Modell potenciális betolakodót
A legveszélyesebb helyzet modell potenciális betolakodót képviselheti az alábbiak szerint:
A törvénysértő megjelenhet bármikor és bárhol a kerülete az automatizált rendszer.
Készségek és ismeretek a betolakodó lehet a szintje a fejlesztő a rendszert.
Az elkövető ismert tartósan tárolt információkat a működési elve a rendszer, beleértve egy titkot.
E célok elérése érdekében az elkövető választja ki a leggyengébb láncszem a védelem.
Jogsértő lehet nem csak egy kívülálló, de a jogos felhasználót a rendszer.
alapelveinek IP védelem lehet megfogalmazni az e modell alapján:
Meg kell építeni köré a védelmet a tárgy tartós védelmet zárt áramkört.
Tulajdonságok akadályokat, amelyek a védelem meg kell felelnie a várható minősítési és elkövető tudatosság.
Ahhoz, hogy adja meg a jogos felhasználó rendszer megköveteli a változó titkos információkat csak általa ismert.
A teljes erejét a védelmi rendszer határozza meg a leggyengébb láncszem.
Meg kell különböztetni a felhasználó az információhoz való hozzáférés összhangban a hatásköröket és feladatokat elvégezni.
Modell potenciális jogsértőt befolyásolhatják az adott helyzettől, a jellemzői az információs rendszer, potenciális biztonsági veszélyek stb Ennek megfelelően kell kialakítani, és az EK-követelményeknek. Általában, IP védelmi követelmények alapján kell ésszerű kompromisszumot:
Az érték a védett adatokat, és a költség a védelmi rendszer - a szempontból a fejlesztők, az ügyfelek és a felhasználók a rendszer
Érték érdekes információkat, és a költségek leküzdésében a védelmi rendszer - a szempontból az elkövető.
A koncepció a biztonságos áramkörök
Próbáljuk megválaszolni a következő kérdést: mi védi IP. Első közelítésben a válasz vehet a következő nyilatkozatot: IP védett, ha az összes műveleteket végzik megfelelően szigorúan meghatározott szabályok azonnali védelmet biztosít a hálózati szolgáltatások, a források és a műveleteket.
Az alapgondolat az IP egy olyan koncepció, az objektum, amely magában foglalja a források és a felhasználók. A szerkezet a források magában foglalja az összes IC alkatrészek, hardver és szoftver. A koncepció a forrás lehet terjeszteni más IC alkatrészek - eljárások, protokollok, vezérlési szerkezetek, stb ...
Funkciók, eljárások, és védelme IP eszközök
Fogalmának meghatározása tárgyak és a források, létrehoz egy sor művelet és funkció, hogy lehet rajtuk végezni.
Az első csoport a tranzakciók - a tranzakció inicializálása tárgyak IP bemenet. Ezek közé tartoznak: azonosítás, megerősítése hitelesség (hitelesítés) és terjedelmének megállapításához a tárgy. Miután ez az objektum hagyjuk egyéb műveletek felvétele más tárgyak .. Az üzenetek cseréje, az az e-mail szolgáltatás, telekonferencia, stb ezek végrehajtására műveletek és funkciók tárulnak különböző aspektusait biztonsági kérdések és biztosítja az adatok integritását. Funkciók és jogorvoslatok kapcsolatos aktív elemeinek IP, célszerű meghatározni a funkciók és objektumok védelmi.
A második csoport a műveletek - az a művelet, adat és vezérlő üzenetek a kommunikációs vonalakon. Azt is meg kell védeni, mert a kommunikációs vonal - a kiszolgáltatott IP komponenst. A különböző funkciók és jogorvoslati hasznos meghatározni függvényében védelme és adatátviteli eszközök csatornák (kommunikációs vonalak).
A negyedik csoport a tranzakciók - a folyamatirányító művelet alatt az IP. Megfelelő védelmet jelent elvégzésére koordináció, a szinkronizálás, és integritásának védelmét IC folyamatokat. Ők lehet kombinálni IP alrendszer.
Így minden művelet: a biztonsági követelmények, funkciók, eszközök és védelmi mechanizmusok - lehet rendelni a négy csoport egyikébe:
- a szellemi tulajdon védelme tárgyakat;
- védelme a kommunikációs vonalakon;
- adatbázis-védelem;
- védettség: IP alrendszer.
Egy ilyen szerkezet műveletek, függvények, eljárások, eszközök és a biztonsági rendszerek szerepelnek a nemzetközi szabvány az ISO.
Védelem IP
Minden objektum jár IC néhány információt, amely egyedileg azonosítja. Ez lehet egy szám, egy karaktersorozatot, az algoritmus, amely megerősíti a hitelességét az objektumot. Definiálható, mint az objektum azonosítója. A folyamat a személyazonosságának ellenőrzését a tárgy neve azonosítása. Ha egy objektum egy azonosító van, aki regisztrált a hálózaton, ez az úgynevezett jogi személy; egyéb tárgyak illegális.
Ez a három inicializálási eljárást lásd egyetlen tárgya az IP, és ezért ki kell tulajdonítani védelmét az objektumot.
Annak érdekében, hogy megvédje a adatcsatorna (kommunikációs vonal) hitelesítés azt jelenti, hitelesítő tárgyak, kapcsolatok révén kommunikációs vonalak révén megvalósított hálózati biztonsági mechanizmusokat. Így a következő sor biztonsági funkciók - hitelesítés előfizetői csatlakozások révén kommunikációs vonalakon. Ezeket a funkciókat az úgynevezett kölcsönös hitelesítés (peer-to-peerauthentication) kapcsolatok tárgyakat. A kifejezés kapcsolat azonosítására használt logikai kapcsolat (potenciálisan kétirányú) két összekapcsolt hálózati egységek. Hitelesítési eljárás többnyire kora munkamenet létrehozása a kapcsolatot. A cél -, hogy egy nagy bizonyossággal, hogy a kapcsolat létrejött a szakértői szervezet és a kicserélendő információ, ellenőrizték és megerősítették.
Miután a kapcsolat létrejött, a következő négy eljárás, hogy védelmet nyújtson a cseréje üzenetek:
a) a kedvezményezett arról kell meggyőzni az igazság adatforrás;
b) a címzett biztosnak kell lennie abban az igazság a továbbított adatok;
c) a feladó kell lennie abban a szállítási adatokat a címzett
g) a feladó meg kell győzni arról az igazság szállított adatokat.
Ha mind a négy eljárásokkal együtt a VI garantálják az adatok biztonságáról az átvitel során a linket, és meghatározza a funkciója a védelem, amely nevezhető átviteli elismervény funkció (nem repudiationservice). Ebben az esetben a feladó nem vitatja sem azt a tényt, az üzenet küldésére, vagy annak tartalmát, és a címzett nem vitatja sem az a tény, a közlemény kézhezvételét, sem az igazság tartalmát.
A különleges helyet foglal a megerősítő üzenet továbbítása a hitelesség a probléma védelmének szállítások e-mailben, ha a küldő egy üzenetet küld a címzettet, aki nem aktív idején üzenetküldés.
Mindezen eljárások, hirdetőtáblák, funkciók és eszközök hallgatólagosan feltételeztük, hogy a két vzaimodoveryayuschih egymással kölcsönhatásban objektum egy ellenséges környezetben set-CIÓ. Ez azt jelentené, hogy a forrása a fenyegetés, tiszteletben tartják a kapcsolatot, kint volt a vegyület. Bo Lee nehéz garantálni védelmet üzenetek továbbításának a tárgyak közötti barátságtalan, amikor senki sem bízik senki. Ebben az esetben meg kell győződni arról, hogy a továbbító-emaya objektum információ egyenértékű jelentősége. Használt védelme érdekében ezeket az eljárásokat az esetben, ha két tag az úgynevezett a szerződés aláírását, és ki kell terjeszteni az esetben, ha a többoldalú kapcsolat több objektumot. Akkor ezek a védelmi funkciók lehet meghatározni, mint egy aláírt kétoldalú mnogosto-ronnego vagy szerződéses kell.
Érvényesítése IP kapcsolatok
A kommunikációs vonalak - az egyik legsérülékenyebb elemei az IC. Szerkezetükben, megadhat számos potenciálisan veszélyes helyek, amelyeken keresztül a támadók behatolnak, húzza a VI. Abban az esetben passzív behatolás támadó csak figyel az üzeneteket a kapcsolaton keresztül továbbítandó anélkül, hogy elszakadna a transzfer. Egy ilyen invázió nevezzük megfigyelése az üzeneteket. Még ha nem érti az adatokat, a támadó, így a megfigyelés-vezérlési információ kísérő társ-kommunikáció, és ezáltal azonosítani a helyét, és azonosítható fut-Katori IP. Végül ellenőrizze a hossza a ko-ösztöndíj, indulás ideje, gyakorisága ülés.
Egyéb, szigorúbb követelmény használt per-pajzsok üzeneteket továbbítani kell, hogy igaz azonosítókat hálózati entitások (regisztrált és Execu-üzemeltetik a folyamat ellenőrzését a védett objektum) kell-zhny rejtve nemcsak passzív behatolás száz-Rhone regisztrálatlan felhasználók, hanem egymástól. Az ilyen jogorvoslat úgynevezett digitális álnév. Ebben az esetben a felhasználó megkapja a különböző azonosítók különböző vegyületek, így elrejtik a valódi azonosítók nem csak zloumyshlen-nickek, hanem egyenrangú partnerként.
A támadó is szervez aktív invázió. végző különböző manipulációk az üzenetek a hívás során. Az üzenetek lehetnek hallgatólagosan-módosítása képzett, megsemmisült, késleltetett, másolható, megváltozott a sorrend, be a hálózat egy kommunikációs kapcsolat útján egy későbbi időpontban. Azt is meg lehet szintetizált menedékházak-WIDE üzenetet, és belépett a hálózaton keresztül, egy adott átviteli csatornán-CIÓ.
Mechanizmusok elleni védelem behatolás aktív nagyban függ az utat az invázió. Ezért a következő kata-gorii aktív behatolás elkülönítése indokolt:
- a hatása az üzenetek áramlását: módosítani, törölni, set, késleltetés, átrendezésével párhuzamos rendszeres és küldő hamis üzeneteket;
- akadályozza az üzenetek;
- végrehajtása hamis kapcsolatokat.
A hatás az üzenetet flow miatt a fenyegető eljá-duram hitelesítés, integritás és a rend következő üzeneteket a hívás során. Az összefüggésben az, hogy valaki munikatsionnyh funkcióit IP hitelesítési üzenet, az üzenet forrása lehet megbízhatóan mérni, azaz a. E. Annak jelzésére, hogy a kapott üzenet előtt, de ezt a tulajdonságot más tárgyat a kapcsolat időtartamától. Integrity az üzenet azt jelenti, hogy a társ-kapcsolat nem lett módosítva az átvitel során, de érthető, a „sorozat” azt jelenti, hogy a helyét az üzenet az üzenet folyam lehet ellenőrizni.
Védelme adatbázisok IC
Az adatbázis védelme adatok védelmét jelenti magukat és ellenőrzött használatát munkahelyi számítógépes hálózaton, valamint, hogy a védelem bármely kísérő információk, hogy mo-Jette lehet kibontani ezekből az adatokat. Data Management szervezésében információk védelmének-CIÓ bázisok alkalmazni a különböző védelmi mechanizmusokkal és titkosító kulcsokat adatként-dit nem tartozik a figyelembe vett védelmi csoport. Az ilyen eljárások hallgatólagosan a védelme IP eljárásokat. Védő-ta adat átvitel során hálózati csomópontok között Support-on védelmét szolgáló eljárások kommunikációs vonalakon.
Funkciók, eljárások és jogorvoslatok adatok védelme számítógépeken dolgoznak lehet leírni az alábbiak szerint:
1. Adatvédelem funkcióit egyesíti a tartalmat, eljárások és jogorvoslatok, amely megakadályozza a jogosulatlan bizalmas-ügyi adatok és információk az adatbázisból.
2. hozzáférés-szabályozás lehetővé teszi a hozzáférést csak engedélyezett adat objektumok szerint szigorúan meghatározott feltételek szerint.
3. Áramlásszabályozó biztonságos adatátvitelt az egyik szegmens BDV egyéb adatokat szolgáltat mozgása együtt fur-nism rejlő védelmet az eredeti adatokat.
4. megelőzése lehetőségét feltáró bizalmas értékek adatainak azonosítására statisztikailag szignifikáns információ.
5. Az ellenőrzési összhang, amikor egy DB-IP biztonsági eljárás feltételezi, hogy a védelem biztosítása és integritását egyes adatelemek, különösen az értékek (values függőség). Sikeres végrehajtása az ilyen eljárások az EK azt jelenti, hogy az adatokat az adatbázis mindig logikusan kapcsolódik, és az értékek a kritikus-nek továbbított adatok csomópontról csak különleges képességei.
6. Context adatvédelem, azzal jellemezve Terni-védelmi rendszerek dinamikus adatbázis. Ebben az esetben egy külön adatbázis-védelem tag egy adott pillanatban az idő függ a viselkedését a teljes védelmi rendszer, valamint a korábbi műveleteket végezni, hogy a tárgy (függés történelem).
7. kialakulását, jogosulatlan információ feltételezi a rendelkezésre álló források, amelyek arra figyelmeztetnek, hogy az objektum kap (generál) információt, hogy meghaladja azt a szintet a hozzáférési jogok, és ezt úgy éri el a logikai-iai kapcsolatot az adatokat az adatbázisba.
Védelem IP alrendszer
A negyedik csoport a védelem - védelme a folyamatok, cirkusz-oszcilláló IP. két fogalom az itt használt - a tárgy és a környezetre. Object - IP semmilyen hatóanyagot, és a közeg - a működési környezet az objektum az időintervallumot, amikor az objektum aktív.
Között számos különböző ellenőrzési eljárás során azonosítani kell a következő hat:
védelmének biztosítása a hálózati erőforrásokat a jogosulatlan expozíció folyamatok és jogosulatlan kéréseket az engedélyezési eljárás;
integritásának biztosítása megsértése során korlátozott erőforrások-érintési és szinkronizációs folyamatok a hálózat, hibás műveleteket;
védi a hálózati erőforrásokat a jogosulatlan szoftver fékpedálra, másolása vagy használata (szoftveres védelem);
védelme a kölcsönhatás altalaj Isteni szoftver rendszerek (folyamatok);
végrehajtását a szoftver rendszerek anélkül pas myatyu;
védelmét elosztott számítási.
Az első három eljárások védelmével kapcsolatos és integritását szoftver IP erőforrások (beleértve a folyamatok), míg az utolsó három alkalmazni a szervezet számítástechnikai folyamatok a hálózat és a végrehajtás a hálózati környezetben.
IP védelmi mechanizmusok erőforrás kell szabályozni a hozzáférést IP tárgyak, különösen információkat. A tartomány az ezekre vonatkozó követelmények védelmi mechanizmusok közé tartoznak egyrészt a teljes elszigeteltségben Egy futó program más programokkal, és a másik -, hogy a kölcsönhatás és megosztását.
Integritásának IP források is meg kell semmisíteni, bár egyes kölcsönható folyamatok, funkciók nagy, helyesen. Összeférhetetlenség néhány erőforrás tudja mutatni Xia miatt lehetséges megsértését a menetrend az események a hálózatban, azaz a. E. megsértése munkafolyamatok.
Egyéb eljárások védelmével kapcsolatos IP folyamatokban, - kölcsönhatás barátságtalan alrendszerek. Ez biztosítania kell, hogy feldolgozza egyes hálózati erőforrások garancia arra, hogy tevékenységüket engedélyezett. Az egyik a jól ismert fenyegetések, mint védelem - az úgynevezett Ata-ka trójai.