Файл: Классификация систем защиты программного обеспечения (Системы защиты компьютера от чужого вторжения).pdf
Добавлен: 29.02.2024
Просмотров: 42
Скачиваний: 0
Другими словами, механизм защиты обладает базовой мощностью, если он способен противостоять отдельным случайным угрозам (атакам).
Мощность механизма защиты оценивается как средняя, если анализ показывает, что механизм обеспечивает адекватную защиту против нападавших, обладающих умеренным потенциалом нападения.
Другими словами, механизм защиты обладает средней мощностью, если он способен противостоять злоумышленнику с ограниченными ресурсами и возможностями.
Мощность механизма защиты оценивается как высокая, если анализ показывает, что механизм обеспечивает адекватную защиту против нападавших, обладающих высоким потенциалом нападения.
О высокой мощности механизма защиты стоит говорить в случае, если защита может быть нарушена только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за пределы практичности.
Рассмотрим основные показатели:
· технические:соответствие СИСТЕМА ЗАЩИТЫ ПРОГРАМНАЯ СИСТЕМА функциональным требованиям производителя ПC и требованиям по стойкости, системные требования ПC и системные требования СИСТЕМА ЗАЩИТЫ ПC, объем ПC и объем СИСТЕМА ЗАЩИТЫ ПC, функциональная направленность ПC, наличие и тип СИСТЕМА ЗАЩИТЫ у аналогов ПC – конкурентов;
· экономические:соотношение потерь от пиратства и общего объема прибыли, соотношение потерь от пиратства и стоимости СИСТЕМА ЗАЩИТЫ ПC и ее внедрения, соотношение стоимости ПC и стоимости СИСТЕМА ЗАЩИТЫ ПC, соответствие стоимости СИСТЕМА ЗАЩИТЫ ПC и ее внедрения поставленным целям;
· организационные:распространенность и популярность ПC; условия распространения и использования ПC; уникальность ПC; наличие угроз; вероятность превращения пользователя в злоумышленника; роль документации и поддержки при использовании ПC;
· защита как таковая:затруднение нелегального копирования, затруднение нелегального доступа, защита от мониторинга, отсутствие логических брешей и ошибок в реализации системы;
· стойкость к исследованию/взлому:применение новых механизмов;
· надежность:вероятность отказа защиты (НСД), время наработки на отказ, вероятность отказа программы защиты, время наработки на отказ, частота ложных срабатываний;
· независимость от конкретных реализаций ОС:использование недокументированных возможностей, «вирусных» технологий и «дыр» ОС;
· совместимость:отсутствие конфликтов с системным и прикладным ПC;
· неудобства для конечного пользователя ПРОГРАМНАЯ СИСТЕМА:необходимость и сложность дополнительной настройки системы защиты, доступность документации, доступность информации об обновлении модулей системы защиты из-за ошибок/несовместимости/нестойкости, доступность сервисных пакетов, безопасность сетевой передачи пароля/ключа, задержка из-за физической передачи пароля/ключа, нарушения прав потребителя;
· побочные эффекты:перегрузка трафика, отказ в обслуживании, замедление работы защищаемого ПC, замедление работы ОС, захват системных ресурсов, перегрузка ОЗУ, нарушение стабильности ОС;
· стоимость:стоимость/эффективность, стоимость/цена защищаемого ПC, стоимость/ликвидированные убытки;
· доброкачественность:правдивая реклама, доступность результатов независимой экспертизы, доступность информации о побочных эффектах, полная информация о СИСТЕМА ЗАЩИТЫ для конечного пользователя.
Одной из наиболее часто встречающейся в современной литературе классификацией принято считать классификацию систем защиты по методу установки
Для производителей программного обеспечения удобней всего использовать защиту, устанавливаемую на скомпилированные модули. Но такая защита наименее стойка к атакам. Системы с внедрением средств защиты в исходный код неудобны для производителей, так как им приходится обучать персонал работе со средствами защиты и ряд других неудобств. Лучшим решением является использование средств защиты комбинированного типа.
Другим критерием классификации системы защиты программного обеспечения по методу установки можно подразделить: - на системы, устанавливаемые на скомпилированные модули программного обеспечения; - системы, встраиваемые в исходный код программного обеспечения до компиляции; - комбинированные.
Системы первого типа наиболее удобны для производителя программного обеспечения, так как легко можно защитить уже полностью готовое и оттестированное программного обеспечения (обычно процесс установки защиты максимально автоматизирован и сводится к указанию имени защищаемого файла и нажатию "Enter"), а потому и наиболее популярны. В то же время стойкость этих систем достаточно низка, так как для обхода защиты достаточно определить точку завершения работы "конверта" защиты и передачи управления защищенной программе, а затем принудительно ее сохранить в незащищенном виде.
Системы второго типа неудобны для производителя программного обеспечения, так как возникает необходимость обучать персонал работе с программным интерфейсом (API) системы защиты с вытекающими отсюда денежными и временными затратами. Но такие системы являются более стойкими к атакам, потому что здесь исчезает четкая граница между системой защиты и как таковым программного обеспечения.
Наиболее живучими являются комбинированные системы защиты. Сохраняя достоинства и недостатки систем второго типа, они максимально затрудняют анализ и дезактивацию своих алгоритмов.
3. Классификация систем защиты по по используемым механизмам защиты
Возможно два подхода решения проблемы защиты программного обеспечения. Один – это решение проблемы с помощью технических средств защиты. Включать средства защиты в состав программного обеспечения. Другой – использование юридической защиты. Программное обеспечение не содержит технические средства защиты, а сопровождается информацией об управлении правами.
По используемым механизмам защиты средства защиты можно классифицировать на:
системы, использующие сложные логические механизмы; - системы, использующие шифрование защищаемого ПО - комбинированные системы. Системы первого типа используют различные методы и приёмы, ориентированные на затруднение дизассемблирования, отладки и анализа алгоритма средства защиты и защищаемого ПО. Этот тип средства защиты наименее стоек к атакам, так как для преодоления защиты достаточно проанализировать логику процедур проверки и должным образом их модифицировать.
Более стойкими являются системы второго типа. Для дезактивации таких защит необходимо определение ключа дешифрации ПО. Самыми стойкими к атакам являются комбинированные системы.
4. Классификация систем защиты по принципу функционирования
По принципу функционирования средства защиты можно подразделить на: - упаковщики/шифраторы;- средства защиты от несанкционированного копирования- средства защиты от несанкционированного доступа (НСД).
5. Назначение упаковщиков-шифраторов
Упаковщики/шифраторы. Их цель защита ПО от анализа его алгоритмов и несанкционированной модификации. Для достижения этого используются алгоритмы компрессии данных; шифрование данных, алгоритмы мутации, запутывание логики программы, приведение операционной системы в нестабильное состояние на время работы ПО и др.
Системы защиты от несанкционированного копирования
средства защиты от несанкционированного копирования осуществляют "привязку" ПО к дистрибутивному носителю (гибкий диск, CD ...). Данный тип защит основывается на изучении работы контроллеров накопителей, их физических показателей, нестандартных режимах разбивки, чтения/записи и т.п.
Системы защиты от копирования можно разделить на следующие группы: - привязка к дискете; - привязка к компьютеру; - привязка к ключу; - опрос справочников - ограничение использования ПО 7. Системы защиты от несанкционированного доступа
В защите информации ПК от НСД можно выделить три основных направления:
- пециальные технических средства опознавания пользователя; -специальное программное обеспечение по защите информации; -специальные средства защиты информации ПК от несанкционированного доступа.
Системы защиты информации от НСД обеспечивают выполнение следующих функций:
1. идентификация, т.е. присвоение уникальных признаков - идентификаторов, по которым в дальнейшем система производит аутентификацию; 2. аутентификация, т.е. установление подлинности на основе сравнения с эталонными идентификаторами; 3. разграничение доступа пользователей к ПЭВМ; 4. разграничение доступа пользователей по операциям над ресурсами (программы, данные и т.д.); 5. администрирование: a. определение прав доступа к защищаемым ресурсам, b. обработка регистрационных журналов, c. установка системы защиты на ПЭВМ, d. снятие системы защиты с ПЭВМ; 6. регистрация событий: a. входа пользователя в систему, b. выхода пользователя из системы, c. нарушения прав доступа; 7. реакция на попытки НСД; 8. контроль целостности и работоспособности систем защиты; 9. обеспечение информационной безопасности при проведении ремонтно-профилактических работ; 10. обеспечение информационной безопасности в аварийных ситуациях. Права пользователей по доступу к программам и данным описывают таблицы, на основе которых и производится контроль и разграничение доступа к ресурсам. Доступ должен контролироваться программными средствами защиты. Если запрашиваемый доступ не соответствует имеющемуся в таблице прав доступа, то системы защиты регистрирует факт НСД и инициализирует соответствующую реакцию.
Заключение
К основным проблемами, возникающим при разработке современных информационных и программных систем, можно отнести: сложность решаемых задач; наличие большого числа взомосвязанных модулей различных типов; участие в разработке большого числа разработчиков и необходимость высокого уровня координации их работ.
Одим из основных методов борьбы со сложностью системы является структурный подход, при котором разрабатываемая система делится на части, каждая из которых много проще, чем вся система.
Использование стандартов различного уровня унифицирует процесс разработки и сам продукт разработки. В идеале, система стандартов предприятия (СТП), должно охватывать все технологические операции проектирования ПРОГРАМНАЯ СИСТЕМА, детализируя соответствующие вышестоящие стандарты или восполняя их отсутствие.
К основным методам повышения качества ПРОГРАМНАЯ СИСТЕМА при его разработки можно отнести: специализацию подразделений разработчиков (например, по функциональным и обеспечивающим подсистемам); использование профиля стандарта, стандартов качества, CASE – средств, структурного программирования, принципов эффективной разработки интерфейсов, структурного и объектно-ориентированного подходов к разработке; комплексное и автономное тестирование на контрольных тестах и на реальной информации; контроль на всех этапах разработки (тотальный контроль, структурный просмотр); аттестация и сертификация.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Приказ Минфина РФ от 30 декабря 2008 г. № 148н «Об утверждении Инструкции по бюджетному учету».
2. Грищенко Н.Б. Изд-во Алтайского университета, 2008, - 274 с.
3. Маклаков С.В. BPwin и ERwin: CASE-средства для разработки информационных систем. М.: Альфа, 2008. - 190 с.
4. Селетков С.Н., Благодатских В.А., Божко В.П. Предметно-ориентированные экономические информационные системы. Учебник - 2 изд. Финансы и статистика, 2011. - 240 с.
5. Смирнова Г.Н., Сорокин А.А., Тельнов Ю.Ф. Проектирование экономических информационных систем. М.: Финансы и статистика, 2007. - 512.
6. MS Office Project 2007. Управление проектами. - СПб.: КОРОНА-Век, 2008. - 480 c.
7. Вейцман В.М. «Проектирование экономических информационных систем: Учебное пособие». - Яр.: МУБИНТ, 2002. - 214 c.
8. Оценка эффективности инвестиционных проектов. Теория и практика. Виленский П.Л., Лившиц В.Н., Смоляк С. 2-е изд., перераб. и доп. - М.: Дело, 2002. - 888 с.
9. Мишенин А.И. Теория экономических информационных систем: Учебник. - М.: Финансы и статистика, 2008.
10. Мартин Дж. Планирование развития автоматизированных систем. - М.: Финансы и статистика, 1984. - 196 с.
11. Смирнова Г.Н., Сорокин А.А., Тельнов Ю.Ф. Проектирование экономических информационных систем. М.: Финансы и статистика, 2001.
12. Титоренко Г.А. «Автоматизированные информационные технологии в экономике». М.: издательство ЮНИТИ, 2008.
13. Угринович Н.Д. Исследование информационных моделей. Элективный курс. 2-е издание. - Бином. Лаборатория знаний, 2006. - 435 с.
14. Шураков В.В. Автоматизированное рабочее место для статической обработки данных, 2010.
15. Элейн МЭИСел. Microsoft Office Project 2007: Библия пользователя. - СПб.: КОРОНА-Век, 2008.
16. Interbase - СУБД. // www.interbase.ru.
17. Атре Ш. Структурный подход к организации баз данных. - М.: Финансы и статистика, 1983. - 320 с.