несанкционированным доступом

Реклама
Лекция №14. Проектирование процессов защиты
данных
Учебные вопросы
1. Основные понятия и методы защиты данных.
2. Проектирование системы защиты данных в ИБ.
Вопрос №1
Предпосылки повышения уязвимости информации
1. Увеличение объемов информации, накапливаемой,
хранимой и обрабатываемой с помощью компьютеров и
других средств автоматизации;
2. Сосредоточение в единых базах данных информации
различного назначения и принадлежности;
3. Расширение круга пользователей, имеющих
непосредственный доступ к ресурсам вычислительной
системы и информационной базы;
4. Усложнение режимов работы технических средств
вычислительных систем, широкое внедрение
мультипрограммного режима, а также режима разделения
времени;
5. Автоматизация межмашинного обмена информацией, в
том числе на больших расстояниях.
Вопрос №1
Задача проектировщиков – создание системы обеспечения
безопасности хранимых данных, предусматривающей
меры обеспечения безопасности, направленные на
предотвращение несанкционированного получения
информации, физического уничтожения или
модификации защищаемой информации.
Вопрос №1
Под «угрозой безопасности информации» понимается
действие или событие, которое может привести к
разрушению, искажению или несанкционированному
использованию информационных ресурсов, включая
хранимую, передаваемую и обрабатываемую
информацию, а также программные и обрабатываемые
средства.
Вопрос №1
К основным видам угроз безопасности хранимой информации относятся:
• копирование и кража программного обеспечения;
• несанкционированный ввод данных;
• изменение или уничтожение данных на магнитных
носителях;
• саботаж;
• кража информации;
• раскрытие конфиденциальной информации, используя
несанкционированный доступ к базам данных,
прослушивание каналов и т.п.;
Вопрос №1
К основным видам угроз безопасности хранимой информации относятся:
•
•
компрометация информации посредством внесения
несанкционированных изменений в базы данных, в
результате чего ее потребитель вынужден либо
отказаться от нее, либо предпринимать
дополнительные усилия для выявления изменений и
восстановления истинных сведений;
несанкционированное использование
информационных ресурсов, которое может нанести
определенный ущерб, и этот ущерб может
варьироваться от сокращения поступления
финансовых средств до полного выхода ЭИС из строя;
Вопрос №1
К основным видам угроз безопасности хранимой информации относятся:
•
•
ошибочное использование информационных ресурсов,
которое может привести к их разрушению, раскрытию
или компрометации, что является следствием ошибок,
имеющихся в программном обеспечении ЭИС;
несанкционированный обмен информацией между
абонентами, который может привести к получению
одним из них сведений, доступ к которым ему
запрещен, что по своим последствиям равносильно
раскрытию содержания хранимой информации;
Вопрос №1
К основным видам угроз безопасности хранимой информации относятся:
•
отказ в обслуживании, представляющий собой угрозу,
источником которой может являться ЭИС, особенно
опасен в ситуациях, когда задержка с
предоставлением информационных ресурсов,
необходимых для принятия решения, может стать
причиной нерациональных действий руководителей
предприятия.
Вопрос №1
Под несанкционированным доступом понимается
нарушение установленных правил разграничения
доступа, последовавшее в результате случайных или
преднамеренных действий пользователей или других
субъектов системы разграничения, являющейся
составной частью системы защиты информации.
Вопрос №1
Субъекты, совершившие несанкционированный доступ к
информации, называются нарушителями.
Нарушителем может быть любой человек из следующих
категорий:
1.
штатные пользователи ЭИС;
2.
сотрудники-программисты, сопровождающие
системное, общее и прикладное программное
обеспечение системы;
3.
обслуживающий персонал (инженеры);
4.
другие сотрудники, имеющие санкционированный
доступ к ЭИС.
Вопрос №1
Действия нарушителя
категории:
можно
разделить
на
четыре
основные
1. Прерывание - прекращение нормальной обработки информации,
например, вследствие разрушения вычислительных средств.
2. Кража, или раскрытие, - чтение или копирование информации с
целью получения данных, которые могут быть использованы либо
злоумышленником, либо третьей стороной.
3. Видоизменение информации.
4. Разрушение - необратимое изменение информации, например
стирание данных с диска.
Вопрос №1
Для обеспечения защиты хранимых данных используется
следующие способы защиты:
1.
2.
3.
4.
физические (препятствие);
законодательные;
управление доступом;
криптографическое закрытие.
Вопрос №1
Физические способы защиты основаны на создании
физических препятствий для злоумышленника,
преграждающих ему путь к защищаемой информации
(строгая система пропуска на территорию и в
помещения с аппаратурой или с носителями
информации). Эти способы дают защиту только от
«внешних» злоумышленников и не защищают
информацию от тех лиц, которые обладают правом
входа в помещение.
Вопрос №1
Законодательные
средства
защиты
составляют
законодательные акты, которые регламентируют
правила использования и обработки информации
ограниченного доступа и устанавливают меры
ответственности за нарушение этих правил.
Вопрос №1
Управление доступом представляет способ защиты
информации путем регулирования доступа ко всем
ресурсам системы (техническим, программным,
элементам баз данных). В автоматизированных
системах для информационного обеспечения должны
быть регламентированы порядок работы
пользователей и персонала, право доступа к
отдельным файлам в базах данных и т. д.
Вопрос №1
Криптографические методы защиты информации. Эти
методы защиты широко применяются за рубежом как
при обработке, так и при хранении информации, в
том числе на дискетах.
Для реализации мер безопасности используются различные
способы шифрования (криптографии), суть которых
заключается в том, что данные, отправляемые на
хранение, или сообщения, готовые для передачи,
зашифровываются и тем самым преобразуются в
шифрограмму или закрытый текст.
Санкционированный пользователь получает данные
или сообщение, дешифрует их или раскрывает
посредством обратного преобразования
криптограммы, в результате чего получается
исходный открытый текст.
Вопрос №1
Криптографические методы защиты информации. Эти
методы защиты широко применяются за рубежом как
при обработке, так и при хранении информации, в
том числе на дискетах.
Для реализации мер безопасности используются различные
способы шифрования (криптографии), суть которых
заключается в том, что данные, отправляемые на
хранение, или сообщения, готовые для передачи,
зашифровываются и тем самым преобразуются в
шифрограмму или закрытый текст.
Санкционированный пользователь получает данные
или сообщение, дешифрует их или раскрывает
посредством обратного преобразования
криптограммы, в результате чего получается
исходный открытый текст.
Вопрос №2
Для разработки системы защиты информации проектировщикам
необходимо выполнить следующие виды работ:
•
на предпроектной стадии определить особенности
хранимой информации, выявить виды угроз и утечки
информации и оформить ТЗ на разработку системы;
•
на стадии проектирования выбрать концепцию и
принципы построения системы защиты и разработать
функциональную структуру системы защиты;
•
выбрать механизмы - методы защиты, реализующие
выбранные функции;
Вопрос №2
Для разработки системы защиты информации проектировщикам
необходимо выполнить следующие виды работ:
•
разработать программное, информационное,
технологическое и организационное обеспечение
системы защиты;
•
провести отладку разработанной системы;
•
разработать пакет технологической документации;
Вопрос №2
Для разработки системы защиты информации проектировщикам
необходимо выполнить следующие виды работ:
•
осуществить внедрение системы;
•
проводить комплекс работ по эксплуатации и
администрированию системы защиты.
Вопрос №2
На стадии предпроектного обследования объекта выполняются следующие
операции:
•
устанавливается наличие секретной
(конфиденциальной) информации в
разрабатываемой ЭИС, оцениваются уровень
конфиденциальности и объемы такой информации;
•
определяются режимы обработки информации
(диалоговый, телеобработки и режим реального
времени), состав комплекса технических средств,
общесистемные программные средства и т.д.;
Вопрос №2
На стадии предпроектного обследования объекта выполняются следующие
операции:
•
анализируется возможность использования
имеющихся на рынке сертифицированных средств
защиты информации;
•
определяются степень участия персонала,
специалистов и вспомогательных работников объекта
автоматизации в обработке информации, характер
взаимодействия между собой и со службой
безопасности;
•
определяется состав мероприятий по обеспечению
режима секретности на стадии разработки.
Вопрос №2
На стадии проектирования выявляется все множество
каналов несанкционированного доступа путем
анализа
•
технологии хранения, передачи и обработки
информации,
•
определенного порядка проведения работ,
•
разработанной системы защиты информации,
•
выбранной модели нарушителя.
Вопрос №2
Создание базовой системы защиты информации в ЭИС в целом и для
информационной базы, в частности, должно основываться на главных
принципах:
•
Комплексный подход к построению системы защиты,
означающий оптимальное сочетание программных,
аппаратных средств и организационных мер защиты.
•
Разделение и минимизация полномочий по доступу к
обрабатываемой информации и процедурам
обработки.
•
Полнота контроля и регистрация попыток
несанкционированного доступа.
Вопрос №2
Создание базовой системы защиты информации в ЭИС в целом и для
информационной базы, в частности, должно основываться на главных
принципах:
•
Обеспечение надежности системы защиты, т.е.
невозможность снижения уровня надежности при
возникновении в системе сбоев, отказов,
преднамеренных действий нарушителя или
непреднамеренных ошибок пользователей и
обслуживающего персонала.
•
«Прозрачность» системы защиты информации для
общего, прикладного программного обеспечения и
пользователей ЭИС.
Вопрос №2
Система безопасности делится на две части:
внутреннюю и внешнюю.
Во внутренней части осуществляется в основном контроль доступа
путем идентификации и аутентификации пользователей при
допуске в сеть и доступе в базу данных. Помимо этого
шифруются и идентифицируются данные во время их передачи
и хранения.
Безопасность во внешней части системы в основном достигается
криптографическими средствами. Аппаратные средства защиты
реализуют функции разграничения доступа, криптографии,
контроля целостности программ и их защиты от копирования во
внутренней части, хорошо защищенной административно.
Как правило, для организации безопасности данных в ИБ используется
комбинация нескольких методов и механизмов.
Скачать