Бройдо В.Л., Ильина О.П. Архитектура ЭВМ и систем (2006) (1186249), страница 155
Текст из файла (страница 155)
Все угрозы информационным системам можно объединить в обобщающие их три группы: 1. Угроза раскрытия — возможность того, что информация станет известной тому, кому не следовало бы ее знать. 2. Угроза целостности — умышленное несанкционированное изменение (модификация нли удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. 3.
Угроза отказа в обслуживании — опасность появления блокировки доступа к некоторому ресурсу вычислительной системы. Методы обеспечения информационной безопасности в зависимости от способа из реализации можно разделить на следующие классы; О оргапизационные методы, подразумевающие рациональное конфигурирование, организацию и администрирование системы. В первую очередь это касается сетевых информационных систем, операционных систем, полномочий сетевого администратора, набора обязательных инструкций, определяющих порядок доступа и работы в сети; О технологические методы, включающие в себя технологии выполнения сетевого администрирования, мониторинга и аудита безопасности информационных ресурсов, ведения электронных журналов регистрации пользователей, фильтрации и антивирусной обработки поступаюгцей информации; 684 Глава 30.
Безопасность информационных систем ьг аппаратные методы, реализующие физическую защиту системы от несанкционированного доступа, аппаратные функции идентификации периферийных терминалов системы и пользователей, режимы подключения сетевых компоментов и т. д.; О программные методы — это самые распространенные методы защиты информации (например, программы идентификации пользователей, парольной защиты и проверки полномочий, брандмауэры, криптопротоколы и т. д.). Без использования программной составляющей практически не выполнимы никакие, в том числе и первые три группы методов (то есть в чистом виде организационные, технологические и аппаратные методы зашиты, как правило, реализованы быть не могут — все они содержат программный компонент).
При этом следует иметь в виду, вопреки распространенному иному мнению, что стоимость реализации многих программных системных решений по заШите информации сушественно превосходит по затратам аппаратные, технологические и тем более организационные решения (конечно, если использовать лицензионные, а не «пиратские» программы). Наибольшее внимание со стороны разработчиков и потребителей в настоящее время вызывают следующие направления защиты информации и соответствуюшие им программно-технические средства защиты; (:г от несанкционированного доступа информационных ресурсов автономно работаюших и сетевых компьютеров. Наиболее остро проблема стоит для серверов и пользователей Интернета и интранет-сетей.
Эта функция реализуется многочисленными программными, программно-аппаратными и аппаратными средствами; (:) секретной, конфиденциальной и личной информации от чтения посторонними лицами и целенаправленного ее искажения. Эта функция обеспечивается как средствами зашиты от несанкционированного доступа, так и с помощью криптографических средств, традиционно выделяемых в отдельный класс; О информационных систем от многочисленных компьютерных вирусов, способных не только разрушить информацию, но иногда и повредить технические компоненты системы (например, НазЬ В10Б). Активно развиваются также средства защиты от утечки информации по цепям питания, каналам электромагнитного излучения компьютера или монитора (применяется экранирование помещений, использование генераторов шумовых излучений, специальный подбор мониторов и комплектующих компьютера, обладающих наименьшим излучением), средства заШиты от электронных «жучков», устанавливаемых непосредственно в комплектуюШие компьютера, и т, д.
Защита информации от несанкционированного доступа Зашита от несанкционированного доступа к ресурсам компьютера — это ком- плексная проблема, подразумевающая решение следующих вопросов: Защита информации ог несанкционированного доступа С3 присвоение пользователю, а равно и терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов); (З выполнение процедур уппагговления подлинности при обращениях (доступе) к информационной системе и запрашиваемой информации, то есть проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует (цодлинная идентификация программ, терминалов и пользователей цри доступе к системе чаще всего выполняется путем проверки паролей, реже — обращением в специальную службу, ведающую сертификацией пользователей); С3 проверку полномочий, то есть проверку права пользователя на доступ к системе или запрашиваемым данным (на выполнение над ними определенных операций — чтение, обновление) с целью разграничения прав доступа к сетевым и компьютерным ресурсам; 1З автоматическую регистрацию в специальггом журнале всех как удовлетворенных, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, то есть ведение журналов аудита, позволяющих определить, через какой хост- компьютер действовал хакер, а иногда и определить его 1Р-адрес и точное местоположение.
В литературе имеются рекомендации но количественной оценке параметров систем защиты информации. В руководящих документах Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систелг и требования к загните информации» и «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (1998 год) рекомендовано для оценки защиты информации от несанкционированного доступа использовать показатели: О Р« — вероятность попадания информации абоненту, которому она не предназначена; (;1 Р, — вероятность непрохождения сигнала тревоги. При оптимизации систем защиты информации удобнее использовать вместо вероятностей Р, и Р, коэффициенты К, = Р„/Рвр и К, = Р,/Р„вн где Р,вр — вероятность появления несанкционированного обращения (К«и К, — условные вероятности означенных событий цри условии возникновения несанкционированного обращения).
В этих же руководящих документах предлагается определить пять классов конфиденциальности информации: 0 1 — особо секретная; С] 2 — совершенно секретная; ' Уже используются и экзотические аппаратно-программные системы биометрической илентификацин пользователей (мыши и клавиатуры с функцией дактилоскопической идентификации, системы опознавания пользователя по голосу, по видеоизображению, в том числе ло сетчатке н радужной оболочке глаз, и т. п.).
Глава 30. Безопасность информационных систем П 3 — секретная; ьг 4 — конфиденциальная; Н 5 — открытая. Для каждого класса рекомендованы значения показателей Р, и Р, (табл. 30.1). Таблица 30.1. Рекомендуемые классы конфиденциальности информации Защита сетей на базе МЗ И!произ МТ/2000 Зегюег Сетевые операционные системы Ж!пботчз ХТг 2000 используют единую схему аудита, проверки подлинности и полномочий пользователя: О пользователь указывает имя своей учетной записи и пароль только один раз во время входа в систему, а затем получает доступ ко всем информационным ресурсам корпоративной сети; 13 администратор ограничивает доступ к данным, модифицируя списки прав доступа к ресурсам; О доступ пользователей к документам контролируется посредством аудита.
В частности, каждому пользователю в сети соответствует персональная учетная запись, параметры которой определяют его права и обязанности в домене. Учетная запись содержит такую информацию о пользователе, как его имя, пароль или ограничения на доступ к ресурсам. Учетные записи бывают двух типов: глобальные и локальные. Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на весь домен. При регистрации по локальной учетной записи пользователь получает доступ только к ресурсам данного компьютера. Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, обратившись к своей глобальной учетной записи. Если сеть состоит из нескольких доменов и между ними установлены доверительные отношения, то возможна так называемая сквозная регистрация, то есть пользователь, отмечаясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у пего нет персональной учетной записи.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
