Теория и практика защиты программ


КОНТРОЛЬ



КОНТРОЛЬ

 

Используемые процедуры и методы контроля

Формирование спускового механизма программной закладки, не включающего ее при контроле на безопасность.

Маскировка программной закладки путем внесения в программную систему ложных «непреднамеренных» дефектов.

Формирование программных закладок в ветвях программной системы, не проверяемых при контроле.

Формирование программных закладок, не позволяющих выявить их внедрение в программную систему путем контрольного суммирования.

Поставка программного обеспечения и вычислительной техники, содержащих программные, аппаратные и программно-аппаратные закладки.

 

Сведения о персональном составе контролирующего подразделения и испытываемых программных системах

Внедрение злоумышленников в контролирующее подразделение.

Вербовка сотрудников контролирующего подразделения.

Сбор информации об испытываемой программной системе.

Сведения об обнаруженных при контроле программных закладках

Разработка новых программных закладок при доработке программной системы.

Сведения об обнаруженных незлоумышленных дефектах и программных закладках

Сведения о доработках программной системы и подразделениях, их осуществляющих

Сведения о среде функционирования программной системы и ее изменениях.

Сведения о функционировании программной системы, доступе к ее загрузочному модулю и исходным данным, алгоритмах проверки сохранности программной системы и данных.

 

Продолжение рис.1.2.


 

 

Таблица 1.1

Угрозы

Несанкционированные действия

нарушения

Случайные

Преднамеренные

безопас-ности ПО

 

Пассивные

Активные

Прямые

Невыявленные ошибки программного обеспечения КС;

отказы и сбои технических средств КС;

ошибки операторов;

неисправность средств защиты информации;

скачки электропитания на технических средствах;

старение носителей информации;

разрушение информации под воздействием физических факторов

(аварии, неправильная эксплуатация КС и т.п.).

Маскировка несанкционированных запросов под запросы ОС;

обход программ разграничения доступа;

чтение конфиденциальных данных из источников информации;

подключение к каналам связи с целью получения информации («подслушивание» и/или «ретрансляция»);

анализ трафика;

использование терминалов и ЭВМ других операторов;

намеренный вызов случайных факторов.

Включение в программы РПС, выполняющих функции нарушения целостности и конфиденциальности информации и ПО;

ввод новых программ, выполняющих функции нарушения безопасности ПО;

незаконное применение ключей разграничения доступа;

обход программ разграничения доступа;

вывод из строя подсистемы регистрации и учета;

уничтожение ключей шифрования и паролей;

подключение к каналам связи с целью модификации, уничтожения, задержки и переупорядочивания данных;

несанкционированное копирование, распространение и использование программных средств КС;

намеренный вызов случайных факторов.

Косвенные

нарушение пропускного режима и режима секретности;

естественные потенциальные поля;

помехи и т.п.

перехват ЭМИ от технических средств;

хищение производственных отходов

(распечаток, отработанных дискет и т.п.);

использование визуального канала,

подслушивающих

устройств и т.п.;

дистанционное фотографирование и т.п.

помехи;

отключение

электропитания;

намеренный вызов случайных факторов.

<


- Начало -  - Назад -  - Вперед -



Книжный магазин