Лекція 7. Основні принципи захисту даних від НСД

Одним з напрямків захисту інформації в інформаційних системах є технічний захист інформації (ТЗІ). У свою чергу, питання ТЗІ розбиваються на два великих класи завдань: захист інформації від несанкціонованого доступу і захисту інформації від витоку технічними каналами. Під НСД мається на увазі доступ до інформації, що порушує встановлену в інформаційній системі політику розмежування доступу. Під технічними каналами розуміються канали сторонніх електромагнітних випромінювань і наведень, акустичні канали, оптичні канали й ін.

Захист від НСД може здійснюватися в різних складових інформаційної системи:

1. Прикладне й системне ПЗ.

2. Апаратна частина серверів і робочих станцій.

3. Комунікаційне устаткування й канали зв'язку.

4. Периметр інформаційної системи.

Для захисту інформації на рівні прикладного й системного ПЗ використовуються:

Ø системи розмежування доступу до інформації;

Ø системи ідентифікації й аутентифікації;

Ø системи аудиту й моніторингу;

Ø системи антивірусного захисту.

Для захисту інформації на рівні апаратного забезпечення використовуються:

Ø апаратні ключі;

Ø системи сигналізації;

Ø засоби блокування пристроїв і інтерфейсів вводу-виводу інформації.

У комунікаційних системах використовуються наступні засоби мережевого захисту інформації:

Ø міжмережеві екрани (Firewall) - для блокування атак із зовнішнього середовища (Casio РІХ Fігеwall, Symantec Enterprise FirewallTM, Alteon Switched Firewall). Вони управляють проходженням мережевого трафіка відповідно до правил (policies) безпеки. Як правило, міжмережеві екрани встановлюються на вході мережі й розділяють внутрішні (частки) і зовнішні (загального доступу) мережі;

Ø системи виявлення вторгнень (IDS – Intrusion Detection System) – для виявлення спроб несанкціонованого доступу як ззовні, так і усередині мережі, захисту від атак типу «відмова в обслуговуванні» (Cisco Secure IDS, Intruder Alert i NetProwel від компанії Symantec. Дані системи здатні запобігти шкідливим діям, що дозволяє знизити час простою в результаті атаки та витрати на підтримку працездатності мережі;

Ø засоби створення віртуальних приватних мереж (VPN - Virtual Private Network) - для організації захищених каналів передачі даних через незахищене середовище (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator. Віртуальні приватні мережі забезпечують прозоре для користувача з'єднання локальних мереж, зберігаючи при цьому конфіденційність і цілісність інформації шляхом її динамічного шифрування;

Ø засоби аналізу захищеності - для аналізу захищеності корпоративної мережі й виявлення можливих каналів реалізації погроз інформації (Symantec Enterprise Security Manager, Symantec NetRecon). Їхнє застосування дозволяє запобігти можливим атакам на корпоративну мережу, оптимізувати витрати на захист інформації й контролювати поточний стан захищеності мережі.

Для захисту периметра інформаційної системи створюються:

Ø системи охоронної й пожежної сигналізації;

Ø системи цифрового відеоспостереження;

Ø системи контролю й керування доступом (СККД).

При створенні програмно-апаратних засобів захисту від несанкціонованого доступу керуються наступними принципами:

1) принцип обґрунтованості доступу (виконавець повинен мати достатню «форму допуску» до закритої інформації, відомості про яку потрібні йому для повноцінного виконання професійних обов'язків);

2) принцип достатньої глибини контролю доступу (СЗІ повинні включати механізми контролю доступу до всіх видів інформаційних і програмних ресурсів);

3) принцип розмежування потоків інформації (не дозволяє переписувати закриту інформацію на незакриті носії; здійснюється мічення на носії інформації і ідентифікація цих носіїв);

4) принцип чистоти повторно використовуваних ресурсів (звільнення від закритої інформації ресурсів при їх видаленні);

5) принцип персональної відповідальності (виконавець повинен нести персональну відповідальність за свою діяльність в системі, включаючи всі дії із закритою інформацією);

6) принцип цілісності засобів захисту (засоби захисту повинні точно виконувати свої функції і бути ізольовані від користувача).