Методы защиты данных. классификация средств защиты. физические и аппаратные средства защиты

Способы (методы) защиты информации:

  • Препятствие — создание на пути угрозы преграды, преодоление которой сопряжено с возникновением сложностей для злоумышленника или дестабилизирующего фактора.
  • Управление — оказание управляющих воздействий на элементы защищаемой системы.
  • Маскировка — действия над защищаемой системой или информацией, приводящие к такому их преобразованию, которое делает их недоступными для злоумышленника. (Сюда можно, в частности, отнести криптографические методы защиты).
  • Регламентация — разработка и реализация комплекса мероприятий, создающих такие условия обработки информации, которые существенно затрудняют реализацию атак злоумышленника или воздействия других дестабилизирующих факторов.
  • Принуждение — метод заключается в создании условий, при которых пользователи и персонал вынуждены соблюдать условия обработки информации под угрозой ответственности (материальной, уголовной, административной)
  • Побуждение — метод заключается в создании условий, при которых пользователи и персонал соблюдают условия обработки информации по морально-этическим и психологическим соображениям.

Средства защиты информации:

  • Физические средства — механические, электрические, электромеханические, электронные, электронно-механические и т. п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.
  • Аппаратные средства — различные электронные и электронно-механические и т.п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации.
  • Программные средства — специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации.
  • Организационные средства — организационно-технические мероприятия, специально предусматриваемые в технологии функционирования системы с целью решения задач защиты информации.
  • Законодательные средства — нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности.
  • Психологические (морально-этические средства) — сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

Защита от дизассемблеров.

Дизассе?мблер — транслятор, преобразующий машинный код, объектный файл или библиотечные модули в текст программы на языке ассемблера.

Ниже приведены некоторые приемы, которые следует использовать для противодействия дизассемблерам.

1. Шифрование критичного кода программы и дешифрация его самой системой защиты перед передачей управления на него. Таким образом, дешифрация программы происходит не сразу, а частями и защита от дизассемблера оказывается распределенной во времени. При этом никогда не осуществляийте дешифрацию одной подпрограммой, т.к. ее будет легко вычислить и отключить. Также следует затирать те участки программы, которые уже не понадобятся.

Шифрование исполняемого кода программы с целью защиты от дизассемблера является наиболее простым средством как в смысле его реализации, так и в смысле снятия. Шифрование может быть использовано лишь как часть защиты от дизассемблера и поэтому необязательно должно быть сложным.

2. Скрытие команд передачи управления приводит к тому, что дизассемблер не может построить граф передачи управления.

2.1. Косвенная передача управления.

2.2. Модификация адреса перехода в коде программы

2.3. Использование нестандартных способов передачи управления (jmp через ret, ret и call через jmp)

Аутентификация.

Аутентифика?ция (англ. Authentication) — процедура проверки подлинности[1], например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей; подтверждение подлинности электронного письма путём проверки цифровой подписи письма по ключу проверки подписи отправителя; проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла.

Аутентификацию не следует путать с авторизацией[2] (процедурой предоставления субъекту определённых прав) и идентификацией (процедурой распознавания субъекта по его идентификатору).

Рандомно подобранные статьи с сайта:

Современные средства защиты информации от утечек


Похожие статьи:

admin