Службы информационной безопасности
Аннотация: Рассмотрены основные службы безопасности, проблемы конфиденциальности информации, ее целостности и доступности в компьютерных системах.
Службы информационной безопасности являются службами базового уровня, которые используются для противостояния атакам, описанным в «Категории атак» . Каждая из этих служб направлена на борьбу с определенным типом атак (см. табл. 4.1). Службы, о которых мы расскажем в данной лекции, не следует путать с фактическими механизмами безопасности , реализованными в них.
Особенности использования служб информационной безопасности в рамках отдельной организации зависят от уровня оценки риска в этой организации и планирования системы безопасности (см. «Управление риском» и «Обеспечение информационной безопасности» ). Знание базовых требований к безопасности позволяет грамотно использовать соответствующие службы для противостояния атакам.
| Атаки | Службы безопасности | |||
|---|---|---|---|---|
| Конфиденциальность | Целостность | Доступность | Идентифицируемость | |
| Доступа | X | X | ||
| Модификации | X | X | ||
| Отказ в обслуживании | X | |||
| Отказ от обязательств | X | X | ||
Конфиденциальность
Служба конфиденциальности обеспечивает секретность информации. Правильно сконфигурированная, эта служба открывает доступ к информации только аутентифицированным пользователям. Ее надежная работа зависит от службы обеспечения идентификации и однозначного определения подлинности лиц. Выполняя эту функцию, служба конфиденциальности ограждает системы от атак доступа. Служба конфиденциальности должна учитывать различные способы представления информации — в виде распечаток, файлов или пакетов, передающихся по сетям.
В процессе обсуждения вы часто будете сталкиваться с рекомендациями по должному определению подлинности лиц. Как ничто другое, это служит иллюстрацией того, что все системы безопасности находятся в тесной взаимосвязи друг с другом. Ни одна из служб не может работать автономно. Поэтому при реализации готовых программных продуктов возможно возникновение сбоев в работе систем информационной безопасности.
Обеспечение конфиденциальности файлов
Существуют различные способы обеспечения секретности документов в зависимости от их вида. Бумажные документы нужно защищать физически, т. е. хранить в отдельном месте, доступ к которому контролируется службой конфиденциальности. Не следует забывать о таких вещах, как запирание картотек и ящиков столов, ограничение доступа в кабинеты внутри офиса или в сам офис .
В работе с электронными документами имеются свои тонкости. Во-первых, файлы могут храниться одновременно в нескольких местах: на внешних запоминающих устройствах большой емкости (жестких дисках или магнитных лентах), на гибких дисках, zip-дисках или компакт-дисках. Во вторых, физический доступ к месту хранения файлов не обязателен. Сохранение конфиденциальности магнитных лент и дисков аналогично защите бумажных документов и связано с ограничением физического доступа . Контроль над файлами в компьютерных системах осуществляют системы управления доступом (это может быть шифрование файла). Работа этих систем зависит от надежной идентификации и аутентификации пользователя и правильной конфигурации, исключающей обход защитных механизмов через уязвимые места системы. В табл. 4.2 показаны механизмы обеспечения конфиденциальности файлов и требования к ним.
| Механизмы обеспечения конфиденциальности | Контроль физической безопасности . |
| Контроль доступа к файлам на компьютере. | |
| Шифрование файлов. | |
| Требования к конфиденциальности файлов | Идентификация и аутентификация . |
| Правильная настройка компьютерной системы. | |
| Правильное управление ключами при использовании шифрования. |
5.6. Службы безопасности лвс.
Защита информации в компьютерных сетях становится одной из самых острых проблем в современной информатике. Сформулировано три базовых принципа информационной безопасности, которая должна обеспечить:
- целостность данных (защиту от сбоев, ведущих к потере информации, а также неавторизированного создания или уничтожения данных);
- конфиденциальность информации;
- доступность информации для всех авторизированных пользователей.
- общесистемное программное обеспечение (ОС, СУБД, офисные приложения и т.п.);
- прикладное программное обеспечение;
- информационное обеспечение (БД, файлы).
- администраторы ЛВС;
- пользователи, допущенные к обработке информации ЛВС;
- технический персонал, обслуживающий вычислительную технику, но не допущенный к обработке информации в ЛВС в повседневной деятельности;
- удаленные пользователи, не допущенные к обработке информации в ЛВС;
- разработчики программного обеспечения и вычислительной техники, используемых в ЛВС.
- копирование, уничтожение или подделка информации;
- ознакомление с конфиденциальной информацией посторонних лиц.
- случайное уничтожение или изменение данных;
- некорректное использование программное обеспечения, ведущее к уничтожению или изменению данных.
- при ошибках в программном обеспечении или внесении в него недекларированных возможностей;
- при заражении системы компьютерными вирусами.
- кабельной системы;
- электропитания;
- дисковых систем;
- систем архивации данных;
- серверов, рабочих станций, сетевых карт и т.п.
- перехват побочных электромагнитных излучений;
- перехват в радиосетях;
- принудительное магнитное облучение (подсветка) линий связи с целью паразитной модуляции несущей частоты;
- применение подслушивающих устройств (закладок);
- перехват акустических излучений и восстановление текста принтера;
- хищение носителей информации;
- копирование информации с ее носителей с преодолением средств защиты;
- маскировка под зарегистрированного пользователя;
- маскировка под запросы системы;
- использование программных ловушек;
- незаконное подключение к аппаратуре и линиям связи;
- злоумышленных вывод из строя средств защиты;
- внедрение и использование компьютерных вирусов.
- искажение информации в файлах либо таблицы разрешения файлов, которое может привести к разрушению файловой системы в целом;
- имитация сбоев программных средств;
- создание визуальных и звуковых эффектов, включая отображения сообщений, вводящих операторов в заблуждение или затрудняющих их работу;
- инициирование ошибок в программах пользователей или операционных систем.
- физическая защита кабельной системы, электропитания, средств архивации, дисковых массивов и т.д.;
- организация мер защиты вычислительной техники, кадровый подбор и расстановка персонала, контроль доступа в помещения и парольная защита компьютеров, планы действия в чрезвычайных ситуациях и т.д.;
- программно-технические средства защиты информации, вычислительной техники и систем передачи данных, а именно – средства защиты от НСД (средства поиска и обнаружения закладных устройств НСД к информации); межсетевые экраны; средства шифрования (криптографии) информации, передаваемой по каналам связи; электромагнитное управление техники или помещений, в которых расположена техника; активная радиотехническая маскировка с использованием широкополосных генераторов шума; электронно-сетевая подпись; антивирусные программы; системы разграничения доступа; системы мониторинга и анализа уязвимости ЛВС.
- аутентификация (подтверждение подлинности);
- обеспечение целостности передаваемых данных;
- контроль доступа;
- защита от отказов.
- создание системы безопасности, построенной на базе каналов связи и средств коммутации территориальных сетей связи общего использования, в которых применяются открытые протоколы Internet;
- отказ от средств Internet, создание локальной сети на базе специализированной или выделенной сети связи с использованием конкретной сетевой технологии, в частности ATM, FR, ISDN.