Классификация методов и средств обеспечения безопасности

 

Метод защиты информации: порядок и правила применения определенных принципов и средств защиты информации. Средство защиты информации: техническое, программное средство, вещество и материал, предназначенные или используемые для защиты информации.

Для организации защиты информации в компьютерных сетях важным вопросом является классификация методов и средств защиты, которые позволяют воспрепятствовать ее использованию. Методами обеспечения защиты информации являются следующие: регламентация, препятствие, маскировка информации, противодействие вирусам, управление доступом, принуждение и побуждение.

Препятствие - это метод, при котором пути злоумышленнику к защищаемой информации преграждаются физически, например, к аппаратуре, носителям информации. Регламентация заключается в реализации системы организационных мероприятий, которые определяют все стороны процесса обработки информации. Этот метод создает такие условия автоматизированной обработки, передачи и хранения информации, при которых возможность несанкционированного доступа к ней сводится к минимуму.

Управление доступом - этот метод защиты информации регулирует использование всех ресурсов автоматизированной информационной системы организации и включает следующие функции защиты:

Идентификацию пользователей, персонала и ресурсов информационной системы, то есть присваивает каждому объекту персональный идентификатор.

Аутентификацию, то есть устанавливает подлинность объекта или субъекта по предъявленному им идентификатору.

Регистрацию или, говоря другими словами, протоколирование обращений к защищаемым ресурсам.

Проверку полномочий, таких как проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур в соответствии с установленным регламентом.

Разрешение и создание условий работы в пределах установленного регламента.

Реагирование при попытках несанкционированных действий (сигнализация, отключение, задержка работ, отказ в запросе). Маскировка информации - метод защиты информации путем ее криптографического закрытия. Механизмы шифрования все шире применяются при обработке и хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности только этот метод является единственно надежным.

Противодействие вирусам предполагает комплексное использование организационных мер и антивирусных программ. Целью принимаемых мер является уменьшение вероятности инфицирования информационно-вычислительной системы, уменьшение последствий информационных инфекций, локализация или уничтожение вирусов, восстановление информации. Принуждение - такой метод защиты информации, при котором пользователей и персонал системы вынуждают соблюдать правила обработки, использования и передачи защищаемой информации под угрозой административной, материальной или уголовной ответственности.

Побуждение - такой метод защиты информации, который за счет соблюдения сложившихся моральных и этических норм побуждает пользователей системы не нарушать установленные правила.

Указанные методы обеспечения информационной безопасности реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства: физические, аппаратные, программные, аппаратно-программные, организационные, морально-этические и законодательные.

Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и включают в себя разнообразные инженерные устройства и сооружения, которые препятствуют проникновению злоумышленников на объекты защиты.

Аппаратные средства защиты - это электронные, электромеханические и другие устройства, непосредственно встроенные в вычислительную технику или самостоятельные устройства, которые сопрягаются с ней по стандартному интерфейсу. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи.

Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития.

Криптографические программы основаны на использовании методов шифрования информации. Такие методы очень надежны и значительно повышают безопасность передачи информации в сетях.

Аппаратно-программные средства защиты - средства, в которых программные и аппаратные части полностью взаимосвязаны и неразделимы. Они совмещают высокую производительность аппаратно-реализованных систем и гибкость настройки программных.

Организационные средства - это действия общего характера, предпринимаемые руководством организации. Они регламентируют процессы функционирования и использование ресурсов системы обработки данных, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности, а в случае их реализации снизить размер потерь.

Правовые меры защиты носят преимущественно упреждающий, профилактический характер. Основной целью их является предупреждение и сдерживание потенциальных нарушителей. Законодательные и морально-этические меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение. Они являются универсальными, так как могут применяться для всех каналов проникновения и несанкционированный доступ к информации.

Наилучшие результаты достигаются при системном подходе к вопросам безопасности компьютерных систем и комплексном использовании определенных совокупностей различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования.

Рассмотрим конкретные методы и средства защиты, которые используются в компьютерных сетях.

Парольная защита основывается на том, что для того, чтобы использовать какой-либо ресурс, необходимо задать пароль. С помощью паролей защищаются файлы, архивы, программы и отдельные компьютеры. У парольной защиты есть недостатки - это слабая защищенность коротких паролей, которые с помощью специальных программ можно быстро раскрыть простым перебором.

Идентификацию и аутентификацию пользователей можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация представляет собой процедуру распознавания пользователя (процесса) по его имени. Аутентификация - это процедура проверки подлинности пользователя, аппаратуры или программы для получения доступа к определенной информации или ресурсу.

Криптографические методы защиты основываются на шифровании информации и программ. Готовое к передаче сообщение - будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным текстом. Такое сообщение в процессе передачи по незащищенным каналам связи может быть легко перехвачено. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуюсь в закрытый текст. Санкционированный пользователь, получив сообщение, дешифрует его обратным преобразованием криптограммы. В результате чего получается исходный открытый текст.

В последнее время получила распространение разновидность симметричного шифрования, основанная на использовании составных ключей. Идея состоит в том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама по себе не позволяет выполнить расшифровку. Если у правоохранительных органов появляются подозрения относительно лица, использующего некоторый ключ, они могут получить половинки ключа и дальше действовать обычным для симметричной расшифровки образом.

Шифрование программ гарантирует невозможность внесения в них изменений. Криптографическая защита данных осуществляется и при хранении данных, и при передаче их по сети. В настоящее время возможна как программная, так и аппаратная реализация криптографии.

Различные модификации этого метода применительно к сети могут требовать или выполнение всех операций на конкретном компьютере, или активного соединения сети с конкретным компьютером. Метод «привязки» может значительно повысить защищенность сети.

Разграничение прав доступа пользователей к ресурсам сети. Этот метод основан на использовании наборов таблиц, которые определяют права пользователей. Они построены по правилам «разрешено все, кроме» или «разрешено только». Таблицы по паролю или идентификатору пользователя определяют его права доступа к дискам, файлам, операциям чтения, записи, копирования, удаления и другим сетевым ресурсам. Такое разграничение доступа определяется, как правило, возможностями ОС.

Мандатная модель разграничения доступа предполагает назначение объекту метки (грифа) секретности, а субъекту - уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил «не читать выше» и «не записывать ниже». Использование мандатной модели, в отличие от дискреционного управления доступом, предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.

Протоколирование и аудит состояния системы безопасности составляют основу обеспечения безопасности корпоративной сети. Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

Реализация протоколирования и аудита преследует следующие главные цели:

Обеспечение подотчетности пользователей и администраторов - обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений. Тем самым обеспечивается целостность информации;

Обеспечение возможности реконструкции последовательности событий - позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе;

Обнаружение попыток нарушений информационной безопасности;

Предоставление информации для выявления и анализа проблем - позволяют помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита используются для формирования стратегии развития системы для защиты информации в организации. Необходимо помнить, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу, и способствовать повышению уровня информационной безопасности компании.

Межсетевое экранирование

При подключении корпоративной сети к открытым сетям, например, к сети интернет, появляются угрозы несанкционированного вторжения в закрытую (внутреннюю) сеть из открытой (внешней), а также угрозы несанкционированного доступа из закрытой сети к ресурсам открытой. Подобный вид угроз характерен также для случая, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации разного уровня секретности.

Нарушитель через открытую внешнюю сеть может вторгнуться в сеть организации и получить доступ к техническим ресурсам и конфиденциальной информации, получить пароли, адреса серверов, а иногда и их содержимое, войти в информационную систему организации под именем зарегистрированного пользователя и т.д.

Угрозы несанкционированного доступа из внутренней сети во внешнюю сеть являются актуальными в случае ограничения разрешенного доступа во внешнюю сеть правилами, установленными в организации.

Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. Прозрачность - это видимость МЭ как внутренним пользователям, так и внешним, осуществляющим взаимодействие через МЭ, который прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно МЭ конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу), и, с другой стороны, МЭ конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.

 

⇐ Предыдущая1234Следующая ⇒

Поделиться: