Рубрика: Безопасность

Следует иметь ввиду, что все ранее перечисленные меры ограничения доступа должны применяться в полном объеме. Что касается подготовительных функций технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и т. д., то все они должны быть технически и организационно отделены от основных задач системы. АИС (АСУ) и организация ее обслуживания должны быть построены следующим образом:

• техническое обслуживание АИС в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информации, подлежащей защите;
• перезагрузка программного обеспечения и всякие его изменения должны производиться специально выделенным для этой цели проверенным специалистом;
• функции обеспечения безопасности информации должны выполняться специальным подразделением в организации-владельце АИС, вычислительной сети или АСУ;
• организация доступа пользователей к памяти АИС обеспечивает возможность разграничения доступа к информации, хранящейся в ней, с достаточной степенью детализации и в соответствии с заданными уровнями полномочий пользователей;

Далее →

Для осуществления несанкционированного доступа к информации (НСДИ) чаще всего злоумышленник не применяет никаких аппаратных или программных средств, не входящих в состав АИС. Он осуществляет НСДИ используя:

• знания об АИС и умение работать с ней;
• сведения о системе защиты информации;
• сбои, отказы технических и программных средств;
• ошибки, небрежность обслуживающего персонала и пользователей.

Далее →

По мнению некоторых авторов система разграничения доступа должна содержать четыре блока:

• блок идентификации и аутентификации субъектов доступа;
• диспетчер доступа;
• блок криптографического преобразования информации при ее хранении и передаче;
• блок очистки памяти.

Далее →

Под ядром безопасности понимают локализованную, минимизированную, четко ограниченную и надежно изолированную совокупность программно-аппаратных механизмов, доказательно правильно реализующих функции диспетчера доступа. Правильность функционирования ядра безопасности доказывается путем полной формальной верификации его программ и пошаговым доказательством их соответствия выбранной математической модели защиты.

Применение ядра безопасности требует создания измененных (усовершенствованных) операционных систем и архитектуры ЭВМ.

Для аппаратной поддержки защиты и изоляции ядра в архитектуре ЭВМ должны быть предусмотрены:

• многоуровневый режим выполнения команд;
• использование ключей защиты и сегментирования памяти;
• реализация механизма виртуальной памяти с разделением адресных пространств;
• аппаратная реализация части функций ОС;
• хранение программ в ПЗУ;

Далее →

Не обращаясь к возможностям каждого аппаратно-программного средства, перечислим общие защитные механизмы, обеспечиваемые всем набором программных и аппаратных средств:

• идентификация и аутентификация пользователей;
• разграничение доступа к файлам, каталогам, дискам;
• контроль целостности программных средств и информации;
• возможность создания функционально замкнутой среды пользователя;
• защита процесса загрузки ОС;
• блокировка ПЭВМ на время отсутствия пользователя;
• криптографическое преобразование информации;
• регистрация событий;
• очистка памяти.

Далее →

Примером такого комплекса является DALLAS LOCK 3.1 и его сетевой вариант DALLAS LOCK 3.1 for NET WARE.

Комплекс DALLAS LOCK 3.1 выполняет следующие функции защиты:

• обеспечение возможности доступа к компьютеру и загрузки ОС только по предъявлению личной электронной карты пользователя (электронного ключа) Touch Memory и вводу личного пароля;
• уничтожение полиморфных вирусов (мутантов); защиту системных файлов ОС;
• автоматическую и принудительную блокировку компьютера с гашением экрана дисплея на время отсутствия пользователя;
• обеспечение возможности уничтожения файлов при их удалении;
• защиту файлов пользователя от несанкционированного доступа и контроль целостности дисков;
• сохранение образа системных областей компьютера на дискете с целью их восстановления в случае разрушения системы защиты;
• разграничение полномочий пользователей по доступу к ресурсам компьютера (логическим дискам, периферийным устройствам);
• регистрацию в системных журналах всех событий по входу, выходу и работе пользователей.

Далее →

В наиболее совершенных системах реализуют механизм контроля целостности файлов с использованием хэш-функции. Хэш-функция – метод, который позволяет практически исключить возможность неконтролируемого изменения информации в АИС. Под хэш-функцией понимается процедура получения контрольной характеристики двоичной последовательности, основанная на контрольном суммировании и криптографических преобразованиях. Алгоритм хэш-функции приведен в ГОСТ-Р34.11-94. Некоторую информацию по данному вопросу можно получить в [15].

Далее →

Это мероприятие является очень эффективным механизмом борьбы с НСДИ. Суть механизма состоит в следующем. Для каждого пользователя создается меню, в которое попадает пользователь после загрузки ОС. В нем указываются программы, к выполнению которых допущен пользователь. Пользователь может выполнить любую из программ из меню. Если эти программы не имеют возможностей инициировать выполнение других программ, а так же предусмотрена корректная обработка ошибок, сбоев и отказов, то пользователь не сможет выйти за рамки установленной замкнутой функциональной среды. Такой режим работы вполне осуществим во многих АСУ.

Далее →

Создание копий программных средств для изучения или несанкционированного использования осуществляется с помощью устройств вывода или каналов связи.

Одним из самых распространенных каналов несанкционированного копирования является использование накопителей на объемных магнитных носителях. Угроза несанкционированного копирования информации блокируется методами, которые можно разделить на группы:

• методы, затрудняющие считывание скопированной информации;
• методы, препятствующие использованию информации.

Методы из первой группы основываются на придании особенностей процессу записи информации, которые не позволяют считывать полученную копию на других носителях, не входящих в защищенную АИС. Таким образом, эти методы направлены на создание совместимости накопителей только внутри объекта. В АИС должна быть ЭВМ, имеющая в свое составе стандартные и нестандартные накопители. На этой ЭВМ осуществляется ввод (вывод) информации для обмена с другими АИС, а также переписывается информация со стандартных носителей не нестандартные, и наоборот. Эти операции осуществляются под контролем администратора системы безопасности. Такая организация ввода-вывода информации существенно затрудняет действия злоумышленника не только при несанкционированном копировании, но и при попытках несанкционированного ввода информации.

Далее →

В зарубежных странах очень популярны правовые методы защиты ПП и БД.

Правовые методы защиты программ включают:

• Патентную защиту;
• Закон о производственных секретах;
• Лицензионные соглашения и контракты;
• Закон об авторском праве.

Различают две категории прав:

Далее →