Информационная безопасность. Курс лекций
Шрифт:
Модели трансформации состояния являются наиболее общими и основаны на описании системы в виде конечного автомата. Модели этого класса позволяют наиболее полно описать процессы защиты информации и их взаимосвязь с технологией обработки информации в АСУ. В качестве основы большинство моделей трансформации состояний используют модель Бэлла-Лападулы.
Модели заимствования и передачи полномочий в основном формулируются в понятиях теории множеств или теории графов. В основе всех моделей этого класса в явном или неявном виде лежит матрица контроля доступа, что является существенным ограничением при описании динамических операций присвоения или изменения классификации ресурсов системы.
Семантические
Модели информационного потока основываются на предположенной Фентоном решетке безопасности и определяют порядок взаимодействия объектов системы в терминах переноса информации. Появление моделей данного класса сопровождалось достаточно интересными и перспективными теоретическими исследованиями, однако в дальнейшем было показано, что модели информационного потока могут быть описаны в терминах трансформации состояний объектов, получающих или отдающих информацию с соответствующими фифами.
Кроме рассмотренных принципов классификации моделей, необходимо учитывать области их применимости, т. е. среду реализации описываемых механизмов защиты. Обычно рассматриваются следующие среды функционирования: отдельная ЭВМ, вычислительная система, сеть передачи данных, информационно-вычислительная сеть.
На каждую модель безопасности при ее формулировке накладывается ряд ограничений (или допущений), которые на начальном этапе носят неформальный характер, а затем формализуются. Такими допущениями могут быть наличие в системе администратора службы безопасности (АСБ), который выполняет ряд специфических операций, не свойственных другим пользователям системы, соглашения о многоуровненности ресурсов, наличие у передаваемых сообщений меток, отражающих степень конфиденциальности данных (меток чувствительности) и т. д.
Краткие результаты анализа существующих моделей обеспечения безопасности информации, отражающие основную идею, область применения, соотношения с другими моделями, математические основы, ограничения и допущения, использованные при формулировании модели, показаны в табл. 1.
Для однозначного понимания описываемых далее моделей необходимо ввести ряд определений, основанных на обобщении существующих предложений по терминологии в области защиты информации.
Таблица 1 Результаты анализа существующих моделей
Определение 1. Ресурсом системы называется любое устройство, программа, функция, база данных, файл, которые могут использоваться для выполнения какой-либо операции в АСУ.
Определение 2. Субъект доступа – активный ресурс, в качестве которого могут выступать процесс или устройство, реализующие какие-либо действия над другими ресурсами системы.
В некоторых случаях субъектом может быть оператор АСУ.
Определение 3. Объект доступа – пассивный ресурс, используемый субъектом доступа для выполнения операций в АСУ.
Определение 4. Доступ – процесс использования технических и программных средств, обеспечивающий логическую (или физическую) связь с каким-либо ресурсом АСУ для его функционального использования или получения (модификации) поддерживаемых этим ресурсом данных.
Определение 5.
Определение 6. Категория доступа – один из классов, к которым может быть отнесен оператор АСУ или субъект доступа при классификации их по предоставленным полномочиям.
Определение 7. Классификация объекта – отнесение ресурса АСУ к одному из классов защиты при определении его значимости в системе, грифа секретности поддерживаемых этим ресурсом данных и множества разрешенных операций.
Лекция 11
Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений
Учебные вопросы:
1. Состояние вопросов обеспечения информационной безопасности.
2. Угрозы и уязвимости КСУЗ.
3. Этапы построения БКСУЗ.
4. Направление исследований
Введение
В настоящее время противоречие между требованиями к защите ресурсов компьютерных сетей учебных заведений (КСУЗ) и ростом компьютерных преступлений определяет одну из важных задач – построение интегрированной системы безопасности КСУЗ. Данная проблема включает в себя комплексное решение задач определения нормативно-правовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации в процессе обучения. Несмотря на видимую схожесть задач защиты корпоративных сетей и компьютерных сетей вузов, задача по обеспечению безопасности вузовских сетей не получила окончательного решения и, в рамках динамичности развития процесса безопасности информационных технологий, находится в процессе постановки.
Кроме общих проблем внедрения технологий безопасности для вузовских сетей можно отметить две специфические:
– отсутствие единой технической политики информационной безопасности (ИБ) в области образования, в том числе унифицированных вузовских технологий;
– в вузах, как известно, сосредоточены наиболее вероятные потенциальные нарушители безопасности компьютерных систем.
Решение задач ИБ осложняется: текучестью кадров, разнородностью специалистов, большим количеством пользователей, отсутствием больших финансовых ресурсов, часто, недооценкой вопросов физической защиты и обработкой условно (декларировано) открытой информации.
В данной работе рассмотрены проблемные вопросы и общие направления построения интегрированной системы безопасности КСУЗ.
Вопрос 1. Состояние вопросов обеспечения информационной безопасности
В настоящее время вопросы ИБ в вузах стали принимать все более актуальное значение. Следует вспомнить, что проблема компьютерных правонарушений зародилась именно в вузах (например, вирус Морриса). По оценкам МВД число компьютерных преступлений за предыдущий год в России возросло в 4 раза. Анализ сообщений в Интернет относительно уголовных правонарушений по статьям компьютерных преступлений показал, что фактически все они были совершены студентами. Кроме того, множество инцидентов находятся на грани компьютерных преступлений. Помимо сетевых атак, в последнее время возникло такое явление, как информационное противостояние студентов в Интернет, например: ведение неофициальных сайтов вузов (mgtu.ru), выкладывание компрамата на преподавателей, «реферативная» поддержка и т. д.