Захист інформації в автоматизованих системах обробки даних розвиток підсумки перспективи

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

ХЕРСОНСЬКИЙ НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ

Кафедра інформаційних технологій

Контрольна робота

з дисципліни:

«Захист інформації»

на тему: «Захист інформації в автоматизованих системах обробки даних: розвиток, підсумки, перспективи»

Херсон 2005

Зміст

Вступ

Методи і засоби захисту інформації

Захист від несанкціонованого доступу до інформації

Захист комп'ютерних систем методами криптографії

Забезпечення інформаційної безпеки комп'ютерних систем

Критерії оцінки безпеки інформаційних технологій в європейських країнах

Концепція захисту від несанкціонованого доступу до інформації

Висновок

Література

Вступ

Існують різні способи замаху на інформаційну безпеку: радіотехнічні, акустичні, програмні і т.п. Серед них несанкціонований доступ виділяється як доступ до інформації, що порушує встановлені правила розмежування доступу, з використанням штатних засобів, що надаються засобів обчислювальної техніки або автоматизованих систем.

Захист автоматизованих систем повинна забезпечуватися на всіх технологічних етапах обробки інформації і в усіх режимах функціонування, у тому числі при проведенні ремонтних і регламентних робіт.

Для захисту інформації в автоматизованих системах обробки даних використовуються різні методи та засоби захисту. Вони включають в себе безпеку і цілісність даних. Для визначення засобів захисту розрізняють ступеня підготовленості порушників. Так само розрізняють види порушень з позиції порушника. Це навмисні і ненавмисні.

У захисті інформації персонального комп'ютера від несанкціонованого доступу можна виділити три основні напрямки:

Перше орієнтується на недопущення порушника до обчислювальної середовищі і грунтується на спеціальних технічних засобах розпізнавання користувача.

Друге пов'язане із захистом обчислювального середовища і грунтується на створенні спеціального програмного забезпечення по захисту інформації.

Третій напрям пов'язаний з використанням спеціальних засобів захисту інформації персонального комп'ютера від несанкціонованого доступу.

У сучасних комп'ютерних системах використовуються криптографічні системи захисту, які передбачають захист, аутентифікацію (доказ достовірності) та зберігання інформації. Виконання процесу криптографічного закриття інформації може бути апаратним і програмним.

Для захисту інформації в комп'ютерних системах використовуються різні методи. Такі як законодавчі, організаційні, технічні, математичні, програмні, а так само морально-етичні. Використовуються різні програмні методи, які значно розширюють можливості щодо забезпечення безпеки, що зберігається. Найбільш поширені засоби захисту обчислювальних ресурсів, що використовують парольний ідентифікацію, обмежують доступ несанкціонованого користувача, застосування методів шифрування; засоби захисту від копіювання, комп'ютерних вірусів.

Особливості захисту персонального комп'ютера обумовлені специфікою їх використання. Якщо персональним комп'ютером користується група користувачів, то може виникнути необхідність в обмеженні доступу до інформації різних споживачів.

Невід'ємною частиною робіт по захисту є оцінка ефективності засобів захисту, що здійснюється за методикою, що враховує всю сукупність технічних характеристик оцінюваного об'єкта, включаючи технічні рішення і практичну реалізацію засобів захисту.

Захист автоматизованих систем повинна передбачати контроль ефективності засобів захисту від несанкціонованого доступу. Цей контроль може бути або періодичним, або ініціюватися в міру необхідності користувачем автоматизованих систем або контролюючими органами.

Методи і засоби захисту інформації

Поняття «захист інформації в обчислювальних системах» передбачає проведення заходів у двох взаємопов'язаних напрямках: безпека даних і цілісність даних.

Безпека даних пов'язана з їх захистом від навмисного руйнування, спотворення або випадкового доступу осіб, не мають на це право.

Цілісність - це гарантія їх узгодженості, правильності і повноти. Користувачі наділені правом спілкування з обчислювальною системою, тобто вони авторизовані.

Для визначення засобів захисту інформації доцільно розрізняти ступінь підготовленості порушників. За ступенем підготовленості серед порушників можуть бути малокомпетентні особи, професійний персонал, висококваліфікований персонал. Ступінь підготовленості порушників обернено пропорційна надійності і прямо пропорційна складності захисту інформації.

З позиції порушника безпеки і цілісності види порушень відповідно поділяються на умисні і ненавмисні. До умисним відноситься розкрадання (знищення) носіїв інформації, підслуховування, несанкціоноване копіювання інформації за допомогою терміналів та ін

Спотворення цілісності - результат випадкових помилок персоналу, невірного виконання програм і т.д.

Для захисту інформації в комп'ютерних системах застосовуються такі методи:

Законодавчі;

Організаційні;

Технічні;

Математичні;

Програмні;

Морально-етичні.

Організаційні заходи використовуються для захисту майже від усіх відомих порушень безпеки і цілісності обчислювальних систем. Це організація спостереження в обчислювальній системі, перевірка та підготовка персоналу, контроль над змінами в програмному та математичному забезпеченні, створення адміністративної служби захисту, розробка нормативних положень щодо діяльності обчислювальної системи.

Організаційні заходи доповнюють захист інформації на етапах її зберігання і передачі.

Технічні використовують різні технічні засоби. Призначення деяких з них - видалення інформації при спробі вилучення накопичувача, викраденні комп'ютера, проникненні в зону обслуговування комп'ютера (сервера) або при натисненні певної кнопки. Принцип дії цих пристроїв - форматування накопичувача.

Математичні. В обчислювальних системах слід використовувати досить різноманітні шифри. Криптографічні методи використовуються, як правило, при зберіганні і передачі інформації.

Програмні. Використовують різні програмні методи, які значно розширюють можливості щодо забезпечення безпеки, що зберігається. Серед стандартних захисних засобів персонального комп'ютера найбільш поширені:

Засоби захисту обчислювальних ресурсів, що використовують парольний ідентифікацію і обмежують доступ несанкціонованого користувача.

Застосування різних методів шифрування, що не залежать від контексту інформації.

Засоби захисту від копіювання комерційних програмних продуктів.

Захист від комп'ютерних вірусів і створення архівів.

Морально-етичні. Вважається, що і етичні кодекси мають позитивний вплив на персонал. В організаціях прийняті і вивішені на видних місцях етичні кодекси.

Захист від несанкціонованого доступу до інформації

Особливості захисту персонального комп'ютера обумовлені специфікою їх використання.

Стандартність архітектурних принципів побудови обладнання та програмного забезпечення персонального комп'ютера, висока мобільність програмного забезпечення і ряд інших ознак визначають порівняно легкий доступ професіонала до інформації, що знаходиться в персональному комп'ютері. Якщо персональним комп'ютером користується група користувачів, то може виникнути необхідність в обмеженні доступу до інформації різних споживачів.

Несанкціонований доступ до інформації будемо називати незаплановане ознайомлення, обробку, копіювання, застосування різних вірусів, в тому числі руйнують програмні продукти, а так само модифікацію або знищення інформації на порушення встановлених правил розмежування доступу. У захисті інформації персонального комп'ютера від несанкціонованого доступу можна виділити три основні напрямки:

Перше орієнтується на недопущення порушника до обчислювальної середовищі і грунтується на спеціальних технічних засобах розпізнавання користувача;

Друге пов'язане із захистом обчислювального середовища і грунтується на створенні спеціального програмного забезпечення по захисту інформації;

Третій напрям пов'язаний з використанням спеціальних засобів захисту інформації персонального комп'ютера від несанкціонованого доступу.

Захист комп'ютерних систем методами криптографії

У сучасних комп'ютерних системах криптографічні системи використовуються в наступних випадках:

Захист інформації

Аутентифікація (доказ достовірності) переданої інформації або права на доступ до даних.

Зберігання даних на носіях.

Процес криптографічного закриття даних може виконуватися як програмно, так і апаратно.

Апаратна реалізація відрізняється істотно більшою вартістю, однак має і переваги: ​​висока продуктивність, підвищена захищеність і т.д. Програмна реалізація більш практична, допускає значну гнучкість у використанні і коштує дешевше.

Ключ - інформація, необхідна для шифрування або дешифрування текстів.

Простір ключів - набір можливих значень ключа.

Крипостійкість - характеристика ключа, що визначає його стійкість до де шифруванню без знання ключа, тобто криптоаналіз. Вона вимірюється в MIPS-годинах або MIPS - роках.

Ефективність криптоалгоритму - відношення витрат криптоаналітик на розтин шифровки до тимчасових витратах криптографа на створення шифровки.

Основний принцип полягає в тому, щоб ключ захисту був побудований на реальному, але мало відомому фізичному явищі. Щоб ускладнити можливість тиражування технічних засобів захисту, часто ховається принцип дії електронної схеми і склад її компонентів.

Методи і способи апаратного захисту повинні відповідати таким вимогам:

З урахуванням витрат обираний метод повинен запобігати випадкове копіювання і захищати від навмисного копіювання і підробки;

Можливість копіювання ключа повинна бути відвернена;

Електронний пристрій захисту (ЕУЗ) не повинно заважати нормальній роботі системи або ускладнювати використання програмного забезпечення інших фірм, яке може бути захищене іншими засобами;

Допускати одночасне використання програмних засобів з різними типами ключів захисту.

Швидкість повного перебору паролів на комп'ютері Pentium / 120 для різних криптосистем

Криптосистема або

парольна система

Швидкість перебору паролів в секунду

ARJ 2.5

300 000

RC 5-56 bit

120 000

Nivell Netware 3.x

25 000

UNIX-cripto

10 000

Microsoft Office

3 000

Windows NT 4.0 вхід в систему

2 500

RAR 2.0

1 000

UNIX-MD5

200

Доступ до файлів і принтерів Windows 95

150

У той час, коли обчислювальної потужності для повного перебору всіх паролів не вистачало, хакерами був придуманий дотепний метод, заснований на тому, що в якості пароля людиною зазвичай вибирається існуюче слово або інформація про себе чи знайомих (ім'я, дата народження і т.д. ). Оскільки в будь-якій мові не більше 100 000 слів, то їх перебір займе досить невеликий час, то від 40 до 80% існуючих паролів може бути вгадано за допомогою такої схеми, званої «атакою по словнику». До 80% паролів може бути вгадано з використанням словника розміром всього 1 000 слів.

Забезпечення інформаційної безпеки комп'ютерних систем

Починаючи з 1999 року фахівці з комп'ютерних технологій намагаються звернути увагу громадськості та державних органів на новий міжнародний стандарт ISO / IEC 15408 «Єдині критерії оцінки безпеки інформаційних технологій» і групу підтримують його нормативних документів. Активність організацій по стандартизації провідних держав, реально відбулися зміни в поглядах фахівців до проблеми інформаційної безпеки (ІБ) і з'явилися застереженням, що Україна може втратити реальний шанс вчасно освоїти новітнє технологічне забезпечення інформаційної безпеки.

Актуальність вирішення завдання гармонізації вітчизняної нормативної бази до міжнародних стандартів, а також питань застосування міжнародних стандартів у вітчизняній практиці дуже велика. Негативне рішення даних завдань може не тільки загальмувати розвиток вітчизняних систем інформаційної безпеки, але й відкинути Україну з досягнутих на сьогоднішній день позицій в даній області.

У світі відбулося переосмислення підходів до вирішення проблеми забезпечення інформаційної безпеки. З моменту прийняття міжнародного стандарту ISO / IEC 15408 почався новий етап розвитку теорії та практики забезпечення інформаційної безпеки.

До недавнього часу нормативною основою вирішення завдань захисту інформації були стандарти ISO 7498-2:1989 «Архітектура безпеки ВОС» і ISO / IEC 10181:1996 «Основи положення безпеки відкритих систем». Ці документи визначали погляди фахівців на теоретичні підходи забезпечення захисту інформації.

Загальну логіку побудови систем захисту інформації можна представити таким чином:








Сфера дій стандарту ISO 7498-2 обмежувалася комп'ютерними системами, побудованими на основі семиуровневой моделі ВОС. Однак запропонований підхід до побудови систем захисту інформації було узагальнено на всі відкриті системи обробки, передачі та зберігання інформації прийняттям у 1996 році міжнародного стандарту ISO / IEC 10181.

Одночасно з трансформацією поглядів на процеси обробки відбувається і зміна поглядів на підходи до забезпечення безпеки інформації. Широка сфера застосування інформаційних технологій, розширення функціональних можливостей систем інформаційних технологій та інші причини призвели до того, що існуюча модель забезпечення інформаційної безпеки «Загроза безпеці Þ послуга безпеки Þ механізм безпеки» перестала задовольняти як споживача ІТ-систем, так і їх розробника.

За типом основних класів загроз виділяють п'ять основних цільових завдань безпеки ІТ-систем.

1. Забезпечення доступності передбачає, що володіє відповідними правами користувач може використовувати ресурс відповідно до правил встановлених політикою безпеки. Це завдання спрямована на запобігання навмисних або ненавмисних загроз неавторизованого видалення даних або необгрунтованої відмови в доступі до послуги, спроб використання системи і даних в недозволених цілях.

2. Забезпечення цілісності системи та даних розглядається у двох аспектах. По-перше, це цілісність даних означає, що дані не можуть бути модифіковані неавторизованим користувачем або процесом під час їх зберігання, передачі та обробки. По-друге, цілісність полягає в тому, що ні один компонент системи не може бути видалений, модифікований або доданий.

3. Забезпечення конфедіциальності даних і системної інформації передбачає, що інформація не може бути отримана неавторизованим користувачем під час її зберігання, обробки і передачі.

4. Забезпечення наблюдаемості спрямоване на забезпечення можливості ІТ-системи фіксувати будь-яку діяльність користувачів і процесів, використанні пасивних об'єктів, встановлювати ідентифікатори причетних до подій користувачів і процесів з метою запобігання порушенню безпеки та забезпечення відповідальності користувачів за виконані дії.

5. Забезпечення гарантій - це сукупність вимог, що становлять деяку шкалу оцінки для визначення ступеня впевненості у тому, що:

функціональні вимоги дійсно сформульовані і коректно реалізовані;

вжиті заходи захисту забезпечують належний захист ІТ-системи;

забезпечена достатня стійкість від навмисного проникнення і використання обхідних шляхів.

П'ять основних завдань тісно взаємопов'язані й взаємозалежні один від одного:







Критерії оцінки безпеки інформаційних технологій в європейських країнах

Слідуючи по шляху інтеграції, Європейські країни взяли узгоджені критерії оцінки безпеки інформаційних технологій (Information Technology Security Evaluation Criteria, ITSEC). Версія 1.2 цих Критеріїв опублікована в червні 1991 року від імені відповідних органів чотирьох країн - Франції, Німеччини, Нідерландів і Великобританії. Вигода від використання узгоджених критеріїв очевидна для всіх - і для виробників, і для споживачів, і для самих органів сертифікації.

Принципово важливою рисою Європейських Критеріїв є відсутність апріорних вимог до умов, в яких повинна працювати інформаційна система. Організація, яка запитує сертифікаційні послуги, формулює мету оцінки, тобто описує умови, в яких повинна працювати система, можливі загрози її безпеки і надані нею захисні функції. Завдання органу сертифікації - оцінити, наскільки повно досягаються поставлені цілі, тобто наскільки коректні і ефективні архітектура і реалізація механізмів безпеки в описаних спонсором умовах. Таким чином, Європейські Критерії відносяться до гарантованості безпечної роботи системи. Вимоги до політики безпеки і до наявності захисних механізмів не є складовою частиною Критеріїв. Втім, щоб полегшити формулювання мети оцінки, Критерії містять в якості додатку опис десяти примірних класів функціональності, типових для урядових і комерційних систем.

Основні поняття

Європейські Критерії розглядають наступні складові інформаційної безпеки:

конфіденційність, тобто захист від несанкціонованого отримання інформації;

цілісність, тобто захист від несанкціонованої зміни інформації;

доступність, тобто захист від несанкціонованого утримання інформації і ресурсів.

У Критеріях проводиться різниця між системами і продуктами. Система - це конкретна апаратно-програмна конфігурація, побудована з цілком визначеними цілями і функціонує у відомому оточенні. Продукт - це апаратно-програмний "пакет", який можна купити і за своїм розсудом вбудувати в ту або іншу систему. Таким чином, з точки зору інформаційної безпеки основна відмінність між системою і продуктом полягає в тому, що система має конкретне оточення, яке можна визначити і вивчити як завгодно детально, а продукт повинен бути розрахований на використання в різних умовах. Загрози безпеці системи носять цілком конкретний і реальний характер. Щодо загроз продукту можна лише будувати припущення.

З практичних міркувань важливо забезпечити єдність критеріїв оцінки продуктів і систем - наприклад, щоб полегшити і здешевити оцінку системи, складеної з раніше сертифікованих продуктів. У зв'язку з цим для систем і продуктів вводиться єдиний термін - об'єкт оцінки. У відповідних місцях робляться застереження, які вимоги ставляться виключно до систем, а які - тільки до продуктів.

Кожна система і пред'являє свої вимоги до забезпечення конфіденційності, цілісності та доступності. Щоб задовольнити ці вимоги, необхідно надати відповідний набір функцій (сервісів) безпеки, таких як ідентифікація і аутентифікація, управління доступом або відновлення після збоїв.

Щоб об'єкт оцінки можна було визнати надійним, необхідна певна ступінь впевненості в наборі функцій і механізмів безпеки. Ступінь впевненості ми будемо називати гарантованістю. Гарантованість може бути більшою або меншою в залежності від ретельності проведення оцінки.

Гарантованість зачіпає два аспекти - ефективність і коректність засобів безпеки. При перевірці ефективності аналізується відповідність між цілями, сформульованими для об'єкта оцінки, і наявним набором функцій безпеки. Точніше кажучи, розглядаються питання адекватності функціональності, взаємної узгодженості функцій, простоти їх використання, а також можливі наслідки експлуатації відомих слабких місць захисту. Крім того, в поняття ефективності входить здатність механізмів захисту протистояти прямим атакам (потужність механізму).

Визначається три градації потужності: базова, середня і висока.

Під коректністю розуміється правильність реалізації функцій і механізмів безпеки. У Критеріях визначається сім можливих рівнів гарантованості коректності - від E0 до E6 (у порядку зростання). Рівень E0 позначає відсутність гарантованості. При перевірці коректності аналізується весь життєвий цикл об'єкта оцінки - від проектування до експлуатації та супроводу.

Загальна оцінка системи складається з мінімальної потужності механізмів безпеки та рівня гарантованості коректності. Теоретично ці два аспекти незалежні, хоча на практиці немає сенсу перевіряти правильність реалізації "по вищому розряду", якщо механізми безпеки не мають навіть середньої потужністю.

Функціональність

В Європейських Критеріях засоби, що мають відношення до інформаційної безпеки, розглядаються на трьох рівнях деталізації. Найбільш абстрактний погляд стосується лише цілей безпеки. На цьому рівні ми отримуємо відповідь на питання, навіщо потрібні функції безпеки. Другий рівень містить специфікації функцій безпеки. Ми дізнаємося, яка функціональність насправді забезпечується. Нарешті, на третьому рівні міститься інформація про механізми безпеки. Ми бачимо, як реалізується декларована функціональність.

Специфікації функцій безпеки - найважливіша частина опису об'єкта оцінки.

Ідентифікація і аутентифікація

Під ідентифікацією та аутентифікації розуміється не тільки перевірка справжності користувачів у вузькому сенсі, а й функції для реєстрації нових користувачів і видалення старих, а також функції для генерації, зміни і перевірки аутентификационной інформації, у тому числі засоби контролю цілісності. Сюди ж відносяться функції для обмеження числа повторних спроб аутентифікації.

Засоби управління доступом також трактуються Європейськими Критеріями досить широко. У цей розділ потрапляють, крім інших, функції, що забезпечують тимчасове обмеження доступу до спільно використовуваних об'єктів з метою підтримки цілісності цих об'єктів - міра, типова для систем управління базами даних. У цей же розділ потрапляють функції для управління поширенням прав доступу і для контролю за отриманням інформації шляхом логічного висновку та агрегування даних (що також типово для СУБД).

Під точністю в Критеріях розуміється підтримання певного відповідності між різними частинами даних (точність зв'язків) та забезпечення незмінності даних при передачі між процесами (точність комунікацій). Точність виступає як один з аспектів цілісності інформації.

Функції надійності обслуговування повинні гарантувати, що дії, критичні за часом, будуть виконані рівно тоді, коли потрібно - не раніше і не пізніше, і що некритичні дії не можна перевести в розряд критичних дій. Повинна бути гарантія, що авторизовані користувачі за розумний час отримають запитувані ресурси. Сюди ж відносяться функції для виявлення і нейтралізації помилок, необхідні для мінімізації простоїв, а також функції планування, що дозволяють гарантувати час реакції на зовнішні події.

До області обміну даними належать функції, що забезпечують комунікаційну безпеку, тобто безпека даних, переданих по каналах зв'язку.

Гарантованість ефективності

Для отримання гарантій ефективності засобів безпеки розглядаються наступні питання:

Відповідність набору функцій безпеки проголошеним цілям, тобто їх придатність для протидії загрозам, які перелічені в описі об'єкта оцінки;

Взаємна узгодженість різних функцій і механізмів безпеки;

Здатність механізмів безпеки протистояти прямим атакам;

Можливість практичного використання слабкостей в архітектурі об'єкта оцінки, тобто наявність способів відключення, обходу, пошкодження і обману функцій безпеки;

Можливість небезпечного конфігурування або використання об'єкта оцінки за умови, що адміністратори і / або користувачі мають підстави вважати ситуацію безпечної;

Можливість практичного використання слабкостей у функціонуванні об'єкта оцінки.

Найважливішою частиною перевірки ефективності є аналіз слабких місць в захисті об'єкта оцінки. Мета аналізу - знайти всі можливості відключення, обходу, пошкодження, обману засобів захисту. Оцінюється також здатність всіх критично важливих захисних механізмів протистояти прямим атакам - потужність механізмів. Захищеність системи або продукту не може бути вищою за потужність найслабшого зі критично важливих механізмів, тому в Критеріях мається на увазі мінімальна гарантована потужність.

Для неї визначено три рівні: базовий, середній і високий.

Згідно Критеріям, потужність можна вважати базовою, якщо механізм здатний протистояти окремих випадкових атак.

Потужність можна вважати середньою, якщо механізм здатний протистояти зловмисникам з обмеженими ресурсами і можливостями.

Нарешті, потужність можна вважати високою, якщо є впевненість, що механізм може бути переможений лише зловмисником з високою кваліфікацією, набір можливостей і ресурсів якого виходить за межі практичності.

Важливою характеристикою є простота використання продукту або системи. Повинні існувати кошти, що інформують персонал про перехід об'єкта в небезпечний стан (що може статися в результаті збою, помилок адміністратора або користувача). Ситуації, коли в процесі функціонування об'єкта оцінки з'являються слабкості, допускають практичне використання, в той час як адміністратор про це не знає, повинні бути виключені.

Ефективність захисту визнається незадовільною, якщо виявляються слабкі місця, що допускають практичне використання, і ці слабкості не виправляються до закінчення процесу оцінки.

Звернемо увагу на те, що аналіз слабких місць проводиться в контексті цілей, декларованих для об'єкта оцінки. Наприклад, можна погодитися з наявністю таємних каналів передачі інформації, якщо відсутні вимоги до конфіденційності. Далі, слабкість конкретного захисного механізму може не мати значення, якщо вона компенсується іншими засобами забезпечення безпеки, тобто якщо механізм не є критично важливим.

Концепція захисту від несанкціонованого доступу до інформації

Ідейною основою набору керівних документів є "Концепція захисту засобів обчислювальної техніки і автоматизованих систем від несанкціонованого доступу до інформації". Концепція "викладає систему поглядів, основних принципів, які закладаються в основу проблеми захисту інформації від несанкціонованого доступу (НСД), що є частиною загальної проблеми безпеки інформації.

У Концепції розрізняються поняття засобів обчислювальної техніки (ЗОТ) і автоматизованої системи (АС), аналогічно тому, як в Європейських Критеріях проводиться розподіл на продукти і системи.

Концепція передбачає існування двох відносно самостійних і, отже, мають відміну напрямків у проблемі захисту інформації від несанкціонованого доступу. Це - напрям, пов'язаний із засобами обчислювальної техніки, і напрямок, пов'язаний з автоматизованими системами.

Відмінність двох напрямків породжене тим, що засоби обчислювальної техніки розробляються і поставляються на ринок лише як елементи, з яких надалі будуються функціонально орієнтовані автоматизовані системи, і тому, не вирішуючи прикладних завдань, засоби обчислювальної техніки не містять користувача інформації.

Крім користувальницької інформації при створенні автоматизованих систем з'являються такі відсутні при розробці засобів обчислювальної техніки характеристики автоматизованих систем, як повноваження користувачів, модель порушника, технологія обробки інформації.

Існують різні способи замаху на інформаційну безпеку - радіотехнічні, акустичні, програмні і т.п. Серед них несанкціонований доступ виділяється як доступ до інформації, що порушує встановлені правила розмежування доступу, з використанням штатних засобів, що надаються засобів обчислювальної техніки або автоматизованих систем. Під штатними засобами розуміється сукупність програмного, мікропрограмного та технічного забезпечення засобів обчислювальної техніки або автоматизованих систем.

У Концепції формулюються такі основні принципи захисту від несанкціонованого доступу до інформації:

Захист засобів обчислювальної техніки забезпечується комплексом програмно-технічних засобів.

Захист автоматизованих систем забезпечується комплексом програмно-технічних засобів і підтримуючих їх організаційних заходів.

Захист автоматизованих систем повинна забезпечуватися на всіх технологічних етапах обробки інформації і в усіх режимах функціонування, у тому числі при проведенні ремонтних і регламентних робіт.

Програмно-технічні засоби захисту не повинні суттєво погіршувати основні функціональні характеристики автоматизованих систем (надійність, швидкодію, можливість зміни конфігурації автоматизованих систем).

Невід'ємною частиною робіт по захисту є оцінка ефективності засобів захисту, що здійснюється за методикою, що враховує всю сукупність технічних характеристик оцінюваного об'єкта, включаючи технічні рішення і практичну реалізацію засобів захисту.

Захист автоматизованих систем повинна передбачати контроль ефективності засобів захисту від несанкціонованого доступу. Цей контроль може бути або періодичним, або ініціюватися в міру необхідності користувачем автоматизованих систем або контролюючими органами.

Концепція орієнтується на фізично захищене середовище, проникнення в яку сторонніх осіб вважається неможливим, тому порушник визначається як суб'єкт, що має доступ до роботи з штатними засобами автоматизованих систем і засобами обчислювальної техніки як частини автоматизованих систем.

Порушники класифікуються за рівнем можливостей, що надаються їм штатними засобами автоматизованих систем і засобами обчислювальної техніки. Виділяється чотири рівні цих можливостей.

Класифікація є ієрархічною, тобто кожен наступний рівень включає в себе функціональні можливості попереднього.

Перший рівень визначає найнижчий рівень можливостей ведення діалогу в автоматизованих системах - запуск завдань (програм) з фіксованого набору, що реалізують заздалегідь передбачені функції з обробки інформації.

Другий рівень визначається можливістю створення і запуску власних програм з новими функціями з обробки інформації.

Третій рівень визначається можливістю управління функціонуванням автоматизованих систем, тобто впливом на базове програмне забезпечення системи і на склад і конфігурацію її устаткування.

Четвертий рівень визначається всім обсягом можливостей осіб, що здійснюють проектування, реалізацію і ремонт технічних засобів автоматизованих систем, аж до включення до складу засобів обчислювальної техніки, власних технічних засобів з новими функціями з обробки інформації.

У своєму рівні порушник є фахівцем вищої кваліфікації, знає все про автоматизовані системи і, зокрема, про систему і засоби її захисту.

В якості головного засобу захисту від несанкціонованого доступу до інформації в Концепції розглядається система розмежування доступу (СРД) суб'єктів до об'єктів доступу. Основними функціями системи розмежування доступу є:

реалізація правил розмежування доступу (ПРД) суб'єктів та їх процесів до даних;

реалізація правил розмежування доступу суб'єктів і їх процесів до пристроїв створення твердих копій;

ізоляція програм процесу, що виконується в інтересах суб'єкта, від інших суб'єктів;

управління потоками даних з метою запобігання запису даних на носії невідповідного грифа;

реалізація правил обміну даними між суб'єктами для автоматизованих систем і засобів обчислювальної техніки, побудованих з мережних принципам.

Крім того, Концепція передбачає наявність забезпечують коштів для системи розмежування доступу, які виконують такі функції:

ідентифікацію і розпізнання (аутентифікацію) суб'єктів та підтримання прив'язки суб'єкта до процесу, що виконується для суб'єкта;

реєстрацію дій суб'єкта і його процесу;

надання можливостей виключення і включення нових суб'єктів і об'єктів доступу, а також зміна повноважень суб'єктів;

реакцію на спроби несанкціонованого доступу, наприклад, сигналізацію, блокування, відновлення після несанкціонованого доступу;

тестування;

очищення оперативної пам'яті і робочих областей на магнітних носіях після завершення роботи користувача з захищеними даними;

облік вихідних друкованих і графічних форм і твердих копій в автоматизованій системі;

контроль цілісності програмної та інформаційної частини як системи розмежування доступу, так і забезпечують її коштів.

Технічні засоби захисту від несанкціонованого доступу, згідно з Концепцією, повинні оцінюватися за такими основними параметрами:

ступінь повноти охоплення правил розмежування доступу реалізованої системи розмежування доступу та її якість;

склад і якість забезпечують коштів для системи розмежування доступу;

гарантії правильності функціонування системи розмежування доступу і забезпечують її коштів.

Висновок

У сучасних комп'ютерних системах використовуються криптографічні системи. Процес криптографічного закриття даних може виконуватися як програмно, так і апаратно.

У той час, коли обчислювальної потужності для повного перебору всіх паролів не вистачало, хакерами був придуманий дотепний метод, заснований на тому, що в якості пароля людиною зазвичай вибирається існуюче слово або інформація про себе чи знайомих (ім'я, дата народження і т.д. ). Оскільки в будь-якій мові не більше 100 000 слів, то їх перебір займе досить невеликий час, то від 40 до 80% існуючих паролів може бути вгадано за допомогою такої схеми, званої «атакою по словнику». До 80% паролів може бути вгадано з використанням словника розміром всього 1 000 слів.

З 1999 року фахівці з комп'ютерних технологій намагаються звернути увагу громадськості та державних органів на новий міжнародний стандарт ISO / IEC 15408 «Єдині критерії оцінки безпеки інформаційних технологій». Активність організацій по стандартизації провідних держав, реально відбулися зміни в поглядах фахівців до проблеми інформаційної безпеки і з'явилися застереженням, що Україна може втратити реальний шанс вчасно освоїти новітнє технологічне забезпечення інформаційної безпеки.

Актуальність вирішення завдання гармонізації вітчизняної нормативної бази до міжнародних стандартів, а також питань застосування міжнародних стандартів у вітчизняній практиці дуже велика.

У світі відбулося переосмислення підходів до вирішення проблеми забезпечення інформаційної безпеки. З моменту прийняття міжнародного стандарту ISO / IEC 15408 почався новий етап розвитку теорії та практики забезпечення інформаційної безпеки.

Одночасно з трансформацією поглядів на процеси обробки відбувається і зміна поглядів на підходи до забезпечення безпеки інформації. Широка сфера застосування інформаційних технологій, розширення функціональних можливостей систем інформаційних технологій та інші причини призвели до того, що існуюча модель забезпечення інформаційної безпеки перестала задовольняти як споживача ІТ-систем, так і їх розробника.

Слідуючи по шляху інтеграції, Європейські країни взяли узгоджені критерії оцінки безпеки інформаційних технологій (Information Technology Security Evaluation Criteria, ITSEC). Версія 1.2 цих Критеріїв опублікована в червні 1991 року від імені відповідних органів чотирьох країн - Франції, Німеччини, Нідерландів і Великобританії. Вигода від використання узгоджених критеріїв очевидна для всіх - і для виробників, і для споживачів, і для самих органів сертифікації.

Європейські Критерії розглядають такі складові інформаційної безпеки як конфіденційність, цілісність і доступність.

Література

В.Є. Ходаков, Н.В. Пилипенко, Н.А. Соколова / Под ред. В.Є. Ходакова. Введення в комп'ютерні науки: Учеб. посіб. - Херсон: Видавництво ХДТУ - 2004.

Герасименко В.А. Захист інформації в автоматизованих системах обробки даних. - М.: Енергоіздат, 1994.

Мельников В.В. «Захист інформації в комп'ютерних системах». - М.: «Фінанси та статистика», 1997.

Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Контрольна робота
93.4кб. | скачати


Схожі роботи:
Розробка ефективних систем захисту інформації в автоматизованих системах
Проектна документація до створення автоматизованих систем обробки інформації і використання її
Захист інформації в інформаційних системах
Захист інформації в інформаційних системах
Структури даних для обробки інформації
Розвиток Росії в 2005 2007 рр. соціально економічні підсумки і перспективи економічного зростання
Інформаційна сфера в Україні захист інформації проблеми і перспективи розвитку
Інформаційний процес в автоматизованих системах
Передача даних в інформаційно керуючих системах Канали передачі даних
© Усі права захищені
написати до нас