Книгу можно скачать здесь http://wormholetravel.net/darkside.html
Современными тенденциями развития информационных технологий является ярко выраженный переход в сторону создания корпоративных информационных систем. При этом основной характеристикой этих систем является разграничение доступа сотрудникам корпорации к информационным и иным ресурсам вычислительной системы. Причем данные тенденции проявляются практически для всех уровней иерархии современных информационных технологий, начиная с архитектурного уровня в целом (Internet и Intranet), включая сетевые технологии (например, IP v.4.0 и IP Sec), и заканчивая уровнем общесистемных средств (ОС, СУБД) и приложений.
Другой аспект приведенной статистики — это возможность локализации угроз корпоративной информации, так как большая их часть связана с угрозой НСД, исходящей от самих сотрудников компании. При этом следует учитывать и сетевые ресурсы (прежде всего в составе ЛВС), к которым сотрудник имеет доступ со своего компьютера в рамках своей служебной деятельности. В связи с этим именно компьютер (особенно находящийся в составе сети) следует в первую очередь рассматривать в качестве объекта защиты, а конечного пользователя -- в качестве ее наиболее вероятного потенциального нарушителя. Как следствие, под сомнение ставится обоснованность концепции реализованной системы защиты в современных универсальных ОС. Эта система защиты заключается в построении распределенной схемы администрирования механизмов защиты, элементами которой, помимо администратора, выступают пользователи, имеющие возможность назначать и изменять права доступа к создаваемым ими файловым объектам.
На практике сегодня существует два подхода к обеспечению компьютерной безопасности:
1. Использование только встроенных в ОС и приложения средств защиты.
2. Применение, наряду со встроенными, дополнительных механизмов защиты. Этот подход заключается в использовании так называемых технических средств добавочной защиты -- программных, либо программно-аппаратных комплексов, устанавливаемых на защищаемые объекты.
Существующая статистика ошибок, обнаруженных в ОС, а также сведения о недостаточной эффективности встроенных в ОС и приложения механизмов защиты, заставляет специалистов сомневаться в достижении гарантированной защиты от НСД, при использовании встроенных механизмов, и все большее внимание уделять средствам добавочной защиты информации. Данная книга представляет собою попытку системного изложения проблем защиты компьютерной информации, а также теоретических основ применения добавочных средств защиты компьютерной информации.
Книга посвящена рассмотрению подходов к построению встроенных средств защиты современных ОС и приложений, выявлению причин их уязвимости на основе существующей статистики угроз. На основании этого формулируются и теоретически обосновываются общие требования к механизмам защиты, в том числе добавочной. Также в книге рассматриваются вопросы построения и проектирования средств защиты компьютерной информации, определяются цеди их применения и решаемые задачи. Излагаются подходы к построению добавочных средств (методы комплексирования встроенных и добавочных механизмов защиты), с учетом изменяемого при их включении в систему поля угроз информационной безопасности.
В книге приведено исследование системных и прикладных вопросов защиты компьютерной информации от НСД. Вопросы, относящиеся к применению механизмов криптографической защиты, остались за рамками настоящей работы.
При подготовке книги использованы полученные в последнее время результаты отечественных и зарубежных специалистов в области проектирования и построения систем защиты компьютерной информации. Однако в первую очередь обсуждаются теоретические и практические результаты проведенных исследований и проектирования механизмов защиты от НСД, а также учтен опыт, приобретенный автором при разработке добавочных средств защиты в рамках работы НПП «Информационные технологии в бизнесе» (http://www.npp-itb.spb.ru). Так, в книге излагаются новые технологии обеспечения компьютерной безопасности и технические решения по реализации механизмов добавочной защиты, апробированные при разработке комплексной системы защиты информации (КСЗИ) «Панцирь» для ОС Windows 9x/NT/2000 [33], HP-UX, Linux, Free BSD. Здесь же стоит отметить, что большинство описываемых технологий запатентовано [24...32].
Целью книги является не только рассмотрение перспективных технологий и методов защиты информации от НСД, в том числе добавочной, но и обоснование требований к системе защиты. Эти требования позволят потребителю ориентироваться на рынке средств информационной защиты при выборе оптимального решения. Кроме того, немалое внимание уделено иллюстрации тех задач, которые должны решаться администратором безопасности, эксплуатирующим средства защиты. При этом следует понимать, что хорошая система защиты — это своего рода «конструктор», в котором заложены механизмы противодействия как явным, так и скрытым угрозам информационной безопасности. Чтобы достигнуть необходимого уровня безопасности защищаемых объектов, администратор должен не только знать и понимать возможности механизмов защиты, но и умело их настраивать, применительно к непрерывно изменяющейся статистике угроз. Очевидно, что попытка задания типовых настроек механизмов защиты разработчиком с целью снижения требований к квалификации администратора безопасности — это не только бессмысленный, но и чрезвычайно вредный подход, приводящий к урезанию возможностей средств защиты и к появлению ложной уверенности потребителя в достижении им положительного эффекта. Единственно правильным подходом является повышение квалификации сотрудников, эксплуатирующих средства защиты. При этом необходимо понимать, что процесс защиты информации непрерывен, равно как непрерывен процесс изменения статистики угроз.
Таким образом, важнейшим условием защищенности компьютерной информации является квалификация администраторов безопасности и сотрудников эксплуатирующих служб, которая, по крайней мере, не должна уступать квалификации злоумышленников. В противном случае не помогут никакие средства защиты (то же, кстати говоря, относится и к разработчикам средств защиты и защищенных информационных систем).
Комментариев нет:
Отправить комментарий