Читайте также:
|
|
Потребительские свойства (назначение) добавочного средства защиты информации, определяются тем, в какой мере добавочным средством устраняются архитектурные недостатки встроенных в ОС механизмов защиты, применительно к решению требуемых задач в корпоративных приложениях, и насколько комплексно (эффективно) им решается эта совокупность задач защиты информации.
2. Вопросы оценки эффективности средства защиты информации.
Эффективность СЗИ от НСД (как, впрочем, практически любой сложной технической системы) можно оценить, исследовав вопросы корректности реализации механизмов защиты и достаточности (полноты) набора механизмов защиты, применительно к практическим условиям ее использования. Требования к корректности реализации механизмов защиты определены в действующем сегодня нормативным документе «Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации», который используется при сертификации СЗИ от НСД, требования к достаточности (полноте, применительно к условиям использования) набора механизмов защиты определены действующим сегодня нормативным документом «Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации», который используется при аттестации объектов информатизации, в том числе, и при использовании в АС СЗИ от НСД.
2.1. Оценка корректности реализации механизмов защиты.
На первый взгляд, казалось бы, оценку корректности реализации механизмов защиты СЗИ от НСД провести не сложно. Действительно, есть нормативный документ, который достаточно однозначно формулирует необходимый набор требований. Однако, на практике это не так. Проиллюстрируем сказанное простым примером.
В NTFS файловый объект может быть идентифицирован различными способами:
· Файловые объекты, задаваемые длинными именами, характеризуются той отличительной особенностью, что к ним можно обращаться, как по длинному, так и по короткому имени, например к каталогу “\Program files\” можно обратиться по короткому имени “\Progra~1\”;
· Файловые объекты, задаваемые русскими (либо в иной кодировке) буквами, также имеют короткое имя, которое формируется с использованием кодировки Unicode (внешне они могут существенно различаться), например, короткое имя для каталога “C:\Documents and Settings\USER1\Главное меню” выглядит как “C:\Docume~1\USER1\5D29~1\”. К этим объектам также можно обратиться, как по длинному, так и по короткому имени;
Файловый объект идентифицируется не только именем, но и своим идентификатором (ID) – индекс объекта в таблице MFT, причем некоторые программы обращаются к файловым объектам не по имени, а именно по ID.
--------------------
Пусть установленная в Вашей информационной системе средство защиты информации не перехватывает и не анализирует лишь один подобный способ обращения к файловому объекту, и, по большому счету, она становится полностью бесполезной (рано или поздно, злоумышленник выявит данный недостаток средства защиты и воспользуется им).
Дата добавления: 2015-11-14; просмотров: 90 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Ряд файловых объектов не разделяется ОС (например, папка All Users) и приложениями между пользователями. | | | Отсюда получаем требование к корректности реализации СЗИ от НСД – должен контролировать доступ к ресурсу при любом способе обращения к ресурсу (идентификации ресурса). |