Межсетевое экранирование не очень

Наиболее эффективная реализация данного механизма защиты достигается с применением аппаратной компоненты. При этом, чтобы удалить ее необходимо удалить из защищаемого компьютера плату системы защиты.

Противодействие таким действиям может быть реализовано с использованием организационных мер: опечатывание корпуса, реализация объектовой защиты, пропускной режим и т.д. В составе ЛВС данную функцию можно возложить на администратора безопасности.

Рассмотрим метод защиты от несанкционированного вскрытия аппаратуры, основанный на использовании в качестве дополнительного средства защиты системы контроля вскрытия аппаратуры (СКВА).

К связному ресурсу подключается дополнительное устройство, подающее напряжение в контур, замыкаемый через выключатель контура, помещаемый в защищаемом компьютере. При этом используются свободные линии связи витой пары, подводимой к компьютеру. В случае снятии крышкикомпьютера размыкается контур и устройство отключает компьютер от ресурсов ЛВС,т.к. при этом компьютер становится опасным для общих ресурсов ЛВС.

Политика информационной безопасности предприятия

Политика информационной безопасности — это основополагающий документ, регла­ментирующий все мероприятия, реализуемые на предприятии с целью обес­печения компьютерной безопасности.

Разработка политики информационной безопасности являет­ся итерационной процедурой, состоящей из выполнения:

1) разработка идеальной для предприятия политики — формулируется некий идеальный профиль защиты.

2) выбор системы защиты.

3) определение требований политики информационной бе­зопасности, которые не выполняются системой защиты.

Обоснованный выбор средства защиты для установки в корпоративной сети предприятия может быть осуществ­лен только на основе анализа на совпадения требуемого профиля защи­ты предприятия и профиля защиты, реализуемого системой зашиты, в частности добавочной.

Поэтому выбор системы защиты, равно как и разработка политики ин­формационной безопасности, в общем случае является взаимосвязанной итерационной процедурой.

Анализ защищенности современных операционных систем

Анализировать выполнение современными универсальными ОС требований, задаваемых для класса защищенности автоматизированных систем 1В, не имеет смысла в принципе. Для большинства ОС либо полностью не реализуется основной для данных приложений мандатный механизм управления доступом к ресурсам, либо не выполняется его важнейшее требование «Должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации».

Для иллюстрации из совокупности формализованных требований к системе защиты конфиденциальной информации рассмотрим следующие два требования:

1. Право изменять правила разграничения доступа должно предоставляться выделенным субъектам;

2. Должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ.

Защита ОС семейства UNIX базируется на трех основных механизмах:

1. идентификации и аутентификация пользователя при входе в систему;

2. разграничении прав доступа к файловой системе (дискреционная модель);

3. аудит, то есть регистрация событий.

Принципиальные недостатки защитных механизмов ОС семейства UNIX:

1. невозможно обеспечить замкнутость (или целостность) программной среды.

2. Не в полном объеме реализуется дискреционная модель доступа

3. невозможно встроенными средствами гарантированно удалять остаточную информацию

4. не обладают возможностью контроля целостности файловой системы

5. не обеспечивается регистрация выдачи документов на «твердую копию», а также некоторые другие требования к регистрации событий.

6. встроенными средствами зашиты некоторых ОС семейства UNIX управление доступом к хостам не реализуется.

Основными механизмами защиты для Windows являются:

1. идентификация и аутентификация пользователя при входе в систему;

2. разграничение прав доступа к ресурсам, в основе которого лежит реализация дискреционной модели доступа (отдельно к объектам файловой системы, к устройствам, к реестру ОС, к принтерам и др.);

3. аудит, то есть регистрация событий.

Принципиальные недостатки защитных механизмов ОС семейства Windows:

1. невозможна в общем случае реализация централизованной схемы администрирования

2. не в полном объеме реализуется дискреционная модель доступа

3. невозможно в общем случае обеспечить замкнутость (или целостность) программной среды

4. невозможно встроенными средствами гарантированно удалять остаточную информацию

5. не обладают в полном объеме возможностью контроля целостности файловой системы

6. не обеспечивается регистрация выдачи документов на “твердую копию”, а также некоторые другие требования к регистрации событий