Вид защиты	Метод защиты
От сбоев оборудования	- Архивирование файлов (со сжатием и без); - резервирование файлов.
От случайной потери или искажения информации, хранящейся в компьютере	- Запрос на подтверждение выполнения команд, изменяющих файлы; - установка специальных атрибутов документов и программ; - возможность отмены неверного действия или восстановления ошибочно удаленного файла; - разграничение доступа пользователей к ресурсам файловой системы.
От намеренного искажения, вандализма (компьютерных вирусов)	- Общие методы защиты информации; - профилактические меры - использование антивирусных программ.
От несанкционированного (нелегального) доступа к информации (ее использования, изменения, распространения)	- шифрование; - паролирование; - «электронные замки»; - совокупность административных и правоохранительных мер.

Программно-технические меры образуют последний и самый; важный рубеж информационной защиты. Напомним, что основную часть ущерба наносят действия легальных пользователей, по отношению к которым операционные регуляторы не могут дать решающего эффекта. Главные враги - некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по пространству предприятия, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.

Известны основные сервисы безопасности:

§ идентификация и аутентификация;

§ управление доступом;

§ протоколирование и аудит;

§ криптография;

§ экранирование.

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных объектов. Идентификация и аутентификация - это первая линия обороны, «проходная» информационного пространства организации. Без порядка на проходной не будет порядка и внутри охраняемой территории.

Идентификация позволяет субъекту (пользователю или процессу, действующему от имени определенного пользователя) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутентификация» иногда используют сочетание «проверка подлинности».

Общая схема идентификации и установления подлинности пользователя при его доступе в компьютерную систему представлена на рис. 8.1.

Если в процессе аутентификации подлинность пользователя установлена, то система защиты должна определить его полномочия по использованию ресурсов ВС для последующего контроля установленных полномочий.

Управление доступом. В настоящее время следует признать устаревшим (или, по крайней мере, не полностью соответствующим действительности) положение о том, что разграничение доступа направлено исключительно на защиту от злоумышленных пользователей. Современные информационные системы характеризуются чрезвычайной сложностью и их внутренние ошибки представляют не меньшую опасность.

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). Речь идет о логическом (в отличие от физического) управлении доступом, который реализуется программными средствами.

Логическое управление доступом - это основной механизм много­пользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

Имеется совокупность субъектов и набор объектов. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций (зависящее, быть может, от некоторых дополнительных условий) и контролировать выполнение установленного порядка.

Логическое управление доступом - одно из сложнейших в области информационной безопасности. Причина в том, что само понятие объекта (а тем более видов доступа) меняется от -сервиса к сервису. Для операционной системы в число объектов входят файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать.

Протоколирование и аудит. Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

Аудит - это анализ накопленной информации, проводимый оперативно, (почти) в реальном времени или периодически (например, раз в день).

Реализация протоколирования и аудита преследует следующие главные цели:

Обеспечение подотчетности пользователей и администраторов;

Обеспечение возможности реконструкции последовательности событий;

Обнаружение попыток нарушения информационной безопасности;

Предоставление информации для выявления и анализа проблем.

Криптография. Одним из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации является криптография. Во многих отношениях она занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них, и, в то же время, последним (а подчас и единственным) защитным рубежом. Например, для портативных компьютеров, которые физически защитить крайне трудно, только криптография позволяет гарантировать конфиденциальность информации даже в случае кражи.

Экранирование. Постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем (рис. 8.3).

В простейшем случае экран состоит из двух механизмов, " один из которых ограничивает перемещение данных, а второй,: наоборот, ему способствует (т. е. осуществляет перемещение; данных). В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, -, может и сразу «перебросить» их «на другую сторону». Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю.

Рис. 8.3. Экран как средство разграничения доступа

Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационного обмена.

Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана - устройство защиты порта компьютера, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств.

Криптографические методы защиты данных

Криптографическое закрытие является специфическим способом защиты информации, оно имеет многовековую историю развития и применения. В США еще в 1978 г. утвержден и рекомендован для широкого применения национальный стандарт (DES) криптографического закрытия информации. Подобный стандарт в 1989 г. (ГОСТ 28147-89) утвержден и в СССР.

Сформировалось самостоятельное научное направление - криптология (kryptos - тайный, logos - наука), изучающая и разрабатывающая научно-методо­логические основы, способы, методы и средства криптографического преобразования информации.

Криптология, криптография, криптоанализ

Можно выделить следующие три периода развития криптологии. Первый период - эра донаучной криптологии, являвшейся ремеслом - уделом узкого круга искусных умельцев. Началом второго периода можно считать 1949 г., когда появилась работа К. Шеннона «Теория связи в секретных системах», в которой проведено фундаментальное научное исследование шифров и важнейших вопросов их стойкости. Благодаря этому труду криптология оформилась как прикладная математическая дисциплина. И, наконец, начало третьему периоду было положено появлением в 1976 работы У. Диффи, М. Хеллмана «Новые направления в криптографии», где показано, что секретная связь возможна без предварительной передачи секретного ключа. Так началось и продолжается до настоящего времени бурное развитие наряду с обычной классической криптографией и криптографии с открытым ключом.

Еще несколько веков назад само применение письменности можно было рассматривать как способ закрытия информации, так как владение письменностью было уделом немногих.

Криптология разделяется на два направления - криптографию и криптоанализ. Цели этих направлений прямо противоположны:

криптография занимается поиском и исследованием математических методов преобразования информации;

Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей;

Современная криптография включает в себя четыре крупных раздела:

Симметричные криптосистемы;

Криптосистемы с открытым ключом;

Системы электронной подписи;

Управление ключами.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Криптосистемы разделяются на симметричные и асимметричные (с открытым ключом):

В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. Сущест­вуют весьма эффективные (быстрые и надежные) методы симметричного шифрования. Существует и стандарт на по­добные методы - ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм крип­тографического преобразования».

Основным недостатком симметричного шифрования явля­ется то, что секретный ключ должен быть известен и от­правителю, и получателю;

В асимметричных методах используются два ключа. Один из них, несекретный (он может публиковаться вместе с ад­ресом пользователя), используется для шифровки, другой (секретный, известный только получателю) - для расшиф­ровки. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми числами и их произведениями. Использование асимметричного шифрования проиллюстрировано рис. 8.4.

Асимметричные методы позволяют реализовать так называемую электронную подпись , или электронное заверение сообщения. Идея состоит в том, что отправитель посылает два экземпляра сообщения - открытое и дешифрованное его секретным ключом (естественно, дешифровка незашифрованного сообщения на самом деле есть форма шифрования). Получатель может зашифровать с помощью открытого ключа отправителя дешифрованнный экземпляр и сравнить с открытым. Если они совпадут, личность и подпись отправителя можно считать установленными.

Термины распределение ключей и управление ключами относятся к процессам системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

Классы методов криптографии

Рассмотрим классификацию методов криптографического закрытия.

Шифрование

ЗАМЕНА (ПОДСТАНОВКА)

Простая (одноалфавитная)

Многоалфавитная одноконтурная обыкновенная

Многоалфавитная одноконтурная монофоническая

Многоалфавитная многоконтурная

ПЕРЕСТАНОВКА

Простая

Усложненная по таблице

Усложненная по маршрутам

АНАЛИТИЧЕСКОЕ ПРЕОБРАЗОВАНИЕ

С использованием алгебры матриц

По особым зависимостям

ГАММИРОВАНИЕ

С конечной короткой гаммой

С конечной длинной гаммой

С бесконечной гаммой

КОМБИНИРОВАННЫЕ МЕТОДЫ

Замена и перестановка

Замена и гаммирование

Перестановка и гаммирование

Гаммирование и гаммирование

Кодирование

СМЫСЛОВОЕ 2.1.1. По специальным таблицам (словарям)

СИМВОЛЬНОЕ 2.2.1. По кодовому алфавиту

Другие виды

РАССЕЧЕНИЕ-РАЗНЕСЕНИЕ

Смысловое

Механическое

СЖАТИЕ-РАСШИРЕНИЕ

Под шифрованием понимается такой вид криптографического закрытия, при котором преобразованию подвергается каждый символ защищаемого сообщения. Все известные способы шифрования можно разбить на пять групп: подстановка (замена), перестановка, аналитическое преобразование, гаммирование и комбинированное шиф­рование.

\ Под кодированием понимается такой вид криптографи­ческого закрытия, когда некоторые элементы защищаемых данных (это не обязательно отдельные символы) заменяются заранее выбранными кодами (цифровыми, буквенными, буквенно-цифровыми сочетаниями и т. п.). Этот метод имеет две разновидности: смысловое и символьное кодирование, при смысловом кодировании кодируемые элементы имеют вполне определенный смысл (слова, предложения, группы предложений). При символьном кодировании кодируется каждый символ защищаемого сообщения. Символьное кодирование по существу совпадает с шифрованием заменой.

Перестановки - несложный метод криптографического преобразования.

Многоалфавитная подстановка - наиболее простой вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по более или менее сложному правилу. Для обеспечения высокой криптостойкости требуется использование больших ключей.

Гаммирование - этот метод заключается в наложении на исходный текст некоторой псевдослучайной последовательности, генерируемой на основе ключа.

Блочные шифры - последовательность (с возможным повторением и чередованием) основных методов преобразования, применяемая к блоку (части) шифруемого текста. Блочные шифры на практике встречаются чаще, чем «чистые» преобразования того или иного класса в силу их более высокой криптостойкости. Российский и американский стандарты шифрования основаны именно на этом классе шифров.

К отдельным видам криптографического закрытия отнесены методы рассечения - разнесения и сжатия данных. Рассечение-разнесение заключается в том, что массив защищаемых данных делится (рассекается) на такие элементы, каждый из которых в отдельности не позволяет раскрыть содержание защищаемой информации. Выделенные таким образом элементы данных разносятся по разным зонам ЗУ или располагаются на различных носителях. Сжатие данных представляет собой замену часто встречающихся одинаковых строк данных или последовательностей одинаковых символов некоторыми заранее выбранными символами.

Вид защиты	Метод защиты
От сбоев оборудования	Архивирование файлов (со сжатием и без); Резервирование файлов.
От случайной потери или искажения информации, хранящейся в компьютере	Запрос на подтверждение выполнения команд, изменяющих файлы; установка специальных атрибутов документов и программ; возможность отмены неверного действия или восстановления ошибочно удаленного файла; разграничение доступа пользователей к ресурсам файловой системы.
От намеренного искажения, вандализма (компьютерных вирусов)	Общие методы защиты информации; профилактические меры использование антивирусных программ.
От несанкционированного (нелегального) доступа к информации (ее использования, изменения, распространения)	шифрование; паролирование; «электронные замки»; совокупность административных и правоохранительных мер.

При изучении этих вопросов следует дать определения таких понятий как лицензионное соглашение, авторское право, имущественное право. Стоит обратить внимание на относительно новое понятие – аудиовизуальное произведение. Это произведение, состоящее из зафиксированной серии связанных между собой кадров (с сопровождением или без сопровождения их звуком), предназначенного для зрительного или слухового восприятия с помощью соответствующих технических средств. Аудиовизуальные произведения включают кинематографические произведения и все произведения, выраженные средствами, аналогичные кинематографическим, независимо от способа их первоначальной или последующей фиксации.

2.7 Информационное управление

Слово «управление » в современном мире употребляется столь же часто, как и слово «информация». Управление – это целенаправленный процесс, он должен обеспечить определенное поведение объекта управления, достижение определенной цели. Для этого нужен план управления, который реализуется через последовательность управляющих команд, передаваемых по прямой связи. Такая последовательность называется алгоритмом управления.

Основными компонентами управления являютсяцель управления ,субъект иобъект управления , среда, в которой осуществляется деятельность субъекта и объекта, управляющее воздействие, прямая и обратная связь, результат управления.

Кибернетика – «искусство управления», основателем которой является Н.Винер . Основное положение кибернетики таково : общие принципы и закономерности управления справедливы для систем различной природы . Эта общность проявляется прежде всего в том, что управление по своей сути есть совокупность информационных процессов. Осуществление процесса управления сопряжено с передачей, накоплением, хранением и переработкой информации, характеризующей управляемый объект, ход процесса, внешние условия, программу деятельности и пр. Управление невозможно без того, чтобы объект управления (будь то машина или автоматическая линия; предприятие или войсковое соединение; живая клетка, синтезирующая белок, или мышца; текст, подлежащий переводу, или набор символов, преобразуемый в художественное произведение) и управляющее устройство (мозг и нервная ткань живого организма или управляющий автомат) обменивались между собой информацией.

В любом процессе управления всегда происходит взаимодействие двух подсистем – управляющей и управляемой . Если они соединены каналами прямой и обратной связи, то такую систему называют замкнутой или системой с обратной связью . По каналу прямой связи передаются сигналы (команды) управления, вырабатываемые в управляющей системе. Подчиняясь этим командам, управляемый объект осуществляет свои рабочие функции. В свою очередь, объект управления соединен с управляющей системой каналом обратной связи, по которому поступает информация о состоянии управляемого объекта. В управляющей системе эта информация используется для выработки новых управляющих воздействий.

Но иногда бывает так, что нарушается нормальное функционирование канала прямой или обратной связи. В этом случае система управления становится разомкнутой . Разомкнутая система оказывается неспособной к управлению. И в этом случае вряд ли можно ожидать достижения заданной цели деятельности.

Виды управления можно классифицировать следующим образом:

по степени автоматизации: автоматическое, автоматизированное, неавтоматизированное управление;

по учету фактора времени: управление в реальном масштабе времени, опросное (выборочное) управление, управление с задержкой;

по виду управляющих воздействий: управление посредством команд, управление через алгоритм, управление на основе системы правил и пр.

Сущность кибернетического подхода к решению задачи управления сложными системами сводится к так называемой модели черного ящика . По отношению к исследуемой системе определяются лишь входные и выходные сигналы , описывается взаимосвязь между ними. Входные и выходные сигналы, независимо от их физической природы, интерпретируются как информация. Поэтому управление системой рассматривается как информационное взаимодействие с ней некоторого управляющего объекта.

Основным открытием кибернетической науки является принцип универсальности схемы управления с обратной связью . Эта модель управления распространяется на технические устройства, биологические и социальные системы.

Под системой управления понимается вся совокупность управляющих средств: управляющий объект, каналы прямой и обратной связи . Алгоритм управления является информационной компонентой системы управления.

Следует определить понятие самоуправляемой системы . Это некоторый единый объект, организм, в котором присутствуют все компоненты систем управления . Примерами таких систем являются живые организмы, наиболее совершенный из которых – человек.

Создание искусственных самоуправляемых систем – одна из сложнейших задач науки и техники. Робототехника – пример такого научно-технического направления.

Системы управления с использованием ЭВМ называются автоматизированными системами управления (АСУ). Как правило, АСУ ориентированы на управление деятельностью производственных коллективов, предприятий. Основная цель таких систем – быстро и точно представлять руководителям предприятия необходимую информацию для принятия управляющих решений. Задачи, решаемые средствами АСУ, относятся к области экономической кибернетики.

Автоматизированные системы управления – комплекс технических и программных средств, обеспечивающих в тесном взаимодействии с отдельными специалистами или коллективами управление объектом в производственной, научной или общественной сфере.

Основное преимущество АСУ перед традиционными методами управления состоит в том, что для принятия необходимых решений управленческому персоналу предоставляется более полная, своевременная и достоверная информация в удобной для восприятия форме.

По функциям АСУ подразделяют на следующие виды:

административно-организационные:

- системы управления предприятием (АСУП);

- отраслевые системы управления (ОАСУ);

системы управления технологическими процессами (АСУТП):

- гибкие производственные системы (ГПС);

- системы подготовки производства (АСУПП);

- системы контроля качества продукции (АСК);

- системы управления станками с числовым программным обеспечением (ЧПУ);

интегрированные системы, объединяющие перечисленные виды АСУ в различных комбинациях.

По результатам деятельности различают АСУ информационные, информационно-советующие, управляющие, самонастраивающиеся, самообучающиеся.

Важные компоненты АСУ – аппаратное обеспечение, программное обеспечение, информационное обеспечение, математическое обеспечение.

Информационное обеспечение АСУ охватывает всю документацию (правовую, нормативную, техническую, конструкторскую, технологическую, учетную), представленную в электронном виде и необходимую для управления производством, а также схемы ее движения.

Основными элементами АСУ являются автоматизированные рабочие места специалистов, объединенные в локальную корпоративную вычислительную сеть.

Автоматизированное рабочее место – рабочее место специалиста, оснащенное компьютером или комплексом специализированных устройств, соответствующим программным обеспечением, которые позволяют автоматизировать часть выполняемых специалистом производственных операций.

Одна из основных целей автоматизации – возможность для каждого сотрудника, относящегося к любому подразделению, получения информации в то время и в той форме, которые ему необходимы.

Особое внимание при внедрении АСУ уделяется человеческому фактору.

Любая из технических систем – лишь механизм для повышения эффективности управления , принятия правильных стратегических и тактических решений на основе своевременной и достоверной информации, выдаваемой компьютером. Этот механизм полезен при правильном, целесообразном использовании его человеком.

В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности - ФСТЭК и ФСБ России. Какие классы защищенности бывают, типы и виды средств защиты, а также где об этом узнать подробнее, отражено в статье.

Введение

Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.

О серьезности ситуации сообщает ФСБ России: сумма ущерба, нанесенная злоумышленниками за несколько лет по всему миру составила от $300 млрд до $1 трлн. По сведениям, представленным Генеральным прокурором РФ, только за первое полугодие 2017 г. в России количество преступлений в сфере высоких технологий увеличилось в шесть раз, общая сумма ущерба превысила $ 18 млн. Рост целевых атак в промышленном секторе в 2017 г. отмечен по всему миру. В частности, в России прирост числа атак по отношению к 2016 г. составил 22 %.

Информационные технологии стали применяться в качестве оружия в военно-политических, террористических целях, для вмешательства во внутренние дела суверенных государств, а также для совершения иных преступлений. Российская Федерация выступает за создание системы международной информационной безопасности.

На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.

Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.

Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.

Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.

Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.

Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее - Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).

Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации , который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).

Рисунок 1. Фрагмент реестра сертифицированных СЗИ

Классификация криптографических средств защиты информации

ФСБ России определены классы криптографических СЗИ: КС1, КС2, КС3, КВ и КА.

К основным особенностям СЗИ класса КС1 относится их возможность противостоять атакам, проводимым из-за пределов контролируемой зоны. При этом подразумевается, что создание способов атак, их подготовка и проведение осуществляется без участия специалистов в области разработки и анализа криптографических СЗИ. Предполагается, что информация о системе, в которой применяются указанные СЗИ, может быть получена из открытых источников.

Если криптографическое СЗИ может противостоять атакам, блокируемым средствами класса КС1, а также проводимым в пределах контролируемой зоны, то такое СЗИ соответствует классу КС2. При этом допускается, например, что при подготовке атаки могла стать доступной информация о физических мерах защиты информационных систем, обеспечении контролируемой зоны и пр.

В случае возможности противостоять атакам при наличии физического доступа к средствам вычислительной техники с установленными криптографическими СЗИ говорят о соответствии таких средств классу КС3.

Если криптографическое СЗИ противостоит атакам, при создании которых участвовали специалисты в области разработки и анализа указанных средств, в том числе научно-исследовательские центры, была возможность проведения лабораторных исследований средств защиты, то речь идет о соответствии классу КВ.

Если к разработке способов атак привлекались специалисты в области использования НДВ системного программного обеспечения, была доступна соответствующая конструкторская документация и был доступ к любым аппаратным компонентам криптографических СЗИ, то защиту от таких атак могут обеспечивать средства класса КА.

Классификация средств защиты электронной подписи

Средства электронной подписи в зависимости от способностей противостоять атакам принято сопоставлять со следующими классами: КС1, КС2, КС3, КВ1, КВ2 и КА1. Эта классификация аналогична рассмотренной выше в отношении криптографических СЗИ.

Выводы

В статье были рассмотрены некоторые способы классификации СЗИ в России, основу которых составляет нормативная база регуляторов в области защиты информации. Рассмотренные варианты классификации не являются исчерпывающими. Тем не менее надеемся, что представленная сводная информация позволит быстрее ориентироваться начинающему специалисту в области обеспечения ИБ.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Введение

Й. Историография

ЙЙ. Основная часть

2.1 Виды умышленных угроз информации

2.2 Методы защиты информации

Заключение

Список литературы

Введение

Информация играет особую роль в процессе развития цивилизации. Владение информационными ресурсами создает предпосылки прогрессивного развития общества. Искажение информации, блокирование процесса ее получения или внедрение ложной информации, способствуют принятию ошибочных решений.

Еще 25-30 лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер и отдельных программно - аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.

Вместе с тем, информация это весьма специфический продукт, который может быть как в материальном, так и в нематериальном (нефиксированном) виде. Поэтому, без четких границ, определяющих информацию, как объект права, применение любых законодательных норм по отношению к ней - весьма проблематично.

До недавнего времени это было довольно важной причиной, усложняющей регулирование правовых отношений в информационной сфере.

Основные гарантии информационных прав содержатся в Конституции РФ. Несмотря на то, что Конституция является законом прямого действия, применить ее положения к отдельным видам отношений без последующей конкретизации было бы затруднительно.

Отдельные виды отношений регулируются специальными законами, которые, как правило, так же не содержат норм, непосредственно устанавливающих правила информационного взаимодействия.

Правила информационного взаимодействия, возникающего в ходе осуществления конкретных отношений, регулируются на уровне постановлений Правительства, либо ведомственных нормативных актов. При этом, на данном уровне, как правило, создается нормативный акт, обязательный для участников этих отношений, а его устанавливаемые в нем правила доводятся до сотрудников или структурных подразделений соответствующего государственного органа путем издания инструкции или рассылки письма.

Рост количества и качества угроз безопасности информации в компьютерных системах не всегда приводит к адекватному ответу в виде создания надежной системы и безопасных информационных технологий. В большинстве коммерческих и государственных организаций, не говоря о простых пользователях, в качестве средств защиты используются только антивирусные программы и разграничение прав доступа пользователей на основе паролей.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Й . Историография

Термин «информация» происходит от латинского information, означающего «ознакомление, разъяснение, представление, понятие» и первоначально был связан исключительно с коммуникативной деятельностью людей. В России он появился, по-видимому, в петровскую эпоху, но широкого распространения не получил. Лишь в начале ХХ века он стал использоваться в документах, книгах, газетах и журналах, и употреблялся в смысле сообщения, осведомления, сведения о чем-либо.

Однако, стремительное развитие в 20-х годах прошлого века средств и систем связи, зарождение информатики и кибернетики настоятельно потребовали научного осмысления понятия информации и разработки соответствующего теоретической базы. Это привело к формированию и развитию целого «семейства» самых различных учений об информации и, соответственно, подходов к определению самого понятия информации.

История учений об информации началась с рассмотрения её математического (синтаксического) аспекта, связанного с количественным показателями (характеристиками) информационных систем.

В 1928 году Р.Хартли в своей работе «Transmission of Information» определили меру количества информации для равномерных событий, а в 1948 году Клод Шеннон предложил формулу определения количества информации для совокупности событий различных вероятностями. И хотя ещё в 1933 году вышла в свет работа нашего выдающего учёного В.А. Котельникова о квантовании электрических сигналов, содержащая знаменитую «теорию отчётов», в мировой научной литературе считается, что именно в 1948 г.- это год зарождения теории информации и количественного подхода к информационным процессам.

Сформулированная К.Шенноном статистическая теория информации оказала заметное влияние на различные области знаний. Было замечено, что формула Шеннона очень похожа на используемую в физике формулу Больцмана для статистического определения энтропии, взятую с обратным знаком. Это позволило Л. Бриллюну охарактеризовать информацию как отрицательную энтропию (негэнтропию).

Значение статистического подхода к определению понятию информации заключалось ещё и в том, что в его рамках было получено первое определение информации, удовлетворительное, в том числе, и с философской точки зрения: информация есть устранения неопределенность. По замечанию А.Д. Урсула «Если в наших знаниях о каком-либо предмете существует неясность, неопределенность, а получив новые сведения об этом предмете мы можем уже более определенно судить о нём, то это значит, что сообщение содержало в себе информацию».

Однако, выделения в информации только количественного её аспекта оказалось явно недостаточно. Как верно заметил В.А. Бокарев, в статистической теории «сделавших эту теорию, с одной стороны, предварительно широкой, но с другой - мешающее ей стать наукой, исследующей информацию всесторонне». Всё это заставило искать иные, более универсальные подходы к определению понятия информации.

Таким, по существу другим, дополнительным подходов, стал подход кибернетический, охватывающий структуры и связи систем. С появлением кибернетики, как науки «об общих законах преобразования информации в сложных управляющих системах», способах восприятия, хранения, переработки, и использования информации, термин «информация» стал научным понятием, своего рода инструментом исследования процессов управления.

ЙЙ .Основная часть

2.1 Виды умышленных угроз информации

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в БнД, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.

Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.

Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж -- это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности информации и нормального функционирования ИС относятся:

* утечка конфиденциальной информации;

* компрометация информации;

* несанкционированное использование информационных ресурсов;

* ошибочное использование информационных ресурсов;

* несанкционированный обмен информацией между абонентами;

* отказ от информации;

* нарушение информационного обслуживания;

* незаконное использование привилегий.

Утечка конфиденциальной информации -- это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

* разглашения конфиденциальной информации;

* ухода информации по различным, главным образом техническим, каналам;

* несанкционированного доступа к конфиденциальной информации различными способами.

Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Несанкционированный доступ -- это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

* перехват электронных излучений;

* применение подслушивающих устройств (закладок);

* дистанционное фотографирование;

* перехват акустических излучений и восстановление текста принтера;

* чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

* копирование носителей информации с преодолением мер защиты

* маскировка под зарегистрированного пользователя;

* маскировка под запросы системы;

* использование программных ловушек;

* использование недостатков языков программирования и операционных систем;

* незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;

* злоумышленный вывод из строя механизмов защиты;

* расшифровка специальными программами зашифрованной: информации;

* информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки -- это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации-- канал утечки.

Однако есть и достаточно примитивные пути несанкционированного доступа:

* хищение носителей информации и документальных отходов; * инициативное сотрудничество;

* склонение к сотрудничеству со стороны взломщика; * выпытывание;

* подслушивание;

* наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.

Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников. Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:

* недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

* использование неаттестованных технических средств обработки конфиденциальной информации;

* слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

* текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;

* организационные недоработки, в результате которых виновника- ми утечки информации являются люди -- сотрудники ИС и ИТ.

Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых -- порча информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Вредоносные программы классифицируются следующим образом: Логические бомбы, как вытекает из названия, используются для искажения или уничтожения информации, реже с их помощью совершаются кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т.п.

Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.

Троянский конь -- программа, выполняющая в дополнение к основным, т. е. запроектированным и документированным действиям, действия дополнительные, не описанные в документации. Аналогия с древнегреческим троянским конем оправдана -- и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается, подменяется) пользователям ИС. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т.д.). Запустивший такую программу подвергает опасности как свои файлы, так и всю ИС в целом. Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, личность которого установить порой невозможно.

Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший троянского коня, и сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками.

Вирус -- программа, которая может заражать другие программы путем включения в них модифицированной копии, обладающей способностью к дальнейшему размножению.

Считается, что вирус характеризуется двумя основными особенностями:

1) способностью к саморазмножению;

2) способностью к вмешательству в вычислительный процесс (т. е. к получению возможности управления).

Червь -- программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. Червь использует механизмы поддержки сети для определения узла, который может быть заражен. За- тем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Наиболее известный представитель этого класса -- вирус Морриса (червь Морриса), поразивший сеть Internet в 1988 г. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от червя -- принятие мер предосторожности против несанкционированного доступа к сети.

Захватчик паролей -- это программы, специально предназначенные для воровства паролей. При попытке обращения пользователя к терминалу системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей -- необходимое условие надежной защиты.

Компрометация информации (один из видов информационных инфекций). Реализуется, как правило, посредством несанкционированных изменений в базе данных в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. При использовании скомпрометированной информации потребитель подвергается опасности принятия неверных решений.

Несанкционированное использование информационных ресурсов, с одной стороны, является последствиями ее утечки и средством ее компрометации. С другой стороны, оно имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам.

Ошибочное использование информационных ресурсов будучи санкционированным тем не менее может привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в ПО ИТ.

Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен. Последствия -- те же, что и при несанкционированном доступе.

Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или от- правки. Это позволяет одной из сторон расторгать заключенные финансовые соглашения техническим путем, формально не отказываясь от них, нанося тем самым второй стороне значительный ущерб.

Нарушение информационного обслуживания -- угроза, источником которой является сама ИТ. Задержка с предоставлением информационных ресурсов абоненту может привести к тяжелым для него последствиям. Отсутствие у пользователя своевременных данных, необходимых для принятия решения, может вызвать его нерациональные действия.

Незаконное использование привилегий. Любая защищенная система содержит средства, используемые в чрезвычайных ситуациях, или средства которые способны функционировать с нарушением существующей политики безопасности. Например, на случай внезапной проверки пользователь должен иметь возможность доступа ко всем наборам системы. Обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями, выполняющими специальные функции.

Большинство систем защиты в таких случаях используют наборы привилегий, т. е. для выполнения определенной функции требуется определенная привилегия. Обычно пользователи имеют минимальный набор привилегий, администраторы -- максимальный.

Наборы привилегий охраняются системой защиты. Несанкционированный (незаконный) захват привилегий возможен при наличии ошибок в системе защиты, но чаще всего происходит в процессе управления системой защиты, в частности при небрежном пользовании привилегиями.

Строгое соблюдение правил управления системой защиты, соблюдение принципа минимума привилегий позволяет избежать таких нарушений.

2.2 Методы защиты информации

В сентябре 2000 года президентом России была подписана: «Доктрина информационной безопасности РФ», на оснований которой был принят закон об информации. В этом законе выделяются следующие виды информации которые принадлежат защите со стороны государства:

Криптографические методы:

Проблема защиты информации путем ее преобразования, исключающего ее прочтение посторонним лицом волновала человеческий ум с давних времен. История криптографии - ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии тому примеры.

С широким распространением письменности криптография стала формироваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей переписке использовал уже более менее систематический шифр, получивший его имя.

Бурное развитие криптографические системы получили в годы первой и второй мировых войн. Начиная с послевоенного времени и по нынешний день появление вычислительных средств ускорило разработку и совершенствование криптографических методов.

Почему проблема использования криптографических методов в информационных системах (ИС) стала в настоящий момент особо актуальна?

С одной стороны, расширилось использование компьютерных сетей, в частности глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера, не допускающего возможность доступа к ней посторонних лиц.

С другой стороны, появление новых мощных компьютеров, технологий сетевых и нейронных вычислений сделало возможным дискредитацию криптографических систем еще недавно считавшихся практически не раскрываемыми.

Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления - криптографию и криптоанализ. Цели этих направлений прямо противоположны.

Криптография занимается поиском и исследованием математических методов преобразования информации.

Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей.

Современная криптография включает в себя четыре крупных раздела:

1.Симметричные криптосистемы.

2.Криптосистемы с открытым ключом.

3.Системы электронной подписи.

4.Управление ключами.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Системы с открытым ключом :

Как бы ни были сложны и надежны криптографические системы - их слабое мест при практической реализации - проблема распределения ключей. Для того, чтобы был возможен обмен конфиденциальной информацией между двумя субъектами ИС, ключ должен быть сгенерирован одним из них, а затем каким-то образом опять же в конфиденциальном порядке передан другому. Т.е. в общем случае для передачи ключа опять же требуется использование какой-то криптосистемы.

Для решения этой проблемы на основе результатов, полученных классической и современной алгеброй, были предложены системы с открытым ключом.

Суть их состоит в том, что каждым адресатом ИС генерируются два ключа, связанные между собой по определенному правилу. Один ключ объявляется открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне.

Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст в принципе не может быть расшифрован тем же открытым ключом. Дешифрование сообщение возможно только с использованием закрытого ключа, который известен только самому адресату.

Криптографические системы с открытым ключом используют так называемые необратимые или односторонние функции, которые обладают следующим свойством: при заданном значении x относительно просто вычислить значение f(x), однако если y =f(x ), то нет простого пути для вычисления значения x.

Множество классов необратимых функций и порождает все разнообразие систем с открытым ключом. Однако не всякая необратимая функция годится для использования в реальных ИС.

В самом определении необратимости присутствует неопределенность. Под необратимостью понимается не теоретическая необратимость, а практическая невозможность вычислить обратное значение используя современные вычислительные средства за обозримый интервал времени.

Поэтому чтобы гарантировать надежную защиту информации, к системам с открытым ключом (СОК) предъявляются два важных и очевидных требования:

1. Преобразование исходного текста должно быть необратимым и исключать его восстановление на основе открытого ключа.

2. Определение закрытого ключа на основе открытого также должно быть невозможным на современном технологическом уровне. При этом желательна точная нижняя оценка сложности (количества операций) раскрытия шифра.

Алгоритмы шифрования с открытым ключом получили широкое распространение в современных информационных системах. Так, алгоритм RSA стал мировым стандартом де-факто для открытых систем и рекомендован МККТТ.

Вообще же все предлагаемые сегодня криптосистемы с открытым ключом опираются на один из следующих типов необратимых преобразований:

Разложение больших чисел на простые множители.

Вычисление логарифма в конечном поле.

Вычисление корней алгебраических уравнений.

Здесь же следует отметить, что алгоритмы криптосистемы с открытым ключом (СОК) можно использовать в трех назначениях.

1. Как самостоятельные средства защиты передаваемых и хранимых данных.

2. Как средства для распределения ключей. Алгоритмы СОК более трудоемки, чем традиционные криптосистемы. Поэтому часто на практике рационально с помощью СОК распределять ключи, объем которых как информации незначителен. А потом с помощью обычных алгоритмов осуществлять обмен большими информационными потоками.

Средства аутентификации пользователей.

Электронная подпись

В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.

В чем состоит проблема аутентификации данных?

В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д.

Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь.

С широким распространением в современном мире электронных форм документов (в том числе и конфиденциальных) и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации.

В разделе криптографических систем с открытым ключом было показано, что при всех преимуществах современных систем шифрования они не позволяют обеспечить аутентификацию данных. Поэтому средства аутентификации должны использоваться в комплексе и криптографическими алгоритмами.

Иногда нет необходимости зашифровывать передаваемое сообщение, но нужно его скрепить электронной подписью. В этом случае текст шифруется закрытым ключом отправителя и полученная цепочка символов прикрепляется к документу. Получатель с помощью открытого ключа отправителя расшифровывает подпись и сверяет ее с текстом. В 1991 г. Национальный институт стандартов и технологии (NIST) предложил для появившегося тогда алгоритма цифровой подписи DSA (Digital Signature Algorithm) стандарт DSS (Digital Signature Standard), в основу которого положены алгоритмы Эль-Гамаля и RSA.

Методы защиты информации в Internet :

Сегодня самая актуальная для Internet тема - проблема защиты информации. Сеть стремительно развивается в глобальных масштабах, и все большее распространение получают системы внутренних сетей (intranet, интрасети). Появление на рынке новой огромной ниши послужило стимулом как для пользователей, так и для поставщиков сетевых услуг к поиску путей повышения безопасности передачи информации через Internet.

Проблема безопасности в Internet подразделяется на две категории: общая безопасность и вопросы надежности финансовых операций. Успешное разрешение проблем в сфере финансовой деятельности могло бы открыть перед Internet необозримые перспективы по предоставлению услуг для бизнеса. В борьбу за решение этой проблемы включились такие гиганты в области использовани кредитных карточек, как MasterCard и Visa, а также лидеры компьютерной индустрии Microsoft и Netscape. Все это касается "денежных" дел; наша же статья посвящена проблеме общей безопасности.

Задача исследований в этой области - решение проблемы конфиденциальности. Рассмотрим для примера передачу сообщений электронной почты с одного SMTP-сервера на другой. В отдельных случаях эти сообщения просто переписываются с одного жесткого диска на другой как обыкновенные текстовые файлы, т. е. прочитать их смогут все желающие. Образно говоря, механизм доставки электронной почты через Internet напоминает ситуацию, когда постиранное белье вывешивается на улицу, вместо того чтобы отжать его в стиральной машине. Не важно, содержатся ли в послании какая-то финансовая информация или нет; важно следующее - любая пересылаемая по Internet информаци должна быть недоступна для посторонних.

Кроме конфиденциальности пользователей также волнует вопрос гарантий, с кем они сейчас "беседуют". Им необходима уверенность, что сервер Internet, с которым у них сейчас сеанс связи, действительно является тем, за кого себя выдает; будь то сервер World-Wide Web, FTP, IRC или любой другой. Не составляет особого труда имитировать (то ли в шутку, то ли с преступными намерениями) незащищенный сервер и попытаться собрать всю информацию о вас. И, конечно же, поставщики сетевых услуг также хотели бы быть уверенными, что лица, обращающиеся к ним за определенными ресурсами Internet, например, электронной почтой и услугами IRC, действительно те, за кого себя выдают.

Метод парольной защиты:

Законность запроса пользователя определяется по паролю, представляющему собой, как правило, строку знаков. Метод паролей считается достаточно слабым, так как пароль может стать объектом хищения, перехвата, перебора, угадывания. Однако простота метода стимулирует поиск путей его усиления.

Для повышения эффективности парольной защиты рекомендуется:

выбирать пароль длиной более 6 символов, избегая распространенных, легко угадываемых слов, имен, дат и т.п.;

1.использовать специальные символы;

2.пароли, хранящиеся на сервере, шифровать при помощи односторонней функции;

3.файл паролей размещать в особо защищаемой области ЗУ ЭВМ, закрытой для чтения пользователями;

4.границы между смежными паролями маскируются;

5.комментарии файла паролей следует хранить отдельно от файла;

6.периодически менять пароли;

7.предусмотреть возможность насильственной смены паролей со стороны системы через определенный промежуток времени;

8.использовать несколько пользовательских паролей: собственно пароль, персональный идентификатор, пароль для блокировки/разблокировки аппаратуры при кратковременном отсутствии и т.п.

9.В качестве более сложных парольных методов используется случайная выборка символов пароля и одноразовое использование паролей. В первом случае пользователю (устройству) выделяется достаточно длинный пароль, причем каждый раз для опознавания используется часть пароля, выбираемая случайно. При одноразовом использовании пароля пользователю выделяется не один, а большое количество паролей, каждый из которых используется по списку или по случайной выборке один раз. В действительно распределенной среде, где пользователи имеют доступ к нескольким серверам, базам данных и даже обладают правами удаленной регистрации, защита настолько осложняется, что администратор все это может увидеть лишь в кошмарном сне.

Административные меры защиты:

Проблема защиты информации решается введением контроля доступа и разграничением полномочий пользователя.

Распространённым средством ограничения доступа (или ограничения полномочий) является система паролей. Однако оно ненадёжно. Опытные хакеры могут взломать эту защиту, «подсмотреть» чужой пароль или войти в систему путём перебора возможных паролей, так как очень часто для них используются имена, фамилии или даты рождения пользователей. Более надёжное решение состоит в организации контроля доступа в помещения или к конкретному ПК в ЛВС с помощью идентификационных пластиковых карточек различных видов.

Использование пластиковых карточек с магнитной полосой для этих целей вряд ли целесообразно, поскольку, её можно легко подделать. Более высокую степень надёжности обеспечивают пластиковые карточки с встроенной микросхемой - так называемые микропроцессорные карточки (МП - карточки, smart - card). Их надёжность обусловлена в первую очередь невозможностью копирования или подделки кустарным способом. Кроме того, при производстве карточек в каждую микросхему заносится уникальный код, который невозможно продублировать. При выдаче карточки пользователю на неё наносится один или несколько паролей, известных только её владельцу. Для некоторых видов МП - карточек попытка несанкционированного использования заканчивается её автоматическим «закрытием». Чтобы восстановить работоспособность такой карточки, её необходимо предъявить в соответствующую инстанцию.

Установка специального считывающего устройства МП - карточек возможна не только на входе в помещения, где расположены компьютеры, но и непосредственно на рабочих станциях и серверах сети.

Защита корпоративной информации:

Однако при решении этой проблемы предприятия часто идут на поводу у компаний-подрядчиков, продвигающих один или несколько продуктов, решающих, как правило, частные задачи. Ниже рассмотрим наиболее общие подходы к комплексному решению задачи обеспечения безопасности информации.

Наиболее типичной ошибкой при построении системы защиты является стремление защитить всё и от всего сразу. На самом деле определение необходимой информации (файлов, каталогов, дисков) и иных объектов информационной структуры, которые требуется защитить - первый шаг в построении системы информационной безопасности. С определения этого перечня и следует начать: следует оценить, во сколько может обойтись потеря (удаление или кража) той или иной базы данных или, например, простой одной рабочей станции в течение дня.

Второй шаг - определение источников угроз. Как правило, их несколько. Выделить источник угроз - значит, оценить его цели (если источник преднамеренный) или возможное воздействие (непреднамеренный), вероятность (или интенсивность) его появления. Если речь идет о злоумышленных действиях лица (или группы лиц), то требуется оценить его организационные и технические возможности для доступа к информации (ведь злоумышленник может быть и сотрудником фирмы).

После определения источника угроз можно сформулировать угрозы безопасности информации. То есть что с информацией может произойти. Как правило, принято различать следующие группы угроз:

§ несанкционированный доступ к информации (чтение, копирование или изменение информации, ее подлог и навязывание);

§ нарушение работоспособности компьютеров и прикладных программ

§ уничтожение информации.

В каждой из этих трех групп можно выделить десятки конкретных угроз, однако пока на этом остановимся. Заметим только, что угрозы могут быть преднамеренными и случайными, а случайные, в свою очередь, естественными (например, стихийные бедствия) и искусственными (ошибочные действия персонала). Случайные угрозы, в которых отсутствует злой умысел, обычно опасны только в плане потери информации и нарушения работоспособности системы, от чего достаточно легко застраховаться. Преднамеренные же угрозы более серьезны с точки зрения потери для бизнеса, ибо здесь приходится бороться не со слепым (пусть и беспощадным в своей силе) случаем, но с думающим противником.

Построение системы защиты полезно проводить с принципами защиты, которые достаточно универсальны для самых разных предметных областей (инженерное обеспечение в армии, физическая безопасность лиц и территорий, и т. д.)

§ Адекватность (разумная достаточность). Совокупная стоимость защиты (временные, людские и денежные ресурсы) должна быть ниже стоимости защищаемых ресурсов. Если оборот компании составляет 10 тыс. долларов в месяц, вряд ли есть смысл развертывать систему на миллион долларов (так, же как и наоборот).

§ Системность. Важность этого принципа особо проявляется при построении крупных систем защиты. Он состоит в том, что система защиты должна строиться не абстрактно (защита от всего), а на основе анализа угроз, средств защиты от этих угроз, поиска оптимального набора этих средств и построения системы.

§ Прозрачность для легальных пользователей. Введение механизмов безопасности (в частности аутентификации пользователей) неизбежно приводит к усложнению их действий. Тем не менее, никакой механизм не должен требовать невыполнимых действий (например, еженедельно придумывать 10-значный пароль и нигде его не записывать) или затягивать процедуру доступа к информации.

§ Равностойкость звеньев. Звенья - это элементы защиты, преодоление любого из которых означает преодоление всей защиты. Понятно, что нельзя слабость одних звеньев компенсировать усилением других. В любом случае, прочность защиты (или ее уровня, см. ниже) определяется прочностью самого слабого звена. И если нелояльный сотрудник готов за 100 долларов «скинуть на дискету» ценную информацию, то злоумышленник вряд ли будет выстраивать сложную хакерскую атаку для достижения той же цели.

§ Непрерывность. В общем-то, та же равностойкость, только во временной области. Если мы решаем, что будем что-то и как-то защищать, то надо защищать именно так в любой момент времени. Нельзя, например, решить по пятницам делать резервное копирование информации, а в последнюю пятницу месяца устроить «санитарный день». Закон подлости неумолим: именно в тот момент, когда меры по защите информации будут ослаблены, произойдет то, от чего мы защищались. Временный провал в защите, так же, как и слабое звено, делает ее бессмысленной.

§ Многоуровневость. Многоуровневая защита встречается повсеместно, достаточно побродить по руинам средневековой крепости. Зачем защита строится в несколько уровней, которые должен преодолевать как злоумышленник, так и легальный пользователь (которому, понятно, это делать легче)? К сожалению, всегда существует вероятность того, что какой-то уровень может быть преодолен либо в силу непредвиденных случайностей, либо с ненулевой вероятностью. Простая математика подсказывает: если один уровень гарантирует защиту в 90%, то три уровня (ни в коем случае не повторяющих друг друга) дадут вам 99,9%. Это, кстати, резерв экономии: путем эшелонирования недорогих и относительно ненадежных средств защиты можно малой кровью добиться очень высокой степени защиты.

Учет этих принципов поможет избежать лишних расходов при построении системы защиты информации и в то же время добиться действительно высокого уровня информационной безопасности бизнеса.

Оценка эффективности систем защиты программного обеспечения

Системы защиты ПО широко распространены и находятся в постоянном развитии, благодаря расширению рынка ПО и телекоммуникационных технологий. Необходимость использования систем защиты (СЗ) ПО обусловлена рядом проблем, среди которых следует выделить: незаконное использование алгоритмов, являющихся интеллектуальной собственностью автора, при написании аналогов продукта (промышленный шпионаж); несанкционированное использование ПО (кража и копирование); несанкционированная модификация ПО с целью внедрения программных злоупотреблений; незаконное распространение и сбыт ПО (пиратство).

Системы защиты ПО по методу установки можно подразделить на системы, устанавливаемые на скомпилированные модули ПО; системы, встраиваемые в исходный код ПО до компиляции; и комбинированные.

Системы первого типа наиболее удобны для производителя ПО, так как легко можно защитить уже полностью готовое и оттестированное ПО (обычно процесс установки защиты максимально автоматизирован и сводится к указанию имени защищаемого файла и нажатию "Enter"), а потому и наиболее популярны. В то же время стойкость этих систем достаточно низка (в зависимости от принципа действия СЗ), так как для обхода защиты достаточно определить точку завершения работы "конверта" защиты и передачи управления защищенной программе, а затем принудительно ее сохранить в незащищенном виде.

Системы второго типа неудобны для производителя П.О, так как возникает необходимость обучать персонал работе с программным интерфейсом (API) системы защиты с вытекающими отсюда денежными и временными затратами. Кроме того, усложняется процесс тестирования П.О и снижается его надежность, так как кроме самого П.О ошибки может содержать API системы защиты или процедуры, его использующие. Но такие системы являются более стойкими к атакам, потому что здесь исчезает четкая граница между системой защиты и как таковым П.О.

Для защиты ПО используется ряд методов, таких как:

§ Алгоритмы запутывания - используются хаотические переходы в разные части кода, внедрение ложных процедур - "пустышек", холостые циклы, искажение количества реальных параметров процедур ПО, разброс участков кода по разным областям ОЗУ и т.п.

§ Алгоритмы мутации - создаются таблицы соответствия операндов - синонимов и замена их друг на друга при каждом запуске программы по определенной схеме или случайным образом, случайные изменения структуры программы.

§ Алгоритмы компрессии данных - программа упаковывается, а затем распаковывается по мере выполнения.

§ Алгоритмы шифрования данных - программа шифруется, а затем расшифровывается по мере выполнения.

§ Вычисление сложных математических выражений в процессе отработки механизма защиты - элементы логики защиты зависят от результата вычисления значения какой-либо формулы или группы формул.

§ Методы затруднения дизассемблирования - используются различные приемы, направленные на предотвращение дизассемблирования в пакетном режиме.

§ Методы затруднения отладки - используются различные приемы, направленные на усложнение отладки программы.

§ Эмуляция процессоров и операционных систем - создается виртуальный процессор и/или операционная система (не обязательно реально существующие) и программа-переводчик из системы команд IBM в систему команд созданного процессора или ОС, после такого перевода ПО может выполняться только при помощи эмулятора, что резко затрудняет исследование алгоритма ПО.

§ Нестандартные методы работы с аппаратным обеспечением - модули системы защиты обращаются к аппаратуре ЭВМ, минуя процедуры операционной системы, и используют малоизвестные или недокументированные её возможности.

Заключение

Можно сказать, что не существует одного абсолютно надежного метода защиты. Наиболее полную безопасность можно обеспечить только при комплексном подходе к этому вопросу. Необходимо постоянно следить за новыми решениями в этой области.

Подводя итоги, следует упомянуть о том, что известно множество случаев, когда фирмы (не только зарубежные) ведут между собой настоящие «шпионские войны», вербуя сотрудников конкурента с целью получения через них доступа к информации, составляющую коммерческую тайну. Регулирование вопросов, связанных с коммерческой тайной, еще не получило в России достаточного развития. Имеющееся законодательство все же не обеспечивает соответствующего современным реалиям регулирования отдельных вопросов, в том числе и о коммерческой тайне. В то же время надо отдавать себе отчет, что ущерб, причиненный разглашением коммерческой тайны, зачастую имеет весьма значительные размеры (если их вообще можно оценить). Наличие норм об ответственности, в том числе уголовной, может послужить работникам предостережением от нарушений в данной области, поэтому целесообразно подробно проинформировать всех сотрудников о последствиях нарушений. Хотелось бы надеяться что создающаяся в стране система защиты информации и формирование комплекса мер по ее реализации не приведет к необратимым последствиям на пути зарождающегося в России информационно - интеллектуального объединения со всем миром.

Основные выводы о способах использования рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему:

Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.

Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.

Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.

Необходимо осуществлять постоянный контроль функционирования механизма защиты.

Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.

Список литературы

1. Федеральный закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года N 24-ФЗ;

2. Закон «О правовой охране топологий интегральных микросхем» от 23.09.92 г. N 3526-I

3. Закон «Об участии в международном информационном обмене» от 5.06.1996 г. N 85-ФЗ

4. Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 года №3523-1;

6. Закон «О средствах массовой информации» от 27.12.91 г. N 2124-I

7. Закон «О Федеральных органах правительственной связи и информации» от 19.02.92 N 4524-1

10. Закон «О Государственной автоматизированной системе Российской Федерации «Выборы» от 10 января 2003 г. N 20-ФЗ

11. Крылов В.В. Информационные компьютерные преступления. М.: ИнфраМ-Норма, 1997.

12. Ведеев Д.В. Защита данных в компьютерных сетях. - М., 1995;

13. Копылов В.А. Информационное право. - М.: Юристъ, 1997;

14. Гайкович В.Ю «Основы безопасности информационных технологий», Москва, «Инфо-М», 1998

15. «Как остановить компьютерное пиратство?» (Симкин Л., «Российская юстиция», 1996, N 10)

16. «Информация как элемент криминальной деятельности» (Крылов В.В., «Вестник Московского университета», Серия 11, Право, 1998, N 4)

17. Фоменков Г.В. «О безопасности в Internet» , «Защита информации. Конфидент», № 6, 1998.

18. «Правовая охрана программ для ЭВМ и баз данных» (Виталиев Г.В. http://www.relcom.ru).

19. «Правовая охрана топологий интегральных микросхем» (Сергеев А.П. Правоведение 1993 г. №3).

Подобные документы

Виды умышленных угроз безопасности информации. Методы и средства защиты информации. Методы и средства обеспечения безопасности информации. Криптографические методы защиты информации. Комплексные средства защиты.

реферат , добавлен 17.01.2004


Понятие защиты умышленных угроз целостности информации в компьютерных сетях. Характеристика угроз безопасности информации: компрометация, нарушение обслуживания. Характеристика ООО НПО "Мехинструмент", основные способы и методы защиты информации.

дипломная работа , добавлен 16.06.2012


Развитие новых информационных технологий и всеобщая компьютеризация. Информационная безопасность. Классификация умышленных угроз безопасности информации. Методы и средства защиты информации. Криптографические методы защиты информации.

курсовая работа , добавлен 17.03.2004


Основные свойства информации. Операции с данными. Данные – диалектическая составная часть информации. Виды умышленных угроз безопасности информации. Классификация вредоносных программ. Основные методы и средства защиты информации в компьютерных сетях.

курсовая работа , добавлен 17.02.2010


Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.

контрольная работа , добавлен 26.05.2010


Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.

дипломная работа , добавлен 08.03.2013


История возникновения и развития шифрования от древних времен и до наших дней. Анализ современных проблем обеспечения секретности и целостности передаваемых или хранимых данных, наиболее часто используемые криптографические методы защиты информации.

контрольная работа , добавлен 23.04.2013


Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.

курсовая работа , добавлен 21.04.2015


Организация системы защиты информации во всех ее сферах. Разработка, производство, реализация, эксплуатация средств защиты, подготовка соответствующих кадров. Криптографические средства защиты. Основные принципы инженерно-технической защиты информации.

курсовая работа , добавлен 15.02.2011


Разновидности защиты компьютерной информации. Особенности алгоритмов и шрифтов, применяемых в криптографии. Специфика использования криптосистем с открытым ключом. Структура вредоносного программного обеспечения. Обеспечение безопасности баз данных.

Классификация угроз информационной безопасности и методы их реализации

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Угроза информационной безопасности – это возможность нарушения в силу различных причин целостности, доступности или конфиденциальности информации. Вполне очевидно, что без тщательного анализа угроз невозможно определиться с наиболее эффективными мерами по их предотвращениюили реализации, то есть обеспечить информационную безопасность.

Классификация всех возможных угроз информационной безопасности может быть проведена по ряду базовых признаков.

· по природе возникновения:

Естественные угрозы – угрозы, вызванные воздействиями на информационную систему и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека (технические сбои, природные катаклизмы);

Искусственные угрозы – угрозы информационной безопасности, вызванные деятельностью человека:

· по степени преднамеренности проявления:

Угрозы случайного действия или угрозы, вызванные ошибками или халатностью персонала. Например: неумышленная порча носителей информации или их утрата; пересылка данных по ошибочному адресу абонента; неумышленное повреждение каналов связи; ввод ошибочных данных и т.д.;

Угрозы преднамеренного действия. Например: возможность для хищения конфиденциальной информации из баз данных; возможность использования технических каналов утечки такой информации разведслужбами и т.п.:

· по степени воздействия на информацию:

Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании информационной системы. Например: угроза копирования секретных данных.

Активные угрозы, которые вносят изменения в структуру и содержание информационной системы. Например: внедрение программных «закладок» и «вирусов»; угроза умышленной модификации или уничтожения информации;

· по способу доступа к ресурсам информационной системы:

Угрозы, основанные на использовании прямого доступа к ресурсам информационной системы. Например: хищение документов вследствие халатного отношения к их хранению; незаконное получение различными путями паролей и других реквизитов разграничения доступа;

Угрозы, направленные на использование скрытого пути доступа к ресурсам информационной системы. Например: вход в систему в обход средств защиты; использование средств негласного съема информации и т.д.

Существует и ряд других признаков, по которым можно классифицировать угрозы информационной безопасности. Но перечисленные являются основными и дают достаточно полное представление о видах угроз.

К числу основных методов реализации угроз информационной безопасности относятся:

· хищение (копирование) бумажных или машинных носителей информации, содержащих конфиденциальные данные;

· использование специальных технических средств для перехвата побочных электромагнитных излучений и наводок (ПЭМИН);

· перехват данных, передаваемых по каналам связи;

· метод визуального наблюдения (считывание с экранов терминалов, распечаток в процессе печати и т.д.);

· съем конфиденциальной информации с использованием специальных технических средств;

· раскрытие представления информации (дешифрование данных);

· комплекс программно-аппаратных способов нарушения информационной безопасности в автоматизированных системах хранения и обработки информации от заражения программными вирусами до уничтожения средств вычислительной техники и носителей информации.

Понятие защищаемая информация нетрудно определяется исходя из результатов предыдущего исследования понятий и категорий. Очевидно, что:

защищаемая информация – это информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственникамиинформации,опирающимися на законодательствоУкраины. Как уже подчеркивалось ранее, в роли собственников информации могут выступать – государство, юридические или физические лица.

Защита информации – деятельность, направленная на обеспечение информационной безопасности.

Классифицировать виды защиты можно следующим образом:

· защита информации от утечки – деятельность по предотвращению неконтролируемого распространения защищаемой информации путем ее разглашения или несанкционированного доступа к ней. То есть речь идет об обеспечении конфиденциальности информации;

· защита информации от несанкционированного воздействия (преднамеренного или непреднамеренного характера)– деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав или правил на изменение информации, приводящего к искажению, уничтожению или модификации информации, а также к нарушению правил доступа к ней (защита целостности и доступности);

· защита информации и поддерживающей ее инфраструктуры от случайного воздействия – деятельность по предотвращению воздействия на защищаемую информацию в результате сбоя технических и программных средств информационных систем, а также природных явлений. Указанные факторы могут привести к потере всех трех категорий защищенности информации (отдельно или вместе).