Информатика и вычислительная техника

         

Проблема защиты информации в условиях информатизации и компьютеризации общества


Разработка и широкое применение компьютерных и телекоммуникационных систем, переход на их основе к созданию всеобщего информационного пространства делает в настоящее время исключительно важной и актуальной проблему защиты информации, или иначе, проблему информационной безопасности. В процессе интенсивного развития рынка информационных продуктов и услуг информация становится полноценным товаром, обладающим своими стоимостными характеристиками и потребительскими качествами.

Подобно любым другим традиционно существующим товарам, информация также нуждается в своей сохранности и, следовательно, надежной защите. Защитить информацию - это значит:

  • - обеспечить физическую целостность, т.е. не допускать ее искажения или уничтожения;
  • - не допустить ее подмены (модификации);
  • - не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;
  • - быть уверенным в том, что передаваемые (продаваемые) информационные ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями.

Приступая к разработке средств защиты для конкретной информационной системы, вначале необходимо всесторонне и комплексно проанализировать структурную и функциональную организацию данной системы, а также особенности ее взаимодействия с окружающей средой и пользователями. В результате такого анализа

43

  • - определяется перечень объектов и элементов системы, которые могут быть подвергнуты (косвенно или непосредственно) угрозам с целью нарушения защищенности информации;
  • - устанавливаются возможные источники таких угроз;
  • - исследуются формы, пути и последствия проявления и осуществления различных угроз.

При этом объектом защиты называют структурный компонент информационной системы, в котором находится или может находиться подлежащая защите информация. К числу объектов защиты можно, например, отнести терминалы пользователей, средства отображения и документирования информации, компьютерный зал и хранилище носителей информации, каналы связи и сетевое оборудование и др.


В качестве элементов зашиты выступают блоки информации, которые хранятся, обрабатываются или перемещаются в объектах защиты. Это могут быть различные данные и программы, хранящиеся в основной или внешней памяти компьютера, отображаемые на экране монитора, печатаемые принтером, передаваемые по каналам связи и др.

Процессы, вызывающие нарушение защиты информации, можно разделить на случайные и злоумышленные (преднамеренные). В первом случае источниками разрушительных, искажающих и иных процессов являются непреднамеренные, ошибочные действия людей, технические сбои и др.; во втором случае - злоумышленные действия людей.

Причинами случайного воздействия при функционировании компьютерных систем могут быть:

  • - отказы и сбои аппаратуры в случае ее некачественного изготовления или физического старения;
  • - помехи в каналах связи от воздействия внешней среды;
  • - аварийные ситуации (пожар, выход из строя электропитания и др.);
  • - схемные и системотехнические ошибки и просчеты разработчиков или производителей;
  • - алгоритмические и программные ошибки;
  • - ошибки пользователя при работе с компьютером.


Злоумышленные или преднамеренные угрозы - результат воздействия человека на объекты или процессы по самым разным причинам (материальный интерес, желание навредить и др.).

Несанкционированное ознакомление с информацией подразделяется на пассивное и активное. В первом случае не происходит нарушения информационных ресурсов, и нарушитель лишь получает возможность раскрывать содержание сообщений, используя это в дальнейшем в своих корыстных целях. Во втором случае нарушитель может выборочно измерить, уничтожить, переупорядочить и перенаправить сообщения, создать поддельные сообщения и др.

Следует также отметить, что если в первые десятилетия активного использования ЭВМ основную опасность представляли хакеры, или "электронные

44



разбойники", которые подключались к компьютерам через телефонную сеть, то в последнее десятилетие нарушение защиты информации прогрессирует с использованием программных средств - компьютерных вирусов и через глобальную сеть Интернет.



Практика функционирования современных информационных систем показывает, что существует достаточно много способов несанкционированного доступа к информации:

  • - просмотр, копирование и подмена данных;
  • - ввод ложных программ и сообщений путем подключения к линиям связи;
  • - чтение остатков информации на ее носителях;
  • - прием сигналов электромагнитного излучения и акустического характера с помощью специальных средств (условно называемых "шпионскими") и т.п.


Особо опасна ситуация, когда нарушителем является пользователь компьютерной системы, имеющий согласно своим функциональным обязанностям законный доступ к одной части информации, но обращающийся к другой за пределами своих полномочий.

При отсутствии на рабочем месте законного пользователя или при его халатном отношении к своим должностным обязанностям квалифицированный нарушитель путем ввода соответствующих команд может осуществить несанкционированный доступ к информации, может визуально наблюдать информацию на средствах отображения и документирования, а также похитить носители с информацией (дискеты, листинги и др.) либо снять с них копию.

На практике при построении системы защиты информации сложились два подхода: фрагментарный и комплексный. При фрагментарном подходе мероприятия по защите информации направляются на противодействие вполне определенным угрозам при строго определенных условиях, например обязательная проверка магнитных носителей антивирусными программами. Более эффективным является комплексный подход, при котором различные меры противодействия угрозам объединяются, формируя так называемую архитектуру безопасности систем.

Учитывая важность, масштабность и сложность решения проблемы сохранности и безопасности информации, рекомендуется разрабатывать архитектуру безопасности в несколько этапов:

  • - анализ возможных угроз;
  • - разработка системы защиты;
  • - реализация и сопровождение системы защиты.


Для обеспечения безопасности информации используется комплекс средств и мероприятий организационного, инженерно - технического, программно - аппаратного, криптографического, правового характера и др., объединяемый общим понятием "система защиты информации".



45

Организационные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам системы обработки данных, регламентации деятельности персонала и др. Их цель - в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Наиболее типичные организационные меры:

  • - создание контрольно - пропускного режима на территории, где располагаются ЭВМ и другие средства обработки информации;
  • - изготовление и выдача специальных пропусков;
  • - допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
  • - организация учета использования и уничтожения документов (носителей) с конфиденциальной информацией;
  • - хранение носителей информации, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;
  • - разработка должностных, инструкций и правил по работе с компьютерными средствами и информационными массивами;
  • - разграничение доступа к информационными и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями и др.


Инженерно - технические средства защиты призваны создать некоторую физически замкнутую среду вокруг объектов и элементов защиты. В этом случае используются такие мероприятия, как:

  • - установка средств физической преграды защитного контура помещений, где ведется обработка информации (кодовые замки, охранная сигнализация - звуковая, световая, визуальная без записи или с записью на видеопленку);
  • - ограничение электромагнитного излучения путем экранирования помещений;
  • - обеспечение электропитания оборудования, обрабатывающего ценную информацию, от автономного источника питания или от общей электросети через специальные сетевые фильтры;
  • - применение, во избежание дистанционного съема информации, жидкокристаллических или плазменных дисплеев, струйных или лазерных принтеров с низким электромагнитным и акустическим излучением;
  • - использование автономных средств защиты аппаратуры в виде кожухов, крышек, шторок с установкой средств контроля вскрытия аппаратуры.




Программно - аппаратные средства применяются широко и активно в персональных компьютерах и компьютерных сетях. Этими средствами реализуются такие функции, как разграничение и автоматическая регистрация доступа пользователей к тем или иным ресурсам, регистрация и анализ протекающих процессов, событий, пользователей, применение различных

46

типов антивирусных программ, позволяющих обнаруживать и уничтожать вирусы, а также "лечить" зараженные ресурсы.

Ключевыми понятиями в системе программно - аппаратных средств защиты являются идентификация и аутентификация объектов. Объектами идентификации и аутентификации могут быть люди (пользователи, операторы и др.), технические средства (мониторы, абонентские пункты), документы, магнитные носители информации и т.д. При идентификации тому или иному объекту присваивается уникальное имя или пароль, а при аутентификации устанавливается подлинность объекта, т.е. является ли он действительно тем, за кого себя выдает. Конечная цель идентификации и аутентификации объекта - допуск данного объекта к информации ограниченного пользования в случае положительных результатов проверки или отказ в допуске в случае отрицательного исхода проверки.

Существенное повышение надежности и эффективности идентификации и аутентификации объектов и, следовательно, информационной безопасности в целом достигается применением криптографических средств защиты. Криптографическое преобразование (шифрование), известное с древнейших времен, всегда оставалось привилегией исключительно правительственных и военных учреждений. Однако в последние десятилетия сфера применения криптографии существенно расширилась, особенно за счет различных коммерческих и банковских структур и организаций.

Защита информации методом криптографического преобразования заключается в приведении ее к неявному виду с помощью специальных алгоритмов либо аппаратных средств и кодов ключей. Ключ - это изменяемая часть криптографической системы, хранящаяся в тайне и определяющая, какое шифрующее преобразование из возможных выполняется в данном случае.


С помощью каждый раз меняющегося кода ключа обеспечивается оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет относительно быстро, просто и надежно расшифровать текст. Однако без знания ключа эта процедура может оказаться практически невыполнимой.

Завершая рассмотрение различных средств защиты информации (организационных, инженерно - технических и др.), следует подчеркнуть, что затраты на их реализацию неуклонно растут, доходя уже до половины всех затрат, предназначенных для создания и функционирования систем обработки данных.

Эти затраты носят вполне оправданный характер, так как защита информации - это в первую очередь защита национальных интересов страны. Вот почему приобретают исключительно важное значение действующие в стране законы и нормативные акты, обеспечивающие правовую защиту информации.

47

В США первый закон о защите информации был принят более 90 лет назад, а в настоящее время в стране действуют около 500 нормативных актов, посвященных этой проблеме.

Продвижение нашей страны по пути рыночных преобразований обусловило необходимость принятия законодательных актов, регулирующих отношения, которые возникают при формировании и использовании информационных ресурсов. Эти акты предусматривают меры, направленные на создание и охрану национальных информационных ресурсов как общероссийского национального достояния. Это нашло свое отражение в Законе РФ "Об информации, информатизации и защите информации". Закон предотвращает бесхозяйственное отношение к информационным ресурсам, обеспечивает информационную безопасность, а также права юридических и физических лиц на получение информации.

48

43 :: 44 :: 45 :: 46 :: 47 :: 48 :: Содержание


Содержание раздела