Защита процедур и программ осуществляется на уровнях:
аппаратуры;
программного обеспечения;
данных.
Защита на уровнях аппаратуры и программного обеспечения предусматривает управление доступом к таким вычислительным ресурсам, как отдельные устройства ПК, оперативная память, операционная система, специальные служебные программы пользователя. На данном уровне решаются вопросы обеспечения безопасности при возникновении следующих проблем:
— наличие секретных остатков (в оперативной памяти или на внешнем носителе в неиспользуемых областях остается секретная информация, которая может быть прочитана специальными средствами);
— изменение системных процедур и программ пользователем-нарушителем или программами нарушителями, что может привести к неэффективности всей системы защиты;
— переделка и исправление ошибок, в процессе которых в систему вносятся программы-закладки (“троянские кони”, вирусы и т.д.).
Защита на уровне данных направлена на:
— защиту информации, передаваемой по каналам связи;
— обеспечение доступа только к разрешенным данным, хранимым в ПК, и выполнение только допустимых действий над ними.
Для защиты информации при передаче по каналам связи целесообразно обратиться к шифрованию: данные шифруются перед вводом в канал связи, а расшифровываются на выходе из него. Шифрование надежно скрывает смысл сообщения.
Наиболее распространенный способ осуществления доступа к информации основан на контроле информационных потоков и разделении субъектов и объектов доступа на классы секретности (категории и уровни, учитывающие полномочия пользователей и семантику информации). Средства контроля должны разрешать поток информации для чтения, если уровень информационного объекта-источника соответствует или не превосходит категорию субъекта-получателя информации, и для записи, если категория субъекта-источника соответствует или превышает уровень секретности информационного объекта.
Средства регистрации, как и средства контроля доступа, также относятся к эффективным мерам противодействия несанкциони-рованным действиям с той лишь разницей, что если средства контроля доступа предназначены для предотвращения таких действий, то задача регистрации — обнаружить уже совершенные действия или их попытки.
Понятие брандмауэра
В общедоступном понимании брандмауэром (firewall) называется стена, сделанная из негорючих материалов и препятствующая распространению пожара. В сфере компьютерных сетей понятие брандмауэра отождествляется с барьером, защищающим сеть oт попыток злоумышленников вторгнуться в нее.
Брандмауэр система или комбинация систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью и Internet, хотя ее можно провести и внутри локальной сети предприятия.
Система брандмауэра может быть маршрутизатором, персональным компьютером, хостом или группой хостов, созданными специально для защиты сети или подсети от неправильного использования протоколов и служб хостами, находящимися вне этой подсети.
Основная цель системы брандмауэра — управление доступом к защищаемой сети. Она реализует политику сетевого доступа, вынуждая проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы, а затем разрешены либо отвергнуты.
Фирмы, внедряющие Intranet, устанавливают брандмауэры “по периметру” корпоративных Web-серверов, тем самым ограничивая доступ посторонних клиентов.
Брандмауэры первого поколения, известные также как маршрутизаторы с фильтрацией пакетов, проверяют адреса отправителя и получателя в проходящих пакетах TCP/IP. Пакеты проверяются по списку доступа на наличие “дружественного адреса”, и если он обнаружен, пакетам разрешается вход в сеть (в противном случае — запрещается). Эти брандмауэры служат больше средством устрашения, чем оплотом безопасности. При их использовании хакеры могут легко имитировать дружественные адреса — этот процесс называется “спуфингом” (spoofing — обман, подлог) — и получить доступ к Intranet.
Следующее поколение брандмауэров — “уполномоченные серверы” (proxy servers) – было создано именно для решения проблемы с имитацией IP-адресов. Эти брандмауэры могут фильтровать пакеты на уровне приложений, что особенно важно для безопасности в Intranet.
Как уполномоченные представители Web-сервера, такие брандмауэры проверяют законность пользовательского имени, пароля и передаваемых данных, а не только заголовка пакета. Например, уполномоченное приложение HTML “знает”, как должны выглядеть “правильные” данные HTML, и способно определить, можно ли разрешить доступ.
Брандмауэры третьего поколения используют для фильтрации специальные многоуровневые методы анализа состояния пакетов SMLT (Stateful Multi-Layer Technique). В отличие от брандмауэров уровня приложений, брандмауэры на основе SMLT используют программное обеспечение для анализа данных, способное создавать мгновенную копию целого пакета. Эти брандмауэры быстро сравнивают проходящие пакеты с известным состоянием (state) дружественных пакетов, позволяя значительно сократить время обработки по сравнению с медленными брандмауэрами уровня приложений.
Статьи к прочтению:
Лекция 13: Рецензирование и защита документов
Похожие статьи:
-
Необходимость защиты программ обработки данных
Необходимость защиты процессов, процедур и программ обработки данных от несанкционированного доступа и использования опреде-ляется следующими факторами:…
-
Способы защиты от троянских программ
Муниципальное образовательная учреждение «Асановская средняя образовательная школа» Комсомольского района Чувашской Республики Реферат Троянские…