Файловый архив студентов. Файловый архив студентов.
1259 вузов, 4592 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Одесский национальный политехнический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:

билеты / билет №23

.docx
Скачиваний:
10
Добавлен:
10.02.2016
Размер:
24.64 Кб
Скачать

1 Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. 

Комплексная безопасность (КБ) –

Это система взглядов и взаимосвязанных мероприятий, осуществляемых в целях защиты предпринимательской деятельности от реальных или потенциальных угроз, которые могут привести к существенным экономическим потерям.

Это интеграция различных подсистем безопасности, позволяющая создавать единую систему управления, контроля и мониторинга опасностей. Подобные системы обладают минимальным количеством избыточных элементов одинаковой функциональности, что приводит к высоким уровням синергетических эффектов.

Комплексная безопасность как система взглядов и взаимосвязанных мероприятий должна включать в себя следующие составляющие, которые с позиции системного подхода могут рассматриваться как подсистемы:

правовая безопасность;

кадровая безопасность;

экономическая безопасность;

финансовая безопасность;

информационная безопасность;

информационно-аналитическая безопасность;

инженерно-техническая безопасность;

технологическая безопасность;

экологическая безопасность;

противопожарная безопасность;

физическая безопасность и др.

Целостность информации (также целостность данных) — термин в информатике и теории телекоммуникаций, который означает, что данные полны, условие того, что данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление.

2. Защита корпоративной информации.

Однако при решении этой проблемы предприятия часто идут на поводу у компаний-подрядчиков, продвигающих один или несколько продуктов, решающих, как правило, частные задачи. Ниже рассмотрим наиболее общие подходы к комплексному решению задачи обеспечения безопасности информации. Наиболее типичной ошибкой при построении системы защиты является стремление защитить всё и от всего сразу. На самом деле определение необходимой информации (файлов, каталогов, дисков) и иных объектов информационной структуры, которые требуется защитить – первый шаг в построении системы информационной безопасности. С определения этого перечня и следует начать: следует оценить, во сколько может обойтись потеря (удаление или кража) той или иной базы данных или, например, простой одной рабочей станции в течение дня. Второй шаг – определение источников угроз. Как правило, их несколько. Выделить источник угроз – значит, оценить его цели (если источник преднамеренный) или возможное воздействие (непреднамеренный), вероятность (или интенсивность) его появления. Если речь идет о злоумышленных действиях лица (или группы лиц), то требуется оценить его организационные и технические возможности для доступа к информации (ведь злоумышленник может быть и сотрудником фирмы). После определения источника угроз можно сформулировать угрозы безопасности информации. То есть что с информацией может произойти. Как правило, принято различать следующие группы угроз: §         несанкционированный доступ к информации (чтение, копирование или изменение информации, ее подлог и навязывание); §         нарушение работоспособности компьютеров и прикладных программ §         уничтожение информации. В каждой из этих трех групп можно выделить десятки конкретных угроз, однако пока на этом остановимся. Заметим только, что угрозы могут быть преднамеренными и случайными, а случайные, в свою очередь, естественными (например, стихийные бедствия) и искусственными (ошибочные действия персонала). Случайные угрозы, в которых отсутствует злой умысел, обычно опасны только в плане потери информации и нарушения работоспособности системы, от чего достаточно легко застраховаться. Преднамеренные же угрозы более серьезны с точки зрения потери для бизнеса, ибо здесь приходится бороться не со слепым (пусть и беспощадным в своей силе) случаем, но с думающим противником. Построение системы защиты полезно проводить с принципами защиты, которые достаточно универсальны для самых разных предметных областей (инженерное обеспечение в армии, физическая безопасность лиц и территорий , и т. д.) §         Адекватность (разумная достаточность). Совокупная стоимость защиты (временные, людские и денежные ресурсы) должна быть ниже стоимости защищаемых ресурсов. Если оборот компании составляет 10 тыс. долларов в месяц, вряд ли есть смысл развертывать систему на миллион долларов (так, же как и наоборот). §         Системность. Важность этого принципа особо проявляется при построении крупных систем защиты. Он состоит в том, что система защиты должна строиться не абстрактно (защита от всего), а на основе анализа угроз, средств защиты от этих угроз, поиска оптимального набора этих средств и построения системы.   §         Прозрачность для легальных пользователей. Введение механизмов безопасности (в частности аутентификации пользователей) неизбежно приводит к усложнению их действий. Тем не менее, никакой механизм не должен требовать невыполнимых действий (например, еженедельно придумывать 10-значный пароль и нигде его не записывать) или затягивать процедуру доступа к информации. §          Равностойкость звеньев. Звенья – это элементы защиты, преодоление любого из которых означает преодоление всей защиты. Понятно, что нельзя слабость одних звеньев компенсировать усилением других. В любом случае, прочность защиты (или ее уровня, см. ниже) определяется прочностью самого слабого звена. И если нелояльный сотрудник готов за 100 долларов «скинуть на дискету» ценную информацию, то злоумышленник вряд ли будет выстраивать сложную хакерскую атаку для достижения той же цели. §         Непрерывность. В общем-то, та же равностойкость, только во временной области. Если мы решаем, что будем что-то и как-то защищать, то надо защищать именно так в любой момент времени. Нельзя, например, решить по пятницам делать резервное копирование информации, а в последнюю пятницу месяца устроить «санитарный день». Закон подлости неумолим: именно в тот момент, когда меры по защите информации будут ослаблены, произойдет то, от чего мы защищались. Временный провал в защите, так же, как и слабое звено, делает ее бессмысленной. §         Многоуровневость. Многоуровневая защита встречается повсеместно, достаточно побродить по руинам средневековой крепости. Зачем защита строится в несколько уровней, которые должен преодолевать как злоумышленник, так и легальный пользователь (которому, понятно, это делать легче)? К сожалению, всегда существует вероятность того, что какой-то уровень может быть преодолен либо в силу непредвиденных случайностей, либо с ненулевой вероятностью. Простая математика подсказывает: если один уровень гарантирует защиту в 90%, то три уровня (ни в коем случае не повторяющих друг друга) дадут вам 99,9%. Это, кстати, резерв экономии: путем эшелонирования недорогих и относительно ненадежных средств защиты можно малой кровью добиться очень высокой степени защиты. Учет этих принципов поможет избежать лишних расходов при построении системы защиты информации и в то же время добиться действительно высокого уровня информационной безопасности бизнеса. 

3. Управление доступом – это процесс регулирования использования ресурсов ИВС. Управление доступом включает решение следующих задач:

  • идентификацию пользователей, персонала и ресурсов ИВС;

  • установление подлинности субъектов и объектов, допускаемых к использованию ресурсов ИВС;

  • проверку полномочий субъектов на доступ к защищаемым ресурсам;

  • регистрацию (протоколирование) обращений к защищаемым ресурсам;

  • реакцию на несанкционированные действия.

Система защиты доступа в ИВС, в общем случае, должна включать три пояса защиты:

1) пояс, охватывающий территорию расположения элементов ИВС;

2) пояс, охватывающий сооружения и помещения с аппаратурой ИВС;

3) пояс, охватывающий ресурсы ИВС.

Защита доступа в первых двух поясах обеспечивается применением физических средств защиты, в третьем поясе – аппаратных, программных (программно-аппаратных) и криптографических средств защиты.

3.1. Идентификация и установление подлинности субъектов и объектов

Для того, чтобы установить подлинность субъектов и объектов системы, все субъекты и объекты, зарегистрированные в системе, должны иметь уникальные имена - идентификатоpы.

Идентификация субъекта (объекта) представляет собой присвоение этому субъекту (объекту) уникального имени (идентификатора). Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).

Когда какой-либо субъект обращается к ресурсам системы, необходимо установить его подлинность, опознать его. Процесс установления подлинности в зарубежной литературе называется "авторизация", "аутентификация", "опознание". Обычно используют термин "установление подлинности".

Установление подлинности субъекта (объекта) заключается в подтверждении того, что обратившийся субъект (вызываемый объект) является именно тем, которому разрешено участвовать в данном процессе (выполнять данные действия). В зависимости от сложности установления подлинности различают три основные группы операций: простое, усложненное и особое установление подлинности.

Простое установление подлинности сводится, как правило, к сравнению предъявленного кода (характеристики) с эталонным кодом, который хранится в памяти устройства, выполняющего установление подлинности.

При усложненном установлении подлинности система требует от пользователя ввода дополнительной информации и производится в режиме диалога.

Особое установление подлинности, кроме использования методов простого и усложненного установления подлинности, использует специальную совокупность опознавательных характеристик, которая выбирается для обеспечения надежного установления подлинности.

Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.

Существует три основных вида аутентификации - статическая, устойчивая и постоянная.

Статическая аутентификация обеспечивает защиту только от атак, в ходе которых атакующий не может видеть, вставить или изменить информацию, передаваемую между аутентифицируемым и аутентифицирующим в ходе аутентификации и последующего сеанса. В этом случае атакующий может только попытаться определить данные для аутентификации пользователя с помощью инициации процесса аутентификации (что может сделать законный пользователь) и совершения ряда попыток угадать эти данные.

Устойчивая аутентификация использует динамические данные аутентификации, меняющиеся с каждым сеансом аутентификации. Атакующий, который может перехватить информацию, передаваемую между аутентифицируемым и аутентифицирующим, может попытаться инициировать новый сеанс аутентификации с аутентифицирующим, и повторить записанные им данные аутентификации в надежде замаскироваться под легального пользователя. Традиционные пароли не смогут обеспечить устойчивую аутентификацию, так как пароль пользователя можно перехватить и использовать в дальнейшем. А одноразовые пароли и электронные подписи могут обеспечить этот уровень защиты

Постоянная аутентификация аутентификации обеспечивает защиту от атакующих, которые могут перехватить, изменить и вставить информацию в поток данных, передаваемых между аутентифицирующим и аутентифицируемым даже после аутентификации. Такие атаки обычно называются активными атаками, так как подразумевается, что атакующий может активно воздействовать на соединение между пользователем и сервером. Одним из способов реализации этого является обработка с помощью алгоритма генерации электронных подписей каждого бита данных, посылаемых от пользователя к серверу.

В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:

  • что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);

  • как организован (и защищен) обмен данными идентификации/аутентификации.

Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:

  • нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);

  • нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);

  • нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных.

Надежная идентификация и аутентификация затруднена не только из-за сетевых угроз, но и по целому ряду причин:

  • почти все аутентификационные сущности можно узнать, украсть или подделать;

  • имеется противоречие между надежностью аутентификации и удобствами пользователя и системного администратора;

  • чем надежнее средство защиты, тем оно дороже.

Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть.

Соседние файлы в папке билеты
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности