Реферати українською » Коммуникации и связь » Протидія технічним засобам розвідки


Реферат Протидія технічним засобам розвідки

>УЧРЕЖДЕНИЕ ОСВІТИ

“БІЛОРУСЬКИЙ ДЕРЖАВНИЙ УНІВЕРСИТЕТ

ІНФОРМАТИКИ ІРАДИОЭЛЕКТРОНИКИ”

Кафедра захисту

>РЕФЕРАТ

На тему:

«Протидія технічних засобів розвідки»

МІНСЬК, 2008


Протидія технічних засобів розвідки (>ТСР) є сукупність узгоджених заходів, виділені на винятку або істотне труднощі добування охоронюваних відомостей з допомогою технічних засобів.

Добування інформації припускає наявність інформаційних потоків від фізичних носіїв охоронюваних відомостей до системи управління. З використаннямTCP такі інформаційні потоки утворюються з допомогою перехоплення та політичного аналізу сигналів і полів різної фізичної природи. Джерелами інформації для технічної розвідки є містять охоронювані відомості об'єкти. Це дозволяє безпосередньо проводити якість видобутої зловмисником інформації та загалом ефективність своєї діяльності шляхом приховання справжнього стану і нав'язування помилкового уявлення про охоронюваних відомостях.

Спотворення чи зниження якості одержуваної інформації впливає прийняті зловмисником рішення і крізь його систему управління, на кошти та прийоми виконання рішення. Безпосередній контакт принципово необхідний на етапах добування інформації та виконання рішення, причому добування інформації має передувати ухвалення рішення та її виконання зловмисником. Тому протидіяТСР має бути випереджаючого характері і реалізовуватися завчасно.

Будь-яка система технічної розвідки (рис. 1) містить такі основні елементи:

— обладнання (>TCP);

— канали передачі (КПІ);

— центри збирання та опрацювання інформації (>ЦСОИ).

Технічні кошти розвідки є сукупність розвідувальної апаратури, настановленим виявленнядемаскирующих ознак, попередньої обробки, реєстрації перехопленої інформації та її передачі через КПІ вЦСОИ. УЦСОИ інформація від різнихTCP накопичується, класифікується, аналізується і надається споживачам (автоматизованим системам управління або фізичним особам, котрі ухвалюють рішення. Отже, у системі технічної розвідки реалізується виявлення і аналіздемаскирующих ознак (ДП).

>Рис. 1. Спрощена структурна схема системи технічної розвідки

Виявлення ДП по фізичної суті полягає у виконанні наступних операцій:

— пошук і освоєння виявлення енергії ДП у просторі, у часі, за широким спектром тощо.;

— виділення ДП з штучних природничих перешкод.

Фізичний сенс аналізу ДП розкривають такі операції:

— поділ ДП різних об'єктів;

— оцінка параметрів ДП (визначення їх об'єктивних характеристик);

— скорочення надмірності інформації;

— реєстрація, накопичення і класифікація ДП;

— перебування місцеположення джерела ДП;

— розпізнавання змісту ДП;

— виявлення охоронюваних відомостей.

Відповідно до наведеної класифікацією головними напрямами зниження ефективностіTCP є протидія виявлення ДП й викликає протидію їх аналізу.

При протидії виявлення ДП переслідується мета приховання відTCPдемаскирующих ознак. Відповідно, всі організаційні і технічні способи, призначені щоб уникнути або істотне труднощі виявлення ДП, становлять одне з головних напрямів протидіїTCP — приховання.

Іншим основним напрямом є технічна дезінформація, що об'єднує все організаційно-технічні заходи протидії, створені задля складне становище аналізу ДП і нав'язування противнику удаваної інформації.

>Скритие, забезпечуючи протидія виявлення, завжди утрудняє чи виключає можливості проведення аналізудемаскирующего ознаки. Технічна дезінформація, навпаки, утруднюючи аналіз, зазвичай, важить до можливості виявлення об'єкта розвідки.

ДеякіТСР призначені задля забезпечення активного на будь-які об'єкти, чиї сигнали опиняються у заданих діапазонах пошуку це й виявлення. Технічна дезінформація такій ситуації може бути неефективною. Тому реалізація стратегії приховання об'єкта є радикальним напрямом протидіїTCP, ніж технічна дезінформація.

Проте за практиці часто зустрічаються ситуації, коли неможливо забезпечити за обмежених ресурсах надійне приховання об'єкта (наприклад, великого будівлі споруди) чи окремихдемаскирующих ознак (як-от потужні безперервні електромагнітні випромінювання радіоелектронних і оптичних систем на відкритій місцевості). У таких ситуаціях мети протидії технічних засобів розвідки можуть досягатися лише застосуванням методів і коштів технічної дезінформації.

Крім розглянутих заходів ПДTCP, які передбачають нормальне функціонування всіх складових частин системи розвідки, можливо проведення активні дії щодо виявлення і виведення з ладу елементів системи розвідки.

Основними функціями системи розмежування доступу (>СРД) є:

— реалізація правил розмежування доступу (>ПРД) суб'єктів та його процесів до даних;

— реалізаціяПРД суб'єктів та його процесів до пристроям створення твердих копій;

— ізоляція програм процесу, виконуваного у сфері суб'єкта, з інших суб'єктів;

— управління потоками даних з метою запобігання записи даних на носії невідповідного грифа;

— реалізація правил обміну даними між суб'єктами для автоматизованих систем (АС) і коштів обчислювальної техніки, побудованих по мережним принципам.

ФункціонуванняСРД спирається на обраний спосіб розмежування доступу. Найбільш прямий спосіб гарантувати захист даних — це надати кожному користувачеві обчислювальну систему як він власну. Умногопользовательской системі схожих результатів можна домогтися використанням моделі віртуальної ЕОМ.

У цьому кожен користувач має власну копію ОС. Монітор віртуального самого персонального комп'ютера кожної копії ОС створюватиме ілюзію, що жодних інших копій немає І що об'єкти, яких користувач має доступ, є лише його об'єктами. Проте за поділі користувачів неефективно використовуються ресурси АС.

У АС, припускають спільного використання об'єктів доступу, існує проблема розподілу повноважень суб'єктів стосовно об'єктах. Найповнішою моделлю розподілу повноважень є матриця доступу. Матриця доступу є абстрактної моделлю для описи системи надання повноважень.

Рядки матриці відповідають суб'єктам, а стовпчики — об'єктах; елементи матриці характеризують право доступу (читати, додавати інформацію, змінювати інформацію, виконувати програму тощо.). Щоб змінювати права доступу, модель може, наприклад, утримувати спеціальні права володіння та управління. Якщо суб'єкт володіє об'єктом, вона має право змінювати права доступу інших суб'єктів до цього об'єкта. Якщо певний суб'єкт управляє іншим суб'єктом, може видалити права доступу цього суб'єкта або своїх прав доступу цьому суб'єкту. Щоб реалізувати функцію управління, суб'єкти в матриці доступу би мало бути так само визначені як об'єкти.

Елементи матриці встановлення повноважень (матриці доступу) можуть утримувати покажчики на спеціальні процедури, які мають виконуватися за будь-якої спробі доступу даного суб'єкта об'єкта і вчасно приймати рішення про можливість доступу. Основами таких процедур можуть бути такі правила:

— постанову по доступі полягає в історії доступів інших об'єктів;

— постанову по доступі полягає в динаміці стану системи (права доступу суб'єкта залежить від поточних прав інших суб'єктів);

— постанову по доступі полягає в значенні певних внутрісистемних змінних, наприклад значень часу й т.п.

У найважливіших АС доцільно використання процедур, у яких рішення приймається з урахуванням значень внутрішньосистемних змінних (час доступу, номери терміналів тощо.), тому що ці процедури звужують права доступу.

Матриці доступу реалізуються зазвичай двома основними методами — або у формі списків доступу, або мандатних списків. Список доступу приписується кожному об'єкту, і він ідентичний стовпцю матриці доступу, відповідної цього об'єкта. Списки доступу часто розміщуються в словниках файлів.Мандатний список приписується кожному суб'єкту, і він рівнозначний рядку матриці доступу, відповідної цьому суб'єкту. Коли суб'єкт повинен доступу стосовно об'єкту, то пара (об'єкт — права доступу) називається мандатом об'єкта.

Насправді списки доступу використовуються під час створення нових об'єктів й визначенні порядку їхнього використання або зміну прав доступу до об'єктів. З іншого боку, мандатні списки об'єднують повне право доступу суб'єкта. Коли, наприклад, виконується програма, операційна система повинна бути спроможна ефективно виявляти повноваження програми. І тут списки можливостей більш зручні для реалізації механізму надання повноважень.

Деякі операційні системи підтримують як списки доступу, і мандатні списки. На початку роботи, коли користувач входить у мережу чи починає виконання програми, задіяні лише списки доступу. Коли суб'єкт намагається одержати доступ об'єкту вперше, список доступу аналізується і перевіряються права суб'єкта на доступом до об'єкту. Якщо права є, всі вони приписують вмандатний список суб'єкта і право доступу перевіряються надалі перевіркою цього.

З використанням обох видів списків список доступу часто розміщається у Словнику файлів, амандатний список — оперативному пам'яті, коли суб'єкт активний. З з підвищення ефективності в технічного забезпечення можна використовувати регістр мандатів.

Третій метод реалізації матриці доступу — так званий механізм замків і ключів. Кожному суб'єкту приписується пара (А, До), де А— певний тип доступу, а До— досить довга послідовність символів, звана замком. Кожному суб'єкту також пропонується послідовність символів, звана ключем. Якщо суб'єкт захоче отримання доступу типу А до певного об'єкта, необхідно перевірити, що суб'єкт володіє ключем до парі (А, До), приписуваною конкретному об'єкту.

До вад застосування матриць доступу з усіма суб'єктами і об'єктами доступу можна віднести велику розмірність матриць. Для зменшення розмірності матриць встановлення повноважень використовують різноманітні методи стискування:

— встановлення груп користувачів, кожна з яких є групою користувачів з ідентичними повноваженнями;

— розподіл терміналів за класами повноважень;

— угруповання елементів захищуваних даних на певну число категорій з погляду безпеки інформації (наприклад, за рівнями конфіденційності).

За характером управління доступом системи розмежування поділяють на дискреційні і мандатні.

>Дискреционное управління доступом дає можливість контролювати доступ найменованих суб'єктів (користувачів) донаименованним об'єктах (файлам, програмам тощо.). Наприклад, власникам об'єктів надається право обмежувати доступом до цього об'єкта інших користувачів. За такої управлінні доступом кожної пари (>субъект—объект) має бути поставлено явне та недвозначне перерахування допустимих типів доступу (читати, писати тощо.), тобто. тих типів доступу, що є санкціонованими для даного суб'єкта до цього об'єкту. Проте є й інші завдання управління доступом, які можна вирішити лишедискреционним управлінням. Один із завдань — дозволити адміністратору АС контролювати формування власниками об'єктів списків управління доступом.

>Мандатное управління доступом дає змогу розподілити інформацію певні класи й управляти ними потоками інформації при перетинах кордонів цих класів.

Багато системах реалізується якмандатное, ідискреционное управління доступом. У цьому дискреційні правила розмежування доступу є доповненням мандатних. Рішення просанкционированности запиту на доступ має лише за одночасного вирішенні його йдискреционними, імандатнимиПРД. Отже, мають "контролюватися як одиничний акт доступу, а й потоки інформації.

>Обеспечивающие кошти на системи розмежування доступу виконують такі функції:

— ідентифікацію і упізнання (>аутентификацию) суб'єктів та підтримка прив'язки суб'єкта до процесу, виконуваного для суб'єкта;

— реєстрацію дій суб'єкта та її процесу;

— надання можливостей винятку і включення нових суб'єктів та доступу, і навіть зміна повноважень суб'єктів;

— реакцію намаганняНСД, наприклад, сигналізацію, блокування, відновлення системи захисту післяНСД;

— тестування всіх функцій захисту спеціальними програмними засобами;

— очищення оперативної пам'яті та скорочення робочих областей на магнітних носіях після роботи користувача ззащищаемими даними шляхом дворазовою довільній записи;

— облік вихідних друкованих ЗМІ та графічних форм i твердих копій в АС;

— контроль цілісності програмної й інформаційної частини якСРД, і які її коштів.

До кожного події повинна реєструватися наступна інформація, дата та палестинці час; суб'єкт, здійснюєрегистрируемое дію; тип події (якщо реєструється запит на доступ, слід відзначати об'єкт і тип доступу); успішно чи здійснилося подія (>обслужен запит на доступ чи ні).

Видача друкованих документів має супроводжуватись автоматичної маркіруванням кожного аркуша (сторінки) документа порядковим номером і дисконтними реквізитами АС із зазначенням на останньому аркуші загальної кількості аркушів (сторінок). Разом із видачею документа може автоматично оформлятися облікова картка документу з зазначенням дати видачі документа, дисконтних реквізитів документа, стислого змісту (найменування, виду, шифру коду) й досяг рівня конфіденційності документа, прізвища особи, який виказав документ, кількості сторінок, і копій документа.

>Автоматическому обліку підлягають створювані захищені файли, каталоги, томи, області оперативної пам'яті самого персонального комп'ютера, які виділяються обробки захищуваних файлів, зовнішніх пристроїв і каналів зв'язку.

Такі кошти, як захищені носії інформації, повинні враховуватися документально, з допомогою журналів чи картотек, із державною реєстрацією видачі носіїв. З іншого боку, можна проводити кілька дублюючих видів обліку.

Реакція намаганняНСД може мати кілька варіантів дій:

— виняток суб'єктаНСД із роботи АС за першої спробі порушенняПРД чи помирають після перевищення певної кількості дозволених помилок;

— робота суб'єктаНСД припиняється, а інформацію про несанкціонованому дії надходить адміністратору АС і підключає на роботу спеціальну програму роботи з порушником, яка імітує роботу АС і дозволяє адміністрації мережі локалізувати місце спробиНСД.

Реалізація системи розмежування доступу може здійснюватися як програмними, і апаратними методами чи його поєднанням. Останнім часом апаратні засоби захисту інформації відНСД інтенсивно розвиваються тому, що: по-перше, інтенсивно розвивається елементна база, по-друге, вартість апаратних коштів постійно знижується й, нарешті, по-третє, апаратна реалізація захисту ефективніше по швидкодії, ніж програмна.


ЛІТЕРАТУРА

 

1.Ярочкин В.І. Інформаційна безпеку:Учеб. для вузів. Вид. 2. Мінськ: Академічний проект, 2005. – 544 з.

2.Бузов Г.А., Калінін С.В., Кондратьєв А.В. Захист від просочування інформації з технічних каналам:Учеб. посібник на підготовку експертів системиГостехкомиссии Росії. М.: Гаряча лінія - телеком, 2005. – 416 з.

3.Деднев М.А. Захист інформацією банківській справі і електронному бізнесі. М.:Кудиц-образ, 2004. – 512 з.

4.Конеев І.Р. Інформаційна безпеку підприємства. СПб.:БХВПетербург, 2003. – 752 з.


Схожі реферати:

Навігація