В процессе эксплуатации компьютерной системы основной задачей защиты информации является предотвращение несанкционированного доступа к аппаратным и программным средствам и контроль их целостности.
Комплекс мероприятий для частичного или полного предотвращения несанкционированного доступа:
- идентификация и аутентификация пользователей;
- аудит – мониторинг несанкционированных действий;
- разграничение доступа к компьютерной системе;
- криптографические методы защиты информации;
- защита компьютерной системы, которая имеет возможность доступа к сети.
Существует $2$ вида подхода к защите компьютерных систем:
- Фрагментарный подход состоит в последовательном включении в состав компьютерной системы пакетов защиты от отдельных групп угроз.
Например, для защиты компьютерной системы устанавливается антивирусный пакет, затем система шифрования файлов, система регистрации действий пользователей и т.д.
Недостаток фрагментарного подхода: используемые пакеты могут конфликтовать между собой вследствие того, что обычно они разрабатываются разными производителями. В случае отключения злоумышленником отдельных компонентов защиты остальные продолжают свою работу, значительно снижая ее надежность.
- При комплексном подходе функции защиты компьютерной системы вводятся на этапе проектирования архитектуры аппаратного и системного программного обеспечения и являются их неотъемлемой частью.
Для обеспечения комплексной защиты модули компьютерной системы, которые отвечают за безопасность, должны быть обеспечены возможностью замены другими модулями с возможностью поддержки общей концепции защиты. Обеспечение такой замены производится с целью предупреждения вероятности попадания под новые классы угроз, которые могут появиться.
Организация надежной защиты компьютерной системы не должна быть ограничена лишь программно-аппаратными средствами. Неотъемлемой частью защиты работы компьютерной системы является административный контроль.
Основные задачи администратора, которые выполняются с целью поддержания средств защиты:
- постоянный контроль за функционированием компьютерной системы и ее защиты;
- регулярный контроль журнала регистрации событий;
- проведение организационных мер по поддержанию адекватной политики безопасности;
- проведение инструктажей для пользователей операционной системы об изменениях в системе защиты, о правильном выборе паролей и т.д.;
- организация регулярного создания и обновления резервных копий программ и данных;
- постоянный контроль за изменениями конфигураций данных и политики безопасности отдельных пользователей для своевременного выявления взлома защиты компьютерной системы.
Методы разграничения доступа
Методы разграничения доступа при организации доступа субъектов к компьютерной системе или отдельным ее объектам состоят в:
- идентификации и аутентификации субъекта доступа;
- проверке прав доступа субъекта к объекту;
- ведении журнала учета действий субъекта.
Идентификация и аутентификация пользователей
Обычно операции идентификации и аутентификации, которые позволяют пользователю при входе в компьютерную систему получить доступ к программам и конфиденциальным данным, выполняются вместе.
Идентификация – сообщение пользователем сведений, которые позволяют выделить его из множества субъектов.
Аутентификация – сообщение секретных сведений, подтверждающих, что он тот, за кого себя выдает.
В некоторых компьютерных системах предусмотрена авторизация субъекта – создание программной среды для его работы.
Идентификация и аутентификация являются основными средствами обеспечения безопасности.
Зачастую данные идентификации пользователя не засекречиваются, но для усложнения проведения атак несанкционированного доступа желательно сохранять подобные данные в файле, доступном только для администратора системы.
Аутентификация субъекта чаще всего производится с помощью атрибутивных идентификаторов следующих видов:
- Пароль – комбинация символов, известная лишь его владельцу и, в случае необходимости, администратору системы.
- Съемные носители информации, содержащие идентификационную информацию (имя пользователя и пароль), находятся у пользователя компьютерной системы, которая должна быть снабжена устройством для считывания информации с такого носителя. Часто используют стандартный гибкий диск или флэш-память. Преимуществом является отсутствие необходимости использования дополнительных аппаратных средств и возможность хранения на носителе другой информации.
- Электронные жетоны – специальные переносные электронные устройства, которые подключаются, например, к стандартным входам компьютерной системы и вырабатывают псевдослучайную символьную последовательность, изменяющуюся около одного раза в минуту синхронно со сменой такого же слова в компьютерной системе. Жетоны используются для однократного входа в систему. Существуют жетоны с клавиатурой и монитором.
Недостатком способов идентификации и аутентификации с помощью дополнительных съемных устройств является возможность их потери или хищения.
- Пластиковые карты.
- Механические ключи.