Лекции по "Информационному обеспечению управления"

Автор работы: Пользователь скрыл имя, 22 Ноября 2012 в 21:48, курс лекций

Описание

ОСНОВЫ СИСТЕМЫ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ УПРАВЛЕНИЯ
Информационное обеспечение различных этапов процесса управления
Понятие управления. Структура управленческого процесса

Работа состоит из  1 файл

(!) ЛЕКЦИИ ИОУ Информационное обеспечение управленческой деятельности 4лекция во вторник.doc

— 2.87 Мб (Скачать документ)

В большинстве случаев НСД возможен из-за непродуманного выбора средств  защиты, их некорректной установки или настройки, недостаточного контроля за работой пользователей, а также при небрежном отношении пользователя к защите собственных данных.

Основными способами НСД являются:

 непосредственное обращение к объектам доступа (файлы, области памяти, ресурсы системы и пр.);

 создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;

 модификация средств защиты;

 внедрение в технические средства обработки информации программных пли технических механизмов, нарушающих предполагаемую структуру и функции данных средств.

Возможны следующие методы реализации НСД к информации.

1. Вредоносные программы. Эти программы прямо или косвенно нарушают процесс обработки информации и способствуют реализации различных угроз.

К вредоносным программам относятся:

 «троянский конь»;

 «вирус»;

 «червь»;

«жадная программа»;

 «логическая бомба»;

 «логический люк»;

 «захватчик паролей».

«Троянский конь»  — программа, которая кроме основных (запроектированных) действий выполняет дополнительные, не описанные в документации. Эти действия реализуются с помощью дополнительного блока команд, внесенных и исходную (безвредную) программу, которую запускают пользователи АС. Троянский конь» может реализовывать функции уничтожения файлов, их изменения, отключения системы зашиты и пр. Дополнительный блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне). «Троянский конь» является одним из наиболее опасных методов НСД.

«Вирус» — программа, которая может «заражать» другие программы путем включения в них своего возможно измененного кода. При этом такой код сохраняет способность к «размножению» «Вирусы»  распространяются в компьютерных системах и (или) сетях и преднамеренно выполняют некоторые вредоносные действия, а также характеризуются возможностью маскировки от попыток обнаружения.

«Червь» — программа, распространяющаяся по вычислительной сети и не оставляющая своей копии на жестком диске компьютера. Она использует определенные механизмы работы сети для определения узла, который может быть заражен. Затем размещается целиком или частично на этом узле и либо активизируется, либо ждет для этого подходящих условий. Как правило, «червь» приводит к реализации такой угрозы, как отказ в обслуживании.

«Жадные программы» при своем выполнении стремятся захватить как можно большее количество какого-либо ресурса системы (память, время процессора, каналы ввода-вывода) и не дать другим программам возможность использовать данный ресурс.

«Логическая бомба» — программа или часть программы, реализующая некоторую функцию при выполнении определенного условия. «Логические бомбы», как правило, используются для искажения или уничтожения информации.

«Логический люк» — это блок, встроенный в большую программу и обычно управляемый простыми командами ЭВМ, что вызывает его обработку средствами операционной системы. Это позволяет преодолеть систему защиты (которая, вообще говоря, должна контролировать выполнение команд в процессе работы программы). Обычно участки программ, реализующие «логический люк», встраиваются в процессе разработки крупных программных комплексов. Это делается для упрощения отладки программ, а именно с целью обхода в процессе отладки участков программы, выполняющих какие-то трудоемкие функции. Обнаружение таких участков в программном обеспечении защищаемой АС (в том числе в операционной системе) позволяет злоумышленнику производить несанкционированные действия.

«Захватчики паролей» — программы, специально предназначенные для кражи паролей на доступ к системе у законных пользователей. Программы работают следующим образом. При попытке входа в систему зарегистрированного пользователя имитируется ввод имени и пароля, которые пересылаются злоумышленнику. Затем выводится сообщение о неправильном вводе пароля, и процедура входа в систему повторяется в нормальном режиме. Таким образом, законный пользователь даже не подозревает о том, что его пароль был похищен.

2. Повторное использование  ресурсов. В этом случае осуществляется считывание остаточной информации, оставшейся после ее удаления санкционированным пользователем. В качестве объекта такой атаки могут выступать: файлы и блоки файлов, буферы, кадры страниц памяти, секторы магнитных дисков, регистры памяти и т. п. Удаляемые данные хранятся на носителе до последующей перезаписи или уничтожения, хотя при удалении файлов искажается их заголовок и прочитать файл становится трудно, но возможно при использовании специальных программ и оборудования. Это может привести к утечке конфиденциальной информации.

Маскарад. Это означает выполнение действий в системе одним пользователем (злоумышленником) от имени другого (санкционированного пользователя). То есть нарушение заключается в присвоении чужих прав и полномочий. К этому способу также относится передача сообщений в сети от имени другого пользователя.

Разрыв линии. При этом методе воздействия происходит переключение линии связи от законного пользователя системы (по окончании его сеанса связи или через разрыв линии) на злоумышленника. При этом данное событие не регистрируется, и система работаете перехватившим канал злоумышленником как с санкционированным пользователем.

Анализ трафика. Это означает сбор и анализ сведений о частоте и методах контактов пользователей с АС или между собой. При этом злоумышленник может выяснить правила вступления пользователя и связь и попытаться произвести НСД под видом санкционированного пользователя. Также данный метол лает возможность с помощью соответствующих аналитических методов получить некоторую конфиденциальную информацию.

Использование программы-имитатора. Это означает имитацию работы того или иного элемента сети и создание у пользователя АС иллюзии взаимодействия с системой, например, для перехвата информации пользователей. Так, экранный имитатор позволяет завладеть информацией, идентифицирующей пользователя при входе в систему (имя и пароль).

Подключение к линиям связи и  внедрение в компьютерную систему с использованием промежутков времени между действиями законного пользователя.

Другими способами реализации угроз  защищаемой информации, кроме НСД, являются:

 статистический вывод информации, содержащейся в базах данных;

 перехват электромагнитных излучений;

 принудительное электромагнитное облучение линии связи с целью получения «паразитных» наводок, т. е. излучении на других частотах;

 применение подслушивающих устройств;

 дистанционное фотографирование или визуальное наблюдение,

 перехват сигналов принтера и восстановление на их основе печатаемого текста;

 хищение носителей информации;

— несанкционированное копирование носителей информации.

Кроме того, серьезной проблемой  является несанкционированное копирование программных средств. Оно заключается в том, что высокий уровень нелегальных («пиратских») копий не только ведет к уменьшению доходов создателей программных средств, но и приводит к тому, что некачественное программное обеспечение имеет «дыры», позволяющие подучить НСД к системе, а значит, нарушить ее информационную безопасность.

В конкретной системе обработки  информации вовсе не обязательно  будут существовать с одинаковой степенью вероятности все виды угроз и способы их реализации. Некоторые из них могут быть трудно реализуемы или же стоимость защиты от них может значительно превышать возможный ущерб от их осуществления. Поэтому при построении системы защиты необходимо определить, какие угрозы наиболее опасны (т. с. их реализация более вероятна и (или) они могу нанести значительный ущерб). Именно на защиту от таких угроз и должна быть рассчитана создаваемая система защиты информации.

На основании определенного перечня угроз формируется политика безопасности.

 

Политики безопасности.

Механизмы поддержки политики безопасности

 

Политика безопасности

 

В широком смысле политика безопасности (ПБ) представляет собой правила обращения с информацией, принятые в данной организации. Применительно к защите информации в вычислительных системах можно сформулировать следующее определение.

Политикой безопасности называется совокупность правил, законов и практических рекомендаций, на основе которых строится управление, защита, распределение конфиденциальной информации в системе.

ПБ должна охватывать все особенности  процесса обработки ин формации и  определять повеление системы в различных ситуациях Политика безопасности представляет собой набор требований, реализуемых с помощью организационных мер и программно-аппаратных средств. Эти требования определяют архитектуру системы защиты информации.

Реализация политики безопасности для конкретной автоматизированной системы осуществляется с помощью соответствующих механизмов защиты и средств управления ими. Для конкретной организации ПБ должна быть индивидуальной, зависящей от применяемых технологий обработки информации, используемых программных и технических средств, существующих угроз защищаемой информации и прочих условий.

 

Механизмы поддержки политики безопасности

 

Механизмами поддержки политики безопасности являются специальные программные  и аппаратные средства, которые применяются в системе защиты, а также ее соответствующие подсистемы.

К. механизмам поддержки ПБ относятся:

  средства идентификации и аутентификации пользователей:

  средства контроля доступа:

  криптографические средства (т. е. средства шифрования информации);

  средства электронно-цифровой подписи:

  средства контроля целостности;

  средства аудита, т. е. фиксации действий пользователей систем.

  механизмы защиты трафика:

  механизмы управления маршрут записи.

Средства идентификации и аутентификации пользователей системы

Идентификация пользователя — процесс  распознавания пользователя системы по некоторому признаку. Обычно в компьютерных системах для идентификации используется некоторое кодовое имя пользователя.

Аутентификация — подтверждение  того факта, что пользователь, предъявляющий системе некоторый идентификатор,- действительно является тем, за кого себя выдает.

В простейших случаях для подтверждения  своей подлинности пользователь должен предъявить пароль — набор некоторых символов, который предполагается известным только данному конкретному пользователю.

Кроме пары «имя — пароль» для идентификации и аутентификации пользователей системы применяются и другие параметры. Так, например, широкое распространение получили системы с использованием пластиковых электронных и магнитных карточек, устройств Touch Memory, смарт-карт. Для работы с различными видами карточек используется специально устройство, называемое считывателем, подсоединяемое к компьютеру. На карточках хранится некоторая информация, которая обрабатывается с помощью специального алгоритма, после чего принимается решение о полномочиях данного пользователя. Устройства Touch Memory обычно выполняются в виде брелоков, которые при соприкосновении со встроенным в ЭВМ считывателем обмениваются с ним идентифицирующей пользователя информацией. Эта информация в дальнейшем обрабатывается так же, как и в случае пластиковых карточек.

Также перспективным направлением развития средств идентификации/аутентификации является разработка систем, основанных на считывании биометрических параметров человека: отпечатки пальцев, форма кисти руки, рисунок сетчатки глаза и пр.

 

Средства контроля доступа

Средства контроля доступа тесно  связаны с работой предыдущей подсистемы, так как решение о  предоставлении некоторому субъекту доступа к информационным ресурсам решается на основании предоставленных им признаков, идентифицирующих его как правомочного пользователя системы.

Можно выделить несколько уровней  контроля доступа.

Контроль доступа при входе в систему. Это означает, что к работе с системой допускается только определенный круг пользователей, каждый из которых имеет свой уникальный идентификатор и для каждого из них определены соответствующие права доступа.

Контроль доступа к отдельным объектам (файлам, папкам, базам данных и пр.). Даже субъекты, допущенные к работе в рамках одной и той же вычислительной системы, могут иметь различные полномочия на доступ к конкретным объектам. Так, некоторые файлы могут быть доступны только их владельцу или определенной им группе лиц. Тогда, при запросе на доступ к таким объектам, система защиты должна потребовать дополнительного подтверждения полномочий на право доступа.

Контроль доступа к отдельным  устройствам системы. В этом случае, например, для установки соединения в рамках локальной вычислительной сети или для подключения к сети Интернет система может потребовать от пользователя подтверждения его полномочий на доступ к средствам коммуникации.

 Контроль доступа в зависимости от применяемого типа политики безопасности осуществляется на основании листов контроля доступа или сравнения меток пользователя и того объекта, к которому он запрашивает доступ.

Первый способ (листы контроля доступа) используется в рамках избирательной (дискреционной) политики безопасности. Лист контроля доступа представляет собой перечисление объектов с указанием для каждого из них тех пользователей, от имени которых разрешено обращение к данному объекту. Такой способ используется, например, в ОС Windows NT.

При так называемой многоуровневой политике безопасности разрешение на доступ субъекта к объекту дается на основании сравнения соответствующих меток: метки класса у субъекта и метки секретности у объекта. Если класс субъекта больше уровня секретности объекта, то этот субъект имеет право чтения информации, содержащейся в данном объекте. В противном случае, если класс субъекта меньше уровня секретности объекта, данный субъект имеет к объекту право доступа на запись. При одинаковом значении меток разрешены оба вида доступов. Право доступа на исполнение подразумевает наличие права доступа на чтение.

Информация о работе Лекции по "Информационному обеспечению управления"