Файловый архив студентов. Файловый архив студентов.
1259 вузов, 4592 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Читинский институт Байкальского государственного университета экономики и права
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Информационные технюлогии / Мои лекции (итог) / Лекция №8 и №9_Информационная безопасность.docx
Скачиваний:
29
Добавлен:
08.03.2015
Размер:
75.3 Кб
Скачать
►Содержание►

Основные понятия и определения информационной безопасности

(Слайд 2)Политика безопасности — совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз.

(Слайд 3)Модель безопасности — формальное представление по­литики безопасности.

(Слайд 4)Дискреционное, или произвольное, управление доступом — управление доступом, основанное на совокупности правил предоставления доступа, определенных на множестве атри­бутов безопасности субъектов и объектов, например, в зави­симости от грифа секретности информации и уровня допуска пользователя.

(Слайд 5)Ядро безопасности (ТСВ) — совокупность аппаратных, программных и специальных компонент ВС, реализующих функции защиты и обеспечения безопасности.

(Слайд 6)Идентификация — процесс распознавания сущностей путем присвоения им уникальных меток (идентификаторов).

(Слайд 7)Аутентификация — проверка подлинности идентифи­каторов сущностей с помощью различных (преимущественно криптографических) методов.

(Слайд 8)Адекватность — показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствия поставленным задачам (в большинстве случаев это задача реализации политики безопасности).

(Слайд 9)Защищенная система обработки информации для опре­деленных условий эксплуатации обеспечивает безопасность (доступность, конфиденциальность и целостность) обрабаты­ваемой информации и поддерживает свою работоспособность в условиях воздействия на нее заданного множества угроз.

(Слайд 10)Угрозы безопасности компьютерных систем

Под угрозой безопасности вычислительной системы по­нимаются воздействия на систему, которые прямо или кос­венно могут нанести ущерб ее безопасности.

Приведем наиболее общую классификацию возможных угроз безопасности. Все угрозы можно разделить по их источнику и характеру проявления на следующие классы.

(Слайд 11)Случайные угрозы возникают независимо от воли и же­лания людей. Данный тип угроз связан прежде всего с пря­мым физическим воздействием на элементы компьютерной системы (чаще всего, природного характера) и ведет к нару­шению работы этой системы и/или физическому уничтоже­нию носителей информации, средств обработки и передачи данных, физических линий связи.

Причиной возникновения технических угроз случайного характера могут быть как сбои вследствие ошибок персонала (порожденные людьми), так и случайные нарушения в рабо­те оборудования системы (например, вследствие поломки какого-либо узла или устройства, сбоя в работе программно­го обеспечения или элементарное "короткое замыкание"). Последствиями подобных событий могут быть отказы и сбои аппаратуры, искажение или уничтожение информации, на­рушение линий связи, ошибки и физический вред персоналу.

Примером реализации случайной угрозы, созданной людь­ми, может быть физическое нарушение проводных линий связи из-за проведения строительных работ. Преднамеренные угрозы, в отличие от случайных, могут быть созданы только людьми и направлены именно на дезор­ганизацию компьютерной системы. Примером реализации та­кой угрозы может быть как физическое уничтожение аппаратуры и сетевых коммуникаций системы, так и нарушение ее целостности и доступности, а также конфиденциальности обрабатываемой и хранимой ею информации с применением средств и ресурсов самой системы, а также с использовани­ем дополнительного оборудования.

(Слайд 12)

1. Природные угрозы

2. Угрозы техногенного характера

3. Угрозы, созданные людьми

  1. Стихийные бедствия

  2. Магнитные бури

  3. Радиоактивное излучение и осадки

  4. Другие угрозы

  1. Отключения или колебания электропитания и сбои в работе других средств обеспечения функционирования системы

  2. Отказы и сбои в работе аппаратно-программных средств компьютерной системы

  3. Электромагнитные излучения и наводки

  4. Утечки через каналы связи: оптические, электрические, звуковые

  5. Другие угрозы

  1. Непреднамеренные действия:

  1. Обслуживающего персонала

  2. Управленческого персонала

  3. Программистов

  4. Пользователей

  5. Архивной службы

  6. Службы безопасности

  1. Преднамеренные действия:

  1. Обслуживающего персонала

  2. Управленческого персонала

  3. Программистов

  4. Пользователей

  5. Архивной службы

  6. Службы безопасности

  7. Хакерские атаки

Критерии безопасности компьютерных систем

(Слайд 13)

Министерства обороны США (Оранжевая книга)

"Критерии безопасности компьютерных систем" (Оранжевая книга) были разработаны Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специально­му обеспечению компьютерных систем и выработки соответ­ствующей методологии и технологии анализа степени поддер­жки политики безопасности в компьютерных системах воен­ного назначения.

(Слайд 14)Согласно Оранжевой книге безопасная компьютерная система — это система, поддерживающая управление дос­тупом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы, действующее от их имени, получают возможность читать, писать, создавать и удалять информацию.

В Оранжевой книге предложены три категории требова­ний безопасности — политика безопасности, аудит и коррек­тность, в рамках которых сформулированы шесть базовых требований безопасности. (Слайд 15)

Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности.

Требование 2. Метки. С объектами должны быть ассоци­ированы метки безопасности, используемые в качестве ат­рибутов контроля доступа.

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы.

Требование 4. Регистрация и учет. Для определения сте­пени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точ­ки зрения безопасности, должны отслеживаться и регистри­роваться в защищенном протоколе.

Требование 5. Контроль корректности функциониро­вания средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивакйцие работоспособность функций защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) дол­жны быть защищены от несанкционированного вмешатель­ства и/или отключения, причем эта защита должна быть по­стоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом.

(Слайд 16)Оранжевая книга предусматривает четыре группы кри­териев, которые соответствуют различной степени защищен­ности: от минимальной (группа D) до формально доказанной (группа А). Уровень безопасности возрастает при движении от группы D к группе А, а внутри группы — с возрастанием номера класса.

(Слайд 17)Группа D. Минимальная защита.

Класс D. Минимальная защита. К этому классу относятся все системы, которые не удовлетворяют требованиям дру­гих классов.

(Слайд 18)Группа С. Дискреционная защита.

Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения пользо­вателей и информации и включают средства контроля и уп­равления доступом, позволяющие задавать ограничения для индивидуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользова­телей.

(Слайд 19)Класс С 2. Управление доступом. Системы этого класса осуществляют более избирательное управление доступом, чем системы класса С1, с помощью применения средств индиви­дуального контроля за действиями пользователей, регистра­цией, учетом событий и выделением ресурсов.

(Слайд 20)Группа В. Мандатная защита.

Класс В1. Защита с применением меток безопасности.

Класс В2. Структурированная защита. Телевизионная си­стема видеоконтроля (ТСВ) должна поддерживать формаль­но определенную и четко документированную модель безо­пасности, предусматривающую произвольное нормативное управление доступом, которое распространяется по сравне­нию с системами класса В1 на все субъекты.

Класс ВЗ. Домены безопасности. ТСВ должна поддержи­вать монитор взаимодействий, контролирующий все типы доступа субъектов к объектам, который невозможно обойти. Кроме того, ТСВ должна быть структурирована с целью ис­ключения из нее подсистем, не отвечающих за реализацию функций защиты, и быть достаточно компактной для эффек­тивного тестирования и анализа.

(Слайд 21)Группа А. Верифицированная защита.

Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных функциональных требований. В отличие от систем класса ВЗ в ходе разработ­ки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты.

(Слайд 22) – прочитать с экрана

Способы и средства защиты информации (Слайд 23)

Краткое содержание каждого из способов. Препятствия предусматривают создание преград, физически не допускающих к информации. Управление доступом — спо­соб защиты информации за счет регулирования использова­ния всех ресурсов системы (технических, программных, вре­менных и др.). Маскировка информации, как правило, осуще­ствляется путем ее криптографического закрытия. Регламен­тация заключается в реализации системы организационных мероприятий, определяющих все стороны обработки инфор­мации. Принуждение заставляет соблюдать определенные правила работы с информацией под угрозой материальной, административной или уголовной ответственности. Наконец, побуждение основано на использовании действенности мораль­но-этических категорий (например, авторитета или коллек­тивной ответственности).

Рис. 1.5.2. Способы и средства защиты информации

(Слайд 24)Средства защиты информации, хранимой и обрабаты­ваемой в электронном виде, разделяют на три самостоятель­ные группы: технические, программные и социально-право­вые. В свою очередь, среди технических средств защиты выделяют физические и аппаратные.

(Слайд 25)К физическим средствам защиты относятся:

  • механические преграды, турникеты (заграждения);

  • специальное остекление;

  • сейфы, шкафы;

  • механические и электромеханические замки, в том числе с дистанционным управлением;

  • замки с кодовым набором;

  • датчики различного типа;

  • теле- и фотосистемы наблюдения и регистрации;

  • СВЧ, ультразвуковые, радиолокационные, лазерные, акустические и т. п. системы;

  • устройства маркировки;

  • устройства с идентификационными картами;

  • устройства идентификации по физическим признакам;

  • устройства пространственного заземления;

  • системы физического контроля доступа;

  • системы охранного телевидения и охранной сигнализа­ции;

  • системы пожаротушения и оповещения о пожаре и др.

(Слайд 26)Под аппаратными средствами защиты понимают тех­нические устройства, встраиваемые непосредственно в сис­темы (аппаратуру) обработки информации. Наиболее час­то используют:

  • регистры хранения реквизитов защиты (паролей, гри­фов секретности и т. п.);

  • устройства для измерения индивидуальных характе­ристик человека (например, цвета и строения радуж­ной оболочки глаз, овала лица и т. п.);

  • схемы контроля границ адреса имен для определения законности обращения к соответствующим полям (об­ластям) памяти и отдельным программам;

  • схемы прерывания передачи информации в линии свя­зи с целью периодического контроля адресов выдачи данных;

  • экранирование ЭВМ;

  • установка генераторов помех и др.

(Слайд 27)Программные средства защиты данных в настоящее вре­мя получили значительное развитие. По целевому назначе­нию их можно разделить на несколько больших классов (групп):

  • программы идентификации пользователей;

  • программы определения прав (полномочий) пользова­телей (технических устройств);

  • программы регистрации работы технических средств и пользователей (ведение так называемого системного журнала);

  • программы уничтожения (затирания) информации пос­ле решения соответствующих задач или при наруше­нии пользователем определенных правил обработки информации;

  • криптографические программы (программы шифрова­ния данных).

Программные средства защиты информации часто под­разделяются на средства, реализуемые в стандартных опе­рационных системах и средства защиты в специализирован­ных информационных системах. К первым следует отнести:

  • динамическое распределение ресурсов и запрещение задачам пользователей работать с "чужими" ресурса­ми;

  • разграничение доступа пользователей к ресурсам по паролям;

  • разграничение доступа к информации по ключам за­щиты;

  • защита таблицы паролей с помощью главного пароля и ДР-

Средства защиты в экономических информационных си­стемах, в том числе банковских системах, позволяют реали­зовать следующие функции защиты данных:

  • опознавание по идентифицирующей информации пользователей и элементов информационной системы, разрешение на этой основе работы с информацией на определенном уровне;

  • ведение многоразмерных таблиц профилей доступа пользователей к данным;

  • управление доступом по профилям полномочий;

  • уничтожение временно фиксируемых областей инфор­мации при завершении ее обработки;

  • формирование протоколов обращений к защищаемым данным с идентификацией данных о пользователе и временных характеристик;

  • программная поддержка работы терминала лица, отве­чающего за безопасность информации;

  • подача сигналов при нарушении правил работы с сис­темой или правил обработки информации;

  • физическая или программная блокировка возможности работы пользователя при нарушении им определенной последовательности правил или совершении определен­ных действий;

  • подготовка отчетов о работе с различными данными — ведение подробных протоколов работы и др.

Криптографические программы основаны на использо­вании методов шифрования (кодирования) информации. Дан­ные методы остаются достаточно надежными средствами ее защиты и более подробно будут рассмотрены ниже.

В перспективе можно ожидать развития программных средств защиты по двум основным направлениям:

  • создание централизованного ядра безопасности, управ­ляющего всеми средствами защиты информации в ЭВМ (на первом этапе — в составе ОС, затем — вне ее);

  • децентрализация защиты информации вплоть до со­здания отдельных средств, управляемых непосредствен­но только пользователем. В рамках этого направления находят широкое применение методы "эстафетной па­лочки" и "паспорта", основанные на предварительном расчете специальных контрольных кодов (по участкам контролируемых программ) и их сравнении с кодами, получаемыми в ходе решения задачи.

(Слайд 28)Социально-правовые средства защиты информации можно подразделить на две группы.

Организационные и законодательные средства защиты информации предусматривают создание системы норматив­но-правовых документов, регламентирующих порядок раз­работки, внедрения и эксплуатации информации, а также ответственность должностных и юридических лиц за нару­шение установленных правил, законов, приказов, стандар­тов и т. п.

Морально-этические средства защиты информации ос­нованы на использовании моральных и этических норм, гос­подствующих в обществе, и требуют от руководителей всех рангов особой заботы о создании в коллективах здоровой нрав­ственной атмосферы.

Соседние файлы в папке Мои лекции (итог)
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности