Page 15 - 4394
P. 15
Наприклад, метою хакера може бути отримання номерів кредитних
карток, що зберігаються в системі.
Іншим типом небажаного доступу є розміщення в
обчислювальній системі будь-яких об’єктів, що впливають на
прикладні програми і програмні утиліти, такі як редактори,
компілятори і тому подібне. Таким чином, існує два типи атак:
доступ до інформації, з метою отримання або модифікації
тих даних, що зберігаються в системі;
атака на сервіси, щоб перешкодити їх використовування.
Віруси і черв'яки - приклади подібних атак. Такі атаки можуть
здійснюватися як за допомогою дискет, так і через мережу.
Сервіси безпеки, які запобігають небажаному доступу, можна
розбити на дві категорії.
Перша категорія визначається в термінах сторожової функції.
Ці механізми включають процедури входу, засновані, наприклад,
на використанні пароля, що дозволяє доступ тільки авторизованим
користувачам. Ці механізми також включають різні захисні екрани
(firewalls), які запобігають атакам на різних рівнях стека протоколів
TCP/IP, і, зокрема, дозволяють попереджати проникнення черв'яків,
вірусів, а також запобігати іншим подібним атакам.
Друга лінія оборони складається з різних внутрішніх
моніторів, що контролюють доступ, і користувачів, що аналізують
діяльність.
Одним з основних понять при забезпеченні безпеки
інформаційної системи є поняття авторизації – визначення і
надання прав доступу до конкретних ресурсів і/або об'єктів.
Таким чином, в основу безпеки інформаційної системи мають
бути покладені наступні основні принципи:
безпека інформаційної системи повинна відповідати ролі і
цілям організації, в якій дана система встановлена;
забезпечення інформаційної безпеки вимагає комплексного і
цілісного підходу;
інформаційна безпека має бути невід'ємною часткою
системи управління в даній організації;
інформаційна безпека має бути економічно виправданою;
відповідальність за забезпечення безпеки має бути чітко
визначена;
безпека інформаційної системи повинна періодично
переоцінюватись;
15
