Средства опознания и разграничения доступа к информации реферат

Обновлено: 04.07.2024

Идентификация/аутентификация (ИА) участников информационного взаимодействия должна выполняться аппаратно до этапа загрузки ОС. Базы данных ИА должны храниться в энергонезависимой памяти СЗИ, организованной так, чтобы доступ к ней средствами ПЭВМ был невозможен, т.е. энергонезависимая память должна быть размещена вне адресного пространства ПЭВМ. Программное обеспечение контроллера должно храниться в памяти контроллера, защищенной от несанкционированных модификаций. Целостность ПО контроллера должна обеспечиваться технологией изготовления контроллера СЗИ. Идентификация должна осуществляться с применением отчуждаемого носителя информации.

· Привязка к особенностям файловой системы.

В современных операционных системах, как правило, используются не одна, а несколько ФС – как новые, так и устаревшие. При этом обычно на новой ФС встроенное в ОС работает, а на старой – может и не работать, так как встроенное разграничение доступа использует существенные отличия новой ФС. Это обстоятельство обычно прямо не оговаривается в сертификате, что может ввести пользователя в заблуждение. И действительно, представим, что на компьютере с новой ОС эксплуатируется программное обеспечение, разработанное для предыдущей версии, ориентированное на особенности прежней ФС. Пользователь вправе полагать, что установленные защитные механизмы, сертифицированные и предназначенные именно для используемой ОС, будут выполнять свои функции, тогда как в действительности они будут отключены. В реальной жизни такие случаи могут встречаться довольно часто – зачем переписывать прикладную задачу, сменив ОС? Более того – именно с целью обеспечения совместимости старые ФС и включаются в состав новых ОС.

· Привязка к API операционной системы.

Как правило, операционные системы меняются сейчас очень быстро – раз в год – полтора. Не исключено, что будут меняться еще чаще. Некоторые такие смены связаны с изменениями в том числе и API – например, смена Win9x на WinNT. Если при этом атрибуты разграничения доступа отражают состав API – с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д. и т.п.

Таким образом, можно сформулировать общее требование – подсистема разграничения доступа должна быть наложенной на операционную систему, и тем самым, быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности. Рассмотрим теперь конкретный комплекс мер программно-технического уровня, направленных на обеспечение информационной безопасности информационных систем. Здесь можно выделить следующие группы:

· средства универсальных ОС;

Бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем не представляется возможным. Универсальная ОС – это огромная программа, наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут быть использованы для получения нелегальных привилегий. Современная технология программирования не позволяет сделать столь большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия производимых изменений (как и врач, не ведающий всех побочных воздействий рекомендуемых лекарств). Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.п.).

Как указывалось выше, единственный перспективный путь связан с разработкой специализированных защитных средств, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов. Межсетевой экран – это полупроницаемая мембрана, которая располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети) и контролирует все информационные потоки во внутреннюю сеть и из нее (рис. 1). Контроль информационных потоков состоит в их фильтрации, то есть в выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов политики безопасности организации.

Рис.1 Межсетевой экран как средство контроля информационных потоков

Целесообразно разделить случаи, когда экран устанавливается на границе с внешней (обычно общедоступной) сетью или на границе между сегментами одной корпоративной сети. Соответственно, мы будет говорить о внешнем и внутреннем межсетевых экранах. Как правило, при общении с внешними сетями используется исключительно семейство протоколов TCP/IP. Поэтому внешний межсетевой экран должен учитывать специфику этих протоколов. Для внутренних экранов ситуация сложнее, здесь следует принимать во внимание помимо TCP/IP по крайней мере протоколы SPX/IPX, применяемые в сетях Novell NetWare. Иными словами, от внутренних экранов нередко требуется многопротокольность. Ситуации, когда корпоративная сеть содержит лишь один внешний канал, является, скорее, исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования (рис. 2). В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным, и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.

Рис.2 Экранирование корпоративной сети, состоящей из нескольких территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования.

Рис.3 Сочетание экранирующих маршрутизаторов и прикладного экрана.

Природа экранирования (фильтрации), как механизма безопасности, очень глубока. Помимо блокирования потоков данных, нарушающих политику безопасности, межсетевой экран может скрывать информацию о защищаемой сети, тем самым затрудняя действия потенциальных злоумышленников. Так, прикладной экран может осуществлять действия от имени субъектов внутренней сети, в результате чего из внешней сети кажется, что имеет место взаимодействие исключительно с межсетевым экраном (рис. 4). При таком подходе топология внутренней сети скрыта от внешних пользователей, поэтому задача злоумышленника существенно усложняется.

Рис.9 Истинные и кажущиеся информационные потоки.

2. Гадасин В.А., Конявский В.А. От документа – к электронному документу. Системные основы. – М.: РФК-Имидж Лаб, 2004.

В современных информационных системах (ИС) информация обладает двумя противоречивыми свойствами – доступностью и защищенностью от несанкционированного доступа. Во многих случаях разработчики ИС сталкиваются с проблемой выбора приоритета одного из этих свойств.

Под защитой информации обычно понимается именно обеспечение ее защищенности от несанкционированного доступа. При этом под самим несанкционированным доступом принято понимать действия, которые повлекли "…уничтожение, блокирование, модификацию, либо копирование информации…"(УК РФ ст.272). Все методы и средства защиты информации можно условно разбить на две большие группы: формальные и неформальные.

Рис. 1. Классификация методов и средств защиты информации

Формальные методы и средства

Это такие средства, которые выполняют свои защитные функции строго формально, то есть по заранее предусмотренной процедуре и без непосредственного участия человека.

Техническими средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.

Физическими средствами защиты называются физические и электронные устройства, элементы конструкций зданий, средства пожаротушения, и целый ряд других средств. Они обеспечивают выполнение следующих задач:

защиту территории и помещений вычислительного центра от проникновения злоумышленников;
защиту аппаратуры и носителей информации от повреждения или хищения;
предотвращение возможности наблюдения за работой персонала и функционированием оборудования из-за пределов территории или через окна;
предотвращение возможности перехвата электромагнитных излучений работающего оборудования и линий передачи данных;
контроль за режимом работы персонала;
организацию доступа в помещение сотрудников;
контроль за перемещением персонала в различных рабочих зонах и т.д.

Криптографические методы и средства

Криптографическими методами и средствами называются специальные преобразования информации, в результате которых изменяется ее представление.

В соответствии с выполняемыми функциями криптографические методы и средства можно разделить на следующие группы:

идентификация и аутентификация;
разграничение доступа;
шифрования защищаемых данных;
защита программ от несанкционированного использования;
контроль целостности информации и т.д.

Неформальные методы и средства защиты информации

Неформальные средства – такие, которые реализуются в результате целенаправленной деятельности людей, либо регламентируют ( непосредственно или косвенно) эту деятельность.

К неформальным средствам относятся:

Организационные средства

Это организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. По своему содержанию все множество организационных мероприятий условно можно разделить на следующие группы:

мероприятия, осуществляемые при создании ИС;
мероприятия, осуществляемые в процессе эксплуатации ИС: организация пропускного режима, организация технологии автоматизированной обработки информации, организация работы в сменах, распределение реквизитов разграничения доступа(паролей, профилей, полномочий и т.п.) ;
мероприятия общего характера: учет требований защиты при подборе и подготовке кадров, организация плановых и превентивных проверок механизма защиты, планирование мероприятий по защите информации и т.п.

Законодательные средства

Это законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного использования и устанавливаются меры ответственности за нарушение этих правил. Можно сформулировать пять ”основных принципов”, которые лежат в основе системы законов о защите информации:

Морально – этические нормы

Эти нормы могут быть как не писанными (общепринятые нормы честности, патриотизма и т.п.) так и писанными, т.е. оформленными в некоторый свод правил и предписаний (устав).

С другой стороны, все методы и средства защиты информации можно разделить на две большие группы по типу защищаемого объекта. В первом случае объектом является носитель информации, и здесь используются все неформальные, технические и физические методы и средства защиты информации. Во втором случае речь идет о самой информации, и для ее защиты используются криптографические методы.

1.3.2. Угрозы безопасности информации и их источники

Наиболее опасными (значимыми) угрозами безопасности информации являются:

нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую, судебную, врачебную и коммерческую тайну, а также персональных данных;
нарушение работоспособности (дезорганизация работы) ИС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов ИС, а также фальсификация (подделка) документов.

Приведем ниже краткую классификацию возможных каналов утечки информации в ИС – способов организации несанкционированного доступа к информации.

Косвенные каналы, позволяющие осуществлять несанкционированный доступ к информации без физического доступа к компонентам ИС:

применение подслушивающих устройств;
дистанционное наблюдение, видео и фотосъемка;
перехват электромагнитных излучений, регистрация перекрестных наводок и т.п.

Каналы, связанные с доступом к элементам ИС, но не требующие изменения компонентов системы, а именно:

Каналы, связанные с доступом к элементам ИС и с изменением структуры ее компонентов :

незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или к линиям связи;
злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;
злоумышленный вывод из строя механизма защиты.

1.3.3. Ограничение доступа к информации

В общем случае система защиты информации от несанкционированного доступа состоит из трех основных процессов:

идентификация;
аутентификация;
авторизация.

При этом участниками этих процессов принято считать субъекты – активные компоненты (пользователи или программы) и объекты – пассивные компоненты (файлы, базы данных и т.п.).

Задачей систем идентификации, аутентификации и авторизации является определение, верификация и назначение набора полномочий субъекта при доступе к информационной системе.

Идентификацией субъекта при доступе к ИС называется процесс сопоставления его с некоторой, хранимой системой в некотором объекте, характеристикой субъекта – идентификатором. В дальнейшем идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий при пользовании информационной системой.

Аутентификацией субъекта называется процедура верификации принадлежности идентификатора субъекту. Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и информационная система. Обычно в некотором объекте в информационной системе, называемом базой учетных записей, хранится не сам секретный элемент, а некоторая информация о нем, на основании которой принимается решение об адекватности субъекта идентификатору.

Авторизацией субъекта называется процедура наделения его правами соответствующими его полномочиям. Авторизация осуществляется лишь после того, как субъект успешно прошел идентификацию и аутентификацию.

Весь процесс идентификации и аутентификации можно схематично представить следующим образом:

Рис. 2. Схема процесса идентификации и аутентификации

1- запрос на разрешение доступа к ИС;

2- требование пройти идентификацию и аутентификацию;

3- отсылка идентификатора;

4- проверка наличия полученного идентификатора в базе учетных записей;

5- запрос аутентификатора;

6- отсылка аутентификаторов;

7- проверка соответствия полученного аутентификатора указанному ранее идентификатору по базе учетных записей.

Из приведенной схемы (рис.2) видно, что для преодоления системы защиты от несанкционированного доступа можно либо изменить работу субъекта, осуществляющего реализацию процесса идентификации/аутентификации, либо изменить содержимое объекта – базы учетных записей. Кроме того, необходимо различать локальную и удаленную аутентификацию.

При локальной аутентификации можно считать, что процессы 1,2,3,5,6 проходят в защищенной зоне, то есть атакующий не имеет возможности прослушивать или изменять передаваемую информацию. В случае же удаленной аутентификации приходится считаться с тем, что атакующий может принимать как пассивное, так и активное участие в процессе пересылки идентификационной /аутентификационной информации. Соответственно в таких системах используются специальные протоколы, позволяющие субъекту доказать знание конфиденциальной информации не разглашая ее (например, протокол аутентификации без разглашения).

Общую схему защиты информации в ИС можно представить следующим образом (рис.3):

Рис. 3. Съема защиты информации в информационной системе

Таким образом, всю систему защиты информации в ИС можно разбить на три уровня. Даже если злоумышленнику удастся обойти систему защиты от несанкционированного доступа, он столкнется с проблемой поиска необходимой ему информации в ИС.

Семантическая защита предполагает сокрытие места нахождения информации. Для этих целей может быть использован, например, специальный формат записи на носитель или стеганографические методы, то есть сокрытие конфиденциальной информации в файлах-контейнерах не несущих какой-либо значимой информации.

В настоящее время стеганографические методы защиты информации получили широкое распространение в двух наиболее актуальных направлениях:

сокрытие информации;
защита авторских прав.

Последним препятствием на пути злоумышленника к конфиденциальной информации является ее криптографическое преобразование. Такое преобразование принято называть шифрацией. Краткая классификация систем шифрования приведена ниже (рис.4):

Рис. 4. Классификация систем шифрования

Основными характеристиками любой системы шифрования являются:

В настоящее время принято считать, что алгоритм шифрации/дешифрации открыт и общеизвестен. Таким образом, неизвестным является только ключ, обладателем которого является легальный пользователь. Во многих случаях именно ключ является самым уязвимым компонентом системы защиты информации от несанкционированного доступа.

Из десяти законов безопасности Microsoft два посвящены паролям:

Именно поэтому выбору, хранению и смене ключа в системах защиты информации придают особо важное значение. Ключ может выбираться пользователем самостоятельно или навязываться системой. Кроме того, принято различать три основные формы ключевого материала:

1.3.4. Технические средства защиты информации

В общем случае защита информации техническими средствами обеспечивается в следующих вариантах:
источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей его технических средств

соотношение энергии носителя и помех на входе приемника установленного в канале утечки такое, что злоумышленнику не удается снять информацию с носителя с необходимым для ее использования качеством;
злоумышленник не может обнаружить источник или носитель информации;
вместо истинной информации злоумышленник получает ложную, которую он принимает как истинную.

Эти варианты реализуют следующие методы защиты:

воспрепятствование непосредственному проникновению злоумышленника к источнику информации с помощью инженерных конструкций, технических средств охраны;
скрытие достоверной информации;
"подсовывание" злоумышленнику ложной информации.

Применение инженерных конструкций и охрана - наиболее древний метод защиты людей и материальных ценностей. Основной задачей технических средств защиты является недопущение (предотвращение) непосредственного контакта злоумышленника или сил природы с объектами защиты.

Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве. К таким носителям относятся бумага, машинные носители, фото- и кинопленка, продукция, материалы и т.д., то есть всё, что имеет четкие размеры и вес. Для организации защиты таких объектов обычно используются такие технические средства защиты как охранная и пожарная сигнализация.

Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ и для защиты такой информации могут быть использованы методы скрытия информации. Эти методы предусматривают такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.

1.3.5. Программные средства защиты информации

Эти средства защиты предназначены специально для защиты компьютерной информации и построены на использовании криптографических методов. Наиболее распространенными программными средствами являются:

1.3.6. Антивирусные средства защиты информации

Характеристика информационной безопасности, ее значение. Возникновение и развитие концепции аппаратной защиты, особенности ее идей и осуществляемых мероприятий. Специфика методов опознания и разграничения участников информационного взаимодействия.

Рубрика	Программирование, компьютеры и кибернетика
Вид	реферат
Язык	русский
Дата добавления	22.11.2009
Размер файла	763,8 K

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Информация представляет собой результат отражения движения объектов материального мира в системах живой природы.

Важное событие последнего десятилетия в области технической защиты информации - это появление и развитие концепции аппаратной защиты. Основные идеи аппаратной защиты состоят в следующем:

· признании мультипликативной парадигмы защиты, и, как следствие, равное внимание реализации контрольных процедур на всех этапах работы информационной системы (защищенность системы не выше защищенности самого слабого звена);

· последовательном отказе от программных методов контроля, как очевидно ненадежных (попытка с помощью программных средств проконтролировать правильность других программных средств эквивалентна попытке решения неразрешимой задачи о самоприменимости) и перенос наиболее критичных контрольных процедур на аппаратный уровень;

· максимально возможном разделении условно-постоянных (программы) и условно-переменных (данные) элементов контрольных операций.

Необходимость защиты информационных технологий была осознана лишь в последнее время.

В процессе информационного взаимодействия на разных его этапах заняты люди (операторы, пользователи) и используются средства информатизации - технические (ПЭВМ, ЛВС) и программные (ОС, ППО). Сведения порождаются людьми, затем преобразовываются в данные и представляются в автоматизированные системы в виде электронных документов, объединенных в информационные ресурсы. Данные между компьютерами передаются по каналам связи. В процессе работы автоматизированной системы данные преобразовываются в соответствии с реализуемой информационной технологией. В соответствии с этим, в мероприятиях по технической защите можно выделить:

1. аутентификацию участников информационного взаимодействия;

2. защиту технических средств от несанкционированного доступа;

3. разграничение доступа к документам, ресурсам ПЭВМ и сети;

4. защиту электронных документов;

5. защиту данных в каналах связи;

6. защиту информационных технологий;

7. разграничение доступа к потокам данных.

В следующем разделе будут рассмотрены виды мероприятий по опознанию и разграничению информации применительно к нашей теме.

2. Методы опознания и разграничения информации

Современные операционные системы все чаще содержат встроенные средства разграничения доступа. Как правило, эти средства используют особенности конкретной файловой системы (ФС) и основаны на атрибутах, сильно связанных с одним из уровней API операционной системы. При этом неизбежно возникают проблемы, по крайней мере, следующие.

· Привязка к особенностям файловой системы.

В современных операционных системах, как правило, используются не одна, а несколько ФС - как новые, так и устаревшие. При этом обычно на новой ФС встроенное в ОС работает, а на старой - может и не работать, так как встроенное разграничение доступа использует существенные отличия новой ФС. Это обстоятельство обычно прямо не оговаривается в сертификате, что может ввести пользователя в заблуждение. И действительно, представим, что на компьютере с новой ОС эксплуатируется программное обеспечение, разработанное для предыдущей версии, ориентированное на особенности прежней ФС. Пользователь вправе полагать, что установленные защитные механизмы, сертифицированные и предназначенные именно для используемой ОС, будут выполнять свои функции, тогда как в действительности они будут отключены. В реальной жизни такие случаи могут встречаться довольно часто - зачем переписывать прикладную задачу, сменив ОС? Более того - именно с целью обеспечения совместимости старые ФС и включаются в состав новых ОС.

· Привязка к API операционной системы.

Как правило, операционные системы меняются сейчас очень быстро - раз в год - полтора. Не исключено, что будут меняться еще чаще. Некоторые такие смены связаны с изменениями в том числе и API - например, смена Win9x на WinNT. Если при этом атрибуты разграничения доступа отражают состав API - с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д. и т.п.

Таким образом, можно сформулировать общее требование - подсистема разграничения доступа должна быть наложенной на операционную систему, и тем самым, быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности.

Рассмотрим теперь конкретный комплекс мер программно-технического уровня, направленных на обеспечение информационной безопасности информационных систем. Здесь можно выделить следующие группы:

· средства универсальных ОС;

Бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем не представляется возможным. Универсальная ОС - это огромная программа, наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут быть использованы для получения нелегальных привилегий. Современная технология программирования не позволяет сделать столь большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия производимых изменений (как и врач, не ведающий всех побочных воздействий рекомендуемых лекарств). Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.п.).

Межсетевой экран - это полупроницаемая мембрана, которая располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети) и контролирует все информационные потоки во внутреннюю сеть и из нее (рис. 1). Контроль информационных потоков состоит в их фильтрации, то есть в выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов политики безопасности организации.

Рис.1 Межсетевой экран как средство контроля информационных потоков

Целесообразно разделить случаи, когда экран устанавливается на границе с внешней (обычно общедоступной) сетью или на границе между сегментами одной корпоративной сети. Соответственно, мы будет говорить о внешнем и внутреннем межсетевых экранах.

Как правило, при общении с внешними сетями используется исключительно семейство протоколов TCP/IP. Поэтому внешний межсетевой экран должен учитывать специфику этих протоколов. Для внутренних экранов ситуация сложнее, здесь следует принимать во внимание помимо TCP/IP по крайней мере протоколы SPX/IPX, применяемые в сетях Novell NetWare. Иными словами, от внутренних экранов нередко требуется многопротокольность. Ситуации, когда корпоративная сеть содержит лишь один внешний канал, является, скорее, исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования (рис. 2). В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным, и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.

Рис.2 Экранирование корпоративной сети, состоящей из нескольких территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования.

При рассмотрении любого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целесообразно классифицировать по тому, на каком уровне производится фильтрация - канальном, сетевом, транспортном или прикладном. Соответственно, можно говорить об экранирующих концентраторах (уровень 2), маршрутизаторах (уровень 3), о транспортном экранировании (уровень 4) и о прикладных экранах (уровень 7). Существуют также комплексные экраны, анализирующие информацию на нескольких уровнях.

В данной работе мы не будем рассматривать экранирующие концентраторы, поскольку концептуально они мало отличаются от экранирующих маршрутизаторов.

Таким образом, возможности межсетевого экрана непосредственно определяются тем, какая информация может использоваться в правилах фильтрации и какова может быть мощность наборов правил. Вообще говоря, чем выше уровень в модели ISO/OSI, на котором функционирует экран, тем более содержательная информация ему доступна и, следовательно, тем тоньше и надежнее экран может быть сконфигурирован. В то же время фильтрация на каждом из перечисленных выше уровней обладает своими достоинствами, такими как дешевизна, высокая эффективность или прозрачность для пользователей. В силу этой, а также некоторых других причин, в большинстве случаев используются смешанные конфигурации, в которых объединены разнотипные экраны. Наиболее типичным является сочетание экранирующих маршрутизаторов и прикладного экрана (рис. 3).

Помимо выразительных возможностей и допустимого количества правил качество межсетевого экрана определяется еще двумя очень важными характеристиками - простотой применения и собственной защищенностью. В плане простоты использования первостепенное значение имеют наглядный интерфейс при задании правил фильтрации и возможность централизованного администрирования составных конфигураций. В свою очередь, в последнем аспекте хотелось бы выделить средства централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Важен и централизованный сбор и анализ регистрационной информации, а также получение сигналов о попытках выполнения действий, запрещенных политикой безопасности.

Собственная защищенность межсетевого экрана обеспечивается теми же средствами, что и защищенность универсальных систем. При выполнении централизованного администрирования следует еще позаботиться о защите информации от пассивного и активного прослушивания сети, то есть обеспечить ее (информации) целостность и конфиденциальность.

Рис.3 Сочетание экранирующих маршрутизаторов и прикладного экрана.

Природа экранирования (фильтрации), как механизма безопасности, очень глубока. Помимо блокирования потоков данных, нарушающих политику безопасности, межсетевой экран может скрывать информацию о защищаемой сети, тем самым затрудняя действия потенциальных злоумышленников. Так, прикладной экран может осуществлять действия от имени субъектов внутренней сети, в результате чего из внешней сети кажется, что имеет место взаимодействие исключительно с межсетевым экраном (рис. 4). При таком подходе топология внутренней сети скрыта от внешних пользователей, поэтому задача злоумышленника существенно усложняется.

Рис.9 Истинные и кажущиеся информационные потоки.

ЗАКЛЮЧЕНИЕ

В области защиты компьютерной информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью системы и ее открытостью. Правильнее, впрочем, говорить не о выборе, а о балансе, так как система, не обладающая свойством открытости, не может быть использована.

2. Гадасин В.А., Конявский В.А. От документа - к электронному документу. Системные основы. - М.: РФК-Имидж Лаб, 2001.

Подобные документы

Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

реферат [30,0 K], добавлен 15.11.2011

Современное развитие АСУ и защита информации. Функция системы защиты с тремя регистрами. Выбор механизмов защиты и их особенности. Ответственность за нарушение безопасности методов. Методы защиты режима прямого доступа. Требования к защите информации.

реферат [150,8 K], добавлен 29.10.2010

Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.

реферат [51,5 K], добавлен 20.01.2014

Основные понятия защиты информации и информационной безопасности. Классификация и содержание, источники и предпосылки появления возможных угроз информации. Основные направления защиты от информационного оружия (воздействия), сервисы сетевой безопасности.

реферат [27,3 K], добавлен 30.04.2010

Классификация и описание угроз и возможного ущерба информационной безопасности. Общие требования к системе защиты информации предприятия, определение требуемого класса защищенности. Алгоритм и характеристика разработанной программы разграничения доступа.

дипломная работа [3,2 M], добавлен 21.10.2011

Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.

дипломная работа [255,5 K], добавлен 08.03.2013

Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.

Содержание

Содержание 2
Введение 3
Информационная безопасность и
мероприятия по ее технической защите 4
Методы опознания и разграничения информации 6
Заключение 13
Литература 14

Работа содержит 1 файл

ТСЗИ.docx

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

СИБИРСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ

ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИ

ВЫПОЛНИЛИ
СТУДЕНТЫ ГРИНЧУК О.В.

ГР. ВФ07-08 ИВШИНА М.С.

ПРИНЯЛ КИРКО И.Н.

Содержание 2

Введение 3

Информационная безопасность и
мероприятия по ее технической защите 4

Методы опознания и разграничения информации 6

Заключение 13

Литература 14

Для предотвращения несанкционированного доступа к своим компьютерам необходимы средства, направленные на опознание и разграничение доступа к информации.

Необходимость защиты информационных технологий была осознана лишь в последнее время. В процессе информационного взаимодействия на разных его этапах заняты люди (операторы, пользователи) и используются средства информатизации – технические (ПЭВМ, ЛВС) и программные (ОС, ППО). Сведения порождаются людьми, затем преобразовываются в данные и представляются в автоматизированные системы в виде электронных документов, объединенных в информационные ресурсы. Данные между компьютерами передаются по каналам связи. В процессе работы автоматизированной системы данные преобразовываются в соответствии с реализуемой информационной технологией. В соответствии с этим, в мероприятиях по технической защите можно выделить:

1. аутентификацию участников информационного взаимодействия;

2. защиту технических средств от несанкционированного доступа;

3. разграничение доступа к документам, ресурсам ПЭВМ и сети;

4. защиту электронных документов;

5. защиту данных в каналах связи;

6. защиту информационных технологий;

7. разграничение доступа к потокам данных.

Идентификация/ аутентификация (ИА) участников информационного взаимодействия должна выполняться аппаратно до этапа загрузки ОС. Базы данных ИА должны храниться в энергонезависимой памяти СЗИ, организованной так, чтобы доступ к ней средствами ПЭВМ был невозможен, т.е. энергонезависимая память должна быть размещена вне адресного пространства ПЭВМ. Программное обеспечение контроллера должно храниться в памяти контроллера, защищенной от несанкционированных модификаций. Целостность ПО контроллера должна обеспечиваться технологией изготовления контроллера СЗИ. Идентификация должна осуществляться с применением отчуждаемого носителя информации.

средства универсальных ОС;
межсетевые экраны.

Рис.1 Межсетевой экран как средство контроля информационных потоков

Читайте также: