Министерство экономического развития и торговли Российской Федерации
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ
«КИРИЛЛ И МЕФОДИЙ»
ОКП ______
| СОГЛАСОВАНО Директор Департамента государственного регулирования в экономике Минэкономразвития России _________________ А.В. Шаров «_____» ________________ 2006 года | УТВЕРЖДАЮ Директор ООО «Кирилл и Мефодий» ________________ В.А. Рудников «_____» ________________ 2006 года |
СОЗДАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ, ПОДДЕРЖИВАЮЩЕЙ ПРОЦЕССЫ ДИСТАНЦИОННОГО ОБУЧЕНИЯ ГОСУДАРСТВЕННЫХ И МУНИЦИПАЛЬНЫХ СЛУЖАЩИХ ПО ВОПРОСАМ МЕРОПРИЯТИЙ АДМИНИСТРАТИВНОЙ РЕФОРМЫ И НОВЫХ ПРОЦЕДУР ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ В РАМКАХ СОВЕРШЕНСТВОВАНИЯ СИСТЕМЫ ПЕРЕПОДГОТОВКИ ГОСУДАРСТВЕННЫХ СЛУЖАЩИХ
Методические рекомендации по обеспечению санкционированного
участия в программах дистанционного обучения
Начальник производства
ООО «Кирилл и Мефодий»
_________________ П.В. Крупин
«____» ____________ 2006 года
Руководитель проекта
_________________ А.А. Афанасьев
«____» ____________ 2006 года
Москва, 2006
СПИСОК ИСПОЛНИТЕЛЕЙ
Руководитель подразделения исполнителя П.В. Крупин
Руководитель проекта А.А. Афанасьев
Пиар-менеджер М.Н. Дроздович
Соисполнители:
Проректор,
Директор ИПГМУ ГУ-ВШЭ А.В. Клименко
Н.с. ИПГМУ ГУ-ВШЭ И.К. Суворова
Н.с. ИПГМУ ГУ-ВШЭ С.А. Солнцев
Н. с. ИПГМУ ГУ-ВШЭ А.Б. Жулин
Н. с. ИПГМУ ГУ-ВШЭ Е.В. Берездивина
Н. с. ИПГМУ ГУ-ВШЭ А.С. Данилов
М.н.с. ИПГМУ ГУ-ВШЭ В.Ф. Елисеенко
М.н.с. ИПГМУ ГУ-ВШЭ С.М. Плаксин
Нормоконтроллер О.Л. Щеглов
СОДЕРЖАНИЕ
2 Защищенная Информационная система.. 5
2.3 Основные пути обеспечения безопасности информации. 7
2.4 Угрозы безопасности информационных систем.. 7
3 Механизмы защиты от несанкционированного доступа.. 10
3.1.2 Фиксированные пароли (слабая аутентификация) 11
3.1.3 Атаки на фиксированные пароли. 13
3.1.4 «Запрос-ответ» (сильная аутентификация) 14
4 Существующие модели защиты... 18
4.1 Модели защиты операционных систем семейства Windows. 18
4.2 Средства защиты систем управления базами данных. 20
4.2.1 Система защиты MySQL. 20
4.2.2 Система защиты Microsoft Access. 21
4.2.3 Система защиты Microsoft SQL Server. 22
5 Обеспечение санкционированного участия в программах дистанционного обучения.. 25
5.1 Требования к защите информации в системе дистанционного обучения. 25
5.2 Определение и описание всех ролей (статусов) пользователей в системе дистанционного обучения. 26
5.3 Полномочия пользователей различных статусов в системе дистанционного обучения 27
В современном мире информационные технологии получили широкое распространение во всех сферах жизни общества. Однако высочайшая степень автоматизации, к которой стремится общество, ставит его в зависимость от уровня безопасности используемых информационных технологий, обеспечивающих благополучие и даже жизнь множества людей. Массовое применение компьютерных систем, позволившее решить задачу автоматизации процессов обработки различной информации, сделало эти процессы чрезвычайно уязвимыми по отношению к агрессивным воздействиям и поставило перед потребителями информационных технологий новую проблему — проблему информационной безопасности, в частности, проблему защиты ресурсов информационной системы от несанкционированного доступа (НСД).
При разработке информационных систем (ИС) необходимо учитывать данную проблему. Основой для реализации механизмов защиты ресурсов ИС являются средства разграничения прав доступа. В крупных информационных системах с большим количеством объектов и субъектов задача назначения прав является достаточно трудоемкой. Под объектом защиты в данном случае понимается информационный ресурс, единица данных (сущность или свойство). Субъект — пользователь или процесс, осуществляющий доступ к информационным ресурсам с использованием штатных программных и технических средств.
Пользователи в таких системах, как правило, имеют различные полномочия, и одним из способов облегчения процесса назначения прав является объединение пользователей с похожими (общими) правами в группы, назначение им ролей, использование механизма эквивалентности прав. Таким образом, в качестве субъектов в таких ИС выступают не только непосредственно пользователи, но также группы и роли.
Доступ — ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.
Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Защита от НСД — предотвращение или существенное затруднение несанкционированного доступа.
Субъект доступа (субъект) — лицо или процесс, действия которых регламентируются правилами разграничения доступа.
Объект доступа (объект) — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Защищенная информационная система — это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных.
Безопасная система по определению обладает следующими свойствами:
1) доступность;
2) целостность;
3) конфиденциальность.
Доступность информации — это ее свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующей их информации.
Конфиденциальность — гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).
Целостность информации — гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизированных пользователей каким-либо образом изменять, разрушать или создавать данные.
Интегральной характеристикой защищаемой системы является политика безопасности это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. Наиболее часто рассматриваются политики безопасности, связанные с понятием доступ.
Доступ — категория субъектно-объектной модели, описывающая процесс выполнения операций субъектов над объектами.
Политика безопасности — это набор правил управления доступом. Политика безопасности определяет как разрешенные, так и неразрешенные доступы.
Политика безопасности включает:
1) множество возможных операций над объектами;
2) для каждой пары «субъект, объект» множество разрешенных операций, являющееся подмножеством всего множества возможных операций.
Различают два типа политики безопасности: дискреционная (избирательная) и полномочная (мандатная). При дискреционном доступе определенные операции над определенным объектом запрещаются или разрешаются субъектам или группам субъектов. С концептуальной точки зрения текущее состояние прав доступа при дискреционном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах — объекты. Наиболее распространенной дискреционной моделью является матрица прав доступа. Основным недостатком этой модели является то, что это плоская модель, которая не позволяет учитывать взаимосвязи между объектами и между субъектами системы. Достоинства и недостатки политик представлены в таблице 1.
Полномочный подход заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации.
Мандатные системы доступа считаются более надежными, но менее гибкими, обычно они применяются в специализированных вычислительных системах с повышенными требованиями к защите информации. В универсальных системах используются, как правило, дискреционные методы доступа.
Таблица 1. Сравнение дискреционной и мандатной политик безопасности.
| дискреционная политика | мандатная политика | |
| достоинства | 1) Относительная простота реализации. 2) Наглядность (четко «видно» у какого субъекта какие права на объекты). | 1)Динамичность. 2)Более высокая степень надежности. |
| недостатки | 1) Статичность. | 1) Сложность реализации. 2) Значительные затраты ресурсов. вычислительной системы. |
Основа создания системы безопасности — достижение компромисса между удобством работы для конкретных пользователей и требованиями, предъявляемыми с точки зрения защиты. Построение и поддержка безопасной системы требует системного подхода. В соответствии с этим подходом, прежде всего, необходимо осознать весь спектр возможных угроз для конкретной системы и для каждой из угроз продумать тактику ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы — морально-этические и законодательные, административные и психологические, защитные возможности программных и аппаратных средств.