Читайте также:
|
|
Обеспечение ИБ на уровне деятельности фирм и систем определяется нормативно-правовыми основами и доктриной ИБ РФ. Но построение стратегий ИБ и моделей ее реализации зависит от самой фирмы. При этом стратегия безопасности подразумевает множество условий, при которых пользователи системы могут получить доступ к информации и ресурсам, и определяет требования, которые должны быть выполнены при разработке конкретной системы. Для реализации желаемой стратегии безопасности (СБ) в системе должны присутствовать соответствующие механизмы. В большинстве случаев они содержат автоматизированные компоненты, являющиеся частью базового вычислительного окружения (операционной системы), с соответствующим числом процедур пользователя и администратора.
Если стратегия безопасности — это множество процедур, технологий и требований к конкретной системе, то модель безопасности (МБ) — это абстрактное описание поведения целого класса систем без рассмотрения конкретных деталей их реализации. Модели безопасности являются полезным инструментарием при разработке определенных стратегий.
Стратегия безопасности КС или автоматизированной управленческой системы может быть представлена в неформальном и формальном виде.
Для неформальных стратегий широкое распространение получило описание правил доступа субъектов к объектам в виде таблиц. Такие таблицы подразумевают, что субъекты и объекты, а также типы доступа для данной системы определены. Это позволяет составить таблицу в виде отдельных колонок для различных типов доступа и для соответствующих отношений, которые должны соблюдаться между субъектом и объектом по данному типу доступа.
Преимуществом такого способа представления СБ является то, что она гораздо легче для понимания малоквалифицированными пользователями и разработчиками, чем формальное описание, так как для ее восприятия не требуется специальных математических знаний. Это снижает уровень помех, создаваемых безопасностью в использовании данной системы. Основным недостатком является то, что при такой форме представления СБ гораздо легче допустить логические ошибки, а более сложные выражения будет затруднительно представить в табличной форме. Использование неформальных примечаний для разрешения такого рода проблем только увеличивает вероятность появления ошибки. Особенно это справедливо для политик безопасности нетривиальных систем, подобных многопользовательским операционным системам. В результате разработчики (а в дальнейшем и пользователи) безопасных компьютерных систем начали применять формальные средства для описания СБ.
Чаще всего в основе формальных СБ лежат модели безопасности. Преимуществом формального описания является отсутствие противоречий в СБ и возможность теоретического доказательства безопасности системы при соблюдении всех условий СБ. Модели безопасности могут быть разделены на группы:
разграничения доступа и мандатные модели;
контроля целостности;
отказа в обслуживании;
анализа безопасности программного обеспечения (ПО);
взаимодействия объектов вычислительной сети (ВС). При этом необходимо учесть, что СБ предприятия (организации) должна охватывать весь жизненный цикл фирмы и, в первую очередь, должна быть построена по многоуровневому принципу защиты, начиная от охранной системы территории до защиты аппаратных средств, особенно внешних коммуникаций. Но наиболее актуально для фирмы решение проблемы защиты КС.
Одним из важнейших аспектов проблемы ИБ компьютерных систем является противодействие разрушающим программным средствам (РПС). Существуют несколько подходов к решению этой задачи:
1)создание специальных программных средств, предназначенных исключительно для поиска и ликвидации конкретных видов РПС (типа антивирусных программ);
2)проектирование ВС, архитектура и МБ которых либо в принципе не допускает существование РПС, либо ограничивает область их активности и возможный ущерб;
3)создание и применение методов и средств анализа ПО на предмет наличия в них угроз информационной безопасности ВС и элементов РПС.
Первый подход не может привести к удовлетворительным результатам, так как борется только с частными проявлениями сложной проблемы. Второй подход имеет определенные перспективы, но требует серьезной переработки концепции ОС и их безопасности, что связано с огромными затратами. Поэтому наиболее эффективным является третий подход, позволяющий путем введения обязательной процедуры анализа безопасности программ достаточно надежно защитить наиболее важные системы от РПС. Процедуру анализа ПО на наличие в них угроз ИБ ВС будем называть анализом безопасности программного обеспечения. Данный подход требует разработки соответствующих теоретических моделей программ, ВС и РПС, создания методов анализа безопасности и методик их применения.
Дата добавления: 2015-12-08; просмотров: 58 | Нарушение авторских прав