- •Оглавление
- •Лекция №1: Понятие информационной безопасности. Основные составляющие. Важность проблемы.
- •Понятие информационной безопасности
- •Основные составляющие информационной безопасности
- •Важность и сложность проблемы информационной безопасности
- •Лекция №2: Наиболее распространенные угрозы
- •Основные определения и критерии классификации угроз
- •Наиболее распространенные угрозы доступности
- •Некоторые примеры угроз доступности
- •Вредоносное программное обеспечение
- •Основные угрозы целостности
- •Основные угрозы конфиденциальности
- •Лекция №3:Законодательный уровень информационной безопасности
- •Что такое законодательный уровень информационной безопасности и почему он важен
- •Обзор российского законодательства в области информационной безопасности Правовые акты общего назначения, затрагивающие вопросы информационной безопасности
- •Закон "Об информации, информатизации и защите информации"
- •Другие законы и нормативные акты
- •Лекция №4:Стандарты и спецификации в области информационной безопасности
- •Лекция №5: Принципы защиты информации от несанкционированного доступа
- •Структура монитора обращений
- •Лекция №6. Криптографические основы безопасности
- •Цифровая подпись
- •Лекция №7. Защита информации от утечки по техническим каналам
- •Лекция. №8. Создание комплексной системы защиты конфиденциальной информации
- •1. Введение
- •2. Методическое направление работ по созданию ксзи
- •Концепция (Политика) безопасности
- •3. Организационное направление работ по созданию ксзи
- •Регламент обеспечения безопасности
- •Общие документы
- •Документы по работе с кадрами
- •Документы по защите ас и свт
- •4. Техническое направление работ по созданию ксзи
- •Лекция №9. Заключение:
- •Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности
- •Законодательный, административный и процедурный уровни
- •Программно-технические меры
- •Основные тезисы
- •Компьютерная безопасность
- •Безопасность компьютеров в сети
- •Тесты-определения по информационной безопасности
Компьютерная безопасность
Компьютерная защита объединяет такие разные вещи, как контроль санкционированного (и несанкционированного) доступа, управление учетными записями и привилегиями пользователя, защиту от копирования, от вирусов и защиту баз данных. В принципе, к защите компьютерной информации также относится защита от подсоединения других пользователей через сеть, от подбора паролей и от проникновения вирусов.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.)
Контроль доступа. Совместное обеспечение конфиденциальности, неприкосновенности и доступности сводится к контролю доступа. Эта проблема связана не только с компьютерами. Существует два способа задать условия контроля доступа. Можно оговорить, что разрешено делать различным субъектам, или оговорить, что позволено делать с различными объектами.
Модели безопасности. Многоуровневые модели безопасности. документы.
Виды секретности документов.
Ядра безопасности и надежная вычислительная база. Многие операционные системы имеют встроенные средства безопасности. Для них разработан собственный набор понятий: монитор обращений, надежная вычислительная база, ядро безопасности.
Ядро безопасности реализует концепцию монитора обращений. «Распухание ядра» Философия Windows NT – отдавать предпочтение простому над безопасным.
Тайные каналы. Это способ для субъекта с доступом более высокого уровня послать сообщение на более низкий уровень защиты. Можно создать программы, которые тайно собирают данные, оставаясь в тени.
Критерии оценки. Есть два способа получить гарантию надежности защиты вычислительной системы: первый – «независимая проверка и верификация», второй(более дешевый) оценить систему по какому-то независимому набору критериев и присвоить ей определенный рейтинг безопасности. Первым набором критериев была «Оранжевая книга».
Будущее безопасных компьютеров. Из тех систем, которые сейчас находятся в употреблении, практически ни одна не создана по формальной модели безопасности. На рынке существуют надежные операционные системы, но все еще мало известны потребителям. Это не относится к ОС Windows.
Безопасность компьютеров в сети
Разрушительные программы. Это – программы, умышленно причиняющие неприятности. К ним кроме вирусов относятся так называемые «троянские кони» и «черви». Они обычно состоят из двух частей: «полезной нагрузки» и механизма распространения. «Полезная нагрузка» -- это та составляющая, которая, собственно и вызывает сбои.
Компьютерные вирусы. Подразделяются на три основные файловые вирусы, загрузочные вирусы (вирусы, поражающие загрузочный сектор) и макровирусы.
Большинство файловых вирусов уже вышло из употребления.
Загрузочные вирусы размещаются на участке жесткого диска, данные с которого загружаются в память при загрузке компьютера.
Макровирусы написаны на языке сценариев. Макровирусы заражают не программы, а файлы данных. Они могут распространяться существенно быстрее других, поскольку люди гораздо чаще обмениваются данными, чем программами. Все вирусы, которые могут распространяться по интернету – это макровирусы.
Политика безопасности
Политика безопасности системы подобна внешней политике правительства: она определяет цели и задачи. Когда правительство обвиняют в непоследовательности во внешней политике, это происходит потому, что в его действиях отсутствует логика и нет общей стратегии. Точно так же без политики безопасности меры противодействия цифровой системы будут неупорядочены. Политика — это способ обеспечить всеобщую взаимосвязь.
Хорошая политика формируется как ответ на угрозу. Если угрозы отсутствуют, то нет и политики: каждый может делать все что угодно
Политика безопасности — это то, как вы определяете, какие меры противодействия использовать
К сожалению, большинство организаций не имеют сетевой политики безопасности. А если и имеют, то никто ее не придерживается
Оценка и выбор продуктов безопасности
Обыкновенные люди (или обычная компания, или заурядное в этом отношении государство) вообще не способны создать свои собственные средства безопасности. Чаще всего они вынуждены выбирать между множеством готовых решений и надеяться на лучшее. Вывод. Практически невозможно разработать безопасные программные продукты. Что может сделать измотанный системный администратор, занятый обеспечением безопасности электронной почты посольства или сети своей компании? Или простой гражданин, обеспокоенный безопасностью систем электронной торговли или сохранением в тайне медицинских сведений?
Вы уже оценили риск и решили, что нужно приобрести средства безопасности определенного типа. Как выбрать правильный продукт? Как оценить его возможности?
Проблема состоит в том, что плохие средства безопасности выглядят точно так же, как и хорошие.
Легче опознать откровенно плохие продукты. Продукты, сопровождаемые заведомо невыполнимыми обещаниями вроде: «гарантирована защита от взлома» или «неподдающееся взлому шифрование», конечно, почти всегда оказываются ненадежными. Продукты, сопровождаемые невероятными псевдонаучными заявлениями о новых ошеломляющих технологических прорывах (обычно это касается технологий шифрования), почти всегда смертельно опасны.
Много компаний по безопасности используют рекламные приемы, свойственные юристам, ведущим дела пострадавших от транспорта, сея страхи, неуверенность и сомнения.
Опустить руки и отказаться от принятия решения — это не выход из положения. Существуют продукты безопасности, и потребители вынуждены выбирать из того, что имеется. Глупо отказываться от установки брандмауэра только потому, что вы не знаете, какой лучше. Кто-то сказал: «Лучше сейчас иметь посредственные средства безопасности, чем не иметь никаких, надеясь найти самые совершенные».
Будущее программных продуктов.
Напрашивается закономерный вопрос: «Какие технологии помогут созданию продуктов, обеспечивающих безопасность, в будущем?» Конечно, криптография постоянно улучшается. Несомненно, мы все лучше и лучше проектируем брандмауэры. Будет ли это помогать? Ответ: и да, и нет. «Да» — потому что отдельные технологии непрерывно совершенствуются. «Нет» — потому что фундаментальные проблемы остаются.
Технологии развиваются. Центральные процессоры стали намного быстрее работать, чем десять лет назад, что дает возможность применять шифрование почти повсеместно. Например, можно полностью зашифровать цифровую сотовую связь с помощью сильных алгоритмов без видимого замедления работы.
Технологии компьютерной и сетевой безопасности тоже совершенствуются. Сегодняшние брандмауэры намного эффективнее разработанных 10 лет назад. Системы обнаружения вторжения все еще находятся на ранней стадии развития, но и они постепенно улучшаются.
Технологии защиты от несанкционированного доступа становятся качественнее.
Но кое-что остается неизменным — основы технологий и люди, использующие их. Криптография всегда будет не больше, чем математика. Недостатки безопасности всегда будут присутствовать в программном обеспечении. Пользователи никогда не захотят запоминать длинные пароли. Люди будут всегда уязвимы для манипуляций.
Ситуация ухудшается. Системы становятся более сложными, и для компьютерных систем это означает нечто большее, чем аналогичные усовершенствования в любой другой области. Будущее цифровых систем — сложность, а сложность — главный враг безопасности. Безопасность не укрепляется, а становится более уязвимой.
Процессы безопасности
Технология не является панацеей.
Принципы безопасности
Разделяйте (минимум привилегий)
Укрепите самое слабое звено
Используйте пропускные пункты
Обеспечьте глубинную защиту (многоуровневая защита)
Подстрахуйтесь на случай отказа (отказоустойчивость)
Используйте непредсказуемость (секретность может иметь место, но не в продуктах, а в том, как они используются)
Стремитесь к простоте.
Заручитесь поддержкой пользователей.
Обеспечьте гарантию
Сомневайтесь
Обнаружение и реагирование (обнаружение атак намного важнее, чем предотвращение).
Обнаруживайте нападения
Анализируйте нападения
Ответьте на нападения.
Будьте бдительны.
Контролируйте контролеров.
Устраните последствия нападения.
Контратака (ужесточение судебного преследования)
Управляйте риском
Будущее компьютерной безопасности – за страхованием компьютерной безопасности.
Заключение
Безопасность не продукт, а процесс. Вы не можете просто ее добавить к системе уже после нападения. Жизненно важно понять, реальные угрозы для системы, спроектировав политику безопасности, соразмерную серьезности угроз, и реализовать соответствующие контрмеры.
Проблема не в технологиях, а в их использовании.