Й учебный вопрос: Методы и средства защиты от НСД в сети

Противодействие несанкционированно­му доступу к конфиденциальной ин­формации — это комплекс мероприя­тий, обеспечивающих исключение или ограничение неправомерного овладе­ния охраняемыми сведениями.

Любая информация, которая функционирует в компьютерах или компьютерной сети, содержит определенное смысловое содержание и прикреплена к конкретному носителю: файлу, полю БД, данные любого программного приложения. Носителем информации являются также каталоги, жесткие диски персонального компьютера или сервера, на котором хранится файл, БД и т.п. При передаче информации от одного субъекта другому носителем информации становится канал ее передачи. Следует учитывать, что защиты требует не только сама информация, но и среда ее обработки, т.е. программное обеспечение.

Защита от НСД призвана не допустить злоумышленника к носителю информации. В защите информации компьютеров и сетей от НСД можно выделить три основных направления:

- недопущение нарушителя к вычислительной среде (основывается на создании специальных технических средствах опознавания пользователя);

- защита вычислительной среды (основывается на создании специального программного обеспечения);

- использование специальных средств защиты информации от НСД.

Для решения каждой задачи применяются как различные технологии, так и различные средства. Требования к средствам защиты, их характеристики, выполняемые ими функции и их классификация, а также термины и определения по защите от НСД приведены в РД Гостехкомиссии:

- «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации»;

- «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

- «Защита от несанкционированного доступа к информации. Термины и определения».

Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные методы зашиты (защитные механизмы):

· идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы;

· разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;

· регистрация и оперативное оповещение о событиях, происходящих в системе (аудит);

· криптографическое закрытие хранимых и передаваемых по каналам связи данных;

· контроль целостности и аутентичности (подлинности и авторства) данных;

· выявление и нейтрализация действий компьютерных вирусов;

· затирание остаточной информации на носителях;

· выявление уязвимостей (слабых мест) системы;

· изоляция (защита периметра) компьютерных сетей (фильтрация трафика, скрытие внутренней структуры и адресации, противодействие атакам на внутренние ресурсы и т.д.);

· обнаружение атак и оперативное реагирование;

· резервное копирование;

· маскировка.

Перечисленные механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты.

Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта - убедиться, что это именно тот объект, который нужен.

Аутентификация пользователей осуществляется обычно:

• путем проверки знания ими паролей (специальных секретных последовательностей символов),

• путем проверки владения ими какими-либо специальными устройствами (карточками, ключевыми вставками и т.п.) с уникальными признаками или

• путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств.

Разграничение (контроль) доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.

Существует четыре основных способа разделения доступа субъектов к совместно используемым объектам:

· Физическое разделение - субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т.д.).

· Временное разделение - субъекты с различными правами доступа к объекту получают его в различные промежутки времени.

· Логическое разделение - субъекты получают доступ к совместно используемому объекту в рамках единой операционной среды, но под контролем средств разграничения доступа, которые моделируют виртуальную операционную среду "один субъект - все объекты"; в этом случае разделение может быть реализовано различными способами: разделение оригинала объекта, разделение с копированием объекта и т.д.

· Криптографическое разделение - все объекты хранятся в зашифрованном виде, права доступа определяются наличием ключа для расшифрования объекта.

Технические средства разграничения доступа к ресурсам АС должны рассматриваться как составная часть единой системы контроля доступа субъектов:

• на контролируемую территорию;

• в отдельные здания и помещения организации;

• к элементам АС и элементам системы защиты информации (физический доступ);

• к информационным и программным ресурсам АС.

Механизмы регистрации предназначены для получения и накопления (с целью последующего анализа) информации о состоянии ресурсов системы и о действиях субъектов, признанных администрацией АС потенциально опасными для системы.

При регистрации событий безопасности в системном журнале обычно фиксируется следующая информация:

• дата и время события;

• идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;

• действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).

В наиболее развитых системах защиты подсистема оповещения сопряжена с механизмами оперативного автоматического реагирования на определенные события. Могут поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):

• подача сигнала тревоги;

• извещение администратора безопасности;

• извещение владельца информации о НСД к его данным;

• снятие программы (задания) с дальнейшего выполнения;

• отключение (блокирование работы) терминала или компьютера, с которого были осуществлены попытки НСД к информации;

• исключение нарушителя из списка зарегистрированных пользователей и т.п.

Криптографические методы защиты основаны на возможности осуществления некоторой операции преобразования информации, которая может выполняться одним или несколькими пользователями АС, обладающими некоторым секретом, без знания которого (с вероятностью близкой к единице за разумное время) невозможно осуществить эту операцию.

К криптографическим методам зашиты в общем случае относятся:

• шифрование (расшифрование) информации;

• формирование и проверка цифровой подписи электронных документов.

Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы. Он позволяет обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации.

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

• средствами разграничения доступа, запрещающими модификацию или удаление защищаемого ресурса

• средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);

• средствами подсчета контрольных сумм (сигнатур, имитовставок и т.п.);

• средствами электронной цифровой подписи.

С развитием сетевых технологий появился новый тип СЗИ— межсетевые экраны (Firewall), которые обеспечивают безопасность при осуществлении электронного обмена информацией с другими взаимодействующими автоматизированными системами и внешними сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу АС нарушителей из внешних систем.

Обобщенная модель способов НСД к источникам конфиденциальной информации

Заключение – до 5 мин.

Методические рекомендации:

- обобщить наиболее важные, существенные вопросы лекции;

- сформулировать общие выводы;

- поставить задачи для самостоятельной работы;

- ответить на вопросы студентов.

Контрольные вопросы

1. Перечислите как минимум 7 способов НСД. Опишите их.

2. В каких РД Гостехкомиссии (ФСТЭК) приведены требования к средствам защиты от НСД?

3. Какие защитные механизмы используются для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации (назвать как минимум 7 методов защиты)?

4. Что такое аутентификация? Как обычно осуществляется аутентификация пользователей?

5. Какими средствами должен обеспечиваться контроль целостности (программ, обрабатываемой информации и т.д.)?

Лекция разработана «___»________2011 г.

_______________________(___________)

(подпись, фамилия и инициалы автора)

Дата добавления: 2014-01-20; Просмотров: 1026; Нарушение авторских прав?; Мы поможем в написании вашей работы!