А. Артемов - Информационная безопасность. Курс лекций
- Название:Информационная безопасность. Курс лекций
- Автор:
- Жанр:
- Издательство:Литагент «МАБИВ»50b47336-5b4f-11e4-af45-002590591ed2
- Год:2014
- Город:Орел
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
А. Артемов - Информационная безопасность. Курс лекций краткое содержание
Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем сопровождаются существенным ростом посягательств на информацию как со стороны иностранных государств, так и со стороны преступных элементов и граждан, не имеющих доступа к ней. Несомненно, в создавшейся обстановке одной из первоочередных задач, стоящих перед правовым государством, является разрешение глубокого противоречия между реально существующим и необходимым уровнем защищенности информационных потребностей личности, общества и самого государства, обеспечение их ИБ.
Предназначено для преподавателей и студентов вузов по специальности «Информационная безопасность», специалистов по безопасности, менеджеров и руководителей компаний.
Информационная безопасность. Курс лекций - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
✓ Третий уровень – возможность управления функционированием АС, т. е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
✓ Четвертый уровень – весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
В своем уровне нарушитель является специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты.
4. ОСНОВНЫЕ СПОСОБЫ НСД
К основным способам НСД относятся:
• непосредственное обращение к объектам доступа;
• создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
• модификация средств защиты, позволяющая осуществить НСД;
• внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.
5. ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ОТ НСД
Обеспечение защиты СВТ и АС осуществляется:
• системой разграничения доступа (СРД) субъектов к объектам доступа;
• обеспечивающими средствами для СРД. Основными функциями СРД являются:
• реализация правил разграничения доступа (ПРД)
субъектов и их процессов к данным;
• реализация ПРД субъектов и их процессов к устройствам создания твердых копий;
• изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
• управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;
• реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.
Обеспечивающие средства для СРД выполняют следующие функции:
• идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
• регистрацию действий субъекта и его процесса;
• предоставление возможностей исключения и включения
новых субъектов и объектов доступа, а также изменение полномочий субъектов;
• реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
• тестирование;
• очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
• учет выходных печатных и графических форм и твердых копий в АС;
• контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.
Ресурсы, связанные как с СРД, так и с обеспечивающими ее средствами, включаются в объекты доступа.
Способы реализации СРД зависят от конкретных особенностей СВТ и АС. Возможные варианты:
• распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты);
• СРД в рамках операционной системы, СУБД или прикладных программ;
• СРД в средствах реализации сетевых взаимодействий или на уровне приложений;
• использование криптографических преобразований или методов непосредственного контроля доступа;
• программная и (или) техническая реализация СРД.
6. ОСНОВНЫЕ ХАРАКТЕРИСТИКИ ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ ОТ НСД
• степень полноты охвата ПРД реализованной СРД (оценивается по наличию четких непротиворечивых заложенных в СРД правил доступа к объектам доступа и мерам их надежной идентификации. Учитываются также возможности контроля разнообразных дисциплин доступа к данным);
• состав и качество обеспечивающих средств для СРД (учитываются средства идентификации и опознания субъектов и порядок их использования, полнота учета действий субъектов и способы поддержания привязки субъекта к его процессу.);
• гарантии правильности функционирования СРД и обеспечивающих ее средств (оцениваются по способам проектирования и реализации СРД и обеспечивающих ее средств (формальная и неформальная верификация) и по составу и качеству препятствующих обходу СРД средств (поддержание целостности СРД и обеспечивающих средств, восстановление после сбоев, отказов и попыток НСД, контроль дистрибуций, возможность тестирования на этапе эксплуатации).
Оцениваемая АС или СВТ документируется. В состав документации включаются руководство пользователя по использованию защитных механизмов и руководство по управлению средствами защиты…
7. КЛАССИФИКАЦИЯ АС
В основу классификации АС положены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия:
• информационные – определяющие ценность информации, ее объем и степень (гриф) конфиденциальности, а также возможные последствия неправильного функционирования АС из-за искажения (потери) информации;
• организационные – определяющие полномочия пользователей;
• технологические – определяющие условия обработки информации, например, способ обработки (автономный, мультипрограммный и т. д.), время циркуляции (транзит, хранение и т. д.), вид АС (автономная, сеть, стационарная,).
8. ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ
Организация работ по защите СВТ и АС от НСД к информации – часть общей организации работ по безопасности информации.
Обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС, формулируемых Заказчиком и согласуемых с Разработчиком.
Требования задаются в виде желаемого уровня защищенности СВТ или АС, или в виде соответствующего этому уровню перечня требований.
Требования по защите обеспечиваются Разработчиком в виде комплекса средств защиты (КСЗ). Организационные мероприятия для АС реализуются Заказчиком.
Ответственность за разработку КСЗ возлагается на главного конструктора СВТ или АС.
Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний.
По результатам успешных испытаний оформляется документ (сертификат), удостоверяющий соответствие СВТ или АС требованиям по защите и дающий право Разработчику на использование и/или распространение их как защищенных.
Разработка мероприятий по защите проводится одновременно с разработкой СВТ и АС и выполняется за счет финансовых и материально-технических средств, выделенных на разработку СВТ и АС.
С точки зрения данных документов основная и едва ли не единственная задача средств безопасности – это обеспечение защиты от несанкционированного доступа (НСД) к информации. Средствам контроля, обеспечения целостности и поддержки работоспособности уделяется меньшее внимание. (То есть основное внимание уделяется тому, что надо делать, а как делать – задача разработчика).
Читать дальшеИнтервал:
Закладка:
