Уровни защиты процедур и программ

      Комментарии к записи Уровни защиты процедур и программ отключены

Защита процедур и программ осуществляется на уровнях:

 аппаратуры;

 программного обеспечения;

 данных.

Защита на уровнях аппаратуры и программного обеспечения предусматривает управление доступом к таким вычислительным ресурсам, как отдельные устройства ПК, оперативная память, операционная система, специальные служебные программы пользователя. На данном уровне решаются вопросы обеспечения безопасности при возникновении следующих проблем:

— наличие секретных остатков (в оперативной памяти или на внешнем носителе в неиспользуемых областях остается секретная информация, которая может быть прочитана специальными средствами);

— изменение системных процедур и программ пользователем-нарушителем или программами нарушителями, что может привести к неэффективности всей системы защиты;

— переделка и исправление ошибок, в процессе которых в систему вносятся программы-закладки (“троянские кони”, вирусы и т.д.).

Защита на уровне данных направлена на:

— защиту информации, передаваемой по каналам связи;

— обеспечение доступа только к разрешенным данным, хранимым в ПК, и выполнение только допустимых действий над ними.

Для защиты информации при передаче по каналам связи целесообразно обратиться к шифрованию: данные шифруются перед вводом в канал связи, а расшифровываются на выходе из него. Шифрование надежно скрывает смысл сообщения.

Наиболее распространенный способ осуществления доступа к информации основан на контроле информационных потоков и разделении субъектов и объектов доступа на классы секретности (категории и уровни, учитывающие полномочия пользователей и семантику информации). Средства контроля должны разрешать поток информации для чтения, если уровень информационного объекта-источника соответствует или не превосходит категорию субъекта-получателя информации, и для записи, если категория субъекта-источника соответствует или превышает уровень секретности информационного объекта.

Средства регистрации, как и средства контроля доступа, также относятся к эффективным мерам противодействия несанкциони-рованным действиям с той лишь разницей, что если средства контроля доступа предназначены для предотвращения таких действий, то задача регистрации — обнаружить уже совершенные действия или их попытки.

Понятие брандмауэра

В общедоступном понимании брандмауэром (firewall) называется стена, сделанная из негорючих материалов и препятствующая распространению пожара. В сфере компьютерных сетей понятие брандмауэра отождествляется с барьером, защищающим сеть oт попыток злоумышленников вторгнуться в нее.

Брандмауэр  система или комбинация систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью и Internet, хотя ее можно провести и внутри локальной сети предприятия.

Система брандмауэра может быть маршрутизатором, персональным компьютером, хостом или группой хостов, созданными специально для защиты сети или подсети от неправильного использования протоколов и служб хостами, находящимися вне этой подсети.

Основная цель системы брандмауэра — управление доступом к защищаемой сети. Она реализует политику сетевого доступа, вынуждая проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы, а затем разрешены либо отвергнуты.

Фирмы, внедряющие Intranet, устанавливают брандмауэры “по периметру” корпоративных Web-серверов, тем самым ограничивая доступ посторонних клиентов.

Брандмауэры первого поколения, известные также как маршрутизаторы с фильтрацией пакетов, проверяют адреса отправителя и получателя в проходящих пакетах TCP/IP. Пакеты проверяются по списку доступа на наличие “дружественного адреса”, и если он обнаружен, пакетам разрешается вход в сеть (в противном случае — запрещается). Эти брандмауэры служат больше средством устрашения, чем оплотом безопасности. При их использовании хакеры могут легко имитировать дружественные адреса — этот процесс называется “спуфингом” (spoofing — обман, подлог) — и получить доступ к Intranet.

Следующее поколение брандмауэров — “уполномоченные серверы” (proxy servers) – было создано именно для решения проблемы с имитацией IP-адресов. Эти брандмауэры могут фильтровать пакеты на уровне приложений, что особенно важно для безопасности в Intranet.

Как уполномоченные представители Web-сервера, такие брандмауэры проверяют законность пользовательского имени, пароля и передаваемых данных, а не только заголовка пакета. Например, уполномоченное приложение HTML “знает”, как должны выглядеть “правильные” данные HTML, и способно определить, можно ли разрешить доступ.

Брандмауэры третьего поколения используют для фильтрации специальные многоуровневые методы анализа состояния пакетов SMLT (Stateful Multi-Layer Technique). В отличие от брандмауэров уровня приложений, брандмауэры на основе SMLT используют программное обеспечение для анализа данных, способное создавать мгновенную копию целого пакета. Эти брандмауэры быстро сравнивают проходящие пакеты с известным состоянием (state) дружественных пакетов, позволяя значительно сократить время обработки по сравнению с медленными брандмауэрами уровня приложений.

Статьи к прочтению:

Лекция 13: Рецензирование и защита документов


Похожие статьи: