ВУЗ:
Составители:
Многим субъектам приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных
сервисов). Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация,
то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые поль-
зователь часто оставляет на рабочем столе, а то и попросту теряет. И дело здесь не в неорганизованности людей, а в изна-
чальной непригодности парольной схемы. Невозможно помнить много разных паролей; рекомендации по их регулярной
смене только усугубляют положение, заставляя применять несложные схемы чередования или стараться свести дело к двум-
трем легко запоминаемым паролям.
Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных в среде, где им не обеспечена
необходимая защита. Угроза же состоит в том, что кто-то не откажется узнать секреты, которые сами просятся в руки. По-
мимо паролей, хранящихся в записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в
открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных. Для атаки могут использоваться
разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея
одна – получить доступ к данным в тот момент, когда они наименее защищены.
Перехват данных – очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные
передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства пере-
хвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, может кто
угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуни-
кациям.
Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие
как маскарад – выполнение действий под видом лица, обладающего полномочиями для доступа к данным
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих ти-
пах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифро-
ванный) файл, получить доступ к почте любого пользователя и т.д. Другой пример – нанесение ущерба при сервисном об-
служивании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действо-
вать в обход программных защитных механизмов.
Таковы основные угрозы, которые наносят наибольший ущерб субъектам информационных отношений.
На современном этапе развития информационных технологий подсистемы или функции защиты являются неотъемле-
мой частью комплекса по обработке информации. Информация не представляется "в чистом виде", на пути к ней имеется
хотя бы какая-нибудь система защиты, и поэтому чтобы угрожать, атакующая сторона должна преодолеть эту систему. Од-
нако не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требующихся на ее преодо-
ление. Исходя из данных условий, примем следующую модель:
защита информационной системы считается преодо-
ленной, если в ходе ее исследования определены все уязвимости системы
. Поскольку преодоление защиты также пред-
ставляет собой угрозу, для защищенных систем будем рассматривать ее четвертый вид –
угрозу раскрытия параметров АС,
включающей в себя систему защиты. С точки зрения практики любое проводимое мероприятие предваряется этапом развед-
ки, в ходе которого определяются основные параметры системы, ее характеристики, в результате чего уточняется постав-
ленная задача и выбираются оптимальные технические средства.
Угрозу раскрытия можно рассматривать как опосредованную. Последствия ее реализации не причиняют какой-либо
ущерб обрабатываемой информации, но дают возможность реализоваться первичным или непосредственным угрозам, пере-
численным выше. Введение данного вида угроз позволяет описывать с научно-методологической точки зрения отличия за-
щищенных информационных систем от открытых. Для последних угроза разведки параметров системы считается реализо-
ванной.
7.2. Методы обеспечения информационной безопасности
7.2.1. СТРУКТУРИЗАЦИЯ МЕТОДОВ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой,
обрабатываемой и защищаемой АС информации, которая поможет систематизировать как возможные угрозы, так и меры по
их нейтрализации и парированию, т.е. может систематизировать и обобщить весь спектр методов обеспечения защиты, отно-
сящихся к информационной безопасности:
1)
уровень носителей информации;
2)
уровень средств взаимодействия с носителем;
3)
уровень представления информации;
4)
уровень содержания информации.
Данные уровни были введены исходя из того, что, во-первых, информация для удобства манипулирования чаще всего
фиксируется на некотором материальном носителе, которым может быть бумага, дискета, CD-диск и т.п. Во-вторых, если спо-
соб представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходи-
мость в преобразованиях информации в доступный для человека способ представления. Например, для чтения информации с
дискеты необходим компьютер, оборудованный дисководом соответствующего типа. В-третьих, информация может быть оха-
рактеризована способом своего представления. Язык жестов, язык символов и другие – все это способы представления инфор-
мации. В-четвертых, человеку должен быть доступен смысл представленной информации (семантика).
Защита носителей информации должна обеспечивать парирование всех возможных угроз, направленных как на сами
носители, так и на зафиксированную на них информацию, представленную в виде изменения состояний отдельных участков,
блоков, полей носителя. Применительно к АС защита носителей информации в первую очередь подразумевает защиту машин-
ных носителей. Вместе с тем, необходимо учитывать, что носителями информации являются также каналы связи, документаль-
Страницы
- « первая
- ‹ предыдущая
- …
- 69
- 70
- 71
- 72
- 73
- …
- следующая ›
- последняя »
