Модель безопасности информационной системы

Существуют и другие относящиеся к безопасности ситуации, которые не соответствуют описанной выше модели сетевой безопасности. Общую модель этих ситуаций можно проиллюстрировать следующим образом:


Рис. 1.9. Модель безопасности информационной системы

Данная модель иллюстрирует концепцию безопасности информационной системы, с помощью которой предотвращается нежелательный доступ. Хакер, который пытается осуществить незаконное проникновение в системы, доступные по сети, может просто получать удовольствие от взлома, а может стараться повредить информационную систему и/или внедрить в нее что-нибудь для своих целей. Например, целью хакера может быть получение номеров кредитных карточек, хранящихся в системе.

Другим типом нежелательного доступа является размещение в вычислительной системе чего-либо, что воздействует на прикладные программы и программные утилиты, такие как редакторы, компиляторы и т.п. Таким образом, существует два типа атак:

  1. Доступ к информации с цельюполучения или модификации хранящихся в системе данных.
  2. Атакана сервисы, чтобы помешать использовать их.

Вирусы и черви — примеры подобных атак. Такие атаки могут осуществляться как с помощью дискет, так и по сети.

Сервисы безопасности, которые предотвращают нежелательный доступ, можно разбить на две категории:

  1. Первая категорияопределяется в терминах сторожевой функции. Эти механизмывключают процедуры входа, основанные, например, на использовании пароля,что позволяет разрешить доступ только авторизованным пользователям. Эти механизмы также включают различные защитные экраны(firewalls), которые предотвращают атаки наразличных уровнях стека протоколов TCP/IP, и, в частности, позволяютпредупреждать проникновение червей, вирусов, а также предотвращать другиеподобные атаки.
  2. Вторая линия оборонысостоит из различных внутренних мониторов, контролирующих доступ ианализирующих деятельность пользователей.

Одним из основных понятий при обеспечении безопасности информационной системы является понятие авторизации — определение и предоставление прав доступа к конкретным ресурсам и/или объектам.

В основу безопасности информационной системы должны быть положены следующие основные принципы:

  1. Безопасность информационнойсистемы должна соответствовать роли и целям организации, в которой даннаясистема установлена.
  2. Обеспечение информационнойбезопасности требует комплексного и целостного подхода.
  3. Информационная безопасностьдолжна быть неотъемлемой частью системы управления в данной организации.
  4. Информационная безопасностьдолжна быть экономически оправданной.
  5. Ответственность заобеспечение безопасности должна быть четко определена.
  6. Безопасность информационнойсистемы должна периодически переоцениваться.
  7. Большое значение для обеспечениябезопасности информационной системы имеют социальные факторы, а также мерыадминистративной, организационной и физической безопасности.

Рандомно подобранные статьи с сайта:

004. Безопасность информационных систем — Антон Карпов


Похожие статьи:

admin