Рефераты по предмету защита информации
Обновлено: 02.07.2024
1. Классификация информации. Виды данных и носителей.
2. Ценность информации. Цена информации.
3. Количество и качество информации.
4. Виды защищаемой информации.
5. Демаскирующие признаки объектов защиты.
6. Классификация источников и носителей информации.
7. мероприятия по управлению доступом к информации.
8. Функциональные источники сигналов. Опасный сигнал.
9. Основные средства и системы, содержащие потенциальные источники опасных сигналов.
10. Вспомогательные средства и системы, содержащие потенциальные источники опасных сигналов.
11. Виды паразитных связей и наводок, характерные для любых радиоэлектронных средств и проводов, соединяющих их кабелей.
12. Виды угроз безопасности информации.
13. Основные принципы добывания информации.
14. Процедура идентификации, как основа процесса обнаружения объекта.
15. Методы синтеза информации.
16. Методы несанкционированного доступа к информации.
17. Основными способами привлечения сотрудников государственных и коммерческих структур, имеющих доступ к интересующей информации.
18. Способы наблюдения с использованием технических средств.
19. Каналы утечки информации. Технические каналы утечки
20. Классификация технических каналов утечки по физической природе носителя.
21. Классификация технических каналов утечки по информативности.
22. Классификация технических каналов утечки по времени функционирования.
23. Классификация технических каналов утечки по структуре.
24. Наблюдение в оптическом диапазоне и применяемые для этого средства. Характеристики таких средств.
25. Перехват электромагнитных излучений.
26. Акустическое подслушивание. Эффекты, возникающие при подслушивании.
27. Понятия скрытия информации, виды скрытий. Информационный портрет.
28. Противодействие наблюдению. Способы маскировки.
29. Способы и средства противодействия подслушиванию.
30. Нейтрализация закладных устройств.
31. Состав инженерной защиты и технической охраны объектов.
32. Инженерные конструкции и сооружения для защиты информации. Их классификация.
33. Средства идентификации личности.
34. Классификация датчиков охранной сигнализации.
35. Классификация извещателей.
36. Телевизионные системы наблюдения.
37. Основные средства системы видеоконтроля.
38. Защита личности как носителя информации.
39. Системный подход к защите информации.
40. Параметры системы защиты информации.
41. этапы проектирования системы защиты информации.
42. Потенциальные каналы утечки информации.
43. Этапы разработки мер по предотвращению угроз утечки информации.
44. Угрозы сохранности данных в компьютере случайного характера.
45. Устройства электропитания компьютера, применяемые для защиты компьютера от неблагоприятных воздействий питающей электросети.
46. Дефекты магнитных дисков.
47. Простые приемы, используемые для защиты компьютера от умышленных действий.
48. Классификация вирусов.
49. Классификация антивирусных программ.
50. Компьютерная преступность. Виды преступной деятельности.
51. Преступления, связанные с нарушением частной тайны.
52. Информационные процессы.
53. Информационные технологии и их основные свойства.
55. Методы защиты информации от преднамеренного доступа.
56. Методы обеспечения безопасности каналов передачи данных.
57. Методы обеспечения достоверности передачи информации (методов защиты от ошибок).
Сделайте индивидуальный заказ на нашем сервисе. Там эксперты помогают с учебой без посредников Разместите задание – сайт бесплатно отправит его исполнителя, и они предложат цены.
Цены ниже, чем в агентствах и у конкурентов
Вы работаете с экспертами напрямую. Поэтому стоимость работ приятно вас удивит
Бесплатные доработки и консультации
Исполнитель внесет нужные правки в работу по вашему требованию без доплат. Корректировки в максимально короткие сроки
Если работа вас не устроит – мы вернем 100% суммы заказа
Техподдержка 7 дней в неделю
Наши менеджеры всегда на связи и оперативно решат любую проблему
Строгий отбор экспертов
Требуются доработки?
Они включены в стоимость работы ![]()
Работы выполняют эксперты в своём деле. Они ценят свою репутацию, поэтому результат выполненной работы гарантирован
Спасибо большое Анне! Она меня спасла. Выполнила работу за одну ночь, ответственно подошла к выполнению задания и качественно его выполнила! Рекомендую
Последние размещённые задания
Ежедневно эксперты готовы работать над 1000 заданиями. Контролируйте процесс написания работы в режиме онлайн
Срок сдачи к 27 февр.
Курсовая, Автоматизация технологических процессов и производств
Срок сдачи к 2 мар.
Конспект по чтению
Срок сдачи к 28 февр.
На тему "Угрозы экономической безопасности и механизм их реализации"
Статья, экономика и аудит
Срок сдачи к 7 мар.
Формирование и планирование прибыли от реализации продукции (работ, услуг): состояние и пути совершенствования
Срок сдачи к 22 мар.
Контрольная, Морская Астрономия
Срок сдачи к 28 февр.
выполнить задания по экономике фирмы
Бизнес-план, экономика фирмы и бизнес-планирование
Срок сдачи к 1 мар.
Очень сильно помогает
Срок сдачи к 28 февр.
Очень сильно помогает
Срок сдачи к 28 февр.
Лабораторная, Дифференциальная психология
Срок сдачи к 4 мар.
Решение задач бух учет
Решение задач, Бухгалтерский учет
Срок сдачи к 28 февр.
Решение задач, ох
Срок сдачи к 27 февр.
Решить две задачи
Решение задач, прикладная математика
Срок сдачи к 26 февр.
Решение задач с чертежом все на формате а4 рукописно
Контрольная, Математика и основы Судовождения
Срок сдачи к 28 февр.
Решение задач, Инженерная графика
Срок сдачи к 27 февр.
Контрольная, Морская Астрономия
Срок сдачи к 28 февр.
Контрольная, финансы железных дорог
Срок сдачи к 1 мар.
Помочь с проектом по предпринимательству и проектной деятельности
Контрольная, Проектная деятельность
Срок сдачи к 31 мар.
Размещенные на сайт контрольные, курсовые и иные категории работ (далее — Работы) и их содержимое предназначены исключительно для ознакомления, без целей коммерческого использования. Все права в отношении Работ и их содержимого принадлежат их законным правообладателям. Любое их использование возможно лишь с согласия законных правообладателей. Администрация сайта не несет ответственности за возможный вред и/или убытки, возникшие в связи с использованием Работ и их содержимого.
Характеристика информационной безопасности, ее значение. Возникновение и развитие концепции аппаратной защиты, особенности ее идей и осуществляемых мероприятий. Специфика методов опознания и разграничения участников информационного взаимодействия.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | реферат |
| Язык | русский |
| Дата добавления | 22.11.2009 |
| Размер файла | 763,8 K |
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Информация представляет собой результат отражения движения объектов материального мира в системах живой природы.
Важное событие последнего десятилетия в области технической защиты информации - это появление и развитие концепции аппаратной защиты. Основные идеи аппаратной защиты состоят в следующем:
· признании мультипликативной парадигмы защиты, и, как следствие, равное внимание реализации контрольных процедур на всех этапах работы информационной системы (защищенность системы не выше защищенности самого слабого звена);
· последовательном отказе от программных методов контроля, как очевидно ненадежных (попытка с помощью программных средств проконтролировать правильность других программных средств эквивалентна попытке решения неразрешимой задачи о самоприменимости) и перенос наиболее критичных контрольных процедур на аппаратный уровень;
· максимально возможном разделении условно-постоянных (программы) и условно-переменных (данные) элементов контрольных операций.
Необходимость защиты информационных технологий была осознана лишь в последнее время.
В процессе информационного взаимодействия на разных его этапах заняты люди (операторы, пользователи) и используются средства информатизации - технические (ПЭВМ, ЛВС) и программные (ОС, ППО). Сведения порождаются людьми, затем преобразовываются в данные и представляются в автоматизированные системы в виде электронных документов, объединенных в информационные ресурсы. Данные между компьютерами передаются по каналам связи. В процессе работы автоматизированной системы данные преобразовываются в соответствии с реализуемой информационной технологией. В соответствии с этим, в мероприятиях по технической защите можно выделить:
1. аутентификацию участников информационного взаимодействия;
2. защиту технических средств от несанкционированного доступа;
3. разграничение доступа к документам, ресурсам ПЭВМ и сети;
4. защиту электронных документов;
5. защиту данных в каналах связи;
6. защиту информационных технологий;
7. разграничение доступа к потокам данных.
В следующем разделе будут рассмотрены виды мероприятий по опознанию и разграничению информации применительно к нашей теме.
2. Методы опознания и разграничения информации
Идентификация/аутентификация (ИА) участников информационного взаимодействия должна выполняться аппаратно до этапа загрузки ОС. Базы данных ИА должны храниться в энергонезависимой памяти СЗИ, организованной так, чтобы доступ к ней средствами ПЭВМ был невозможен, т.е. энергонезависимая память должна быть размещена вне адресного пространства ПЭВМ. Программное обеспечение контроллера должно храниться в памяти контроллера, защищенной от несанкционированных модификаций. Целостность ПО контроллера должна обеспечиваться технологией изготовления контроллера СЗИ. Идентификация должна осуществляться с применением отчуждаемого носителя информации.
Современные операционные системы все чаще содержат встроенные средства разграничения доступа. Как правило, эти средства используют особенности конкретной файловой системы (ФС) и основаны на атрибутах, сильно связанных с одним из уровней API операционной системы. При этом неизбежно возникают проблемы, по крайней мере, следующие.
· Привязка к особенностям файловой системы.
В современных операционных системах, как правило, используются не одна, а несколько ФС - как новые, так и устаревшие. При этом обычно на новой ФС встроенное в ОС работает, а на старой - может и не работать, так как встроенное разграничение доступа использует существенные отличия новой ФС. Это обстоятельство обычно прямо не оговаривается в сертификате, что может ввести пользователя в заблуждение. И действительно, представим, что на компьютере с новой ОС эксплуатируется программное обеспечение, разработанное для предыдущей версии, ориентированное на особенности прежней ФС. Пользователь вправе полагать, что установленные защитные механизмы, сертифицированные и предназначенные именно для используемой ОС, будут выполнять свои функции, тогда как в действительности они будут отключены. В реальной жизни такие случаи могут встречаться довольно часто - зачем переписывать прикладную задачу, сменив ОС? Более того - именно с целью обеспечения совместимости старые ФС и включаются в состав новых ОС.
· Привязка к API операционной системы.
Как правило, операционные системы меняются сейчас очень быстро - раз в год - полтора. Не исключено, что будут меняться еще чаще. Некоторые такие смены связаны с изменениями в том числе и API - например, смена Win9x на WinNT. Если при этом атрибуты разграничения доступа отражают состав API - с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д. и т.п.
Таким образом, можно сформулировать общее требование - подсистема разграничения доступа должна быть наложенной на операционную систему, и тем самым, быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности.
Рассмотрим теперь конкретный комплекс мер программно-технического уровня, направленных на обеспечение информационной безопасности информационных систем. Здесь можно выделить следующие группы:
· средства универсальных ОС;
Бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем не представляется возможным. Универсальная ОС - это огромная программа, наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут быть использованы для получения нелегальных привилегий. Современная технология программирования не позволяет сделать столь большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия производимых изменений (как и врач, не ведающий всех побочных воздействий рекомендуемых лекарств). Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.п.).
Как указывалось выше, единственный перспективный путь связан с разработкой специализированных защитных средств, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов.
Межсетевой экран - это полупроницаемая мембрана, которая располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети) и контролирует все информационные потоки во внутреннюю сеть и из нее (рис. 1). Контроль информационных потоков состоит в их фильтрации, то есть в выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов политики безопасности организации.
Рис.1 Межсетевой экран как средство контроля информационных потоков
Целесообразно разделить случаи, когда экран устанавливается на границе с внешней (обычно общедоступной) сетью или на границе между сегментами одной корпоративной сети. Соответственно, мы будет говорить о внешнем и внутреннем межсетевых экранах.
Как правило, при общении с внешними сетями используется исключительно семейство протоколов TCP/IP. Поэтому внешний межсетевой экран должен учитывать специфику этих протоколов. Для внутренних экранов ситуация сложнее, здесь следует принимать во внимание помимо TCP/IP по крайней мере протоколы SPX/IPX, применяемые в сетях Novell NetWare. Иными словами, от внутренних экранов нередко требуется многопротокольность. Ситуации, когда корпоративная сеть содержит лишь один внешний канал, является, скорее, исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования (рис. 2). В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным, и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.
Рис.2 Экранирование корпоративной сети, состоящей из нескольких территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования.
При рассмотрении любого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целесообразно классифицировать по тому, на каком уровне производится фильтрация - канальном, сетевом, транспортном или прикладном. Соответственно, можно говорить об экранирующих концентраторах (уровень 2), маршрутизаторах (уровень 3), о транспортном экранировании (уровень 4) и о прикладных экранах (уровень 7). Существуют также комплексные экраны, анализирующие информацию на нескольких уровнях.
В данной работе мы не будем рассматривать экранирующие концентраторы, поскольку концептуально они мало отличаются от экранирующих маршрутизаторов.
Таким образом, возможности межсетевого экрана непосредственно определяются тем, какая информация может использоваться в правилах фильтрации и какова может быть мощность наборов правил. Вообще говоря, чем выше уровень в модели ISO/OSI, на котором функционирует экран, тем более содержательная информация ему доступна и, следовательно, тем тоньше и надежнее экран может быть сконфигурирован. В то же время фильтрация на каждом из перечисленных выше уровней обладает своими достоинствами, такими как дешевизна, высокая эффективность или прозрачность для пользователей. В силу этой, а также некоторых других причин, в большинстве случаев используются смешанные конфигурации, в которых объединены разнотипные экраны. Наиболее типичным является сочетание экранирующих маршрутизаторов и прикладного экрана (рис. 3).
Помимо выразительных возможностей и допустимого количества правил качество межсетевого экрана определяется еще двумя очень важными характеристиками - простотой применения и собственной защищенностью. В плане простоты использования первостепенное значение имеют наглядный интерфейс при задании правил фильтрации и возможность централизованного администрирования составных конфигураций. В свою очередь, в последнем аспекте хотелось бы выделить средства централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Важен и централизованный сбор и анализ регистрационной информации, а также получение сигналов о попытках выполнения действий, запрещенных политикой безопасности.
Собственная защищенность межсетевого экрана обеспечивается теми же средствами, что и защищенность универсальных систем. При выполнении централизованного администрирования следует еще позаботиться о защите информации от пассивного и активного прослушивания сети, то есть обеспечить ее (информации) целостность и конфиденциальность.
Рис.3 Сочетание экранирующих маршрутизаторов и прикладного экрана.
Природа экранирования (фильтрации), как механизма безопасности, очень глубока. Помимо блокирования потоков данных, нарушающих политику безопасности, межсетевой экран может скрывать информацию о защищаемой сети, тем самым затрудняя действия потенциальных злоумышленников. Так, прикладной экран может осуществлять действия от имени субъектов внутренней сети, в результате чего из внешней сети кажется, что имеет место взаимодействие исключительно с межсетевым экраном (рис. 4). При таком подходе топология внутренней сети скрыта от внешних пользователей, поэтому задача злоумышленника существенно усложняется.
Рис.9 Истинные и кажущиеся информационные потоки.
ЗАКЛЮЧЕНИЕ
В области защиты компьютерной информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью системы и ее открытостью. Правильнее, впрочем, говорить не о выборе, а о балансе, так как система, не обладающая свойством открытости, не может быть использована.
2. Гадасин В.А., Конявский В.А. От документа - к электронному документу. Системные основы. - М.: РФК-Имидж Лаб, 2001.
Подобные документы
Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011
Современное развитие АСУ и защита информации. Функция системы защиты с тремя регистрами. Выбор механизмов защиты и их особенности. Ответственность за нарушение безопасности методов. Методы защиты режима прямого доступа. Требования к защите информации.
реферат [150,8 K], добавлен 29.10.2010
Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014
Основные понятия защиты информации и информационной безопасности. Классификация и содержание, источники и предпосылки появления возможных угроз информации. Основные направления защиты от информационного оружия (воздействия), сервисы сетевой безопасности.
реферат [27,3 K], добавлен 30.04.2010
Классификация и описание угроз и возможного ущерба информационной безопасности. Общие требования к системе защиты информации предприятия, определение требуемого класса защищенности. Алгоритм и характеристика разработанной программы разграничения доступа.
дипломная работа [3,2 M], добавлен 21.10.2011
Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013
Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
Документ предоставляется как есть, мы не несем ответственности, за правильность представленной в нём информации. Используя информацию для подготовки своей работы необходимо помнить, что текст работы может быть устаревшим, работа может не пройти проверку на заимствования.
Можно ли скачать документ с работой
Да, скачать документ можно бесплатно, без регистрации перейдя по ссылке:
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РЕСПУБЛИКИ КАЗАХСТАН
МНОГОПРОФИЛЬНЫЙ ГУМАНИТАРНО-ТЕХНИЧЕСКИЙ КОЛЛЕДЖ
Выполнил студент
группы 3ИС-2с:
Проверил:
Караганда 2014
План
Введение…………………………………………………………………………………. 2
Глава I Проблемы защиты информации человеком и обществом…………………….5
1.1 Вирусы характеристика классификация…………………………………………….5
1.2 Несанкционированный доступ……………………………………………………….8
1.3 Проблемы защиты информации Интернете…………………………………………9
Глава II Сравнительный анализ и характеристики способов защиты информации. 12
2.1 Защита от вирусов…………………………………………………………………. 12
Сводная таблица некоторых антивирусных программ………………………………..16
2.2 Защита информации в Интернете………………………………………………..17
2.3 Защита от несанкционированного доступа……………………………………….19
2.4 Правовая защита информации…………………………………………………. 21
Заключение……………………………………………………………………………….24
Список используемой литературы……………………………………………………. 25
Название антивирусной программы Общие характеристики Положительные качества Недостатки
AIDSTEST Одна из самых известных антивирусных программ, совмещающие в себе функции детектора и доктора Д.Н. Лозинского. При запуске Aidstest проверяет себя оперативную память на наличие известных ему вирусов и обезвреживает их.
Может создавать отчет о работе После окончания обезвреживания вируса следует обязательно перезагрузить ЭВМ. Возможны случаи ложной тревоги, например при сжатии антивируса упаковщиком. Программа не имеет графического интерфейса, и режимы ее работы задаются с помощью ключей.
DOCTOR WEB
"Лечебная паутина" Dr.Web также, как и Aidstest относится к классу детекторов докторов, но в отличие отпослед него имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память.
Как и AidstestDoctorWeb может создавать отчет о работе При сканировании памяти нет стопроцентной гарантии, что "Лечебная паутина" обнаружит все вирусы, находящиеся там. Тестирование винчестера Dr.Web-ом занимает на много больше
времени, чем Aidstest-ом.
AVSP
(Anti-Virus Software Protection)
Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра Антивирус может лечить как известные так и неизвестные вирусы. К тому же AVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки). Очень удобна контекстная система подсказок, которая дает пояснения к каждому пункту меню. При комплексной проверке AVSP выводит также имена файлов, в которых произошли изменения, а также так называемую карту изменений Вместе с вирусами программа отключает и некоторые другие резидентные программы Останавливается на файлах, у которых странное время создания.
MicrosoftAntiVirus
Этот антивирус может работать в режимах детектора-доктора и ревизора. MSAV имеет дружественный интерфейс в стиле MS-Windows. Хорошо реализована контекстная по-
мощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые клавиши. В главном меню можно сменить диск (Selectnewdrive), выбрать между проверкой без удаления вирусов (Detect) и с их удалением (Detect&Clean).
Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле, а разбрасывает их по всем директориям.
Advanced Diskinfo-scope ADinf относится к классу программ-ревизоров. Антивирус имеет высокую скорость работы, способен с успехом противостоять вирусам, находящимся в памяти. Он позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус. Для лечения заражённых файлов применяется модуль ADinfCureModule, не входящий в пакет ADinf и поставляющийся отдельно.
Список литературы
1. Информатика: Учебник / под ред. Проф. Н.В. Макаровой. - М.: Базовый курс. Теория. 2004 г.
2. Безруков Н.Н. Компьютерные вирусы. - М.: Наука, 1991.
3. Мостовой Д.Ю. Современные технологии борьбы с вирусами // Мир ПК. - №8. - 1993.
4. Кент П. ПК и общество / Пер. c англ. В.Л. Григорьева. - М.: Компьютер, ЮНИТИ, 1996. - 267 c.
5. Левин В.К. Защита информации в информационно-вычислительных cистемах и сетях // Программирование. - 1994. - N5. - C. 5-16.
6. Об информации, информатизации и защите информации: Федеральный Закон // Российская газета. - 1995. - 22 февраля. - C. 4.
Собрала для вас похожие темы рефератов, посмотрите, почитайте:
Введение
Для предотвращения несанкционированного доступа к вашим компьютерам необходимы средства идентификации и разграничения доступа к информации.
Информационная безопасность и технические меры защиты
Информация является результатом отражения движения объектов материального мира в системах живой природы.
Важным событием последнего десятилетия в области технической защиты информации является появление и развитие концепции аппаратной защиты.
Основные идеи аппаратной защиты следующие:
Необходимость защиты информационных технологий была признана совсем недавно.
В процессе информационного взаимодействия на разных его этапах люди (операторы, пользователи) заняты и используются средства информатизации — технические (ПК, ЛВС) и программные (ОС, ПП). Информация создается людьми, затем трансформируется в данные и представляется в автоматизированных системах в виде электронных документов, которые объединяются в информационные ресурсы. Данные между компьютерами передаются по каналам связи. Во время работы автоматизированной системы данные преобразуются в соответствии с используемой информационной технологией.
Меры технической защиты могут быть дифференцированы соответствующим образом:
- аутентификация участников информационного взаимодействия;
- защита технических средств от несанкционированного доступа;
- разграничение доступа к документам, ресурсам ПК и сети;
- защита электронных документов;
- защита данных в каналах связи;
- защита информационных технологий;
- дифференциация доступа к потокам данных.
В следующем разделе рассматриваются виды мер по выявлению и разграничению информации, относящейся к нашей теме.
Методы идентификации и разграничения информации
Идентификация/аутентификация (ИА) участников информационного взаимодействия должна осуществляться на аппаратном уровне до этапа загрузки операционной системы. Базы данных ИА должны храниться в энергонезависимой памяти ЛВС, организованной таким образом, чтобы доступ к ним с помощью ПК был невозможен, т.е. энергонезависимая память должна размещаться вне адресного пространства ПК. Программное обеспечение блока управления должно храниться в памяти блока управления и быть защищено от несанкционированного изменения. Целостность программного обеспечения контроллера должна быть гарантирована технологией производства контроллера LPG. Идентификация производится с помощью отчужденных носителей.
Современные операционные системы все чаще содержат встроенные средства разграничения доступа. Как правило, эти инструменты используют функции конкретной файловой системы (ФС) и основаны на атрибутах, которые тесно связаны с одним из уровней API операционной системы. Это неизбежно приводит к проблемам, по крайней мере, следующим.
Привязка к свойствам файловой системы
Современные операционные системы обычно используют не одну, а несколько ФС — как новые, так и устаревшие. В этом случае, как правило, работает на новой ТС, встроенной в операционную систему, а на старой — может не работать, так как встроенный разъединитель доступа использует существенные отличия новой ТС. Этот факт обычно явно не упоминается в сертификате, что может ввести пользователя в заблуждение. И на самом деле, представим себе, что на компьютере с новой операционной системой используется программное обеспечение, разработанное для предыдущей версии, которое фокусируется на особенностях предыдущей ФС. Пользователь имеет право верить, что установленные механизмы безопасности, сертифицированные и специально разработанные для используемой операционной системы, выполняют свои функции, когда на самом деле они отключены. В реальной жизни такие случаи могут встречаться довольно часто — зачем переписывать задание приложения после смены операционной системы? Кроме того, она должна обеспечить совместимость со старой FS и быть включена в новую операционную систему.
Привязка к API операционной системы
Обычно операционные системы меняются очень быстро — раз в полтора года. Возможно, что они будут меняться еще чаще. Некоторые из этих изменений связаны с изменениями, включая API — например, переход с Win9x на WinNT. Если атрибуты разграничения доступа отражают состав API — при переходе на современную версию операционной системы, настройки безопасности придется переустанавливать, персонал будет проходить переподготовку и т.д. и т.п.
Таким образом, можно сформулировать общее требование — подсистема разграничения доступа должна быть наложена на операционную систему и при этом независима от файловой системы. Конечно, структура атрибутов должна быть достаточной для описания политики безопасности, и описание не должно быть в таких терминах, как API операционной системы, а также в терминах, где обычно работают администраторы безопасности.
Теперь рассмотрим конкретный комплекс мероприятий на программно-аппаратном уровне, направленных на обеспечение информационной безопасности информационных систем.
Здесь можно назначить следующие группы:
- универсальные инструменты для ОС;
- Брандмауэры.
Борьба с угрозами, присущими сетевой среде, с помощью универсальных операционных систем невозможна. Универсальная операционная система — это огромная программа, которая, помимо очевидных недостатков, вероятно, содержит некоторые возможности, которые могут быть использованы для получения незаконных привилегий. Современные технологии программирования не позволяют сделать такие большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия внесенных изменений (а также врач, который не знает всех побочных эффектов рекомендуемых препаратов). Наконец, в универсальной многопользовательской системе дыры в безопасности постоянно создаются самими пользователями (слабые и/или редко меняющиеся пароли, плохо настроенные права доступа, необслуживаемый терминал и т.д.).
Как упоминалось выше, единственным перспективным направлением является разработка специальных средств защиты, которые в силу своей простоты позволяют проводить формальную или неформальную проверку. Брандмауэр как раз и является таким инструментом, который позволяет осуществлять дальнейшую декомпозицию в связи с работой различных сетевых протоколов.
Брандмауэр — это полупроницаемая мембрана, расположенная между защищенной (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети), которая контролирует все информационные потоки, входящие и выходящие из внутренней сети (Рисунок 1). Управление информационными потоками заключается в их фильтрации, т.е. избирательном прохождении экрана, возможно, с некоторыми проведенными преобразованиями и уведомлением отправителя о том, что его данные в паспорте будут отклонены. Фильтрация основана на наборе предустановленных на экране правил, которые представляют собой выражение сетевых аспектов политики безопасности организации.
Рекомендуется разделять случаи, когда экран устанавливается на границе внешней (обычно публичной) сети или на границе между сегментами корпоративной сети. Соответственно, мы поговорим о внешних и внутренних брандмауэрах.
При общении с внешними сетями обычно используется только семейство протоколов TCP/IP. Поэтому внешний брандмауэр должен учитывать особые функции этих протоколов. Для внутренних брандмауэров ситуация более сложная; здесь, помимо TCP/IP, следует учитывать, по крайней мере, протоколы SPX/IPX, используемые в сетях Novell NetWare. Другими словами: Внутренние экраны часто должны быть многопротокольными. Ситуации, когда корпоративная сеть содержит только один внешний канал, являются скорее исключением, чем правилом. Напротив, типичная ситуация, когда корпоративная сеть состоит из нескольких географически рассредоточенных сегментов, каждый из которых подключен к публичной сети (Рисунок 2). В этом случае каждое соединение должно быть защищено отдельным экраном. Точнее, можно предположить, что внешний корпоративный брандмауэр составлен и что он должен решить проблему скоординированного управления (управления и аудита) всеми компонентами.
Семиуровневая референсная модель ISO/OSI является основой для любого рассмотрения сетевых технологий. Также полезно классифицировать брандмауэры в соответствии с тем, осуществляется ли фильтрация на уровне соединения, сети, транспорта или приложения. Соответственно, можно сделать ссылку на экранирующие концентраторы (уровень 2), маршрутизаторы (уровень 3), транспортное экранирование (уровень 4) и прикладное экранирование (уровень 7). Существуют также сложные экраны, которые анализируют информацию на нескольких слоях.
В этой статье мы не будем рассматривать экранирующие концентраторы, так как они концептуально очень сильно отличаются от экранирующих маршрутизаторов.
Таким образом, возможности брандмауэра напрямую определяются тем, какую информацию можно использовать в правилах фильтрации и насколько мощными могут быть наборы правил. В целом, чем выше уровень в модели ISO/OSI, на котором работает экран, тем больше информации доступно на экране и тем тоньше и надежнее можно настроить экран. В то же время, фильтрация на каждом из вышеупомянутых уровней имеет свои преимущества, такие как низкая стоимость, высокая эффективность или прозрачность для пользователей. По этой причине, как и по некоторым другим причинам, в большинстве случаев используются смешанные конфигурации, сочетающие различные типы экранов. Наиболее распространенной является комбинация экранирующих маршрутизаторов и экрана приложений.
Помимо выразительности и допустимого количества правил, качество брандмауэра определяется двумя другими очень важными характеристиками — удобством использования и самозащитой. С точки зрения удобства использования, четкий интерфейс при настройке правил фильтрации и возможность централизованного управления сложными конфигурациями имеют первостепенное значение. В последнем аспекте, с другой стороны, было бы желательно предусмотреть средства для централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Также важным является централизованный сбор и анализ регистрационной информации и получение сигналов о попытках совершения действий, запрещенных политикой безопасности.
Собственная защита брандмауэра обеспечивается теми же средствами, что и защита универсальных систем. При выполнении централизованного управления все равно необходимо обеспечить защиту информации от пассивного и активного перехвата сети, то есть обеспечить ее (информации) целостность и конфиденциальность.
Вид экранирования (фильтрации) как защитного механизма очень глубокий. Помимо блокирования потоков данных, нарушающих политики безопасности, брандмауэр также может скрывать информацию о защищаемой сети, что затрудняет действия потенциальных злоумышленников. Например, окно приложения может действовать от имени субъектов внутренней сети, создавая впечатление, что только брандмауэр взаимодействует (рисунок 4). Такой подход скрывает топологию внутренней сети от внешних пользователей, что значительно усложняет задачу злоумышленника.
Заключение
В области защиты компьютерной информации дилемма безопасности сформулирована следующим образом: Необходимо выбирать между безопасностью системы и открытостью. Однако правильнее говорить о равновесии, чем о выборе, поскольку система, не обладающая свойством открытости, не может быть использована.
Список литературы
Образовательный сайт для студентов и школьников
© Фирмаль Людмила Анатольевна — официальный сайт преподавателя математического факультета Дальневосточного государственного физико-технического института
Читайте также: