|
Читайте также: |
Для оценки защищенности системы проводят анализ ее уязвимостей. Под уязвимостями понимаются «слабые места» системы, которыми может воспользоваться злоумышленник как собственно для атаки, так и для сбора необходимой информации о системе для будущих атак.
Анализ уязвимостей может быть двух видов: пассивный и активный.
При пассивном анализе производится только сканирование системы — определяются элементы и механизмы системы, защита которых недостаточна, чем может воспользоваться злоумышленник. При этом также делаются предположения о возможности проведения вторжения.
Активный анализ предполагает попытки проведения различною рода атак и, в большинстве случаев, является более достоверным и эффективным методом. Однако при его использовании есть вероятность выхода системы из строя.
Практические исследования показали, что уязвимости можно разделить на два класса:
— операционные дефекты (ошибки реализации);
— ошибки администрирования.
Операционные дефекты характеризуют технологическую безопасность информационного ресурса и являются результатом ошибок проектирования и реализации программного обеспечения АС. Для удобства создания систем защиты и моделирования проникновения в АС целесообразно классифицировать ошибки проектирования по механизмам (подсистемам) безопасности системы. При этом основными типами операционных дефектов являются недостатки механизмов аутентификации, разграничении доступа, целостности данных, криптографии, а также сетевых протоколов и ошибки программной реализации.
Ошибки администрирования характеризуют эксплуатационную безопасность и являются результатом некорректных настроек операционной системы и ее приложений по отношению к назначению АС и требованиям к ее безопасности. Причинами ошибок администрирования могут быть различные некомпетентные, халатные или злонамеренные действия администраторов и пользователей АС. Основными типами ошибок администрирования являются ошибки параметров подключения пользователей, настройки парольной зашиты и использования легко подбираемых паролей, конфигурирования сервера, назначения полномочий.
В настоящее время существуют специальные средства контроля защищенности. Кроме того, многие системы информационной безопасности имеют встроенные средства для осуществления такого контроля. В любом случае необходимо уделять достаточное внимание этому этапу создания и функционирования системы защиты, так как наличие системы защиты, в работе которой возможны серьезные сбои и ошибки, в некоторых случаях хуже ее отсутствия. Это связано с тем, что у пользователей появляется иллюзия защищенности, хотя на самом деле ситуация прямо противоположная.
Таким o6pазом, для грамотного выбора или построения системы защиты информации и поддержания ее функционирования необходимо обратить внимание на следующие моменты:
— выявление всех возможных угроз защищаемой информации:
— грамотное, полное и четкое формулирование политики безопасности организации в целом и вычислительной системы в частности:
— комплексность построения системы защиты: она должна содержать полный набор необходимых механизмов и средств защиты и осуществлять их совместное использование:
— необходимость постоянного слежения за работой системы зашиты и ее периодических проверок;
— правильный выбор фирмы-производителя системы защиты и ее отдельных компонентов: данная фирма должна хорошо зарекомендовать себя на рынке, желательно наличие большого опыта работы в данной области и широкой сети клиентов.
Только при соблюдении перечисленных условий можно говорить об обеспечении определенного уровня информационной безопасности.
Дата добавления: 2015-07-20; просмотров: 116 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Механизмы поддержки политики безопасности | | | Необходимо запомнить! |