Программно технический уровень информационной безопасности

Программно технический уровень информационной безопасности

Основные программно-технические меры безопасности информации 1

1. Основные понятия программно-технического уровня информационной безопасности 1

2. Особенности современных информационных систем, существенные с точки зрения безопасности 4

3. Архитектурная безопасность 6

(3.1) принципы архитектурной безопасности: 7

(3.2) Для обеспечения высокой доступности (непрерывности функционирования) 8

Источник

Основы информационной безопасности. В.А. Галатенко. Основные программно-технические меры [http://www.intuit.ru/department/security/secbasics/class/free/9/]

1. Основные понятия программно-технического уровня информационной безопасности

Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей — оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности.Напомним, чтоущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги -некомпетентностьинеаккуратностьпривыполнении служебных обязанностей, итолько программно-технические меры способны им противостоять.

Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них иобеспечение собственной безопасности.Дажефизическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам,что позволяет одновременноотслеживать перемещения сотрудников и по организации, и по информационному пространству.

Это вторая причина, объясняющая важность программно-технических мер.

Следует, однако, учитывать, что быстроеразвитие информационных технологийне толькопредоставляет обороняющимся новые возможности, но и объективнозатрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня.Причинтому несколько:

повышениебыстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяетметодом грубой силы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными;

развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналоврасширяют круг злоумышленников, имеющих техническую возможность организовывать атаки;

появление новых информационных сервисов ведет и к образованиюновых уязвимых мест как "внутри" сервисов, так ина их стыках;

конкуренция среди производителей программного обеспечениязаставляет сокращать сроки разработки, что приводит кснижению качества тестированияи выпуску продуктовс дефектами защиты;

навязываемая потребителям парадигма постоянного наращивания мощности аппаратного и программного обеспеченияне позволяет долго оставаться в рамках надежных, апробированных конфигураций и, кроме того, вступает в конфликт с бюджетными ограничениями, из-за чего снижается доля ассигнований на безопасность.

Перечисленные соображения лишний раз подчеркиваютважность комплексного подхода к информационной безопасности, а также необходимостьгибкой позиции при выборе и сопровождении программно-технических регуляторов.

Центральным для программно-технического уровня являетсяпонятиесервиса безопасности.

Следуя объектно-ориентированному подходу, при рассмотренииинформационной системыс единичным уровнем детализации мы увидимсовокупностьпредоставляемых еюинформационных сервисов. Назовем ихосновными. Чтобы они могли функционировать и обладали требуемыми свойствами,необходимонесколько уровнейдополнительных(вспомогательных)сервисов- отСУБД и мониторов транзакций до ядра операционной системы и оборудования.

К вспомогательным относятся сервисы безопасности (мы уже сталкивались с ними при рассмотрении стандартов и спецификаций в области ИБ); среди них нас в первую очередь будут интересоватьуниверсальные,высокоуровневые, допускающиеиспользование различными основными и вспомогательными сервисами. Далее мы рассмотрим следующиесервисы:

идентификация и аутентификация;

протоколирование и аудит;

обеспечение безопасного восстановления;

Будут описанытребования к сервисам безопасности, их функциональность, возможные методы реализации и место в общей архитектуре.

Еслисопоставить приведенный перечень сервисов с классами функциональных требований "Общих критериев", то бросается в глаза их существенное несовпадение. Мы не будем рассматривать вопросы, связанные с приватностью, по следующей причине. На наш взгляд, сервис безопасности, хотя бы частично, должен находиться в распоряжении того, кого он защищает. В случае же с приватностью это не так: критически важные компоненты сосредоточены не на клиентской, а на серверной стороне, так что приватность по существу оказывается свойством предлагаемой информационной услуги (в простейшем случае приватность достигается путем сохранения конфиденциальности серверной регистрационной информации и защитой от перехвата данных, для чего достаточно перечисленных сервисов безопасности).

Читайте также:  Как подключиться к камере смартфона удаленно

С другой стороны, нашперечень шире, чем в "Общих критериях", посколькув него входят экранирование, анализ защищенности и туннелирование.Этисервисыимеют важное значение сами по себе и, кроме того,могут комбинироваться с другими сервисами для получениятакихнеобходимых защитных средств, как, например, виртуальные частные сети.

[Галатенко Лек5 Стандарты и спецификации]"Общие критерии" на самом деле являются метастандартом, определяющим инструменты оценки безопасности ИС и порядок их использования. В отличие от "Оранжевой книги", ОК не содержат предопределенных "классов безопасности". Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.

Совокупностьперечисленных вышесервисов безопасностимы будем называтьполным набором. Считается, что его, в принципе, достаточно для построения надежной защиты на программно-техническом уровне, правда,при соблюдении целого ряда дополнительных условий (отсутствие уязвимых мест, безопасное администрирование и т.д.).

Для проведенияклассификации сервисов безопасности и определения их места в общей архитектуремеры безопасностиможно разделить наследующие виды:

превентивные, препятствующие нарушениям ИБ;

меры обнаружения нарушений;

локализующие, сужающие зону воздействия нарушений;

меры по выявлению нарушителя;

меры восстановления режима безопасности.

Большинство сервисовбезопасности попадаетв число превентивных, и это, безусловно, правильно.Аудит и контроль целостности способны помочь в обнаружении нарушений;активный аудит,кроме того, позволяет запрограммировать реакцию на нарушение с целью локализации и/или прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна. Наконец, управление играет инфраструктурную роль, обслуживая все аспекты ИС.

Основные понятия программно-технического уровня информационной безопасности

Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей — оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Напомним, что ущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги — некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по организации, и по информационному пространству.

Это вторая причина, объясняющая важность программно-технических мер.

Следует, однако, учитывать, что быстрое развитие информационных технологий не только предоставляет обороняющимся новые возможности, но и объективно затрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня. Причин тому несколько:

  • повышение быстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяет методом грубой силы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными;
  • развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналов расширяют круг злоумышленников, имеющих техническую возможность организовывать атаки;
  • появление новых информационных сервисов ведет и к образованию новых уязвимых мест как "внутри" сервисов, так и на их стыках;
  • конкуренция среди производителей программного обеспечения заставляет сокращать сроки разработки, что приводит к снижению качества тестирования и выпуску продуктов с дефектами защиты;
  • навязываемая потребителям парадигма постоянного наращивания мощности аппаратного и программного обеспечения не позволяет долго оставаться в рамках надежных, апробированных конфигураций и, кроме того, вступает в конфликт с бюджетными ограничениями , из-за чего снижается доля ассигнований на безопасность.

Перечисленные соображения лишний раз подчеркивают важность комплексного подхода к информационной безопасности, а также необходимость гибкой позиции при выборе и сопровождении программно-технических регуляторов.

Читайте также:  Как в pdf сделать ссылки на страницы

Центральным для программно-технического уровня является понятие сервиса безопасности .

Следуя объектно-ориентированному подходу, при рассмотрении информационной системы с единичным уровнем детализации мы увидим совокупность предоставляемых ею информационных сервисов . Назовем их основными . Чтобы они могли функционировать и обладали требуемыми свойствами, необходимо несколько уровней дополнительных (вспомогательных) сервисов — от СУБД и мониторов транзакций до ядра операционной системы и оборудования.

К вспомогательным относятся сервисы безопасности (мы уже сталкивались с ними при рассмотрении стандартов и спецификаций в области ИБ); среди них нас в первую очередь будут интересовать универсальные, высокоуровневые, допускающие использование различными основными и вспомогательными сервисами Далее мы рассмотрим следующие сервисы:

  • идентификация и аутентификация ;
  • управление доступом ;
  • протоколирование и аудит ;
  • шифрование ;
  • контроль целостности ;
  • экранирование ;
  • анализ защищенности ;
  • обеспечение отказоустойчивости ;
  • обеспечение безопасного восстановления ;
  • туннелирование ;
  • управление .

Будут описаны требования к сервисам безопасности , их функциональность, возможные методы реализации и место в общей архитектуре.

Если сопоставить приведенный перечень сервисов с классами функциональных требований " Общих критериев ", то бросается в глаза их существенное несовпадение. Мы не будем рассматривать вопросы, связанные с приватностью , по следующей причине. На наш взгляд, сервис безопасности , хотя бы частично, должен находиться в распоряжении того, кого он защищает. В случае же с приватностью это не так: критически важные компоненты сосредоточены не на клиентской, а на серверной стороне, так что приватность по существу оказывается свойством предлагаемой информационной услуги (в простейшем случае приватность достигается путем сохранения конфиденциальности серверной регистрационной информации и защитой от перехвата данных , для чего достаточно перечисленных сервисов безопасности ).

С другой стороны, наш перечень шире, чем в "Общих критериях", поскольку в него входят экранирование , анализ защищенности и туннелирование . Эти сервисы имеют важное значение сами по себе и, кроме того, могут комбинироваться с другими сервисами для получения таких необходимых защитных средств , как, например, виртуальные частные сети .

Совокупность перечисленных выше сервисов безопасности мы будем называть полным набором. Считается, что его, в принципе, достаточно для построения надежной защиты на программно-техническом уровне, правда, при соблюдении целого ряда дополнительных условий (отсутствие уязвимых мест, безопасное администрирование и т.д.).

Для проведения классификации сервисов безопасности и определения их места в общей архитектуре меры безопасности можно разделить на следующие виды:

  • превентивные , препятствующие нарушениям ИБ;
  • меры обнаружения нарушений ;
  • локализующие , сужающие зону воздействия нарушений;
  • меры по выявлению нарушителя ;
  • меры восстановления режима безопасности.

Большинство сервисов безопасности попадает в число превентивных , и это, безусловно, правильно. Аудит и контроль целостности способны помочь в обнаружении нарушений ; активный аудит , кроме того, позволяет запрограммировать реакцию на нарушение с целью локализации и/или прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна. Наконец, управление играет инфраструктурную роль, обслуживая все аспекты ИС.

Это меры направленные на контроль компьютерных сущностей – оборудование, программ, данных.

13. Сервисы безопасности. Идентификация и аутентификация: основные понятия, парольная аутентификация.

Центральным для программно-технического уровня является понятие сервиса безопасности.

1) Индетификация и аутотификация

2) Управление доступом

5) Контроль целостности

7) Анализ защищенности

8) Обеспечение отказа устойчивости

9) Обеспечение безопасного восстановления

Перечисленные сервисы безопасности–полным набором.Для определения мер безопасности делятся на:

1) Преветивные препятстсвующие нарушении безопаности

2) Меры обнаружения нарушения безопансоти

3) Локализующие – сужающие зону воздействия

Читайте также:  Сервисы типа бла бла кар

4) Меры по выявлению нарушителя

5) Меры восстановления режима безопасноти

3. сервисы безопасности

3.1 идентификация и аутоидентификация

Ауто.. бывает односторонней (обычно клиент доказывает подлинность к серверу) и двусторонней.

3.1.1 основные понятия

В сетевой среде этих сервисов есть два основных аспекта:

1) Что служит ауто… — что используется для подтверждения подлинности

2) Как организован обмен данными

Субъект может подтвердить свою подлинность, предъявив по крайне мере одну из своих сущностей.

1) Нечто, что он знает (пароль…)

2) Нечто, чем о владеет (личная карточка)

3) Нечто, что есть часть его самого (голос)

Надежная ауто… затруднена по следующим причинам:

1) Наличие сетевых угроз

2) Почти все ауто…сущности можно узнать или подделать

3) Имеется противоречие между надежности ауто… и удобствами пользователей и системными админами

4) Чем надежнее средства защиты, тем оно дороже

Т.о. необходимо искать компромисс между надежностью, доступностью по цене и удобствам использования и администрирования средств индетификации и ауто…

3.1.2 парольная идентификации

По совокупности парольную ауто…следует признать самым слабым средством проверкой подлинности.

1) Простота пароля

2) Значения паролей по умолчанию

3) Ввод пароля можно подсмотреть

4) Пароль можно сообщить другим пользователям

5) Возможность применения метода грубой силы

Тем немение, следующие меры позволяют значительно повысить надежность:

1) Положение технических ограничений

2) Управление сроком действия паролей

3) Ограничение доступа к файлу паролей

4) Ограничение числа неудачных попыток входа в систему

5) Обучение пользователей…….6)Использование программных генераторов паролей

14. Сервисы безопасности. Идентификация и аутентификация: одноразовые пароли, сервер аутентификации Kerberos.

Центральным для программно-технического уровня является понятие сервиса безопасности.

12) Индетификация и аутотификация

13) Управление доступом

16) Контроль целостности

18) Анализ защищенности

19) Обеспечение отказа устойчивости

20) Обеспечение безопасного восстановления

Перечисленные сервисы безопасности – полным набором.

Для определения мер безопасности делятся на:

6) Преветивные препятстсвующие нарушении безопаности

7) Меры обнаружения нарушения безопансоти

8) Локализующие – сужающие зону воздействия

9) Меры по выявлению нарушителя

10) Меры восстановления режима безопасноти

3.1.3 одноразовые пароли

Наиболее одноразовым паролем является система S/KEY.

Другой подход надежной ауто…состоит в генерации нового пароля через небольшой промежуток времени (например, каждые 60 сек). И при этом накладываются ограничения: серверу должен быть алгоритм идентификация паролей, а также часы элементы сервера вполне систематизированы.

3.1.4 сервер аутоинтеф… Kerberos

Кл С
Сервер S

1) клиент отправляет запрос Kerberos (c- имя себя, s – имя, к чему хочет подключиться)

2) клиент сообщает серверу след inf : Ker возвращет inf и шифрует ее rkxjv сервера

в Tc.s содержиться inf

Kc , Ks, d1 принадлежит Tc.s

3) клиент отправляет серверу: d2, Ks d2=DecodeKc

4) d1=d2 если совпало, значит сервер знает, что клиент тот, кого за себя выдает

Важно отметить, что Kerberos не только устойчив к сетевым угрозам, но и поддерживает концепцию единого входа в сеть.

3.1.5 биометрическая аутентификация

Биометрия представляет собой совокупность автоматизированных методов идентификаций и аутентификаций людей на основе их физиологических и поведенческих характеристик к числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговица глаз, геометрия руки и лица…К поведенческим относятся: динамика ручной подписи, стиль работы с клавиатурой и …

Биометрия подвержена тем же угрозам, что и другие методы аутентификации.

Ссылка на основную публикацию
При каком альфа векторы компланарны
Единого обозначения компланарность не имеет. Свойства компланарности Пусть — векторы пространства . Тогда верны следующие утверждения: Если хотя бы один...
Нет msvcr120 dll что делать
Если, попытавшись включить любимую игру, вы натыкаетесь на окно, которое гласит, что запуск программы невозможен по причине отсутствия mscvr120.dll —...
Нет беспроводного сетевого соединения windows 7
На панели задач в Windows или в меню «Центр управление сетями» нет иконки Wi-Fi? Это не значит, что вышло из...
При каком значении m прямая параллельна плоскости
Точка C(—3, 4,1) найдена. 6. Написать уравнение плоскости, проходящей через точки M1(1, —2, 1), M2(4, 2, 3) и параллельной вектору...
Adblock detector