Выделяют 4 типа угроз защите:
5. Перехват: ситуация, когда неавторизованный агент получает доступ к службам или данным
6. Прерывание: ситуация, когда службы или данные становятся недоступными, уничтожаются или их невозможно использовать
7. Модификация: включает в себя неавторизованные изменения данных или фальсификацию служб, с тем, чтобы они не соответствовали своему назначению
8. Подделка: ситуация, когда создаются дополнительные данные или осуществляется деятельность, невозможная в нормальных условиях
К основным механизмам защиты относятся:
1.Шифрование
2.Аутентификация, т.е. создание паролей с привязанным к ним правилами, т.е. возможностями данного пользователя в системе.
3.Авторизация: выдача прав дотупа
4.Аудит
Выделяют 2 аспекта защиты:
- создание средств для организации защищенных каналов связи между процессами.
- контроль доступа или авторизации касается вопросов защиты ресурсов. Только для процессов, имеющих собственные права доступа к соответствующим ресурсам и возможностям их использования.
Существует 2 способа реализации контроля доступа:
1. Каждый из ресурсов может поддерживать собственный список доступа, в котором перечислены права доступа всех пользователей ил процессов. Процесс или пользователь может иметь сертификат точно устанавливающий его права доступа на ресурс или процесс. Основное достоинство сертификата состоит в том, что процесс может легко передать свой талон другому процессу, отдав ему права доступа. Недостатком сертификата является то, что их не легко отозвать.
2. В случае разработки неизолированной для внешнего мира системы, для её защиты используется специальное ПО, поддерживающее технологию шлюзов. Использование этой технологии позволяет отсечь часть системы от внешнего мира. Все выходящие и особенно входящие пакеты проходят через специальный компьютер и перед тем как будут переданы дальше – проверяются. Наибольшее внимание в таких системах уделяется защите мобильных кодов или программ агентов перемещающихся по сети, а также самих хостов сети от перемещающихся по ним агентов-злоумышленников. Для этого существуют различные способы, основанные на методах просеивания информации и отслеживания контрольных сумм.
ПРОЕКТИРОВАНИЕ ИНТЕГРИРОВАННОЙ ИС
Цель создания: построение системы с наивысшей производительностью при минимальных затратах. Решение по данному вопросу принимаются в следующей последовательности:
1. Выбор технологии обработки данных среди следующих возможных:
1.1. централизованная
1.2. децентрализованная
1.3.частичное распределение
1.4.распределение
Здесь наиболее важным критерием выбора является географическое размещение и распределение объекта с т.зр. источников и потребителей данных, наличие коммуникаций между подразделениями или возможность их создания, необходимость группировки данных для отдельных прикладных систем, реальные информационные потоки, выявленные на этапе обследования объекта.
2. определение стандарта информационных структур, исключающего дублирование данных и регламентирующего актуализацию совместно используемых данных. С этой т.зр. рассматривается критическая группа данных – нормативно-справочная информация (НСИ), обновление которой может быть заданно регламентом, определяемым пользователем, модифицирующем эти данные и обеспечивающие защиту НСИ от модификаций остальных пользователей. Изменение в структуре НСИ возможны только при согласовании требований всех пользователей.
3. определение программно-технического комплекса для реализации интегрированной БД на предприятии. Предоставляемые им средства в различной степени должны покрывать возможные требования к комплексу технических средств и программному обеспечению всех уровней, т.е. системного, сетевого, инструментального и прикладного lzk отечественных предприятий. Решающее значение при выборе ПТК имеет соотношение «качество-стоимость». Вместе с тем должны учитываться проблемы, связанные с опытом работы фирмы в данной отрасли, опытом внедрения аналогичных систем, простотой адаптации прикладных систем, степенью проникновения фирм на отечественны рынок.
4. Разработка спецификаций на комплекс технических средств и состав ПО. На данном этапе производится оценка комплекса технических средств с т.зр. соответствия выдвигаемых к нему требований.