Что понимается под политикой безопасности в компьютерной системе
Политика безопасности в компьютерных системах
Защищенная компьютерная система обязательно должна иметь средства разграничения доступа пользователей к ресурсам данной системы, проверки подлинности пользователя и противодействия выводу системы из строя.
Интегральной характеристикой защищенности компьютерной системы является политика безопасности – качественное выражение свойств защищенности в терминах, представляющих систему. Политика безопасности не должна быть чрезмерной – ужесточение защиты приводит к усложнению доступа пользователей к системе и увеличению времени доступа. Политика безопасности должна быть адекватна предполагаемым угрозам, и обеспечивать заданный уровень защиты.
Политика безопасности включает:
— множество возможных операций над объектами;
— множество разрешенных операций для каждой пары субъект-объект, являющееся подмножеством множество возможных состояний.
Элементы множества операций над объектами выбираются в зависимости от назначения компьютерной системы, решаемых задач, конфиденциальности информации. Примерами операций над объектами могут быть «Создание объекта», «Удаление объекта», «Чтение данных» и т.д.
В защищенной компьютерной системе всегда присутствует субъект, выполняющий контроль операций субъектов над объектами, например, в операционной системе Windows таким субъектом является псевдопользователь SYSTEM. Данный компонент фактически отвечает за реализацию политики безопасности, которая реализуется путем описания доступа субъекта к объектам.
Существует два типа политики безопасности: дискретная и полномочная (мандатная). Основой дискретной политики безопасности является дискреционное управление доступом, которое определяется двумя свойствами:
— все субъекты и объекты должны быть идентифицированы;
— права доступа субъекта к объекту определяются на основе некоторого задаваемого набора правил.
К достоинствам дискретной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты. Этим обусловлен тот факт, что большинство используемых в настоящее время компьютерных систем обеспечивают именно дискретную политику безопасности. В качестве примера реализации дискретной политики безопасности можно привести матрицу доступов, строки которой соответствуют субъектам системы, а столбцы – объектам; элементы матрицы представляют фиксированный набор или список прав доступа. К недостаткам дискретной политики безопасности можно отнести статичность данной модели, не учитывающая динамику изменений состояния системы. Например, при подозрении на несанкционированный доступ к информации, необходимо оперативно изменить права доступа к этой информации, что не просто сделать, так как матрица доступа формируется вручную.
Полномочная модель политики безопасности основывается на том, что:
— все субъекты и объекты должны быть идентифицированы;
— имеется линейно упорядоченный набор меток секретности;
— каждому объекту присвоена метка секретности, определяющая ценность содержащейся в ней информации – его уровень секретности;
— каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему – его уровень доступа.
В отличие от дискретной политики, которая требует определения прав доступа для каждой пары субъект-объект, полномочная политика, назначением метки секретности объекту, однозначно определяет круг субъектов, имеющих права доступа к нему. И, наоборот, назначением метки секретности субъекту, однозначно определяется круг объектов, к которым он имеет права доступа. При подозрении на несанкционированный доступ к информации достаточно повысить уровень секретности данной информации, что по сравнению с редактированием матрицы доступа сделать намного проще.
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет
Политика безопасности в компьютерных системах.
Принципы хранения звук. и видео информации.
Для записи-воспроизведения, а также использования различных данных на машиночитаемые
носители данных используется преобразование аналогового (звукового и видео) сигнала в
цифровую форму. Такая технология получила название оцифровки информации.
Принцип оцифровки (кодирования) звука заключается в преобразовании непрерывного разного
по величине амплитудно-частотного звукового и видео сигналов в закодированную
последовательность чисел, представляющих дискретные значения амплитуд этого сигнала,
взятые через определенный промежуток времени. Для этого необходимо измерять амплитуду
сигнала через определённые промежутки времени и на каждом временном отрезке
определять среднюю амплитуду сигнала. Согласно теореме Шенона (Котельникова), этот
промежуток времени (частота) должен быть не меньше удвоенной максимальной частоты
передаваемого звукового сигнала.
Эта частота называется частотой дискретизации.
Дискретизация – процесс взятия отсчётов непрерывного во времени сигнала в
равноотстоящих друг от друга по времени точках, составляющих интервал дискретизации.
В процессе дискретизации измеряется и запоминается уровень аналогового сигнала. Чем
реже (меньше) промежутки времени, тем качество закодированного сигнала выше.
Основные понятия информационной безопасности.
1.Конфиденциальность: свойство информационных ресурсов, в том числе информации,
связанное с тем, что они не станут доступными и не будут раскрыты для
2.Целостность: неизменность информации в процессе её передачи или хранения.
3.Доступность: свойство информационных ресурсов, в том числе информации,
определяющее возможность их получения и использования по требованию
Угрозы информационной безопасности и критерии защищенности средств
Под угрозой безопасности информации понимается потенциально возможное
событие, процесс или явление, которые могут привести к уничтожению, утрате
целостности, конфиденциальности или доступности информации.
¦Критерий 1. Политика безопасности. КС должна поддерживать точно
определенную политику безопасности. Возможность доступа субъектов к
объектам должна определяться на основании их идентификации и набора
правил управления доступом. Там, где это возможно, должно использоваться
мандатное управление доступом, позволяющее эффективно разграничивать
доступ к информации разной степени конфиденциальности.
¦Критерий 2. Метки. Каждый объект доступа в КС должен иметь метку
безопасности, используемую в качестве исходной информации для
исполнения процедур контроля доступа.
¦Критерий 3. Идентификация и аутентификация. Все субъекты должны иметь
уникальные идентификаторы. Доступ субъекта к ресурсам КС должен
осуществляться на основании результатов идентификации и подтверждения
подлинности их идентификаторов (аутентификация). Идентификаторы и
аутентификационные данные должны быть защищены от НСД, модификации и
¦Критерий 4. Регистрация и учет. Для определения степени ответственности
пользователей за действия в системе, все происходящие в ней события,
имеющие значение для поддержания конфиденциальности и целостности
информации, должны отслеживаться и регистрироваться в защищенном
объекте (файле-журнале). Система регистрации должна осуществлять анализ
общего потока событий и выделять из него только те события, которые
оказывают влияние на безопасность КС. Доступ к объекту аудита для
просмотра должен быть разрешен только специальной группе пользователей —
аудиторов. Запись должна быть разрешена только субъекту,
¦Критерий 5. Контроль корректности функционирования средств защиты. Все
средства защиты, обеспечивающие политику безопасности, должны
находиться под контролем средств, проверяющих корректность их
функционирования и быть независимыми от них.
¦Критерий 6. Непрерывность защиты. Все средства защиты должны быть
защищены от несанкционированного воздействия или отключения. Защита
должна быть постоянной и непрерывной в любом режиме функционирования
системы, защиты и КС. Это требование должно распространяться на весь
Основные понятия и методы кодирования информации.
Различают следующие методы кодирования: регистрационныеи
Эти методы не требуют предварительной классификации объектов. Включают
?порядковое кодирование. Объекты обозначаются числами натурального
ряда или другими символами. Применяется, когда количество объектов
?серийно-порядковое кодирование. Предварительно выделяются группы
объектов, которые составляют серию, затем в каждой серии производится
порядковое кодирование. Сами серии также кодируются с помощью
порядкового кодирования. Между кодами серии и ее элементов ставится
разделитель. Применяется, когда число объектов сравнительно велико, но
классификация не применяется.
?последовательное кодирование. Используется для иерархической
классификации – сначала записывается код класса первого уровня, затем –
второго и т.д. Коды классов формируются способом регистрационного
кодирования, между кодами разных уровней классификации возможны
?параллельное кодирование. Используется для фасетной классификации.
Фасеты кодируются с использованием регистрационного кода, между кодами
разных уровней возможны разделители.
Политика безопасности в компьютерных системах.
Защищенная КС обязательно должна иметь средства разграничения доступа
пользователей к ресурсам КС, проверки подлинности пользователя и противодействия
выводу КС из строя.
Интегральной характеристикой защищенности КС является политика
безопасности — качественное выражение свойств защищенности в терминах,
представляющих систему. Политика безопасности для конкретной КС не должна быть
чрезмерной — ужесточение защиты приводит к усложнению доступа пользователей к
КС и увеличению времени доступа. Политика безопасности должна быть адекватна
предполагаемым угрозам, и обеспечивать заданный уровень защиты. Политика
?множество возможных операций над объектами;
?множество разрешенных операций для каждой пары субъект-объект,
являющееся подмножеством множества возможных состояний.
6.Основы противодействия нарушению ….
Статьи к прочтению:
Один день из жизни отдела информационной безопасности
Похожие статьи:
Система обеспечения безопасности СОБ представляет собой единую совокупность организационных (административных) мер, правовых и морально-этических норм,…
Основу полномочной политики безопасности составляет полномочное управление доступом, которое подразумевает, что: все субъекты и объекты системы должны…
Политика безопасности в компьютерных системах.
Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку, реализуемых при помощи организационных мер и программно-технических средств, и определяющих архитектуру системы защиты. Ее реализация для конкретной КС осуществляется при помощи средств управления механизмами защиты.
Для конкретной организации политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств расположения организации т.д.
Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название этого способа, как правило, определяет название политики безопасности.
Организация доступа к ресурсам предполагает:
• разграничение прав пользователей и обслуживающего персонала по доступу к ресурсам КС в соответствии с функциональными обязанностями должностных лиц;
• организацию работы с конфиденциальными информационными ресурсами на объекте;
• защиту от технических средств разведки;
• эксплуатацию системы разграничения доступа.
Охрана объекта КС обеспечивает разграничение непосредственного доступа людей на контролируемую территорию, в здания и помещения.
Права должностных лиц по доступу к ресурсам КС устанавливаются руководством организации, в интересах которой используется КС. Каждому должностному лицу определяются для использования технические ресурсы (рабочая станция, сервер, аппаратура передачи данных и т.д.), разрешенные режимы и время работы. Руководством устанавливается уровень компетенции должностных лиц по манипулированию информацией. Лицо, ответственное за ОБИ в КС, на основании решения руководителя о разграничении доступа должностных лиц обеспечивает ввод соответствующих полномочий доступа в систему разграничения доступа.
Руководство совместно со службой безопасности определяет порядок работы с конфиденциальными информационными ресурсами, не используемыми непосредственно в КС, хотя бы и временно. К таким ресурсам относятся конфиденциальная печатная продукция, в том числе и полученная с помощью КС, а также машинные носители информации, находящиеся вне устройств КС. Учетом, хранением и выдачей таких ресурсов занимаются должностные лица из службы безопасности, либо другие должностные лица по совместительству.
Основой избирательной политики безопасности является избирательное управление доступом.
Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа.
Вследствие больших размеров и разреженности МД хранение полной матрицы представляется нецелесообразным, поэтому во многих средствах защиты используют более экономные представления МД. Каждый из этих способов представления МД имеет свои достоинства и недостатки, обуславливающие область их применения.
Избирательная политика безопасности наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности (accountability), а также имеет приемлемую стоимость и небольшие накладные расходы.
Основу полномочной политики безопасности составляет полномочное управление доступом.
Каждому объекту системы присвоена метка критичности. В том случае, когда совокупность меток имеет одинаковые значения, говорят, что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическую структуру (например, от рядовых исполнителей к руководству).
Каждому субъекту системы присвоен уровень прозрачности. Каждый субъект кроме уровня прозрачности имеет текущее значение уровня безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.
Простое условие защиты гласит, что любую операцию над объектом субъект может выполнять только в том случае, если его уровень прозрачности не ниже метки критичности объекта.
Помимо управления доступом субъектов к объектам системы проблема защиты информации имеет еще один аспект.
Грубо говоря можно “читать вниз” и “писать вверх”.
Таким образом, возникает необходимость разработки правил, регулирующих управление информационными потоками в системе.
Эффективность функционирования системы разграничения доступа во многом определяется надежностью механизмов аутентификации. Особое значение имеет аутентификация при взаимодействии удаленных процессов, которая всегда осуществляется с применением методов криптографии.