Нарушения, механизмы и службы защиты компьютерных систем и сетей Студент: Бикбаев Игорь Группа: ЭЭТб-1101 Преподаватель: Сенько В.В., к.т.н., доцент Тольятти 2012 г

Компьютерная преступность в России. В странах, где высок уровень компьютеризации, проблема борьбы с компьютерной преступностью уже довольно давно стала одной из первостепенных. И это не удивительно. Например, в США ущерб от компьютерных преступлений составляет ежегодно около 5 млрд долларов, во Франции эти потери доходят до 1 млрд франков в год, а в Германии при помощи компьютеров преступники каждый год ухитряются похищать около 4 млрд марок. Поскольку Россия никогда не входила (и в ближайшем будущем вряд ли войдет) в число государств с высоким уровнем компьютеризации (на большей части ее территории отсутствуют разветвленные компьютерные сети и далеко не везде методы компьютерной обработки информации пришли па смену традиционным), то довольно долго российское законодательство демонстрировало чрезмерно терпимое отношение к компьютерным преступлениям. Положительные сдвиги произошли только после ряда уголовных дел, самым громким из которых стало дело одного из программистов Волжского автомобильного завода, умышленно внесшего деструктивные изменения в программу, которая управляла технологическим процессом. что нанесло заводу значительный материальный ущерб. Отечественное законодательство претерпело существенные изменения, в результате которых был выработан ряд законов, устанавливающих нормы использования компьютеров в России.

Основные механизмы защиты компьютерных систем Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные методы зашиты (защитные механизмы): идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы; разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям; регистрация и оперативное оповещение о событиях, происходящих в системе; (аудит) криптографическое закрытие хранимых и передаваемых по каналам связи данных; контроль целостности и аутентичности (подлинности и авторства) данных; выявление и нейтрализация действий компьютерных вирусов; затирание остаточной информации на носителях; выявление уязвимостей (слабых мест) системы; изоляция (защита периметра) компьютерных сетей (фильтрация трафика, скрытие внутренней структуры и адресации, противодействие атакам на внутренние ресурсы и т.д.); обнаружение атак и оперативное реагирование. Резервное копирование Маскировка. Перечисленные механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты. Рассмотрим перечисленные защитные механизмы подробнее.

Разграничение доступа зарегистрированных пользователей к ресурсам АС: Разграничение (контроль) доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами. Объект - это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа. Субъект -это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа. Доступ к информации - ознакомление с информацией (чтение, копирование), ее модификация (корректировка), уничтожение (удаление) и т.п. Доступ к ресурсу - получение субъектом возможности манипулировать данным ресурса (использовать, управлять, изменять настройки и т.п.). Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе. Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа. Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации. Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. В большинстве систем защиты авторизация осуществляется многократно при каждой попытке доступа субъекта к конкретному объекту. Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).

Авторизация пользователей осуществляется с использованием следующих основных механизмов реализации разграничения доступа: механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.; механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей; механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для использования программ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему. Технические средства разграничения доступа к ресурсам АС должны рассматриваться как составная часть единой системы контроля доступа субъектов: на контролируемую территорию; в отдельные здания и помещения организации; к элементам АС и элементам системы защиты информации (физический доступ); к информационным и программным ресурсам АС. Механизмы управления доступом субъектов к объектам доступа выполняют основную роль в обеспечении внутренней безопасности компьютерных систем. Их работа строится на концепции единого диспетчера доступа. Сущность этой концепции состоит в том, что диспетчер доступа (монитор ссылок) - выступает посредником-контролером при всех обращениях субъектов к объектам.

Схема работы механизма разграничения доступа

Диспетчер доступа выполняет следующие основные функции: проверяет права доступа каждого субъекта к конкретному объекту на основании информации, содержащейся в базе данных системы защиты (правил разграничения доступа); разрешает (производит авторизацию) или запрещает (блокирует) доступ субъекта к объекту; при необходимости регистрирует факт доступа и его параметры в системном журнале (в том числе попытки несанкционированного доступа с превышением полномочий). Основными требованиями к реализации диспетчера доступа являются: полнота контролируемых операций (проверке должны подвергаться все операции всех субъектов над всеми объектами системы, - обход диспетчера предполагается невозможным); изолированность диспетчера, то есть защищенность самого диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования; возможность формальной проверки правильности функционирования; минимизация используемых диспетчером ресурсов (накладных расходов). Под базой данных защиты ( security database ) понимают базу данных, хранящую информацию о правах доступа субъектов к объектам.

Криптографические методы защиты основаны на возможности осуществления некоторой операции преобразования информации, которая может выполняться одним или несколькими пользователями АС, обладающими некоторым секретом, без знания которого (с вероятностью близкой к единице за разумное время) невозможно осуществить эту операцию. В классической криптографии используется только одна единица секретной информации - ключ, знание которого позволяет отправителю зашифровать информацию, а получателю - расшифровать ее. Именно эти операции шифрования/расшифрования с большой вероятностью невыполнима без знания секретного ключа. Поскольку обе стороны, владеющие ключом, могут как шифровать, так и расшифровывать информацию, такие алгоритмы преобразования называют симметричными или алгоритмами с секретным (закрытым) ключом. В криптографии с открытым ключом имеется два ключа, по крайней мере один из которых нельзя вычислить из другого. Один ключ используется отправителем для шифрования информации, закрытие которой необходимо обеспечить. Другой ключ используется получателем для расшифрования полученной информации. Бывают приложения, в которых один ключ должен быть несекретным, а другой - секретным. Алгоритмы преобразования с открытым и секретным ключами называют асимметричными, поскольку роли сторон владеющих разными ключами из пары различны. Криптографические методы Защиты информации

К криптографическим методам зашиты в общем случае относятся: шифрование (расшифрованные) информации; формирование и проверка цифровой подписи электронных документов. Применение криптографических методов и средств позволяет обеспечить решение следующих задач по защите информации: предотвращение возможности несанкционированного ознакомления с информацией при ее хранении в компьютере или на отчуждаемых носителях, а также при передаче по каналам связи; подтверждение подлинности электронного документа, доказательство авторства документа и факта его получения от соответствующего источника информации; обеспечение имитостойкости (гарантий целостности) - исключение возможности необнаружения несанкционированного изменения информации; усиленная аутентификация пользователей системы - владельцев секретных ключей. Основным достоинством криптографических методов защиты информации является то, что они обеспечивают высокую гарантированную стойкость защиты, которую можно рассчитать и выразить в числовой форме (средним числом операций или временем, необходимым для раскрытия зашифрованной информации или вычисления ключей).

Контроль целостности и аутентичности данных, передаваемых по каналам связи Электронная цифровая подпись (ЭЦП) это последовательность символов, полученная в результате преобразования в технических средствах определенного объема информации по установленному математическому алгоритму с использованием ключей, имеющая неизменяемое соотношение с каждым символом данного объема информации. Применение электронной цифровой подписи позволяет: обеспечить аутентичность (подтверждение авторства) информации; обеспечить контроль целостности (в том числе истинности) информации; при использовании многосторонней электронно-цифровой подписи обеспечить аутентификацию лиц, ознакомившихся с информацией; решать вопрос о юридическом статусе документов, получаемых из автоматизированной системы.

Путь к познанию проблем энергетики и освоению методик их решения, к воплощению идей в жизнь - нелегок. С момента поступления в университет и до защиты выпускной квалификационной работы, в которой обязательно решение реальных задач, будущие специалисты по электроэнергетическим системам должны освоить математику и физику, скрупулезно изучить теоретические основы использования явлений электричества и магнетизма, теорию применения высоких и сверхвысоких напряжений при передаче электроэнергии. Наконец, они должны освоить сложнейший механизм автоматики электроэнергетических систем, позволяющий вести экономично, безаварийно, с высокой степенью надежности технологические процессы электроснабжения потребителей электроэнергии. В настоящее время современные электроэнергетические системы являются настолько сложными объектами с разнообразными обратными связями и факторами взаимовлияния, что решение любых вопросов, связанных с проектированием, управлением и эксплуатацией объектов электроэнергетики, немыслимо без использования мощного аппарата вычислительной математики и всех видов вычислительной техники, систем связи и телекоммуникаций. Поэтому за время обучения в университете студенты получают серьезную подготовку в области информатики, новых цифровых технологий, приобретают навыки свободной работы на компьютере, пользования локальными сетями, INTERNET, учатся применять полученные знания к конкретным задачам энергетики, осваивают программно- вычислительные комплексы в области проектирования электроэнергетических систем, анализа их режимов. Универсальность профиля «Электроэнергетические системы и сети» заключается в том, что полученные в университете знания дают возможность заняться и научными изысканиями в области современных методов производства и передачи электрической энергии, и созданием высоковольтных конструкций, и разработкой режимов работы и управления энергосистемами. Можно взяться за проектирование и строительство электрических станций, сетей и систем. Можно заняться грандиозными проектами электроэнергетических установок, уникальными машинами, работами по созданию автоматизированных систем управления электроэнергетикой. А можно остановитьсвой выбор на разработке математических методов для реализации моделей систем с использованием новых информационных технологий.

Выводы Универсальные механизмы защиты, имеющиеся в арсенале специалистов по безопасности, обладают своими достоинствами и недостатками и могут применяться в различных вариациях и совокупностях в конкретных методах и средствах защиты. Повышать уровень стойкости системы защиты за счет применения более совершенных физических и технических средств можно только до уровня стойкости персонала из ядра безопасности системы. Успех или неудача масштабного применения систем защиты информации зависит от наличия в них развитых средств управления режимами работы защитными механизмами, и реализации функций, позволяющих существенно упрощать процессы установки, настройки и эксплуатации средств защиты.

Спасибо за внимание.