С чем связан возросший интерес к проблемам защиты информации
С чем связан возросший интерес к проблемам защиты информации
Дата публикации: 05.12.2014
Библиографическая ссылка:
Литвинова А.С., Боброва И.И. Информационная безопасность, как проблема современного общества // Портал научно-практических публикаций [Электронный ресурс]. URL: https://portalnp.snauka.ru/2014/12/2229 (дата обращения: 10.12.2021)
Литвинова Анна Сергеевна
Руководитель: к.п.н., доцент Боброва И.И.
Магнитогорский технический университет им. Носова
Институт педагогики, психологии и социальной работы
На данный момент времени особое значение во «всемирной паутине» приобретает информационная безопасность, из-за нарастающего процесса активного формирования и обширного использования информационных ресурсов в сети Интернет.
Что же такое информационная безопасность? И чем она важна для современного общества?
Под информационной безопасностью понимается защита информации и поддержка ее структуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации или владельцам как таковым[1].
Для людей или общества информационная безопасность внедрена практически во все сферы человеческой жизни. Она оказывает определенное влияние на состояние экономической, социальной, политической и других компонентов гражданской безопасности. Так же информационная безопасность сама становится неотъемлемой частью, составляющую безопасность нации, которая непрерывно растет с каждым годом.
Следует добавить, что также одной из важных черт современного общества определяется его информатизация – постоянная разработка и внедрение во все сферы деятельности человека информационных технологий и информационных средств. Информация и информационные ресурсы играют огромнейшую роль в развития личности, общества и государства. Все это дает основание утверждать, что информатизация играет сегодня решающую позитивную роль в развитии человечества, что в будущем нас ждет очень развитое и информационно подкованное общество.
На сегодняшний день у определенных субъектов общества возникает определенное желание обладать информационными ресурсами, средствами и технологиями и использовать так, чтобы они служили его интересам, нередко в незаконных целях. В таком случае информация становится объектом угроз.
Выходит, что информационная безопасность является одной из главных проблем, с которой сталкивается общество на современном этапе развития. Главная причина, из-за которой уделяется большое внимание данной проблеме, является то, что общество широко и масштабно использует средства накопления, хранения, обработки и передачи информации.
Из-за массовой информатизации общества, актуальность больше приобретает наличие знаний о нравственно-этических нормах и правовых основ использования средств новых информационных технологий в повседневной жизни, а так же в практической деятельности человека. Наиболее популярные примерами, которые определяют всю важность необходимости защиты информации, и обеспечения информационной безопасности, являются все более часто появляющиеся сообщения о компьютерных “взломах”, росте компьютерного пиратства, распространении компьютерных вирусов.
Ведь некоторые пользователи даже не подозревают, что становятся инициаторами информационных преступлений. Совершают частые и порой глупые ошибки. К примеру, регистрируются в какой-либо социальной сети, где запрашивают личные данные. Пользователи, не задумываясь, вводят все, начиная с имени и фамилии, заканчивая местом учебы и личным фото. Далее следуют последствия: прикрепленное фото может быть использовано в непристойных местах всего «простора» интернета с самыми разными комментариями. Появление кредита на это имя, и на немалую сумму. И так далее, до бесконечности, и всё из-за небрежности к безопасности в интернете.
Так же, новейшие разработки в технике помогают сильно увеличить эффективность способов и «инструментов» воздействия на психическое состояние людей и общественное сознание, разрабатывается огромное количество так называемых средств «тихого» управления личностным, групповым, индивидуальным и массовым сознанием. Так, например, к средствам такого «тихого» воздействия на сознание личности можно отнести такие новейшие разработки в технике информации, сайты в интернете, к ней относится сайты с различной негативной информации, в том числе порнографического, националистического и другого характера, рекламы, online игры и т. д.
По статистике наиболее в опасном положении, относительно таких сайтов зараженной или со специально созданной информацией перечисленного характера, находятся дети. Они могут наткнуться на один их таких сайтов по незнанию и заработать травму на всю жизнь. К счастью современные технологии, создавшие такие материалы, смогли так же изобрести и специальные фильтры, которые запрещают детям посещать подозрительные сайты. И это просто огромнейший шаг к информационной безопасности общества.
Такую безопасность информации в теории называют, информационно-психологическая безопасность общества. Она предоставляет условия для обеспечения психического здоровья отдельной личности и населения страны в целом, а так же помогает государству надежно работать над функционированием общественных институтов.
Отсюда вывод, что основной причиной потерь, связанных с компьютерами, является недостаточная образованность общества в области информационной безопасности. В процессе информатизации человек стал информационно «прозрачен». При наличии желания и средств любая имеющаяся информация о конкретной личности может стать доступной и быть использована в своих целях другой личностью, группой лиц, общественной группой и государством. Только незначительная часть населения способна предотвратить нежелательный доступ к своей информации. Большинство людей такой возможности не имеют и остаются беззащитными в этом плане. И от того насколько будет защищена информация, зависит не только от общества, а в первую очередь от государства.
Так как же поступать государству и обществу, чтоб избежать и нейтрализовать любую информационную угрозу. Давайте рассмотрим основные задачи решения этой проблемы.
1. Создать и реализовать законодательную базу, которая обеспечит безопасности государства, общества и личности, формирующей правовую основу для противостояния информационным угрозам. На данный момент многие страны мира уже давно начали использовать такую базу. Так, например, в России были введены следующие законы: «О государственной тайне», «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене» и т.д.[3]
2. Организация специальных мероприятий, которые будут влиять на обеспечение информационной безопасности в органах государственной власти страны и местного самоуправления. Для реализации данного пункта в России активно проводятся работы по созданию защищенной информационно-телекоммуникационной системы органов государственной власти, способной противостоять внешним и внутренним информационным угрозам[3].
3. Разработка и доступность отечественных высокоэффективных средств, методов и систем защиты информации в общегосударственных информационных и телекоммуникационных системах, а также методов обеспечения надежного и бесперебойного функционирования этих систем. Например, создание программ-фильтров или программ-антивирусов[3].
4. Создание и практическое внедрение эффективных средств, методов и систем защиты национальных информационных ресурсов страны от разрушений и несанкционированного доступа, повышение надежности и безопасности их хранения. В России уже ведутся научно-исследовательские работы не только по инструментальным средствам защиты информационных ресурсов, но и по их классификации по категориям информационной безопасности[3].
5. Развитие отечественной промышленности для производства в необходимых объемах современных средств информационной техники, используемых для создания и развития национальной информационной инфраструктуры, обеспечения деятельности оборонного комплекса, органов государственного управления и наиболее важных предприятий финансовой и деловой сферы[3]
6. Создание и планомерное проведение в жизнь специальных организационно-правовых и воспитательных мероприятий, направленных на предотвращение и нейтрализацию информационных угроз в духовной сфере жизни общества, формирование общественного сознания населения страны в направлении активного противодействия этим угрозам[3].
Конечно, все эти мероприятия направлены не только на защиту в Интернете, а рассмотрены на основе всех сфер жизнедеятельности человека. Хочется надеяться, что если все эти условия придут в исполнение вся информация личного характера, которая будет помещена в всемирных просторах информации, будет защищена от любого незаконного посягательства на нее.
Информационная безопасность – залог оптимального, устойчивого и в некоторой степени правильного развития нашего общества.
Связь с автором публикации (комментарии/рецензии к публикации)
Оставить комментарий
Вы должны авторизоваться, чтобы оставить комментарий.
ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
Использование автоматизированных систем обработки информации и управления обострило защиту информации, от несанкционированного доступа. Основные проблемы защиты информации в компьютерных системах возникают из-за того, что информация не является жёстко связанной с носителем. Её можно легко и быстро скопировать и передать по каналам связи. Информационная система подвержена как внешним, так и внутренним угрозам со стороны нарушителей.
Большинство утечек информации связанно с нарушением информационной безопасности вызванная внутренними угрозами, источниками которых являются легальные пользователи системы. Считается, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри автоматизированной системы конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные или ущемлённые в том или ином аспекте сотрудники компаний, которые своими действиями стремятся нанести организации финансовый или материальный ущерб. Всё это заставляет более пристально рассмотреть как возможные каналы утечки информации, так и дать возможность читателю ознакомиться со спектром технических решений, позволяющих предотвратить утечку данных.
Решение проблем защиты электронной информации базируется в основном на использовании криптографических методов. Притом современные методы криптографического преобразования сохраняют исходную производительность автоматизированной системы, что является немаловажным. Это является наиболее эффективным способом, обеспечивающим конфиденциальность данных, их целостность и подлинность. Использование криптографических методов в совокупности с техническими и организационными мероприятиями обеспечивают надежную защиту от широкого спектра угроз.
Основные проблемы защиты информации при работе в компьютерных сетях, можно условно разделить на три типа: перехват информации (нарушение конфиденциальности информации), модификация информации (искажение исходного сообщения или замена другой информацией), подмена авторства (кража информации и нарушение авторского права).
Сегодня защита компьютерных систем от несанкционированного доступа характеризуется возрастанием роли программных и криптографических механизмов по сравнению с аппаратными. Новые проблемы в области защиты информации уже требуют использования протоколов и механизмов со сравнительно высокой вычислительной сложностью.
В результате общедоступности информации в сети internet, выявляется слабость традиционных механизмов и отставание применения современных методов защиты. Криптография расширяет возможности защиты информации и обеспечивает её безопасность в сети. Стратегически правильным решением проблемы защиты информации, является использование достижений криптографии.
Отсутствие достаточного количества средств защиты информации на внутреннем рынке долгое время не позволяло осуществлять мероприятия по защите данных в необходимых масштабах. Усугублялась ситуация и отсутствием достаточного количества специалистов в области защиты информации, поскольку их подготовка велась с учетом требований специальных организаций.
В заключение можно сделать вывод: важной особенностью использования информационных технологий является необходимость эффективных решений проблемы защиты информационного ресурса, что предполагает рассредоточение мероприятий по защите данных среди пользователей. Основными направлениями защиты информации должно быть обеспечение защиты помещения от несанкционированных доступов и утечки от персонала входящие в состав организации, у которых есть доступ в зп и утечки по техническим каналам. Это самый рациональный и эффективный принцип защиты интересов организаций, что является первичной ячейкой на пути решения проблемы защиты информации и интересов государства в целом.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Современные проблемы в области информационной безопасности: классические угрозы, методы и средства их предотвращения
Рубрика: Технические науки
Статья просмотрена: 30228 раз
Библиографическое описание:
Киреенко, А. Е. Современные проблемы в области информационной безопасности: классические угрозы, методы и средства их предотвращения / А. Е. Киреенко. — Текст : непосредственный // Молодой ученый. — 2012. — № 3 (38). — С. 40-46. — URL: https://moluch.ru/archive/38/4365/ (дата обращения: 10.12.2021).
Проблема защиты информации с момента появления до современного состояния прошла длительный и во многом противоречивый путь в своем развитии. Изначально существовало два направления решения задачи поддержания конфиденциальности: использование криптографических методов защиты информации в средах передачи и хранения данных и программно-техническое разграничение доступа к данным и ресурсам вычислительных систем. При этом стоит учесть, что в начале 80–х годов компьютерные системы были слабо распределенными, технологии глобальных и локальных вычислительных сетей находились на начальной стадии своего развития, и указанные задачи удавалось достаточно успешно решать.
Позже, с появлением тенденции к распределенной обработке информации, классический подход к организации разделения ресурсов и классические криптографические протоколы начали постепенно исчерпывать себя и эволюционировать. Первостепенными стали проблемы аутентификации взаимодействующих элементов системы, а также способы управления криптографическими механизмами в распределенных компьютерных системах. Вместе с тем, начало складываться мнение о том, что функции криптографической защиты являются равноправными для автоматизированной системы и должны быть рассмотрены вместе с другими функциями. Даннаятеория послужила отправной точкой для разделения проблематики собственно средств защиты (включая криптографические средства, средства контроля доступа и др.) и средств обеспечения их корректной работы[1].
В начале 80–х годов возник ряд моделей защиты, основанных на разделении автоматизированной системы обработки информации на субъекты и объекты (модели Белла–Лападула, модель Take-Grant и др.). В данных моделях ставятся и исследуются вопросы взаимодействия элементов системы с заданными свойствами. Целью анализа и последующей реализации модели является именно достижение таких свойств системы, как конфиденциальность и доступность. Например, описывается дискреционный механизм безопасности, разделяющий доступ поименованных субъектов к поименованным объектам или полномочное управление доступом, моделирующее систему категорий и грифов доступа. Как правило, та или иная модель безопасности исходит из априорной технологии работы с объектами (так, например мандатная модель моделирует структуру секретного делопроизводства), которая может быть формализована и обоснована. При практической реализации данных моделей в конкретных системах встал вопрос о гарантиях выполнения их свойств (фактически это выполнение условий тех или иных утверждений, обосновывающих свойства формализованной модели) [2].
Так как процесс обеспечения информационной безопасности – это непрерывный процесс, то и существующая методология проектирования защищенной системы представляет собой итеративный процесс устранения найденных слабостей, некорректностей и неисправностей.
В 1996 г. в классической работе Грушо А. А. и Тимониной Е.Е. «Теоретические основы защиты информации» [3] был высказан и обоснован тезис о том, что гарантированную защищенность в автоматизированной системе следует понимать как гарантированное выполнение априорно заданной политики безопасности.
Ранее условия гарантий политики безопасности формулировались в виде стандартов (без доказательства). Именно такой подход применили американские специалисты по компьютерной безопасности, опубликовав с 1983 г. несколько книг стандарта так называемой «радужной серии». В России аналогичные документы были приняты Государственной технической комиссией в 1992 г. и дополнены в 1995 г. ГОСТ Р 50739–95 (СВТ. Защита от несанкционированного доступа к информации. Общие технические требования).
Нельзя не отметить конструктивность такого подхода к формулированию гарантий политики безопасности, поскольку проверка наличия заданного набора свойств достаточно легко проводится или может быть заложена при проектировании. Однако эти требования рассматриваются без учета связи между собой, т.е формально и не структурировано. Качественное описание свойств системы (например, «идентификация и аутентификация» или «контроль целостности») не касается взаимосвязи данных механизмов и их количественных характеристик.
Математическая модель политики безопасности рассматривает систему защиты в некотором стационарном состоянии, когда действуют защитные механизмы, а описание разрешенных или неразрешенных действий не меняется. На практике же система обработки информации проходит путь от отсутствия защиты к полному оснащению защитными механизмами. При этом система управляется, т.е. разрешенные и неразрешенные действия в ней динамически изменяются.
Упомянутые выше методики оценки защищенности представляют собой в какой–то мере необходимые условия. Выполнение заданного набора качественных показателей с одной стороны не позволяет оценить количественно каждый показатель, а с другой препятствует системному подходу.
Таким образом, основной особенностью информационной безопасности автоматизированных систем всегда являлась(и является сейчас) ее практическая направленность.
КЛАССИЧЕСКИЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Угроза безопасности информации компьютерной системы (КС) – это потенциально возможное воздействие на информацию (КС), которое прямо или косвенно может нанести урон пользователям или владельцам информации (КС).
Угрозы информационной безопасности могут быть разделены на два вида:
естественные угрозы физических воздействий на информацию стихийных природных явлений – угрозы не зависящие от деятельности человека;
искусственные угрозы –угрозы, вызванные человеческой деятельностью и являющиеся гораздо более опасными.
Искусственные угрозы,в зависимости от их мотивов, разделяются на непреднамеренные (случайные) и преднамеренные (умышленные).
К непреднамеренным угрозам относятся:
ошибки в проектировании КС;
ошибки в разработке программных средств КС;
случайные сбои в работе аппаратных средств КС, линий связи, энергоснабжения;
ошибки пользователей КС;
воздействие на аппаратные средства КС физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.
Наибольшего внимания заслуживают искусственные преднамеренные угрозы, ввиду того, что вероятность этих угроз намного выше уже описанных. Классификация данного вида угроз приведена в таблице 1.1.
– субъективно определяемая характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации.
Нарушение установленных ограничений на доступ к информации.
— несанкционированные действия обслуживающего персонала КС (например, ослабление политики безопасности администратором, отвечающим за безопасность КС);
— несанкционированный доступ к ресурсам КС со стороны пользователей КС и посторонних лиц, ущерб от которого определяется полученными нарушителем полномочиями.
– свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).
Несанкционированное изменение информации (случайное или преднамеренное).
– свойство компьютерной системы (среды, средств и технологии обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.
Несанкционированное блокирование доступа к информации. Блокирование может быть постоянным или временным (достаточным для того, чтобы информация стала бесполезной).
ОСНОВНЫЕ МЕТОДЫ РЕАЛИЗАЦИИ УГРОЗ ИНФОРМАЦИОННОЙ
К основным направлениям реализации злоумышленником информационных угроз относятся[4]:
непосредственное обращение к объектам доступа;
создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;
внедрение в технические средства системы программных или технических механизмов, нарушающих её предполагаемую структуру и функции.
При рассмотрении вопросов защиты автоматизированных систем целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой системе информации, которая поможет систематизировать как возможные угрозы, так и меры по их нейтрализации и парированию, т.е. поможет систематизировать и обобщить весь спектр методов обеспечения защиты, относящихся к информационной безопасности. Эти уровни следующие:
уровень носителей информации;
уровень средств взаимодействия с носителем;
уровень представления информации;
уровень содержания информации.
Данные уровни были введены исходя из того, что:
Информация для удобства манипулирования чаще всего фиксируется на некотором материальном носителе, которым может быть бумага, дискета или иной носитель;
Если способ представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходимость в преобразователях информации в доступный для человека способ представления.
Как уже было отмечено, информация может быть охарактеризована способом своего представления или тем, что еще называется языком в обиходном смысле.
Человеку должен быть доступен смысл представленной информации, ее семантика.
Распределение методов реализации угроз информационной безопасности по уровням представлено в таблице 1.2.
Уровень доступа к информации
Основные методы реализации угроз информационной безопасности
Угроза раскрытия параметров системы
Угроза нарушения конфиденциальности
Угроза нарушения целостности
Угроза нарушения доступности
Носителей информации.
Определение типа и параметров носителей информации.
Хищение (копирование) носителей информации; перехват ПЭМИН.
Уничтожение машинных носителей информации.
Выведение из строя машинных носителей информации.
Средств взаимодействия с носителем.
Получение информации о программно-аппаратной среде; получение детальной информации о функциях, выполняемых системой; получение данных о применяемых системах защиты.
Несанкционированный доступ к ресурсам системы; совершение пользователем несанкционированных действий; несанкционированное копирование программного обеспечения; перехват данных, передаваемых по каналам связи.
Внесение пользователем несанкционированных изменений в программы и данные; установка и использование нештатного программного обеспечения; заражение программными вирусами
Проявление ошибок проектирования и разработки программно-аппаратных компонент системы; обход механизмов защиты.
Представления информации.
Определение способа представления информации.
Визуальное наблюдение; раскрытие представления информации (дешифрование).
Внесение искажения в представление данных; уничтожение данных.
Искажение соответствия синтаксических и семантических конструкций языка.
Содержания информации.
Определение содержания данных на качественном уровне.
Раскрытие содержания информации.
Внедрение дезинформации.
Запрет на использование информации.
Существующие методы и средства защиты информации можно подразделить на четыре основные группы [5]:
методы и средства организационно-правовой защиты информации;
методы и средства инженерно-технической защиты информации;
криптографические методы и средства защиты информации;
программно-аппаратные методы и средства защиты информации.
ОРГАНИЗАЦИОННО–ПРАВОВЫЕ МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ
К методам и средствам организационной защиты информации относятся организационно–технические и организационно–правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.
Основные свойства методов и средств организационной защиты:
обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);
объединение всех используемых в КС средств в целостный механизм защиты информации.
Методы и средства организационной защиты информации включают в себя:
ограничение физического доступа к объектам КС и реализация режимных мер;
ограничение возможности перехвата ПЭМИН;
разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);
резервное копирование наиболее важных с точки зрения утраты массивов документов;
профилактику заражения компьютерными вирусами.
Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей. В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты, при этом далеко не все.
Можно выделить четыре уровня правового обеспечения информационной безопасности.
Международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России.
Подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ.
Государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами.
Локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации.
ИНЖЕНЕРНО–ТЕХНИЧЕСКИЕ МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ
Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, которые обеспечивают:
защиту территории и помещений КС от проникновения нарушителей;
защиту аппаратных средств КС и носителей информации от хищения;
предотвращение возможности удаленного (из–за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств КС;
предотвращение возможности перехвата ПЭМИН, вызванных работающими техническими средствами КС и линиями передачи данных;
организацию доступа в помещения КС сотрудников;
контроль над режимом работы персонала КС;
контроль над перемещением сотрудников КС в различных производственных зонах;
противопожарную защиту помещений КС;
минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий.
Важнейшей составной частью инженерно-технических средств защиты информации являются технические средства охраны, которые образуют первый рубеж защиты КС и являются необходимым, но недостаточным условием сохранения конфиденциальности и целостности информации в КС.
ПРОГРАММНЫЕ И ПРОГРАММНО–АППАРАТНЫЕ МЕТОДЫ И СРЕДСТВА
К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств КС.
К основным аппаратным средствам защиты информации относятся:
устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);
устройства для шифрования информации;
устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).
Примеры вспомогательных аппаратных средств защиты информации:
устройства уничтожения информации на магнитных носителях;
устройства сигнализации о попытках несанкционированных действий пользователей КС и др.
Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций.
К основным программным средствам защиты информации относятся:
программы идентификации и аутентификации пользователей КС;
программы разграничения доступа пользователей к ресурсам КС;
программы шифрования информации;
программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т п.) от несанкционированного изменения, использования и копирования.
Заметим, что под идентификацией, применительно к обеспечению информационной безопасности КС, понимают однозначное распознавание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта).
Примеры вспомогательных программных средств защиты информации:
программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т.п.);
программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;
программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);
программы тестового контроля защищенности КС и др.
К преимуществам программных средств защиты информации относятся:
гибкость (возможность настройки на различные условия применения, учитывающие специфику угроз информационной безопасности конкретных КС);
простота применения – одни программные средства, например шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя никаких новых (по сравнению с другими программами) навыков;
практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации.
К недостаткам программных средств защиты информации относятся:
снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирования программ защиты;
более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты, например шифрования);
пристыкованность многих программных средств защиты (а не их встроенность в программное обеспечение КС), что создает для нарушителя принципиальную возможность их обхода;
возможность злоумышленного изменения программных средств защиты в процессе эксплуатации КС.
В руководящих документах Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) приведены следующие основные способы несанкционированного доступа к информации в КС:
непосредственное обращение к объекту с конфиденциальной информацией (например, с помощью управляемой пользователем программы, читающей данные из файла или записывающей их в него);
создание программных и технических средств, выполняющих обращение к объекту в обход средств защиты (например, с использованием случайно или преднамеренно оставленных разработчиком этих средств, так называемых «люков»);
модификация средств защиты для осуществления несанкционированного доступа (например, внедрение программных закладок);
внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих структуру и функции этих средств для осуществления несанкционированного доступа (например, путем загрузки на компьютере иной, незащищенной операционной системы).
Модель нарушителя определяется исходя из следующих предположений [6]:
нарушитель имеет доступ к работе со штатными средствами КС;
нарушитель является специалистом высшей квалификации (знает все о КС и, в частности, о системе и средствах ее защиты).
Можно выделить следующие уровни возможностей нарушителя, предоставляемые ему штатными средствами КС (каждый следующий уровень включает в себя предыдущий):
Запуск программ из фиксированного набора (например, подготовка документов или получение почтовых сообщений);
Создание и запуск собственных программ (возможности опытного пользователя или пользователя с полномочиями отладки программ);
Управление функционированием КС – воздействие на ее базовое программное обеспечение, состав и конфигурацию КС (например, внедрение программной закладки);
Весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт средств КС, вплоть до включений в состав КС собственных СВТ с новыми функциями.
С учетом различных уровней возможностей нарушителя выделяют следующие вспомогательные способы несанкционированного доступа к информации в КС, позволяющие нарушителю; использовать перечисленные ранее основные способы:
ручной или программный подбор паролей путем их полного перебора или при помощи специального словаря (взлом КС);
подключение к КС в момент кратковременного прекращения работы легального пользователя, работающего в интерактивном режиме и не заблокировавшего свой терминал;
подключение к линии связи и перехват доступа к КС после отправки пакета завершения сеанса легального пользователя, работающего в удаленном режиме;
выдача себя за легального пользователя с применением похищенной у него или полученной обманным путем (с помощью так называемой социальной инженерии) идентифицирующей информации – «маскарад»;
создание условий для связи по компьютерной сети легального пользователя с терминалом нарушителя, выдающего себя за легального объекта КС (например, одного из ее серверов), – «мистификация»;
создание условий для возникновения в работе КС сбоев, которые могут повлечь за собой отключение средств защиты информации или нарушение правил политики безопасности;
тщательное изучение подсистемы защиты КС и используемой в ней политики безопасности, выявление ошибочных участков в программных средствах защиты информации в КС, введение программных закладок, разрешающих доступ нарушителю.
В соответствии с руководящими ФСТЭК РФ основными направлениями обеспечения защиты СВТ и АС от несанкционированного доступа являются создание системы разграничения доступа (СРД) субъектов к объектам доступа и создание обеспечивающих средств для СРД.
К основным функциям СРД относятся:
реализация правил разграничения доступа субъектов и их процессов к информации и устройствам создания ее твердых копий;
изоляция процессов, выполняемых в интересах субъекта доступа, от других субъектов;
управление потоками информации в целях предотвращения ее записи на носители несоответствующего уровня конфиденциальности;
реализация правил обмена информацией между субъектами в компьютерных сетях.
К функциям обеспечивающих средств для СРД относятся:
идентификация и аутентификация субъектов и поддержание привязки субъекта к процессу, выполняемому для него;
регистрация действий субъекта и активизированного им процесса;
исключение и включение новых субъектов и объектов доступа, изменение полномочий субъектов;
реакция на попытки несанкционированного доступа (сигнализация, блокировка, восстановление объекта после несанкционированного доступа);
учет выходных печатных форм в КС;
контроль целостности программной и информационной части СРД и обеспечивающих ее средств.
В данной статье было дано обобщенное описание современных проблем в области защиты информации, приведена классификация угроз безопасности компьютерных систем. Также была приведена классификация методов и средств защиты информации, описаны основные виды несанкционированного доступа к ресурсам автоматизированных систем. Показано, что основными способами защиты от несанкционированного доступа к информации в компьютерных системах являются аутентификация, авторизация (определение прав доступа субъекта к объекту с конфиденциальной информацией) и шифрование информации.
Важнейшим механизмом современных средств обеспечения комплексной защиты информации является система разграничения доступа к ресурсам. В теории компьютерной безопасности существует множество моделей разграничения доступа различающихся как по уровню защиты, так и по сложности реализации и администрирования.
Жидких А.Д. Статья «Обучающая система».
Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. – Екатеринбург: Издательство Урал.университета, 2003. – 328 с.
Грушо А.А., Тимонина Е.Е. “Теоретические основы защиты информации” – Москва: Издательство Агентства “Яхтсмен”, 1996.
Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. – М.: Радио и связь, 2000. – 192 с.
Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. – Diasoft, 2001. – 688 стр.
Хорев П.Б. Методы и средства защиты информации в компьютерных системах. – М.: Издательский центр “Академия”, 2005. – 256 с.