• ×

    • Меры информационной безопасности. Правовые меры защиты

    05.06.2019

    Введение

    информационный крипточеский оптический

    Информация является важнейшим ресурсом человеческого общества. Она выражается в накопленном в течение многих лет многоаспектном информационном потенциале, хранящемся на территории проживания данного общества, то есть на нашей планете. Все возрастающие объемы разнообразной информации (символьной, текстовой, графической и др.) и расширение круга ее пользователей вызывают потребность контролировать ее достоверность, обеспечивать защиту от несанкционированного доступа, искажения, потери и копирования с целью соблюдения государственного и мирового законодательства, а также прав авторов информации.

    Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик информационной системы. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).

    Информационной системой называют совокупность взаимосвязанных средств, которые осуществляют хранение и обработку информации, также называют информационно-вычислительными системами. В информационную систему данные поступают от источника информации. Эти данные отправляются на хранение либо претерпевают в системе некоторую обработку и затем передаются потребителю.

    Под безопасностью информационной системы понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на информационную систему.

    Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

    Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком или «компьютерным пиратом» (хакером).

    В своих противоправных действиях, направленных на овладение чужими секретами, взломщики стремятся найти такие источники конфиденциальной информации, которые бы давали им наиболее достоверную информацию в максимальных объемах с минимальными затратами на ее получение. С помощью различного рода уловок и множества приемов и средств подбираются пути и подходы к таким источникам. В данном случае под источником информации подразумевается материальный объект, обладающий определенными сведениями, представляющими конкретный интерес для злоумышленников или конкурентов.

    В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально-этических мер противодействия и т.д.). Комплексный характер защиты проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для них информацию.

    Сегодня можно утверждать, что рождается новая современная технология - технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Реализация этой технологии требует увеличивающихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз информационной системе и информационным технологиям.

    Меры информационной безопасности

    Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Она включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется

    Можно выделить следующие направления мер информационной безопасности.

    Правовые

    Организационные

    Технические

    К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение

    К организационным мерам относят охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра, после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.

    К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

    Методы, средства и условия обеспечения информационной безопасности

    Методами обеспечения защиты информации на предприятиях являются:

    Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.)

    Управление доступом - метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

    Идентификация пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

    Аутентификация (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

    Проверка полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

    Разрешение и создание условий работы в пределах установленного регламента;

    Регистрация (протоколирование) обращений к защищаемым объектам и информации;

    Реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированного действия.

    Маскировка - метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия.

    Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

    Принуждение - такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

    Побуждение - такой метод защиты информации, который побуждает пользователей и персонал не нарушать установленных правил за счет сложившихся моральных, этических норм.

    Средства защиты информации

    Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

    Технические средства

    Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки.

    Для защиты периметра информационной системы создаются:

    Системы охранной и пожарной сигнализации;

    Системы цифрового видео наблюдения;

    Системы контроля и управления доступом (СКУД). Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:

    Использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;

    Установкой на линиях связи высокочастотных фильтров;

    Построение экранированных помещений («капсул»);

    Использование экранированного оборудования;

    Установка активных систем зашумления;

    Создание контролируемых зон.

    Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

    Технические меры защиты

    Организационные мероприятия рассматриваются многими специалистами, занимающимися вопросами безопасности компьютерных систем, как наиболее важные и эффективные из всех средств защиты. Это связано с тем, что они являются фундаментом, на котором строится вся система защиты.

    Организационные меры защиты

    Вопрос 3. Классификация мер защиты информации

    Все меры противодействия компьютерным преступлениям можно условно подразделить на технические, организационные и правовые .

    Возможна и другая классификация, при которой все меры подразделяются на правовые, организационно-технические и экономические.

    К экономическим мерам защиты компьютерной информации относится разработка программ обеспечения информационной безопасности России и определение порядка их финансирования, а также совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических мер защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

    Организационные меры защиты информации и информационных систем включают в себя совокупность организационных мероприятий по подбору, проверке и инструктажу персонала, осуществлению режима секретности, обеспечению физической охраны объектов . Кроме вышеперечисленных мер, к организационным мерам относятся:

    · исключение случаев ведения особо важных работ только одним человеком;

    · наличие плана восстановления работоспособности центра после выхода его из строя;

    · организация обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра;

    · универсальность средств защиты от всех пользователей (включая высшее руководство);

    · возложение ответственности на лицо, которое должно обеспечить безопасность центра;

    · выбор места расположения центра и т.п.

    Применяемые в отдельных предприятиях, организациях и учреждениях, фирмах, компаниях организационные меры защиты информации включают использование паролей и других средств, исключающих доступ к программным и информационным файлам, а также другие меры, которые в массовом масштабе не реализуются. В целях исключения неправомерного доступа к компьютерной информации предприятий, организаций и учреждений, фирм, компаний необходимо периодически реализовывать следующие организационные мероприятия :

    · просматривать всю документацию соответствующего учреждения, организации, фирмы, компании;

    · знакомиться с должностными инструкциями каждого сотрудника;

    · определять возможные каналы утечки информации;


    · намечать реальные мероприятия по ликвидации слабых звеньев в защите информации.

    К техническим мерам можно отнести защиту от несанкционированного доступа к компьютерной системе, резервирование важных компьютерных систем, принятие конструкционных мер защиты от хищений и диверсий, обеспечение резервным электропитанием, разработку и реализацию специальных программных и аппаратных комплексов безопасности и т.д .

    Все технические методы подразделяются на аппаратные, программные и комплексные. Аппаратные методы предназначены для защиты от неправомерного доступа аппаратных средств и средств связи. Аппаратные средства и методы защиты реализуются путем применения различных технических устройств специального назначения. К ним относятся:

    · источники бесперебойного питания аппаратуры, а также различные устройства стабилизации, предохраняющие от резких скачкообразных перепадов напряжения и пиковых нагрузок в сети электропитания;

    · устройства экранирования аппаратуры, линий проводной связи и помещений, в которых находится компьютерная техника;

    · устройства определения и фиксации номера вызывающего абонента, работающие по принципу обычного телефонного автоматического определителя номера (АОН);

    · устройства, обеспечивающие только санкционированный физический доступ пользователя на охраняемые объекты средств компьютерной техники (шифрозамки, устройства идентификации личности и т.д. и т.п.);

    · устройства идентификации и фиксации терминалов пользователей при попытках несанкционированного доступа к компьютерной сети;

    · средства охранно-пожарной сигнализации;

    · средства защиты портов компьютерной техники.

    Говоря о мерах защиты персональных компьютеров, необходимо назвать ключи блокировки, применяемые для опознания пользователей. Заметим, что эффективность защиты возрастает при использовании совокупности технических методов опознания пользователей и паролей доступа. Своеобразным ключом блокировки может являться специальное внешнее устройство, находящееся непосредственно у пользователя, приемная часть которого монтируется непосредственно в персональный компьютер и за счет блокировки обеспечивает доступ к ресурсам персонального компьютера. Ключевым блокирующим устройством должно быть как средство идентификации личности по физическим параметрам, так и средство аутентификации.

    Незаконное копирование данных с машинных носителей или непосредственно из оперативного запоминающего устройства предотвращается с помощью специального кодирования хранящейся и обрабатываемой информации. Кодирование может производиться с помощью соответствующих подпрограмм и дополнительного кодирующего оборудования. Кодирование в этом случае используется как мера защиты и безопасности данных не только при хранении и обработке информации в персональном компьютере, но и при передаче данных от одного вычислительного комплекса к другому.

    Практическое использование технических мер по защите данных показало, что одна треть предлагаемого производителями программного обеспечения для персональных компьютеров не имеет защиты информации. В остальных же случаях эти меры в основном ограничиваются программным контролем подлинности пользователя.

    Программные методы защиты предназначены, для непосредственной защиты машинной информации, программных средств, компьютерной техники от несанкционированного ознакомления с ней пользователей, не имеющих допуска. Кроме того, программные средства защиты должны обеспечивать контроль за правильностью осуществления процессов ввода, вывода, обработки, записи, стирания, чтения и передачи информации по каналам связи. Все программные методы защиты подразделяются на следующие виды:

    · пароли доступа;

    · защита массивов информации;

    · защита от вирусов;

    · защита программ;

    · защита баз данных;

    · криптографические методы защиты.

    Обеспечение защиты компьютерной информации должно представлять совокупность различных мероприятий, осуществляемых как во время разработки, так и на всех этапах эксплуатации системы автоматизированной обработки данных .

    Для защиты информации при ее передаче обычно используют различные способы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой, в том числе криптографические. Как показывает практика, такие способы шифрования позволяют достаточно надежно скрыть смысл сообщения.

    Для ограничения доступа к информационным ресурсам используются средства регистрации и средства контроля. Средства контроля доступа предназначены непосредственно для защиты, а задача средств регистрации заключается в обнаружении и фиксации уже совершенных действий преступника или попыток их совершения.

    Возможна идентификация пользователя по электронной подписи, что регламентировано федеральным законом. Электронная подпись дает возможность не только гарантировать аутентичность документа в части его авторства, но и установить неискаженность (целостность) содержащейся в нем информации, а также зафиксировать попытки подобного искажения. Переданный получателю подписанный документ состоит из текста, электронной подписи и сертификата пользователя. Последний содержит в себе гарантированно подлинные данные пользователя, в том числе его отличительное имя и открытый ключ расшифрования для проверки подписи получателем либо третьим лицом, осуществившим регистрацию сертификата.

    К программным методам защиты относится и защита базы данных,которая включает в себя защиту от любого несанкционированного или случайного их изменения или уничтожения. Дополнительной целью является защита от несанкционированного снятия информации внутри базы данных.

    Следует отметить, что надежная защита компьютерной информации может быть обеспечена только при применении комплексных мер защиты. Комплексность состоит в использовании аппаратных и программных мер защиты. Только в этом случае удается достигнуть требуемого уровня защищенности как самой компьютерной техники, так и информации, находящейся в ней.

    В целом организационные и технические меры защиты компьютерной информации должны составлять единый комплекс. Данным вопросам уделено довольно много внимания в специальной технической литературе и посвящено большое количество научных исследований и технических изысканий нашей стране и мире.

    К правовым мерам защиты компьютерной информации и, в конечном итоге, обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Правовые средства защиты информации представляют собой комплекс гражданско-правовых, административно-правовых и уголовно-правовых норм, регулирующих общественные отношения в сфере использования компьютерной информации и устанавливающих ответственность за несанкционированное использование данных программных средств .

    Наиболее важными направлениями этой деятельности являются:

    · разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;

    · создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;

    · определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;

    · оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

    · контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации;

    · предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;

    · защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;

    · обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации.

    Кроме того, к правовым мерам можно отнести комплекс мер, обеспечивающих соблюдение авторского права. К ним относятся документация, сопровождающая любой программный продукт, которая может выполнять функции защиты. Этому способствуют следующие факторы: ее репродуцирование стоит достаточно дорого, особенно если оригинал выполнен в цвете и не может быть качественно воспроизведен одноцветным копировальным устройством. Можно упомянуть упаковку программного продукта, выполняющую те же функции, что и документация. Одновременно применяется целый комплекс технических мер, препятствующих копированию программного обеспечения.

    Необходимо:

    1. Контролировать доступ как к информации в компьютере, так и к прикладным программам. Необходимо иметь иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям.

    Идентификация пользователей

    Требуйте, чтобы пользователи выполняли процедуры входа в компьютер, и используйте это как средство для идентификации в начале работы. Чтобы эффективно контролировать микрокомпьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему. Обычно у микрокомпьютера нет процедур входа в систему, право использовать систему предоставляется простым включением компьютера.

    Аутентификация пользователей

    Используйте уникальные пароли для каждого пользователя, которые не являются комбинациями личных данных пользователей, для аутентификации личности пользователя. Внедрите меры защиты при администрировании паролей, и ознакомьте пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению..

    Другие меры защиты:

    Пароли - только один из типов идентификации - что-то, что знает только пользователь. Двумя другими типами идентификации, которые тоже эффективны, являются что-то, чем владеет пользователь(например, магнитная карта), или уникальные характеристики пользователя(его голос).

    Если в компьютере имеется встроенный стандартный пароль(пароль, который встроен в программы и позволяет обойти меры по управлению доступом), обязательно измените его. Сделайте так, чтобы программы в компьютере после входа пользователя в систему сообщали ему время его последнего сеанса и число неудачных попыток установления сеанса после этого. Это позволит сделать пользователя составной частью системы проверки журналов.

    Защищайте ваш пароль:

    Не делитесь своим паролем ни с кем;

    Выбирайте пароль трудно угадываемым;

    Попробуйте использовать строчные и прописные буквы, цифры, или выберите знаменитое изречение и возьмите оттуда каждую четвертую букву. А еще лучше позвольте компьютеру самому сгенерировать ваш пароль;

    Не используйте пароль, который является вашим адресом, псевдонимом, именем жены, телефонным номером или чем-либо очевидным.

    Используйте длинные пароли, так как они более безопасны, лучше всего от 6 до 8 символов;

    Обеспечьте неотображаемость пароля на экране компьютера при его вводе;

    Обеспечьте отсутствие паролей в распечатках

    не записывайте пароли на столе, стене или терминале. Держите его в памяти

    Серьезно относитесь к администрированию паролей:

    Периодически меняйте пароли и делайте это не по графику;

    Шифруйте или делайте что-нибудь еще с файлами паролей, хранящимися в компьютере, для защиты их от неавторизованного доступа;

    Назначайте на должность администратора паролей только самого надежного человека;

    Не используйте один и тот же пароль для всех сотрудников в группе

    меняйте пароли, когда человек увольняется;

    Заставляйте людей расписываться за получение паролей

    установите и внедрите правила работы с паролями и обеспечьте, чтобы все знали их;

    Установите порядок в организации, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля требуется разрешение тех или иных начальников;

    Защита файлов

    Помимо идентификации пользователей и процедур авторизации разработайте процедуры по ограничению доступа к файлам с данными:

    Используйте внешние и внутренние метки файлов для указания типа информации, который они содержат, и требуемого уровня безопасности;

    Ограничьте доступ в помещения, в которых хранятся файлы данных, такие как архивы и библиотеки данных;

    Используйте организационные меры и программно-аппаратные средства для ограничения доступа к файлам только авторизованных пользователей;

    Предосторожности при работе:

    Отключайте неиспользуемые терминалы;

    Закрывайте комнаты, где находятся терминалы;

    Разворачивайте экраны компьютеров так, чтобы они не были видны со стороны двери, окон и тех мест в помещениях, которые не контролируются;

    Установите специальное оборудование, такое как устройства, ограничивающие число неудачных попыток доступа, или делающие обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру программируйте терминал отключаться после определенного периода неиспользования если это возможно, выключайте систему в нерабочие часы.

    2. Необходимо защищайте целостность информации. Вводимая информация должна быть авторизована, полна, точна и должна подвергаться проверкам на ошибки.

    Целостность информации:

    Проверяйте точность информации с помощью процедур сравнения результатов обработки с предполагаемыми результатами обработки. Например, можно сравнивать суммы или проверять последовательные номера;

    Проверяйте точность вводимых данных, требуя от служащих выполнять проверки на корректность, такие как:

    Проверки на нахождение символов в допустимом диапазоне символов(числовом или буквенном)

    Проверки на нахождение числовых данных в допустимом диапазоне чисел

    Проверки на корректность связей с другими данными, сравнивающими входные данные с данными в других файлах

    Проверки на разумность, сравнивающие входные данные с ожидаемыми стандартными значениями

    Ограничения на транзакции, сравнивающие входные данные с административно установленными ограничениями на конкретные транзакции

    Трассируйте транзакции в системе:

    Делайте перекрестные проверки содержимого файлов с помощью сопоставления числа записей или контроля суммы значений поля записи.

    3. Необходимо защищать системные программы. Если ПО используется совместно, защищайте его от скрытой модификации при помощи политики безопасности, мер защиты при его разработке и контроле за ним в его жизненном цикле, а также обучения пользователей в области безопасности.

    Меры защиты при разработке программ и соответствующие политики должны включать процедуры внесения изменений в программу, ее приемки и тестирования до ввода в эксплуатацию. Политики должны требовать разрешения ответственного лица из руководства для внесения изменений в программы, ограничения списка лиц, кому разрешено вносить изменения и явно описывать обязанности сотрудников по ведению документации.

    Должен быть разработан и поддерживаться каталог прикладных программ.

    Должны быть внедрены меры защиты по предотвращению получения, изменения или добавления программ неавторизованными людьми через удаленные терминалы.

    4. Сделайте меры защиты более адекватными с помощью привлечения организаций, занимающихся тестированием информационной безопасности, при разработке мер защиты в прикладных программах и консультируйтесь с ними при определении необходимости тестов и проверок при обработке критических данных. Контрольные журналы, встроенные в компьютерные программы, могут предотвратить или выявить компьютерное мошенничество и злоупотребление.

    Должны иметься контрольные журналы для наблюдения за тем, кто из пользователей обновлял критические информационные файлы

    Если критичность информации, хранимой в компьютерах, требует контрольных журналов, то важны как меры физической защиты, так и меры по управлению доступом.

    В компьютерной сети журналы должны храниться на хосте, а не на рабочей станции.

    Контрольные журналы не должны отключаться для повышения скорости работы.

    Распечатки контрольных журналов должны просматриваться достаточно часто и регулярно.

    5. Необходимо рассмотреть вопрос о коммуникационной безопасности. Данные, передаваемые по незащищенным линиям, могут быть перехвачены.

    Физическая безопасность.

    Традиционная безопасность: замки, ограждение и охрана.

    Физическая безопасность означает лишь содержание компьютера и информации в нем в безопасности от физических опасностей с помощью замков на входах в помещение, где он находится, строительства ограждения вокруг зданий и размещения охраны вокруг помещения. Но физическая безопасность сейчас изменилась из-за современной компьютерной среды - среды, которая часто представляет собой офис с большим числом персональных ЭВМ или терминалов. Физическая безопасность связана с внедрением мер защиты, которые защищают от стихийных бедствий(пожаров, наводнений, и землетрясений), а также всяких случайных инцидентов. Меры физической безопасности определяют, каким будет окружение компьютера, вводимые данные, и результаты обработки информации. Помимо помещений, где размещено компьютерное оборудование, окружение включает в себя библиотеки программ, журналы, магнитные носители, помещения для архивов, и помещения для ремонта техники. Меры физической защиты должны отвечать требованиям современной действительности и сочетать эффективность с невысокой ценой. Например, установка дорогой противопожарной системы может быть необходимой для защиты большого компьютера, обрабатывающего критические данные, но оказаться неоправданно дорогой при защите одной персональной ЭВМ.

    Меры физической безопасности

    1. Предотвратить злонамеренные разрушения, неавторизованное использование или кражу. ПЭВМ могут быть заперты в комнатах и доступ к ним может быть ограничен с помощью устройств блокировки клавиатуры и т.п. Удостоверьтесь, что люди соблюдают свои обязанности по использованию компьютеров и их можно проконтролировать.

    2. Стихийные бедствия могут нанести большой ущерб как большим, так и маленьким компаниям.

    Примите меры по предотвращению, обнаружению и минимизации ущерба от пожара, наводнения, загрязнения окружающей среды, высоких температур и скачков напряжения. Защищайте ПЭВМ с помощью кожухов, чтобы они не были повреждены системой пожаротушения. Не храните горючие материалы в этих помещениях.

    Статическое электричество может очистить память в ПЭВМ. Антистатические коврики могут предотвратить это.

    Скачки напряжения могут очистить память, изменить программы и разрушить микросхемы. Устройство бесперебойного питания(УБП) дает достаточно времени, чтобы отключить компьютер без потери данных.

    Температура в помещении может контролироваться кондиционерами и вентиляторами, а также хорошей вентиляцией в помещении. Проблемы с чрезмерно высокой температурой могут возникнуть в стойках периферийного оборудования или из-за закрытия вентиляционного отверстия в терминалах или ПЭВМ.

    Воздушные фильтры могут очистить воздух от вредных веществ в нем, которые могут нанести вред компьютерам и дискам. Следует запретить курить возле ПЭВМ.

    Размещайте компьютеры подальше от того, что может явиться источником большого количества воды, например трубопроводов, обычно затапливаемых помещений или не используйте систему пожаротушения, если есть другие способы защиты от пожара.

    3. Защищайте все носители информации(исходные документы, ленты, картриджи, диски, распечатки)

    4. Удостоверьтесь, что существуют адекватные планы действий при ЧП(планы обеспечения непрерывной работы). Помните, что целью этих планов являются гарантии того, что пользователи смогут продолжать выполнять самые главные свои обязанности в случае невозможности работы по информационной технологии.

    Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

    При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

    Невозможность миновать защитные средства; усиление самого слабого звена;

    Невозможность перехода в небезопасное состояние;

    Минимизация привилегий; разделение обязанностей;

    Эшелонированность обороны; разнообразие защитных средств;

    Простота и управляемость информационной системы; обеспечение всеобщей поддержки мер безопасности.

    Физическая система защиты системы и данных может осуществляться только в отношении рабочих ЭВМ и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине в ИВС должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.

    Неизбежным средством борьбы с этой опасностью стали постоянно увеличивающиеся расходы на защиту информации. Например, по оценке немецких экспертов лишь в 1987 году в промышленности и учебных заведениях Западной Европы потрачено

    1 к 7 млрд марок на обеспечение безопасности компьютеров.

    Исследования практики функционирования систем обработки информации и вычислительных систем доказали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях.

    В их числе:

    • - чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
    • - копирование носителей и файлов информации с преодолением мер защиты;
    • - маскировка под зарегистрированного пользователя;
    • - маскировка под запрос системы;
    • - использование программных ловушек;
    • - использование недостатков операционной системы;
    • - незаконное подключение к аппаратуре и линиям связи;
    • - злоумышленный вывод из строя механизмов защиты;
    • - внедрение и использование компьютерных вирусов.

    Обеспечение безопасности информации в ИВС и в автономно работающих ПЭВМ достигается комплексом организационных, организационно-технических, технических и программных мер.

    К организационным мерам защиты информации относятся:

    • - ограничение доступа в помещения, в которых происходит подготовка и обработка информации;
    • - доступ к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
    • - хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;
    • - исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т.д.;
    • - использование криптографических кодов при передаче информации по каналам связи ценной информации;
    • - уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.

    Организационно-технические меры зашиты информации включают:

    • - осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника или через специальные фильтры;
    • - установку на дверях помещений кодовых замков;
    • - использование для отображения информации при вводе- выводе жидкокристаллических или плазменных дисплеев, а для получения твердых копий -- струйных принтеров и термопринтеров, поскольку дисплей дает такое высокочастотное электромагнитное излучение, что изображение с его экрана можно принимать на расстоянии нескольких сотен километров;
    • - уничтожение информации, хранящейся в ОЗУ и на «винчестере» при списании или отправке ПЭВМ в ремонт;
    • - установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
    • - ограничение электромагнитного излучения путем экранирования помещений, где происходит обработка информации, листами из металла или специальной пластмассы.

    Технические средства защиты информации -- это системы охраны территорий и помещений с помощью экранирования машинных залов и организация контрольно-пропускных систем.

    Защита информации в сетях и вычислительных средствах с помощью технических средств реализуется на основе организации доступа к памяти с помощью:

    • - контроля доступа к различным уровням памяти компьютера;
    • - блокировки данных и ввода ключей;
    • - выделения контрольных битов для записей с целью идентификации и др.

    Архитектура программных средств защиты информации включает:

    • - контроль безопасности, в том числе и контроль регистрации вхождения в систему, фиксацию в системном журнале, контроль действий пользователя;
    • - реакцию, в том числе звуковую, на нарушение системы защиты контроля доступа к ресурсам сети;
    • - контроль мандатов доступа;
    • - формальный контроль защищенности операционных систем (базовой операционной и сетевой);
    • - контроль алгоритмов защиты;
    • - проверку и подтверждение правильности функционирования технического и программного обеспечения.

    Для надежной защиты информации и выявления случаев неправомочных действий проводится регистрация работы системы: создаются специальные дневники и протоколы, в которых фиксируются все действия, имеющие отношение к защите информации в системе. Фиксируются время поступления заявки, ее тип, имя пользователя и терминала, с которого инициализируется заявка. При отборе событий, подлежащих регистрации, необходимо иметь в виду, что с ростом количества регистрируемых событий, затрудняется просмотр дневника и обнаружение попыток преодоления защиты. В этом случае можно применять программный анализ и фиксировать сомнительные события.

    Используются также специальные программы для тестирования системы защиты. Периодически или в случайно выбранные моменты времени они проверяют работоспособность аппаратных и программных средств защиты.

    К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени. Программы данной группы формируют специальный сигнал при регистрации действий, которые могут привести к неправомерным действиям по отношению к защищаемой информации. Сигнал может содержать информацию о характере нарушения, месте его возникновения и другие характеристики. Кроме того, программы могут запретить доступ к защищаемой информации или симулировать такой режим работы (например, моментальная загрузка устройств ввода-вывода), который позволит выявить нарушителя и задержать его соответствующей службой.

    Один из распространенных способов защиты -- явное указание секретности выводимой информации. В системах, поддерживающих несколько уровней секретности, вывод на экран терминала или печатающего устройства любой единицы информации (например, файла, записи или таблицы) сопровождается специальным грифом с указанием уровня секретности. Это требование реализуется с помощью соответствующих программных средств.

    В отдельную группу выделены средства зашиты от несанкционированного использования программного обеспечения. Они приобретают особое значение вследствие широкого распространения персональных компьютеров. Исследования, проведенные зарубежными исследователями, свидетельствуют, что на одну проданную копию оригинальной программы приходится минимум одна нелегальная. А для особо популярных программ это соотношение достигает 1:7.

    Особое внимание уделяется законодательным средствам, регулирующим использование программных продуктов. В соответствии с Законом Российской Федерации об информации, информатизации и защите информации от 25 января 1995 года предусматриваются санкции к физическим и юридическим лицам за нелегальное приобретение и использование программных продуктов.

    Большую опасность представляют компьютерные вирусы.

    Компьютерный вирус -- это специально написанная небольшая по размерам программа, которая может приписывать себя к другим программам (т.е. «заражать» их), а также выполнять различные нежелательные действия. Программа, внутри которой находится компьютерный вирус, называется зараженной. Когда такая программа начинает работу, то сначала управление получает вирус, который находит и заражает другие программы, а также выполняет ряд вредных действий, в частности «засоряет» активную память, портит файлы и т. д.

    Для маскировки вируса его действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении каких-либо условий. После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает как обычно, т. е. внешне работа зараженной программы какое-то время не отличается от работы незараженной программы.

    Действия вируса могут выполняться достаточно быстро и без выдачи сообщений, поэтому пользователь часто и не замечает, что компьютер работает несколько странно. Однако по прошествии некоторого времени, на компьютере может происходить следующее:

    • - некоторые программы перестают работать или работают неправильно;
    • - на экран выводятся посторонние сообщения, символы, рисунки и т. д.;
    • - работа на компьютере существенно замедляется;
    • - некоторые файлы оказываются испорченными и т.д.

    Многие вирусы устроены так, что при запуске зараженной

    программы они остаются постоянно (точнее, до перезагрузки ОС) в памяти компьютера и время от времени заражают программы. Кроме того, зараженные программы с данного компьютера могут быть перенесены с помощью дискет или по локальной сети на другие компьютеры.

    Если не принимать мер по защите от вируса, то последствия заражения вирусом компьютера могут быть серьезными. В число средств и методов защиты от компьютерных вирусов входят:

    • - общие средства защиты информации, которые полезны так же, как и страховка от физической порчи машинных дисков, неправильно работающих программ или ошибочных действий пользователя;
    • - профилактические меры, позволяющие уменьшить вероятность заражения вирусов;
    • - специализированные программы для защиты от вирусов.

    Комплексное решение вопросов безопасности ИВС принято

    именовать архитектурой безопасности, где выделяются угрозы безопасности, службы безопасности и механизмы обеспечения безопасности.

    Под угрозой безопасности понимается событие или действие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую и обрабатываемую информацию, а также программные и аппаратные средства.

    Угрозы распределяются на случайные (непреднамеренные) и умышленные. Источником первых могут быть ошибки в ПО, неправильные действия пользователей, выход из строя аппаратных средств и др.

    Умышленные угрозы преследуют цель нанесения ущерба пользователям (абонентам) вычислительной сети и подразделяются на активные и пассивные.

    Пассивные угрозы не разрушают информационные ресурсы и не оказывают влияния на функционирование ИВС. Их задача -- несанкционированно получить информацию. Активные угрозы преследуют цель нарушить процесс функционирования ИВС путем разрушения или радиоэлектронного подавления линий связи ИВС, вывода из строя ЭВМ или ее операционной системы, искажения баз данных и т. д. Источником активных угроз могут быть непосредственные действия людей -- злоумышленников, компьютерные вирусы и т. д.

    Служба безопасности вычислительной сети призвана обеспечить:

    • - подтверждение подлинности того, что объект, который предлагает себя в качестве отправителя информации в сети, действительно им является;
    • - целостность информации, выявляя искажения, вставки, повторы и уничтожение данных, передаваемых в сетях, а также последующее восстановление данных;
    • - секретность всех данных, передаваемых по сетям;
    • - нейтрализацию всех попыток несанкционированного использование ресурсов ЭВМ. При этом контроль доступа может быть избирательным, т.е. распространяться только на некоторые виды доступа к ресурсам, например, на обновление информации в базе данных, либо полным;
    • - получателя информации доказательствами, что информация получена от данного отправителя, несмотря на попытки отправителя отрицать факт отправления;

    К механизмам обеспечения безопасности относятся:

    • - идентификация пользователей;
    • - шифрование данных;
    • - электронная подпись;
    • - управление маршрутизацией и др.

    Идентификация пользователей позволяет устанавливать конкретного пользователя, работающего за терминалом и принимающего или отправляющего сообщения. Право доступа к определенным вычислительным и информационным ресурсам, программам и наборам данных, а также ВС в целом предоставляется ограниченному контингенту лиц, и система должна распознавать пользователей, работающих за терминалами. Идентификация пользователей чаще всего производится с помощью паролей.

    Пароль -- это совокупность символов, известных подключенному к сети абоненту, вводится в начале сеанса взаимодействия с сетью, а иногда и в конце сеанса (в особо ответственных случаях пароль выхода из сети может отличаться от входного). Система может предусматривать ввод пароля для подтверждения правомочия пользователя через определенные интервалы времени.

    Для защиты средств идентификации пользователей от неправомочного использования, пароли передаются и сравниваются в зашифрованном виде, а таблицы паролей хранятся в зашифрованном виде, что исключает возможность прочтения паролей без знания ключа.

    Для идентификации пользователей могут применять и физические методы: например, карточка с магнитным покрытием, на котором записывается персональный идентификатор пользователя или карточка со встроенным чипом.

    Наиболее надежным, хотя и наиболее сложным является способ идентификации пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунков линий руки, радужной оболочки глаз и др.

    Шифрование данных -- это обеспечение секретности методами криптографии, т. е. методами преобразования данных из общепринятой формы в кодированную (шифрование) и обратного преобразования (дешифрования) на основе правил, известных только взаимодействующим абонентам сети. Криптография применяется для защиты передаваемых данных, а также информации, хранимой в базах данных, на магнитных и оптических дисках и т. д.

    К криптографическим средствам предъявляются требования сохранения секретности, даже когда известна сущность алгоритмов шифрования -- дешифрования. Секретность обеспечивается введением в алгоритмы специальных ключей (кодов). Зашифрованный текст превращается в исходный только в том случае, когда в процессе шифрования и дешифрования используется один и тот же ключ. Область значений ключа выбирается столь большой, что практически исключается возможность его определения путем простого перебора.

    Классификация мер по защите информации

    В настоящее время виды компьютерных преступлений чрезвычайно многообразны. Все меры противодействия компьютерным преступлениям можно под­разделить на:

    · Нормативно-правовые

    · Морально-этические

    · Организационные

    · Технические.

    Нормативно-правовые - включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные от­ношения в обществе. К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав про­граммистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы обще­ственного контроля за разработчиками компьютерных систем и принятие со­ответствующих международных договоров об их ограничениях, если они вли­яют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение. Только в последние годы появились работы по проблемам правовой борьбы с компьютерными преступлениями.

    Морально-этические - правила и нормы поведения, направленные на обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения.

    Организационные - правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих, казалось бы триви­альных правил, установка любых, даже самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не ре­шены на должном уровне организационные вопросы. Меры обеспечения сохранности и защиты информации на каждом пред­приятии или фирме различаются по своим масштабам и формам. Они зависят от производственных, финансовых и других возможностей фирмы. Наличие большого количества уязвимых мест на любом современном пред­приятии или фирме, широкий спектр угроз и довольно высокая техническая оснащенность злоумышленников требует обоснованного выбора специальных решений по защите информации. Основой таких решений можно считать:

    · Применение научных принципов в обеспечении информацион­ной безопасности, включающих в себя: законность, экономичес­кую целесообразность и прибыльность, самостоятельность и ответственность, научную организацию труда, тесную связь тео­рии с практикой, специализацию и профессионализм, программ­но-целевое планирование, взаимодействие и координацию, до­ступность в сочетании с необходимой конфиденциальностью

    · Принятие правовых обязательств со стороны сотрудников пред­приятия в отношении сохранности доверенных им сведений (ин­формации)

    · Создание таких административных условий, при которых исключается возможность кражи, хищения или искажения информа­ции

    Для надежной защиты конфиденциальной информации целесообразно при­менять следующие организационные мероприятия:

    · Определение уровней (категорий) конфиденциальности защи­щаемой информации

    · Выбор принципов (локальный, объектовый или смешанный) ме­тодов и средств защиты

    · Установление порядка обработки защищаемой информации

    · Учет пространственных факторов: введение контролируемых (охраняемых) зон правильный выбор помещений и расположение объектов меж­ду собой и относительно границ контролируемой зоны

    · Учет временных факторов: ограничение времени обработки защищаемой информации доведение времени обработки информации с высоким уровнем конфиденциальности до узкого круга лиц

    Технические средства - комплексы специального технического и про­граммного обеспечения, предназначенные для предотвращения утечки об­рабатываемой или хранящейся у вас информации путем исключения не­санкционированного доступа к ней с помощью технических средств съема. Технические методы защиты информации подразделяются на аппарат­ные, программные и аппаратно-программные.

    Для блокирования возможных каналов утечки информации через тех­нические средства обеспечения производственной и трудовой деятельнос­ти с помощью специальных технических средств и создания системы защи­ты объекта по ним необходимо осуществить ряд мероприятий:

    · специфические особенности расположения зданий, помещений в зданиях, территорию вокруг них и подве­денные коммуникации

    · Выделить те помещения, внутри которых циркулирует конфиден­циальная информация и учесть используемые в них техничес­кие средства

    Осуществить такие технические мероприятия:

    · проверить используемую технику на соответствие величины побочных излучений допустимым уровням экранировать помещения с техникой или эту технику в поме­щениях

    · перемонтировать отдельные цепи, линии, кабели использовать специальные устройства и средства пассивной и активной защиты.

    Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудно­стью в ее создании является то, что она одновременно должна удовлетво­рять двум группам прямо противоположных требований:

    · Обеспечивать надежную защиту информации

    · Не создавать заметных неудобств сотрудникам и особенно кли­ентам.

    Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглаше­ния информации, циркулирующей в определенном носителе.

    Защита компьютера

    В персональном компьютере в качестве вычислительных ресурсов выступают оперативная память, процессор, встроенные накопители на жестких или гибких магнитных дисках, клавиатура, дисплей, принтер, пе­риферийные устройства. Защита оперативной памяти и процессора предусматривает контроль за появлением в оперативной памяти так называемых ре­зидентных программ, защиту системных данных, очистку остатков секретной информации в неиспользуемых областях памяти. Для этого достаточно иметь в своем распоряжении программу просмотра оперативной памяти для конт­роля за составом резидентных программ и их расположением.

    Гораздо важнее защита встроенных накопителей. Существуют несколь­ко типов программных средств, способных решать эту задачу:

    Защита диска от записи и чтения

    Контроль за обращениями к диску

    Средства удаления остатков секретной информации.

    Но самый надежный метод защиты, безусловно, шифрование, так как в этом случае охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи дискеты). Однако в ряде случаев использование шифрования затруднитель­но либо невозможно, поэтому необходимо использовать оба метода в со­вокупности. Большинство средств защиты реализуются в виде программ или пакетов программ, расширяющих возможности стандартных операци­онных систем, а также систем управления базами данных. Более подробно о защите компьютерной информации рассказано в следующих главах.



    Методы и средства защиты информации в каналах связи

    Безопасность связи при передаче речевых сообщений основывается на использовании большого количества различных методов закрытия сооб­щений, меняющих характеристики речи таким образом, что она становит­ся неразборчивой и неузнаваемой для подслушивающего лица, перехватив­шего закрытое сообщение. При этом оно занимает ту же полосу частот, что и открытый сигнал. Выбор методов закрытия зависит от вида конкрет­ного применения и технических характеристик канала передачи.

    В зависимости от спектра передачи речевых сигналов методы защиты речевых сигналов в узкополосных каналах разделяют на следующие виды:

    · Аналоговое скремблирование

    · Маскирование сигнала специальной заградительной помехой

    · Дискретизация речи с последующим шифрованием.

    При аналоговом скремблировании изменяется характеристика речево­го сигнала, в результате чего образуется модулированный сигнал, облада­ющий свойствами неразборчивости и неузнаваемости. Полоса частот спек­тра преобразованного сигнала остается такой же, как и исходного. Анало­говое скремблирование осуществляется на базе временной и/или частотной перестановок отрезков речи.

    За счет временных перестановок преобразованное сообщение кодиру­ется, при этом расширяется спектр. Искажения спектра в узкополосном канале определяют потери в восстановленном сообщении. Аналогично, пе­рестановки отрезков спектра при частотном скремблировании приводят к интермодуляционным искажениям восстанавливаемого сообщения.

    Маскирование речевого сигнала основано на формировании аддитивной заградительной помехи с последующим ее выделением и компенсацией на при­емной стороне. Как правило, этот метод используется в сочетании с простей­шим скремблированием (наложением мультипликативной помехи на сигнал).

    Метод дискретизации речи с последующим шифрованием предполагает передачу основных компонентов речевого сигнала путем преобразования их в цифровой поток данных, который смешивается с псевдослучайной пос­ледовательностью. Полученное таким образом закрытое сообщение с по­мощью модема передается в канал связи.

    В цифровых системах компоненты речи преобразуются в цифровой поток. Дальнейшие операции преобразования включают перестановку, скремблиро­вание псевдослучайной последовательностью, временное запаздывание.

    Цифровая подпись

    Для решения задачи аутентификации информации Диффи и Хеллманом в 1976 г. предложена концепция аутентификации на основе «цифровой подписи». Она заключается в том, что каждый пользователь сети имеет свой секретный ключ, необходимый для формирования подписи, соответствующий этому секретному ключу открытый ключ, предназначенный для проверки подписи, известен всем другим пользователям сети. В предложенной схеме цифровая подпись вычисляется на основе защищаемого сообщения и секретного ключа конкретного пользователя, являющегося отправителем этого сообщения. Каждый пользователь, имеющий соответствующий открытый ключ, может аутентифицировать сообщение по подписи. Кроме того, знание открытого ключа не позволяет подделать подпись. Такие схемы аутентификации называются асимметричными.

    Вне зависимости от используемого алгоритма схема цифровой подписи включает две процедуры: процедуру формирования подписи и процедуру проверки, существенной особенностью которых является следующее. При выполнении процедуры формирования подписи используется секретный ключ, известный только лицу, осуществляющему эту процедуру. При выполнении процедуры проверки используется открытый ключ. Только в этом случае арбитр, разрешая возникший спор, может убедиться, что именно тот, кто владеет соответствующим ключом, произвел данную подпись.

    Основная область применения цифровой подписи - это информационные системы, в которых отсутствует взаимное доверие сторон (финансовые системы, системы контроля за соблюдением международных договоров, например договора о контроле за ядерными испытаниями и т.д.). Возможно применение схем цифровой подписи для создания «электронного нотариуса» с целью обеспечения охраны авторских прав на программные изделия. Что же касается цифровой подписи, то:

    1. Каждый человек использует для подписи документов свой секретный уникальный ключ.

    2. Любая попытка подписать документ без знания соответствующего секретного ключа практически не имеет успеха.

    3. Цифровая подпись документа есть функция содержания этого документа и секретного ключа. Цифровая подпись может передаваться отдельно от документа.

    4. Копия подписанного цифровым способом документа не отличается от его оригинала (нет проблемы подписи каждой копии).

    Методы построения цифровой подписи

    Наиболее часто для построения схемы цифровой подписи используется алгоритм RSA. Схема цифровой подписи, основанная на алгоритме RSA, заключается в следующем. Допустим, пользователь А желает передать несекретное сообщение Х пользователю В, предварительно его подписав. Для этого он, используя секретный ключ d, вычисляет подпись у

    И посылает (Х.у). Получатель В имеющий соответствующий открытый ключе, получив (Х.у) проверяет равенство

    И сравнивает результат этого вычисления с X. В случае совпадения полученное сообщение считается подлинным. Длина подписи в этом случае равна длине сообщения, что не всегда удобно.

    Другие методы основаны на формировании соответствующей сообщению контрольной комбинации с помощью классических криптоалгоритмов или так называемых «односторонних функций сжатия».

    Примером таких методов являются:

    1. Метод MAC (Message Authentication Codes). В нем формируется контрольная комбинация от документа (сообщения или файла) в виде свертки данного документа с секретным ключом на основе классического алгоритма типа DES.

    2. Метод MDS (Manipulation Detection Codes). Метод основан на использовании кодов, обнаруживающих обман. Производится вычисление контрольной комбинации от документа на основе использования односторонней (полислучайной) функции сжатия.

    Какой метод считать лучшим, определяется из конкретных условий работы. Для коротких сообщений типа платежных поручений или квитанций подтверждения приема, наверное лучше использовать алгоритм RSA. Для контроля целостности больших объемов информации предпочтительней методы аутентификации на основе блочных алгоритмов.

    Сравним цифровую подпись с обычной подписью. С помощью обычной подписи всегда можно доказать авторство, потому, что:

    1. У каждого человека свой только ему присущий почерк, который характеризуется определенным написанием букв, давлением на ручку и т.д.

    2. Попытка подделки подписи обнаруживается с помощью графологического анализа

    3. Подпись и подписываемый документ передаются только вместе на одном листе бумаги. Ситуаций, когда подпись передается отдельно от документа, не существует. При этом подпись не зависит от содержания документа, на котором она поставлена.

    4. Копии подписанного документа недействительны, если они не имеют своей настоящей (а не скопированной) подписи.

    Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных, то есть во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.

    Используемые пароли можно подразделить на семь основных групп:

    Пароли, устанавливаемые пользователем

    Пароли, генерируемые системой

    Случайные коды доступа, генерируемые системой

    Полуслова

    Ключевые фразы

    Интерактивные последовательности типа «вопрос - ответ» ;

    «Строгие» пароли.

    Первая группа является наиболее распространенной. Большинство таких паролей относятся к типу «выбери сам». Для лучшей защиты от несанкционированного доступа необходимо использовать достаточно длинный пароль, поэтому обычно система запрашивает пароль, содержащий не менее четырех-пяти букв. Существуют также и другие меры, не позволяющие пользователю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и заглавные буквы вперемешку с цифрами; заведомо очевидные пароли, например, internet, ею отвергаются. В разных операционных системах существует немало программ, которые просматривают файлы, содержащие пароли, анализируют пароли пользователей и опре­деляют, насколько они секретны. Неподходящие пароли заменяются.

    Когда человек впервые загружает компьютер, и тот запрашивает у него пароль, этот пароль наверняка окажется вариантом одной из общих и акту­альных для всех тем - особенно если у пользователя не хватает времени. Представьте себе состояние человека, когда его просят придумать собственный секретный пароль. Как бы то ни было, стоит запросу появиться на экра­не монитора, и человека посещает мысль о том, что надо немедленно что-то предпринимать. Не считая гениев и безнадежных тупиц, все люди, когда надо принимать быстрые решения, мыслят и действуют примерно одинаково. Им требуется время, чтобы начать мыслить творчески, поэтому начальные пред­положения и первые умозаключения в определенных группах людей оказы­ваются одинаковыми. И пользователи выдают первое, что приходит им в го­лову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. В такой ситуации пароль создается в спешке, а последующая его замена на более надежный происходит достаточно редко. Таким образом, многие пароли, созданные пользователями, могут быть раскрыты достаточно быстро.

    Случайные пароли и коды, устанавливаемые системой, могут быть не­скольких разновидностей. Системное программное обеспечение может ис­пользовать полностью случайную последовательность символов - вплоть до случайного выбора регистров, цифр, пунктуации длины; или же исполь­зовать в генерирующих процедурах ограничения. Создаваемые компьюте­ром пароли могут также случайным образом извлекаться из списка обыч­ных или ничего не значащих слов, созданных авторами программы, кото­рые образуют пароли вроде onah.foopn, или ocar-back-treen.

    Полуслова частично создаются пользователем, а частично - каким-либо случайным процессом. Это значит, что если даже пользователь придумает легкоугадываемый пароль, например, «абзац», компьютер дополнит его ка­кой-нибудь неразберихой, образовав более сложный пароль типа «абзац,3ю37».

    Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа «мы были обеспокоены этим», или не иметь смысла - «ловящий рыбу нос». Следу­ет заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз. К концепции клю­чевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются «мбоэ» и «лрн». Подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.

    Интерактивные последовательности «вопрос - ответ», предлагают пользователю ответить на несколько вопросов, как правило, личного пла­на: «Девичья фамилия вашей матери?», «Ваш любимый цвет?», и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с «пра­вильными». Системы с использованием «вопросов - ответов» склонны прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, чтобы подтвердить его право пользоваться системой. В настоящее время такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.

    «Строгие» пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством. В этом случае компьютер обыч­но с простодушным коварством предлагает несколько вариантов приглашений, а пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми кодами. Одноразовые коды - это паро­ли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным кли­ентам возможности системы. Они также порой применяются при первом вхож­дении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соответствующий времени, дате или дню недели.

    Итак, для того, чтобы пароль был действительно надежен, он должен отвечать определенным требованиям:

    Быть определенной длины

    Включать в себя как прописные, так и строчные буквы

    Включать в себя одну и более цифр,

    Включать в себя один нецифровой и один неалфавитный символ.

    Электронные ключи

    Для борьбы с компьютерным пиратством наряду со специальными программными средствами используются и аппаратно-программные средства. Они базируются на применении электронных устройств, подключаемых либо к внутренней шине компьютера, либо к его наружным разъемам. Если оценивать степень надежности защиты объемом трудозатрат, необходимых для ее «взлома», то аппаратно-программные средства «прочнее» чисто программных.

    Действительно, для вскрытия такой защиты недостаточно распутать ухищрения в программе. Необходимо восстановить протоколы и содержание обмена программ с дополнительной аппаратурой. Решение этих задач требует, как правило, применения специальных аппаратных средств типа логических анализаторов.

    Электронный ключ - это компактный прибор, который подсоединяется к параллельному или последовательному портам компьютера и не влияет на взаимодействие компьютера с внешними устройствами. Идея защиты с использованием электронного ключа состоит в применении в защищаемой программе специального алгоритма взаимодействия с ключом, который не позволяет исполнять программу без него. В этом случае каждый экземпляр программы поставляется вместе с электронным ключом. Критерии оценки качества электронного ключа: ключ должен представлять собой некоторый генератор функций, а не просто память для констант; ключ должен быть выполнен на базе заказной интегральной схемы, что исключает возможность его законного воспроизведения.

    Электронные ключи могут использоваться для решения следующих задач:

    • защита программ от несанкционированного распространения;
    • защита данных от раскрытия содержащейся в них информации;
    • защита компьютеров от доступа к ним посторонних лиц

    1. Защита программ осуществляется двумя способами. Первый способ (назовем его ручным) состоит во встраивании самим разработчиком в свою программу фрагментов, взаимодействующих с электронным ключом. Второй способ основан на автоматическом включении в защищаемый файл обменов с ключом. В этом случае поставляемая вместе с ключом специальная программа автоматически обрабатывает исполняемые файлы таким образом, что без ключа они оказываются неработоспособными. Преимуществом автоматической защиты перед ручной является практически нулевая трудоемкость этой процедуры. Кроме того, программа автоматической защиты создается высококвалифицированными специалистами, что обеспечивает ее большую надежность.

    2. Защита данных от раскрытия содержащейся в них информации достигается путем шифрования. Существуют достаточно эффективные методы шифрования, например алгоритм DES. Однако надежность шифрования не может быть выше надежного хранения и передачи шифровального ключа. В этом случае шифровальный ключ не надо запоминать или записывать и, что очень важно, вводить в компьютер с клавиатуры. Хранящиеся в компьютере данные могут быть дешифрованы только при наличии ключа. Кроме того, для повышения надежности сама программа шифрования - дешифрования может быть защищена с помощью того же самого ключа.

    3. Защита компьютера от посторонних лиц предполагает загрузку операционной системы только для санкционированных пользователей, а также обеспечение доступа каждого пользователя только к выделенным ресурсам, среди которых могут быть логические диски, каталоги и отдельные файлы. Реализация такой защиты связана с идентификацией пользователей. Для этого могут быть использованы электронные ключи. При этом возможны два подхода.

    Первый подход предполагает, что каждый санкционированный пользователь имеет в своем распоряжении уникальный электронный ключ. Распознавание пользователя осуществляется без ввода каких-либо паролей после подсоединения ключа к разъему. В этом случае можно утверждать, что ключ к тайнам пользователя хранится у них в кармане. Но, если компьютер эксплуатируется в организации, то администрация, как правило, желает иметь доступ ко всем файлам и контролировать работу всех пользователей. Для этого необходимо иметь хотя бы по два одинаковых набора ключей, причем один набор хранится у руководителя организации.

    Второй подход обеспечивает снижение стоимости защиты за счет того, что используется только один ключ для всех пользователей. Ключом распоряжается администратор системы, назначаемый руководством организации. Загрузка операционной системы возможна только при подсоединенном ключе. Идентификация пользователей осуществляется путем ввода паролей.


    Под целостностью данных понимается система правил Microsoft Access, позволяющих при изменении одних объектов автоматически изменять все связанные с ними объекты и обеспечивать защиту от случайного удаления или изменения связанных данных.

    Список значений может быть задан либо фиксированным набором зна­чений, которые вводятся пользователем при создании поля, либо спис­ком значений из ссылочной таблицы или запроса.

    Индекс - средство Microsoft Access, ускоряющее поиск и сортировку в таблице. Ключевое поле таблицы индексируется автоматически. Не допускается создание индексов для полей типа MEMO и «Гипер­ссылка» или полей объектов OLE.

    Уникальный индекс - индекс, определенный для свойства Индекси­рованное поле значением «Да (Совпадения не допускаются)». При этом ввод в индексированное поле повторяющихся значений становится невозможным. Для ключевых полей уникальный индекс создается автоматически.

    Похожие статьи
     
    Категории
    Видеоматериалы
    Популярное
    Новое