Инструменты пользователя

Инструменты сайта


examination:mszki:question17

Программные методы защиты информации

Программными средствами защиты информации (СЗИ) называются специальные программы, входящие в состав программного обеспечения различных автоматических систем (АС) для решения в них задач защиты. Программные СЗИ являются непременной и важнейшей частью механизма защиты современных АС. Такая их роль определяется следующими достоинствами: возможностью решения большого числа задач защиты, высокой программной устойчивостью при большой продолжительности непрерывной работы и удовлетворением высоким требованиям при наличии различных дестабилизирующих факторов. Существенным недостатком программных СЗИ является возможность их реализации только в тех структурных элементах АС, где имеется процессор, хотя функции защиты могут реализовываться, осуществляя безопасность других структурных элементов. Помимо того, программным СЗИ присущи следующие недостатки:

• необходимость использования времени работы процессора, что ведет к увеличению времени отклика на запросы и, как следствие, к уменьшению эффективности ее работы;

• уменьшение объемов оперативной памяти и памяти на внешних запоминающих устройствах, доступной для использования функциональными задачами;

• возможность случайного или умышленного изменения, вследствие чего программы могут не только утратить способность выполнять функции защиты, но и стать дополнительными источниками угрозы безопасности;

• зависимость программ от особенностей базовой системы ввода/вывода, таблицы векторов прерывания и т.п.

Для организационного построения программных СЗИ наиболее характерной является тенденция разработки комплексных программ, выполняющих целый ряд защитных функций:

• средства опознавания пользователей;

• разграничение доступа к массивам данных;

• запрещение доступа к некоторым областям памяти;

• замкнутая программная среда;

• криптографические средства защиты, в том числе контроль целостности;

• средства активного реагирования на попытки несанкционированного доступа;

• средства администрирования.

Средства опознавания

Система защиты позволяет пользователю осуществлять вход, как с возможностью использования криптографических средств защиты информации, так и без их использования, предоставляет пользователю выбор классификационного уровня контроля доступа, обеспечивает блокирование входа пользователя при нарушении целостности контролируемого программного обеспечения, либо при наличии сбоя в работе. Для серверных приложений блокируется использование недоверенных методов аутентификации.

Разграничение доступа к массивам данных

Подсистема разграничения доступа выполняет задачи по контролю над доступом пользователей к информации. Разграничение доступа осуществляется на основе различных моделей безопасности. Единая политика разграничения доступа для всех программных продуктов позволяет исключить возможность утечки категорированной информации при ее обработке и перемещении в АС.

Замкнутая программная среда

Замкнутая программная среда (ЗПС) означает невозможность запуска программных модулей, не специфицированных администратором безопасности с помощью настроек ЗПС.

Криптографические средства защиты

В СИЗ предусматривается криптографическая защита информации, как хранящейся на носителях информации (локальных и сетевых дисках, съемных носителях), так и передаваемой по локальной сети на основе криптоалгоритмов. Механизмы контроля целостности по требованию администратора или автоматически по заданному расписанию выполняют контроль целостности информационной среды. Средства электронно-цифровой подписи (ЭЦП) предоставляют возможности для создания и проверки ЭЦП объектов защиты.

Средства активного реагирования на попытки НСД

К компонентам активного противодействия попыткам НСД относятся блокировки доступа, расширенный аудит и оповещения о событиях НСД. Компонент блокировок выполняет блокирование доступа к объекту защиты, как отдельных пользователей, так и самих объектов защиты. Компонент расширенного аудита регистрирует попытки НСД и прочие события, имеющие отношение к функционированию средств защиты, в журнале событий операционной системы. Компонент оповещений выполняет доставку уведомлений о событиях на рабочее место администратора безопасности.

Администрирование

Для администрирования компонентов АС создаются приложения, имеющие удобный и интуитивно-понятный графический интерфейс. Предоставляется возможность дистанционного администрирования. Достоинства таких СИЗ очевидны: каждая из них обеспечивает решение некоторого числа важных задач защиты. Анализ показывает, что наибольшей гибкости и унифицированности СЗИ удовлетворяет следующая совокупность принципов: сквозное модульное построение, полная структуризация, представление на машинно-независимом языке.

Принцип сквозного модульного построения заключается в том, что каждая из программ любого уровня должна представляться в виде системы возможных модулей, причем каждый модуль любого уровня должен быть полностью автономным и иметь стандартные вход и выход, обеспечивающие комплексирование с любыми другими модулями. Нетрудно видеть, что эти условия могут быть обеспечены, если программные комплексы будут разрабатываться по принципу “сверху вниз”, т.е. в соответствии с принципом полной структуризации. Представление на машинно-независимом языке предопределяет, что представление программных модулей должно быть таким, чтобы их с минимальными усилиями можно было включить в состав программного обеспечения любой АС.

examination/mszki/question17.txt · Последние изменения: 2014/01/15 12:20 (внешнее изменение)