику безопасности. В качестве примера реализации дискретной политики безопасности можно привести матрицу доступов, строки которой соответствуют субъектам системы, а столбцы – объектам; элементы матрицы представляют фиксированный набор или список прав доступа. К её недостаткам относится статичность модели, не учитывающая динамику изменений состояния КС. Например, при подозрении на НСД к информации, необходимо оперативно изменить права доступа к ней, но сделать это с помощью матрицы доступа, которая формируется вручную, не просто.
Мандатная модель политики безопасности основывается на том, что:
-
все субъекты и объекты должны быть идентифицированы;
-
задан линейно упорядоченный набор меток секретности;
-
каждому объекту присвоена метка секретности, определяющая ценность содержащейся в ней информации – его уровень секретности;
-
каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему – его уровень доступа.
В отличие от дискретной политики, которая требует определения прав доступа для каждой пары субъект-объект, мандатная политика, назначением метки секретности объекту, однозначно определяет круг субъектов, имеющих права доступа к нему. И наоборот, назначением метки секретности субъекту, однозначно определяется круг объектов, к которым он имеет права доступа.