Информационная безопасность и защита информации: Конспект лекций. Будко В.Н. - 7 стр.

UptoLike

ВУЗ: 

ВГУ | Воронеж

Составители: 

Рубрика: 

16. Защита пользователя от себя самого . Предполагает создание таких условий, когда
никакие возможные ошибки пользователя (ни случайные , ни преднамеренные ) не
приводили бы к возникновению возможной утечки информации, как данного
пользователя , так и любой другой информации.
17. Защита системы от нее самой. Это создание надежных барьеров на путях утечки
информации вследствие ошибок, появляющихся в основных компонентах системы,
или вследствие сбоев (случайных или создаваемы преднамеренными действиями
людей).
1.4. Каналы утечки информации
Наиболее вероятны следующие каналы утечки информации.
A) Косвенные каналы , т.е . без физического доступа злоумышленника к ИВС:
1. Подслушивающие устройства .
2. Дистанционное фотографирование экрана дисплея.
3. Перехват электромагнитных излучений.
B) Прямые каналы , т.е . с доступом к ИВС:
1. Хищение носителей информации.
2. Копирование носителей информации.
3. Хищение производственных отходов.
4. Считывание данных в массивах других пользователей.
5. Чтение остаточной информации в ЗУ системы после выполнения
санкционированных запросов.
6. Несанкционированное использование терминалов зарегистрированных
пользователей.
7. Маскировка под зарегистрированного пользователя с помощью хищений паролей и
других реквизитов разграничения доступа .
8. Маскировка несанкционированных запросов под запросы операционной системы
(мистификация).
9. Использование программных ловушек.
10. Получение защищенных данных с помощью серии разрешенных запросов.
11. Использование недостатков языков программирования и ОС.
C) Каналы с изменением структуры ИВС или ее компонентов.
1. Незаконное подключение к аппаратуре или линии связи ИВС.
2. Злоумышленный вывод из строя механизмов защиты.
Например, злоумышленник может воспользоваться тем, что :
В некоторых ОС и системах управления базами данных не предусматривается
уничтожение данных , остающихся в ЗУ после удовлетворения санкционированных
запросов.
При отсутствии средств проверки правильности чужих программ в них могут быть
встроены блоки «троянский конь» (вирус), которые не нужны для осуществления
заявленных функций программы, но позволяют скрыто и несанкционированно
регистрировать обрабатываемую информацию в интересах злоумышленника . 
   16. Защита пользователя от себя самого. Предполагает создание таких условий, когда
       никакие возможные ошибки пользователя (ни случайные, ни преднамеренные) не
       приводили бы к возникновению возможной утечки информации, как данного
       пользователя, так и любой другой информации.
   17. Защита системы от нее самой. Это создание надежных барьеров на путях утечки
       информации вследствие ошибок, появляющихся в основных компонентах системы,
       или вследствие сбоев (случайных или создаваемы преднамеренными действиями
       людей).

1.4. Каналы утечки информации
Наиболее вероятны следующие каналы утечки информации.
A) Косвенные каналы, т.е. без физического доступа злоумышленника к ИВС:
   1. Подслушивающие устройства.
   2. Дистанционное фотографирование экрана дисплея.
   3. Перехват электромагнитных излучений.
B) Прямые каналы, т.е. с доступом к ИВС:
   1. Хищение носителей информации.
   2. Копирование носителей информации.
   3. Хищение производственных отходов.
   4. Считывание данных в массивах других пользователей.
   5. Чтение остаточной информации           в   ЗУ   системы    после    выполнения
      санкционированных запросов.
   6. Несанкционированное      использование      терминалов     зарегистрированных
      пользователей.
   7. Маскировка под зарегистрированного пользователя с помощью хищений паролей и
      других реквизитов разграничения доступа.
   8. Маскировка несанкционированных запросов под запросы операционной системы
      (мистификация).
   9. Использование программных ловушек.
   10. Получение защищенных данных с помощью серии разрешенных запросов.
   11. Использование недостатков языков программирования и ОС.
C) Каналы с изменением структуры ИВС или ее компонентов.
   1. Незаконное подключение к аппаратуре или линии связи ИВС.
   2. Злоумышленный вывод из строя механизмов защиты.
Например, злоумышленник может воспользоваться тем, что:
   • В некоторых ОС и системах управления базами данных не предусматривается
     уничтожение данных, остающихся в ЗУ после удовлетворения санкционированных
     запросов.
   • При отсутствии средств проверки правильности чужих программ в них могут быть
     встроены блоки «троянский конь» (вирус), которые не нужны для осуществления
     заявленных функций программы, но позволяют скрыто и несанкционированно
     регистрировать обрабатываемую информацию в интересах злоумышленника.

Страницы