Исследование проблем защиты информации в информатике и программировании
Содержание:
Введение
В настоящее время аспекты защиты информации составляющей коммерческую тайну приобретают особую важность для хозяйствующих субъектов и государственных организаций. Современные информационные технологии безусловно делают процесс управления предприятием более эффективным, однако они в свою очередь порождают ряд специфических угроз и уязвимостей. Высокая степень автоматизации информационных систем ставит бизнес в зависимость от уровня безопасности используемых вычислительных средств. Угрозы информационной безопасности – это оборотная сторона использования информационных технологий. Таким образом, информационная безопасность зачастую определяет безопасность всей фирмы и бизнеса в целом. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.
В США вопросами информационной безопасности занимается Форум по проблемам безопасности национальной информационной инфраструктуры (National Information Infrastructure Security Issues Forum). Форум является частью Группы по информационной инфраструктуре (Information Infrastructure Task Force), образованной Вице-президентом США Гором для реализации политики президентской администрации в отношении национальной информационной инфраструктуры.
В последнее время отмечается большая международная активность в вопросе стандартизации способов и методов обеспечения безопасности данных в телекоммуникационных системах.
Словосочетание информационная безопасность является переводом на русский язык английского термина information security. Вторым исторически устоявшимся переводом того же термина является — защита информации.
В Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» используется в широком смысле, как состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ «Об участии в международном информационном обмене» информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
В настоящем учебном пособии термин «информационная безопасность» будет использоваться в более узком смысле (как это принято в англоязычных литературных источниках). Под информационной безопасностью будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Таким образом, применительно к хозяйствующему субъекту, информационную безопасность можно определить как состояние защищенности информационной среды предприятия, а термин «защита информации» будет означать деятельность по предотвращению утечки защищаемой информации, повреждения информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Важно отдавать себе отчет, что информационная безопасность достаточно широкое понятие, которое никогда не сводится исключительно к защите от несанкционированного доступа к информации. Поскольку для построения надежной системы защиты данных в информационных технологиях требуются значительные материальные и финансовые затраты для решения проблем безопасности необходимо не просто разрабатывать частные механизмы защиты информации, а использовать целый комплекс мер, т.е. использовать специальные средства, методы и мероприятия с целью предотвращения потери данных.
Разбор проблем, угроз и задач информационной безопасности должен быть комплексным, целесообразно включить в рассмотрение все субъекты информационных отношений, связанные с использованием информационных систем (ИС).
Глава 1. Проблемы защиты информации в компьютерных системах.
Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации, циркулирующей в компьютерных системах, от несанкционированного доступа. Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних нарушителей, так и со стороны внутренних нарушителей.
Радикальное решение проблем защиты электронной информации может быть получено только на базе использования криптографических методов, которые позволяют решать важнейшие проблемы защищённой автоматизированной обработки и передачи данных. При этом современные скоростные методы криптографического преобразования позволяют сохранить исходную производительность автоматизированных систем. Криптографические преобразования данных являются наиболее эффективным средством обеспечения конфиденциальности данных, их целостности и подлинности. Только их использование в совокупности с необходимыми техническими и организационными мероприятиями могут обеспечить защиту от широкого спектра потенциальных угроз.
Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:
· перехват информации – целостность информации сохраняется, но её конфиденциальность нарушена;
· модификация информации – исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;
· подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web – сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.
Потребности современной практической информатики привели к возникновению нетрадиционных задач защиты электронной информации, одной из которых является аутентификация электронной информации в условиях, когда обменивающиеся информацией стороны не доверяют друг другу. Эта проблема связана с созданием систем электронной цифровой подписи. Теоретической базой для решения этой проблемы явилось открытие двухключевой криптографии американскими исследователями Диффи и Хемиманом в середине 1970-х годов, которое явилось блестящим достижением многовекового эволюционного развития криптографии. Революционные идеи двухключевой криптографии привели к резкому росту числа открытых исследований в области криптографии и показали новые пути развития криптографии, новые её возможности и уникальное значение её методов в современных условиях массового применения электронных информационных технологий.
Технической основой перехода в информационное общество являются современные микроэлектронные технологии, которые обеспечивают непрерывный рост качества средств вычислительной техники и служат базой для сохранения основных тенденций её развития – миниатюризации, снижения электропотребления, увеличения объёма оперативной памяти (ОП) и ёмкости встроенных и съёмных накопителей, роста производительности и надёжности, расширение сфер и масштабов применения. Данные тенденции развития средств вычислительной техники привели к тому, что на современном этапе защита компьютерных систем от несанкционированного доступа характеризуется возрастанием роли программных и криптографических механизмов защиты по сравнению с аппаратными.
Возрастание роли программных и криптографических средств зашит проявляется в том, что возникающие новые проблемы в области защиты вычислительных систем от несанкционированного доступа, требуют использования механизмов и протоколов со сравнительно высокой вычислительной сложностью и могут быть эффективно решены путём использования ресурсов ЭВМ.
Одной из важных социально-этических проблем, порождённых всё более расширяющимся применением методов криптографической защиты информации, является противоречие между желанием пользователей защитить свою информацию и передачу сообщений и желанием специальных государственных служб иметь возможность доступа к информации некоторых других организаций и отдельных лиц с целью пресечения незаконной деятельности. В развитых странах наблюдается широкий спектр мнений о подходах к вопросу о регламентации использования алгоритмов шифрования. Высказываются предложения от полного запрета широкого применения криптографических методов до полной свободы их использования. Некоторые предложения относятся к разрешению использования только ослабленных алгоритмов или к установлению порядка обязательной регистрации ключей шифрования. Чрезвычайно трудно найти оптимальное решение этой проблемы. Как оценить соотношение потерь законопослушных граждан и организаций от незаконного использования их информации и убытков государства от невозможности получения доступа к зашифрованной информации отдельных групп, скрывающих свою незаконную деятельность? Как можно гарантированно не допустить незаконное использование криптоалгоритмов лицами, которые нарушают и другие законы? Кроме того, всегда существуют способы скрытого хранения и передачи информации. Эти вопросы ещё предстоит решать социологам, психологам, юристам и политикам.
Возникновение глобальных информационных сетей типа INTERNET является важным достижением компьютерных технологий, однако, с INTERNET связана масса компьютерных преступлений.
Результатом опыта применения сети INTERNET является выявленная слабость традиционных механизмов защиты информации и отставания в применении современных методов. Криптография предоставляет возможность обеспечить безопасность информации в INTERNET и сейчас активно ведутся работы по внедрению необходимых криптографических механизмов в эту сеть. Не отказ от прогресса в информатизации, а использование современных достижений криптографии – вот стратегически правильное решение. Возможность широкого использования глобальных информационных сетей и криптографии является достижением и признаком демократического общества.
Владение основами криптографии в информационном обществе объективно не может быть привилегией отдельных государственных служб, а является насущной необходимостью для самих широких слоёв научно-технических работников, применяющих компьютерную обработку данных или разрабатывающих информационные системы, сотрудников служб безопасности и руководящего состава организаций и предприятий. Только это может служить базой для эффективного внедрения и эксплуатации средств информационной безопасности.
Одна отдельно взятая организация не может обеспечить достаточно полный и эффективный контроль за информационными потоками в пределах всего государства и обеспечить надлежащую защиту национального информационного ресурса. Однако, отдельные государственные органы могут создать условия для формирования рынка качественных средств защиты, подготовки достаточного количества специалистов и овладения основами криптографии и защиты информации со стороны массовых пользователей.
В России и других странах СНГ в начале 1990-х годов отчётливо прослеживалась тенденция опережения расширения масштабов и областей применения информационных технологий над развитием систем защиты данных. Такая ситуация в определённой степени являлась и является типичной и для развитых капиталистических стран. Это закономерно: сначала должна возникнуть практическая проблема, а затем будут найдены решения. Начало перестройки в ситуации сильного отставания стран СНГ в области информатизации в конце 1980-х годов создало благодатную почву для резкого преодоления сложившегося разрыва.
Пример развитых стран, возможность приобретения системного программного обеспечения и компьютерной техники вдохновили отечественных пользователей. Включение массового потребителя, заинтересованного в оперативной обработке данных и других достоинствах современных информационно-вычислительных систем, в решении проблемы компьютеризации привело к очень высоким темпам развития этой области в России и других странах СНГ. Однако, естественное совместное развитие средств автоматизации обработки информации и средств защиты информации в значительной степени нарушилось, что стало причиной массовых компьютерных преступлений. Ни для кого не секрет, что компьютерные преступления в настоящее время составляют одну из очень актуальных проблем.
Использование систем защиты зарубежного производства не может выправить этот перекос, поскольку поступающие на рынок России продукты этого типа не соответствуют требованиям из-за существующих экспортных ограничений, принятых в США – основном производителе средств защиты информации. Другим аспектом, имеющим первостепенное значение, является то, что продукция такого типа должна пройти установленную процедуру сертифицирования в уполномоченных на проведение таких работ организациях.
Сертификаты иностранных фирм и организаций, никак не могут быть заменой отечественным. Сам факт использования зарубежного системного и прикладного программного обеспечения создаёт повышенную потенциальную угрозу информационным ресурсам. Применение иностранных средств защиты без должного анализа соответствия выполняемым функциям и уровня обеспечиваемой защиты может многократно осложнить ситуацию.
Форсирование процесса информатизации требует адекватного обеспечения потребителей средствами защиты. Отсутствие на внутреннем рынке достаточного количества средств защиты информации, циркулирующей в компьютерных системах, значительное время не позволяло в необходимых масштабах осуществлять мероприятия по защите данных. Ситуация усугублялась отсутствием достаточного количества специалистов в области защиты информации, поскольку последние, как правило, готовились только для специальных организаций. Реструктурирование последних, связанное с изменениями, протекающими в России, привело к образованию независимых организаций, специализирующихся в области защиты информации, поглотивших высвободившиеся кадры, и как следствие возникновению духа конкуренции, приведшей к появлению в настоящее время достаточно большого количества сертифицированных средств защиты отечественных разработчиков.
Одной из важных особенностей массового использования информационных технологий является то, что для эффективного решения проблемы защиты государственного информационного ресурса необходимо рассредоточение мероприятий по защите данных среди массовых пользователей. Информация должна быть защищена в первую очередь там, где она создаётся, собирается, перерабатывается и теми организациями, которые несут непосредственный урон при несанкционированном доступе к данным. Этот принцип рационален и эффективен: защита интересов отдельных организаций – это составляющая реализации защиты интересов государства в целом.
1.1 Защита информации и прав субъектов в области информационных процессов и информатизации
1.1.1 Цели защиты
Целями защиты являются:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
1.1.2 Защита информации
1. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Режим защиты информации устанавливается:
в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";
в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
в отношении персональных данных - федеральным законом.
2. Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.
3. Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.
4. Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.
5. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.
6. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.
1.1.3 Права и обязанности субъектов в области защиты информации
1. Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с настоящим Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.
2. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.
3. Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.
Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.
4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.
5. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.
1.1.4 Защита прав субъектов в сфере информационных процессов и информатизации
1. Защита прав субъектов в сфере формирования информационных ресурсов, пользования информационными ресурсами, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.
2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.
3. За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.
Для рассмотрения конфликтных ситуаций и зашиты прав участников в сфере формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения могут создаваться временные и постоянные третейские суды.
Третейский суд рассматривает конфликты и споры сторон в порядке, установленном законодательством о третейских судах.
4. Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возлагается на органы государственной власти, организации и граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров, ратифицированных Российской Федерацией.
1.1.5 Защита права на доступ к информации
1. Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке.
Неисполнение или ненадлежащее исполнение обязательств по договору поставки, купли - продажи, по другим формам обмена информационными ресурсами между организациями рассматриваются арбитражным судом.
Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понесенного ими ущерба.
2. Суд рассматривает споры о необоснованном отнесении информации к категории информации с ограниченным доступом, иски о возмещении ущерба в случаях необоснованного отказа в предоставлении информации пользователям или в результате других нарушений прав пользователей.
3. Руководители, другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.
Глава 2. Методы и средства защиты информации в экономических информационных системах
При разработке АИТ возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информационных систем. Современные АИТ обладают следующими основными признаками: Содержат информацию различной степени конфиденциальности;
• при передаче данных имеют криптографическую защиту информации различной степени конфиденциальности;
• отражают иерархичность полномочий субъектов, открывают доступ к программам, к АРМ, файл-серверам, каналам связи и информации системы; необходимость оперативного изменения этих полномочий;
• организуют обработку информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени;
• обеспечивают управление потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;
• регистрируют и учитывают попытки несанкционированного доступа, события в системе и документах, выводимых на печать;
• обеспечивают целостность программного продукта и информации в АИТ;
• устанавливают наличие средств восстановления системы защиты информации, а также обязательный учет магнитных носителей;
• создают условия для физической охраны средств вычислительной техники и магнитных носителей. Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ. Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии проводятся следующие действия:
• устанавливается наличие конфиденциальной информации в разрабатываемой АИТ, оцениваются уровень конфиденциальности и объёмы такой информации;
• определяются режимы обработки информации (диалоговый, телеобработки и реального времени), состав комплекса технических средств, общесистемные программные средства и т. д.;
• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
• определяется степень участия персонала, функциональных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
• вводятся мероприятия по обеспечению режима секретности на стадии разработки системы.
Среди организационных мероприятий по обеспечению безопасности информации важное место принадлежит охране объекта, на котором расположена защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к АИТ и линиям связи. Функционирование системы защиты информации от несанкционированного доступа как комплекса программно-технических средств и организационных (процедурных) решений предусматривает:
• учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;
• ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
• оперативный контроль за функционированием систем защиты секретной информации;
• контроль соответствия общесистемной программной среды эталону;
• приемку включаемых в АИТ новых программных средств;
• контроль за ходом технологического процесса обработки финансово-кредитной информации путём регистрации анализа действий пользователей;
• сигнализацию опасных событий и т. д.
Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации, какими бы совершенными эти программно-технические средства ни были.
Создание базовой системы защиты информации в АИТ основывается на следующих принципах:
1. Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программных аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных систем защиты.
2. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям предоставляется минимум строго определённых полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.
3. Полнота контроля и регистрации попыток несанкционированного доступа, то есть необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в АИТ без её предварительной регистрации.
4. Обеспечение надежности системы защиты, то есть невозможность снижения её уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.
5. Обеспечение контроля за функционированием системы защиты, то есть создание средств и методов контроля работоспособности механизмов защиты.
6. Прозрачность системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ.
7. Экономическая целесообразность использования системы защиты. Он выражается в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты информации.
К основным средствам защиты, используемым для создания механизма защиты, относятся следующие. Технические средства представляют электрические, электромеханические и электронные устройства. Вся совокупность указанных средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.
Физическими средствами являются автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации и др.). Программные средства — это программное обеспечение, специально предназначенное для выполнения функций защиты информации. Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций.
Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах её жизненного цикла (проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытание, эксплуатация). Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Подобные нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США.
Законодательные средства защиты определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил. Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) «неформальные» (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность). Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.
Сущность криптографических методов заключается в следующем. Готовое к передаче сообщение — будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным, текстом (сообщением). В процессе передачи такого сообщения по незащищенным каналам связи оно может быть легко перехвачено или отслежено подслушивающим лицом посредством умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в шифрограмму, или закрытый текст.
Санкционированный пользователь, получив сообщение, дешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст. Метод преобразования в криптографической системе определяется используемым специальным алгоритмом, действие которого определяется уникальным числом или битовой последовательностью, обычно называемым шифрующим ключом. Шифрование может быть симметричным и асимметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования — другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.
Наряду с шифрованием внедряются следующие механизмы безопасности:
• цифровая (электронная) подпись;
• контроль доступа;
• обеспечение целостности данных;
• обеспечение аутентификации;
• постановка графика;
• управление маршрутизацией;
• арбитраж или освидетельствование.
Механизмы цифровой подписи основываются на алгоритмах асимметричного шифрования и включают две процедуры: формирование подписи отправителем и её опознавание (верифи- кацию) получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической, контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.
Механизмы контроля доступа осуществляют проверку полномочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных точках, а также в конечной точке.
Механизмы обеспечения целостности данных применяются к отдельному блоку и к потоку данных. Целостность блока является необходимым, но не достаточным условием целостности потока и обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает её с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке.Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков. Механизмы постановки графика, называемые также механизмами заполнения текста, используются для засекречивания погода данных. Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Тем самым нейтрализуется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам связи.
Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным) физически ненадежным каналам. Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами АИТ, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики. В АИТ при организации безопасности данных используется комбинация нескольких механизмов.
Глава 3. Виды угроз безопасности ЭИС
Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения её безопасности.
Меры безопасности направлены на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемой информации.
Зарубежные публикации последних лет показывают, что возможности злоупотреблений информацией, передаваемой по каналам связи, развивались и совершенствовались не менее интенсивно, чем средства их предупреждения.
В этом случае для защиты информации требуется не просто разработка частных механизмов защиты, а организация комплекса мер, то есть использование специальных средств, методов и мероприятий с целью предотвращения потери информации.
В этом смысле сегодня рождается новая современная технология — технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Несмотря на предпринимаемые дорогостоящие методы, функционирование компьютерных информационных систем выявило наличие слабых мест в защите информации.
Неизбежным следствием стали постоянно увеличивающиеся расходы и усилия на защиту информации. Однако для того, чтобы принятые меры оказались эффективными, необходимо определить, что такое угроза безопасности информации, выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным. Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Угрозы принято делить на случайные, или непреднамеренные, и умышленные.
Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации и т. п. Умышленные угрозы преследуют цель нанесения ущерба пользователям АИТ и, в свою очередь, подразделяются на активные и пассивные, Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.
Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или её операционной системы, искажение сведений в базах данных либо в системной информации и т. д.
Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т. п. К основным угрозам и безопасности информации относят:
• раскрытие конфиденциальной информации;
• компрометация информации;
• несанкционированное использование информационных ресурсов;
• ошибочное использование ресурсов;
• несанкционированный обмен информацией;
• отказ от информации;
• отказ от обслуживания.
Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т. п. В любом случае получение информации, являющейся достоянием некоторого лица (группы лиц), другими лицами наносит её владельцам существенный ущерб.
Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего её потребитель вынужден либо отказаться от неё, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими последствиями. Несанкционированное использование информационных ресурсов, с одной стороны, является средством раскрытия или компрометации информации, а с другой — имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, может нанести определённый ущерб абонентам и администрации.
Этот ущерб может варьировать в широких пределах — от сокращения поступления финансовых средств до полного выхода АИТ из строя. Ошибочное использование информационных ресурсов, будучи санкционированным, тем не менее может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок в программном обеспечении АИТ. Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию содержания маркетинговой информации. Отказ от информации состоит в непризнании получателем или отправителем информации фактов её получения или отправки.
В условиях маркетинговой деятельности это, в частности, позволяет одной из сторон расторгать заключенные финансовые соглашения «техническим» путём, формально не отказываясь от них и нанося тем самым второй стороне значительный ущерб. Отказ в обслуживании представляет собой весьма существенную и распространенную угрозу, источником которой является сама АИТ. Подобный отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов абоненту может привести к тяжелым для него последствиям. Так, отсутствие у пользователя данных, необходимых для принятия решения, в течение периода, когда это решение ещё может быть эффективно реализовано, может стать причиной его нерациональных или даже антимонопольных действий.
Основными типовыми путями несанкционированного доступа к информации, сформулированными на основе анализа зарубежной печати, являются:
• перехват электронных излучений;
• принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции;
• применение подслушивающих устройств (закладок);
• дистанционное фотографирование;
• перехват акустических излучений и восстановление текста принтера;
• хищение носителей информации и документальных отходов;
• чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
• копирование носителей информации с преодолением мер защиты;
• маскировка под зарегистрированного пользователя;
• мистификация (маскировка под запросы системы);
• использование программных ловушек;
• использование недостатков языков программирования и операционных систем;
• включение в библиотеки программ специальных блоков типа «Троянский конь»,
• незаконное подключение к аппаратуре и линиям связи;
• злоумышленный вывод из строя механизмов защиты;
• внедрение и использование компьютерных вирусов.
Необходимо отметить, что особую опасность в настоящее время представляет проблема компьютерных вирусов, ибо эффективной защиты против них разработать не удалось. Остальные пути несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.
Глава 4. Планирование в среде информационной системы
В соответствии с протяженностью во времени задач управления различают стратегический информационный менеджмент (СИМ) и оперативный информационный менеджмент (ОИМ). Причем между этими уровнями существуют отношения подчиненности, т.е. цели, определяемые на стратегическом уровне, реализуются на оперативном. При этом глобальная стратегическая цель ИМ в информационных системах должна состоять в обеспечении возможно большего вклада ИС в цели предприятия по основной деятельности через использование информационных технологий; в соответствии с этой целью возникают специфические задачи и для организации собственно информационного менеджмента.
Понятие «стратегический» в отношении ИМ предполагает, с одной стороны, планомерное определение долгосрочных – на срок 3-5 лет – целей по всем направлениям, а с другой – выбор пути достижения поставленной цели и определение набора задач, решение которых ведет к цели. Такие задачи решаются на уровне высшего руководства организации. Выбранные решения долгосрочных задач образуют наборы исходных данных (задания) для оперативного, т.е. наиболее краткосрочного, уровня.
Задачи оперативного информационного менеджмента ориентируются на соответствующие стратегические задачи и цели. В отличие от долгосрочной стратегической постановки задачи ОИМ планируются и существуют на среднем или на коротком интервале (в сфере обработки информации – это период времени до одного года); эти задачи чаще всего ощущаются и решаются на уровне руководства службой обработки информации организации.
Планирование – главная задача ИМ на стратегическом уровне. Именно на уровне стратегического информационного маркетинга возникает и должна удовлетворяться повышенная потребность в планировании. Она обусловлена как необходимостью своевременного устранения возможных препятствий, так и потребностью выявления максимальных шансов для предприятия, создаваемых ИС и ИТ. Размышления по поводу необходимости планирования работы информационной системы начинаются уже при поиске ответа на вопрос, какую собственно роль играет ИС на предприятии.
Принимается, что информационная система имеет большое значение для предприятия, когда на ее основе решаются задачи конкуренции на рынке, а также когда информационная интенсивность технологического процесса основной деятельности предприятия и поддержания производительности этого процесса высока. Это имеет место, например, для банков, бирж и страховых обществ, ряда государственных учреждений и др.
Другим важным направлением планирования является определение плана инвестиций в ИС. В прошлом такой план составлялся (и в настоящем еще часто составляется) в значительной мере случайно: например, по накопившимся неудовлетворенным запросам пользователей или путем анализа заявок на замену или создание частей системы, требующих инвестиций, а также с учетом финансирования растущего объема обслуживания.
Однако в стратегическом плане могут быть целенаправленно выявлены приоритетные направления при формировании плана инвестиций. Здесь требуется, чтобы в распоряжении администрации были общий вид и характер имеющихся на предприятии информационных работ. Этот общий вид структуры ИС выводится из анализа протекающих на предприятии процессов.
Путем взаимного взвешивания значений процессов находят или определяют порядок выделения инвестиций для соответствующих элементов ИС. Например, выпуск основных изделий для серийного производства имеет наибольшее значение; далее для включения в план инвестиций могут рассматриваться элементы ИС, ориентированные на обеспечение конкуренции и на внутреннюю рационализацию предприятия. Затем анализируется возникающий при этом риск. Этот специфический подход к организации планирования ИС на предприятии целесообразно дополнить общими задачами планирования и контроля. К кругу этих задач принадлежит учет связей с другими объектами на предприятии.
При планировании связей ИС с другими объектами предприятия особое значение придается связям с системой планирования самого предприятия. Часто утверждается, что планирование ИС может осуществляться вообще только в связи с этой системой. Однако на некоторых предприятиях (в частности, вновь создаваемых и малых) сложившейся системы производственного планирования вообще не существует, так что на таком предприятии план применения информационной системы согласовывать просто не с чем. Однако если предусматривать планирование использования ИС, то можно добиться совершенствования производственного планирования на предприятии и деятельности предприятия в целом.
В соответствии с этим на стратегическом уровне следует определить стиль, направления и степень интенсификации системы планирования и контроля. Это важно именно на данном этапе, поскольку достаточно часто оказывается, что изменения не произведут необходимого эффекта из-за слишком тесных ограничений, наложенных планированием и контролем. Помощь в соответствующем анализе могут оказать известные апробированные модели развития ИС на предприятии. В частности, в модели Р,Л. Нолана (R.L. Nolan) определены шесть типовых ступеней развития: инициирование, распространение, управление, интеграция. ориентирование данных, завершение или зрелость на которых ИС применяются с различной интенсивностью. Сопоставление с эталонной моделью делает вполне очевидными приоритеты уровней планирования и контроля как для специалистов по обработке информации, так и для пользователей. Каждое предприятие может постепенно найти свою модель и определить свою позицию при разработке для себя системы планирования применения ИС.
Из стратегического плана инвестиций в ИС должно формироваться и подходящими средствами осуществляться годовое планирование. Вследствие решения этой задачи наблюдается, как правило, значительное общее повышение потребностей в планировании, согласованиях и контроле. На уровне оперативного информационного менеджмента реализация стратегических планов может контролироваться, например, с помощью системы сообщений (докладов) установленной формы
Заключение
Вслед за массовым применением современных информационных технологий криптография вторгается в жизнь современного человека. На криптографических методах основано применение электронных платежей, возможность передачи секретной информации по открытым сетям связи, а также решение большого числа других задач защиты информации в компьютерных системах и информационных сетях. Потребности практики привели к необходимости массового применения криптографических методов, а следовательно к необходимости расширения открытых исследований и разработок в этой области. Владение основами криптографии становится важным для учёных и инженеров, специализирующихся в области разработки современных средств защиты информации, а также в областях эксплуатации и проектирования информационных и телекоммуникационных систем.
Одной из актуальных проблем современной прикладной криптографии является разработка скоростных программных шифров блочного типа, а также скоростных устройств шифрования.
В настоящее время предложен ряд способов шифрования, защищённых патентами Российской Федерации и основанных на идеях использования:
· гибкого расписания выборки подключений;
· генерирования алгоритма шифрования по секретному ключу;
· подстановок, зависящих от преобразуемых данных.
Список использованной литературы
1. Проекты нормативных документов, разработанные в НИОКР "Защита-БР" 2002.
2. Конявский В.А. Управление защитой информации на базе СЗИ НСД "Аккорд",- М: Радио и связь, 1999. - С. 323.
3. Сборник научных трудов Всероссийского НИИ проблем вычислительной техники и информатизации. - М.: РФК-Имидж Лаб, 2001. - 192 с.
4. Расторгуев С.П. Информационная война. - М.: Радио и связь, 1998. - 415 с.
5. Американские сценарии информационной войны // Спец. вып. по материалам иностр. печ. - 1999. -№ 6. -С. 75-76.
6.Введение в защиту информации автоматизированных системах: учеб. Пособие/ А.А.Малюк, С.В.Пазизин, Н.С.Погожин-3-е изд, -М.:Горячая линия телеком,2001.-148с.
7.Сл.законов РФ об информации, информатизации и защите информации.
- Технология обслуживания клиентов в гостиницах
- Корпоративная культура как часть организации
- Россия в системе международных кредитных отношений . . .
- Анализ влияния на формирование политики управления ассортиментом удобрений - розничной организации торговли
- Анализ конкурентов на рынке (на примере ООО «Алюмэкспо»)
- Построение организационных структур»
- Email-маркетинг и контент
- Комплексный подход к организации защиты информации на государственном предприятии
- Планирование туризма в регионе как основа устойчивого развития территории»
- Поиск инструментов для создания управляемой и функциональной системы развития туризма в Республики Коми
- Анализ технологий и методов продаж в гостиничном бизнесе в гостинице «Хилтон Москоу Ленинградская»
- Анализ движения денежных средств. Структура движения денежных средств. Взаимосвязь чистой прибыли и движения денежных средств. .