Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Информационная безопасность_Шпорка.doc
Скачиваний:
3
Добавлен:
13.09.2019
Размер:
251.9 Кб
Скачать
  1. Управление доступом.

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнить над объектами (компьютерные ресурсы)

Управление доступом – физическое и логическое

Логическое управление доступом – это механизм многопользовательских систем, предназначенный для обеспечения конфиденциальности и целостности объектов и в некоторой мере их доступность ( запрет на обслуживание неавторизованных пользователей)

Формальная постановка задачи:

определить множество допустимых операций для каждой пары «субъект-объект» и контролировать выполнение установленного порядка

Отношение «субъект-объект» можно представить через матрицу доступа

принцип распределения привилегий для сервисов

существующие связи между сервисами (согласованность)

Разнообразие объектов и применяемых к ним операций приводит к децентрализации логического управления доступом

Общий критерии, на основе которых определяется возможность предоставления доступа:

идентификатор субъекта

атрибуты субъекта

Контроль прав доступа производится разными компонентами программной среды

Например,

ядро ОС

сервисы безопасности

система управления БД

монитор транзакций и др.

Число администрируемых отношений пропорционально произведению количества пользователей на количество объектов

Использование ролей → число отношений пропорционально сумме количества пользователей и объектов

2001 Национальный институт стандартов и технологий США предложил проект стандарта ролевого управления доступом

Основные понятия:

- пользователь

- сеанс работы пользователя

- роль (часто определяется в соответствии с организационной структурой)

- объект (сущность, доступ к которой разграничивается)

- операция

- право доступа (разрешение выполнять определенные операции над определенными объектами)

Ролям приписываются пользователи и права доступа

  1. Протоколирование и аудит.

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событии, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внут­ренние (вызванные действиями самого сервиса) и клиентские (вызван­ные действиями пользователей и администраторов).

Аудит — это анализ накопленной информации, проводимый опера­тивно, в реальном времени или периодически (например, раз в лень). Оперативный аудит с автоматическим реагированием на выявленные не­штатные ситуации называется активным.

Реализация протоколирования и аудита решает следующие задачи:

• обеспечение подотчетности пользователей и администраторов;

  • событий;

  • обнаружение попыток нарушений информационной безопасности;

• предоставление информации для выявления и анализа проблем.

«Оранжевая книга» выделяет сле­дующие события:

  • вход в систему (успешный или нет);

  • выход из системы;

  • обращение к удаленной системе;

  • операции с файлами (открыть, закрыть, переименовать, удалить);

  • сиена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

При протоколировании события рекомендуется записывать, по крайней мере следующую информацию:

  • дата и время события;

  • уникальный идентификатор пользователя-инициатора действия;

  • тип события;

  • результат действия (успех или неудача);

  • источник запроса (например, имя терминала);

  • плена затронутых объектов (например, открываемых или удаленных файлов);

описание изменений, внесенных в баш данных зашиты

Аудит информационной безопасности

Является системным процессом получения и оценки объективных данных о текущем состоянии системы, действиях и событиях, происходящих в ней, который устанавливает уровень их соответствия определенному критерию

Позволяет:

- оценить текущую безопасности функционирования системы

- оценить риски и управлять ими

- прогнозировать влияние рисков на бизнес-процессы

Внешний аудит:

- проводится специализированными организациями

- анализируются меры риска от внешних атак

- осуществляется сканирование портов, поиск уязвимостей в сетевом и прикладном ПО

- проверка взаимодействия в Web-серверами, почтовыми и файловыми серверами

- Ethical Hacking

Внутренний аудит:

- команда из числа персонала организации

- оценка рисков существующих технологий, используемых в ИС

- сканирование портов и уязвимостей внутренних хостов

- анализируется выполнение установленной политики безопасности, контроль и управление доступом к ресурсам

- выполнение персоналом парольной политики

Основные механизмы и службы защиты

  • межсетевые экраны

  • системы обнаружения вторжений

  • средства контроля целостности

  • средства проверки содержимого

  • сканеры

  • средства контроля конфигурации

  • средства контроля доступа и аутентификации

  • виртуальные частные сети

Задача активного аудита - оперативно выявлять подозрительную активность и предоставлять средства для автоматического реагирования на нее.