- •Задачи и методы защиты информации от нсд Компьютерные системы зи
- •Методы защиты информации
- •Идентификация и аутентификация пользователей
- •Ограничение доступа на вход в систему
- •Разграничение доступа
- •Регистрация событий (аудит)
- •Контроль целостности
- •Управление политикой безопасности
- •Уничтожение остаточной информации
- •Защита программ от несанкционированного копирования
- •Методы, затрудняющие считывание скопированной информации
- •Методы, препятствующие использованию скопированной информации
- •Основные функции средств защиты от копирования
- •Основные методы защиты от копирования Криптографические методы
- •Метод привязки к идентификатору
- •Методы, основанные на работа с переходами и стеком
- •Манипуляции с кодом программы
- •Методы противодействия динамическим способам снятия защиты программ от копирования
- •Межсетевые экраны (мэ)
- •Развитие технологий мэ
- •Фильтрация пакетов
- •Трансляция сетевых адресов
- •Процесс фильтрации пакетов
- •Межсетевые экраны уровня соединения
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны прикладного уровня
- •Межсетевой экран с динамической фильтрацией пакетов
- •Межсетевые экраны и инспекции состояния
- •Персональные межсетевые экраны
- •Распределенные межсетевые экраны
- •Обход мэ
- •Постепенный подход
- •Туннелирование
- •Несущий протокол
- •Протокол-пассажир
- •Протокол инкапсуляции
- •Требования и показатели защищенности межсетевых экранов
Методы защиты информации
Система защиты информации – комплекс мер, а также сил, средств, методов и мероприятий.
Основные меры и методы ЗИ:
-
Ограничение физического доступа к АС,
-
Идентификация и аутентификация пользователя,
-
Ограничение доступа на вход в систему,
-
Разграничение доступа,
-
Регистрация событий (аудит),
-
Криптографическая защита,
-
Контроль целостности,
-
Управление политикой безопасности,
-
Уничтожение остаточной информации,
-
Антивирусная защита,
-
Резервирование данных,
-
Сетевая защита,
-
Защита от утечки и перехвата информации по техническим каналам.
Программно-аппаратные СЗИ призваны реализовать меры по противодействию злоумышленнику при возможности его доступа к компьютерам автоматизированной системы.
Средствами ЗИ реализованы основные методы защиты, которые противодействуют НСД:
-
Идентификация и аутентификация пользователей
-
Разграничение пользователей на вход в систему
-
Регистрация событий (аудит)
-
Контроль целостности
-
Криптозащита
-
Уничтожение остаточной информации
Антивирусная защита не противодействует НСД.
Идентификация и аутентификация пользователей
Для гарантии того, чтобы только зарегистрированные в АС пользователи могли включить компьютер (загрузить ОС) и получить доступ к его ресурсам, каждый доступ к данным в защищенной АС должен осуществляться в 3 этапа:
-
Идентификация
-
Аутентификация
-
Авторизация
Идентификация – присвоение субъектам и объектам доступа зарегистрированного имени, персонального номера (PIN-кода) или идентификатора и сравнение предъявленного идентификатора с существующим в АС. Основываясь на идентификаторах, система защиты определяет, кто из пользователей в данный момент работает на компьютере или пытается его включить.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора, либо как подтверждение подлинности субъекта. Во время выполнения этой процедуры АС убеждается, что пользователь, представившийся легальным сотрудником, таковым и является.
Авторизация – предоставление пользователю полномочий в соответствии с политикой безопасности (в соответствии с матрицей доступа).
Процедура идентификации и аутентификация в защищаемой системе осуществляется посредством специальных программно-аппаратных средств, встроенных в ОС или в СЗИ. Процедура идентификации производится при включении компьютера и заключается в том, что сотрудник, представляется компьютерной системе, при этом АС может предложить сотруднику выбрать или правильно ввести свой идентификатор. Далее пользователь должен убедить АС в том, что он действительно тот, кем представился.
Аутентификация в защищаемой АС может осуществляться несколькими методами:
-
Парольная аутентификация
-
На основе биометрических измерений
-
С использованием физических носителей аутентифицирующей информации
Наиболее простым и дешевым способом является ввод пароля, однако существование большого количества различных по механизму действия атак на систему защиты делает ее уязвимой.
Биометрические методы в системах защиты не применяются широко.
В настоящее время для повышения надежности аутентификации пользователи применяют внешние носители ключевой информации (электронный идентификатор, электронный ключ).
Это устройство внешней энергонезависимой памяти с различным аппаратным интерфейсом, предназначенным для хранения ключевой или аутентифицирующей информации.
Наиболее распространенными устройствами являются электронные ключи DS-199x фирмы Dallas.
В СЗИ также активно используется пластиковые карты с магнитной полосой или проксими-карты. Удобным для применения в СЗИ является электронные ключи eToken. Они выполняются на процессорной микросхеме SLE66C Infineon, обеспечивающей высокий уровень безопасности. Они предназначены для безопасного хранения криптографических ключей. eToken выполняется в виде USB-ключа и в виде смарт-карты.
В большинстве программно-аппаратных средств защиты информации предусмотрена возможность осуществления аутентификацию комбинированным способом. Комбинированный способ аутентификации снижает риск ошибок.