Системы защиты компьютера от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы, как:
– средства собственной защиты, предусмотренные общим программным обеспечением;
– средства защиты в составе вычислительной системы;
– средства защиты с запросом информации;
– средства активной защиты;
– средства пассивной защиты и др.
Более подробно эти группы защиты представлены на рис. 12.
Рис. 12. Средства программной защиты
Основные направления использования программной защиты информации
Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности такие, как:
– защита информации от несанкционированного доступа;
– защита информации от копирования;
– защита программот копирования;
– защита программот вирусов;
– защита информации от вирусов;
– программная защита каналов связи.
По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов (рис. 13).
Рис. 13.Программные средства защиты
Программные средства защиты имеют следующие разновидности специальных программ:
Идентификации технических средств, файлов и аутентификации пользователей;
Регистрации и контроля работы технических средств и пользователей;
Обслуживания режимов обработки информации ограниченного пользования;
Защиты операционных средств ЭВМ и прикладных программ пользователей;
Уничтожения информации в ЗУ после использования;
Сигнализирующих нарушения использования ресурсов;
Вспомогательных программ защиты различного назначения(рис.14).
Рис. 14. Сферы программной защиты
Идентификация технических средств и файлов, осуществляемая программно, делается на основе анализа регистрационных номеров различных компонентов и объектов информационной системы и сопоставления их со значениями адресов и паролей, хранящихся в ЗУ системы управления.
Для обеспечения надежности защиты с помощью паролей работа системы защиты организуется таким образом, чтобы вероятность раскрытия секретного пароля и установления соответствия тому или иному идентификатору файла или терминала была как можно меньше. Для этого надо периодически менять пароль, а число символов в нем установить достаточно большим.
Эффективным способом идентификации адресуемых элементов и аутентификации пользователей является алгоритм запросно-ответного типа, в соответствии с которым система защиты выдает пользователю запрос на пароль, после чего он должен дать на него определенный ответ. Так как моменты ввода запроса и ответа на него непредсказуемы, это затрудняет процесс отгадывания пароля, обеспечивая тем самым более высокую надежность защиты.
Получение разрешения на доступ к тем или иным ресурсам можно осуществить не только на основе использования секретного пароля и последующих процедур аутентификации и идентификации. Это можно сделать более детальным способом, учитывающим различные особенности режимов работы пользователей, их полномочия, категории запрашиваемых данных и ресурсов. Этот способ реализуется специальными программами, анализирующими соответствующие характеристики пользователей, содержание заданий, параметры технических и программных средств, устройств памяти и др.
Поступающие в систему защиты конкретные данные, относящиеся к запросу, сравниваются в процессе работы программ защиты с данными, занесенными в регистрационные секретные таблицы (матрицы). Эти таблицы, а также программы их формирования и обработки хранятся в зашифрованном виде и находятся под особым контролем администратора (администраторов) безопасности информационной сети.
Для разграничения обращения отдельных пользователей к вполне определенной категории информации применяются индивидуальные меры секретности этих файлов и особый контроль доступа к ним пользователей. Гриф секретности может формироваться в виде трехразрядных кодовых слов, которые хранятся в самом файле или в специальной таблице. В этой же таблице записываются: идентификатор пользователя, создавшего данный файл; идентификаторы терминалов, с которых может быть осуществлен доступ к файлу; идентификаторы пользователей, которым разрешен доступ к данному файлу, а также их права на пользование файлом (считывание, редактирование, стирание, обновление, исполнение и др.). Важно не допустить взаимовлияния пользователей в процессе обращения к файлам. Если, например, одну и ту же запись имеют право редактировать несколько пользователей, то каждому из них необходимо сохранить именно его вариант редакции (делается несколько копий записей с целью возможного анализа и установления полномочий).
Защита информации от несанкционированного доступа
Для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:
– идентификация субъектов и объектов;
– разграничение (иногда и полная изоляция) доступа к вычислительным ресурсам и информации;
– контроль и регистрация действий с информацией и программами.
Процедура идентификации и подтверждения подлинности предполагает проверку – является ли субъект, осуществляющий доступ (или объект, к которому осуществляется доступ), тем, за кого себя выдает. Подобные проверки могут быть одноразовыми или периодическими (особенно в случаях продолжительных сеансов работы). В процедурах идентификации используются различные методы:
– простые, сложные или одноразовые пароли;
– обмен вопросами и ответами с администратором;
– ключи, магнитные карты, значки, жетоны;
– средства анализа индивидуальных характеристик (голоса, отпечатков пальцев, геометрических параметров рук, лица);
– специальные идентификаторы или контрольные суммы для аппаратуры, программ, данных и др.
Наиболее распространенным методом идентификацииявляется парольная идентификация.
Практика показала, что парольная защита данных является слабым звеном, так как пароль можно подслушать или подсмотреть, пароль можно перехватить, а то и просто разгадать.
Для защиты самого пароля выработаны определенные рекомендации, как сделать пароль надежным:
– пароль должен содержать, по крайней мере, восемь символов. Чем меньше символов содержит пароль, тем легче его разгадать;
– не используйте в качестве пароля очевидный набор символов, например, ваше имя, дату рождения, имена близких или наименования ваших программ. Лучше всего использовать для этих целей неизвестную формулу или цитату;
– если криптографическая программа позволяет, введите в пароль, по крайней, мере один пробел, небуквенный символ или прописную букву;
– не называйте никому ваш пароль, не записывайте его. Если вам пришлось нарушить эти правила, спрячьте листок в запираемый ящик;
– чаще меняйте пароль;
– не вводите пароль в процедуру установления диалога или макрокоманду.
Помните, что набранный на клавиатуре пароль часто сохраняется в последовательности команд автоматического входа в систему.
Для идентификации программ и данных часто прибегают к подсчету контрольных сумм, однако, как и в случае парольной идентификации, важно исключить возможность подделки при сохранении правильной контрольной суммы. Это достигается путем использования сложных методов контрольного суммирования на основе криптографических алгоритмов. Обеспечить защиту данных от подделки (имитостойкость) можно, применяя различные методы шифрования и методы цифровой подписи на основе криптографических систем с открытым ключом.
После выполнения процедур идентификации и установления подлинности пользователь получает доступ к вычислительной системе, и защита информации осуществляется на трех уровнях:
– аппаратуры;
– программного обеспечения;
– данных.
Защита на уровне аппаратуры и программного обеспечения предусматривает управление доступом к вычислительным ресурсам: отдельным устройствам, оперативной памяти, операционной системе, специальным служебным или личным программам пользователя.
Защита информации на уровне данных направлена:
– на защиту информации при обращении к ней в процессе работы на ПЭВМ и выполнения только разрешенных операций над ними;
– на защиту информации при ее передаче по каналам связи между различными ЭВМ.
Управление доступом к информации позволяет ответить на вопросы:
– кто может выполнять и какие операции;
– над какими данными разрешается выполнять операции.
Объектом, доступ к которому контролируется, может быть файл, запись в файле или отдельное поле записи файла, а в качестве факторов, определяющих порядок доступа, определенное событие, значения данных, состояние системы, полномочия пользователя, предыстория обращения и другие данные.
Доступ, управляемый событием, предусматривает блокировку обращения пользователя. Например, в определенные интервалы времени или при обращении с определенного терминала. Доступ, зависящий от состояния, осуществляется в зависимости от текущего состояния вычислительной системы, управляющих программ и системы защиты.
Что касается доступа, зависящего от полномочий, то он предусматривает обращение пользователя к программам, данным, оборудованию в зависимости от предоставленного режима. Такими режимами могут быть: «только читать», «читать и писать», «только выполнять» и др.
В основе большинства средств контроля доступа лежит то или иное представление матрицы доступа.
Другой подход к построению средств защиты доступа основан на контроле информационных потоков и разделении субъектов и объектов доступа на классы конфиденциальности.
Средства регистрации, как и средства контроля доступа, относятся к эффективным мерам защиты от несанкционированных действий. Однако, если средства контроля доступа предназначены для предотвращения таких действий, то задача регистрации – обнаружить уже совершенные действия или их попытки.
В общем, комплекс программно-технических средств и организованных (процедурных) решений по защите информации от несанкционированного доступа (НСД) реализуется следующими действиями:
– управлением доступом;
– регистрацией и учетом;
– применением криптографических средств;
– обеспечением целостности информации.
Можно отметить следующие формы контроля и разграничения доступа, которые нашли широкое применение на практике.
1. Предотвращение доступа:
– к жесткому диску;
– к отдельным разделам;
– к отдельным файлам;
– к каталогам;
– к гибким дискам;
– к сменным носителям информации.
2. Установка привилегий доступа к группе файлов.
3. Защита от модификации:
– файлов;
– каталогов.
4. Защита отуничтожения:
– файлов;
– каталогов.
5. Предотвращение копирования:
– файлов;
– каталогов;
– прикладных программ.
6. Затемнение экрана по истечении времени, установленного пользователем.
В обобщенном виде средства защиты данных приведены на рис. 15.
Рис. 15. Средства защиты данных
Защита от копирования
Средства защиты от копирования предотвращают использование ворованных копий программного обеспечения и в настоящее время являются единственно надежным средством – как защищающим авторское право программистов-разработчиков, так и стимулирующим развитие рынка. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом (называемым ключевым) может быть дискета, определенная часть компьютера или специальное устройство, подключаемое к ПЭВМ. Защита от копирования реализуется выполнением ряда функций, являющихся общими для всех систем защиты:
– идентификация среды, из которой будет запускаться программа;
– аутентификация среды, из которой запущена программа;
– реакция на запуск из несанкционированной среды;
– регистрация санкционированного копирования;
– противодействие изучению алгоритмов работы системы.
Под средой, из которой будет запускаться программа, подразумевается либо дискета, либо ПЭВМ (если установка происходит на НЖМД). Идентификация среды заключается в том, чтобы некоторым образом поименовать среду с целью дальнейшей ее аутентификации. Идентифицировать среду – значит закрепить за ней некоторые специально созданные или измеренные редко повторяющиеся и трудно подделываемые характеристики – идентификаторы. Идентификация дискет может быть проведена двумя способами.
Первый основан на нанесении повреждений на некоторую часть поверхности дискеты. Распространенный способ такой идентификации – «лазерная дыра». При этом способе дискета прожигается в некотором месте лазерным лучом. Очевидно, что сделать точно такую же дырку в дискете-копии и в том же самом месте, как и на дискете-оригинале, достаточно сложно.
Второй способ идентификации основан на нестандартном форматировании дискеты.
Реакция на запуск из несанкционированной среды обычно сводится к выдаче соответствующего сообщения.
Защита информации от разрушения
Одной из задач обеспечения безопасности для всех случаев пользования ПЭВМ является защита информации от разрушения, которое может произойти при подготовке и осуществлении различных восстановительных мероприятий (резервировании, создании и обновлении страховочного фонда, ведении архивов информации и др.). Так как причины разрушения информации весьма разнообразны (несанкционированные действия, ошибки программ и оборудования, компьютерные вирусы и др.), то проведение страховочных мероприятий обязательно для всех, кто пользуется персональными ЭВМ.
Необходимо специально отметить опасность компьютерных вирусов. Многие пользователи ЭВМ (ПЭВМ) о них хорошо знают, а тот, кто с ними еще не знаком, скоро познакомится. Вирус компьютерный – небольшая, достаточно сложная, тщательно составленная и опасная программа, которая может самостоятельно размножаться, переносить себя на диски, прикрепляться к чужим программам и передаваться по информационным сетям. Вирус обычно создается для нарушения работы компьютера различными способами – от «безобидной» выдачи какого-либо сообщения до стирания, разрушения файлов.
Основную массу вирусов создают люди, хулиганствующие программисты, в основном, чтобы потешить свое самолюбие или заработать деньги на продаже антивирусов. Антивирус – программа, обнаруживающая или обнаруживающая и удаляющая вирусы. Такие программы бывают специализированными или универсальными. Чем отличается универсальный антивирус от специализированного? Специализированный способен бороться только с уже написанными, работающими вирусами, а универсальный – и с еще не написанными.
К специализированным относится большинство антивирусных программ: AIDSTEST, VDEATH, SERUM-3, ANTI-KOT, SCAN и сотни других. Каждая из них распознает один или несколько конкретных вирусов, никак не реагируя на присутствие остальных.
Универсальные антивирусы предназначены для борьбы с целыми классами вирусов. По назначению антивирусы универсального действия бывают довольно различны. Широкое применение находят резидентные антивирусы и программы-ревизоры.
И те, и другие антивирусные программы обладают определенными возможностями – положительными и отрицательными (недостатки) характеристиками. Специализированные при своей простоте слишком узко специализированы. При значительном разнообразии вирусов требуется такое же многообразие антивирусов.
Помимо использования в интересах защиты от вирусов антивирусных программ широко используют и организационные меры безопасности. Для уменьшения опасности вирусных актов возможно предпринять определенные действия, которые для каждого конкретного случая могут быть сокращены или расширены. Вот некоторые из таких действий:
1. Информировать всех сотрудников предприятия об опасности и возможном ущербе в случае вирусных атак.
2. Не осуществлять официальные связи с другими предприятиямипообмену (получению) программным обеспечением. Запретить сотрудникам приносить программы «со стороны» для установки их в системы обработки информации. Должны использоваться только официально распространяемые программы.
3. Запретить сотрудникам использовать компьютерные игры на ПЭВМ, обрабатывающих конфиденциальную информацию.
4. Для выхода на сторонние информационные сети выделить отдельное специальное место.
5. Создать архив копий программ и данных.
6. Периодически проводить проверку контрольным суммированием или сравнением с «чистыми» программами.
7. Установить системы защиты информации на особо важных ПЭВМ. Применять специальные антивирусные средства.
Программная защита информации – это система специальных программ, включаемых в состав программного обеспечения, реализующих функции защиты информации.
Програмные средства - это объективные формы представления совокупности данных и команд, предназначенных для функционирования компьютеров и компьютерных устройств с целью получения определенного результата, а также подготовленные и зафиксированные на физическом носителе материалы, полученные в ходе их разработок, и порождаемые ими аудиовизуальные отображения. К ним относятся:
Программное обеспечение (совокупность управляющих и обрабатывающих программ). Состав:
Системные программы (операционные системы, программы технического обслуживания);
Прикладные программы (программы, которые предназначены для решения задач определенного типа, например редакторы текстов, антивирусные программы, СУБД и т.п.);
Инструментальные программы (системы программирования, состоящие из языков программирования: Turbo C, Microsoft Basic и т.д. и трансляторов – комплекса программ, обеспечивающих автоматический перевод с алгоритмических и символических языков в машинные коды);
Машинная информация владельца, собственника, пользователя.
Подобную детализацию я провожу, чтобы потом более четко понять суть рассматриваемого вопроса, чтобы более четко выделить способы совершения компьютерных преступлений, предметов и орудий преступного посягательства, а также для устранения разногласий по поводу терминологии средств компьютерной техники. После детального рассмотрения основных компонентов, представляющих в совокупности содержание понятия компьютерного преступления, можно перейти к рассмотрению вопросов, касающихся основных элементов криминалистической характеристики компьютерных преступлений.
К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:
Идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;
Определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей;
Контроль работы технических средств и пользователей;
Регистрация работы технических средств и пользователей при обработки информации ограниченного использования;
Уничтожения информации в ЗУ после использования;
Сигнализации при несанкционированных действиях;
Вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.
Антивирусная защита
Безопасность информации - один из важнейших параметров любой компьютерной системы. Для ее обеспечения создано большое количество программных и аппаратных средств. Часть из них занимается шифрованием информации, часть - разграничением доступа к данным. Особую проблему представляют собой компьютерные вирусы. Это отдельный класс программ, направленных на нарушение работы системы и порчу данных. Среди вирусов выделяют ряд разновидностей. Некоторые из них постоянно находятся в памяти компьютера, некоторые производят деструктивные действия разовыми "ударами". Существует так же целый класс программ, внешне вполне благопристойных, но на самом деле портящих систему. Такие программы называют "троянскими конями". Одним из основных свойств компьютерных вирусов является способность к "размножению" - т.е. самораспространению внутри компьютера и компьютерной сети.
С тех пор, как различные офисные прикладные программные средства получили возможность работать со специально для них написанными программами (например, для Microsoft Office можно писать приложения на языке Visual Basic) появилась новая разновидность вредоносных программ - т.н. МакроВирусы. Вирусы этого типа распространяются вместе с обычными файлами документов, и содержатся внутри них в качестве обычных подпрограмм.
Не так давно (этой весной) прокатилась эпидемия вируса Win95.CIH и его многочисленных подвидов. Этот вирус разрушал содержимое BIOS компьютера, делая невозможной ее работу. Часто приходилось даже выбрасывать испорченные этим вирусом материнские платы.
С учетом мощного развития средств коммуникации и резко возросших объемов обмена данными проблема защиты от вирусов становится очень актуальной. Практически, с каждым полученным, например, по электронной почте документом может быть получен макровирус, а каждая запущенная программа может (теоретически) заразить компьютер и сделать систему неработоспособной.
Поэтому среди систем безопасности важнейшим направлением является борьба с вирусами. Существует целый ряд средств, специально предназначенных для решения этой задачи. Некоторые из них запускаются в режиме сканирования и просматривают содержимое жестких дисков и оперативной памяти компьютера на предмет наличия вирусов. Некоторые же должны быть постоянно запущены и находиться в памяти компьютера. При этом они стараются следить за всеми выполняющимися задачами.
На российском рынке программного обеспечения наибольшую популярность завоевал пакет AVP, разработанный лабораторией антивирусных систем Касперского. Это универсальный продукт, имеющий версии под самые различные операционные системы.
Антивирус Касперского (AVP) использует все современные типы антивирусной защиты: антивирусные сканнеры, мониторы, поведенческие блокираторы и ревизоры изменений. Различные версии продукта поддерживают все популярные операционные системы, почтовые шлюзы, межсетевые экраны (firewalls), web-серверы. Система позволяет контролировать все возможные пути проникновения вирусов на компьютер пользователя, включая Интернет, электронную почту и мобильные носители информации. Средства управления Антивируса Касперского позволяют автоматизировать важнейшие операции по централизованной установке и управлению, как и на локальном компьютере, так и в случае комплексной защиты сети предприятия. Лаборатория Касперского предлагает три готовых решения антивирусной защиты, расчитанные на основные категории пользователей. Во-первых, антивирусная защита для домашних пользователей (одна лицензия для одного компьютера). Во-вторых, антивирусная защита для малого бизнеса (до 50 рабочих станций в сети). В третьих, антивирусная защита для корпоративных пользователей (свыше 50 рабочих станций в сети).Безвозвратно прошли времена, когда для полной уверенности в сохранности от "заразы" было достаточно не пользоваться "случайными" дискетами и раз-другой в неделю запускать на машине утилиту Aidstest R, проверяющую жесткий диск компьютера на наличие подозрительных объектов. Во-первых, расширился спектр областей, в которых эти объекты могут оказаться. Электронная почта с присоединенными "вредными" файлами, макровирусы в офисных (в основном речь идет о Microsoft Office) документах, "троянские кони" - все это появилось сравнительно недавно. Во-вторых, перестал оправдывать себя подход периодических ревизий жесткого диска и архивов - такие проверки приходилось бы проводить слишком часто, и они отнимали бы слишком много ресурсов системы.
На смену устаревшим системам защиты пришло новое поколение, способное отследить и нейтрализовать "угрозу" на всех ответственных участках - от электронной почты до копирования файлов между дисками. При этом современные антивирусы организовывают постоянную защиту - это означает, что они постоянно находятся в памяти и анализируют обрабатываемую информацию.
Одним из наиболее известных и повсеместно применяемых пакетов антивирусной защиты является AVP от Лаборатории Касперского. Этот пакет существует в большом количестве различных вариантов. Каждый из них предназначен для решения определенного круга задач обеспечения безопасности, и обладает рядом специфических свойств.
Системы защиты, распространяемые Лабораторией Касперского, разделяются на три основных категории, в зависимости от видов решаемых ими задач. Это защита для малого бизнеса, защита для домашних пользователей и защита для корпоративных клиентов.
В AntiViral Toolkit Pro входят программы, позволяющие защищать рабочие станции, управляемые различными ОС - сканеры AVP для DOS, Windows 95/98/NT, Linux, мониторы AVP для Windows 95/98/NT, Linux, файловые сервера - монитор и сканер AVP для Novell Netware, монитор и сканер для NT сервера, WEB-сервера - ревизор диска AVP Inspector для Windows, почтовые сервера Microsoft Exchange - AVP для Microsoft Exchange и шлюзы.
AntiViral Toolkit Pro включает в себя программы-сканеры и программы-мониторы. Мониторы позволяют организовать более полный контроль, необходимый на самых ответственных участках сети.
В сетях Windows 95/98/NT AntiViral Toolkit Pro позволяет проводить с помощью программного комплекса AVP Сетевой Центр Управления централизованное администрирование всей логической сети с рабочего места ее администратора.
Концепция AVP позволяет легко и регулярно обновлять антивирусные программы, путем замены антивирусных баз - набора файлов с расширением.AVC, которые на сегодняшний день позволяют обнаруживать и удалять более 50000 вирусов. Обновления к антивирусным базам выходят и доступны с сервера Лаборатории Касперского ежедневно. На данный момент пакет антивирусных программ AntiViral Toolkit Pro (AVP) имеет одну из самых больших в мире антивирусных баз.
Похожая информация.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Введение
1. Проблемы защиты информации в компьютерных системах
2. Обеспечение защиты информации в сетях
3. Механизмы обеспечения безопасности
3.1 Криптография
3.2 Электронная подпись
3.3 Аутентификация
3.4 Защита сетей
4. Требования к современным средствам защиты информации
Заключение
Литература
Введение
В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надёжность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в неё изменений неуполномоченными лицами, и сохранение тайны переписки в электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием компьютерных систем, во многом опирается на меры самозащиты.
Всегда существует проблема выбора между необходимым уровнем защиты и эффективностью работы в сети. В некоторых случаях пользователями или потребителями меры по обеспечению безопасности могут быть расценены как меры по ограничению доступа и эффективности. Однако такие средства, как, например, криптография, позволяют значительно усилить степень защиты, не ограничивая доступ пользователей к данным.
1. Проблемы защиты информации в компьютерных системах
Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации, циркулирующей в компьютерных системах, от несанкционированного доступа. Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних нарушителей, так и со стороны внутренних нарушителей.
Радикальное решение проблем защиты электронной информации может быть получено только на базе использования криптографических методов, которые позволяют решать важнейшие проблемы защищённой автоматизированной обработки и передачи данных. При этом современные скоростные методы криптографического преобразования позволяют сохранить исходную производительность автоматизированных систем. Криптографические преобразования данных являются наиболее эффективным средством обеспечения конфиденциальности данных, их целостности и подлинности. Только их использование в совокупности с необходимыми техническими и организационными мероприятиями могут обеспечить защиту от широкого спектра потенциальных угроз.
Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:
· перехват информации - целостность информации сохраняется, но её конфиденциальность нарушена;
· модификация информации - исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;
· подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web - сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.
Потребности современной практической информатики привели к возникновению нетрадиционных задач защиты электронной информации, одной из которых является аутентификация электронной информации в условиях, когда обменивающиеся информацией стороны не доверяют друг другу. Эта проблема связана с созданием систем электронной цифровой подписи. Теоретической базой для решения этой проблемы явилось открытие двухключевой криптографии американскими исследователями Диффи и Хемиманом в середине 1970-х годов, которое явилось блестящим достижением многовекового эволюционного развития криптографии. Революционные идеи двухключевой криптографии привели к резкому росту числа открытых исследований в области криптографии и показали новые пути развития криптографии, новые её возможности и уникальное значение её методов в современных условиях массового применения электронных информационных технологий.
Технической основой перехода в информационное общество являются современные микроэлектронные технологии, которые обеспечивают непрерывный рост качества средств вычислительной техники и служат базой для сохранения основных тенденций её развития - миниатюризации, снижения электропотребления, увеличения объёма оперативной памяти (ОП) и ёмкости встроенных и съёмных накопителей, роста производительности и надёжности, расширение сфер и масштабов применения. Данные тенденции развития средств вычислительной техники привели к тому, что на современном этапе защита компьютерных систем от несанкционированного доступа характеризуется возрастанием роли программных и криптографических механизмов защиты по сравнению с аппаратными.
Возрастание роли программных и криптографических средств зашит проявляется в том, что возникающие новые проблемы в области защиты вычислительных систем от несанкционированного доступа, требуют использования механизмов и протоколов со сравнительно высокой вычислительной сложностью и могут быть эффективно решены путём использования ресурсов ЭВМ.
Одной из важных социально-этических проблем, порождённых всё более расширяющимся применением методов криптографической защиты информации, является противоречие между желанием пользователей защитить свою информацию и передачу сообщений и желанием специальных государственных служб иметь возможность доступа к информации некоторых других организаций и отдельных лиц с целью пресечения незаконной деятельности. В развитых странах наблюдается широкий спектр мнений о подходах к вопросу о регламентации использования алгоритмов шифрования. Высказываются предложения от полного запрета широкого применения криптографических методов до полной свободы их использования. Некоторые предложения относятся к разрешению использования только ослабленных алгоритмов или к установлению порядка обязательной регистрации ключей шифрования. Чрезвычайно трудно найти оптимальное решение этой проблемы. Как оценить соотношение потерь законопослушных граждан и организаций от незаконного использования их информации и убытков государства от невозможности получения доступа к зашифрованной информации отдельных групп, скрывающих свою незаконную деятельность? Как можно гарантированно не допустить незаконное использование криптоалгоритмов лицами, которые нарушают и другие законы? Кроме того, всегда существуют способы скрытого хранения и передачи информации. Эти вопросы ещё предстоит решать социологам, психологам, юристам и политикам.
Возникновение глобальных информационных сетей типа INTERNET является важным достижением компьютерных технологий, однако, с INTERNET связана масса компьютерных преступлений.
Результатом опыта применения сети INTERNET является выявленная слабость традиционных механизмов защиты информации и отставания в применении современных методов. Криптография предоставляет возможность обеспечить безопасность информации в INTERNET и сейчас активно ведутся работы по внедрению необходимых криптографических механизмов в эту сеть. Не отказ от прогресса в информатизации, а использование современных достижений криптографии - вот стратегически правильное решение. Возможность широкого использования глобальных информационных сетей и криптографии является достижением и признаком демократического общества.
Владение основами криптографии в информационном обществе объективно не может быть привилегией отдельных государственных служб, а является насущной необходимостью для самих широких слоёв научно-технических работников, применяющих компьютерную обработку данных или разрабатывающих информационные системы, сотрудников служб безопасности и руководящего состава организаций и предприятий. Только это может служить базой для эффективного внедрения и эксплуатации средств информационной безопасности.
Одна отдельно взятая организация не может обеспечить достаточно полный и эффективный контроль за информационными потоками в пределах всего государства и обеспечить надлежащую защиту национального информационного ресурса. Однако, отдельные государственные органы могут создать условия для формирования рынка качественных средств защиты, подготовки достаточного количества специалистов и овладения основами криптографии и защиты информации со стороны массовых пользователей.
В России и других странах СНГ в начале 1990-х годов отчётливо прослеживалась тенденция опережения расширения масштабов и областей применения информационных технологий над развитием систем защиты данных. Такая ситуация в определённой степени являлась и является типичной и для развитых капиталистических стран. Это закономерно: сначала должна возникнуть практическая проблема, а затем будут найдены решения. Начало перестройки в ситуации сильного отставания стран СНГ в области информатизации в конце 1980-х годов создало благодатную почву для резкого преодоления сложившегося разрыва.
Пример развитых стран, возможность приобретения системного программного обеспечения и компьютерной техники вдохновили отечественных пользователей. Включение массового потребителя, заинтересованного в оперативной обработке данных и других достоинствах современных информационно-вычислительных систем, в решении проблемы компьютеризации привело к очень высоким темпам развития этой области в России и других странах СНГ. Однако, естественное совместное развитие средств автоматизации обработки информации и средств защиты информации в значительной степени нарушилось, что стало причиной массовых компьютерных преступлений. Ни для кого не секрет, что компьютерные преступления в настоящее время составляют одну из очень актуальных проблем.
Использование систем защиты зарубежного производства не может выправить этот перекос, поскольку поступающие на рынок России продукты этого типа не соответствуют требованиям из-за существующих экспортных ограничений, принятых в США - основном производителе средств защиты информации. Другим аспектом, имеющим первостепенное значение, является то, что продукция такого типа должна пройти установленную процедуру сертифицирования в уполномоченных на проведение таких работ организациях.
Сертификаты иностранных фирм и организаций, никак не могут быть заменой отечественным. Сам факт использования зарубежного системного и прикладного программного обеспечения создаёт повышенную потенциальную угрозу информационным ресурсам. Применение иностранных средств защиты без должного анализа соответствия выполняемым функциям и уровня обеспечиваемой защиты может многократно осложнить ситуацию.
Форсирование процесса информатизации требует адекватного обеспечения потребителей средствами защиты. Отсутствие на внутреннем рынке достаточного количества средств защиты информации, циркулирующей в компьютерных системах, значительное время не позволяло в необходимых масштабах осуществлять мероприятия по защите данных. Ситуация усугублялась отсутствием достаточного количества специалистов в области защиты информации, поскольку последние, как правило, готовились только для специальных организаций. Реструктурирование последних, связанное с изменениями, протекающими в России, привело к образованию независимых организаций, специализирующихся в области защиты информации, поглотивших высвободившиеся кадры, и как следствие возникновению духа конкуренции, приведшей к появлению в настоящее время достаточно большого количества сертифицированных средств защиты отечественных разработчиков.
Одной из важных особенностей массового использования информационных технологий является то, что для эффективного решения проблемы защиты государственного информационного ресурса необходимо рассредоточение мероприятий по защите данных среди массовых пользователей. Информация должна быть защищена в первую очередь там, где она создаётся, собирается, перерабатывается и теми организациями, которые несут непосредственный урон при несанкционированном доступе к данным. Этот принцип рационален и эффективен: защита интересов отдельных организаций - это составляющая реализации защиты интересов государства в целом.
2. Обеспечение защиты информации в сетях
В ВС сосредотачивается информация, исключительное право на пользование которой принадлежит определённым лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в ВС должны приниматься меры по защите вычислительных ресурсов сети от их несанкционированного использования, т.е. должен быть исключён доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих ЭВМ и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяжённость. По этой причине в ВС должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.
Исследования практики функционирования систем обработки данных и вычислительных систем показали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:
· чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
· копирование носителей информации и файлов информации с преодолением мер защиты;
· маскировка под зарегистрированного пользователя;
· маскировка под запрос системы;
· использование программных ловушек;
· использование недостатков операционной системы;
· незаконное подключение к аппаратуре и линиям связи;
· злоумышленный вывод из строя механизмов защиты;
· внедрение и использование компьютерных вирусов.
Обеспечение безопасности информации в ВС и в автономно работающих ПЭВМ достигается комплексом организационных, организационно-технических, технических и программных мер.
К организационным мерам защиты информации относятся:
· ограничение доступа в помещения, в которых происходит подготовка и обработка информации;
· допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
· хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;
· исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т.д.;
· использование криптографических кодов при передаче по каналам связи ценной информации;
· уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.
Организационно-технические меры защиты информации включают:
· осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные сетевые фильтры;
· установку на дверях помещений кодовых замков;
· использование для отображения информации при вводе-выводе жидкокристаллических или плазменных дисплеев, а для получения твёрдых копий - струйных принтеров и термопринтеров, поскольку дисплей даёт такое высокочастотное электромагнитное излучение, что изображение с его экрана можно принимать на расстоянии нескольких сотен километров;
· уничтожение информации, хранящейся в ПЗУ и на НЖМД, при списании или отправке ПЭВМ в ремонт;
· установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
· ограничение электромагнитного излучения путём экранирования помещений, где происходит обработка информации, листами из металла или из специальной пластмассы.
Технические средства защиты информации - это системы охраны территорий и помещений с помощью экранирования машинных залов и организации контрольно-пропускных систем. Защита информации в сетях и вычислительных средствах с помощью технических средств реализуется на основе организации доступа к памяти с помощью:
· контроля доступа к различным уровням памяти компьютеров;
· блокировки данных и ввода ключей;
· выделение контрольных битов для записей с целью идентификации и др.
Архитектура программных средств защиты информации включает:
· контроль безопасности, в том числе контроль регистрации вхождения в систему, фиксацию в системном журнале, контроль действий пользователя;
· реакцию (в том числе звуковую) на нарушение системы защиты контроля доступа к ресурсам сети;
· контроль мандатов доступа;
· формальный контроль защищённости операционных систем (базовой общесистемной и сетевой);
· контроль алгоритмов защиты;
· проверку и подтверждение правильности функционирования технического и программного обеспечения.
Для надёжной защиты информации и выявления случаев неправомочных действий проводится регистрация работы системы: создаются специальные дневники и протоколы, в которых фиксируются все действия, имеющие отношение к защите информации в системе. Фиксируются время поступления заявки, её тип, имя пользователя и терминала, с которого инициализируется заявка. При отборе событий, подлежащих регистрации, необходимо иметь в виду, что с ростом количества регистрируемых событий затрудняется просмотр дневника и обнаружение попыток преодоления защиты. В этом случае можно применять программный анализ и фиксировать сомнительные события. Используются также специальные программы для тестирования системы защиты. Периодически или в случайно выбранные моменты времени они проверяют работоспособность аппаратных и программных средств защиты.
К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени. Программы данной группы формируют специальный сигнал при регистрации действий, которые могут привести к неправомерным действиям по отношению к защищаемой информации. Сигнал может содержать информацию о характере нарушения, месте его возникновения и другие характеристики. Кроме того, программы могут запретить доступ к защищаемой информации или симулировать такой режим работы (например, моментальная загрузка устройств ввода-вывода), который позволит выявить нарушителя и задержать его соответствующей службой. информация компьютерный аутентификация защита
Один из распространённых способов защиты - явное указание секретности выводимой информации. В системах, поддерживающих несколько уровней секретности, вывод на экран терминала или печатающего устройства любой единицы информации (например, файла, записи и таблицы) сопровождается специальным грифом с указанием уровня секретности. Это требование реализуется с помощью соответствующих программных средств.
В отдельную группу выделены средства защиты от несанкционированного использования программного обеспечения. Они приобретают особое значение вследствие широкого распространения ПК.
3. Мех анизмы обеспечения безопасности
3.1 Криптография
Для обеспечения секретности применяется шифрование, или криптография, позволяющая трансформировать данные в зашифрованную форму, из которой извлечь исходную информацию можно только при наличии ключа.
Системам шифрования столько же лет, сколько письменному обмену информацией.
“Криптография” в переводе с греческого языка означает “тайнопись”, что вполне отражает её первоначальное предназначение. Примитивные (с позиций сегодняшнего дня) криптографические методы известны с древнейших времён и очень длительное время они рассматривались скорее как некоторое ухищрение, чем строгая научная дисциплина. Классической задачей криптографии является обратимое преобразование некоторого понятного исходного текста (открытого текста) в кажущуюся случайной последовательность некоторых знаков, называемую шифртекстом или криптограммой. При этом шифр-пакет может содержать как новые, так и имеющиеся в открытом сообщении знаки. Количество знаков в криптограмме и в исходном тексте в общем случае может различаться. Непременным требованием является то, что, используя некоторые логические замены символов в шифртексте, можно однозначно и в полном объёме восстановить исходный текст. Надёжность сохранения информации в тайне определялось в далёкие времена тем, что в секрете держался сам метод преобразования.
Прошли многие века, в течении которых криптография являлась предметом избранных - жрецов, правителей, крупных военачальников и дипломатов. Несмотря на малую распространённость использование криптографических методов и способов преодоления шифров противника оказывало существенное воздействие на исход важных исторических событий. Известен не один пример того, как переоценка используемых шифров приводила к военным и дипломатическим поражениям. Несмотря на применение криптографических методов в важных областях, эпизодическое использование криптографии не могло даже близко подвести её к той роли и значению, которые она имеет в современном обществе. Своим превращением в научную дисциплину криптография обязана потребностям практики, порождённым электронной информационной технологией.
Пробуждение значительного интереса к криптографии и её развитие началось с XIX века, что связано с зарождением электросвязи. В XX столетии секретные службы большинства развитых стран стали относится к этой дисциплине как к обязательному инструменту своей деятельности.
В основе шифрования лежат два основных понятия: алгоритм и ключ. Алгоритм - это способ закодировать исходный текст, в результате чего получается зашифрованное послание. Зашифрованное послание может быть интерпретировано только с помощьюключа.
Очевидно, чтобы зашифровать послание, достаточно алгоритма.
Голландский криптограф Керкхофф (1835 - 1903) впервые сформулировал правило: стойкость шифра, т.е. криптосистемы - набора процедур, управляемых некоторой секретной информацией небольшого объёма, должна быть обеспечена в том случае, когда криптоаналитику противника известен весь механизм шифрования за исключением секретного ключа - информации, управляющей процессом криптографических преобразований. Видимо, одной из задач этого требования было осознание необходимости испытания разрабатываемых криптосхем в условиях более жёстких по сравнению с условиями, в которых мог бы действовать потенциальный нарушитель. Это правило стимулировало появление более качественных шифрующих алгоритмов. Можно сказать, что в нём содержится первый элемент стандартизации в области криптографии, поскольку предполагается разработка открытых способов преобразований. В настоящее время это правило интерпретируется более широко: все долговременные элементы системы защиты должны предполагаться известными потенциальному злоумышленнику. В последнюю формулировку криптосистемы входят как частный случай систем защиты. В этой формулировке предполагается, что все элементы систем защиты подразделяются на две категории - долговременные и легко сменяемые. К долговременным элементам относятся те элементы, которые относятся к разработке систем защиты и для изменения требуют вмешательства специалистов или разработчиков. К легко сменяемым элементам относятся элементы системы, которые предназначены для произвольного модифицирования или модифицирования по заранее заданному правилу, исходя из случайно выбираемых начальных параметров. К легко сменяемым элементам относятся, например, ключ, пароль, идентификация и т.п. Рассматриваемое правило отражает тот факт, надлежащий уровень секретности может быть обеспечен только по отношению к легко сменяемым элементам.
Несмотря на то, что согласно современным требованиям к криптосистемам они должны выдерживать криптоанализ на основе известного алгоритма, большого объёма известного открытого текста и соответствующего ему шифртекста, шифры, используемые специальными службами, сохраняются в секрете. Это обусловлено необходимостью иметь дополнительный запас прочности, поскольку в настоящее время создание криптосистем с доказуемой стойкостью является предметом развивающейся теории и представляет собой достаточно сложную проблему. Чтобы избежать возможных слабостей, алгоритм шифрования может быть построен на основе хорошо изученных и апробированных принципах и механизмах преобразования. Ни один серьёзный современный пользователь не будет полагаться только на надёжность сохранения в секрете своего алгоритма, поскольку крайне сложно гарантировать низкую вероятность того, что информация об алгоритме станет известной злоумышленнику.
Секретность информации обеспечивается введением в алгоритмы специальных ключей (кодов). Использование ключа при шифровании предоставляет два существенных преимущества. Во-первых, можно использовать один алгоритм с разными ключами для отправки посланий разным адресатам. Во-вторых, если секретность ключа будет нарушена, его можно легко заменить, не меняя при этом алгоритм шифрования. Таким образом, безопасность систем шифрования зависит от секретности используемого ключа, а не от секретности алгоритма шифрования. Многие алгоритмы шифрования являются общедоступными.
Количество возможных ключей для данного алгоритма зависит от числа бит в ключе. Например, 8-битный ключ допускает 256 (28) комбинаций ключей. Чем больше возможных комбинаций ключей, тем труднее подобрать ключ, тем надёжнее зашифровано послание. Так, например, если использовать 128-битный ключ, то необходимо будет перебрать 2128 ключей, что в настоящее время не под силу даже самым мощным компьютерам. Важно отметить, что возрастающая производительность техники приводит к уменьшению времени, требующегося для вскрытия ключей, и системам обеспечения безопасности приходится использовать всё более длинные ключи, что, в свою очередь, ведёт к увеличению затрат на шифрование.
Поскольку столь важное место в системах шифрования уделяется секретности ключа, то основной проблемой подобных систем является генерация и передача ключа. Существуют две основные схемы шифрования: симметричное шифрование (его также иногда называют традиционным или шифрованием с секретным ключом) и шифрование с открытым ключом (иногда этот тип шифрования называют асимметричным).
При симметричном шифровании отправитель и получатель владеют одним и тем же ключом (секретным), с помощью которого они могут зашифровывать и расшифровывать данные.При симметричном шифровании используются ключи небольшой длины, поэтому можно быстро шифровать большие объёмы данных. Симметричное шифрование используется, например, некоторыми банками в сетях банкоматов. Однако симметричное шифрование обладает несколькими недостатками. Во-первых, очень сложно найти безопасный механизм, при помощи которого отправитель и получатель смогут тайно от других выбрать ключ. Возникает проблема безопасного распространения секретных ключей. Во-вторых, для каждого адресата необходимо хранить отдельный секретный ключ. В третьих, в схеме симметричного шифрования невозможно гарантировать личность отправителя, поскольку два пользователя владеют одним ключом.
В схеме шифрования с открытым ключом для шифрования послания используются два различных ключа. При помощи одного из них послание зашифровывается, а при помощи второго - расшифровывается. Таким образом, требуемой безопасности можно добиваться, сделав первый ключ общедоступным (открытым), а второй ключ хранить только у получателя (закрытый, личный ключ). В таком случае любой пользователь может зашифровать послание при помощи открытого ключа, но расшифровать послание способен только обладатель личного ключа. При этом нет необходимости заботиться о безопасности передачи открытого ключа, а для того чтобы пользователи могли обмениваться секретными сообщениями, достаточно наличия у них открытых ключей друг друга.
Недостатком асимметричного шифрования является необходимость использования более длинных, чем при симметричном шифровании, ключей для обеспечения эквивалентного уровня безопасности, что сказывается на вычислительных ресурсах, требуемых для организации процесса шифрования.
3.2 Электронная подпись
Если послание, безопасность которого мы хотим обеспечить, должным образом зашифровано, всё равно остаётся возможность модификации исходного сообщения или подмены этого сообщения другим. Одним из путей решения этой проблемы является передача пользователем получателю краткого представления передаваемого сообщения. Подобное краткое представление называют контрольной суммой, или дайджестом сообщения.
Контрольные суммы используются при создании резюме фиксированной длины для представления длинных сообщений. Алгоритмы расчёта контрольных сумм разработаны так, чтобы они были по возможности уникальны для каждого сообщения. Таким образом, устраняется возможность подмены одного сообщения другим с сохранением того же самого значения контрольной суммы.
Однако при использовании контрольных сумм возникает проблема передачи их получателю. Одним из возможных путей её решения является включение контрольной суммы в так называемую электронную подпись.
При помощи электронной подписи получатель может убедиться в том, что полученное им сообщение послано не сторонним лицом, а имеющим определённые права отправителем. Электронные подписи создаются шифрованием контрольной суммы и дополнительной информации при помощи личного ключа отправителя. Таким образом, кто угодно может расшифровать подпись, используя открытый ключ, но корректно создать подпись может только владелец личного ключа. Для защиты от перехвата и повторного использования подпись включает в себя уникальное число - порядковый номер.
3.3 Аутентификация
Аутентификация является одним из самых важных компонентов организации защиты информации в сети. Прежде чем пользователю будет предоставлено право получить тот или иной ресурс, необходимо убедиться, что он действительно тот, за кого себя выдаёт.
При получении запроса на использование ресурса от имени какого-либо пользователя сервер, предоставляющий данный ресурс, передаёт управление серверу аутентификации. После получения положительного ответа сервера аутентификации пользователю предоставляется запрашиваемый ресурс.
При аутентификации используется, как правило, принцип, получивший название “что он знает”, - пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является использование стандартных паролей. Пароль - совокупность символов, известных подключенному к сети абоненту, - вводится им в начале сеанса взаимодействия с сетью, а иногда и в конце сеанса (в особо ответственных случаях пароль нормального выхода из сети может отличаться от входного). Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом. Чаще всего используются схемы с применением одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы, представляющие собой устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие.
Одной из наиболее простых систем, не требующих дополнительных затрат на оборудование, но в то же время обеспечивающих хороший уровень защиты, является S/Key, на примере которой можно продемонстрировать порядок представления одноразовых паролей.
В процессе аутентификации с использованием S/Key участвуют две стороны - клиент и сервер. При регистрации в системе, использующей схему аутентификации S/Key, сервер присылает на клиентскую машину приглашение, содержащее зерно, передаваемое по сети в открытом виде, текущее значение счётчика итераций и запрос на ввод одноразового пароля, который должен соответствовать текущему значению счётчика итерации. Получив ответ, сервер проверяет его и передаёт управление серверу требуемого пользователю сервиса.
3.4 Защита сетей
В последнее время корпоративные сети всё чаще включаются в Интернет или даже используют его в качестве своей основы. Учитывая то, какой урон может принести незаконное вторжение в корпоративную сеть, необходимо выработать методы защиты. Для защиты корпоративных информационных сетей используются брандмауэры. Брандмауэры - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и INTERNETOM, хотя её можно провести и внутри. Однако защищать отдельные компьютеры невыгодно, поэтому обычно защищают всю сеть. Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение - пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, для него определяется набор правил.
Брандмауэр может быть реализован как аппаратными средствами (то есть как отдельное физическое устройство), так и в виде специальной программы, запущенной на компьютере.
Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр - только раздел администратора. Некоторые брандмауэры работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов.
Брандмауэр обычно состоит из нескольких различных компонентов, включая фильтры или экраны, которые блокируют передачу части трафика.
Все брандмауэры можно разделить на два типа:
· пакетные фильтры, которые осуществляют фильтрацию IP-пакетов средствами фильтрующих маршрутизаторов;
· серверы прикладного уровня, которые блокируют доступ к определённым сервисам в сети.
Таким образом, брандмауэр можно определить как набор компонентов или систему, которая располагается между двумя сетями и обладает следующими свойствами:
· весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через эту систему;
· только трафик, определённый локальной стратегией защиты, может пройти через эту систему;
· система надёжно защищена от проникновения.
4. Требования к современным средствам защиты инф ормации
Согласно требованиям гостехкомиссии России средства защиты информации от несанкционированного доступа(СЗИ НСД), отвечающие высокому уровню защиты, должны обеспечивать:
· дискреционный и мандатный принцип контроля доступа;
· очистку памяти;
· изоляцию модулей;
· маркировку документов;
· защиту ввода и вывода на отчуждаемый физический носитель информации;
· сопоставление пользователя с устройством;
· идентификацию и аутентификацию;
· гарантии проектирования;
· регистрацию;
· взаимодействие пользователя с комплексом средств защиты;
· надёжное восстановление;
· целостность комплекса средств защиты;
· контроль модификации;
· контроль дистрибуции;
· гарантии архитектуры;
Комплексные СЗИ НСД должны сопровождаться пакетом следующих документов:
· руководство по СЗИ;
· руководство пользователя;
· тестовая документация;
· конструкторская (проектная) документация.
Таким образом, в соответствии с требованиями гостехкомиссии России комплексные СЗИ НСД должны включать базовый набор подсистем. Конкретные возможности этих подсистем по реализации функций защиты информации определяют уровень защищённости средств вычислительной техники. Реальная эффективность СЗИ НСД определяется функциональными возможностями не только базовых, но и дополнительных подсистем, а также качеством их реализации.
Компьютерные системы и сети подвержены широкому спектру потенциальных угроз информации, что обуславливает необходимость предусмотреть большой перечень функций и подсистем защиты. Целесообразно в первую очередь обеспечить защиту наиболее информативных каналов утечки информации, каковыми являются следующие:
· возможность копирования данных с машинных носителей;
· каналы передачи данных;
· хищение ЭВМ или встроенных накопителей.
Проблема перекрытия этих каналов усложняется тем, что процедуры защиты данных не должны приводить к заметному снижению производительности вычислительных систем. Эта задача может быть эффективно решена на основе технологии глобального шифрования информации, рассмотренной в предыдущем разделе.
Современная массовая система защиты должна быть эргономичной и обладать такими свойствами, благоприятствующими широкому её применению, как:
· комплексность - возможность установки разнообразных режимов защищённой обработки данных с учётом специфических требований различных пользователей и предусматривать широкий перечень возможных действий предполагаемого нарушителя;
· совместимость - система должна быть совместимой со всеми программами, написанными для данной операционной системы, и должна обеспечивать защищённый режим работы компьютера в вычислительной сети;
· переносимость - возможность установки системы на различные типы компьютерных систем, включая портативные;
· удобство в работе - система должна быть проста в эксплуатации и не должна менять привычную технологию работы пользователей;
· работа в масштабе реального времени - процессы преобразования информации, включая шифрование, должны выполняться с большой скоростью;
· высокий уровень защиты информации;
· минимальная стоимость системы.
Заключение
Вслед за массовым применением современных информационных технологий криптография вторгается в жизнь современного человека. На криптографических методах основано применение электронных платежей, возможность передачи секретной информации по открытым сетям связи, а также решение большого числа других задач защиты информации в компьютерных системах и информационных сетях. Потребности практики привели к необходимости массового применения криптографических методов, а следовательно к необходимости расширения открытых исследований и разработок в этой области. Владение основами криптографии становится важным для учёных и инженеров, специализирующихся в области разработки современных средств защиты информации, а также в областях эксплуатации и проектирования информационных и телекоммуникационных систем.
Одной из актуальных проблем современной прикладной криптографии является разработка скоростных программных шифров блочного типа, а также скоростных устройств шифрования.
В настоящее время предложен ряд способов шифрования, защищённых патентами Российской Федерации и основанных на идеях использования:
· гибкого расписания выборки подключений;
· генерирования алгоритма шифрования по секретному ключу;
· подстановок, зависящих от преобразуемых данных.
Литература
1. Острейковский В.А. Информатика: Учеб. пособие для студ. сред. проф. учеб. заведений. - М.: Высш. шк., 2001. - 319с.:ил.
2. Экономическая информатика / под ред. П.В. Конюховского и Д.Н. Колесова. - СПб.: Питер, 2000. - 560с.:ил.
3. Информатика: Базовый курс / С.В. Симонович и др. - СПб.: Питер, 2002. - 640с.:ил.
4. Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. - СПб.: Издательство “Лань”, 2001. - 224с.,ил. - (Учебники для вузов. Специальная литература).
Размещено на Allbest.ru
Подобные документы
Проблема выбора между необходимым уровнем защиты и эффективностью работы в сети. Механизмы обеспечения защиты информации в сетях: криптография, электронная подпись, аутентификация, защита сетей. Требования к современным средствам защиты информации.
курсовая работа , добавлен 12.01.2008
Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.
дипломная работа , добавлен 16.06.2012
Способы и средства защиты информации от несанкционированного доступа. Особенности защиты информации в компьютерных сетях. Криптографическая защита и электронная цифровая подпись. Методы защиты информации от компьютерных вирусов и от хакерских атак.
реферат , добавлен 23.10.2011
Понятие защиты умышленных угроз целостности информации в компьютерных сетях. Характеристика угроз безопасности информации: компрометация, нарушение обслуживания. Характеристика ООО НПО "Мехинструмент", основные способы и методы защиты информации.
дипломная работа , добавлен 16.06.2012
Основные положения теории защиты информации. Сущность основных методов и средств защиты информации в сетях. Общая характеристика деятельности и корпоративной сети предприятия "Вестел", анализ его методик защиты информации в телекоммуникационных сетях.
дипломная работа , добавлен 30.08.2010
Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа , добавлен 08.03.2013
Пути несанкционированного доступа, классификация способов и средств защиты информации. Анализ методов защиты информации в ЛВС. Идентификация и аутентификация, протоколирование и аудит, управление доступом. Понятия безопасности компьютерных систем.
дипломная работа , добавлен 19.04.2011
Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.
контрольная работа , добавлен 06.08.2010
Основные свойства информации. Операции с данными. Данные – диалектическая составная часть информации. Виды умышленных угроз безопасности информации. Классификация вредоносных программ. Основные методы и средства защиты информации в компьютерных сетях.
курсовая работа , добавлен 17.02.2010
Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях. Угрозы информации, способы их воздействия на объекты. Концепция информационной безопасности предприятия. Криптографические методы и средства защиты информации.
Защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано три базовых принципа информационной безопасности, которая должна обеспечивать:
Целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;
Конфиденциальность информации и, одновременно,
Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем.
При рассмотрении проблем защиты данных в сети прежде всего возникает вопрос о классификации сбоев и нарушений прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных "угроз" можно выделить:
1. Сбои оборудования:
Сбои кабельной системы;
Перебои электропитания;
Сбои дисковых систем;
Сбои систем архивации данных;
Сбои работы серверов, рабочих станций, сетевых карт и т. д.;
2. Потери информации из-за некорректной работы ПО:
Потеря или изменение данных при ошибках ПО;
Потери при заражении системы компьютерными вирусами;
3. Потери, связанные с несанкционированным доступом:
Несанкционированное копирование, уничтожение или подделка информации;
Ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц;
4. Потери информации, связанные с неправильным хранением архивных данных.
5. Ошибки обслуживающего персонала и пользователей.
Случайное уничтожение или изменение данных;
Некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.
В зависимости от возможных видов нарушений работы сети многочисленные виды защиты информации объединяются в три основных класса:
Средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т. д.
Программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.
Административные меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т.д.
Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты.
Системы архивирования и дублирования информации
Организация надежной и эффективной системы архивации данных является одной из важнейших задач по обеспечению сохранности информации в сети. В небольших сетях, где установлены один-два сервера, чаще всего применяется установка системы архивации непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер.
Такой сервер автоматически производит архивирование информации с жестких дисков серверов и рабочих станций в указанное администратором локальной вычислительной сети время, выдавая отчет о проведенном резервном копировании. При этом обеспечивается управление всем процессом архивации с консоли администратора, например, можно указать конкретные тома, каталоги или отдельные файлы, которые необходимо архивировать.
Возможна также организация автоматического архивирования по наступлении того или иного события ("event driven backup"), например, при получении информации о том, что на жестком диске сервера или рабочей станции осталось мало свободного места, или при выходе из строя одного из "зеркальных" дисков на файловом сервере.
Для обеспечения восстановления данных при сбоях магнитных дисков в последнее время чаще всего применяются системы дисковых массивов - группы дисков, работающих как единое устройство, соответствующих стандарту RAID (Redundant Arrays of Inexpensive Disks).
Защита от компьютерных вирусов
На сегодняшний день дополнительно к тысячам уже известных вирусов появляется 100-150 новых штаммов ежемесячно. Наиболее распространенными методами защиты от вирусов по сей день остаются различные антивирусные программы.
Однако в качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера.
Защита от несанкционированного доступа
Проблема защиты информации от несанкционированного доступа особо обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей. Необходимо также отметить, что зачастую ущерб наносится не из-за "злого умысла", а из-за элементарных ошибок пользователей, которые случайно портят или удаляют жизненно важные данные. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.
В компьютерных сетях при организации контроля доступа и разграничения полномочий пользователей чаще всего используются встроенные средства сетевых операционных систем
Существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:
чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
· копирование носителей информации и файлов информации с преодолением мер защиты;
· маскировка под зарегистрированного пользователя;
· маскировка под запрос системы;
· использование программных ловушек;
· использование недостатков операционной системы;
· незаконное подключение к аппаратуре и линиям связи;
· злоумышленный вывод из строя механизмов защиты;
· внедрение и использование компьютерных вирусов.
Обеспечение безопасности информации достигается комплексом организационных, организационно-технических, технических и программных мер.
К организационным мерам защиты информации относятся:
· ограничение доступа в помещения, в которых происходит подготовка и обработка информации;
· допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
· хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;
· исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т.д.;
· использование криптографических кодов при передаче по каналам связи ценной информации;
· уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.
Организационно-технические меры защиты информации включают:
· осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные сетевые фильтры;
· установку на дверях помещений кодовых замков;
· использование для отображения информации при вводе-выводе жидкокристаллических или плазменных дисплеев, а для получения твёрдых копий - струйных принтеров и термопринтеров, поскольку дисплей даёт такое высокочастотное электромагнитное излучение, что изображение с его экрана можно принимать на расстоянии нескольких сотен километров;
· уничтожение информации, при списании или отправке ЭВМ в ремонт;
· установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
· ограничение электромагнитного излучения путём экранирования помещений, где происходит обработка информации, листами из металла или из специальной пластмассы.
Технические средства защиты информации - это системы охраны территорий и помещений с помощью экранирования машинных залов и организации контрольно-пропускных систем. Защита информации в сетях и вычислительных средствах с помощью технических средств реализуется на основе организации доступа к памяти с помощью:
· контроля доступа к различным уровням памяти компьютеров;
· блокировки данных и ввода ключей;
· выделение контрольных битов для записей с целью идентификации и др.
Архитектура программных средств защиты информации включает:
· контроль безопасности, в том числе контроль регистрации вхождения в систему, фиксацию в системном журнале, контроль действий пользователя;
· реакцию (в том числе звуковую) на нарушение системы защиты контроля доступа к ресурсам сети;
· контроль мандатов доступа;
· формальный контроль защищённости операционных систем (базовой общесистемной и сетевой);
· контроль алгоритмов защиты;
· проверку и подтверждение правильности функционирования технического и программного обеспечения.
Для надёжной защиты информации и выявления случаев неправомочных действий проводится регистрация работы системы: создаются специальные дневники и протоколы, в которых фиксируются все действия, имеющие отношение к защите информации в системе. Используются также специальные программы для тестирования системы защиты. Периодически или в случайно выбранные моменты времени они проверяют работоспособность аппаратных и программных средств защиты.
К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени. Программы данной группы формируют специальный сигнал при регистрации действий, которые могут привести к неправомерным действиям по отношению к защищаемой информации. Сигнал может содержать информацию о характере нарушения, месте его возникновения и другие характеристики. Кроме того, программы могут запретить доступ к защищаемой информации или симулировать такой режим работы (например, моментальная загрузка устройств ввода-вывода), который позволит выявить нарушителя и задержать его соответствующей службой.
Один из распространённых способов защиты - явное указание секретности выводимой информации. Это требование реализуется с помощью соответствующих программных средств.
Оснастив сервер или сетевые рабочие станции, например, устройством чтения смарт-карточек и специальным программным обеспечением, можно значительно повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить смарт-карту в устройство чтения и ввести свой персональный код.
Смарт-карты управления доступом позволяют реализовать, в частности, такие функции, как контроль входа, доступ к устройствам персонального компьютера, доступ к программам, файлам и командам.
В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям, - что делает невозможным "перехват" данных при незаконном подключении "хакера" к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки "перехваченных" данных. Кроме того, мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети главного офиса.
Механизмы обеспечения безопасности
1. Криптография.
Для обеспечения секретности применяется шифрование, или криптография, позволяющая трансформировать данные в зашифрованную форму, из которой извлечь исходную информацию можно только при наличии ключа.
В основе шифрования лежат два основных понятия: алгоритм и ключ. Алгоритм - это способ закодировать исходный текст, в результате чего получается зашифрованное послание. Зашифрованное послание может быть интерпретировано только с помощью ключа.
Все элементы систем защиты подразделяются на две категории - долговременные и легко сменяемые. К долговременным элементам относятся те элементы, которые относятся к разработке систем защиты и для изменения требуют вмешательства специалистов или разработчиков. К легко сменяемым элементам относятся элементы системы, которые предназначены для произвольного модифицирования или модифицирования по заранее заданному правилу, исходя из случайно выбираемых начальных параметров. К легко сменяемым элементам относятся, например, ключ, пароль, идентификация и т.п.
Секретность информации обеспечивается введением в алгоритмы специальных ключей (кодов). Использование ключа при шифровании предоставляет два существенных преимущества. Во-первых, можно использовать один алгоритм с разными ключами для отправки посланий разным адресатам. Во-вторых, если секретность ключа будет нарушена, его можно легко заменить, не меняя при этом алгоритм шифрования. Таким образом, безопасность систем шифрования зависит от секретности используемого ключа, а не от секретности алгоритма шифрования.
Важно отметить, что возрастающая производительность техники приводит к уменьшению времени, требующегося для вскрытия ключей, и системам обеспечения безопасности приходится использовать всё более длинные ключи, что, в свою очередь, ведёт к увеличению затрат на шифрование.
Поскольку столь важное место в системах шифрования уделяется секретности ключа, то основной проблемой подобных систем является генерация и передача ключа.
Существуют две основные схемы шифрования: симметричное шифрование (его также иногда называют традиционным или шифрованием с секретным ключом) и шифрование с открытым ключом (иногда этот тип шифрования называют асимметричным).
При симметричном шифровании отправитель и получатель владеют одним и тем же ключом (секретным), с помощью которого они могут зашифровывать и расшифровывать данные.
Электронная подпись
При помощи электронной подписи получатель может убедиться в том, что полученное им сообщение послано не сторонним лицом, а имеющим определённые права отправителем. Электронные подписи создаются шифрованием контрольной суммы и дополнительной информации при помощи личного ключа отправителя. Таким образом, кто угодно может расшифровать подпись, используя открытый ключ, но корректно создать подпись может только владелец личного ключа. Для защиты от перехвата и повторного использования подпись включает в себя уникальное число - порядковый номер.
Аутентификация
Аутентификация является одним из самых важных компонентов организации защиты информации в сети. Прежде чем пользователю будет предоставлено право получить тот или иной ресурс, необходимо убедиться, что он действительно тот, за кого себя выдаёт.
При получении запроса на использование ресурса от имени какого-либо пользователя сервер, предоставляющий данный ресурс, передаёт управление серверу аутентификации. После получения положительного ответа сервера аутентификации пользователю предоставляется запрашиваемый ресурс.
При аутентификации используется, как правило, принцип, получивший название “что он знает”, - пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является использование стандартных паролей. Пароль - вводится им в начале сеанса взаимодействия с сетью, а иногда и в конце сеанса (в особо ответственных случаях пароль нормального выхода из сети может отличаться от входного). Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.
Чаще всего используются схемы с применением одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы, представляющие собой устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие.
Защита сетей
В последнее время корпоративные сети всё чаще включаются в Интернет или даже используют его в качестве своей основы. Для защиты корпоративных информационных сетей используются брандмауэры. Брандмауэры - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и INTERNETOM, хотя её можно провести и внутри. Однако защищать отдельные компьютеры невыгодно, поэтому обычно защищают всю сеть. Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение - пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, для него определяется набор правил.
Брандмауэр может быть реализован как аппаратными средствами (то есть как отдельное физическое устройство), так и в виде специальной программы, запущенной на компьютере.
Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр - только раздел администратора.
Некоторые брандмауэры работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов.
Брандмауэр обычно состоит из нескольких различных компонентов, включая фильтры или экраны, которые блокируют передачу части трафика.
Все брандмауэры можно разделить на два типа:
· пакетные фильтры, которые осуществляют фильтрацию IP-пакетов средствами фильтрующих маршрутизаторов;
· серверы прикладного уровня, которые блокируют доступ к определённым сервисам в сети.
Таким образом, брандмауэр можно определить как набор компонентов или систему, которая располагается между двумя сетями и обладает следующими свойствами:
· весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через эту систему;
· только трафик, определённый локальной стратегией защиты, может пройти через эту систему;
Системы защиты компьютера от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы, как:
- - средства собственной защиты, предусмотренные общим программным обеспечением;
- - средства защиты в составе вычислительной системы;
- - средства защиты с запросом информации;
- - средства активной защиты;
- - средства пассивной защиты и др.
Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности, такие:
- - защита информации от несанкционированного доступа;
- - защита информации от копирования;
- - защита программ от копирования;
- - защита программ от вирусов;
- - защита информации от вирусов;
- - программная защита каналов связи.
По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.
Программные средства защиты имеют следующие разновидности специальных программ:
идентификации технических средств, файлов и аутентификации пользователей;
регистрации и контроля работы технических средств и пользователей;
обслуживания режимов обработки информации ограниченного пользования;
защиты операционных средств ПК и прикладных программ пользователей;
уничтожения информации в ЗУ после использования;
сигнализирующих нарушения использования ресурсов;
вспомогательных программ защиты различного назначения
Идентификация технических средств и файлов, осуществляемая программно, делается на основе анализа регистрационных номеров различных компонентов и объектов информационной системы и сопоставления их со значениями адресов и паролей, хранящихся в ЗУ системы управления.
Для обеспечения надежности защиты с помощью паролей работа системы защиты организуется таким образом, чтобы вероятность раскрытия секретного пароля и установления соответствия тому или иному идентификатору файла или терминала была как можно меньше. Для этого надо периодически менять пароль, а число символов в нем установить достаточно большим.
Эффективным способом идентификации адресуемых элементов и аутентификации пользователей является алгоритм запросно-ответного типа, в соответствии с которым система защиты выдает пользователю запрос на пароль, после чего он должен дать на него определенный ответ. Так как моменты ввода запроса и ответа на него непредсказуемы, это затрудняет процесс отгадывания пароля, обеспечивая тем самым более высокую надежность защиты.
Получение разрешения на доступ к тем или иным ресурсам можно осуществить не только на основе использования секретного пароля и последующих процедур аутентификации и идентификации. Это можно сделать более детальным способом, учитывающим различные
особенности режимов работы пользователей, их полномочия, категории запрашиваемых данных и ресурсов. Этот способ реализуется специальными программами, анализирующими соответствующие характеристики пользователей, содержание заданий, параметры технических и программных средств, устройств памяти и др.
Поступающие в систему защиты конкретные данные, относящиеся к запросу, сравниваются в процессе работы программ защиты с данными, занесенными в регистрационные секретные таблицы (матрицы). Эти таблицы, а также программы их формирования и обработки хранятся в зашифрованном виде и находятся под особым контролем администратора (администраторов) безопасности информационной сети.
Для разграничения обращения отдельных пользователей к вполне определенной категории информации применяются индивидуальные меры секретности этих файлов и особый контроль доступа к ним пользователей. Гриф секретности может формироваться в виде трехразрядных кодовых слов, которые хранятся в самом файле или в специальной таблице. В этой же таблице записываются идентификатор пользователя, создавшего данный файл, идентификаторы терминалов, с которых может быть осуществлен доступ к файлу, идентификаторы пользователей, которым разрешен доступ к данному файлу, а также их права на пользование файлом (считывание, редактирование, стирание, обновление, исполнение и др.). Важно не допустить взаимовлияния пользователей в процессе обращения к файлам. Если, например, одну и ту же запись имеют право редактировать несколько пользователей, то каждому из них необходимо сохранить именно его ’ вариант редакции (делается несколько копий записей с целью возможного анализа и установления полномочий).
