- •Задачи и методы защиты информации от нсд Компьютерные системы зи
- •Методы защиты информации
- •Идентификация и аутентификация пользователей
- •Ограничение доступа на вход в систему
- •Разграничение доступа
- •Регистрация событий (аудит)
- •Контроль целостности
- •Управление политикой безопасности
- •Уничтожение остаточной информации
- •Защита программ от несанкционированного копирования
- •Методы, затрудняющие считывание скопированной информации
- •Методы, препятствующие использованию скопированной информации
- •Основные функции средств защиты от копирования
- •Основные методы защиты от копирования Криптографические методы
- •Метод привязки к идентификатору
- •Методы, основанные на работа с переходами и стеком
- •Манипуляции с кодом программы
- •Методы противодействия динамическим способам снятия защиты программ от копирования
- •Межсетевые экраны (мэ)
- •Развитие технологий мэ
- •Фильтрация пакетов
- •Трансляция сетевых адресов
- •Процесс фильтрации пакетов
- •Межсетевые экраны уровня соединения
- •Межсетевые экраны прикладного уровня.
- •Межсетевой экран с динамической фильтрацией пакетов
- •Межсетевые экраны и инспекции состояния
- •Персональные межсетевые экраны
- •Распределенные межсетевые экраны
- •Обход мэ
- •Постепенный подход
- •Туннелирование
- •Несущий протокол
- •Протокол-пассажир
- •Протокол инкапсуляции
- •Требования и показатели защищенности межсетевых экранов
Методы защиты информации
Система защиты информации – комплекс мер, а также сил, средств, методов и мероприятий.
Основные меры и методы ЗИ:
Ограничение физического доступа к АС,
Идентификация и аутентификация пользователя,
Ограничение доступа на вход в систему,
Разграничение доступа,
Регистрация событий (аудит),
Криптографическая защита,
Контроль целостности,
Управление политикой безопасности,
Уничтожение остаточной информации,
Антивирусная защита,
Резервирование данных,
Сетевая защита,
Защита от утечки и перехвата информации по техническим каналам.
Программно-аппаратные СЗИ призваны реализовать меры по противодействию злоумышленнику при возможности его доступа к компьютерам автоматизированной системы.
Средствами ЗИ реализованы основные методы защиты, которые противодействуют НСД:
Идентификация и аутентификация пользователей
Разграничение пользователей на вход в систему
Регистрация событий (аудит)
Контроль целостности
Криптозащита
Уничтожение остаточной информации
Антивирусная защита не противодействует НСД.
Идентификация и аутентификация пользователей
Для гарантии того, чтобы только зарегистрированные в АС пользователи могли включить компьютер (загрузить ОС) и получить доступ к его ресурсам, каждый доступ к данным в защищенной АС должен осуществляться в 3 этапа:
Идентификация
Аутентификация
Авторизация
Идентификация – присвоение субъектам и объектам доступа зарегистрированного имени, персонального номера (PIN-кода) или идентификатора и сравнение предъявленного идентификатора с существующим в АС. Основываясь на идентификаторах, система защиты определяет, кто из пользователей в данный момент работает на компьютере или пытается его включить.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора, либо как подтверждение подлинности субъекта. Во время выполнения этой процедуры АС убеждается, что пользователь, представившийся легальным сотрудником, таковым и является.
Авторизация – предоставление пользователю полномочий в соответствии с политикой безопасности (в соответствии с матрицей доступа).
Процедура идентификации и аутентификация в защищаемой системе осуществляется посредством специальных программно-аппаратных средств, встроенных в ОС или в СЗИ. Процедура идентификации производится при включении компьютера и заключается в том, что сотрудник, представляется компьютерной системе, при этом АС может предложить сотруднику выбрать или правильно ввести свой идентификатор. Далее пользователь должен убедить АС в том, что он действительно тот, кем представился.
Аутентификация в защищаемой АС может осуществляться несколькими методами:
Парольная аутентификация
На основе биометрических измерений
С использованием физических носителей аутентифицирующей информации
Наиболее простым и дешевым способом является ввод пароля, однако существование большого количества различных по механизму действия атак на систему защиты делает ее уязвимой.
Биометрические методы в системах защиты не применяются широко.
В настоящее время для повышения надежности аутентификации пользователи применяют внешние носители ключевой информации (электронный идентификатор, электронный ключ).
Это устройство внешней энергонезависимой памяти с различным аппаратным интерфейсом, предназначенным для хранения ключевой или аутентифицирующей информации.
Наиболее распространенными устройствами являются электронные ключи DS-199x фирмы Dallas.
В СЗИ также активно используется пластиковые карты с магнитной полосой или проксими-карты. Удобным для применения в СЗИ является электронные ключи eToken. Они выполняются на процессорной микросхеме SLE66C Infineon, обеспечивающей высокий уровень безопасности. Они предназначены для безопасного хранения криптографических ключей. eToken выполняется в виде USB-ключа и в виде смарт-карты.
В большинстве программно-аппаратных средств защиты информации предусмотрена возможность осуществления аутентификацию комбинированным способом. Комбинированный способ аутентификации снижает риск ошибок.