Для оценки защищенности системы проводят анализ ее уязвимостей. Под уязвимостями понимаются «слабые места» системы, которыми может воспользоваться злоумышленник как собственно для атаки, так и для сбора необходимой информации о системе для будущих атак.
Анализ уязвимостей может быть двух видов: пассивный и активный.
При пассивном анализе производится только сканирование системы — определяются элементы и механизмы системы, защита которых недостаточна, чем может воспользоваться злоумышленник. При этом также делаются предположения о возможности проведения вторжения.
Активный анализ предполагает попытки проведения различною рода атак и, в большинстве случаев, является более достоверным и эффективным методом. Однако при его использовании есть вероятность выхода системы из строя. Практические исследования показали, что уязвимости можно разделить на два класса:
— операционные дефекты (ошибки реализации);
— ошибки администрирования. Операционные дефекты характеризуют технологическую безопасность информационного ресурса и
являются результатом ошибок проектирования и реализации программного обеспечения АС. Для удобства создания систем защиты и моделирования проникновения в АС целесообразно классифицировать ошибки проектирования по механизмам (подсистемам) безопасности системы. При этом основными типами операционных дефектов являются недостатки механизмов аутентификации, разграничении доступа, целостности данных, криптографии, а также сетевых протоколов и ошибки программной реализации.
Ошибки администрирования характеризуют эксплуатационную безопасность и являются результатом некорректных настроек операционной системы и ее приложений по отношению к назначению АС и требованиям к ее безопасности. Причинами ошибок администрирования могут быть различные некомпетентные, халатные или злонамеренные действия администраторов и пользователей АС. Основными типами ошибок администрирования являются ошибки параметров подключения пользователей, настройки парольной зашиты и использования легко подбираемых паролей, конфигурирования сервера, назначения полномочий.
В настоящее время существуют специальные средства контроля защищенности. Кроме того, многие системы информационной безопасности имеют встроенные средства для осуществления такого контроля. В любом случае необходимо уделять достаточное внимание этому этапу создания и функционирования системы защиты, так как наличие системы защиты, в работе которой возможны серьезные сбои и ошибки, в некоторых случаях хуже ее отсутствия. Это связано с тем, что у пользователей появляется иллюзия защищенности, хотя на самом деле ситуация прямо противоположная.
Таким o6pазом, для грамотного выбора или построения системы защиты информации и поддержания ее функционирования необходимо обратить внимание на следующие моменты:
— выявление всех возможных угроз защищаемой информации:
— грамотное, полное и четкое формулирование политики безопасности организации в целом и вычислительной системы в частности:
— комплексность построения системы защиты: она должна содержать полный набор необходимых механизмов и средств защиты и осуществлять их совместное использование:
— необходимость постоянного слежения за работой системы зашиты и ее периодических проверок;
— правильный выбор фирмы-производителя системы защиты и ее отдельных компонентов: данная фирма должна хорошо зарекомендовать себя на рынке, желательно наличие большого опыта работы в данной области и широкой сети клиентов.
Только при соблюдении перечисленных условий можно говорить об обеспечении определенного уровня информационной безопасности.
Необходимо запомнить!
1. Информационная безопасность — такое состояние информационных ресурсов, при котором они защищены от любых негативных воздействий, способных привести к нарушению полноты, целостности, доступности этих ресурсов или вызвать утечку или утрату содержащейся в них информации.
2. Добывание конфиденциальной информации организаций называется промышленным шпионажем. В нем выделяются следующие виды: агентурный, легальный и технический.
3. Выделяют следующие направления обеспечения защиты информации: правовая, организационная, инженерно-техническая, программно-аппаратная.
4. Процесс создания системы зашиты информации в АС состоит из следующих этапов: выявление угроз защищаемой информации, определение политики безопасности, создание механизмов поддержки политики безопасности оценка защищенности системы.
5. Наиболее распространенным видом компьютерных нарушений считается несанкционированный доступ к информации. Существуем множество методов НСД.
6. На основе выявленных угроз формулируется политика безопасности — свод правил обращения с конфиденциальной информацией.
7. Для поддержки политики безопасности необходимо наличие специальных механизмов и средств защиты.
8. Важным элементом процесса защиты информации является контроль эффективности системы защиты.
Вопросы к главе 4
1. Какими свойствами должно обладать информации?
2. Что такое утечка информации?
3. Расскажите о промышленном шпионаже и его видах.
4. Дайте определение информационной безопасности.
5. Перечислите основные виды защиты информации и дайте их краткое описание.
6. Что входит в понятие угроза защищаемой информации?
7. Каковы основные виды угроз?
8. Перечислите основные способы НСД.
9. Дайте определение политики безопасности.
10.Перечислите основные механизмы поддержки политики безопасности. 11. Значение контроля эффективности системы защиты информации.