Системы защиты информации

Автор работы: Пользователь скрыл имя, 09 Апреля 2013 в 18:32, реферат

Описание работы

Проблема защиты информации: надежное обеспечение ее сохранности и установление статуса использования - является одной из важнейших проблем современности.
Еще 25-30 лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер и отдельных программно - аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.

Скачать архив (31.87 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

referat.doc

— 123.50 Кб (Скачать файл)

 

  1. Вопросы организации защиты информации

Должны решаться уже на предпроектной стадии разработки СОД.

Следует учитывать, что инфильтрация в систему будет возрастать с ростом значения доступа к информации ограниченного доступа. Именно на этой стадии необходимо четко представлять возможности потенциального нарушителя с тем, чтобы излишне не "утяжелить" систему. Опыт проектирования систем защиты еще недостаточен.

Однако  уже можно сделать некоторые обобщения. Погрешности защиты могут быть в значительной мере снижены, если при проектировании учитывать следующие основные принципы построения системы защиты.

  1. Простота механизма защиты. Этот принцип общеизвестен, но не всегда глубоко осознается. Действительно, некоторые ошибки, не выявленные в ходе проектирования и реализации, позволяют найти неучтенные пути доступа. Поэтому необходимо тщательное тестирование  программного или схемного аппарата защиты, но на практике  такая проверка возможна только для простых и компактных схем.
  2. В механизме защиты разрешения должны преобладать над запретами.А это означает, что в нормальных условиях доступ должен отсутствовать и для работы схемы  защиты  необходимы условия, при  которых доступ становится возможным. Кроме того считается, что запрет доступа  при отсутствии особых указаний обеспечивает  высокую степень надежности механизма защиты. Ошибка в схеме защиты, основанной на использовании разрешений, приводит к расширению сферы действия запретов. Эту ошибку легче обнаружить, и она не нарушит общего статуса защиты.
  3. Контроль должен быть всеобъемлющим. Этот принцип предполагает необходимость проверки полномочия любого обращения к любому объекту и является основой системы защиты. Задача управления доступом с учетом этого принципа должна решаться на общесистемном уровне и для  таких режимов работы, как запуск, восстановление после сбоя, выключение и профилактическое обслуживание. При этом необходимо обеспечить надежное определение источника любого обращения к данным.
  4. Механизм защиты может не засекречиваться, т.е. не имеет смысла засекречивать детали реализации системы защиты, предназначенной для широкого использования. Эффективность  защиты не должна зависеть от того, насколько  опытны потенциальные нарушители, так как гораздо проще обеспечить защиту списка паролей (ключей). Отсутствие же связи между механизмом защиты  и  паролями  позволяет сделать при необходимости схемы защиты предметом широкого обсуждения среди специалистов, не затрагивая при этом интересы пользователей.
  5. Разделение полномочий, т.е. применение нескольких ключей защиты. В СОД наличие нескольких ключей защиты удобно в тех случаях, когда право на доступ определяется выполнением ряда условий.
  6. Минимальные полномочия. Для любой программы и любого пользователя должен быть определен минимальный круг полномочий, необходимых для выполнения порученной работы. Благодаря этим действиям в значительной мере уменьшается ущерб, причиняемый при сбоях и случайных нарушениях. Кроме того, сокращение числа обменов данными между привилегированными программами до необходимого минимума уменьшает вероятность непреднамеренного, нежелательного или ошибочного применения полномочий. Таким образом, если схема защиты позволяет  расставить "барьеры" в системе, то принцип минимальных полномочий обеспечивает наиболее рациональное расположение этих "барьеров".
  7. Максимальная обособленность механизма защиты. В целях исключения обменов информацией между пользователями  при проектировании схемы  защиты рекомендуется сводить к минимуму число общих для нескольких пользователей параметров и характеристик механизма защиты. Несмотря на то, что функции операционной системы разрешения доступа перекрываются, система разрешения доступа должна конструироваться как изолированный программный модуль, т.е. защита должна быть отделена от функций управления данными. Выполнение этого принципа позволяет программировать систему разрешения доступа  как автономный  пакет программ с последующей независимой отладкой и проверкой. Пакет программ должен размещаться  для работы  в защищенном поле памяти, чтобы обеспечить системную локализацию попыток проникновения извне. Даже попытка проникновения со стороны программ операционной системы должна автоматически фиксироваться, документироваться и отвергаться, если  вызов выполнен некорректно. Естественно, что в результате реализации обособленного механизма защиты могут возрасти объемы программы и сроки на ее разработку, возникнуть дублирование управляющих и вспомогательных программ, а также необходимость в разработке самостоятельных вызываемых функций.
  8. Психологическая привлекательность. Схема защиты должна быть в реализации простой. Естественно, чем точнее совпадает представление пользователя о схеме защиты с ее фактическими возможностями, тем меньше ошибок возникает в процессе применения. Использование некоторых искусственных языков при обращении к схеме защиты обычно служит источником дополнительных ошибок.

 

  1. Оценка эффективности  систем защиты программного обеспечения

Системы защиты ПО широко распространены и находятся в постоянном развитии, благодаря расширению рынка ПО и  телекоммуникационных технологий. Необходимость  использования систем защиты (СЗ) ПО обусловлена рядом проблем, среди  которых следует выделить: незаконное использование алгоритмов, являющихся интеллектуальной собственностью автора, при написании аналогов продукта (промышленный шпионаж); несанкционированное использование ПО (кража и копирование); несанкционированная модификация ПО с целью внедрения программных злоупотреблений; незаконное распространение и сбыт ПО (пиратство).

Системы защиты ПО по методу установки  можно подразделить на системы, устанавливаемые  на скомпилированные модули ПО; системы, встраиваемые в исходный код ПО до компиляции; и комбинированные.

Системы первого типа наиболее удобны для производителя ПО, так как  легко можно защитить уже полностью  готовое и оттестированное ПО (обычно процесс установки защиты максимально автоматизирован и  сводится к указанию имени защищаемого  файла и нажатию "Enter"), а потому и наиболее популярны. В то же время стойкость этих систем достаточно низка (в зависимости от принципа действия СЗ), так как для обхода защиты достаточно определить точку завершения работы "конверта" защиты и передачи управления защищенной программе, а затем принудительно ее сохранить в незащищенном виде.

Системы второго типа неудобны для  производителя П.О, так как возникает  необходимость обучать персонал работе с программным интерфейсом (API) системы защиты с вытекающими  отсюда денежными и временными затратами. Кроме того, усложняется процесс тестирования П.О и снижается его надежность, так как кроме самого П.О ошибки может содержать API системы защиты или процедуры, его использующие. Но такие системы являются более стойкими к атакам, потому что здесь исчезает четкая граница между системой защиты и как таковым П.О.

Для защиты ПО используется ряд методов, таких как:

Алгоритмы запутывания - используются хаотические переходы в разные части кода, внедрение ложных процедур - "пустышек", холостые циклы, искажение количества реальных параметров процедур ПО, разброс участков кода по разным областям ОЗУ и т.п.

Алгоритмы мутации - создаются таблицы соответствия операндов - синонимов и замена их друг на друга при каждом запуске программы по определенной схеме или случайным образом, случайные изменения структуры программы.

Алгоритмы компрессии данных - программа упаковывается, а затем распаковывается по мере выполнения.

Алгоритмы шифрования данных - программа шифруется, а затем расшифровывается по мере выполнения.

Вычисление сложных  математических выражений в процессе отработки механизма защиты - элементы логики защиты зависят от результата вычисления значения какой-либо формулы или группы формул.

Методы затруднения  дизассемблирования - используются различные приемы, направленные на предотвращение дизассемблирования в пакетном режиме.

Методы затруднения  отладки - используются различные приемы, направленные на усложнение отладки программы.

Эмуляция процессоров  и операционных систем - создается виртуальный процессор и/или операционная система (не обязательно реально существующие) и программа-переводчик из системы команд IBM в систему команд созданного процессора или ОС, после такого перевода ПО может выполняться только при помощи эмулятора, что резко затрудняет исследование алгоритма ПО.

Нестандартные методы работы с аппаратным обеспечением - модули системы защиты обращаются к аппаратуре ЭВМ, минуя процедуры операционной системы, и используют малоизвестные или недокументированные её возможности.

 

Заключение

Проблемы обеспечения сохранности  значительно усложняются при  организации машинной обработки  информации в условиях коллективного  пользования, где сосредотачивается, обрабатывается и накапливается информация различного назначения и принадлежности.

Не существует каких-либо причин, по которым в системах  машинной обработки данных, базирующихся на современных средствах  вычислительной техники, невозможно было бы обеспечить большую степень сохранности данных, чем в обычных системах сбора, накопления  и обработки информации. Система должна защищать своих пользователей друг от друга как от случайных, так и целенаправленных угроз нарушения сохранности информации. Кроме того, принятые механизмы обеспечения сохранности должны предоставлять пользователю средства  для защиты его программ и данных от него самого.

Совершенствование технологии обработки  информации привело к созданию информационных баз данных, содержащих большие объемы разнообразной информации что тоже предъявляет дополнительные требования к обеспечению сохранности информации.

В системах коллективного пользования, имеющих развитую сеть терминалов, основная сложность обеспечения безопасности состоит в том, что потенциальный нарушитель является полноправным абонентом системы.

Поэтому под термином "защита" подразумевается способ обеспечения безопасности в СОД. Защита информации обычно сводится к выбору средств контроля за выполнением программ, имеющих доступ к информации, хранимой в системе обработки данных (СОД).

Литература

    1. Хореев П.В. «Методы и средства защиты информации в компьютерных системах» 2005 год, издательский центр «Академия»
    2. С. Середа "Программно-аппаратные системы защиты программного обеспечения"
    3. Груздев С. "16 вариантов русской  защиты" /КомпьютерПресс №392 
    4. Карасик И. Программные и аппаратные средства защиты информации для персональных компьютеров / /КомпьютерПресс №3, 1995
    5. Мафтик С. Механизмы защиты в сетях ЭВМ.  /пер. с англ. М.:МИР, 1993.
    6. Петров В.А., Пискарев С.А., Шеин А.В. Информационная безопасность.
    7. Защита информации от несанкционированного доступа в автоматизированных системах. - М., 1998.
    8. Спесивцев  А.В. и др. Защита информации в персональных ЭВМ. - М.: Радио и связь, 1993.

 

Аннотация к реферату на тему: «Системы защиты информации»

 

    1. Понятие систем защиты информации.

Системы защиты информации – комплекс оборудования и программного обеспечения, отвечающие за информационную безопасность (аутентификация пользователей и безопасный доступ к защищенным информационным ресурсам) и защиту программного обеспечения от несанкционированного использования.

 Программные и программно-аппаратные  средства обеспечения безопасности  информации – к аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав КС и выполняющие (как самостоятельно, так и при помощи программных средств) некоторые функции по обеспечению безопасности информации.

К основным аппаратным средствам защиты информации относятся:

    • Устройства ввода идентифицирующий пользователя информации;
    • Устройства шифрования информации;
    • Устройства для воспрепятствования несанкционированному включению рабочих станций серверов.

Под программными средствами информационной безопасности понимают специальные  программные средства, включаемые  в состав программного обеспечения  КС исключительно для выполнения защитах функций.

К основным программным средствам  защиты информации относятся:

      • Программы идентификации аутентификации пользователей КС;
      • Программы разграничения доступа пользователе к ресурсам КС;
      • Программы от несанкционированного доступа, копирования изменения и использования.

 Классификация систем защиты  информации.

В качестве классификационного признака для систем защиты можно выбрать  их функциональные свойства. На основе этого признака выделяются системы:

    • без схем защиты;
    • с полной защитой;
    • с единой схемой защиты;
    • с программируемой схемой защиты;
    • системы с засекречиванием.

 

2.1. В системах с полной защитой обеспечивается взаимная изоляция пользователей, нарушаемая только для информации общего пользования (например, библиотеки общего пользования). В отдельных системах средства работы с библиотеками общего пользования позволяют включить в них информацию пользователей, которая  тоже становится общим достоянием.

2.2. В системах с единой схемой защиты для каждого файла создается список авторизованных пользователей. Кроме того, применительно к каждому файлу указываются разрешаемые режимы его использования: чтение, запись или выполнение, если этот файл является программой. Основные концепции защиты здесь довольно просты, однако их реализация довольно сложная.

2.3. В системах с программируемой схемой защиты предусматривается механизм  защиты данных с учетом специфических требований пользователя, например, ограничение календарного времени работы системы, доступ только к средним значениям файла данных, локальная защита отдельных элементов массива данных и  т.д.  В  таких системах пользователь должен иметь возможность выделить защищаемые объекты и подсистемы.

2.4. В системах с  засекречиванием решаются не вопросы ограничения доступа программ к информации, а осуществляется контроль над дальнейшим использованием полученной информации. Например, в системе использования грифов секретности на документах гриф служит уведомлением о мере контроля. В СОД эта схема защиты используется редко.

 

3. Вопросы организации защиты информации

Должны решаться уже на предпроектной  стадии разработки СОД.

Следует учитывать, что инфильтрация в систему будет возрастать с ростом значения доступа к информации ограниченного доступа. Именно на этой стадии необходимо четко представлять возможности потенциального нарушителя с тем, чтобы излишне не "утяжелить" систему. Опыт проектирования систем защиты еще недостаточен.

Однако уже можно сделать некоторые обобщения. Погрешности защиты могут быть в значительной мере снижены, если при проектировании учитывать следующие основные принципы построения системы защиты.

  1. Простота механизма защиты. Этот принцип общеизвестен, но не всегда глубоко осознается. Действительно, некоторые ошибки, не выявленные в ходе проектирования и реализации, позволяют найти неучтенные пути доступа. Поэтому необходимо тщательное тестирование  программного или схемного аппарата защиты, но на практике  такая проверка возможна только для простых и компактных схем.
  2. В механизме защиты разрешения должны преобладать над запретами. А это означает, что в нормальных условиях доступ должен отсутствовать и для работы схемы  защиты  необходимы условия, при  которых доступ становится возможным. Кроме того считается, что запрет доступа  при отсутствии особых указаний обеспечивает  высокую степень надежности механизма защиты. Ошибка в схеме защиты, основанной на использовании разрешений, приводит к расширению сферы действия запретов. Эту  ошибку легче обнаружить, и она не нарушит общего статуса защиты.
  3. Контроль должен быть всеобъемлющим. Этот принцип предполагает необходимость проверки полномочия любого обращения к любому объекту и является основой системы защиты. Задача управления доступом с учетом этого принципа должна решаться на общесистемном уровне и для  таких режимов работы, как запуск, восстановление после сбоя, выключение и профилактическое обслуживание. При этом необходимо обеспечить надежное определение источника любого обращения к данным.
  4. Механизм защиты может не засекречиваться, т.е. не имеет смысла засекречивать детали реализации системы защиты, предназначенной для широкого использования. Эффективность  защиты не должна зависеть от того, насколько  опытны потенциальные нарушители, так как гораздо проще обеспечить защиту списка паролей (ключей).Отсутствие же связи между механизмом защиты  и  паролями  позволяет сделать при необходимости схемы защиты предметом широкого обсуждения среди специалистов, не затрагивая при этом интересы пользователей.
  5. Разделение полномочий, т.е. применение нескольких ключей защиты. В СОД наличие нескольких ключей защиты удобно в тех случаях, когда право на доступ определяется выполнением ряда условий.
  6. Минимальные полномочия. Для любой программы и любого пользователя должен быть определен минимальный круг полномочий, необходимых для выполнения порученной работы. Благодаря этим действиям в значительной мере уменьшается ущерб, причиняемый при сбоях и случайных нарушениях. Кроме того, сокращение числа обменов данными между привилегированными программами до необходимого минимума уменьшает вероятность непреднамеренного, нежелательного или ошибочного применения полномочий. Таким образом, если схема защиты позволяет расставить "барьеры" в системе, то принцип минимальных полномочий обеспечивает наиболее рациональное расположение этих "барьеров".
  7. Максимальная обособленность механизма защиты. В целях исключения обменов информацией между пользователями  при проектировании схемы  защиты рекомендуется сводить к минимуму число общих  для  нескольких пользователей параметров и характеристик механизма защиты. Несмотря на то, что функции операционной системы разрешения доступа перекрываются, система разрешения доступа должна конструироваться как изолированный программный модуль, т.е. защита должна быть отделена от функций управления данными. Выполнение этого принципа позволяет программировать систему разрешения доступа  как автономный  пакет программ с последующей независимой отладкой и проверкой. Пакет программ должен размещаться  для работы  в защищенном поле памяти, чтобы обеспечить системную локализацию попыток проникновения извне. Даже попытка проникновения со стороны программ операционной системы должна автоматически фиксироваться, документироваться и отвергаться, если  вызов выполнен некорректно. Естественно, что в результате реализации обособленного механизма защиты могут возрасти объемы программы и сроки на ее разработку, возникнуть дублирование управляющих и вспомогательных программ, а также необходимость в разработке самостоятельных вызываемых функций.
  8. Психологическая привлекательность. Схема защиты должна быть в реализации простой. Естественно, чем точнее совпадает представление пользователя о схеме защиты с ее фактическими возможностями, тем меньше ошибок возникает в процессе применения. Использование некоторых искусственных языков при обращении к схеме защиты обычно служит источником дополнительных ошибок.

Информация о работе Системы защиты информации