Файл: Контроль доступа к данным (Информация, ее свойства и виды).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 28.04.2023

Просмотров: 104

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ОСНОВНЫЕ СВЕДЕНИЯ

1.1. Информация, ее свойства и виды

1.2. Данные и их виды

2. ПОНЯТИЕ ИБ

2.1. Основные термины

2.2. Классификация угроз

3. КОНТРОЛЬ ДОСТУПА

3.1. Методы защиты информации от преднамеренного доступа

3.3. Контроль доступа

3.4. Способы защиты информации от преднамеренного доступа

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

Разграничение доступа пользователей должно осуществляться по следующим параметрам [10, 49]:

  • по виду, характеру, назначению, степени важности и секретности информации;
  • по способам ее обработки: чтение/запись/модификация/выполнение команды;
  • по условному номеру терминала;
  • по времени обработки и прочим параметрам.

Такая возможность разграничения доступа по данным параметрам должна быть обеспечена проектом КСА. При эксплуатации КСА конкретное разграничение доступа устанавливается подразделением, отвечающим за безопасность информации.

В следствие чего, для построения КСА производятся [10, 52]:

  • разработка ОС, имеющей возможность разграничения доступа к информации, хранящейся в памяти вычислительного комплекса;
  • изоляция областей доступа;
  • разделение БД на группы;
  • контроля перечисленных функций.

При проектировании КСА и АСУ производятся разработки и реализации:

  • функциональных задач по разграничению и контролю доступа к аппаратуре и информации (в рамках КСА и АСУ);
  • аппаратных средств идентификации и аутентификации пользователя;
  • ПО для контроля и управления разграничением доступа;
  • эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.

Для реализации разграничения доступа используются коды-пароли. В системах с повышенными требованиями к защите информации коды-пароли записываются на электронные ключи и карточки.

  1. Разделение привилегий на доступ к информации подразумевает выделение группы лиц, которой предоставляется доступ только при одновременном предъявле­нии полномочий всех членов группы [6, 72].

Задача разделения привилегий на доступ заключается в затруднении преднамерен­ного перехвата нарушителем защищаемой информации. В АСОД можно пре­дусмотреть механизм разделения привилегий при доступе к особо важным данным с применением кодов-паролей.

Этот метод обладает высокой эффективностью защиты. Также на его баз можно организовать доступ к защищаемым данным с санкции вышестоящего лица по запросу или без него.

Таким образом, сочетание двойного криптографического преобразования информации и метода разделения привилегий значительно повышают защиту информации от преднамеренного НСД [12].

Можно также ис­пользовать право на доступ к информации нижестоящего руководителя только при наличии его идентификатора и идентификатора его замести­теля или представителя СБ информации.

3.4. Способы защиты информации от преднамеренного доступа

В целом, для контроля доступа используются как аппаратные, так и программные средства защиты.

    1. Технические или аппаратные средства - различные устройства (электронные, механические, электромеханические и прочие), которые аппаратными средствами решают задачи защиты ИБ (препятствуют физическому проникновению в сеть, препятствуют доступу к самой информации, используют методы маскировки). Препятствие физическому проникновению осуществляется за счет установки замков, решеток на окнах, различной защитной сигнализации. Препятствие доступа к самой информации осуществляется сетевых фильтров и различных других устройств, которые «перекрывают» потенциальные каналы утечки информации, делают их невидимыми для обнаружения [6, 52].

К основным аппаратным средствам защиты информации относятся [8, 130]:

  • устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев);
  • устройства для шифрования информации;
  • устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).

Так на предприятии важно организовать правильный учет материально-технической базы. Все оборудование должно быть инвентаризировано (в том числе и с помощью ПО), опечатано термо-наклейками техосмотра с целью обнаружения и предотвращения взлома оборудования (или должны быть использованы защитные замки), должны заполнятся журналы опечатывания оборудования, ремонта/замены комплектующих. В случае обнаружения вскрытия защитной наклейки необходимо составить акт. Инвентаризацию оборудования можно проводить с помощью различного ПО, в том числе, с помощью Kaspersky Endpoint Security.

Преимуществом использования таких технических средств является их высокая надежность и независимость от субъективных влияний, а также высокая устойчивость к модификациям [8, 132].

Недостатками таких устройств являются высокая стоимость, большие размеры и масса и недостаточная гибкость.

Задачами технических средств защиты информации являются: ликвидация каналов утечки конфиденциальной информации и снижение качества информации, полученной злоумышленниками в следствие НСД.

    1. Программные средства – это программы, предназначенные для: идентификации пользователей, шифрования конфиденциальной информации, контроля доступа к информации, удаления остаточной информации (логов и временных файлов), тестовый контроль системы защиты [10, 75].

К основным программным средствам защиты информации относятся [6, 88]:

  • программы идентификации и аутентификации пользователей вычислительной сети;
  • программы разграничения доступа пользователей к ресурсам вычислительной сети;
  • программы шифрования информации;
  • программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения) от несанкционированного изменения, использования и копирования.

Преимуществами программных средств являются их гибкость, универсальность, простота установки и настройки, надежность, также и способность к модификации.

Недостатками программных средств являются ограниченная функциональность сети, использование не всех ресурсов сервера и станций, наличие высокой чувствительности к преднамеренным или случайным изменениям, зависимость от аппаратной начинки вычислительных средств.

Для предотвращения инцидентов ИБ необходимо наличие следующих дополнительных программных средств [18]:

  • Антивирусное ПО. Отдать предпочтение известным брендам, хорошо зарекомендовавшим себя длительное время на рынке IT-услуг.
  • Межсетевой экран (МСЭ) (брандмауэр, firewall). Его наличие целесообразно при потребности доступа ЛВС к Интернету и при организации взаимодействия со своими удаленными филиалами в режиме on-line. Желательно использовать МСЭ с контролем соединений с использованием дополнительного анализатора содержимого пакетов, также можно использовать МСЭ-посредник приложений (различные прокси-службы) для организации соединения через виртуального «посредника» — отдельный сервис или демон в МСЭ). Обратить внимание на функции создания демилитаризованной зоны и трансляции сетевых адресов (Nat).

Например, брандмауэр Windows позволяет настроить правила FireWall и NAT: маршрутизатора, сервера доступа или FireWall (рис.15). Некоторые МСЭ производят анализ проходящего трафика с определением принадлежности каждого пакета к конкретному соединению с учетом того, кем, когда было инициировано соединение, его активность.

Например, антивирус Kaspersky Endpoint Security также выполняет роль сетевого экрана для управления сетевыми сервисами (рис. 8).

Например, Usergate UTM (Proxy&FireWall) наряду с правилами сетевого экрана, позволяет настраивать правила NAT и маршрутизации (рис. 9)

Рис. 7. Настройка Брандмауэра

Рис. 8. Настройка сетевого экрана в KES

Рис. 9. Настройка маршрутизации и NAT в UG

  • Технология VPN (виртуальной частной сети). Сама технология заключается в применении криптографических методов для обеспечения конфиденциальности и целостности данных, пересылаемых между клиентом и сервером.

Например, VMWare позволяет организовать виртуальную частную сеть (рис. 10).

Рис. 10. vSphere Client VPN

  • Технология VLAN (псевдосеть на базе действующей ЛВС). На одной физической ЛВС возможно организовать несколько виртуальных сетей, изолированных друг от друга. Средством, позволяющим создавать VLAN, является коммутатор, поддерживающий соответствующие механизмы.
  • Сканеры уязвимости. Эти программные средства позволяют степень защищенности сети (диагностика, недостатки в системе).
  • Системы обнаружения и предотвращения атак. Принцип их работы заключается в постоянном анализе активности, при обнаружении подозрительного информационного потока предпринимаются действия по информированию и предотвращению.

Например, антивирус Kaspersky Endpoint Security организует защиту от сетевых атак (рис. 11)

Рис. 11. Настройка защиты от атак в KES

    1. Смешанные средства - аппаратно-программные – средства, выполняющие функции аппаратных и программных средств в отдельности (имеющие те же достоинства и недостатки), но при этом имеют и промежуточные свойства.
    2. Организационные средства - это организационно-технических средства (подготовка помещений с вычислительными средствами, прокладка кабельной системы согласно требований ограничения доступа к информации) и организационно-правовые средства (законодательство и локальные регламенты работы, которые устанавливаются каждым конкретным предприятием или организацией). Такие как:
  • регламент об ИС предприятия (организации), в котором описываются права и обязанности участников ИС в соответствии с   № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • положение о коммерческой тайне, в котором описываются информационные ресурсы, физические носители, участники доступа к информации, составляющей КТ (или конфиденциальную информацию) в соответствии с № 98-ФЗ «О коммерческой тайне»;
  • положение о защите персональных данных в соответствии с № 152-ФЗ «О персональных данных»;
  • приказы о назначении ответственных за обработку персональных данных;
  • приказы о назначении ответственных за использование средств криптографической защиты (для электронного документооборота) согласно Приказа ФСБ России № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», № 63-ФЗ «Об электронной подписи»;
  • регламент резервного копирования ИС предприятия (организации), приказ о назначении ответственных за подготовку баз данных (БД) и процедуру резервного копирования;
  • процедура доступа в серверное помещение;
  • процедура получения доступа к информационным ресурсам (лист доступа к домену, 1С Предприятию, Интернету и прочему ПО ИС предприятия);
  • процедура хранения и доступа средств криптографической защиты и конвертов с паролями.

Преимуществами организационных средств являются: возможность решения разнородных проблем, простота в реализации, мобильность реакции на НСД, неограниченные возможности к модификации.

Недостатками данных средств является достаточно высокая зависимость от субъективных факторов (от конкретной организации политики информационной безопасности).

    1. Шифрование данных – это разновидность программных средств защиты информации, представляет собой, пожалуй,   единственную надежную защиту от утечки информации, передающейся на удаленное расстояние. Шифрование является важным и непреодолимым рубежом защиты информации от НСД [12].

Понятие шифрования употребляется в связи с таким понятием, как криптография, которая  включает в себя все способы и средства обеспечения и конфиденциальности информации, и аутентификации [8, 211]. 

Криптография пред­ставляет собой совокупность методов преобразования данных, направленных на то, чтобы защитить эти данные, сделав их бесполезными для незаконных пользователей.

Понятие конфиденциальности включает защищенность информации от НСД (со стороны лиц, которые не имеют права доступа к такого рода информации).

Например, антивирус Kaspersky Endpoint Security позволяет шифровать данные в соответствии с заданными параметрами (рис. 12).

Рис. 12. Настройка шифрования в KES

В данной главе рассматривается сущность контроля доступа к данным, а также перечень методов и способов защиты информации от преднамеренного доступа.

ЗАКЛЮЧЕНИЕ

Потенциальная возможность взаимодействия с ИС, хранящими и обрабатывающими данные, в том числе стратегические и конфиденциальные, появилась у множества пользователей, среди которых неизбежно найдутся и злоумышленники.

Угрозы ИБ могут происходить как по случайным причинам, а могут быть вызваны и преднамеренно действиями заинтересованных людей, групп и сообществ. В любом случае существуют различные способы снизить риски информационных угроз и свести на нет их нежелательные последствия.

Цель защиты информации (конфиденциальной, государственной, коммерческой тайны) - это сокращение потерь, которые вызваны потерей данных, нарушением их целостности или конфиденциальности, искажением или доступностью для потребителей информации.

Смотрите также файлы