Государственноеобразовательное учреждение
«Приднестровский ГосударственныйУниверситет им. Т.Г. Шевченко»
Рыбницкий филиал
Кафедра «Социально — экономическихдисциплин»
Контрольная работа
По ИТУ
На тему: «Методы исредства защиты информации от несанкционированного доступа. Методы и средствазащиты от компьютерных вирусов»
Рыбница 2010
Содержание
Введение
Необходимость и потребность в защитеинформации
Основные понятия
Угрозы безопасности
Каналы утечки и несанкционированногодоступа к информации
Модель нарушителя
Методы и средства защиты
Принципы проектирования системы защиты
Заключение
Список литературы
Введение
В нашей стране с начала90-х годов начала строиться совершенно новая финансово-кредитная система,произошло становление новых форм собственности, в том числе и интеллектуальнойсобственности. Еще не так давно вся собственность нашей страны (тогда еще СССР)была государственной. Промышленность страны была в той или иной степени на«военных рельсах», поэтому промышленные секреты были военными иохранялись нашей мощной системой спецслужб.
Сейчас ситуациякардинально изменилась. Отдельные частные компании ведут свои научныеразработки, в каждой организации автоматизирована система бухгалтерского учета- все это и многое другое разрабатывается, обрабатывается и хранится при помощикомпьютеров. А для передачи данных используются компьютерные сети. Само собойразумеется, такая информация может быть интересна для конкурирующихорганизаций, а значит, появляется проблема ее защиты. Но под «защитойинформации» следует понимать не только спектр технических мероприятий — программных и аппаратных, но и законодательных. Казалось бы, такая мелочь, ноэто важно с двух точек зрения. Во-первых, защита законом прав, свобод исобственности — необходимые условия построения правового государства. И, во-вторых,при поимке «компьютерных злоумышленников» появляется дилемма: что сними делать, ведь предать их правосудию невозможно, т.к. все, что не запрещенозаконом, — разрешено.
На сегодняшний день,юридически сформулированы три принципа информационной безопасности, котораядолжна обеспечивать:
— целостность данных;
— конфиденциальностьинформации;
— доступностьинформации для всех зарегистрированных пользователей.
Поясним содержаниепервого пункта. Здесь подразумевается защита данных от умышленного (вирусы) илинеумышленного повреждения, уничтожения, доступа к ней посторонних.
Необходимость ипотребность в защите информации
Жизнь современногообщества немыслима без современных информационных технологий. Компьютерыобслуживают банковские системы, контролируют работу атомных реакторов,распределяют энергию, следят за расписанием поездов, управляют самолетами,космическими кораблями. Компьютерные сети и телекоммуникации предопределяютнадежность и мощность систем обороны и безопасности страны. Компьютерыобеспечивают хранение информации, ее ' обработку и предоставление потребителям,реализуя таким образом информационные технологии.
Однако именно высокаястепень автоматизации порождает риск снижения безопасности (личной,информационной, государственной, и т.п.). Доступность и широкое распространениеинформационных технологий, ЭВМ делает их чрезвычайно уязвимыми по отношению кдеструктивным воздействиям. Тому есть много примеров. Так, каждые 20 секунд вСША совершается преступление с использованием программных средств, 80% этихпреступлений, расследуемых ФБР, происходит через сеть Internet. Потери отхищений или повреждений компьютерных сетей превышают 100 млн. долл. в год.
Субъектыпроизводственно-хозяйственных отношений вступают друг с другом в информационныеотношения (отношения по поводу получения, хранения, обработки, распределения ииспользования информации) для выполнения своих производственно-хозяйственных иэкономических задач. Поэтому обеспечение информационной безопасности — этогарантия удовлетворения законных прав и интересов субъектов информационныхотношений. В дальнейшем субъектами информационных отношений будем называтьгосударство (в целом или отдельные его органы и организации), общественные иликоммерческие организации (объединения) и предприятия (юридические лица),отдельных граждан (физические лица).
Различные субъекты поотношению к определенной информации могут выступать в качестве (возможноодновременно):
источников(поставщиков) информации;
пользователей(потребителей) информации;
собственников(владельцев, распорядителей) информации;
физических июридических лиц, о которых собирается информация;
владельцев систем сбораи обработки информации и участников процессов обработки и передачи информации ит.д.
Для успешногоосуществления деятельности по управлению объектами некоторой предметной областисубъекты информационных отношений могут быть заинтересованы в обеспечении:
своевременного доступа(за приемлемое для них время) к необходимой информации;
конфиденциальности(сохранения в тайне) определенной части информации;
достоверности (полноты,точности, адекватности, целостности) информации;
защиты от навязыванияложной (недостоверной, искаженной) информации, т.е. от дезинформации;
защиты части информацииот незаконного ее тиражирования (защита авторских прав, прав собственникаинформации и т.п.);
разграничения законныхправ (интересов) других субъектов информационных отношений и установленныхправил обращения с информацией;
контроля и управленияпроцессами обработки и передачи информации.
Будучи заинтересованными,в обеспечении хотя бы одного из вышеназванных требований субъект информационныхотношений является уязвимым, т.е. потенциально подверженным нанесению емуущерба (прямого или косвенного, материального или морального) посредством воздействияна критичную для него информацию и ее носители либо посредством неправомерногоиспользования такой информации. Поэтому все субъекты информационных отношенийзаинтересованы в обеспечении своей информационной безопасности (конечно, вразличной степени в зависимости от величины ущерба, который им может бытьнанесен).
Известно следующееразделение информации по уровню важности:
1) жизненно важная,незаменимая информация, наличие которой необходимо для функционированияорганизации;
2) важная информация — информация, которая может быть заменена или восстановлена, но процессвосстановления очень труден и связан с большими затратами;
3) полезная информация — информация, которую трудно восстановить, однако организация можетфункционировать и без нее;
4) несущественнаяинформация — информация, которая больше не нужна организации.
Для удовлетворениязаконных прав и перечисленных выше интересов субъектов (обеспечение ихинформационной безопасности) необходимо постоянно поддерживать следующиесвойства информации и систем ее обработки:
доступность информации,т.е. свойство системы (среды, средств и технологий ее обработки), в которойциркулирует информация, характеризующаяся способностью обеспечиватьсвоевременный беспрепятственный доступ субъектов к интересующим их данным иготовностью соответствующих автоматизированных служб к выполнению поступающихот субъектов запросов;
целостность информации,т.е. свойство информации, заключающееся в ее существовании в неискаженном виде(неизменном по отношению к некоторому фиксированному состоянию). Точнее говоря,субъектов интересует обеспечение более широкого свойства — достоверностиинформации, которое складывается из адекватности (полноты и точности)отображения состояния предметной области и целостности информации, т.е. еенеискаженности;
конфиденциальностьинформации — субъективно определяемая (предписываемая) характеристика(свойство) информации, указывающая на необходимость введения ограничений накруг субъектов, которые имеют доступ к данной информации, и обеспечиваемаяспособностью системы (среды) сохранять указанную информацию в тайне отсубъектов, не имеющих полномочий на доступ к ней. Объективные предпосылкиподобного ограничения доступности информации для одних субъектов заключены внеобходимости защиты законных интересов других субъектов информационныхотношений.
Основныепонятия
Дадим несколькоопределений. Защита информации — это средства обеспечения безопасностиинформации. Безопасность информации — защита информации от утечки, модификациии утраты. По существу, сфера безопасности информации — не защита информации, азащита прав собственности на нее и интересов субъектов информационныхотношений. Утечка информации — ознакомление постороннего лица с содержаниемсекретной информации. Модификация информации — несанкционированное изменениеинформации, корректное по форме и содержанию, но другое по смыслу. Утратаинформации — физическое уничтожение информации.
Цель защиты информации — противодействие угрозам безопасности информации. Угроза безопасности информации- действие или событие, которое может привести к разрушению, искажению илинесанкционированному использованию информационных ресурсов (т.е. к утечке,модификации и утрате), включая хранимую, передаваемую и обрабатываемуюинформацию, а также программные и аппаратные средства. Поэтому для обеспечениябезопасности информации необходима защита всех сопутствующих компонентовинформационных отношений (т.е. компонентов информационных технологий иавтоматизированных систем, используемых субъектами информационных отношений):
оборудования(технических средств);
программ (программныхсредств);
данных (информации);
персонала.
С этой целью всоответствующих организациях и на соответствующих объектах строится системазащиты. Система защиты — это совокупность (комплекс) специальных мер правового(законодательного) и административного характера, организационных мероприятий,физических и технических (программно-аппаратных) средств защиты, а такжеспециального персонала, предназначенных для обеспечения безопасностиинформации, информационных технологий и автоматизированной системы в целом. Дляпостроения эффективной системы защиты необходимо провести следующие работы:
1) определить угрозыбезопасности информации;
2) выявить возможныеканалы утечки информации и несанкционированного доступа (НСД) к защищаемымданным;
3) построить модельпотенциального нарушителя;
4) выбратьсоответствующие меры, методы, механизмы и средства защиты;
5) построить замкнутую,комплексную, эффективную систему защиты, проектирование которой начинается спроектирования самих автоматизированных систем и технологий.
При проектированиисущественное значение придается предпроектному обследованию объекта. На этойстадии:
устанавливается наличиесекретной (конфиденциальной) информации в разрабатываемой АИТУ, оцениваетсяуровень ее конфиденциальности и объем;
определяются режимыобработки информации (диалоговый, телеобработка и режим реального времени),состав комплекса технических средств и т.д.;
анализируетсявозможность использования имеющихся на рынке сертифицированных средств защитыинформации;
определяется степеньучастия персонала, функциональных служб, специалистов и вспомогательныхработников объекта автоматизации в обработке информации, характер ихвзаимодействия между собой и со службой безопасности;
определяютсямероприятия по обеспечению режима секретности на стадии разработки.
Для созданияэффективной системы защиты разработан ряд стандартов. Главная задача стандартовинформационной безопасности — создать основу для взаимодействия междупроизводителями, потребителями и экспертами по квалификации продуктовинформационных технологий. Каждая из этих групп имеет свои интересы и взглядына проблему информационной безопасности.
Наиболее значимымистандартами информационной безопасности являются (в хронологическом порядке):Критерии безопасности компьютерных систем Министерства обороны США («Оранжеваякнига»), Руководящие документы Гостехкомиссии России, Европейские критериибезопасности информационных технологий, Федеральные критерии безопасностиинформационных технологий США, Канадские критерии безопасности компьютерныхсистем и Единые критерии безопасности информационных технологий.
Угрозыбезопасности
Основными видами угрозбезопасности информационных технологий и информации (угроз интересам субъектовинформационных отношений) являются:
стихийные бедствия иаварии (наводнение, ураган, землетрясение, пожар и т.п.);
сбои и отказыоборудования (технических средств) АИТУ;
последствия ошибокпроектирования и разработки компонентов АИТУ (аппаратных средств, технологииобработки информации, программ, структур данных и т.п.);
ошибки эксплуатации(пользователей, операторов и другого персонала);
преднамеренные действиянарушителей и злоумышленников (обиженных лиц из числа персонала, преступников,шпионов, диверсантов и т.п.).
Угрозы безопасностиможно классифицировать по различным признакам. По результатам акции: 1) угрозаутечки; 2) угроза модификации; 3) угроза утраты. По нарушению свойствинформации: а) угроза нарушения конфиденциальности обрабатываемой информации;б) угроза нарушения целостности обрабатываемой информации; в) угроза нарушенияработоспособности системы (отказ в обслуживании), т.е. угроза доступности. Поприроде возникновения: 1) естественные; 2) искусственные.
Естественные угрозы — это угрозы, вызванные воздействиями на АИТУ и ее элементы объективныхфизических процессов или стихийных природных явлений. Искусственные угрозы — это угрозы АИТУ, вызванные деятельностью человека. Среди них, исходя имотивации действий, можно выделить: а) непреднамеренные (неумышленные,случайные) угрозы, вызванные ошибками в проектировании АИТУ и ее элементов,ошибками в программном обеспечении, ошибками в действиях персонала и т.п.; б)преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей(злоумышленников). Источники угроз по отношению к информационной технологиимогут быть внешними или внутренними (компоненты самой АИТУ — ее аппаратура,программы, персонал).
Основныенепреднамеренные искусственные угрозы АИТУ (действия, совершаемые людьмислучайно, по незнанию, невнимательности или халатности, из любопытства, но беззлого умысла):
1) неумышленныедействия, приводящие к частичному или полному отказу системы или разрушениюаппаратных, программных, информационных ресурсов системы (неумышленная порчаоборудования, удаление, искажение файлов с важной информацией или программ, втом числе системных и т.п.);
2) неправомерноевключение оборудования или изменение режимов работы устройств и программ;
3) неумышленная, порчаносителей информации;
4) запусктехнологических программ, способных при некомпетентном использовании вызыватьпотерю работоспособности системы (зависания или зацикливания) или необратимыеизменения в системе (форматирование или реструктуризацию носителей информации,удаление данных и т.п.);
5) нелегальноевнедрение и использование неучтенных программ (игровых, обучающих,технологических и др., не являющихся необходимыми для выполнения нарушителемсвоих служебных обязанностей) с последующим необоснованным расходованиемресурсов (загрузка процессора, захват оперативной памяти и памяти на внешнихносителях);
6) заражение компьютеравирусами;
7) неосторожныедействия, приводящие к разглашению конфиденциальной информации или делающие ееобщедоступной;
8) разглашение,передача или утрата атрибутов разграничения доступа (паролей, ключейшифрования, идентификационных карточек, пропусков и т.п.).
9) проектированиеархитектуры системы, технологии обработки данных, разработка прикладныхпрограмм с возможностями, представляющими угрозу для работоспособности системыи безопасности информации;
10) игнорированиеорганизационных ограничений (установленных правил) при ранге в системе;
11) вход в систему вобход средств зашиты (загрузка посторонней операционной системы со сменныхмагнитных носителей и т.п.);
12) некомпетентноеиспользование, настройка или неправомерное отключение средств защиты персоналомслужбы безопасности;
13) пересылка данных поошибочному адресу абонента (устройства);
14) ввод ошибочныхданных;
15) неумышленноеповреждение каналов связи.
Основные преднамеренныеискусственные угрозы характеризуются возможными путями умышленнойдезорганизации работы, вывода системы из строя, проникновения в систему инесанкционированного доступа к информации:
а) физическоеразрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех илиотдельных наиболее важных компонентов компьютерной системы (устройств,носителей важной системной информации, лиц из числа персонала и т.п.);
б) отключение или выводиз строя подсистем обеспечения функционирования вычислительных систем(электропитания, охлаждения и вентиляции, линий связи и т.п.);
в) действия подезорганизации функционирования системы (изменение режимов работы устройств илипрограмм, забастовка, саботаж персонала, постановка мощных активных радиопомехна частотах работы устройств системы и т.п.);
г) внедрение агентов вчисло персонала системы (в том числе, возможно, и в административную группу,отвечающую за безопасность);
д) вербовка (путемподкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющихопределенные полномочия;
е) применениеподслушивающих устройств, дистанционная фото- и видеосъемка и т.п.;
ж) перехват побочныхэлектромагнитных, акустических и других излучений устройств и линий связи, атакже наводка активных излучений на вспомогательные технические средства,непосредственно не участвующие в обработке информации (телефонные линии, сетипитания, отопления и т.п.);
з) перехват данных,передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена,правил вхождения в связь и авторизации пользователя и последующих попыток ихимитации для проникновения в систему;
и) хищение носителейинформации (магнитных дисков, лент, микросхем памяти, запоминающих устройств иперсональных ЭВМ);
к) несанкционированноекопирование носителей информации;
л) хищениепроизводственных отходов (распечаток, записей, списанных носителей информации ит.п.);
м) чтение остатковинформации из оперативной памяти и с внешних запоминающих устройств;
н) чтение информации изобластей оперативной памяти, используемых операционной системой (в том числеподсистемой защиты) или другими пользователями, в асинхронном режиме, используянедостатки мультизадачных операционных систем и систем программирования;
о) незаконное получениепаролей и других реквизитов разграничения доступа (агентурным путем, используяхалатность пользователей, путем подбора, имитации интерфейса системы и т.п.) споследующей маскировкой под зарегистрированного пользователя («маскарад»);
п) несанкционированноеиспользование терминалов пользователей, имеющих уникальные физическиехарактеристики, такие, как номер рабочей станции в сети, физический адрес,адрес в системе связи, аппаратный блок кодирования и т.п.;
р) вскрытие шифровкриптозащиты информации;
с) внедрение аппаратныхспецвложений, программ «закладок» и «вирусов» («троянских коней» и «жучков»), т.е.таких участков программ, которые не нужны для осуществления заявленных функций,но позволяют преодолеть систему защиты, скрытно и незаконно осуществлять доступк системным ресурсам с целью регистрации и передачи критической информации илидезорганизации функционирования системы;
т) незаконноеподключение к линиям связи с целью работы «между строк», с использованием паузв действиях законного пользователя от его имени с последующим вводом ложныхсообщений или модификацией передаваемых сообщений;
у) незаконноеподключение к линиям связи с целью прямой подмены законного пользователя путемего физического отключения после входа в систему и успешной аутентификации споследующим вводом дезинформации и навязыванием ложных сообщений.
Следует заметить, чточаще всего для достижения поставленной цели злоумышленник использует не одинспособ, а их некоторую совокупность из перечисленных выше.
Каналыутечки и несанкционированного доступа к информации
Возможные путиумышленной дезорганизации работы, вывода системы из строя, проникновения всистему и несанкционированного доступа к информации рассмотрены выше приописании искусственных преднамеренных угроз. На рис. 1 представлен составтиповой аппаратуры автоматизированной системы обработки данных и возможныеканалы несанкционированного доступа к информации.
/>
Рис. 1
Модельнарушителя
При разработке моделинарушителя определяются: 1) предположения о категориях лиц, к которым можетпринадлежать нарушитель; 2) предположения о мотивах действий нарушителя (целях,преследуемых нарушителем); 3) предположения о квалификации нарушителя и еготехнической оснащенности (методах и средствах, используемых для совершениянарушения); 4) ограничения и предположения о характере возможных действийнарушителя.
По отношению к АИТУнарушители могут быть внутренними (из числа персонала системы) или внешними(посторонними лицами). Внутренними нарушителями могут быть лица из следующихкатегорий персонала:
пользователи(операторы) системы;
персонал, обслуживающийтехнические средства (инженеры, техники);
сотрудники отделовразработки и сопровождения программного обеспечения (прикладные и системныепрограммисты);
технический персонал,обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники,имеющие доступ в здание и помещения, где расположены компоненты АИТУ);
сотрудники службыбезопасности АИТУ;
руководители различногоуровня должностной иерархии.
Посторонние лица,которые могут быть внешними нарушителями:
клиенты (представителиорганизаций, граждане);
посетители(приглашенные по какому-либо поводу);
представителиорганизаций, взаимодействующих по вопросам обеспечения жизнедеятельностиорганизации (энерго-, водо-, теплоснабжение и т.п.);
представителиконкурирующих организаций (иностранных спецслужб) или лица, действующие по ихзаданию;
лица, случайно илиумышленно нарушившие пропускной режим (без цели нарушения безопасности АИТУ);
любые лица за пределамиконтролируемой территории.
Можно выделить триосновных мотива нарушений: а) безответственность; б) самоутверждение; в)корыстный интерес. При нарушениях, вызванных безответственностью, пользовательцеленаправленно или случайно производит какие-либо разрушающие действия, несвязанные, тем не менее, со злым умыслом. В большинстве случаев это следствиенекомпетентности или небрежности.
Некоторые пользователисчитают получение доступа к системным наборам данных крупным успехом, затеваясвоего рода игру «пользователь против системы» ради самоутверждения либо всобственных глазах, либо в глазах коллег.
Нарушение безопасностиАИТУ может быть вызвано и корыстным интересом пользователя системы. В этомслучае он будет целенаправленно пытаться преодолеть систему защиты для доступак хранимой, передаваемой и обрабатываемой в АИТУ информации. Даже если АИТУимеет средства, делающие такое проникновение чрезвычайно сложным, полностьюзащитить ее от проникновения практически невозможно.
Всех нарушителей можноклассифицировать по четырем параметрам (уровню знаний об АИТУ, уровнювозможностей, времени и методу действия).
1. По уровню знаний обАИТУ различают нарушителей:
знающих функциональныеособенности АИТУ, основные закономерности формирования в ней массивов данных ипотоков запросов к ним, умеющих пользоваться штатными средствами;
обладающих высокимуровнем знаний и опытом работы с техническими средствами системы и ихобслуживания;
обладающих высокимуровнем знаний в области программирования и вычислительной техники,проектирования и эксплуатации автоматизированных информационных систем;
знающих структуру,функции и механизм действия средств защиты, их сильные и слабые стороны.
2. По уровнювозможностей (используемым методам и средствам) нарушителями могут быть:
применяющие чистоагентурные методы получения сведений;
применяющие пассивныесредства (технические средства перехвата без модификации компонентов системы);
использующие толькоштатные средства и недостатки систем защиты для ее преодоления(несанкционированные действия с использованием разрешенных средств), а такжекомпактные магнитные носители информации, которые могут быть скрытно пронесенычерез посты охраны;
применяющие методы исредства активного воздействия (модификация и подключение дополнительныхмеханических средств, подключение к каналам передачи данных, внедрениепрограммных «закладок» и использование специальных инструментальных итехнологических программ).
3. По времени действияразличают нарушителей, действующих:
в процессефункционирования АИТУ (во время работы компонентов системы);
в период неактивностикомпонентов системы (в нерабочее время, во время плановых перерывов в ееработе, перерывов для обслуживания и ремонта и т.п.);
как в процессефункционирования АИТУ, так и в период неактивности компонентов системы.
4. По месту действиянарушители могут быть:
не имеющие доступа наконтролируемую территорию организации;
действующие сконтролируемой территории без доступа в здания и сооружения;
действующие внутрипомещений, но без доступа к техническим средствам АИТУ;
действующие с рабочихмест конечных пользователей (операторов) АИТУ;
имеющие доступ в зонуданных (баз данных, архивов и т.п.);
имеющие доступ в зонууправления средствами обеспечения безопасности АИТУ.
При этом могутучитываться следующие ограничения и предположения о характере действийвозможных нарушителей:
работа по подборукадров и специальные мероприятия затрудняют возможность создания коалицийнарушителей, т.е. объединения (сговора) и целенаправленных действий попреодолению подсистемы защиты двух и более нарушителей;
нарушитель, планируяпопытку несанкционированного доступа к информации, скрывает свои неправомерныедействия от других сотрудников;
несанкционированныйдоступ к информации может быть следствием ошибок пользователей,администраторов, эксплуатирующего и обслуживающего персонала, а такженедостатком принятой технологии обработки информации и т.д.
Определение конкретныхзначений характеристик возможных нарушителей в значительной степенисубъективно. Модель нарушителя, построенная с учетом особенностей конкретнойпредметной области и технологии обработки информации, может быть представлена перечислениемнескольких вариантов его облика. Каждый вид нарушителя должен бытьохарактеризован значениями характеристик, приведенных выше.
Методыи средства защиты
информациязащита безопасность утечка
Проблема созданиясистемы защиты информации включает две взаимодополняющие задачи: 1) разработкасистемы защиты информации (ее синтез); 2) оценка разработанной системы защитыинформации. Вторая задача решается путем анализа ее технических характеристик сцелью установления, удовлетворяет ли система защиты, информации комплексутребований к данным системам. Такая задача в настоящее время решается почтиисключительно экспертным путем с помощью сертификации средств защиты информациии аттестации системы защиты информации в процессе ее внедрения.
Методы и средстваобеспечения безопасности информации показаны на рис. 2. Рассмотрим основноесодержание представленных методов защиты информации, которые составляют основумеханизмов защиты.
/>
Рис. 2
Препятствия — методыфизического преграждения пути злоумышленнику к защищаемой информации (каппаратуре, носителям информации и т.д.).
Управление доступом — метод защиты информации регулированием использования всех ресурсов компьютернойинформационной системы (элементов баз данных, программных и техническихсредств). Управление доступом включает следующие функции защиты:
идентификациюпользователей, персонала и ресурсов системы (присвоение каждому объектуперсонального идентификатора);
опознание (установлениеподлинности) объекта или субъекта по предъявленному им идентификатору;
проверку полномочий(проверка соответствия дня недели, времени суток, запрашиваемых ресурсов ипроцедур установленному регламенту);
разрешение и созданиеусловий работы в пределах установленного регламента;
регистрацию(протоколирование) обращений к защищаемым ресурсам;
регистрацию(сигнализация, отключение, задержка работ, отказ в запросе) при попыткахнесанкционированных действий.
Маскировка — метод защитыинформации путем ее криптографического закрытия. Этот метод широко применяетсяза рубежом как при обработке, так и при хранении информации, в том числе надискетах. При передаче информации по каналам связи большой протяженности данныйметод является единственно надежным.
Регламентация — методзащиты информации, создающий такие условия автоматизированной обработки,хранения и передачи защищаемой информации, при которых возможностинесанкционированного доступа к ней сводились бы к минимуму.
Принуждение — методзащиты, при котором пользователи и персонал системы вынуждены соблюдать правилаобработки, передачи и использования защищаемой информации под угрозойматериальной, административной или уголовной ответственности.
Побуждение — методзащиты, который побуждает пользователя и персонал системы не нарушатьустановленный порядок за счет соблюдения сложившихся моральных и этических норм(как регламентированных, так и неписаных).
Рассмотренные методыобеспечения безопасности реализуются на практике за счет применения различныхсредств защиты, таких, как технические, программные, организационные,законодательные и морально-этические. К. основным средствам защиты,используемым для создания механизма обеспечения безопасности, относятсяследующие.
Технические средствареализуются в виде электрических, электромеханических и электронных устройств.Вся совокупность технических средств делится на аппаратные и физические. Подаппаратными средствами принято понимать технику или устройства, которыесопрягаются с подобной аппаратурой по стандартному интерфейсу. Например,система опознания и разграничения доступа к информации (посредством паролей,записи кодов и другой информации на различные карточки). Физические средствареализуются в виде автономных устройств и систем. Например, замки на дверях,где размещена аппаратура, решетки на окнах, источники бесперебойного питания,электромеханическое оборудование охранной сигнализации. Так, различают наружныесистемы охраны («Ворон», GUARDWIR, FPS и др.), ультразвуковые системы (Cyclopsи т.д.), системы прерывания луча (Pulsar 30В и т.п.), телевизионные системы(VМ216 и др.), радиолокационные системы («ВИТИМ» и т.д.), система контролявскрытия аппаратуры и др.
Программные средствапредставляют собой программное обеспечение, специально предназначенное длявыполнения функций защиты информации. В такую группу средств входят: механизмшифрования (криптографии — специальный алгоритм, который запускается уникальнымчислом или битовой последовательностью, обычно называемым шифрующим ключом;затем по каналам связи передается зашифрованный текст, а получатель имеет свойключ для дешифрования информации), механизм цифровой подписи, механизмыконтроля доступа, механизмы обеспечения целостности данных, механизмыпостановки графика, механизмы управления маршрутизацией, механизмы арбитража,антивирусные программы, программы архивации (например, zip, rar, arj и др.),защита при вводе и выводе информации и т.д.
Организационныесредства защиты представляют собой организационно-технические и организационно-правовыемероприятия, осуществляемые в процессе создания и эксплуатации вычислительнойтехники, аппаратуры телекоммуникаций для обеспечения защиты информации.Организационные мероприятия охватывают все структурные элементы аппаратуры навсех этапах их жизненного цикла (строительство помещений, проектированиекомпьютерной информационной системы банковской деятельности, монтаж и наладкаоборудования, использование, эксплуатация).
Морально-этическиесредства защиты реализуются в виде всевозможных норм, которые сложилисьтрадиционно или складываются по мере распространения вычислительной техники исредств связи в обществе. Эти нормы большей частью не являются обязательнымикак законодательные меры, однако несоблюдение их обычно ведет к потереавторитета и престижа человека. Наиболее показательным примером таких нормявляется Кодекс профессионального поведения членов Ассоциации пользователей ЭВМСША.
Законодательныесредства защиты определяются законодательными актами страны, которымирегламентируются правила пользования, обработки и передачи информацииограниченного доступа и устанавливаются меры ответственности за нарушение этихправил.
Все рассмотренныесредства защиты разделены на формальные (выполняющие защитные функции строго позаранее предусмотренной процедуре без непосредственного участия человека) инеформальные (определяются целенаправленной деятельностью человека либорегламентируют эту деятельность).
В настоящее времянаиболее острую проблему безопасности (даже в тех системах, где не требуетсясохранять секретную информацию, и в домашних компьютерах) составляют вирусы.Поэтому здесь остановимся на них подробнее. Компьютерный вирус — это специальнонаписанная небольшая по размерам программа, которая может «приписывать» себя кдругим программам (т.е. «заражать» их), а также выполнять различныенежелательные действия на компьютере (например, портить файлы или таблицыразмещения файлов на диске, «засорять» оперативную память и т.д.).
Основным средствомзащиты от вирусов служит архивирование. Другие методы заменить его не могут,хотя и повышают общий уровень защиты. Архивирование необходимо делатьежедневно. Архивирование заключается в создании копий используемых файлов исистематическом обновлении изменяемых файлов. Это дает возможность не толькоэкономить место на специальных архивных дисках, но и объединять группысовместно используемых файлов в один архивный файл, в результате чего гораздолегче разбираться в общем архиве файлов. Наиболее уязвимыми считаются таблицыразмещения файлов, главного каталога и бутсектор. Файлы рекомендуетсяпериодически копировать на специальную дискету. Их резервирование важно нетолько для защиты от вирусов, но и для страховки на случай аварийных ситуацийили чьих-то действий, в том числе собственных ошибок.
В целях профилактикидля защиты от вирусов рекомендуется:
работа с дискетами,защищенными от записи;
минимизация периодовдоступности дискет для записи;
разделение дискет междуконкретными ответственными пользователями;
разделение передаваемыхи поступающих дискет;
разделение хранениявновь полученных программ и эксплуатировавшихся ранее;
проверка вновьполученного программного обеспечения на наличие в них вируса тестирующимипрограммами;
хранение программ нажестком диске в архивированном виде.
Для того чтобы избежатьпоявления компьютерных вирусов, необходимо соблюдать прежде всего следующиемеры:
не переписыватьпрограммное обеспечение с других компьютеров, если это необходимо, то следуетпринять перечисленные выше меры;
не допускать к работена компьютере посторонних лиц, особенно если они собираются работать со своимидискетами;
не пользоватьсяпосторонними дискетами, особенно с компьютерными играми.
Можно выделитьследующие типичные ошибки пользователя, приводящие к заражению вирусами:
отсутствие надлежащейсистемы архивации информации;
запуск полученнойпрограммы без ее предварительной проверки на зараженность и без установкимаксимального режима защиты винчестера с помощью систем разграничения доступа изапуска резидентного сторожа;
выполнение перезагрузкисистемы при наличии установленной в дисководе А дискеты (при этом BIOS делаетпопытку загрузиться именно с этой дискеты, а не с винчестера; в результате,если дискета заражена бутовым вирусом, происходит заражение винчестера);
прогон всевозможныхантивирусных программ, без знания типов диагностики одних и тех же вирусовразными антивирусными программами;
анализ и восстановлениепрограмм на зараженной операционной системе.
В настоящее времянаиболее популярные в России антивирусные средства АО «ДиалогНаука»:
полифаг Aidstest(полифаг- это программа, выполняющая действия обратные тем, которые производитвирус при заражении файла, т.е. пытающаяся восстановить файл);
ревизор Adinf;
лечащий блок AdinfExt;
полифаг для«полиморфиков» Doctor Web.
Существуютпрограммы-фильтры, проверяющие, имеется ли в файлах (на указанном пользователемдиске) специальная для данного вируса комбинация байтов. Используется такжеспециальная обработка файлов, дисков, каталогов — вакцинация: запускпрограмм-вакцин, имитирующих сочетание условий, в которых начинает работать ипроявляет себя данный тип вируса. В качестве примера резидентной программы длязащиты от вирусов можно привести программу VSAFF фирмы Carmel Central PointSoftware. B качестве программ ранней диагностики компьютерного вируса могутбыть рекомендованы программы CRCLIST и CRCTEST.
Принципыпроектирования системы защиты
Защита информации вАИТУ должна основываться на следующих основных принципах: 1) системности; 2)комплексности; 3) непрерывности защиты; 4) разумной достаточности; 5) гибкостиуправления и применения; 6) открытости алгоритмов и механизмов защиты; 7)простоты применения защитных мер и средств.
Системный подход кзащите компьютерных систем предполагает необходимость учета всехвзаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условийи факторов, существенно значимых для понимания и решения проблемы обеспечениябезопасности АИТУ. При создании системы защиты необходимо учитывать все слабые,наиболее уязвимые места системы обработки информации, а также характер,возможные объекты и направления атак на систему со стороны нарушителей(особенно высококвалифицированных злоумышленников), пути проникновения враспределенные системы и несанкционированного доступа к информации. Системазащиты должна строиться с учетом не только всех известных каналов проникновенияи несанкционированного доступа к информации, но и с учетом возможностипоявления принципиально новых путей реализации угроз безопасности.
В распоряженииспециалистов по компьютерной безопасности имеется широкий спектр мер, методов исредств защиты компьютерных систем. Их комплексное использование предполагаетсогласованное применение разнородных средств при построении целостной системызащиты, перекрывающей все существующие каналы реализации угроз и не содержащейслабых мест на стыке отдельных ее компонентов. Зашита должна строитьсяэшелонированно. Внешняя защита должна обеспечиваться физическими средствами,организационными и правовыми мерами. Одной из наиболее укрепленных линийобороны призваны быть средства защиты, реализованные на уровне операционнойсистемы (ОС) в силу того, что ОС — это как раз та часть компьютерной системы,которая управляет использованием всех ее ресурсов. Прикладной уровень зашиты,учитывающий особенности предметной области, представляет внутренний рубежобороны.
Защита информации — этоне разовое мероприятие и даже не совокупность проведенных мероприятий иустановленных средств защиты, а непрерывный целенаправленный процесс,предполагающий принятие соответствующих мер на всех этапах жизненного циклаАИТУ, начиная с ранних стадий проектирования, а не только на этапе ееэксплуатации. Разработка системы защиты должна вестись параллельно сразработкой самой защищаемой системы. Это позволит учесть требованиябезопасности при проектировании архитектуры и в конечном счете создать болееэффективные (как по затратам ресурсов, так и по устойчивости) защищенныесистемы. Большинству физических и технических средств защиты для эффективноговыполнения их функций необходима постоянная организационная (административная)поддержка (своевременная смена и обеспечение правильного хранения и примененияимен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывыв работе средств защиты могут быть использованы злоумышленниками для анализаприменяемых методов и средств защиты, для внедрения специальных программных иаппаратных «закладок» и других средств, преодоления системы защиты послевосстановления ее функционирования.
Создать абсолютнонепреодолимую систему защиты принципиально невозможно. При достаточномколичестве времени и средств можно преодолеть любую защиту. Поэтому имеет смыслвести речь только о некотором приемлемом (разумно достаточном) уровнебезопасности. Высокоэффективная система защиты стоит дорого, использует приработе существенную часть мощности и ресурсов компьютерной системы и можетсоздавать ощутимые дополнительные неудобства пользователям. Важно правильновыбрать тот достаточный уровень защиты, при котором затраты, риск и размервозможного ущерба были бы приемлемыми (задача анализа риска).
Часто приходитсясоздавать систему защиты в условиях большой неопределенности. Поэтому принятыемеры и установленные средства защиты, особенно в начальный период ихэксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровеньзащиты. Естественно, что для обеспечения возможности варьирования уровнейзащищенности, средства защиты должны обладать определенной гибкостью. Особенноважным это свойство является в тех случаях, когда установку средств защитынеобходимо осуществлять на работающую систему, не нарушая процесса еенормального функционирования. Кроме того, внешние условия и требования стечением времени меняются. В таких ситуациях свойство гибкости избавитвладельцев АИТУ от необходимости принятия кардинальных мер по полной заменесредств защиты на новые.
Суть принципаоткрытости алгоритмов и механизмов защиты состоит в том, что защита не должнаобеспечиваться только за счет секретности структурной организации и алгоритмовфункционирования ее подсистем. Знание алгоритмов работы системы защиты недолжно давать возможности ее преодоления (даже автору). Однако это вовсе неозначает, что информация о конкретной системе защиты должна быть общедоступна.
Механизмы защиты должныбыть интуитивно понятны и просты в использовании. Применение средств защиты недолжно быть связано со знанием специальных языков или с выполнением действий,требующих значительных дополнительных трудовых затрат при обычной работезаконных пользователей, а также не должно требовать от пользователя выполнениярутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
Заключение
В заключение стоитотметить, что в такой маленькой статье невозможно даже самым общим образомохватить весь спектр вопросов, возникающих при рассмотрении проблемы защитыинформации, и весь спектр ответов на них, найденных на сегодняшний день.Хочется сказать, что ни одна, самая совершенная система защиты, совсевозможными комплексными решениями, не может дать стопроцентной гарантии набезопасность данных. Ведь люди, разработавшие систему защиты, знают все слабыеместа в ней. А как показывает опыт, что бы ни сделал человек, в этом всегданайдутся слабые стороны, ведь все предусмотреть нельзя. Проблем обеспечениятехнической безопасности еще очень много. Но риск можно свести к минимуму,используя комплексные подходы, о которых мы и говорили в этой статье.
Список литературы
1. Учебноепособие / Под ред. Ю.М. Черкасова. Информационные технологии управления: — М.:ИНФРА-М, 2001. — 216 с. — (Серия «Высшее образование»).
2. КозыревА.А. «Информационные технологии в экономике и управлении»: Учебник. – СПб.:Изд-во Михайлова В. А., 2000. – 360 с.