Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Спутниковый доступ в Интернет. ⇐ ПредыдущаяСтр 8 из 8
Существует две разновидности организации высокоскоростного доступа в Интернет по спутниковому каналу: симметричная и асимметричная. В случае симметричного доступа клиент осуществляет передачу запроса на спутник и прием данных со спутника. Подобное решение является достаточно дорогим, как по части клиентского оборудования, так и по стоимости абонентской платы. В случае асимметричного доступа клиент осуществляет передачу запроса на получение требуемой информации по наземному каналу, а принимает информацию со спутника.
Бытовая электрическая сеть. Технология DPL (Digital Power Line), позволяет передавать голос и пакеты данных через простые электрические сети 120/220 В со скоростью до 1 Мбит/с.
Чтобы найти документ в сети Интернет, достаточно знать ссылку на него — так называемый универсальный указатель на ресурс URL (Uniform Resource Locator — унифицированный указатель ресурса), который указывает местонахождение каждого файла, хранящегося на компьютере, подключенном к Интернету. В URL, кроме имени файла и директории, где он находится, указывается сетевое имя компьютера, на котором этот ресурс расположен, и протокол доступа к ресурсу, который можно использовать для обращения к нему. В общем случае формат URL имеет вид: (протокол доступа) [: //< домен>: < порт> ](/< директория> < имя ресурса> [/< параметры запроса> ]. Первая часть URL соответствует используемому протоколу доступа, например HTTP: //, FTP: // и т.д. Вторая часть URL-адреса указывает доменное имя, а также может указывать номер порта. Третья часть URL-адреса — путь доступа к файлу — аналогичен пути к файлу на клиентском компьютере.
В число наиболее часто используемых служб Интернет входят электронная почта, WWW (World Wide Web — Всемирная паутина), служба новостей Интернет, передача файлов по протоколу FTP, терминальный доступ по протоколу Telnet и ряд других служб.
Электронная почта. Может быть прочитана в удобное время, возможность рассылки писем сразу большому количеству получателей, высокую скорость доставки, удобство пересылки вложенных файлов, электронная почта в несколько сот раз дешевле обычной почтовой рассылки. Адрес электронной почты имеет формат: имя пользователя @ имя домена. Для передачи писем используются протокол SMTP (Simple Mail Transfer Protocol — простой протокол пересылки почты) и соответственно SMTP-серверы. Для приема почтовых сообщений в настоящее время наиболее часто используется протокол РОРЗ (Post Office Protocol — протокол почтового офиса), который контролирует право пользователя забирать почту из ящика и поэтому требует предоставления имени пользователя и пароля. WWW В самом общем плане WWW — это система Web-серверов, поддерживающая документы, форматированные специальным образом. Служба WWW реализована в виде клиент-серверной архитектуры. Пользователь с помощью клиентской программы (браузера) осуществляет запрос той или иной информации на сервере, а Web-сервер обслуживает запрос браузера. Web-сервер — это программа, которая умеет получать http-запросы и выполнять в соответствии с этими запросами определенные действия, например запускать приложения и генерировать документы. Браузер — это программа, обеспечивающая обращение к искомому ресурсу на сервере по его URL, интерпретирующая полученный результат и демонстрирующая его на клиентском компьютере. В браузерах реализованы две основные функции: запрос информации у Web-сервера и отображение ее на клиентском компьютере. Кроме того, браузеры обладают дополнительными сервисными функциями, такими как упрощение поиска, хранение закладок, указывающих на избранные страницы, и др.
Протокол, по которому происходит доставка Web-сервером документа Web-браузеру, носит название HTTP (Hypertext Transfer Protocol — протокол передачи гипертекста). Гипертекст — это текст, содержащий гиперссылки, связывающие слова или картинки документа с другим ресурсом (с каким-нибудь еще документом или с иным разделом этого же документа), при этом подобные связанные слова или картинки документа, как правило, выделяются, обычно с помощью подчеркивания. Со временем понятие гипертекста было расширено до понятия гипермедиа. Гипермедиа — это метод организации мультимедийной информации на основе ссылок на разные типы данных.
Для поиска в Интернете предназначены различные инструменты: поисковые машины, индексированные каталоги, метапоисковые системы, тематические списки ссылок, онлайновые энциклопедии и справочники.
Индексированные каталоги содержат информацию, иерархически структурированную по темам. Тематические списки ссылок — это списки, составленные группой профессионалов или коллекционерами-одиночками. Поисковые машины. Качество поиска определяется двумя параметрами: точностью и полнотой поиска. Поисковая машина состоит из двух частей: робота, или паука, и поискового механизма. База данных робота формируется в основном им самим и в существенно меньшей степени — владельцами ресурсов, которые регистрируют свои сайты в поисковой машине. Помимо робота, который обходит все предписанные серверы и формирует базу данных, существует программа, определяющая рейтинг найденных ссылок. Принцип работы поисковой машины сводится к тому, что она опрашивает свою базу данных по ключевым словам, которые пользователь указывает в поле запроса, и выдает список ссылок, ранжированный по релевантности. Поиск по индексу заключается в том, что пользователь формирует запрос и передает его поисковой машине. Метапоисковые системы. существуют службы, позволяющие транслировать запрос сразу в несколько поисковых систем, — это метапоисковые системы. Онлайновые энциклопедии и справочники. Для поиска толкований слов. Рекомендации: 1. Используйте различные инструменты для поиска информации разного профиля. Поиск в каталоге дает представление о структуре вопроса, поисковая система позволяет найти конкретный документ. 2. Избегайте общих слов, осуществляя поиск в поисковой машине. Чем уникальнее ключевое слово, по которому осуществляется поиск, тем скорее вы его найдете. 3. Ищите больше чем по одному слову. Сократить объем ссылок можно, определив несколько ключевых слов. Используйте синонимы. 4. Не пишите прописными буквами. 5. Используйте функцию Найти похожие документы. 6. Пользуйтесь языком запросов. 7. Пользуйтесь расширенным запросом. 8. Пользуйтесь метапоисковыми системами, если по теме мало документов.
Компьютерная система (КС ) — организационно-техническая система, представляющую совокупность следующих взаимосвязанных компонентов: * технические средства обработки и передачи данных; *методы и алгоритмы обработки в виде соответствующего программного обеспечения; *данные — информация на различных носителях и находящаяся в процессе обработки; *конечные пользователи — персонал и пользователи, использующие КС с целью удовлетворения информационных потребностей; *объект доступа, или объект, — любой элемент КС, доступ к которому может быть произвольно ограничен (файлы, устройства, каналы); *субъект доступа, или субъект, — любая сущность, способная инициировать выполнение операций над объектом (пользователи, процессы).
Информационная безопасность — состояние КС, при котором она способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз и при этом не создавать таких угроз для элементов самой КС и внешней среды. Конфиденциальность информации — свойство информации быть доступной только ограниченному кругу конечных пользователей и иных субъектов доступа, прошедших соответствующую проверку и допущенных к ее использованию. Целостность информации — свойство сохранять свою структуру и содержание в процессе хранения, использования и передачи. Достоверность информации — свойство, выражаемое в строгой принадлежности информации субъекту, который является ее источником. Доступ к информации — возможность субъекта осуществлять определенные действия с информацией. Санкционированный доступ к информации — доступ с выполнением правил разграничения доступа к информации. Несанкционированный доступ (НСД) — доступ с нарушением правил разграничения доступа субъекта к информации, с использованием штатных средств (программного или аппаратного обеспечения), предоставляемых КС. Правила разграничения доступа — регламентация прав доступа субъекта к определенному компоненту системы. Идентификация — получение от субъекта доступа к сведениям (имя, учетный номер и т.д.), позволяющим выделить его из множества субъектов. Аутентификация — получение от субъекта сведений (пароль, биометрические параметры и т.д.), подтверждающих, что идентифицируемый субъект является тем, за кого себя выдает. Угроза информационной безопасности КС — возможность воздействия на информацию, обрабатываемую КС, с целью ее искажения, уничтожения, копирования или блокирования, а также возможность воздействия на компоненты КС, приводящие к сбою их функционирования. Уязвимость КС — любая характеристика, которая может привести к реализации угрозы. Атака КС — действия злоумышленника, предпринимаемые с целью обнаружения уязвимости КС и получения несанкционированного доступа к информации. Безопасная, или защищенная, КС — КС, снабженная средствами защиты для противодействия угрозам безопасности. Комплекс средств защиты — совокупность аппаратных и программных средств, обеспечивающих информационную безопасность. Политика безопасности — совокупность норм и правил, регламентирующих работу средств защиты от заданного множества угроз. Дискреционная модель разграничения доступа — способ разграничения доступа субъектов к объектам, при котором права доступа задаются некоторым перечнем прав доступа субъекта к объекту. Полномочная (мандатная) модель разграничения доступа — способ разграничения доступа субъектов к объектам, при котором каждому объекту ставится в соответствие уровень секретности, а каждому субъекту уровень доверия к нему. Субъект может получить доступ к объекту, если его уровень доверия не меньше уровня секретности объекта.
Классификация угроз может быть проведена по ряду базовых признаков: 1. По природе возникновения: объективные природные явления, не зависящие от человека; субъективные действия, вызванные деятельностью человека. 2. По степени преднамеренности: ошибки конечного пользователя или персонала; преднамеренного действия, для получения НСД к информации. 3. По степени зависимости от активности КС: проявляющиеся независимо от активности КС (вскрытие шифров, хищение носителей информации); проявляющиеся в процессе обработки данных (внедрение вирусов, сбор «мусора» в памяти, сохранение и анализ работы клавиатуры и устройств отображения). 4. По степени воздействия на КС: пассивные угрозы (сбор данных путем выведывания или подсматривания за работой пользователей); активные угрозы (внедрение программных или аппаратных закладок и вирусов для модификации информации или дезорганизации работы КС). 5. По способу доступа к ресурсам КС: получение паролей и прав доступа, используя халатность владельцев и персонала, несанкционированное использование терминалов пользователей, физического сетевого адреса, аппаратного блока кодирования и др.; обход средств защиты, путем загрузки посторонней операционной защиты со сменного носителя; использование недокументированных возможностей операционной системы. 6. По текущему месту расположения информации в КС: внешние запоминающие устройства; оперативная память; сети связи; монитор или иное отображающее устройство (возможность скрытой съемки работы принтеров, графопостроителей, световых панелей и т.д.).
В «Оранжевой книге» («Критерии оценки безопасности компьютерных систем», ) предложены три категории требований безопасности: политика безопасности, аудит (мониторинг производимых действий), корректность, в рамках которых сформулированы шесть базовых критериев безопасности.
Критерий 1. Политика безопасности. КС должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где это возможно, должно использоваться мандатное управление доступом, позволяющее эффективно разграничивать доступ к информации разной степени конфиденциальности. Критерий 2. Метки. Каждый объект доступа в КС должен иметь метку безопасности, используемую в качестве исходной информации для исполнения процедур контроля доступа. Критерий 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Доступ субъекта к ресурсам КС должен осуществляться на основании результатов идентификации и подтверждения подлинности их идентификаторов (аутентификация). Идентификаторы и аутентификационные данные должны быть защищены от НСД, модификации и уничтожения. Критерий 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение для поддержания конфиденциальности и целостности информации, должны отслеживаться и регистрироваться в защищенном объекте (файле-журнале). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность КС. Доступ к объекту аудита для просмотра должен быть разрешен только специальной группе пользователей — аудиторов. Запись должна быть разрешена только субъекту, олицетворяющему систему. Критерий 5. Контроль корректности функционирования средств защиты. Все средства защиты, обеспечивающие политику безопасности, должны находиться под контролем средств, проверяющих корректность их функционирования и быть независимыми от них. Критерий 6. Непрерывность защиты. Все средства защиты должны быть защищены от несанкционированного воздействия или отключения. Защита должна быть постоянной и непрерывной в любом режиме функционирования системы, защиты и КС. Это требование должно распространяться на весь жизненный цикл КС. Руководящие материалы представляют семь критериев защиты КС: 1. Защита КС основывается на положениях существующих законов, стандартов и нормативно-методических документов по защите информации. 2. Защита средств вычислительной техники обеспечивается комплексом программно-технических средств. 3. Защита КС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер. 4. Защита КС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. 5. Программно-технические средства не должны существенно ухудшать основные функциональные характеристики КС (надежность, производительность, возможность изменения конфигурации). 6. Оценка эффективности средств защиты, учитывающей всю совокупность технических характеристик, включая технические решения и практическую реализацию средств защиты. 7. Защита КС должна предусматривать контроль эффективности средств защиты от НСД, который может быть периодическим или включаться по мере необходимости пользователем или контролирующими органами.
Политика безопасности — качественное выражение свойств защищенности в терминах, представляющих систему. Политика безопасности для конкретной КС не должна быть чрезмерной — ужесточение защиты приводит к усложнению доступа пользователей к КС и увеличению времени доступа. Политика безопасности должна быть адекватна предполагаемым угрозам, и обеспечивать заданный уровень защиты. Политика безопасности включает: • множество субъектов; • множество объектов; • множество возможных операций над объектами; • множество разрешенных операций для каждой пары субъект- объект, являющееся подмножеством множества возможных состояний.
Существуют два типа политики безопасности: дискретная (дискреционная) и мандатная (полномочная). Основой дискретной политики безопасности является дискреционное управление доступом, которое определяется двумя свойствами: • все субъекты и объекты должны быть идентифицированы; • права доступа субъекта к объекту определяются на основе некоторого задаваемого набора правил. К достоинствам дискретной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты. К ее недостаткам относится статичность модели, не учитывающая динамику изменений состояния КС. Мандатная модель политики безопасности основывается на том, что: • все субъекты и объекты должны быть идентифицированы; • задан линейно упорядоченный набор меток секретности; • каждому объекту присвоена метка секретности, определяющая ценность содержащейся в ней информации — его уровень секретности; • каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему — его уровень доступа. Мандатная политика, назначением метки секретности объекту, однозначно определяет круг субъектов, имеющих права доступа к нему.
К основным направлениям реализации злоумышленником информационных угроз на локальной, изолированной или включенной в сеть КС можно отнести следующие: 1. Непосредственное обращение к объектам доступа. (подсмотр пароля, ндежда на ошибки в политеке безопасности) 2. Создание программных и технических средств, выполняющих обращение к объектам доступа. (Подбор паролей, просмотр жёсткого диска и т.д.) 3. Модификация средств защиты, позволяющая реализовать угрозы информационной безопасности. (подмена файлов подсистемы с целью изменения ее реакции на права доступа к объектам). 4. Внедрение в технические средства программных или технических механизмов, нарушающих структуру и функции КС.(клавиатурные шпионы, перепрограммирование ПЗУ) Приемы атак: 1. Сканирование файловой системы. Злоумышленник пытается просматривать файловую систему и прочесть, скопировать или удалить файлы. 2. Кража ключевой информации. Пароль может быть подсмотрен по движению рук на клавиатуре или снят видеокамерой. Известны случаи, когда для кражи пароля использовался съем отпечатков пальцев пользователя с клавиатуры. Кража внешнего носителя с ключевой информацией: диски или Touch Memory. 3. Сборка мусора. Информация, удаляемая пользователем, не удаляется физически, а только помечается к удалению и помещается в сборщик мусора. Если получить доступ к этой программе, можно получить и доступ к удаляемым файлам. 4. Превышение полномочий. Используя ошибки в системном программном обеспечении и/или политики безопасности, пользователь пытается получить полномочия, превышающие те, которые были ему выделены. 5. Программные закладки. Программы, выполняющие хотя бы одно из следующих действий: — внесение произвольных искажений в коды программ, находящихся в оперативной памяти (программная закладка первого типа); — перенос фрагментов информации из одних областей оперативной или внешней памяти в другие (программная закладка второго типа); — искажение информации, выводимой другими программами на внешние устройства или каналы связи (программная закладка третьего типа). 6. Жадные программы. Программы, преднамеренно захватывающие значительную часть ресурсов КС, в результате чего другие программы работают значительно медленнее или не работают вовсе. Часто запуск такой программы приводит к краху ОС. 7. Атаки на отказ в обслуживании (deny-of-service — DoS). Атаки DoS являются наиболее распространенными в компьютерных сетях и сводятся к выведению из строя объекта, а не к получению несанкционированного доступа. Они классифицируются по объекту воздействия: • перегрузка пропускной способности сети — автоматическая генерация, возможно, из нескольких узлов, большого сетевого трафика, которое полностью занимает возможности данного узла; • перегрузка процессора — посылка вычислительных заданий или запросов, обработка которых превосходит вычислительные возможности процессора узла; • занятие возможных портов — соединяясь с портами сервисов узла, занимает все допустимое число соединений на данный порт. Такие атаки могут быть обнаружены и устранены администратором путем выдачи запрета на прием пакетов от данного источника. Чтобы лишить администратора узла этой возможности, атака идет с множества узлов, на которые предварительно внедряется вирус. 8. Атаки маскировкой. Маскировка — общее название большого класса сетевых атак, в которых атакующий выдает себя за другого пользователя. 9. Атаки на маршрутизацию. Для достижения узла — жертвы в таких атаках применяется изменение маршрута доставки пакета. 10. Прослушивание сети (sniffing ). Различают межсегментный и внутрисегментный сниффинг. В первом случае устройство подслушивания должно быть размещено у входа или выхода взаимодействующих узлов или у одного из транзитных узлов. Для защиты от прослушивания, в основном, используются средства шифрования. При внутрисегментном прослушивании в равноранговой сети с общей шиной (Ethernet), в качестве прослушивающего устройства может использоваться одна из КС сети.
При создании защищенных КС используют фрагментарный и комплексный подход. Фрагментарный подход предполагает последовательное включение в состав КС пакетов защиты от отдельных классов угроз. Комплексный подход предполагает введение функций защиты в КС на этапе проектирования архитектуры аппаратного и системного программного обеспечения и является их неотъемлемой частью. При организации доступа субъектов к объектам выполняются следующие действия: • идентификация и аутентификация субъекта доступа; • проверка прав доступа субъекта к объекту; • ведение журнала учета действий субъекта.
1 идентификация и аутентификация субъекта. Эти две операции обычно выполняются вместе, т.е., пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация), а затем сообщает секретные сведения, подтверждающие, что он тот, за кого себя выдает. Для аутентификации субъекта чаще всего используются атрибутивные идентификаторы, которые делятся на следующие категории: • пароли; • съемные носители информации; • электронные жетоны; • пластиковые карты; • механические ключи. Паролем называют комбинацию символов, которая известна только владельцу пароля или, возможно, администратору системы безопасности.
Популярное:
|
Последнее изменение этой страницы: 2016-04-10; Просмотров: 667; Нарушение авторского права страницы