Читайте также:
|
Возможность смены штатного маршрута движения информации является полезной для реализации как пассивных, так и активных атак. Эта возможность существует в сетях с динамической маршрутизацией пакетов.
Вопрос 21. Методы обеспечения информационной безопасности в РФ.
Гос-во в процессе реализации своих функций по обеспечению инф.без.:
1.Проводит объективный и всесторонний анализ и прогнозирование угроз ИБ
2.Организует работу законодательных органов гос. власти по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз ИБ.
3. Поддерживает деятельность общественных объединений, направленную на объективное информирование населения о соц. значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации.
4. Осуществляет контроль за разработкой, созданием, использованием, экспортом и импортом средств ЗИ по средствам их сертификаций и лицензирования деятельности в области защиты информации.
5. Проводит необходимую протекционистскую политику в отношении производителей средств информатизации ЗИ на тер-рии РФ, и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации.
6. Способствует физическим и юридическим лицам в доступе к информационным ресурсам глобальных информационных систем.
7. Формирует и реализует государственную информационную политику.
8. Организует разработку федеральной программы обеспечения информационной безопасности РФ, объединяющей усилия государственных и негосударственных органов в данной области.
9. Способствует интернационализации глобальных информационных сетей и систем, а так же вхождение РФ в мировое информационное сообщество.
Вопрос 22. Правовые методы обеспечения информационной безопасности.
К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ.
Наиболее важными направлениями этой деятельности являются:
• внесение изменений и дополнений в законодательство РФ;
• законодательное разграничение полномочий между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
• определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационныхсетей на территории РФ, и правовое регулирование деятельности этих организаций.
Вопрос 23. Организационно-технические методы обеспечения инф. без.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
• создание и совершенствование системы обеспечения информационной безопасности РФ;
• разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
• создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации;
• выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем;
• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
• контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ;
• формирование системы мониторинга показателей и характеристик информационной безопасности РФ в наиболее важных сферах жизни и деятельности общества и государства.
Вопрос 24. Программно-аппаратные методы обеспечения инф.безопасности.
Вопрос 25. Управление доступом к информации.
Управление доступом включает 3 процедуры:
1) идентификацию;
2) установление подлинности;
3) определение полномочий.
Идентификация – присвоение объекту (пользователю, терминалу, файлу, программе или ее части) уникального имени или числа.
В специальной литературе идентификацией называют также процесс сравнения предъявленного идентификатора с эталонным, хранящимся в ЭВМ для определения санкционированности обращения.
Установка подлинности – проверка пользователя, является ли он тем, за кого себя выдает, реализуется обычно в форме диалога.
Определение полномочий – устанавливает, дано ли объекту право обращаться к защищаемому ресурсу и в какой мере.
Указанные проверки используются совместно для принятии решения о доступе.
В идентификатор по возможности нужно вводить контрольные цифры или другие средства самоконтроля с целью минимизации шансов ошибочной идентификации.
Идентификация необходима не только для опознавания, но и для учета обращений. ЕЕ нельзя использовать саму по себе, без дополнительного установления подлинности.
Подлинность устанавливается 1 раз, но там, где нужна более высокая степень безопасности, возможна периодическая проверка или перепроверка в определенных условиях, например, после всех системных сбоев.
Вопрос 26. Аутентификация.
Аутентифика́ция — процедура проверки подлинности
Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических способов.
Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, в просторечии называемого «логином» (англ. login — регистрационное имя пользователя, учётка) и пароля — неких конфиденциальных сведений. Достоверная (эталонная) пара логин-пароль хранится в специальной базе данных.
Простая аутентификация имеет следующий общий алгоритм:
1. Субъект запрашивает доступ в систему и вводит личный идентификатор и пароль.
2. Введённые неповторимые данные поступают на сервер аутентификации, где сравниваются с эталонными.
3. При совпадении данных с эталонными аутентификация признаётся успешной, при различии — субъект перемещается к 1-му шагу
Вопрос 27. Идентификация.
Идентифика́ция в информационных системах — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе. Для выполнения процедуры идентификации в информационной системе субъекту предварительно должен быть назначен соответствующий идентификатор (т.е. проведена регистрация субъекта в информационной системе).
Процедура идентификации напрямую связана с аутентификацией: субъект проходит процедуру аутентификации, и если аутентификация успешна, то информационная система на основефакторов аутентификации определяет идентификатор субъекта. При этом достоверность идентификации полностью определяется уровнем достоверности выполненной процедуры аутентификации.
Вопрос 28. Журнализация.
Регистрация (протоколирование) обращений к защищенным ресурсам системы позволяет должностному лицу, ответственному за информационную безопасность, следить за использованием ресурсов и оперативно принимать меры по перекрытию обнаруженных каналов утечки данных. Все обращения к ресурсам системы должны фиксироваться в регистрационном журнале.
В регистрационный журнал обычно заносятся следующие данные:
· обращения (доступы) к защищаемым ресурсам;
· отказы в доступе;
· изменения полномочий;
· случаи неиспользования пользователями разрешенных системой запросов;
· изменения содержания памяти ЭВМ, производимые пользователями;
· любые подозрительные действия.
В системе должна быть предусмотрена возможность выводить содержимое регистрационного журнала на экран терминала и печатающее устройство, причем выводимую информацию необходимо сортировать по пользователям, терминалам, датам, идентификаторам заданий, элементам данных и т.п.
Регистрационный журнал может выполнять следующие функции:
1) настройка системы (по частоте обращений к различным ресурсам);
2) помощь пользователям в случае их непреднамеренных ошибок;
3) изменение полномочий пользователей (если пользователи часто совершают ошибки, либо вообще никогда не обращаются к некоторым ресурсам);
4) возврат системы в исходное состояние для восстановления;
5) психологическое воздействие на потенциальных нарушителей.
Приведенный перечень задач, для решения которых может быть использован регистрационный журнал, еще раз подтверждает необходимость комплексного применения всех средств и механизмов защиты для обеспечения безопасности данных.
Дата добавления: 2015-02-16; просмотров: 35 | Поможем написать вашу работу | Нарушение авторских прав |