Особенности защиты информации в современных условиях

Защита информации

Несмотря на все возрастающие усилия по созданию технологий защиты данных их уязвимость в современных условиях не только не уменьшается, но и постоянно возрастает. Поэтому актуальность проблем, связанных с защитой информации все более усиливается.

Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Например, конфиденциальность данных, которая обеспечивается применением различных методов и средств (шифрование закрывает данные от посторонних лиц, а также решает задачу их целостности); идентификация пользователя на основе анализа кодов, используемых им для подтверждения своих прав на доступ в систему (сеть), на работу с данными и на их обеспечение (обеспечивается введением соответствующих паролей). Перечень аналогичных задач по защите информации может быть продолжен. Интенсивное развитие современных информационных технологий, и в особенности сетевых технологий, создает для этого все предпосылки.

Защита информации – комплекс мероприятий, направленных на обеспечение целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

На сегодняшний день сформулировано два базовых принципа по защите информации:

целостность данных – защита от сбоев, ведущих к потере информации, а также защита от неавторизованного создания или уничтожения данных;

конфиденциальность информации.

Защита от сбоев, ведущих к потере информации, ведется в направлении повышения надежности отдельных элементов и систем, осуществляющих ввод, хранение, обработку и передачу данных, дублирования и резервирования отдельных элементов и систем, использования различных, в том числе автономных, источников питания, повышения уровня квалификации пользователей, защиты от непреднамеренных (ошибочных) и преднамеренных действий, ведущих к выходу из строя аппаратуры, уничтожению или изменению (модификации) программного обеспечения и защищаемой информации.

Защита от неавторизованного создания или уничтожения данных обеспечивается физической защитой информации, разграничением и ограничением доступа к элементам защищаемой информации, закрытием защищаемой информации в процессе непосредственной ее обработки, разработкой программно-аппаратных комплексов, устройств и специализированного программного обеспечения для предупреждения несанкционированного доступа к защищаемой информации.

Конфиденциальность информации обеспечивается идентификацией и проверкой подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю, идентификацией внешних устройств по физическим адресам, идентификацией программ, томов, каталогов, файлов по именам, шифрованием и дешифрованием информации, разграничением и контролем доступа к ней.

Среди мер, направленных на защиту информации основными являются технические, организационные и правовые.

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и др.

К организационным мерам относятся: охрана вычислительного центра (кабинетов информатики); заключение договора на обслуживание компьютерной техники с солидной, имеющей хорошую репутацию организацией; исключение возможности работы на компьютерной технике посторонних, случайных лиц и т.п.

К правовым мерам относятся разработка норм, устанавливающих ответственность за вывод из строя компьютерной техники и уничтожение (изменение) программного обеспечения, общественный контроль за разработчиками и пользователями компьютерных систем и программ.

Следует подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных системах. В то же время свести риск потерь к минимуму возможно, но лишь при комплексном подходе к защите информации.

В следующих вопросах и темах мы рассмотрим проблемы защиты информации в автоматизированных системах обработки данных, особенности защиты информации в ПЭВМ, использование специализированного программного обеспечения для архивации данных и борьбе с компьютерными вирусами, а также основы криптографической защиты информации.

 

 

Особенности защиты информации в ПЭВМ

 

Особенностями ПЭВМ с точки зрения защиты информации являются:

ü малые габариты и вес, что делает их легко переносимыми;

ü наличие встроенного внутреннего запоминающего устройства большого объема, сохраняющего записанные данные после выключения питания;

ü наличие сменного запоминающего устройства большого объема и малых габаритов;

ü наличие устройств сопряжения с каналами связи;

ü оснащенность программным обеспечением с широкими функциональными возможностями.

Основная цель защиты информации в ПЭВМ заключается в обеспечение ее физической целостности и предупреждении несанкционированного доступа к ней.

В самом общем виде данная цель достигается путем ограничения доступа посторонних лиц в помещения, где находятся ПЭВМ, а также хранением сменных запоминающих устройств и самих ПЭВМ с важной информацией в нерабочее время в опечатанном сейфе.

Наряду с этим для предупреждения несанкционированного доступа к информации используются следующие методы:

§ опознавание (аутентификация) пользователей и используемых компонентов обработки информации;

§ разграничение доступа к элементам защищаемой информации;

§ регистрация всех обращений к защищаемой информации;

§ криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных);

§ криптографическое закрытие защищаемой информации в процессе ее непосредственной обработки.

Для опознавания пользователей к настоящему времени разработаны и нашли практическое применение следующие способы.

1. Распознавание по простому паролю. Каждому зарегистрированному пользователю выдается персональный пароль, который он вводит при каждом обращении к ПЭВМ.

2. Опознавание в диалоговом режиме. При обращении пользователя программа защиты предлагает ему назвать некоторые данные из имеющейся записи (пароль, дата рождения, имена и даты рождения родных и близких и т.п.), которые сравниваются с данными, хранящимися в файле. При этом для повышения надежности опознавания каждый раз запрашиваемые у пользователя данные могут быть разными.

3. Опознавание по индивидуальным особенностям и физиологическим характеристикам. Реализация данного способа предполагает наличие специальной аппаратуры для съема и ввода соответствующих параметров и программ их обработки и сравнения с эталоном.

4. Опознавание по радиокодовым устройствам. Каждому зарегистрированному пользователю выдается устройство, способное генерировать сигналы, имеющие индивидуальные характеристики. Параметры сигналов заносятся в запоминающие устройства механизмов защиты.

5. Опознавание по специальным идентификационным карточкам. Изготавливаются специальные карточки, на которые наносятся данные, персонифицирующие пользователя: персональный идентификационный номер, специальный шифр или код и т.п. Эти данные на карточку заносятся в зашифрованном виде, причем ключ шифрования может быть дополнительным идентифицирующим параметром, поскольку может быть известен только пользователю, вводиться им каждый раз при обращении к системе и уничтожаться сразу же после использования.

Каждый из перечисленных способов опознавания пользователей имеет свои достоинства и недостатки, связанные с простотой, надежностью, стоимостью и др.

Разграничение доступа к элементам защищаемой информации заключается в том, чтобы каждому зарегистрированному пользователю предоставить возможности беспрепятственного доступа к информации в пределах его полномочий и исключить возможности превышения своих полномочий. Само разграничение может осуществляться несколькими способами.

1. По уровням секретности. Каждому зарегистрированному пользователю предоставляется вполне определенный уровень допуска (например, «секретно», «совершенно секретно», «особой важности» и т.п.). Тогда пользователю разрешается доступ к массиву (базе) своего уровня и массивам (базам) низших уровней и запрещается доступ к массивам (базам) более высоких уровней.

2. Разграничение доступа по специальным спискам. Для каждого элемента защищаемых данных (файла, базы, программы) составляется список всех пользователей, которым предоставлено право доступа к соответствующему элементу, или, наоборот, для каждого зарегистрированного пользователя составляется список тех элементов защищаемых данных, к которым ему предоставлено право доступа.

3. Разграничение доступа по матрицам полномочий. Данный способ предполагает формирование двумерной матрицы, по строкам которой содержатся идентификаторы зарегистрированных пользователей, а по столбцам – идентификаторы защищаемых элементов данных. Элементы матрицы содержат информацию об уровне полномочий соответствующего пользователя относительно соответствующего элемента.

4. Разграничение доступа по мандатам. Данный способ заключается в том, что каждому защищаемому элементу присваивается персональная уникальная метка, после чего доступ к этому элементу будет разрешен только тому пользователю, который в своем запросе предъявит метку элемента (мандат), которую ему может выдать администратор защиты или владелец элемента.

Регистрация всех обращений к защищаемой информации осуществляется с помощью устройств, которые контролируют использование защищаемой информации, выявляют попытки несанкционированного доступа к ней, накапливают статистические данные о функционировании системы защиты.

Криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных) заключается в использовании методов сжатия данных, которые при сохранении содержания информации уменьшают объем памяти, необходимой для ее хранения.

Криптографическое закрытие защищаемой информации в процессе ее непосредственной обработки осуществляется с помощью устройств программно-аппаратных комплексов, обеспечивающих шифрование и дешифрование файлов, групп файлов и разделов дисков, разграничение и контроль доступа к компьютеру, защиту информации, передаваемой по открытым каналам связи и сетям межмашинного обмена, электронную подпись документов, шифрование жестких и гибких дисков.