К началу XXI века мир оказался перед лицом серьезнейших опасностей, угрожающих существованию человечества. Обеспечение безопасности становится главной проблемой мирового сообщества, основой его выживания. Нации, не создавшие надежной системы безопасности, рискуют потерять свою самоидентичность, раствориться в бурном потоке истории, а то и вообще сойти с исторической сцены. Особенно актуальна эта проблема для России, находящейся в глубочайшем системном кризисе и оказавшейся не готовой к новым вызовам. Поэтому выработка механизмов обеспечения национальной безопасности становится необходимым условием самосохранения. Государство должно, прежде всего, обеспечить безопасность своего собственного народа. Задача же ученых – дать в руки политиков строго обоснованные, методологически выверенные рекомендации по решению этой архисложной и архиважной задачи. И это должны быть практически реализуемые концепты, а не советы по строительству «Города Солнца» или призывы «жить дружно». Анализ философских концепций безопасности, существующих на сегодня, выявляет несогласованность заложенных в них идей, механизмов их реализации и, как следствие, практическую непригодность.

За последнее время про безопасность написано много и поток как научной, так и популярной литературы, посвящённой этой теме, неуклонно увеличивается. Одних только диссертаций на тему безопасности за прошедшее десятилетие в России написано более двух тысяч. В них исследуется более пятидесяти различных видов безопасности. При этом в качестве методологического основания почти все авторы используют концепцию безопасности, конституированную законом «О безопасности» (№ 2446-1 от 05.03.1992г.). В результате в современной российской науке сложилась парадоксальная ситуация: наука выступает не пионером в исследовании реальной действительности, а апологетом методологически несостоятельной концепции. Причем методологически неверными являются не отдельные положения концепции, она несостоятельна тотально, во всех компонентах без исключения.

Подготовительный этап

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к решению задачи подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускается из виду необходимость обеспечения защиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.

После реализации этого этапа становится ясно, что защищать, где защищать и от кого: ведь в подавляющем большинстве инцидентов в качестве нарушителей будут выступать — вольно или невольно — сами сотрудники фирмы. И с этим ничего нельзя поделать: придется принять как данность. Различным угрозам безопасности можно присвоить значение вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого следует приступать к разработке политики безопасности.

Данную статью посвятим рассмотрению вопросов и способов реализации полномочного (мандатного) механизма контроля доступа к ресурсам добавочными средствами защиты от несанкционированного доступа (СЗИ НСД). Актуальность подобного исследования, на наш взгляд, обусловливается следующими тремя причинами. Во-первых, полномочный (мандатный) механизм контроля доступа к ресурсам по своей сути (обработка информации различных уровней конфиденциальности) предполагает использование на критичных объектах, к которым выставляются повышенные требования к защите информации от НСД. Во-вторых, данный механизм не реализуется большинством ОС, поэтому, как правило, его реализация возлагается на добавочные средства защиты. В-третьих, именно с реализацией данного механизма связано наибольшее количество вопросов, которые, на наш взгляд, отнюдь не всегда обоснованно решаются разработчиками добавочных СЗИ НСД.

Приступая к нашему исследованию, прежде всего, уточним, что полномочный и мандатный принципы контроля доступа в общем случае это принципиально различные понятия (хотя подчас, они и воспринимаются, как синонимы).

Специалистами немецкой софтверной компании G Data Software провели исследование, посвященное распространенным заблуждениям в области информационной безопасности. Это исследование проводилось в различных странах мира, в том числе и в России. Результаты исследования показали, что российские пользователи меньше всего знают об антивирусной защите.

Сегодня практически каждый день в интернете и СМИ появляются сообщения о различных хакерских атаках, хищениях данных, взломов сайтов, появлении новых компьютерных вирусов и т.п. Количество таких публикаций еще раз доказывает необходимость защиты информации. Но возникает логичный вопрос – насколько рядовые пользователи информированы о возможных рисках и интернет-угрозах? Компания G Data Software в апреле-мае 2011г. провела исследование, которое помогло опровергнуть известные заблужденияпользователей об интернет-угрозах. G Data опросила порядка 15 500 пользователей интернета в возрасте от 18 до 65 лет в 11 странах мира. В этом опросе участвовало 1 085 Российских пользователей. Участникам исследования были заданы вопросы на тему интернет-угроз, правил ведения интернет-серфинга, использования программных решений обеспечения безопасности, а также понимания собственной безопасности в сети Интернет.

Краткое предисловие

DNS является одним из самых критичных компонентов сети Интернет, поэтому уязвимости в серверах имен всегда вызывали повышенный интерес у злоумышленников. 8-9 июля многие производители выпустили исправления, устраняющие фунаментальную ошибку, которая позволяет злоумышленнику произвести спуфинг атаку. Дэн Камински в своем блоге http://www.doxpara.com/?p=1165 опубликовал более подробное описание уязвимости и сделал доступным эксплоит.