Возможна ситуация, когда характер и уровень взаимодействия взаимозависимых факторов существенно зависят от влияния других, явно или скрыто усиливающих такие воздействия. Средства защиты могут быть как независимыми с точки зрения эффективности защиты, так и взаимозависимыми. Для обеспечения достаточно высокой безопасности данных надо найти компромисс между стоимостью защитных мероприятии, неудобствами при использовании мер защиты и важностью защищаемой информации. На основе тщательного анализа много численных взаимодействующих факторов можно принять разумное и эффективное решение о сбалансированности меры защиты от конкретных источников опасности.
ОБЪЕКТЫ И ЭЛЕМЕНТЫ ЗАЩИТЫ В КОМПЬЮТЕРНЫХ СИСТЕМАХ ОБРАБОТКИ ДАННЫХ
Под объектом защиты понимается такой компонент системы, в котором находится подлежащая защите информация, а под элементом защиты — совокупность данных, которая может содержать подлежащие защите сведения. При функционировании компьютерных систем могут быть:
- отказы и сбои аппаратуры;
- системные и системотехнические ошибки;
- программные ошибки;
- ошибки человека при работе с ПК.
Несанкционированный доступ к информации может происходить во время технического обслуживания, компьютеров за счет прочтения информации на машинных и других носителях. Несанкционированное ознакомление с информацией подразделяется на пассивное и активное. В первом случае не происходит нарушения информационных ресурсов, и нарушитель лишь получает возможность раскрывать содержание сообщений. Во втором - случае нарушитель может выборочно изменить, уничтожить, переупорядочить и перенаправить сообщения, задержать и создать поддельные сообщения.
Для обеспечения безопасности проводятся различные мероприятия, объединяемые понятием «система защиты информации».
Под системой защиты информации понимают совокупность организационных (административных) и технологических мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.
Организационно-административные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам систем обработки данных. Цель организационно-административные средства защиты сводится к затруднению или исключению возможности реализации угроз безопасности. Наиболее типичные организационно-административные средства:
- допуск к обработке и передача конфиденциальной информации только проверенных должностных лиц;
- хранение носителей информации, представляющих определенную тайну, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;
- организации учета использований и уничтожения документов (носителей) с конфиденциальной информацией;
- разграничение доступа к информационным и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.
Технические сродства защиты признаны создать некоторую физически замкнутую среду вокруг объекта и элементов защиты. В этом случае используются такие мероприятия как:
- ограничение электромагнитного излучения путем экранирования помещений, где происходит обработка информации
- осуществление электропитания оборудования, отрабатывающего ценную информацию, от автономного источника питания или от общей электросети через специальные сетевые фильтры;
Программные средства и методы защиты активнее других применяются для защиты информации в персональных компьютерах и компьютерных сетях. Они реализуй такие функции защиты как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, предотвращен ив возможных разрушительных воздействий на ресурсы; криптографическая защита информации.
Технологические средства защиты информации подразумевают комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных. Среди них:
- создание архивных копий носителей;
- ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера;
- автоматическая регистрация доступа пользователей к тем или иным ресурсам;
- разработка специальных инструкций по выполнению всех технологических процедур и др.
К правовым и морально-этическим мирам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила, нормы поведения, соблюдение которых способствует защита информации.
СРЕДСТВА ОПОЗНАНИЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА К ИНФОРМАЦИИ
Идентификация — это присвоение какому-либо объекту или субъекту уникального имени или образа.
Аутентификация—это установление подлинности, т.е. проварка, является пи объект (субъект) действительно тем, за кого он себя выдает.
Конечной целью процедур идентификации и аутентификации объекта (субъекта) является допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.
Объектами идентификации и аутентификации могут 6ыть: люди (пользователи, операторы); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки); магнитные носители информации; информация на экране монитора.
Наиболее распространенный метод аутентификации — присвоение лицу или другому имени пароля и хранение его значения в вычислительной системе. Пароль — это совокупность символов, определяющая объект (субъект).
Пароль как средство обеспечения безопасности может использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.
Учитывая важность пароля как средства повышения безопасности информации от несанкционированного использования, следует соблюдать некоторые меры предосторожности, а том числе:
- не хранить пароли в вычислительной системе в незашифрованном виде;
- не печатать и не отображать пароли в явном виде на терминале пользователя;
- не использовать в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения,
номер домашнего или служебного телефона, название улицы);
- не использовать реальные слова из энциклопедии;
- выбирать длинные пароли;
- использовать смесь символов верхнего и нижнего регистров клавиатуры;
- использовать комбинации из двух простых слов, соединенных специальными символами (например, +,=,<);
- придумывать новые слова (абсурдные или даже бредового содержания);
- чаще менять пароль.
Для идентификации пользователей могут применяться сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя ни основе анализа его индивидуальных параметров; отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса. Наиболее широкое распространение нашли физические методы идентификации с использованием носителей кодов паролей. Такими носителями являются пропуска в контрольно-пропускных системах: пластиковые карты с именем владельца, его кодом, подписью; пластиковые карточки с магнитной полосой, которая считывается специальным считывающим устройством; пластиковые карты, содержащие встроенную микросхему; карты оптической памяти.
Одно из интенсивно разрабатываемых направлений по обеспечению безопасности информации, идентификация и установление подлинности документов на основе электронной цифровой подписи. При передаче документов по каналам связи применяется факсимильная аппаратура, но в этом случае к получателю приходит не подлинник, а лишь копия документа с копией подписи, которая в процессе передачи может быть подвергнута повторному копированию для использования ложного документа.
Электронная цифровая подпись это способ шифрования с помощью криптографического преобразования и является паролем, зависящим от отправителя, получателя и содержания передаваемого сообщения. Для предупреждения повторного использования подпись должна меняться от сообщения к сообщению.
КРИПТОГРАФИЧЕСКИЙ МЕТОД ЗАЩИТЫ ИНФОРМАЦИИ
Наиболее эффективным методом повышения безопасности является криптографическое преобразование. Резко повышает безопасность:
- передачи данных в компьютерных сетях;
- данных, хранящихся в удаленных устройствах памяти;
- информации при обмене между удаленными объектами.
Защита информации методом криптографического преобразования заключается в приседании ее к неявному виду путем преобразования составных частей информации (букв, цифр, слогов, слов) с помощью специальных алгоритмов либо аппаратных средств и кодов ключей. Ключ — это изменяемая часть криптографической системы, хранящаяся втайне и определяющая, какое шифрующее преобразование из возможных выполняется в данном случае.
Для преобразования (шифрования) используется некоторый алгоритм или устройство, реализующее заданный алгоритм, которые могут быть известны широкому кругу лиц. Управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет относительно быстро, просто и надежно расшифровать текст. Без знания ключа эта процедура может оказаться практически невыполнимой даже при использовании компьютера.
К методам криптографического преобразования применимы следующие требования;