ИБ (11) - Лекция №2 - Угрозы безопасности АСОИиУ

Материал из Кафедра ИУ5 МГТУ им. Н.Э.Баумана, студенческое сообщество
Перейти к навигации Перейти к поиску

Угрозы безопасности АСОИиУ

Состав систем:

  • аппаратные средства;
  • программные средства;
  • сами данные (данные в зашифрованном виде с юридической точки зрения считаются программой);
  • персонал, обслуживающий систему.

Для описания и изучения злоумышленника строится специальная модель нарушителя. О ней будет рассказано потом.

Несанкционированный доступ

Наиболее распространённый вид нарушений информационной безопасности. Суть НСД состоит в получении злоумышленником доступа к объекту в нарушение правил разграничения доступа.

Основные каналы НСД:

  • все штатные каналы (терминалы пользователей, операторов системы, средства отображения и документирования информации), а также каналы связи при их использовании нарушителями плюс законными пользователями при превышении полномочий;
  • технологические пульты управления;
  • линии связи между аппаратными средствами;
  • побочные электромагнитные излучения от аппаратуры, линий связи, сетей электропитания и заземления - ПЭМИН (побочные электромагнитные излучения наводки).

Подходы к обеспечению безопасности

Фрагментарный

Направлен на противодействие определённым угрозам в заданных условиях. Например, антивирус против вирусов;

Комплексный

Направлен на создание защищённой среды обработки информации, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация такой защищёной среды позволяет гарантировать определённый уровень безопасности автоматизированной системы.

Но у этого подхода есть недостаток - он вносит ограничение на свободу пользователей. Он становится чувствительным к ошибкам инсталляции и настройки средств защиты. Также является сложным в управлении.

Этапы создания системы защиты:

  1. выявление числа угроз;
  2. планирование системы защиты;
  3. реализация системы;
  4. сопровождение системы.

Политика безопасности

Это набор норм, правил и практических рекомендаций, документов, на которых строится управление, защита и распределения информации в автоматизированной системе.

Она:

  • регламентирует эффективную работу средств защиты системы;
  • реализуется комплексом организационных мер, физическими и программно-техническими средств. Определяет архитектуру системы. Определяется способом управления доступом;
  • носит индивидуальный характер и зависит от конкретной технологии и используемых средств.

Два вида политики безопасности:

1) избирательная (дискреционная) - администратором определяется множество разрещённых отношений доступа, задаваемое матрицей доступа:

Полномочная

Или мандатная - совокупность правил предоставления доступа, определённых на множестве атрибутов безопасности субъектов и объектов, например в зависимости от метки конфиденциальности информации и уровня допуска пользователя.

Полномочное управление доступом подразумевает:

  1. все субьекты и объекты системы однозначно идентифицированы;
  2. каждому объекту системы присвоена метка конфиденциальности, определяющая ценность содержащейся информации. Чем важнее объект, тем выше метка его конфиденциальности;
  3. каждому субъекту присвоен определённый уровень допуска, определяющий максимальное значение метки конфиденциальности информации объектов, к которым субъект имеет доступ.

Метки конфиденциальности:

  1. доступно всем;
  2. секретно;
  3. совершенно секретно;
  4. особой важности.

Разработка системы безопасности

Меры, используемые при разработке системы безопасности:

  1. морально-этические;
  2. правовые, законодательные, юридические;
  3. административные, организационно-административные;
  4. физические, технические;
  5. программно-аппаратные. Чаще всего, реализуются криптографическими методами.