Защита информации в информационных системах | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №9 (195) март 2018 г.

Дата публикации: 01.03.2018

Статья просмотрена: 462 раза

Библиографическое описание:

Мухамадиева, З. Б. Защита информации в информационных системах / З. Б. Мухамадиева. — Текст : непосредственный // Молодой ученый. — 2018. — № 9 (195). — С. 34-36. — URL: https://moluch.ru/archive/195/48443/ (дата обращения: 18.12.2024).



В данной статье рассматриваются особенности политики защиты информации в информационных системах и построения систем защиты информации.

Ключевые слова: политика безопасности, информационная безопасность, субъект, объект.

Политика безопасности разрабатывается для каждого конкретного предприятия и, значит, является индивидуальной, находящейся в зависимости от конкретных технологий обработки данных, применяемых программных и технических подходов, мест расположения компаний [1, 2] и т. д. Поскольку политика безопасности представляет собой большое число требований для конкретной системы, то модель безопасности — это более абстрактное описание целой категории систем, без рассмотрения конкретных деталей их выполнения. Значит, модель безопасности выступает в качестве инструмента для выработки политики безопасности. Политики безопасности могут выражаться в формальном и неформальном виде. Достоинством неформальных политик безопасности выступает их наглядность (к примеру, при описании процедуры представления доступа). Но в системах с большим числом объектов, представленная так политика может иметь слишком значительные размеры и, в результате этого ей будет довольно сложно пользоваться [3, 4]. В связи с этим, подобное представление политик безопасности обычно применяется лишь администраторами безопасности для проведения документирования фактических процессов и настроек систем защиты информации (СЗИ) в процессе её аттестации. Однако неформальное представление политик безопасности имеет весьма важное значение для формирования СЗИ, поскольку дает возможность описать предметную сферу использования средств ЗИ. Обычно на предпроектной стадии формирования СЗИ при помощи использования неформальных политик безопасности задается замысел формирования СЗИ и правила регулирования доступа (ПРД). Для разработки критериев и оценки эффективности принимаемого решения можно ограничиться следующими мерами защиты: предупреждение, обнаружение, сокращение, восстановление, корректирование, сдерживание, мониторинг, знание [1], а также управление доступом, регистрация и проведение учета, криптографические преобразования, обеспечение целостности [3,4]. Итак, на основании представления предметной сферы работы СЗИ в форме неформальных политик безопасности формируют формальную политику, которая даст возможность обосновать практическое применение системы безопасности, определяя ее основную архитектуру и применяемые технологические решения при ее постройке. В понятиях формальной политики определяются достаточные и необходимые требования для исполнения политики безопасности. В результате создаются множества субъектов, объектов и предполагаемых операций. На этой стадии оперируют требованиями к тому, какая безопасная реализация субъектов, объектов и отдельных операций, а их множество предоставляет возможность формулировать требования к системе существующей защиты. Существуют такие политики безопасности:

  1. Дискреционная политика безопасности (DАС), которая базируется на дискреционном управлении доступом. Ее главным составляющим элементом выступает матрица доступа, в которой каждому объекту в системе есть соответствие строки, а для субъекта — столбец. В области пересечения столбца и строки в матрице определяется вид разрешенного доступа по субъекту d к объекту о, то есть каждый элемент матрицы доступов М [d,о] R, где R — множество прав доступа. В случае дискреционного доступа требуется дать описание правил доступа по каждому отдельному объекту и субъекту, что для крупных систем представляется почти невозможным. На практике используется автоматическое присвоение прав каждой новой сути, которая вводится в систему, что может стать причиной к возникновению ситуаций наличия определенных прав по умолчанию, их может применять нарушитель (заводской пароль на BIOS, применение бюджетов по умолчанию в операционных системах (ОС), которые устанавливаются). Еще одной сложностью выступает передача прав. Таким образом, при относительно несложной реализации дискреционная политика не предоставляет возможности сформировать ясную и точную СЗИ, так как содержит алгоритмически сложную задачу проверки действий. Помимо этого, в распределенных ИС подобная матрица, в результате своих значительных размеров и сложности реализации вообще теряет всякий смысл.
  2. Мандатная политика безопасности (MAC) базируется на мандатном разграничении доступа, главным составляющим элементом которой выступает присвоение метки конфиденциальности для выполнения блокировки потоков данных от объектов, имеющих высокий уровень конфиденциальности для объектов при низком уровне. Для выполнения моделирования полномочного управления доступом используются различные модели, включающие в себя безопасное (с позиции политики) состояние и переход. Для СЗИ, которая базируется на основании MAC, свойственен более высокий уровень надежности, чем для моделей, которые созданы на базе DAC. Преимущества моделей данной группы выражаются в простой возможности реализации с достаточно высокой степенью точности. Все такие модели построены на одинаковых принципах и используют общий механизм предоставления атрибутов безопасности в форме решетки и применяют одни и те же способы доказательства свойств безопасности. Попытки распространить мандатную модель на низкоуровневые механизмы, которые реализуют контролируемые взаимодействия могут привести к нарушению политики. Мандатная модель выступает базовой моделью безопасности, которая составляет основание теории защиты сведений, но ее использование на практике связано с определенными проблемами, она применяется лишь в системах, которые обрабатывают классифицированную информацию и используется в отношении ограниченного числа субъектов и объектов.
  3. Политика безопасности информационных потоков базируется на подразделении всех информационных потоков на два множества, которые не пересекаются: благоприятные и неблагоприятные. Информационные потоки присутствуют в системе постоянно, поэтому возникает необходимость установить, какие именно информационные потоки в системе выступают в роли «легальных», то есть не приводят к утечке информации, а какие — приводят. Итак, появляется необходимость разработки правил, которые регулируют управление информационными потоками в системе, однако подобное управление не выступает как самостоятельная политика, поскольку оно не устанавливает правила обработки данных. Как правило, управление информационными потоками используется в пределах MAC или DAC политик, выполняя их дополнения и увеличивая надежность защитной системы.
  4. Ролевая политика безопасности является, по сути, заметно усовершенствованной моделью DAC, однако ее не стоит относить к дискреционным подходам, а также к мандатным, поскольку управление тем, какой доступ в ней выполняется как на основании прав доступа для ролей, так и при помощи правил, которые регламентируют предназначение ролей пользователям и их активацию.

Литература:

  1. Воронов А. А. Обеспечение системы управления рисками при возникновении угроз информационной безопасности / Информация и безопасность. 2006. Т. 9. № 2. С. 8–11.
  2. Ермолова В. В. Методика построения семантической объектной модели / // Вестник Воронежского института высоких технологий. 2012. № 9. С. 87–90.
  3. Львович И. Я. Факторы угрозы экономической безопасности государства // Информация и безопасность. 2006. Т. 9. № 1. С. 36–39.
Основные термины (генерируются автоматически): DAC, MAC, политик безопасности, система, неформальная политика безопасности, BIOS, главный составляющий элемент, мандатная модель, модель безопасности, формальная политика.


Похожие статьи

Разработка политики безопасности предприятия, занимающегося разработкой программного обеспечения

В статье рассмотрены различные подходы к разработке политики безопасности предприятия, занимающегося разработкой программного обеспечения, а также ключевые моменты создания политики безопасности.

Информационная безопасность автоматизированных систем управления

В статье рассматривается проблема защищенности автоматизированных систем от внешних и внутренних воздействий; описаны требования к автоматизированной системе и этапы организации информационной защиты; рассмотрены технические и административные методы...

Базовые информационные технологии

В данной статье рассмотрены несколько вариантов базовых информационных технологий, их роль, области применения и методы защиты информации.

Проблемы защиты информации в компьютерной сети

Рассмотрена актуальная проблема защиты информации и персональных данных в информационных системах.

Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе

В статье рассматривается проблема оценки защищенности информации в информационных системах, а также применение и возможности средств защиты информации, основанных на аналитических методах оценки защищенности.

Моделирование информационных процессов в интегрированных системах безопасности

В данной статье раскрываются этапы моделирования информационных процессов в интегрированных системах безопасности (ИСБ) в условиях обеспечения защиты информации от несанкционированного доступа (НСД), а также рассматривается формализация информационны...

Теоретико-правовые вопросы системы защиты персональных данных в условиях цифровых трансформаций

В статье рассматриваются основополагающие положения, касающиеся системы защиты персональных данных в информационной среде, а также предлагается комплекс мероприятий, направленных на обеспечение защиты персональных данных пользователей интернет-ресурс...

Методы повышения безопасности технологических систем

В данной статье раскрываются методы повышения безопасности технологических систем и основные направления.

Формирование структуры экономической безопасности на предприятиях

В данной статье автором рассматривается состав экономической службы безопасности, классификация угроз и каналов утечки информации.

Основные аспекты управления рисками информационной безопасности

Статья посвящена процессу управления рисками информационной безопасности. Описываются основные компоненты безопасности, их взаимодействие, а также возможные сценарии реализации инцидента информационной безопасности. Рассматриваются этапы процесса упр...

Похожие статьи

Разработка политики безопасности предприятия, занимающегося разработкой программного обеспечения

В статье рассмотрены различные подходы к разработке политики безопасности предприятия, занимающегося разработкой программного обеспечения, а также ключевые моменты создания политики безопасности.

Информационная безопасность автоматизированных систем управления

В статье рассматривается проблема защищенности автоматизированных систем от внешних и внутренних воздействий; описаны требования к автоматизированной системе и этапы организации информационной защиты; рассмотрены технические и административные методы...

Базовые информационные технологии

В данной статье рассмотрены несколько вариантов базовых информационных технологий, их роль, области применения и методы защиты информации.

Проблемы защиты информации в компьютерной сети

Рассмотрена актуальная проблема защиты информации и персональных данных в информационных системах.

Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе

В статье рассматривается проблема оценки защищенности информации в информационных системах, а также применение и возможности средств защиты информации, основанных на аналитических методах оценки защищенности.

Моделирование информационных процессов в интегрированных системах безопасности

В данной статье раскрываются этапы моделирования информационных процессов в интегрированных системах безопасности (ИСБ) в условиях обеспечения защиты информации от несанкционированного доступа (НСД), а также рассматривается формализация информационны...

Теоретико-правовые вопросы системы защиты персональных данных в условиях цифровых трансформаций

В статье рассматриваются основополагающие положения, касающиеся системы защиты персональных данных в информационной среде, а также предлагается комплекс мероприятий, направленных на обеспечение защиты персональных данных пользователей интернет-ресурс...

Методы повышения безопасности технологических систем

В данной статье раскрываются методы повышения безопасности технологических систем и основные направления.

Формирование структуры экономической безопасности на предприятиях

В данной статье автором рассматривается состав экономической службы безопасности, классификация угроз и каналов утечки информации.

Основные аспекты управления рисками информационной безопасности

Статья посвящена процессу управления рисками информационной безопасности. Описываются основные компоненты безопасности, их взаимодействие, а также возможные сценарии реализации инцидента информационной безопасности. Рассматриваются этапы процесса упр...

Задать вопрос