Главная страница
Навигация по странице:

  • Развитие защиты информации

  • Защита персональной информации

  • Суть защиты информации

    		•

    ЛекцииПАСдляЭБК (1). Средства защиты информации


    Скачать 59.63 Kb.
    НазваниеСредства защиты информации
    Дата23.02.2021
    Размер59.63 Kb.
    Формат файлаdocx
    Имя файлаЛекцииПАСдляЭБК (1).docx
    ТипДокументы
    #178716
    страница5 из 6
    1   2   3   4   5   6

    Защита от утечки информации

    Технические каналы утечки:

    1. Визуально-оптические каналы;
    2. Акустические каналы;
    3. Электромагнитные каналы;
    4. Материально-вещественные каналы;
    5. Радиоэлектронные каналы утечки информации.

    Защищенная информация является объектом собственности и находится в защите относительно правовых документов. При проведении мероприятий по защите негосударственных информационных ресурсов, являющихся банковской тайной или коммерческой, требования нормативных документов имеют рекомендательный характер. На негосударственную тайну режимы защиты информации устанавливаются собственником данных.

    Действия по защите конфиденциальных данных от утечки по техническим каналам являются одной из частей мероприятий на предприятии по обеспечении информационной безопасности. Организационные действия по защите информации от утечек по техническим каналам основаны на ряде рекомендаций при выборе помещений где будут вестись работы по сохранении и обработки конфиденциальной информации. Также при выборе технических средств защиты, нужно основываться в первую очередь на сертифицированную продукцию.

    При организации мероприятий по защите утечки техническим каналам информации на защищаемом объекте можно рассмотреть следующие этапы:

    • Подготовительный, предпроектный;
    • Проектирование СТЗИ;
    • Этап ввода в эксплуатацию защищаемого объекта и системы технической защиты информации.

    Первый этап подразумевает подготовку к созданию системы технической защиты информации на защищаемых объектах.

    При осмотре возможных технических потоков утечки на объекте изучаются:

    • План прилегающей зоны к зданию в радиусе 300 м.
    • План каждого этажа здания с изучением характеристик стен, отделок, окон, дверей и т.д.
    • План-схема систем заземления электронных объектов.
    • План-схема коммуникаций всего здания, вместе с системой вентиляции.
    • План-схема электропитания здания с указанием всех щитов и место расположения трансформатора.
    • План-схема Телефонных сетей.
    • План-схема пожарной и охранной сигнализации с указанием всех датчиков.

    Узнав утечку информации как не контролированный выход конфиденциальных данных за границы круга лиц или организации, рассмотрим, как именно реализуется такая утечка. В основе такой утечки есть неконтролируемый вынос конфиденциальных даны путем световых, акустических, электромагнитных или других полей или материальных носителей. Какие бы не были разные причины утечек, они имеют много общего. Как правило, причины связаны с прогрехах в нормах сохранении информации и нарушений этих норм.

    Информация может передаваться или веществом или полем. Человек не рассматривается как носитель, он есть источником или субъектом отношений. Человек использует в своих интересах разные физические поля, которые создают системы связи. Любая такая система имеет составляющие: источник, передатчик, линия передачи, приемник и получателя. Такие системы юзают каждый день в соответствии с предназначением и есть официальными средствами обмена данными. Такие каналы обеспечивают и контролируют с целью безопасным обменом информации. Но есть и каналы которые скрыты от посторонних глаз, и по ним могут передавать данные которые не должны быть переданы третьим лицам.

    Для создания канала утечки нужны определенные временные, энергетические и пространственные условия которые способствуют приему данных на стороне злоумышленника.

    Каналы утечки можно поделить на:

    • Акустические;
    • визуально-оптические;
    • электромагнитные;
    • материальные.

    Визуально-оптические каналы

    Такие каналы это, как правило, это удаленное наблюдение. Информация выступает как свет который исходит от источника информации.

    Методы защиты от визуальных каналов утечки:

    • уменьшить отражательные характеристики объекта защиты;
    • располагать объекты так, что бы исключить отражение в стороны потенциального расположения злоумышленника;
    уменьшить освещенность объекта;
    • применять методы маскирования и другие для введения в заблуждения злоумышленника;
    • использовать преграды.

    Акустические каналы

    В таких каналах переносчиком есть звук, которые лежит в диапазоне ультра (более 20000 Гц). Канал реализуется посредством распространения акустической волны во все стороны. Как только на пути волны будет преграда, она задействует колебательные режим преграды, и с преграды можно будет считать звук. В разных средах распространения звук по разному распространяется.

    Защита от акустических каналов прежде всего это организационные меры. Они подразумевают реализацию архитектурно-планировочных, режимных и пространственных мероприятий, а также организационно-технические активные и пассивные мероприятия. Архитектурно-планировочные меры реализуют определенные требования на этапе проектирования зданий. Организационно-технические методы подразумевают реализацию звукопоглощающих средств. К примеры материалы типа ваты, ковры, пенобетон, и тд. В них очень много пористых промежутков которые проводит к многому отражению и поглощению звуковых волн. Также используют специальные герметические акустические панели. Величина звукопоглощения А определяется коэффициентов звукопоглощения и размерами поверхности которой звукопоглощение: A = L * S. Значения коэффициентов известны, для пористых материалов это — 0,2 — 0,8. Для бетона или кирпича это — 0,01 — 0,03. К примеру при обработке стен L = 0,03 пористой штукатуркой L = 0,3 звуковое давление уменьшается на 10 дБ.

    Для точного определения эффективности защиты звукоизоляции используют шумомеры. Шумомер — это прибор, которые изменяют колебания звукового давления в показания. Для проведения оценочных характеристик защищенности зданий от утечек по вибрационным и акустическим каналам используют электронные стетоскопы. Они прослушивают звук через полы, стены, системы отопления, потолки и т.д. Чувствительность стетоскопа в диапазоне от 0,3 до 1,5 v/дБ. При уровне звука в 34 — 60 дБ такие стетоскопы могут слушать через конструкции толщиной до 1,5 м. Если же пассивные меры защиты не помогают, можно использовать генераторы шума. Они ставятся по периметру помещения, что бы создавать свои вибрационные волны на конструкции.

    Электромагнитные каналы

    Для таких каналов переносчиком есть электромагнитные волны в диапазоне 10 000 м (частота < 30 Гц) до волн длиной 1 — 0,1 мм (частота 300 — 3000 Гц).

    Известны электромагнитные каналы утечки:

    • электромагнитные излучения высокой и низкой частоты;
    • микрофонный эффект элементов электронных схем;
    • цепи заземления и цепи питания электронных схем;
    • паразитная генерация усилителей;
    • высокочастотное навязывание;
    • волоконный-оптические системы.

    С помощью конструкторский-технологическим мероприятиям можно локализовать некоторые каналы утечки с помощью:

    • ослабление индуктивной, электромагнитной связи между элементами;
    • экранирование узлов и элементов аппаратуры;
    • фильтрация сигналов в цепях питания или заземления.

    Паразитная генерация усилителей создается за счет неконтролируемой положительной обратной связи. Самовозбуждение может быть и при отрицательной обратной связи, там где усилитель вносит сдвиг фазы на 180 градусов. Защитная мера такова, что нужно контролировать усилитель на самовозбуждения с помощью радиоприемников.

    Любое электронный агрегат под воздействием высокочастотного электромагнитного поля становится переизлучателем, вторичным источником излучения. Такое действие называют интермодуляционным излучением. Для защиты от такого канала утечки нужно воспретить прохождения высокочастотного тока через микрофон. Реализуется путем подключения к микрофону параллельно конденсатора емкостью 0,01 — 0,05 мкФ.

    Материально-вещественные каналы

    Такие каналы создаются в твердом, газообразном или жидком состоянии. Зачастую это отходы предприятия.

    Защита от таких каналов это целый комплекс мероприятий, по контролю выхода конфиденциальной информации в виде промышленных или производственных отходов.

    Развитие защиты информации

    Обеспечение защиты информации волновало человечество всегда. В процессе эволюции цивилизации менялись виды информации, для её защиты применялись различные методы и средства.

    Процесс развития средств и методов защиты информации можно разделить на три относительно самостоятельных периода:

    Первый период определяется началом создания осмысленных и самостоятельных средств и методов защиты информации и связан с появлением возможности фиксации информационных сообщений на твердых носителях, то есть с изобретением письменности. Вместе с неоспоримым преимуществом сохранения и перемещения данных возникла проблема сохранения в тайне существующей уже отдельно от источника конфиденциальной информации, поэтому практически одно-временно с рождением письменности возникли такие методы защиты информации, как шифрование и скрытие.

    Криптография — наука о математических методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации. Криптография — одна из старейших наук, ее история насчитывает несколько тысяч лет. В документах древних цивилизаций, таких как Индия, Египет, Месопотамия, есть сведения о системах и способах составления шифрованных писем. В древних религиозных книгах Индии указывается, что сам Будда знал несколько десятков способов письма, среди которых присутствовали шифры перестановки (по современной классификации). Один из самых старых шифрованных текстов из Месопотамии (2000 лет до н. э.) представляет собой глиняную табличку, содержащую рецепт изготовления глазури в гончарном производстве, в котором игнорировались некоторые гласные и согласные и употреблялись числа вместо имен.

    В начале XIX века криптография обогатилась замечательным изобретением. Его автор - государственный деятель, первый государственный секретарь, а затем и президент США Томас Джефферсон. Свою систему шифрования он назвал "дисковым шифром". Этот шифр реализовывался с помощью специального устройства, которое впоследствии назвали шифратором Джефферсона. Конструкция шифратора может быть вкратце описана следующим образом. Деревянный цилиндр разрезается на 36 дисков (в принципе, общее количество дисков может быть и иным). Эти диски насаживаются на одну общую ось таким образом, чтобы они могли независимо вращаться на ней. На боковых поверхностях каждого из дисков выписывались все буквы английского алфавита в произвольном порядке. Порядок следования букв на каждом диске - различный. На поверхности цилиндра выделялась линия, параллельная его оси. При шифровании открытый текст разбивался на группы по 36 знаков, затем первая буква группы фиксировалась положением первого диска по выделенной линии, вторая - положением второго диска и т. д. Шифрованный текст образовывался путем считывания последовательности букв с любой линии параллельной выделенной. Обратный процесс осуществлялся на аналогичном шифраторе: полученный шифртекст выписывался путем поворота дисков по выделенной линии, а открытый текст отыскивался среди параллельных ей линий путем прочтения осмысленного возможного варианта. Шифратор Джефферсона реализует ранее известный шифр многоалфавитной замены. Частями его ключа являются порядок расположения букв на каждом диске и порядок расположения этих дисков на общей оси.

    Второй период (примерно с середины XIX в.) характеризуется появлением технических средств обработки информации и передачи сообщений с помощью электрических сигналов и электромагнитных полей (например, телефон, телеграф, радио). В связи с этим возникли проблемы защиты от так называемых технических каналов утечки (побочных излучений, наводок и др.). Для обеспечения защиты информации в процессе передачи по телефонным и телеграфным каналам связи появились способы и технические средства, позволяющие шифровать сообщения в реальном времени. Также в этот период активно развиваются технические средства разведки, многократно увеличивающие возможности промышленного и государственного шпионажа. Огромные, все возрастающие убытки предприятий и фирм способствовали научно-техническому прогрессу в создании новых и совершенствовании старых средств и методов защиты информации.

    Наиболее интенсивное развитие этих методов приходится на период массовой информатизации общества (третий период). Оно связано с внедрением автоматизированных систем обработки информации и измеряется периодом в более чем 40 лет. В 60-х гг. на Западе стало появляться большое количество открытых публикаций по различным аспектам защиты информации. Такое внимание к этой проблеме в первую очередь было вызвано возрастающими финансовыми потерями фирм и государственных организаций от преступлений в компьютерной сфере.

    Защита персональной информации

    Согласно ст. 3 Закона, это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (в том числе номер телефона, электронный адрес и т.д.).

    В каком случае ваше право на защиту персональных данных нарушается:

    1) Если управляющая организация в вашем доме вывесила список должников, указав фамилию, имя, отчество, адрес гражданина и сумму задолженности;
    2) Если подобная информация выложена в сети Интернет без вашего письменного разрешения;
    3) Если незнакомые люди звонят вам домой, называют вас по имени и предлагают услуги или товары (проводят социологический опрос, совершают спам-прозвон, спрашивают, как вы относитесь к Навальному и т.д.) – при этом вы не указывали нигде свой адрес и телефон;
    4) Если в газете опубликованы ваши сведения в качестве примера результатов работы по переписи населения;
    5) В любом другом случае, когда третьим лицам стала известна ваша личная информация, если вы ее не предоставляли.

    Если опубликованы только фамилия, имя, отчество гражданина (и только они, то есть без какой-либо информации об этом гражданине)- это не нарушение.

    Если ваш телефон есть в телефонной книге, адрес в справочнике с вашего разрешения - это не нарушение.

    Суть защиты информации

    Защита информации вызывает необходимость системного подхода, т.е. здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безопасности — организационные, физические и программно-технические — рассматривались как единый комплекс взаимосвязанных взаимодополняющих и взаимодействующих мер. Один из основных принципов системного подхода к защите информации — принцип «разумной достаточности», суть которого: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.

    Несанкционированный доступ — чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.

    Проблема несанкционированного доступа к информации обострилась и приобрела особую значимость в связи с развитием компьютерных сетей, прежде всего глобальной сети Интернет.

    Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа.

    Перечислим основные типовые пути несанкционированного получения информации:

    - хищение носителей информации и производственных отходов;
    - копирование носителей информации с преодолением мер защиты;
    - маскировка под зарегистрированного пользователя;
    - мистификация (маскировка под запросы системы);
    - использование недостатков операционных систем и языков программирования;
    - использование программных закладок и программных блоков типа «троянский конь»;
    - перехват электронных излучений;
    - перехват акустических излучений;
    - дистанционное фотографирование;
    - применение подслушивающих устройств;
    - злоумышленный вывод из строя механизмов защиты и т.д.

    Для защиты информации от несанкционированного доступа применяются: организационные мероприятия, технические средства, программные средства, криптография.

    Организационные мероприятия включают в себя:

    - пропускной режим;
    - хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);
    - ограничение доступа лиц в компьютерные помещения и т.д.

    Технические средства включают в себя различные аппаратные способы защиты информации:

    - фильтры, экраны на аппаратуру;
    - ключ для блокировки клавиатуры;
    - устройства аутентификации — для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;
    - электронные ключи на микросхемах и т.д.

    Программные средства защиты информации создаются в результате разработки специального программного обеспечения, которое бы не позволяло постороннему человеку, не знакомому с этим видом защиты, получать информацию из системы.

    Программные средства включают в себя:

    - парольный доступ-задание полномочий пользователя;
    - блокировка экрана и клавиатуры, например с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;
    - использование средств парольной защиты BIOS на сам BIOS и на ПК в целом и т.д.

    Под криптографическим способом защиты информации подразумевается ее шифрование при вводе в компьютерную систему.

    На практике обычно используются комбинированные способы защиты информации от несанкционированного доступа.

    Среди механизмов безопасности сетей обычно выделяют следующие основные:

    - шифрование;
    - контроль доступа;
    - цифровая подпись.
    1   2   3   4   5   6

    написать администратору сайта