Читайте также:
|
Очевидно, что компьютерная безопасность является ключевой составляющей защиты любой информационной системы и во многом определяет ее эффективность в целом. Вопросы защиты приложений (иногда говорят об информационных технологиях) уже вторичны, их имеет смысл рассматривать как дополнительную (подчас, опциональную) возможность защиты информационной системы. Особое место в компьютерной безопасности занимает защита информации от несанкционированного доступа (НСД), призванная противодействовать хищению и несанкционированному искажению данных, хранящихся и обрабатываемых на компьютере (априори задача защиты информационных ресурсов включает в себя и задачу защиты системных ресурсов). Приоритетность и исключительная важность эффективного решения данной задачи обусловливают широкое практическое использование средств защиты информации от НСД (СЗИ от НСД), как следствие, расширение их номенклатуры на рынке средств защиты информации. С учетом же того, что СЗИ от НСД, в большинстве своем, обладают различными функциональными возможностями, перед потребителем встает задача выбора эффективного средства защиты информации.
1. Назначение и общая классификация средств защиты информации (СЗИ от НСД).
Прежде всего, попытаемся ввести общую классификацию СЗИ от НСД, которая позволит упорядочить взгляд на данный сектор рынка средств защиты. Средства защиты информации в общем случае можно разделить на универсальные и специализированные (по области применения), на частные и комплексные решения (по совокупности решаемых задач), на встроенные в системные средства и добавочные (по способу реализации). Подобная классификация крайне важна, ввиду того, что при построении СЗИ от НСД каждого типа разработчиками формулируются и решаются совершенно различные задачи, что, в большой мере, определяет область эффективного использования СЗИ от НСД. Например, большинство современных ОС можно отнести к универсальным, используемым и в личных целях, и в корпоративных приложениях, а эти области приложений выдвигают совершенно различные, причем, во многом противоречащие друг другу, требования к механизмам защиты. Естественно, что при построении средства защиты универсального системного средства должно учитываться, какая область его практического использования доминирует. Как следствие, во многом, защита в современных универсальных ОС реализуется, исходя из концепции полного доверия к пользователю, и становится во многом бесполезной в корпоративных приложениях, например, при решении задач противодействия внутренним ИТ-угрозам (хищению конфиденциальных данных санкционированными пользователями - инсайдерами). Если речь заходит о совокупности решаемых задач, то здесь уже следует говорить о комплексировании механизмов, как в части эффективного решения конкретной задачи защиты, так и в части решения комплекса задач. Простейший пример: как можно решить частную задачу защиты добавочным средством, если не предусмотреть вопросы защиты собственного этого добавочного средства (в ОС Windows любой пользователь может загрузиться в Safe Mode и загрузиться без средства защиты). Если же говорить о комплексировании механизмов защиты для решения задачи защиты информации в комплексе, то здесь сразу сталкиваемся с кардинальными противоречиями требований к реализации ключевых механизмов защиты. Например, не трудно показать, что реализация мандатного принципа контроля доступа (формализация отношений субъектов и объектов доступа на основе меток безопасности или мандатных уровней), призванного противодействовать понижению категории конфиденциальности обрабатываемых данных, не допустима при решении задачи антивирусной защиты, т.к. его использование приводит к катастрофическому росту вероятности «заражения» конфиденциальных данных макро-вирусами, хранящихся в открытых данных. Для решения данной задачи должен использоваться вероятностный контроль доступа, а комплексирование этих механизмов в одной СЗИ от НСД выдвигает требование к реализации полномочного контроля доступа к ресурсам на основе матрицы доступа.
На сегодняшний день в своей подавляющей части средства защиты информации создаются применительно к решению задач усиления встроенных в универсальные ОС механизмов защиты. Это обусловливается двумя причинами, во-первых, эффективная защита на уровне ОС является ключевой задачей защиты информации от НСД, во-вторых, защита современных ОС не в достаточной степени ориентирована на использование в корпоративных приложениях (защита конфиденциальной информации). Подтвердим сказанное на примере простейшего анализа механизмов защиты ОС Windows.
В части противодействия внутренним ИТ-угрозам.
Назначение механизмов защиты: обеспечить возможность пользователя работать на компьютере, как с открытой, так и с конфиденциальной информацией, при этом предотвратить любую возможность хищения санкционированным пользователем (сотрудником предприятия, допущенным к обработке информации на вычислительном средстве) конфиденциальных данных.
Некоторые (далеко не полный список) недостатки механизмов защиты ОС Windows:
Реализован дискреционный принцип контроля доступа к файловым объектам, предполагающий, что пользователь, создавший файловый объект (становится его «владельцем») может предоставить доступ к этому объекту другим пользователям.
Дата добавления: 2015-11-14; просмотров: 65 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Особенности защиты информации в базах данных | | | Ряд файловых объектов не разделяется ОС (например, папка All Users) и приложениями между пользователями. |