Лекция 7 Технологии обеспечения безопасности информационных систем Факторы угроз информа
Работа добавлена на сайт samzan.net:
Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
от 25%
Подписываем
договор
|
Лекция 7
|
Технологии обеспечения безопасности информационных систем
- Факторы угроз информационной безопасности
- Организационные методы защиты информации
- Программно-техническое обеспечение защиты информационной безопасности
|
7.1. Факторы угроз информационной безопасности
Перечислим основные типовые пути утечки информации и несанкционированного доступа к ИС:
- перехват электронных излучений;
- принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;
- применение подслушивающих устройств (закладок);
- дистанционное фотографирование;
- перехват акустических излучений и восстановление текста принтера;
- хищение носителей информации и производственных отходов;
- считывание данных в массивах других пользователей;
- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
- копирование носителей информации с преодолением мер защиты;
- маскировка под зарегистрированного пользователя;
- мистификация (маскировка под запросы системы), использование программных ловушек;
- использование недостатков языков программирования и операционных систем;
- включение в библиотеки программ специальных блоков типа "троянский конь";
- незаконное подключение к аппаратуре и линиям связи;
- злоумышленный вывод из строя механизмов защиты;
- внедрение и использование компьютерных вирусов.
7.2. Организационные методы защиты информации
Организационные методы защиты информации делятся на организационно-административные и организационно-технические методы защиты.
Организационно-административные методы защиты информации:
- выделение специальных защищенных помещений для размещения ИС и хранения носителей информации;
- выделение специальных компьютеров для обработки конфиденциальной информации;
- организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;
- использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;
- организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;
- организация регламентированного доступа пользователей к работе на компьютерах, средствах связи и в хранилищах носителей конфиденциальной информации;
- установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;
- разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;
- постоянный контроль за соблюдением установленных требований по защите информации.
Организационно-технические методы защиты информации:
- ограничением доступа посторонних лиц внутрь корпуса оборудования за счет установки механических запорных устройств или замков;
- отключением компьютеров от локальной вычислительной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случаев передачи этой информации по каналам связи;
- использованием для отображения конфиденциальной информации жидкокристаллических или плазменных дисплеев, а для печати – струйных принтеров или термопечати с целью снижения утечки информации по электромагнитному каналу. При использовании обычных дисплеев и принтеров с этой же целью рекомендуется включать устройства, создающие дополнительный шумовой эффект (фон) – кондиционер, вентилятор и т.д.;
- установкой клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу;
- размещением оборудования для обработки конфиденциальной информации на расстоянии не менее 2,5 метров от устройств освещения, кондиционирования, связи, металлических труб, теле- и радиоаппаратуры;
- организацией электропитания компьютеров от отдельного блока питания (с защитой от побочных электромагнитных излучений или от общей электросети через стабилизатор напряжения);
- использованием бесперебойных источников питания (БИП) для персональных компьютеров для силовых электрических сетей с неустойчивым напряжением и плавающей частотой.
7.3. Программно-техническое обеспечение защиты информационной безопасности
Физические средства защиты. Предназначены для внешней охраны территории, систем и объектов на базе вычислительной техники.
Для организации охраны оборудования (узлов и блоков компьютеров, средств передачи данных) и перемещаемых носителей информации используются:
- различные замки (механические, с кодовым набором, с управлением от микропроцессора, радиоуправляемые), которые устанавливают на входные двери, ставни, сейфы, шкафы, устройства и блоки системы, микровыключатели, фиксирующие открывание или закрывание дверей и окон;
- инерционные датчики, для подключения которых можно использовать осветительную сеть, телефонные провода и проводку ТВ-антенн;
- специальные наклейки из фольги или другого магнитопроводного материала, которые наклеиваются на все документы, приборы, узлы и блоки системы для предотвращения их выноса из помещения.
- специальные сейфы и металлические шкафы для установки в них отдельных узлов и блоков компьютера для вычислительной системы (принтер, файл-сервер т.п.) и перемещаемых носителей информации.
Для нейтрализации утечки информации по электромагнитным каналам используют экранирующие и поглощающие материалы и изделия:
- экранизация рабочих помещений, где установлены системы электронной обработки и передачи данных; осуществляется путем покрытия стен, пола и потолка металлизированными обоями, токопроводящей эмалью и штукатуркой, проволочными сетками или фольгой, установкой загородок из токопроводящего кирпича, многослойных стальных, алюминиевых или из специальной пластмассы листов;
- для защиты окон применяют металлизированные шторы и стекла с токопроводящим слоем;
- все отверстия закрывают металлической сеткой, соединяемой с шиной заземления или настенной экранировкой;
- на вентиляционных каналах монтируют, так называемые, предельные магнитные ловушки, препятствующие распространению радиоволн.
Для защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации, а также на коммуникационные электрические цепи, широко используют:
- экранированный кабель для внутристоечного, внутриблочного, межблочного и наружного монтажа;
- экранированные эластичные соединители (разъемы), всевозможные сетевые фильтры подавления электромагнитных излучений;
- провода, наконечники, дросселя, конденсаторы и другие помехоподавляющие радио- и электроизделия;
- на водопроводных, отопительные газовых и других металлических трубах помещают разделительные диэлектрические вставки, которые осуществляют разрыв электромагнитной цепи.
Аппаратные средства защиты. Основные функции аппаратных средств защиты информации:
- запрещение несанкционированного (неавторизованного) внешнего доступа (удаленного пользователя, злоумышленника) к работающей вычислительной системе;
- запрещение несанкционированного (неавторизованного) внутреннего доступа к отдельным файлам или базам данных вычислительной системы, возможного в результате случайных или умышленных действий обслуживающего персонала;
- защита активных и пассивных (архивных) файлов и баз данных, связанная с не обслуживанием или отключением компьютера) из локальной сети;
- защита целостности программного обеспечения.
Эти задачи реализуются аппаратными средствами защиты информации путем:
- идентификации субъектов (пользователей, обслуживающего персонала) и объектов (ресурсов) системы;
- аутентификации субъекта по предъявленному им идентификатору;
- проверки полномочий, заключающейся в проверке соответствия дня недели, времени суток, а также разрешение и создание условий работы субъекту в пределах установленного регламента;
- регистрации (протоколирования) при обращении к запрещаемым ресурсам;
- реагирования (задержки выполнения работ, отказа в обслуживании, тревожной сигнализации) при попытках несанкционированного доступа к защищаемым ресурсам.
Программные средства защиты. С помощью программных средств защиты решаются следующие задачи информационной безопасности:
- контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. п.);
- разграничение и контроль доступа субъектов к системным и пользовательским ресурсам, терминалам, внешним ресурсам, постоянным и временным наборам данных на магнитных носителях информации и т.п.
- изоляция программ процесса, выполняемого в интересах конкретного субъекта от других субъектов (обеспечение работы каждого пользователя в индивидуальной среде);
- управление потоками конфиденциальной информации с целью предотвращения записи на магнитные носители данных несоответствующего уровня (грифа) секретности;
- защита файлов от вирусных инфекций;
- стирание остаточной конфиденциальной информации в оперативной памяти после выполнения запросов;
- автоматическое полное или выборочное (по файлам или группам файлов) стирание остаточной конфиденциальной информации на магнитных дисках, выдача протоколов о результатах стирания;
- автоматический контроль за работой пользователей в ИС на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале.
Аппаратно-программные средства защиты. Эти средства защиты широко используются при реализации биометрических методов аутентификации пользователей автоматизированных информационных систем.
Аутентификация – проверка идентификатора пользователя, обычно осуществляется перед разрешением доступа к ресурсам автоматизированной информационной системы.
Классификация и примеры реализации методов аутентификации, расположенных в порядке возрастания степени их надежности, представлены в таблице.
|
Методы аутентификации
|
Примеры реализации
|
|
По знаниям
|
Парольная защита
|
|
По имуществу
|
Touch-memory
Smart-карты
|
|
По навыкам
|
Клавиатурный почерк
Роспись
|
|
По уникальным параметрам
|
Отпечатки пальцев, сетчатка глаза, голос
|
В аутентификации по знаниям обычно используется механизм паролей в той или иной реализации. Для того чтобы подтвердить свои права на доступ, достаточно сообщить системе секретный ответ на ее запрос. Преимущества данного метода – простота реализации и дешевизна, недостаток – невысокая надежность. Если злоумышленник каким-либо образом узнал пароль, то система не сможет отличить его от легального пользователя.
При аутентификации по имуществу для подтверждения своих прав необходимо предъявить системе некий "ключ" – предмет, уникальный для каждого пользователя и защищенный от подделки. Вариантов реализации такого метода аутентификации достаточно много. В качестве примеров могут служить магнитные и smart-карты. К преимуществам данного метода можно отнести относительно невысокую стоимость реализации, к недостаткам – требование наличия дополнительного оборудования и трудности в управлении масштабными системами защиты на основе этого метода.
В случае аутентификации по навыкам системе защиты необходимо продемонстрировать какие-то умения, недоступные для других пользователей и плохо поддающиеся подделке. К преимуществам реализации такого метода доказательства прав на доступ можно отнести' возможность сокрытия процесса аутентификации от пользователя, например, он может и не подозревать о том, что в данный момент система проверяет его манеру печатания на клавиатуре, а также - высокую надежность аутентификации. К недостаткам этого метода относятся: сложность реализации и дороговизна, а также необходимость в дополнительном оборудовании и больших вычислительных ресурсах.
Аутентификация по уникальным параметрам – самый надежный метод аутентификации. В нем используется сравнение каких-либо параметров человеческого тела с их цифровыми образами, записанными в память системы разграничения доступа. Преимущество этого метода состоит в высокой надежности аутентификации пользователя, недостатки – в высокой цене и необходимости наличия дополнительного оборудования.
Для аутентификации пользователей по уникальным параметрам используется целый спектр биометрических параметров, в том числе:
- отпечатки пальцев;
- характеристики ладони;
- анализ геометрии ладони руки (используются такие параметры, как длина пяти пальцев каждой руки и др.);
- анализ речевых фонем (речевой сигнал переводится в цифровую форму, а затем производится сравнительный анализ речевых фонем с образцами, хранящимися в памяти);
- сканирование остаточного изображения сетчатки глаза;
- анализ почерка (используются такие характеристики почерка, как давление пера на бумагу, наклон букв, ускорение пера и время написания фамилии и имени владельца).
Криптографические методы защиты:
- шифрование с помощью датчика псевдослучайных чисел заключается в генерации гаммы шифра с помощью датчика псевдослучайных чисел и наложении полученной гаммы на открытые данные обратимым образом;
- шифрование с помощью криптографических стандартов шифрования данных (с симметричной схемой шифрования), использующих проверенные и апробированные алгоритмы шифрования данных с хорошей криптостойкостью, например, американский стандарт шифрования данных DES, отечественный стандарт – ГОСТ 28147-89;
- шифрование с помощью систем с открытым ключом (с асимметричной схемой шифрования). Примером может служить метод RSA криптографической защиты информации с известным ключом.