Программно-технические методы и средства

Средства защиты информации классифицируются по следующим принципам:

1. Средства защиты от несанкционированного доступа.

2. Системы анализа и моделирования информационных потоков.

1. Средства защиты от несанкционированного доступа включают:

· Средства авторизации.

· Мандатное управление доступом.

· Избирательное управление доступом.

· Управление доступом на основе ролей.

· Журналирование.

Средства авторизации (англ. authorisation) – процесс проверки определенного лица и предоставления ему положенных прав на выполнение некоторых действий.

Мандатное управление доступом (англ. Mandatory access control, MAC) – разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.

В приведенном примере субъект «Пользователь № 2», имеющий допуск уровня «не секретно», не может получить доступ к объекту, имеющего метку «для служебного пользования». В то же время, субъект "Пользователь «№ 1» с допуском уровня «секретно», право доступа к объекту с меткой «для служебного пользования» имеет.

 

Рис. 5.1. Схема мандатной модели управления доступом

СС – совершено секретно; С – секретно; ДСП – для служебного пользования; НС – не секретно.

Избирательное управление доступом (англ. Discretionary access control, DAC) – управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.

Для каждой пары (субъект – объект) задается перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта к данному ресурсу (объекту).

 

Рис. 5.2. Схема дискреционной модели управления доступом

 

Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект "Пользователь «№ 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются.

 

Управление доступом на основе ролей (англ. Role Based Access Control, RBAC) – развитие политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.

Формирование ролей призвано определить четкие и понятные для пользователей компьютерной системы правила разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования компьютерной системы правила разграничения доступа.

Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД (системы управления базами данных), а отдельные элементы реализуются в сетевых операционных системах. Ролевой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.

Так как привилегии не назначаются пользователям непосредственно, и приобретаются ими только через свою роль (или роли), управление индивидуальными правами пользователя по сути сводится к назначению ему ролей. Это упрощает такие операции, как добавление пользователя или смена подразделения пользователем.

 

Журналирование – процесс записи информации о происходящих с каким-то объектом (или в рамках какого-то процесса) событиях в журнал (например, в файл). Также это часто называется аудит.

Журнал это запись в хронологическом порядке операций обработки данных, которые могут быть использованы для того, чтобы воссоздать существовавшую или альтернативную версию компьютерного файла. В системах управления базами данных журнал – это записи обо всех данных, изменённых определённым процессом.

 

2. Системы анализа и моделирования информационных потоков включают:

· системы обнаружения и предотвращения вторжений;

· системы предотвращения утечек конфиденциальной информации.

Система обнаружения и предотвращения вторжений (англ. Intrusion Detection System (IDS)) – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет.

Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которое может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянских коней и червей)

Обычно архитектура СОВ включает:

· сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

· подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;

· хранилище, обеспечивающее накопление первичных событий и результатов анализа;

· консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

 

Системы предотвращения утечек конфиденциальной информации (англ. Data Leak Prevention, DLP) – технологии, технические устройства, программные или программно-аппаратные средства предотвращения утечек конфиденциальной информации из информационной системы.

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.