Информационная безопасность. Защита от несанкционированного доступа

Автор работы: Пользователь скрыл имя, 21 Ноября 2011 в 19:34, курсовая работа

Краткое описание

Информация является изначально слабозащищенным ресурсом, поэтому представляется чрезвычайно важным принимать повышенные меры ее защиты, обеспечивая полный комплекс обеспечения информационной безопасности. Человечество осознало это очень давно. С давних времен люди пытались защитить ценные для них сведения. Еще в древние времена применялись различные методы защиты данных, такие как шифрование.

Содержимое работы - 1 файл

Информационные системы, Информационная безопасность .doc

— 329.50 Кб (Скачать файл)

    Сертификаты X.509 ISO являются популярным видом цифровых сертификатов. X.509 означает определенный формат и содержание цифрового сертификата. Этот формат стал популярным благодаря протоколу защищенных сокетов (SSL) компании Netscape, формату архивных файлов Java (JAR), а также ряду других новых стандартов безопасности Internet.

    В больших сетях, таких как Internet, может  оказаться необходимой многоуровневая структура сертификации. В таком  случае орган высшего уровня, например компания VeriSign, Inc., могут выдавать сертификаты полномочным органам второго уровня. Органы второго уровня могут, в свою очередь, выдавать сертификаты другим компаниям. В результате возникает иерархическая структура сертификации. Сертификация лиц находящихся в конце ветвей этой структуры зависит от лиц занимающих более высокий уровень иерархии. Такие связи называют цепочками сертификации.

    Во  многих современных веб-серверах и  веб-браузерах имеются возможности  по использованию электронных сертификатов. SSL - это технология, используемая в большинстве веб-приложений. SSL версии 2.0 поддерживает усиленную аутентификацию на веб-сервере, а SSL 3.0 добавил поддержку аутентификации клиента. После того, как обе стороны произвели взаимную аутентификацию, все данные, передаваемые в ходе сеанса шифруются, обеспечивая защиту как от перехвата данных, так и от вставки данных в сеанс. Электронные сертификаты используют стандарт X.509, содержат в себе информацию о том, кто выдал сертификат, период его использования, и другую информацию.

    Любые системы организации, доступ к которым должен быть ограничен из Интернета, должны использовать электронные сертификаты для проверки личности пользователя и для аутентификации сервера. Сертификаты могут быть выданы только специально назначенным в организации ответственным лицом. Пользователи должны использовать сертификаты в сочетании со стандартными технологиями, такими как SSL для непрерывной аутентификации, исключающей риск вставки атакующим команд в сеанс.

    Электронные сертификаты, хранящиеся на персональном компьютере, должны быть защищены с помощью паролей или ключевых фраз. При этом должны выполняться все правила в отношении паролей, установленные в организации. 
 
 
 

3. Защита от несанкционированного доступа

      Этот  раздел работы посвящен более подробному рассмотрению одного из наиболее актуальных вопросов в области информационной безопасности, а именно защите информации от несанкционированного доступа (далее НСД).

      Несанкционированный доступ к информации - доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т. д.) в компьютерных базах данных, файловых хранилищах, архивах, секретных частях и т. д. различных организаций путём изменения (повышения, фальсификации) своих прав доступа.

      Другими словами, это доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Так же иногда несанкционированным доступом называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей. Это активные действия по созданию возможности распоряжаться информацией без согласия собственника. Такие действия могут быть квалифицированы с использованием ст. 183, 272 УК РФ.

      Защита  компьютеров от НСД является одной  из основных проблем защиты информации, поэтому в большинство операционных систем и популярных пакетов программ встроены различные подсистемы защиты от НСД. Например, выполнение аутентификации в пользователей при входе в операционные системы семейства Windows. Однако, не вызывает сомнений тот факт, что для серьезной защиты от НСД встроенных средств операционных систем недостаточно. К сожалению, реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из-за регулярно обнаруживаемых уязвимостей, позволяющих получить доступ к защищаемым объектам в обход правил разграничения доступа. Выпускаемые же производителями программного обеспечения пакеты обновлений и исправлений объективно несколько отстают от информации об обнаруживаемых уязвимостях. Поэтому в дополнение к стандартным средствам защиты необходимо использование специальных средств ограничения или разграничения доступа.

      Несанкционированный доступ злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия:

  • Читать и/или модифицировать электронные документы, которые в дальнейшем будут храниться или редактироваться на компьютере.
  • Осуществлять перехват различной ключевой информации, используемой для защиты электронных документов.
  • Использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети.
  • Уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения.

      В защите информации компьютеров и  сетей от НСД можно выделить три основных направления:

  • Первое - ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах опознавания пользователя;
  • Второе - связано с защитой вычислительной среды и основывается на создании специального программного обеспечения;
  • Третье - связано с использованием специальных средств защиты информации компьютеров от несанкционированного доступа.

      Следует иметь в виду, что для решения  каждой из задач применяются как  различные технологии, так и различные средства.

      Теперь  я подробнее рассмотрю как реализуются различные классы методов обеспечения информационной безопасности.

      Технические средства, реализующие функции защиты можно разделить на:

  • встроенные;
  • внешние.

      К встроенным средствам защиты персонального компьютера и программного обеспечения относятся средства парольной защиты BIOS, операционной системы, СУБД. Данные средства могут быть как откровенно слабыми, так и значительно более стойкими. Использование сильных сторон этих средств позволяет значительно усилить систему защиты информации от НСД.

      Внешние средства призваны подменить встроенные средства с целью усиления защиты, либо дополнить их недостающими функциями. К ним можно отнести: - аппаратные средства доверенной загрузки; - аппаратно-программные комплексы разделения полномочий пользователей на доступ; - средства усиленной аутентификации сетевых соединений.

      Аппаратные  средства доверенной загрузки представляют собой изделия, иногда называемые «электронным замком». Теоретически, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе. Поступить подобным образом с аппаратным средством защиты практически невозможно: все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям.

      Обычно  аппаратные средства представляют собой плату расширения персонального компьютера, с необходимым программным обеспечением, записанным либо во Flash-память платы, либо на жесткий диск компьютера. Принцип их действия простой. В процессе загрузки стартует BIOS и платы защиты от НСД. Он запрашивает идентификатор пользователя и сравнивает его с хранимым во Flash-памяти карты. Идентификатор дополнительно можно защищать паролем. Затем стартует встроенная операционная система платы или компьютера (чаще всего это вариант MS-DOS), после чего стартует программа проверки целостности программного обеспечения. Как правило, проверяются системные области загрузочного диска, загрузочные файлы и файлы, задаваемые самим пользователем для проверки. Проверка осуществляется либо на основе имитовставки алгоритма ГОСТ 28147-89, либо на основе функции хэширования алгоритма ГОСТ Р 34.11-34 или иного алгоритма. Результат проверки сравнивается с хранимым во Flash-памяти карты. Если в результате сравнения при проверке идентификатора или целостности системы выявится различие с эталоном, то плата заблокирует дальнейшую работу, и выдаст соответствующее сообщение на экран. Если проверки дали положительный результат, то плата передает управление персональному компьютеру для дальнейшей загрузки операционной системы. Все процессы идентификации и проверки целостности фиксируются в журнале. Достоинства устройств данного класса - их высокая надежность, простота и невысокая цена. При отсутствии многопользовательской работы на компьютере функций защиты данного средства обычно достаточно.

      Функции «электронного замка» заключаются в надежной идентификации пользователя, а также в проверке целостности программного обеспечения компьютера, контроль целостности файлов представляет собой вычисление их эталонной контрольной суммы, например, хэширование по алгоритму ГОСТ Р 34.11-94, сохранение вычисленных значений в энергонезависимой памяти замка и последующее вычисление реальных контрольных сумм файлов и сравнение с эталонными.

      Также необходимо отметить, что при использовании  электронных замков существует ряд  проблем, в частности:

  • BIOS некоторых современных компьютеров может быть настроен таким образом, что управление при загрузке не передается BIOS’у замка. Для противодействия подобным настройкам замок должен иметь возможность блокировать загрузку компьютера (например, замыканием контактов Reset) в случае, если в течение определенного интервала времени после включения питания замок не получил управление.
  • Злоумышленник может просто вытащить замок из компьютера. Однако, существует ряд мер противодействия:
    • Различные организационно-технические меры: пломбирование корпуса компьютера, обеспечение отсутствие физического доступа пользователей к системному блоку компьютера и т. д.
    • Существуют электронные замки, способные блокировать корпус системного блока компьютера изнутри специальным фиксатором по команде администратора – в этом случае замок не может быть изъят без существенного повреждения компьютера.
    • Довольно часто электронные замки конструктивно совмещаются с аппаратным шифратором. В этом случае рекомендуемой мерой защиты является использование замка совместно с программным средством прозрачного (автоматического) шифрования логических дисков компьютера. При этом ключи шифрования могут быть производными от ключей, с помощью которых выполняется аутентификация пользователей в электронном замке, или отдельными ключами, но хранящимися на том же носителе, что и ключи пользователя для входа на компьютер. Такое комплексное средство защиты не потребует от пользователя выполнения каких-либо дополнительных действий, но и не позволит злоумышленнику получить доступ к информации даже при вынутой аппаратуре электронного замка.

      Аппаратно-программные  комплексы разделения полномочий на доступ используются в случае работы нескольких пользователей на одном  компьютере, если встает задача разделения их полномочий на доступ к данным друг друга. Решение данной задачи основано на:

  • запрете пользователям запусков определенных приложений и процессов;
  • разрешении пользователям и запускаемым ими приложениям лишь определенного типа действия с данными.

      Реализация  запретов и разрешений достигается различными способами. Как правило, в процессе старта операционной системы запускается и программа защиты от несанкционированного доступа. Она присутствует в памяти компьютера, как резидентный модуль и контролирует действия пользователей на запуск приложений и обращения к данным. Все действия пользователей фиксируются в журнале, который доступен только администратору безопасности. Под средствами этого класса обычно и понимают средства защиты от несанкционированного доступа. Они представляют собой аппаратно-программные комплексы, состоящие из аппаратной части — платы доверенной загрузки компьютера, которая проверяет теперь дополнительно и целостность программного обеспечения самой системы защиты от НСД на жестком диске, и программной части - программы администратора, резидентного модуля. Эти программы располагаются в специальном каталоге и доступны лишь администратору. Данные системы можно использовать и в однопользовательской системе для ограничения пользователя по установке и запуску программ, которые ему не нужны в работе. Средства усиленной аутентификации сетевых соединений применяются в том случае, когда работа рабочих станций в составе сети накладывает требования для защиты ресурсов рабочей станции от угрозы несанкционированного проникновения на рабочую станцию со стороны сети и изменения либо информации, либо программного обеспечения, а также запуска несанкционированного процесса.

      Защита  от НСД со стороны сети достигается  средствами усиленной аутентификации сетевых соединений. Эта технология получила название технологии виртуальных частных сетей. Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN-агенты. VPN-агент – это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций. VPN-агент может находиться непосредственно на защищаемом компьютере. В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными.[6]

Информация о работе Информационная безопасность. Защита от несанкционированного доступа