ВУЗ:
Составители:
Но, заметим, и зарегистрированный пользователь может запустить в систему своего
«троянского коня».
• Если идентификация пользователя по паролю осуществляется только при
первоначальном его включении в работу , то злоумышленная подмена пользователя
в процессе выполнения задачи оказывается незамеченной.
• Если пароли удаленного пользователя передаются в систему по линии связи в
открытом виде или остаются в ЗУ после идентификации, то создаются реальные
предпосылки их хищения.
• Недостатки и неоднозначности (с позиции защиты информации) в языках
программирования позволяют искусному программисту войти в супервизорные
области или области , выделенные другим программам. Например, в языке Pascal
можно использовать некоторую двусмысленность в установлении типов
переменных , вследствие чего в процессе компиляции их сфера действия будет
воспринята неоднозначно . Можно воспользоваться тем, что в Pascal’е не
определены точные правила для относительного расположения идентификаторов и
деклараций. При использовании в качестве формальных параметров функций и
процедур правила Pascal’я позволяют программисту не указывать в явном виде
число и тип параметров. Эти «ошибки» не выявляются при компиляции и могут
создавать лазейки для неконтролируемых несанкционированных действий.
Кроме того , Pascal (как и многие другие языки) не защищен от ухода индексов элементов
массива за установленные границы, когда номер используемого элемента вычислялся в
процессе исполнения программы. Специалисты утверждают, что с позиции защиты
информации Pascal имеет и другие недостатки.
1.5. Способы и средства защиты информации
1. Способ препятствия: запрещение проникновения на территорию ИВС, допуска к
аппаратуре, к носителям информации и т.п. Средства – физические и аппаратные .
Физические – это замки на дверях, решетки на окнах, контрольно -пропускные
пункты, охранная сигнализация и т.п. Аппаратные средства защиты – различные
электронные устройства , включаемые в состав технических средств ИВС, но
выполняющие самостоятельного или в комплексе с другими средствами некоторые
функции защиты в терминалах, устройствах группового ввода -вывода данных , ЦП ,
внешних ЗУ , периферийном оборудовании.
2. Способ управления: регулирование всех ресурсов системы (технических средств ,
программ, элементов баз данных ) в пределах установленного регламента . Это
четкие и однозначные правила работы для пользователей, тех. персонала , тех.
средств , программ, элементов баз данных и носителей информации. Средства –
аппаратные , программные .
3. Способ регламентации тесно связан с управлением.
• Для пользователей регламентируется время разрешенной работы, терминалы, с
которых разрешен доступ, элементы баз данных , к которым разрешен доступ и
перечень процедур (задач, программ), разрешенных для исполнения.
• Для обслуживающего персонала – время разрешенной работы, перечень и порядок
доступа к ресурсам систем.
•
Для тех. средств регламентируется список лиц, которым предоставлено их
использование в разрешенное время.
Но, заметим, и зарегистрированный пользователь может запустить в систему своего
«троянского коня».
• Если идентификация пользователя по паролю осуществляется только при
первоначальном его включении в работу, то злоумышленная подмена пользователя
в процессе выполнения задачи оказывается незамеченной.
• Если пароли удаленного пользователя передаются в систему по линии связи в
открытом виде или остаются в ЗУ после идентификации, то создаются реальные
предпосылки их хищения.
• Недостатки и неоднозначности (с позиции защиты информации) в языках
программирования позволяют искусному программисту войти в супервизорные
области или области, выделенные другим программам. Например, в языке Pascal
можно использовать некоторую двусмысленность в установлении типов
переменных, вследствие чего в процессе компиляции их сфера действия будет
воспринята неоднозначно. Можно воспользоваться тем, что в Pascal’е не
определены точные правила для относительного расположения идентификаторов и
деклараций. При использовании в качестве формальных параметров функций и
процедур правила Pascal’я позволяют программисту не указывать в явном виде
число и тип параметров. Эти «ошибки» не выявляются при компиляции и могут
создавать лазейки для неконтролируемых несанкционированных действий.
Кроме того, Pascal (как и многие другие языки) не защищен от ухода индексов элементов
массива за установленные границы, когда номер используемого элемента вычислялся в
процессе исполнения программы. Специалисты утверждают, что с позиции защиты
информации Pascal имеет и другие недостатки.
1.5. Способы и средства защиты информации
1. Способ препятствия: запрещение проникновения на территорию ИВС, допуска к
аппаратуре, к носителям информации и т.п. Средства – физические и аппаратные.
Физические – это замки на дверях, решетки на окнах, контрольно-пропускные
пункты, охранная сигнализация и т.п. Аппаратные средства защиты – различные
электронные устройства, включаемые в состав технических средств ИВС, но
выполняющие самостоятельного или в комплексе с другими средствами некоторые
функции защиты в терминалах, устройствах группового ввода-вывода данных, ЦП,
внешних ЗУ, периферийном оборудовании.
2. Способ управления: регулирование всех ресурсов системы (технических средств,
программ, элементов баз данных) в пределах установленного регламента. Это
четкие и однозначные правила работы для пользователей, тех. персонала, тех.
средств, программ, элементов баз данных и носителей информации. Средства –
аппаратные, программные.
3. Способ регламентации тесно связан с управлением.
• Для пользователей регламентируется время разрешенной работы, терминалы, с
которых разрешен доступ, элементы баз данных, к которым разрешен доступ и
перечень процедур (задач, программ), разрешенных для исполнения.
• Для обслуживающего персонала – время разрешенной работы, перечень и порядок
доступа к ресурсам систем.
• Для тех. средств регламентируется список лиц, которым предоставлено их
использование в разрешенное время.
Страницы
- « первая
- ‹ предыдущая
- …
- 6
- 7
- 8
- 9
- 10
- …
- следующая ›
- последняя »
