На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Введение

Современными тенденциями развития информационных технологий явля­ется ярко выраженный переход в сторону создания корпоративных инфор­мационных систем. При этом основной характеристикой этих систем явля­ется разграничение доступа сотрудникам корпорации к информационным и иным ресурсам вычислительной системы. Причем данные тенденции про­являются практически для всех уровней иерархии современных информа­ционных технологий, начиная с архитектурного уровня в целом (Internet и Intranet), включая сетевые технологии (например, IP v.4.0 и IP Sec), и за­канчивая уровнем общесистемный средств (ОС, СУБД) и приложений.
Масштабы применения и приложения информационных технологий стали таковы, что наряду с проблемами производительности, надежности и
устойчивости функционирования информационных систем, остро встает
проблема защиты циркулирующей в системах информации от Несанкцио­нированного доступа. Статистика фактов несанкционированного досту­па к информации (НСД) показывает, что большинство современных ин­формационных систем достаточно уязвимо с точки зрения безопасности.
Средняя стоимость финансовых потерь компании от НСД составляет
от $5 тыс. до $12 тыс. (CSI, 2002 г.). » Общий ущерб, который понесли компании в 2002 году от НСД,
оценивается в $24 млрд. (Forrest Research, 2002 г.). » В 80% утечка информации из компании происходит непосредственно
по вине ее сотрудников (IDC, 2002 г.).
И это несмотря на устойчивую тенденцию к усилению встроенных в них механизмов защиты.
Другой аспект приведенной статистики — это возможность локализации угроз корпоративной информации, так как большая их часть связана с уг­розой НСД, исходящей от самих сотрудников компании. При этом сле­дует учитывать и сетевые ресурсы (прежде всего в составе ЛВС), к кото­рым сотрудник имеет доступ со своего компьютера в рамках своей
служебной деятельности.
В связи с этим именно компьютер (особенно находящийся в составе сети)
следует в первую очередь рассматривать в качестве объекта защиты, а конечного пользователя -- в качестве ее наиболее вероятного потенци­ального нарушителя. Как следствие, под сомнение ставится обоснованность концепции реализованной системы защиты в современных универсальных ОС.
Эта система защиты заключается в построении распределенной схемы администрирования механизмов защиты, элементами которой, помимо администратора, выступают пользователи, имеющие возможность назна­чать и изменять права доступа к создаваемым ими файловым объектам.
На практике сегодня существует два подхода к обеспечению компьютер­ной безопасности:
Использование только встроенных в ОС и приложения средств защиты. 2. Применение, наряду со встроенными, дополнительных механиз­мов защиты. Этот подход заключается в использовании так назы­ваемых технических средств добавочной защиты -- программных, либо программно-аппаратных комплексов, устанавливаемых на защищаемые объекты.
Существующая статистика ошибок, обнаруженных в ОС, а также сведения о недостаточной эффективности встроенных в ОС и приложения механиз­мов защиты, заставляет специалистов сомневаться в достижении гаранти­рованной защиты от НСД, при использовании встроенных механизмов, и
все большее внимание уделять средствам добавочной защиты информации.
Данная книга представляет собою попытку системного изложения проблем
защиты компьютерной информации, а также теоретических основ приме­нения добавочных средств защиты компьютерной информации.
Книга посвящена рассмотрению подходов к построению встроенных средств защиты современных ОС и приложений, выявлению причин их уязвимости на основе существующей статистики угроз. На основании этого формули­руются и теоретически обосновываются общие требования к механизмам
защиты, в том числе добавочной. Также в книге рассматриваются вопросы построения и проектирования средств защиты компьютерной информации, определяются цеди их применения и решаемые задачи. Излагаются подхо­ды к построению добавочных средств (методы комплексирования встроен­ных и добавочных механизмов защиты), с учетом изменяемого при их вклю­чении в систему поля угроз информационной безопасности.
В книге приведено исследование системных и прикладных вопросов за­щиты компьютерной информации от НСД. Вопросы, относящиеся к при­менению механизмов криптографической защиты, остались за рамками настоящей работы.
При подготовке книги использованы полученные в последнее время ре­зультаты отечественных и зарубежных специалистов в области проектиро­вания и построения систем защиты компьютерной информации. Однако
в первую очередь обсуждаются теоретические и практические результаты проведенных исследований и проектирования механизмов защиты от НСД, а также учтен опыт, приобретенный автором при разработке добавочных
средств защиты в рамках работы НПП «Информационные технологии в
бизнесе» (http://www.npp-itb.spb.ru). Так, в книге излагаются новые техно­логии обеспечения компьютерной безопасности и технические решения по реализации механизмов добавочной защиты, апробированные при разра­ботке комплексной системы защиты информации (КСЗИ) «Панцирь» для ОС Windows 9x/NT/2000 [33], HP-UX, Linux, Free BSD. Здесь же стоит от­метить, что большинство описываемых технологий запатентовано [24...32].
Целью книги является не только рассмотрение перспективных технологий и методов защиты информации от НСД, в том числе добавочной, но и обо­снование требований к системе защиты. Эти требования позволят потреби­телю ориентироваться на рынке средств информационной защиты при вы­боре оптимального решения. Кроме того, немалое внимание уделено иллюстрации тех задач, которые должны решаться администратором безо­пасности, эксплуатирующим средства защиты. При этом следует понимать, что хорошая система защиты — это своего рода «конструктор», в котором заложены механизмы противодействия как явным, так и скрытым угрозам информационной безопасности. Чтобы достигнуть необходимого уровня безопасности защищаемьгх объектов, администратор должен не только знать и понимать возможности механизмов защиты, но и умело их настраивать, применительно к непрерывно изменяющейся статистике угроз.
Очевидно, что попытка задания типовых настроек механизмов защиты
разработчиком с целью снижения требований к квалификации админист­ратора безопасности — это не только бессмысленный, но и чрезвычайно
вредный подход, приводящий к урезанию возможностей средств защиты
и к появлению ложной уверенности потребителя в достижении им поло­жительного эффекта. Единственно правильным подходом является повы­шение квалификации сотрудников, эксплуатирующих средства защиты. При этом необходимо понимать, что процесс защиты информации непреры­вен, равно как непрерывен процесс изменения статистики угроз.
Таким образом, важнейшим условием защищенности компьютерной инфор­мации является квалификация администраторов безопасности и сотрудни­ков эксплуатирующих служб, которая, по крайней мере, не должна усту­пать квалификации злоумышленников. В противном случае не помогут никакие средства защиты (то же, кстати говоря, относится и к разработ­чикам средств защиты и защищенных информационных систем).
Автор надеется, что книга будет полезна научным и инженерно-техни­ческим работникам, занимающимся исследованиями в области защиты
информации и разрабатывающим, как собственно средства защиты ин­формации (в том числе добавочные), так и информационные системы в
защищенном исполнении. Кроме того, определенный интерес книга пред­ставляет для сотрудников предприятий, призванных решать задачи обес­печения информационной безопасности.
Материалы книги могут оказаться полезными для изучения аспиранта­ми и студентами ВУЗов, ориентированных на подготовку специалистов
в области различных приложений информационных технологий, в пер­вую очередь, в области защиты информации.
Автор с благодарностью воспримет отзывы, пожелания и предложения. По возможности ответит на все вопросы, которые могут направляться по адресу: info@npp-itb.spb.ru.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика