Защита от несанкционированного доступа к информации
Защита от несанкционированного доступа к информации
Одна из злободневных тем для пользователя любого уровня. В данной презентации рассматриваются следующие вопросы:
Несанкционированный доступ: -причины несанкционированного доступа к информации; -последствия несанкционированного доступа к информации; -проблема несанкционированного доступ
Средства ограничения физического доступа
Средства защиты от НСД по сети: -виртуальные частные сети; -межсетевое экранирование; -комплексная защита
Методы и средства защиты информации и основы информационной безопасности
Разграничение доступа к информаци
Разграничение доступа к масштабируемой информаци
Управление доступом
Методы защиты информации техническими средствами: -дезинформирование
Физическая защита информации
Программно-технические способы и средства обеспечения информационной безопасности: -авторизация; -мандатное управление доступом; -избирательное управление доступом; -управление доступом на основе паролей; -системы мониторинга сетей; -криптографические средства; -шифрование цифровая подпись; -системы резервного копирования
Используемые ресурсы
Вы уже знаете о суперспособностях современного учителя?
Тратить минимум сил на подготовку и проведение уроков.
Быстро и объективно проверять знания учащихся.
Сделать изучение нового материала максимально понятным.
Избавить себя от подбора заданий и их проверки после уроков.
Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации
Причины несанкционированного доступа к информации
ошибки конфигурации (прав доступа, файрволов, ограничений на массовость запросов к базам данных)
слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников)
ошибки в программном обеспечении
злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации)
Прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС
Использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации
Последствия несанкционированного доступа к информации
утечка персональных данных (сотрудников компании и организаций-партнеров),
утечка коммерческой тайны и ноу-хау,
утечка служебной переписки,
утечка государственной тайны,
полное либо частичное лишение работоспособности системы безопасности компании.
Проблема несанкционированного доступа
Несанкционированный доступ (НСД) злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия:
Читать и/или модифицировать электронные документы, которые в дальнейшем будут храниться или редактироваться на компьютере.
Осуществлять перехват различной ключевой информации, используемой для защиты электронных документов.
Использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети.
Уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения.
Средства ограничения физического доступа
Создание списка пользователей, которым разрешен доступ на защищаемый компьютер. Для каждого пользователя формируется ключевой носитель (в зависимости от поддерживаемых конкретным замком интерфейсов – дискета, электронная таблетка iButton или смарт-карта), по которому будет производиться аутентификация пользователя при входе. Список пользователей сохраняется в энергонезависимой памяти замка.
Формирование списка файлов, це ло стнос ть ко то ры х ко н тр ол ируется замком перед загрузкой операционной системы компьют е ра. К онт р олю под л еж а т важные файлы операционной системы, например, следующие:
системные библиотеки Wi ndows ; исполняемые модули используемых приложений; шаблоны документов Microsoft Word и т. д.
системные библиотеки Wi ndows ;
исполняемые модули используемых приложений;
шаблоны документов Microsoft Word и т. д.
Средства защиты от НСД по сети
Виртуальные частные сети
Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями , аналогия с которыми просматривается в следующем:
Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации.
Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют.
Межсетевое экранирование
Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией
антивирусное сканирование
контроль корректности пакетов
контроль корректности соединений (например, установления, использования и разрыва TCP-сессий)
контент-контроль
Комплексная защита
шифратор способен быть центром безопасности всего компьютера, на его базе можно построить полнофункциональную систему криптографической защиты данных, обеспечивающую, например, следующие возможности:
Защита компьютера от НСД по сети и организация VPN.
5. Вычисление/проверка ЭЦП.
Шифрование файлов по требованию.
6. Защита сообщений электронной почты.
Методы и средства защиты информации и основы информационной безопасности
Построение системы информационной безопасности в России требует к себе системного подхода.
Информационная безопасность опирается на разграничение доступа к объектам защиты информации.
Информационная защита должна обязательно обеспечить регулярное резервное копирование наиболее важных массивов данных и надлежащее их хранение.
3. Органы защиты информации должны обеспечивать профилактику заражения компьютерными вирусами объекта защиты информации.
4. Организационные мероприятия.
5. Скрытие информации и дезинформирование.
Обеспечение средств борьбы с вредоносным ПО (Антивирусы, антиспам-программы, системы предотвращения атак и множество других программных продуктов).
Создание физической преграды пути злоумышленникам к защищаемой информации.
Целостность данных.
Управление доступом.
Разграничение доступа к информации
На сегодняшний день применяются два метода разграничения доступа – дискреционный (Flask, другие ориентированные на безопасность операционные системы) и мандатный ( Unix, Windows NT).
Суть первого подхода состоит в табличном задании прав доступа каждого пользователя к каждому объекту (логическому диску, каталогу, файлу). При этом в случае разрешения доступа к объекту субъекту однозначно задается набор правил взаимодействия с объектом - доступ на запись, чтение, модификацию.
В основе второго подхода лежит использование так называемых меток конфиденциальности (мандатов) - чисел, отражающих уровень допуска объекта к информации и, соответственно, уровень конфиденциальности информации, принадлежащей объекту. Допуск к информации субъекту разрешается если его мандат не ниже, чем у регламентированного субъекта.
Разграничение доступа к масштабируемой информации
Масштабируемая по уровню конфиденциальности информация должна быть распределена по файлам (каталогам) так, чтобы ни один файл не содержал конфиденциальной информации и каждый уровень конфиденциальности информации определялся бы своим уникальным числом (порогом) файлов, содержащих в совокупности информацию, относимую к данному уровню конфиденциальности. Все масштабируемые файлы должны иметь равные права доступа. Параметром доступа является только количество файлов, к которым одновременно может получить доступ пользователь. Каждому пользователю табличным либо мандатным способом должны быть заданы права на доступ к соответствующей его допуску группе (количеству) масштабируемых файлов.
Управление доступом
Идентификация пользователей, ресурсов и персонала системы информационной безопасности сети.
Опознание и установление подлинности пользователя по вводимым учетным данным (на данном принципе работает большинство моделей информационной безопасности).
Допуск к определенным условиям работы согласно регламенту, предписанному каждому отдельному пользователю.
Методы защиты информации техническими средствами
Воспрепятствование непосредственному проникновению злоумышленника к источнику информации с помощью инженерных конструкций, технических средств охраны.
Скрытие достоверной информации , предусматривает такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.
"Подсовывание" злоумышленнику ложной информации.
Дезинформирование
Дезинформирование относится к числу наиболее эффективных способов защиты информации по следующим причинам:
Создает у владельца защищаемой информации запас времени, обусловленный проверкой разведкой достоверности полученной информации
Последствия принятых конкурентом на основе ложной информации решений могут быть для него худшими по сравнению с решениями, принимаемыми при отсутствии добываемой информации.
Физическая защита информации
Охраняемая территория.
Здание (сооружение).
Выделенное помещение.
Информация и (или) информационные ресурсы объекта информатизации.
Программно-технические способы и средства обеспечения информационной безопасности
Средства авторизации;
Мандатное управление доступом;
Избирательное управление доступом;
Управление доступом на основе паролей;
Журналирование (так же называется Аудит).
Системы анализа и моделирования информационных потоков (CASE-системы).
Системы мониторинга сетей:
Системы обнаружения и предотвращения вторжений (IDS/IPS).
Системы предотвращения утечек конфиденциальной информации (DLP-системы).
Авториза́ция (от англ. authorization — разрешение, уполномочивание) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий
Мандатное управление доступом
Мандатное управление доступом (англ. Mandatory access control, MAC ) — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.
Избирательное управление доступом
Избирательное управление доступом (англ. discretionary access control , DAC) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.
Управление доступом на основе паролей
Пароль (фр. parole — слово) — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя
Системы мониторинга сетей
С методологической точки зрения мониторинг программ можно рассматривать как процедуру по оценке, целью которой является выявление и (или) измерение эффектов продолжающихся действий без выяснения причин.
Шифрова́ние — обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с предоставлением, в это же время, авторизованным пользователям доступа к ней
Электронная цифровая подпись(ЭЦП) - это полученный в результате криптографического (шифровального) преобразования информации с использованием закрытого ключа подписи реквизит электронного документа, предназначенный для защиты этого документа от подделки, а также от внесения несанкционированных изменений.
Системы резервного копирования
Резервное копирование (англ. backup copy ) — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения