Методы защиты информационных ресурсов
Скачать 101.02 Kb.
|
МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ Чиричкина В.В. БИТИ НИЯУ МИФИ Балаково, Россия METHODS OF PROTECTING INFORMATION RESOURCES Chirichkina V.V. BITI MEPHI Balakovo, Russia Персональные компьютеры, системы управления и сети на их основе быстро входят во все области человеческой деятельности. Согласно статистическим данным, более 80% информации компаний несут финансовые убытки из-за нарушения целостности и конфиденциальности используемых данных. Кроме информации, составляющей государственную или коммерческую тайну, существует информация, представляющая собой интеллектуальную собственность. Стоимость такой информации в мире составляет несколько триллионов долларов в год. Ее несанкционированное копирование, также снижает доходы компаний и авторов, занятых ее разработкой. Развитие информационных технологий, их проникновение во все сферы человеческой деятельности приводит к тому, что проблемы информационной безопасности с каждым годом становятся всё более и более актуальными – и одновременно более сложными. Технологии обработки информации непрерывно совершенствуются, а вместе с ними меняются и практические методы обеспечения информационной безопасности. Действительно, универсальных методов защиты не существует, во многом успех при построении механизмов безопасности для реальной системы будет зависеть от её индивидуальных особенностей, учёт которых плохо подаётся формализации. Поэтому часто информационную безопасность рассматривают как некую совокупность неформальных рекомендаций по построению систем защиты информации того или иного типа. Информационная сфера сегодня – не только одна из важнейших сфер международного сотрудничества, но и объект соперничества. Страны с более развитой информационной инфраструктурой, устанавливая технологические стандарты и предоставляя потребителям свои ресурсы, определяют условия формирования и осуществления деятельности информационных инфраструктур в других странах, оказывают воздействие на развитие их 2 информационной сферы. Поэтому в промышленно развитых странах при формировании национальной политики приоритет получают развитие средств защиты и обеспечение безопасности информационной сферы. Концентрация информации в компьютерных системах вынуждает наращивать усилия по её защите. Национальная безопасность, государственная тайна, коммерческая тайна – все эти юридические аспекты требуют усиления контроля над информацией в коммерческих и государственных организациях. Работа, ведущаяся в этом направлении, привела к появлению новой дисциплины – «Информационная безопасность». Специалист в области информационной безопасности отвечает за разработку, создание и эксплуатации системы, призванной обеспечить целостность, доступность и конфиденциальность циркулирующей в организации информации. В его функции входит обеспечение физической защиты (аппаратные средства, компьютерные сети), а также защиты данных и программного обеспечения. Обеспечение информационной безопасности – дело не только очень дорогостоящее (затраты на покупку и установку технических и программных средств защиты могут составлять более половины стоимости компьютерной техники), но и очень сложное: при создании системы безопасности информации трудно определить возможные угрозы и уровень необходимой защиты, требуемый для поддержания информационной системы в рабочем состоянии. Современное информационное общество может формироваться и эффективно развиваться только в условиях правового государства, основанного на безусловном применении норм законодательства. Роль права в жизни информационного общества становится определяющей, все его члены должны исполнять нормы законов и разрешать возникающие споры цивилизованным способом на основе законодательства. 3 1 ОСНОВНЫЕ ПОНЯТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Обеспечение информационной безопасности является одним из ведущих направлений развития информационных технологий. Компьютерная система (КС) – организационно-техническая система, представляющую совокупность следующих взаимосвязанных компонентов: технические средства обработки и передачи данных; методы и алгоритмы обработки в виде соответствующего ПО; данные – информация на различных носителях и находящаяся в процессе обработки; конечные пользователи – персонал и пользователи, использующие КС с целью удовлетворения информационных потребностей; объект – любой элемент КС, доступ к которому может быть произвольно ограничен; субъект – любая сущность, способная инициировать выполнение операций над объектом. Рассмотрим основные понятия защиты информации и информационной безопасности: Защита информации – деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Объект защиты – сама информация, носитель информации или информационный процесс, в отношении которых необходимо осуществлять защиту в соответствии с поставленной целью защиты информации. Цель защиты информации – желаемый результат защиты информации. Целью защиты информации может являться предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной потери (утечки) информации или несанкционированного и непреднамеренного воздействия на информацию. Эффективность защиты информации – степень соответствия результатов защиты информации по отношению к поставленной цели. Защита информации от утечки – деятельность по предотвращению распространения защищаемой информации (её разглашения), несанкционированного доступа к защищаемой информации и получения защищаемой информации злоумышленниками. 4 Защита информации от разглашения – предотвращение несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации. Идентификация – получение от субъекта доступа к сведениям (имя, учетный номер и т.д.), позволяющим выделить его из множества субъектов. Аутентификация – получение от субъекта сведений (пароль, биометрические данные и т.д.), подтверждающих, что идентифицируемый субъект является тем, за кого себя выдает. Несанкционированный доступ (НСД) – доступ с нарушением правил разграничения доступа субъекта к информации, с использованием штатных средств (программного или аппаратного обеспечения), предоставляемых КС. Пароль – комбинация символов, известная только ее владельцу. Стойкость – это минимальный объем зашифрованного текста, который можно вскрыть статистическим анализом. Защита информации от несанкционированного доступа – предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами, собственником либо владельцем информации правил доступа к защищаемой информации. Заинтересованным субъектом может быть юридическое лицо, группа физических лиц, общественная организация, отдельное физическое лицо и даже государство. Система защиты информации – это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы. Под информационной безопасностью понимают защищённость информации от незаконного ознакомления, преобразования и уничтожения, а также защищённость информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной. (попытки проникновения злоумышленников, ошибки персонала, выход из строя аппаратных и программных средств, стихийные бедствия (ураган, землетрясение, пожар) и т. п.) Основные понятия защиты информации и информационной безопасности. Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных. Поэтому обеспечение информационной безопасности является одним из ведущих направлений развития информационных технологий. 5 2 МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ Вместе с развитием методов преобразования и передачи информации постоянно развиваются и методы обеспечения её безопасности. Современный этап развития этой проблемы характеризуется переходом от традиционного её представления как проблемы защиты информации к более широкому пониманию – проблеме информационной безопасности, заключающейся в комплексном её решении по двум основным направлениям. К первому можно отнести защиту государственной тайны и конфиденциальных сведений, обеспечивающую главным образом невозможность несанкционированного доступа к ним. При этом под конфиденциальными сведениями понимаются сведения ограниченного доступа общественного характера (коммерческая тайна, партийная тайна и т. д.). Ко второму направлению относится защита от информации, которая в последнее время приобретает международный масштаб и стратегический характер. При этом выделяют три основных направления защиты от так называемого информационного оружия (воздействия): – на технические системы и средства; – общество; – психику человека. В соответствии с этим подходом уточнены и дополнены множества угроз информации, функции и классы задач по защите информации. Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации. Обеспечение безопасности информации требует сохранения следующих её свойств: – целостности; – доступности; – конфиденциальности. Целостность информации заключается в её существовании в неискажённом виде, то есть неизменном по отношению к её исходному состоянию. Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения. Методы обеспечения информационной безопасности весьма разнообразны. При организации доступа субъектов к объектам выполняются следующие действия: идентификация и аутентификация субъекта доступа; проверка прав доступа субъекта к объекту; ведение журнала учета действий субъекта. Так же выделяют метод идентификация и аутентификация пользователей. 6 Что касается подходов к реализации защитных мероприятий по обеспечению информационной безопасности, то сложилась трёхстадийная разработка таких мер. При входе в КС и при получении доступа к данным, субъект должен быть идентифицирован и аутентифицирован. Эти две операции обычно выполняются вместе, то есть пользователь сначала сообщает системе сведения, позволяющие выделить его из множества субъектов, а затем сообщает секретные сведения, подтверждающие, что он то, за кого себя выдает. Для аутентификации субъекта чаще всего используют: пароли; съемные носители информации; электронные жетоны; пластиковые карты; механические ключи. Методы мониторинга несанкционированных действий. Политика безопасности предполагает контроль за работой компьютерной системы и ее компонентов, который заключается в фиксировании и последующем анализе событий в специальных журналах – журналах аудита. Периодически журнал рассматривается администратором операционной системы, или аудитором, которые анализируют сведения, накопленные в нем. Для обеспечения надежной защиты операционной системы в журнале должны отражаться следующие события: попытки входа/выхода пользователей из системы; попытки изменения списка пользователей; попытки изменения политики безопасности, в том числе и политики аудита. Криптографические методы защиты данных. Криптографические методы являются наиболее эффективными методами защиты информации в КС2. При передаче же по протяженным линиям связи, они являются единственным надежным способом защиты от несанкционированного доступа к ней. Важнейшим показателем надежности криптографического закрытия информации является его стойкость. На рис. 1 показана схема основных методов криптографического закрытия информации. 7 Рис. 1. Классификация основных методов криптографического закрытия Что касается подходов к реализации защитных мероприятий по обеспечению информационной безопасности, то сложилась трёхстадийная разработка таких мер. I стадия – выработка требований – включает: определение состава средств информационной системы анализ уязвимых элементов информационной системы оценка угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов) анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы) II стадия – определение способов защиты – включает ответы на следующие вопросы: какие угрозы должны быть устранены и в какой мере. какие ресурсы системы должны быть защищаемы и в какой степени. с помощью каких средств должна быть реализована защита. какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учётом потенциальных угроз. III стадия – определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты. 8 Первоочередными мероприятиями по реализации политики обеспечения информационной безопасности государства являются: разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности; разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики; принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов, повышение правовой культуры и компьютерной грамотности общества, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения; развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности. Реализация вышеперечисленных мер, обеспечивающих безопасность информационных ресурсов, существенно повышает эффективность всего процесса информатизации в организации, обеспечивая целостность, подлинность и конфиденциальность дорогостоящей деловой информации, циркулирующей в локальных и глобальной информационных средах. 9 ЗАКЛЮЧЕНИЕ Процесс информатизации затронул практически все стороны жизни общества. Информатизация является характерной чертой жизни современного общества. Она пропитывает все направления человеческой деятельности. С появлением новых информационных технологий информация становится необходимым атрибутом обеспечения деятельности государств, юридических лиц, общественных объединений и граждан. От качества и достоверности информации, от её оперативности получения зависят многие решения, принимаемые на самых разных уровнях – от глав государств до рядового гражданина. Обеспечение информационной безопасности – комплексная задача, потому что сама информационная среда есть сложный и многоплановый механизм, где могут присутствовать такие компоненты, как персонал, электронное оборудование, программное обеспечение и т. д. Для решения многих проблем обеспечения информационной безопасности необходимо применение следующих мер: законодательных, организационных и программно-технических. Игнорирование хотя бы одного из аспектов этой проблемы может привести к потере (утечке) информации, которая в жизни современного общества приобретает всё более важное значение и играет немаловажные роли. 10 СПИСОК ЛИТЕРАТУРЫ 1) Цирлов В.Л. Основы информационной безопасности автоматизированных систем. краткий курс М.: Изд-во Феникс 2008. 2) Правовое обеспечение информационной безопасности: учеб. Пособие для студ. высш. учеб. заведений/(С. Я. Казанцев, О. Э. Згадзай, Р. М. Оболенский); под ред. С. Я. Казанцева. – 2-е изд., испр. и доп. – М.: Издательский центр «Академия», 2007. – 240 с. 3) Шаньгин В. Ф. информационная безопасность компьютерных систем и сетей: учеб. пособие. – М.: ИД «Форум»: Инфра-М, 2008 – 416 с.: ил. – (Профессиональное образование). 4) Сёмкин С.Н, Э. В. Беляков, С. В. Гребенев, В. И. Козачок. Основы организованного обеспечения информационной безопасности объектов информатизации. М.: Изд-во «Гелиос АРВ» 2005 5) Основы информационной безопасности. Учебное пособие для вузов / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. – М.: Горячая линия – Телеком, 2006. – 544 с.: ил. |