Наиболее распространен первый метод, не требующий особой квалификации от исполнителя. Эффективным его можно признать только в том случае, если средство или комплекс средств защиты хорошо изучены и имеют явные, не устраненные уязвимости.
Более эффективный второй метод используется при реализации атак реже, но при его применении средство защиты информации может быть обойдено не исследованными ранее способами, что всегда наиболее опасно.
Процесс исследования системы с целью нарушения ее безопасности или тестирования можно отобразить показанным на рисунке 1 способом.
Рис. 1. Исследование системы
Можно определить три основных свойства защищенной информации, выделяемые в нормативных документах предметной области:
- конфиденциальность;
- целостность;
- доступность.
Конфиденциальность может быть нарушена в результате несанкционированного доступа к информации. Целью нарушения конфиденциальности коммерческой тайны может также являться использование информации с точки зрения извлечения выгоды, то есть реализация потенциальной коммерческой ценности.
Целостность информации нарушается в результате изменения содержимого (логической структуры) информационного ресурса системы, а также нарушения его физической целостности.
Доступность информации может нарушаться в результате технических и иных причин, вызывающих отказ в доступе авторизованного санкционированного пользователя к ней. Основные реализации такой угрозы называются атаками типа «отказ в обслуживании» и достаточно часто применяются в глобальных компьютерных системах информационного обмена.
Можно отметить и то, что в зарубежных стандартах рассматриваются и другие аспекты обеспечения информационной безопасности. В частности, отмечается необходимость корректного задания и функционирования следующих элементов систем обеспечения информационной безопасности:
- цели безопасности;
- спецификация функций безопасности;
- описание механизмов безопасности.
Кроме того, согласно ГОСТ Р 50739-95, выделяют требования к защищенности информации, основанные на изучении различных видов угроз и являющихся основой функционирования программно-аппаратной защиты.
Итак, можно указать, что защищенность, согласно нормативным документам, обеспечивается тремя группами требований к средствам защиты, реализуемым в средствах вычислительной техники:
- требования к разграничению доступа, предусматривающие то, что средства вычислительной техники должны поддерживать непротиворечивые, однозначно определенные правила разграничения доступа;
- требования к учету, предусматривающие то, что средства вычислительной техники должны поддерживать регистрацию событий, имеющих отношение к защищенности информации;
- требования к гарантиям, предусматривающие необходимость наличия в составе средств вычислительной техники технических и программных механизмов, позволяющих получить гарантии того, что средства вычислительной техники обеспечивают выполнение требований к разграничению доступа и к учету.
Безопасность операционных систем
Большинство современных операционных систем построено с использованием дискретизационного метода контроля доступа. Для реализации дискретизационного принципа контроля доступа комплекс средств защиты должен контролировать доступ именованных субъектов к именованным объектам.
Объектами операционной системы могут быть следующие ее компоненты:
- терминалы;
- устройства;
- порты (точки входа/выхода);
- файлы;
- каталоги;
- архивы;
- программы;
- процессы.
Как можно заметить из перечня, объектом может быть практически любой компонент системы. Необходимо отметить отличительный признак объекта – его пассивное восприятие воздействие. Понятие объекта также тесно связано с понятием ресурса.
Активные компоненты системы называются субъектами. Как правило, это внешние либо внутренние с позиции операционной системы участники информационного обмена. Субъектами операционной системы, в свою очередь, являются:
- администраторы;
- пользователи;
- процессы;
- программы.
В операционной системе со встроенными средствами обеспечения информационной безопасности должны быть реализованы основные механизмы:
- ядро безопасности;
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.