 |
Информационная безопасность в системе национальной безопасности
|
|
|
|
Цели и задачи информационной безопасности
В соответствии с федеральным законом «об информации, информатизации и защите информации» от 20 февраля 1995 г. дано определение информатизации: это организационный социально экономический и научно технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов гос. власти, организаций, и общественных объединений. Информатизация это характерная черта современного общества. Актуальность и важность проблемы обеспечения безопасности информационных технологий определяется:
1) Увеличение мощности компьютеров при упрощение их эксплуатации.
2) Резкое увеличение объемов информации, которая накапливается, хранится и обрабатывается компьютерами.
3) В единых базах собирается информация разного назначения.
4) Высокие темпы роста парка персональных компьютеров который находиться в эксплуатации в различных сферах деятельности.
5) Резкое расширение круга пользователей.
6) Развитие программных средств которые не удовлетворяют даже минимальным требованиям безопасности.
7) Распространение сетевых технологий.
8) Развитие глобальной сети интернет.
Информация – некоторые сведения о каком либо объекте или предмете.
С понятием информации связанно 3 объекта: источник, передатчик, потребитель.
Согласно закону информационные ресурсы это отдельные документы и массивы документов в информационных системах. Они являются собственностью находятся в ведение организации подлежат учету и защите. По этому информацию можно использовать для производства товаров и услуг, можно продать или уничтожить. В условиях рыночной экономике тот кто владеет информацией владеет рынком. По этому защита информации от не правомерного доступа это важный элемент жизни обеспечения государства или отдельного предприятия.
|
|
|
ИБ РФ это состояние защищенности ее национальных интересов в информационной сфере. Государственная политика в этом направление основывается на принципах:
1) Соблюдение конституции РФ, принципов и норм, международного права.
2) Открытость в реализации функций федеральных органов государственной власти, общественных объединений и информирование общества от их действий.
3) Правовое равенство всех участников процесса информационного взаимодействия.
4) Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий.
Можно выделить компоненты безопасности: персонал, материальные и финансовые средства, и информация.
Угрозы – потенциально или реально существующее воздействие которое приводит к материальному или моральному ущербу.
…………………………………………………………………………………………………………….
которая включает технические средства защиты информации, специальные фирмы по оказанию услуг в области защиты информации практический опыт и т.д. Обеспечение безопасности это непрерывный процесс для реализации, каких либо методов способов и развития системы.
Системы защиты информации (СЗИ)
Это совокупность специальных органов средств защиты информации, которые обеспечивают защиту информации от внутренних и внешних угроз. Защита информации должна быть: непрерывной, плановой, целенаправленной, конкретной, надежной, универсальной и комплексной. Чтобы выполнить все требования СЗИ должна удовлетворять условиям:
1) Охватывать весь технологический комплекс информационной деятельности
2) Быть разнообразной по используемым средствам
3) Быть открытой для изменения и дополнения мер безопасности
|
|
|
4) Быть нестандартной
5) Быть удобной для эксплуатации
6) Быть надежной в смысле отказа аппаратных и программных средств
7) Обладать целостностью, когда ни одной из частей нельзя удалить без ущерба для системы
Система защиты информации должна иметь следующие виды собственного обеспечения:
1) Правовое – нормативные документы, положения, инструкции
2) Организационная – специальные подразделения и службы
3) Аппаратные
4) Информационная – сведенья, данные, показатели, информация о доступе
5) Программное
6) Математическое
7) Нормативно-методическое – регламенты деятельности служб, инструктаж пользователя.
Задачами системы безопасности являются: разработка и осуществление мер по защите, формирование и развитие органов и сил обеспечения безопасности, восстановление объектов защиты. Целями СЗИ является: выявление угроз, предотвращение, нейтрализация, пресечение, локализация, отражение и уничтожение угроз.
1988 год – Морис – ущерб 6200 систем 100 млн долларов 3 месяца и 270 тыс. долларов
Наиболее известно книга министерства обороны США выпущеная в 1983 году, называется «Оранжевый»(по цвету обложки). В этом документе определяется четыре уровня безопасности: D, C, B, A. Уровни C и И подразделяются на классы: C1, C2, B1, B2, B3. Чтобы система в результате сертификации могла быть отнесена к некоторому классу, ее защита должна удовлетворять определенным требованиям. Пример: требования класса С2:
1) Каждый пользователь должен быть идентифицирован уникальным входным именем и паролем для входа в систему.
2) Система должна использовать эти идентификаторы для контроля за действиями пользователя. Владелец ресурса должен иметь возможность контролировать доступ к этому ресурсу
3) Операционная система должна защищать объекты от повторного использования. Перед выделением новому пользователю все объекты должны инициализироваться.
4) Системный администратор должен иметь возможность вести полный учет событий.
5) Система должна защищать себя от внешнего воздействия
Информационная безопасность в системе национальной безопасности
Для образования канала утечки необходимы определенные пространственные временные и энергетические условия. При этом злоумышленник должен иметь специальные средства и аппаратуру. Отсутствие в организации надлежащего контроля за соблюдением безопасности дают 14% потерь.
|
|
|
3. НСД – противоправное преднамеренное овладение конфиденциальной информацией лицом не имеющим право доступа к охраняемым секретам. НСД реализуется по разному: от продажи секретов (24%) до использования различных средств противоправного доступа.
Направления обеспечения ИБ, правовая защита
Направление обеспечения ИБ – нормативно-правовые категории, которые позволяют обеспечить комплексную защиту информации от внутренних и внешних угроз. При построении системы безопасности необходимо учитывать положения:
1) Если вы не уверены в безопасности системы, то нужно считать что опасность существует
2) За безопасность необходимо платить
3) Безопасность не бывает избыточной
4) Безопасность должна быть комплексной
5) Комплексная безопасность может быть обеспечена только системой безопасности
6) Система безопасности невозможна без особой подготовки руководителей, сотрудников и клиентов
7) В безопасности должен быть заинтересован каждый
Схема безопасности имеет вид:
Безопасность
Персонал
Материальные и финансовые ресурсы
Информация
Угрозы
С учетом сложившейся практике выделяют три направления защиты информации:
1) Правовая защита – специальные законы, нормативные акты, правила, мероприятия, которые обеспечивают защиту информации на правовой основе
2) Организационная защита – регламентация государственной и производственной деятельности и взаимоотношения исполнителей на нормативно-правовой основе
3) Инженерно-техническая защита – использование различных технических средств, которые препятствуют нанесению ущерба коммерческой или государственной деятельности
Защитные действия можно охарактеризовать целым рядом параметров:
1) Ориентация на объекты защиты – персонал, материальные финансовые ценности, информация
2) По характеру угроз – разглашение, утечка, НСД
|
|
|
3) По направлению – Правовая, организационная, инженерно-техническая
4) Способ действия – предупреждение, обнаружение, пресечение, восстановление
5) Охват – территория, здание, помещение, аппаратура, элементы
6) Масштаб – объектовая, групповая, индивидуальная
Правовая защита
Право – совокупность общеобязательных правил и норм поведения, которые установлены государством в отношении определенных сфер жизнедеятельности государственных органов предприятий и населения. Правовая защита определяется межгосударственными договорами и реализуется патентами, авторским правом и лицензиями на их защиту
В гражданском кодексе Российской Федерации дано определение служебной и коммерческой тайн:
1. Информация составляет служебную или коммерческую тайну, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения которые не могут составлять служебную или коммерческую тайну определяются законом
2. Информация составляющая служебную или коммерческую тайну защищается согласно кодексу и другим законам.
3. Лица незаконными методами получившие незаконную информацию обязаны возместить причиненные убытки
В указе президента РФ определяются следующие понятия:
1. Конфиденциальная информация – документированная информация доступ к которой ограничивается в соответствии с законодательством РФ – личная (сведения о частной жизни гражданина позволяющие идентифицировать его личность), судебно-следственная, служебная, профессиональная, коммерческая, производственная (сведения о сущности изобретения, полезной модели, промышленного образца до официальной публикации о них).
Одно из направлений правовой защиты это страховое обеспечение оно предназначена для защиты собственника информации от традиционных угроз (кража, стихийные бедствия) и от угроз по утечки разглашению и несанкционированного доступа к конфиденциальной информации. Цель обеспечить защиту физических и юридических лиц в виде полного или частичного возмещения ущерба, регламентируется законом РФ «о страховании»
Для защиты от НСД используют указы президента «Положение о государственной системе защиты информации от иностранной технической разведки и от утечке по техническим каналам связи», «О защите телекоммуникационных систем и БД от утечки конфиденциальной информации по техническим каналам связи» и «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а так же предоставление услуг в области шифрования информации».
|
|
|
Опираясь на гос акты и учитывая интересы конкретной организации разрабатываются документы:
1. Положение о сохранении конфиденциальности информации
2. Перечень сведений составляющих конфиденциальную информацию
3. Инструкция о порядке допуска сотрудников к конфиденциальной информации
4. Положение о специальном делопроизводстве и документообороте
5. Перечень сведений разрешенных к опубликованию в открытой печати
6. Положение о работе с иностранными фирмами
7. Обязательства сотрудника о сохранении конфиденциальной информации
8. Памятка сотруднику о сохранении коммерческой тайны
В случае нарушения указанных правил должны применяться соответствующие меры воздействия.
Виды правовой защиты информации
Ее доступности и экономической целесообразности защитных мер могут быть выбраны формы защиты: патентование, авторское право, признание сведений конфиденциальными, товарные знаки и применение норм обязательственного права.
Авторское право защищает только форму выражение идеи. Авторское право защищает от копирования, независимо от отношений с владельцем. АП подтверждается патентом, действует определенное время и требует строго определенных расходов.
Коммерческая тайна относится непосредственно к содержанию, всегда содержится в секрете. Коммерческая тайна является наиболее удобным, надежным и гибким средством защиты информации. В качестве защиты инфы широко используют официальную передачу прав на пользование информацией на фоне лицензии.
Лицензия – разрешение, выдаваемое государством на проведение некоторых видов деятельности. Лицензия предоставляется определенное время и на определенный вид товара (услуг).
Коммерческая тайна – секреты, которые не являются государственными. Это информация связанная с производством, технологией управления, финансами и т.д. Ее ценность определяется создаваемыми преимуществами в конкурентной борьбе. КТ должна быть потенциально полезной и не общеизвестной. Срок ее действия определяется жизненным циклом товара. К КТ не относится сведения охраняемые государством, патенты и товарные знаки, учредительные документы, сведения о хоз. Деятельности. Обязательства конкретного сотрудника в области защиты информации должны быть оговорены в трудовом договоре, который заключается в письменной или устной форме
Организационная защита информации
Организационная защита – регламентация производственной и управленческой деятельности и взаимоотношений исполнителей на нормативно-правовой основе.
Защита исключает или существенно затрудняет неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
1) Организацию охраны режима работу с кадрами и документами
2) Использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз ИБ
Организационные мероприятия участвуют в создании надежного механизма защиты информации, т.к. НСД определяется не техническими аспектами, а злоумышленными действиями, небрежностью, халатностью пользователей или персонала защиты.
К основным организационным мероприятиям относятся:
1) Организация режима и охраны. Цель – исключить возможность тайного проникновения на территорию и в помещение посторонних лиц, обеспечить контроль перемещения сотрудников и посетителей, создание отдельных зон по типу закрытости работ со своими системами доступа, контроль временного режима пребывания на территорию, поддержание пропускного режима.
Организационная защита – регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающий или существенной затрудняющий овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Включает:
- Организация режима и охраны – исключение возможности проникновения на территорию и в помещение посторонних лиц
- Организацию работы с сотрудниками – подбор и расстановка персонала, ознакомление с сотрудниками, обучение правилам работы, ознакомление с мерой ответственности
- Организация работы с документами – правила работы с носителями информации, их использование, возврат, хранение и уничтожение
- Организация использования технических средств – средства сбора, обработки, накопления и хранения конфиденциальной информации
- Организация работ по анализу внутренних и внешних угроз
Организационные средства защиты ЭВМ и информационных сетей применяются:
- при проектировании, строительстве и оборудовании помещений для минимизации последствий злоумышленных действий
- при подборе и подготовке персонала
- при хранении и использовании носителей данных
- при соблюдении надежного пропускного режима к техническим средствам
- при внесение изменений в ПО
- при подготовке и контроле работы пользователей
Служба информационной безопасности
- это специальная служба, которая разрабатывает и выполняет ряд мероприятий по безопасности и защите информации. Служба безопасности имеет общие обязанности:
1) обеспечение охраны персонала, материальных и финансовых ценностей
2) обеспечение и контроль соблюдения пропускного и внутриобъектного режимов
Для защиты ценных вложений используют дополнительное устройство (например пломбы – гриплок, секьюгрип, бэгсил, секьюрхасп, пулап, секьюрпул)
3) Руководство работами по правовому регулированию отношений по защите информации
Системы ограждения и физической изоляции
Включают в себя естественные и искусственные барьеры, особую конструкцию проходов, периметров, оконных переплетов, зоны безопасности. Ограждения могут применяться от простых сетчатых заборов, до сложных комбинированных систем. В настоящее время создаются системы физической защиты совмещенные с охранной сигнализацией. Например: микропроцессорная система сигнализации для использования с проволочным заграждением, в которой датчики натяжения программируемые по величине порогового уровня и частоте формируют сигнал тревоге. Другой вариант - сетка из волоконно-оптических кабелей. В случае повреждения сигнал искажается.
Для предприятия которое работает с конфиденциальной информацией обязательны особые конструкции сейфов и хранилищ. Они должны противостоять механическому и термическому резанью, взрыву, подделки ключей и т.д. Одно из главных технических средств защиты – замки кодовые с программированием по времени. Среди средств защиты ПК появились приспособления которые препятствуют их хищение и проникновению внутренние компоненты. Для этого используют металлические конструкции с клейкой подставкой. Важное средство физической защиты э то планировка зданий и помещений по зонам безопасности. Оптимальное расположение зон безопасности это основа концепции инженерно-технической защиты. Основа планировки и оборудования зон безопасности объекта составляет принцип равнопрочности границ зон безопасности. Суммарная прочность оценивается наименьшей из них.
Запирающие устройства и шкафы несут в себе признаки и систем физической изоляции и устройств контроля доступа. Для хранения важной информации рекомендуется иметь комбинированную систему замков. Регулирование доступа в помещение осуществляется через опознавания пункта охраны (не всегда надежно из-за человеческого фактора) или техническими средствами. Существуют много методов опознавание уполномоченных лиц на право их доступа в соответствующую зону. Наибольшее распространение имеет:
1) Атрибутные способы – средства подтверждения полномочий документы пароли магнитные, электронные карты ключи. Эти средства в значительной мере подвержены подделкам
2) Персональные метод – метод определения лица по его не зависимым показателям
3) Система опознавания по голосу (производится анализ кратковременных сегментов или выделение статистических характеристик)
4) Системы опознавания по подчерку (анализирует постоянство подписи индивидуума)
5) Система опознавания по геометрии рук (для идентификации анализируют линии сгибов пальцев и ладоней, линии складок длинны и толщины пальцев) технически это реализуется путем наложения руки на матрицу фотоэлементов. Рука освещается мощной лампой и производится регистрация сигналов с ячеек несущих информации о геометрии
Все устройства идентификации человека могут работать отдельно или в комплексе. Комплекс может быть узкоспециализируемым или многоцелевым. Если вся информация сохраняется в БД, то это может служить основой для анализа рабочего времени сотрудника, выявления нарушителей дисциплины, определения местоположения клиентов и сотрудников. Физические методы защиты это первая преграда на пути злоумышленника
Курс 4
В.И. Завгородний «Комплексная защита информации в КС» М. Логос, 2001
Доктрина информационной безопасности принята в 2000 году.
Предметы и объекты защиты
Закон об информации, информатизации и защите информации. 1995 г.
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах не зависимо от формы их представления.
Особенности информации:
1. Информация доступна человеку, если она содержится на материальном носителе
2. Информация имеет ценность
3. Ценность информации изменяется во времени и как правило со временем уменьшается
С(t)=CoC-2,3t/T
4. Информация покупается и продается
Информация добывается:
1. Проведение научных исследований
2. Покупка информации
3. Противоправное приобретение информации
Работа с информацией
1. Внедрение в производство для получения новых технологий
2. Продажа
3. Использование в научных исследованиях
Сложность объективной оценки в количестве информации
Подходы:
- интрапийный
В теории информации количество информации оценивается мерой уменьшения от получателя неопределенности выбора или ожидания события после получения информации. Количество информации тем больше, чем ниже вероятность события. Интрапийный подход широко используется при определении количество информации передаваемой по каналам связи. Выбор при приеме информации осуществляется между символами алфавита принятом сообщении.
Анализ формулы Шеннона показывает, что количество информации в двоичном представлении(в битах или байтах) зависит от двух величин: количества символов в сообщении и частоты появления того или иного символа в сообщении для использованного алфавита.
Этот подход абсолютно не отражает на сколько полезна полученная информации, а позволяет определить лишь затраты на передачу сообщения
-тезаурусный
Он основан на рассмотрении информации как знании. Согласно этому подходу количество информации, извлекаемое человеком из сообщения можно оценить степенью изменения его знания. Структурированные знания, представленные в виде понятий и отношений между ними, называются тезаурусными. Структура иерархическая.
-Практический
На практике количество информации измеряют используя понятие объем информации, при этом количество информации может измеряться в количестве бит(байт), страниц текста, длине аудио/видеозаписи
В качестве предмета защиты рассматривается информация хранящаяся
2. Высокая степень стандартизации обработки и передачи информации
Объект защиты информации
Объектом защиты информации является компьютерная система или автоматизированная система в обработке данных – это комплекс аппаратных и программных средств предназначенного для автоматизированного сбора, хранения, обработки, передачи информации.
Общие требования к защищенности КС от несанкционированного изменения структур.
Несанкционированные изменения могут быть подвергнуты алгоритмическое программе и техническая структура КС на этапах ее разработки и эксплуатации. На этапе эксплуатации необходимо выделить.
Особенности защиты от несанкционированных изменений структур КС является универсальность метода позволяющих на ряду с умышленными воздействиями выявлять и блокировать непреднамеренные ошибки разработчиков и обслуживающего персонала, а так же сбои и откаты аппаратных и программных средств. Обычно несанкцион. изменения в КС выполненные на этапе разработке и при модернизации системы.
На этапе разработке и при модернизации КС основной задачей является исключение ошибок и возможности внедрения заплаток
На этапе эксплуатации выявляются заплатки и ошибки, а так же обеспечиваются целостность, неизменность сруктур.
Представление либой структуры в виде блочной труктуры позволяет представлять любой блок в виде черного ящика
Если синдром отличен от нуля то произошла ошибка при хранении(передачи) двоичной последовательности. Ошибка определяется и в контрольных разрядах (синдроме). Существует метод который позволяет практически исключить возможность неконтролируемого изменения информации в компьютерной системе. Для этого необходимо использовать хэш-функцию. От хэш-функции понимается процедура получение контрольной характеристики в двоичной последовательности, основанная на контрольном сумировании и криптографическом преобразовании. Алгоритом хэш-функции приведен ГОСТ Р34.11-94. Алгоритм не является секретным, так же как и алгоритм используемого при получении хэш-функции криптографического преобразования, изложенного в ГОСТ 28.147-89
Исходными данными для вычисления хэш функции является исходная двоичная последовательность и стартовая ветка хэширования. Стартовая ветка хэширования представляет собой двоичную последовательность длинной 256 бит. Он должен быть недоступен злоумышленникам.
Правила разграничения доступа заключается в следующем:
Лицо допускается к работе с документами только в том случае, если уровень доступа субъекта равен или выше уровню конфиденциальности документа
Система защиты программных средств от копирование и исследование.
Методы затрудняющие считывание/копирование информации
Но и при попытках несанкционированного ввода информации. Особенность работы накопителей на съемных магнитных носителях должны задаваться за счет изменения программных сред, поддерживающих ту же работу, а так же за счет простых аппаратных регулировок.
В качестве примера удачного шифрования можно привести шифр DES
1978-2001 Далее AES
Чтобы для раскрытие шифра подтребуется несколько лет непрерывной работы самых мощных по тем временам компьютеров. Прогресс в области вычислительной техники позволил значительно сократить время определения ключа, путем полного перебора
А Б В Г Д Е Ё Ж З И Й К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Ъ Ы Ь Э Ю Я
ЧСЮЭЮЪ
1)ЗВОНОК
АПЕЛЬСИН – ТВЧЮОДЫА – 19
ЯБЛОКО –
Ю В П Л Ш У Х – УЧЕБНИК – 22
ЪЁОЪЬГМ – АЛФАВИТ – 6
ЖКИЛШЪОБМ – КОМПЬЮТЕР – 4
В целях маскирования естественной частотной статистике исходного языка применяется многоалфавитная подстановка
Таблица Вижинера
В этом методе для шифрования используется таблица представляющая собой квадратную матрицу с числом элементов m*n
АБВ…ЭЮЯ
БВГ…ЮЯА
ВГД…ЯАБ
ЯАБ…ЬЭЮ
Для шифрования текста выбирают ключ представляющий собой некоторое слово\Из полной матрицы выписывают подматрицу шифрования, включающий первую строку и строки матрицы начальными буквами которых являются последовательно буквы ключа.
Рассмотрим на примере процесс дешифрования
Пусть имеется зашифрованной с помощью ключа весна сообщение
КЕКХТВОЭЦ(А)ОТССВИЛ
Расшифровка текста выполняется в следующей последовательности над буквами шифрованного текста сверху последовательно записывают буквы ключа повторяя ключ требуемое число раз
| В | Е | С | Н | А | В | Е | С | Н | А | В | Е | С | Н | А | В |
| К | Е | К | Х | Т | В | О | Э | Ц(а) | О | Т | С | С | В | И | Л |
| З | А | Щ | И | Т | А | И | Н | Ф | О | Р | М | А | Ц | И | И |
Ключ орех слово ШВМБУЖНЯ
Вопросы к экзамену
1. Как осуществляется управление доступом к информации в КС(матричное и мандатное)
Матричное управление доступом предполагает использование матриц доступа. Матрица доступа представляет собой таблицу, в которой объекту доступа соответствует столбец Оj, а субъекту доступа - строка Si. На пересечении столбцов и строк записываются операция или операции, которые допускается выполнять субъекту доступа i с объектом доступа j (рис. 12). O1 O2 … Oj … Om
S1 R R,W Е R
S2 R, А - R Е
...
Si R - - R
...
Sn R, W - Е Е
Рис. 12. Матрица доступа
Матричное управление доступом позволяет с максимальной детализацией установить права субъекта доступа по выполнению разрешенных операций над объектами доступа. Такой подход нагляден и легко реализуем. Однако в реальных системах из-за большого количества субъектов и объектов доступа матрица доступа достигает таких размеров, при которых сложно поддерживать ее в адекватном состоянии.
Полномочный или мандатный метод базируется на многоуровневой модели защиты. Такой подход построен по аналогии с "ручным" конфиденциальным (секретным) делопроизводством. Документу присваивается уровень конфиденциальности (гриф секретности), а также могут присваиваться метки, отражающие категории конфиденциальности (секретности) документа. Таким образом, конфиденциальный документ имеет гриф конфиденциальности (конфиденциально, строго конфиденциально, секретно, совершенно секретно и т. д.) и может иметь одну или несколько меток, которые уточняют категории лиц, допущенных к этому документу ("для руководящего состава", "для инженерно-технического состава" и т. д.). Субъектам доступа устанавливается уровень допуска, определяющего максимальный для данного субъекта уровень конфиденциальности документа, к которому разрешается допуск. Субъекту доступа устанавливаются также категории, которые связаны с метками документа.
Правило разграничения доступа заключается в следующем: лицо допускается к работе с документом только в том случае, если уровень допуска субъекта доступа равен или выше уровня конфиденциальности документа, а в наборе категорий, присвоенных данному субъекту доступа, содержатся все категории, определенные для данного документа.
В КС все права субъекта доступа фиксируются в его мандате. Объекты доступа содержат метки, в которых записаны признаки конфиденциальности. Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности.
Мандатное управление позволяет упростить процесс регулирования доступа, так как при создании нового объекта достаточно создать его метку. Однако при таком управлении приходится завышать конфиденциальность информации из-за невозможности детального разграничения доступа.
Если право установления правил доступа к объекту предоставляется владельцу объекта (или его доверенному лицу), то та кой метод контроля доступа к информации называется дискреционным.
2. Концепция построения систем разграничения доступа
В основе построения СРД лежит концепция разработки защищенной универсальной ОС на базе ядра безопасности [6]. Под ядром безопасности понимают локализованную, минимизированную, четко ограниченную и надежно изолированную совокупность программно-аппаратных механизмов, доказательно правильно реализующих функции диспетчера доступа [29]. Правильность функционирования ядра безопасности доказывается путем полной формальной верификации его программ и пошаговым доказательством их соответствия выбранной математической модели защиты.
Применение ядра безопасности требует провести изменения ОС и архитектуры ЭВМ. Ограничение размеров и сложности ядра необходимо для обеспечения его верифицируемости.
Для аппаратной поддержки защиты и изоляции ядра в архитектуре ЭВМ должны быть предусмотрены:
многоуровневый режим выполнения команд;
использование ключей защиты и сегментирование памяти;
реализация механизма виртуальной памяти с разделением адресных пространств;
аппаратная реализация части функций ОС;
хранение программ ядра в постоянном запоминающем устройстве (ПЗУ);
использование новых архитектур ЭВМ, отличных от фон-неймановской архитектуры (архитектуры с реализацией абстрактных типов данных, теговые архитектуры с привилегиями и др.).
3. Какой состав систем разграничения доступа
4. Какие современные программные системы защиты ЭВМ от несанкционированного доступа вам известны
5. Какие методы затрудняющие считывание и копирование информации вы знаете
методы, затрудняющие считывание скопированной информации;
методы, препятствующие использованию информации.
Методы из первой группы основываются на придании особенностей процессу записи информации, которые не позволяют считывать полученную копию на других накопителях, не входящих в защищаемую КС. Таким образом, эти методы направлены на создание совместимости накопителей только внутри объекта. В КС должна быть ЭВМ, имеющая в своем составе стандартные и нестандартные накопители. На этой ЭВМ осуществляется ввод (вывод) информации для обмена с другими КС, а также переписывается информация со стандартных носителей на нестандартные, и наоборот. Эти операции осуществляются под контролем администратора системы безопасности. Такая организация ввода-вывода информации существенно затрудняет действия злоумышленника не только при несанкционированном копировании, но и при попытках несанкционированного ввода информации.
Особенности работы накопителей на съемных магнитных носителях должны задаваться за счет изменения программных средств, поддерживающих их работу, а также за счет простых аппаратных регулировок и настроек. Такой подход позволит использовать серийные образцы накопителей.
Самым простым решением является нестандартная разметка (форматирование) носителя информации. Изменение длины секторов, межсекторных расстояний, порядка нумерации секторов и некоторые другие способы нестандартного форматирования дискет затрудняют их использование стандартными средствами операционных систем. Нестандартное форматирование защищает только от стандартных средств работы с накопителями. Использование специальных программных средств (например, DISK EXPLORER. для IBM-совместимых ПЭВМ) позволяет получить характеристики нестандартного форматирования.
6. Какие методы препятствующие использованию скопированной информации вам известны
Эта группа методов имеет целью затруднить использование полученных копированием данных. Скопированная информация может быть программой или данными. Данные и программы могут быть защищены, если они хранятся на ВЗУ в преобразованном криптографическими методами виде. Программы, кроме того, могут защищаться от несанкционированного исполнения и тиражирования, а также от исследования.
Наиболее действенным (после криптографического преобразования) методом противодействия несанкционированному выполнению скопированных программ является использование блока контроля среды размещения программы. Блок контроля среды размещения является дополнительной частью программ. Он создается при инсталляции (установке) программ. В него включаются характеристики среды, в которой размещается программа, а также средства получения и сравнения характеристик.
7. Как осуществляется защита программных средств от исследования
Средства исследования программ
Основными инструментами для исследования программ являются дисассемблеры и отладчики.
Дисассемблирование - это получение из исполняемого кода программы код на языке ассемблера.
Дисассемблер - программа, осуществляющая дисассемблирование.
Интерактивный дисассемблер - программа, тесно взаимодействующая с пользователем в процессе дисассемблирования.
Отладчик - программа, предназначенная для анализа поведения другой пр
|
|
|
