Безпека віртуального сервера може бути розглянута лише безпосередньо як "інформаційна безпека". Багато хто чув це словосполучення, але не всі розуміють, що це таке?

"Інформаційна безпека"- це процес забезпечення доступності, цілісності та конфіденційності інформації.

Під "доступністю"розуміється відповідно забезпечення доступу до інформації. «Цілісність»- це забезпечення достовірності та повноти інформації. «Конфіденційність»передбачає забезпечення доступу до інформації тільки авторизованим користувачам.

Виходячи з Ваших цілей і завдань на віртуальному сервері, необхідні будуть і різні заходи та ступеня захисту, що застосовуються по кожному з цих трьох пунктів.

Наприклад, якщо Ви використовуєте віртуальний сервер, тільки як засіб для серфінгу в інтернеті, то з необхідних засобів для забезпечення безпеки, в першу чергу буде використання засобів антивірусного захисту, а також дотримання елементарних правил безпеки під час роботи в Інтернеті.

В іншому випадку якщо у Вас розміщений на сервері сайт або ігровий сервер, що продає, то і необхідні заходи захисту будуть абсолютно різними.

Знання можливих загроз, а також уразливих місць захисту, які ці загрози зазвичай експлуатують, необхідне для того, щоб вибирати найоптимальніші засоби забезпечення безпеки, для цього розглянемо основні моменти.

Під «Загрозою»розуміється потенційна можливість у той чи інший спосіб порушити інформаційну безпеку. Спроба реалізації загрози називається «атакою», а той, хто реалізує цю спробу, називається «зловмисником». Найчастіше загроза є наслідком наявності вразливих місць захисту інформаційних систем.

Розглянемо найпоширеніші загрози, яким піддаються сучасні інформаційні системи.

Загрози інформаційної безпеки, які завдають найбільшої шкоди

Розглянемо нижче класифікацію видів загроз за різними критеріями:

1. Загроза безпосередньо інформаційній безпеці:
   • Доступність
   • Цілісність
   • Конфіденційність
2. Компоненти, на які погрози націлені:
   • Дані
   • Програми
   • Апаратура
   • Підтримуюча інфраструктура
3. За способом здійснення:
   • Випадкові чи навмисні
   • Природного чи техногенного характеру
4. За розташуванням джерела загрози бувають:
   • Внутрішні
   • Зовнішні

Як згадувалося на початку поняття «загроза» у різних ситуаціях найчастіше трактується по-різному. І необхідні заходи безпеки будуть різними. Наприклад, для підкреслено відкритої організації загроз конфіденційності може просто не існувати - вся інформація вважається загальнодоступною, однак у більшості випадків нелегальний доступ є серйозною небезпекою.

Стосовно віртуальних серверів, загрози, які Вам як адміністратору сервера, необхідно брати до уваги це - загроза доступності, конфіденційності та цілісність даних. За можливість здійснення загроз спрямованих на конфіденційність та цілісність даних, не пов'язаних з апаратною чи інфраструктурною складовою, Ви несете пряму та самостійну відповідальність. У тому числі, як і застосування необхідних заходів захисту, це Ваше безпосереднє завдання.

На загрози спрямовані на вразливість використовуваних Вами програм, часто Ви як користувач не зможете вплинути, окрім того, як не використовувати дані програми. Допускається використання цих програм лише у разі якщо реалізація загроз використовуючи вразливості цих програм, або не доцільна з точки зору зловмисника, або не має для Вас як користувача істотних втрат.

Забезпеченням необхідних заходів безпеки від загроз спрямованих на апаратуру, інфраструктуру або загрози техногенного та природного характеру займається безпосередньо та хостинг компанія, яку Ви обрали та в якій орендуєте свої сервери. В даному випадку необхідно ретельно підходити до вибору, правильно обрана хостинг компанія на належному рівні забезпечить Вам надійність апаратної та інфраструктурної складової.

Вам як адміністратору віртуального сервера, дані види загроз потрібно брати до уваги лише у випадках, коли навіть короткочасна втрата доступу або часткова або повна зупинка в працездатності сервера з вини хостинг компанії можуть призвести до несумірних проблем або збитків. Це трапляється досить рідко, але з об'єктивних причин жодна хостинг компанія не може забезпечити Uptime 100%.

Загрози безпосередньо інформаційної безпеки

До основних загроз доступності можна віднести

1. Внутрішня відмова інформаційної системи;
2. Відмова підтримуючої інфраструктури.

Основними джерелами внутрішніх відмов є:

• Порушення (випадкове чи навмисне) від встановлених правил експлуатації
• Вихід системи зі штатного режиму експлуатації через випадкові чи навмисні дії користувачів (перевищення розрахункового числа запитів, надмірний обсяг оброблюваної інформації тощо)
• Помилки при (пере)конфігуруванні системи
• Шкідливе програмне забезпечення
• Відмовлення програмного та апаратного забезпечення
• Руйнування даних
• Руйнування чи пошкодження апаратури

Стосовно підтримуючої інфраструктури рекомендується розглядати такі загрози:

• Порушення роботи (випадкове або навмисне) систем зв'язку, електроживлення, водо- та/або теплопостачання, кондиціювання;
• Руйнування чи пошкодження приміщень;
• Неможливість або небажання обслуговуючого персоналу та/або користувачів виконувати свої обов'язки (цивільні заворушення, аварії на транспорті, терористичний акт або його загроза, страйк тощо).

Основні загрози цілісності

Можна поділити на загрози статичної цілісності та загрози динамічної цілісності.

Також варто розділяти на загрози цілісності службової інформації та змістовних даних. Під службовою інформацією розуміються паролі для доступу, маршрути передачі даних у локальній мережі та подібна інформація. Найчастіше і практично у всіх випадках зловмисником усвідомлено чи ні, виявляється співробітник організації, який знайомий з режимом роботи та заходами захисту.

З метою порушення статичної цілісності зловмисник може:

• Ввести невірні дані
• Змінити дані

Загрозами динамічної цілісності є переупорядкування, крадіжка, дублювання даних або внесення додаткових повідомлень.

Основні загрози конфіденційності

Конфіденційну інформацію можна поділити на предметну та службову. Службова інформація (наприклад, паролі користувачів) не відноситься до певної предметної області, в інформаційній системі вона відіграє технічну роль, але її розкриття особливо небезпечне, оскільки воно може призвести до отримання несанкціонованого доступу до всієї інформації, у тому числі предметної.

Навіть якщо інформація зберігається в комп'ютері або призначена для комп'ютерного використання, загрози її конфіденційності можуть мати некомп'ютерний і нетехнічний характер.

До неприємних загроз, від яких важко захищатись, можна віднести зловживання повноваженнями. На багатьох типах систем привілейований користувач (наприклад, системний адміністратор) здатний прочитати будь-який (незашифрований) файл, отримати доступ до пошти будь-якого користувача і т.д. Інший приклад - завдання шкоди при сервісному обслуговуванні. Зазвичай сервісний інженер отримує необмежений доступ до обладнання та має можливість діяти в обхід програмних захисних механізмів.

Для наочності дані види загроз також схематично представлені нижче на рис 1.


Мал. 1. Класифікація видів загроз інформаційній безпеці

Для застосування найбільш оптимальних заходів захисту необхідно провести оцінку не тільки загроз інформаційної безпеки але і можливої ​​шкоди, для цього використовують характеристику прийнятності, таким чином, можлива шкода визначається як прийнятна або неприйнятна. Для цього корисно затвердити власні критерії допустимості збитків у грошовій чи іншій формі.

Кожен, хто приступає до організації інформаційної безпеки, повинен відповісти на три основні питання:

1. Що боронити?
2. Від кого захищати, які види загроз переважають: зовнішні чи внутрішні?
3. Як захищати, якими методами та засобами?

Беручи все вище сказане до уваги, Ви можете найповніше оцінити актуальність, можливість та критичність загроз. Оцінивши всю необхідну інформацію та зваживши всі «за» та «проти». Ви зможете підібрати найбільш ефективні та оптимальні методи та засоби захисту.

Основні методи та засоби захисту, а також мінімальні та необхідні заходи безпеки, що застосовуються на віртуальних серверах залежно від основних цілей їх використання та видів загроз, нами будуть розглянуті в наступних статтях під заголовком «Основи інформаційної безпеки».

У повсякденному житті часто інформаційна безпека (ІБ) розуміється лише як необхідність боротьби з витіканням секретної та поширенням хибної та ворожої інформації. Однак це розуміння дуже вузьке. Існує багато різних визначень інформаційної безпеки, у яких висвічуються окремі властивості.

У ФЗ «Про інформацію, інформатизації та захист інформації», що втратив чинність, під інформаційною безпекоюрозумілося стан захищеності інформаційного середовища суспільства, що забезпечує її формування та розвиток на користь громадян, організацій та держави.

В інших джерелах наводяться такі визначення:

Інформаційна безпека- це

1) комплекс організаційно-технічних заходів, що забезпечують цілісність даних та конфіденційність інформації у поєднанні з її доступністю для всіх авторизованих користувачів;

2) показник, що відбиває статус захищеності інформаційної системи;

3) станзахищеності інформаційного середовища;

4) стан, що забезпечує захищеність інформаційних ресурсів та каналів,а також доступу до джерел інформації.

В. І. Ярочкін вважає, що інформаційна безпекає стан захищеності інформаційних ресурсів, технології їх формування та використання, а також прав суб'єктів інформаційної діяльності.

Досить повне визначення дають В. Бетелін та В. Галатенко, які вважають, що

У цьому посібнику ми спиратимемося на наведене вище визначення.

ІБ не зводиться виключно до захисту інформації та комп'ютерної безпеки. Слід розрізняти інформаційну безпеку захисту інформації.

Іноді під захистом інформації розуміється створення в ЕОМ та обчислювальних системах організованої сукупності засобів, методів та заходів, призначених для попередження спотворення, знищення або несанкціонованого використання інформації, що захищається.

Заходи щодо забезпечення інформаційної безпеки повинні здійснюватись у різних сферах – політиці, економіці, обороні, а також на різних рівнях – державному, регіональному, організаційному та особистісному. Тому завдання інформаційної безпеки лише на рівні держави відрізняються від завдань, які стоять перед інформаційною безпекою лише на рівні організації.

Суб'єкт інформаційних відносин може постраждати (зазнати матеріальних та/або моральних збитків) не тільки від несанкціонованого доступу до інформації, а й від поломки системи, що викликала перерву в роботі. ІБ залежить не тільки від комп'ютерів, а й від інфраструктури, що підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Підтримуюча інфраструктура має самостійну цінність, важливість якої неможливо переоцінити.

Після подій 11 вересня 2001 року у законодавстві США відповідно до закону «Про патріотизм» було визначено поняття «критична інфраструктура», яка розуміється як «сукупність фізичних чи віртуальних систем та засобів, важливих для США такою мірою, що їх вихід із ладу чи знищення можуть призвести до згубних наслідків у галузі оборони, економіки, охорони здоров'я та безпеки нації». Поняття критичної інфраструктури охоплює такі ключові галузі народного господарства та економіки США, як національна оборона, сільське господарство, виробництво харчових продуктів, цивільна авіація, морський транспорт, автомобільні дороги та мости, тунелі, греблі, трубопроводи, водопостачання, охорона здоров'я, служби екстреної допомоги, органи державного управління, військове виробництво, інформаційні та телекомунікаційні системи та мережі, енергетика, транспорт, банківська та фінансова системи, хімічна промисловість, поштова служба.

У соціальному плані інформаційна безпека передбачає боротьбу з інформаційним забрудненням навколишнього середовища, використанням інформації в протиправних та аморальних цілях.

Також об'єктами інформаційного впливу та, отже, інформаційної безпеки можуть бути суспільна чи індивідуальна свідомість.

На державному рівні суб'єктами ІБ є органи виконавчої, законодавчої та судової влади. В окремих відомствах створено органи, які спеціально займаються інформаційною безпекою.

Крім цього, суб'єктами ІБ можуть бути:

Громадяни та громадські об'єднання;

Засоби масової інформації;

Підприємства та організації незалежно від форми власності.

Інтересисуб'єктів ІБ, пов'язаних з використанням інформаційних систем, можна поділити на такі основні категорії:

Доступність- можливість за прийнятний час отримати потрібну інформаційну послугу. Інформаційні системи створюються (придбаються) отримання певних інформаційних послуг (сервісів). Якщо з тих чи інших причин отримання цих послуг користувачами стає неможливим, це завдає шкоди всім суб'єктам інформаційних відносин. Особливо яскраво провідна роль доступності проявляється у різноманітних системах управління: виробництвом, транспортом тощо. Тому, не протиставляючи доступність іншим аспектам, доступність є найважливішим елементом ІБ.

Цілісність-актуальність та несуперечність інформації, її захищеність від руйнування та несанкціонованої зміни. Цілісність можна поділити на статичну (розуміє як незмінність інформаційних об'єктів) і динамічну (що відноситься до коректного виконання складних дій (транзакцій)). Практично всі нормативні документи та вітчизняні розробки належать до статичної цілісності, хоча динамічний аспект не менш важливий. Приклад сфери застосування засобів контролю динамічної цілісності - аналіз потоку фінансових повідомлень з метою виявлення крадіжки, переупорядкування чи дублювання окремих повідомлень.

Конфіденційність- Захист від несанкціонованого ознайомлення. На варті конфіденційності стоять закони, нормативні акти, багаторічний досвід відповідних служб. Апаратно-програмні продукти дозволяють закрити практично всі потенційні канали витоку інформації.

Цільзаходів у галузі інформаційної безпеки – захист інтересів суб'єктів ІБ.

Завдання ІБ:

1. Забезпечення права особи та суспільства на отримання інформації.

2. Забезпечення об'єктивної информацией.

3. Боротьба з кримінальними загрозами у сфері інформаційних та телекомунікаційних систем, з телефонним тероризмом, відмиванням грошей тощо.

4. Захист особистості, організації, суспільства та держави від інформаційно-психологічних загроз.

5. Формування іміджу, боротьба з наклепом, чутками, дезінформацією.

Роль інформаційної безпеки зростає у разі екстремальної ситуації, коли будь-яке недостовірне повідомлення може призвести до посилення обстановки.

Критерій ІБ- гарантована захищеність інформації від витоку, спотворення, втрати чи інших форм знецінення. Безпечні інформаційні технології повинні мати здатність до недопущення або нейтралізації впливу як зовнішніх, так і внутрішніх загроз інформації, містити в собі адекватні методи та способи її захисту.

Словосполучення у різних контекстах може мати різний зміст. У Доктрині інформаційної безпеки Російської Федерації термін "інформаційна безпека"використовується у широкому значенні. Мається на увазі стан захищеності національних інтересів в інформаційній сфері, що визначаються сукупністю збалансованих інтересів особи, суспільства та держави.

У Законі РФ "Про участь у міжнародному інформаційному обміні" (закон втратив чинність, в даний час діє "Про інформацію, інформаційні технології та про захист інформації") інформаційна безпекавизначається аналогічним чином - як стан захищеності інформаційного середовища суспільства, що забезпечує її формування, використання та розвиток на користь громадян, організацій, держави.

В даному курсі наша увага буде зосереджена на зберіганні, обробці та передачі інформації незалежно від того, якою мовою (російською чи якоюсь іншою) вона закодована, хто або що є її джерелом і який психологічний вплив вона надає на людей. Тому термін "інформаційна безпека"використовуватиметься у вузькому значенні, оскільки це прийнято, наприклад, в англомовної літературі.

Під інформаційною безпекоюми розумітимемо захищеність інформації та від випадкових чи навмисних впливів природного чи штучного характеру, які можуть завдати неприйнятний збитоксуб'єктам інформаційних відносин, у тому числі власникам та користувачам інформації та підтримуючої інфраструктури. (Тільки далі ми пояснимо, що слід розуміти під підтримуючою інфраструктурою.)

Захист інформації- Це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.

Таким чином, правильний з методологічного погляду підхід до проблем інформаційної безпекипочинається з виявлення суб'єктів інформаційних відносинта інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІВ). Загрози інформаційної безпеки– це зворотний бік використання інформаційних технологій.

З цього положення можна вивести два важливі наслідки:

1. Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може суттєво відрізнятися. Для ілюстрації досить зіставити режимні державні організації та навчальні інститути. У першому випадку "хай краще все зламається, ніж ворог дізнається хоч один секретний біт", у другому - "нехай у нас ніяких секретів, аби все працювало".
2. Інформаційна безпекане зводиться виключно захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб'єкт інформаційних відносинможе постраждати (зазнати збитків та/або отримати моральну шкоду) не тільки від несанкціонованого доступу, а й від поломки системи, що спричинила перерву в роботі. Більше того, для багатьох відкритих організацій (наприклад, навчальних) власне захист від несанкціонованого доступу до інформації стоїть за важливістю не на першому місці.

Повертаючись до питань термінології, зазначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) видається нам надто вузьким. Комп'ютери – лише одна із складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється і передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабшою ланкою, якою у переважній здебільшого виявляється людина (що записала, наприклад, свій пароль на "гірчичнику", приліпленому до монітора).

Згідно з визначенням інформаційної безпеки, вона залежить не тільки від комп'ютерів, а й від підтримуючої інфраструктури, До якої можна віднести системи електро-, водо-і теплопостачання, кондиціонери, засоби комунікацій та, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою запропонованих їй функцій.

Звернемо увагу, що у визначенні ІБ перед іменником "шкода" стоїть прикметник "неприйнятний". Очевидно, застрахуватися від усіх видів збитків неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів та заходів не перевищує розмір очікуваних збитків. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим не можна змиритися. Іноді таким неприпустимим збитком є ​​заподіяння шкоди здоров'ю людей чи стану довкілля, але частіше поріг неприйнятності має матеріальне (грошове) вираження, а метою захисту стає зменшення розмірів шкоди до допустимих значень.

Комп'ютерні інформаційні технології, що швидко розвиваються, вносять помітні зміни в наше життя. Інформація стала товаром, який можна придбати, продати, обміняти. При цьому вартість інформації часто в сотні разів перевищує вартість комп'ютерної системи, де вона зберігається.

Від ступеня безпеки інформаційних технологій нині залежить добробут, а часом життя багатьох людей. Такою є плата за ускладнення та повсюдне поширення автоматизованих систем обробки інформації.

Під інформаційною безпекоюрозуміється захищеність інформаційної системи від випадкового чи навмисного втручання, що завдає шкоди власникам чи користувачам інформації.

На практиці найважливішими є три аспекти інформаційної безпеки:

• доступність(Можливість за розумний час отримати необхідну інформаційну послугу);
• цілісність(актуальність та несуперечність інформації, її захищеність від руйнування та несанкціонованої зміни);
• конфіденційність(Захист від несанкціонованого прочитання).

Порушення доступності, цілісності та конфіденційності інформації можуть бути спричинені різними небезпечними впливами на інформаційні комп'ютерні системи.

Основні загрози інформаційній безпеці

Сучасна інформаційна система є складною системою, що складається з великої кількості компонентів різного ступеня автономності, які пов'язані між собою та обмінюються даними. Практично кожен компонент може зазнати зовнішнього впливу або вийти з ладу. Компоненти автоматизованої інформаційної системи можна розбити на такі групи:

• апаратні засоби- комп'ютери та їх складові (процесори, монітори, термінали, периферійні пристрої - дисководи, принтери, контролери, кабелі, лінії зв'язку тощо);
• програмне забезпечення- набуті програми, вихідні, об'єктні, завантажувальні модулі; операційні системи та системні програми (компілятори, компонувальники та ін.), утиліти, діагностичні програми тощо;
• дані- зберігаються тимчасово та постійно, на магнітних носіях, друковані, архіви, системні журнали тощо;
• персонал- обслуговуючий персонал та користувачі.

Небезпечні на комп'ютерну інформаційну систему можна поділити на випадкові і навмисні. Аналіз досвіду проектування, виготовлення та експлуатації інформаційних систем показує, що інформація піддається різним випадковим впливам на всіх етапах циклу життя системи. Причинами випадкових впливівпри експлуатації можуть бути:

• аварійні ситуації через стихійні лиха та відключення електроживлення;
• відмови та збої апаратури;
• помилки у програмному забезпеченні;
• помилки у роботі персоналу;
• перешкоди лініях зв'язку через впливів довкілля.

Умисні впливи- Це цілеспрямовані дії порушника. Як порушника можуть виступати службовець, відвідувач, конкурент, найманець. Дії порушника можуть бути зумовлені різними мотивами:

• невдоволенням службовця своєю кар'єрою;
• хабарем;
• цікавістю;
• конкурентною боротьбою;
• прагненням самоствердитися за будь-яку ціну.

Можна скласти гіпотетичну модель потенційного порушника:

• кваліфікація порушника лише на рівні розробника цієї системи;
• порушником може бути як стороння особа, і законний користувач системи;
• порушнику відома інформація про принципи роботи системи;
• порушник вибирає найслабшу ланку у захисті.

Найбільш поширеним та різноманітним видом комп'ютерних порушень є несанкціонований доступ(НДС). НСД використовує будь-яку помилку в системі захисту та можливий при нераціональному виборі засобів захисту, їх некоректній установці та налаштуванні.

Проведемо класифікацію каналів НСД, якими можна здійснити розкрадання, зміну чи знищення інформації:

• Через людину:
  • розкрадання носіїв інформації;
  • читання інформації з екрана чи клавіатури;
  • читання інформації з друку.
• Через програму:
  • перехоплення паролів;
  • дешифрування зашифрованої інформації;
  • копіювання інформації з носія.
• Через апаратуру:
  • підключення спеціально розроблених апаратних засобів, що забезпечують доступ до інформації;
  • перехоплення побічних електромагнітних випромінювань від апаратури, ліній зв'язку, мереж електроживлення тощо.

Особливо слід зупинитись на загрозах, яким можуть наражатися комп'ютерні мережі. Основна особливість будь-якої комп'ютерної мережі у тому, що її компоненти розподілені у просторі. Зв'язок між вузлами мережі здійснюється фізично за допомогою мережних ліній та програмно за допомогою механізму повідомлень. При цьому керуючі повідомлення та дані, що пересилаються між вузлами мережі, передаються у вигляді пакетів обміну. Комп'ютерні мережі характерні тим, що проти них роблять так звані віддалені атаки. Порушник може знаходитися за тисячі кілометрів від об'єкта, що атакується, при цьому нападу може зазнавати не тільки конкретний комп'ютер, але й інформація, що передається по мережевих каналах зв'язку.

Забезпечення інформаційної безпеки

Формування режиму інформаційної безпеки – проблема комплексна. Заходи щодо її вирішення можна поділити на п'ять рівнів:

1. законодавчий (закони, нормативні акти, стандарти тощо);
2. морально-етичний (різні норми поведінки, недотримання яких веде до падіння престижу конкретної людини чи цілої організації);
3. адміністративний (дії загального характеру, що здійснюються керівництвом організації);
4. фізичний (механічні, електро- та електронно-механічні перешкоди на можливих шляхах проникнення потенційних порушників);
5. апаратно-програмний (електронні пристрої та спеціальні програми захисту інформації).

Єдина сукупність усіх цих заходів, спрямованих на протидію загрозам безпеці з метою мінімізації можливості шкоди, утворюють систему захисту.

Надійна система захисту має відповідати наступним принципам:

• Вартість засобів захисту має бути меншою, ніж розміри можливої ​​шкоди.
• Кожен користувач повинен мати мінімальний набір привілеїв, необхідний роботи.
• Захист тим ефективніший, чим простіше користувачеві з ним працювати.
• Можливість відключення в екстрених випадках.
• Фахівці, які мають відношення до системи захисту, повинні повністю уявляти принципи її функціонування і у разі виникнення скрутних ситуацій адекватно на них реагувати.
• Під захистом має бути вся система обробки інформації.
• Розробники системи захисту не повинні бути серед тих, кого ця система контролюватиме.
• Система захисту має надавати докази коректності своєї роботи.
• Особи, які займаються забезпеченням інформаційної безпеки, повинні нести особисту відповідальність.
• Об'єкти захисту доцільно розділяти на групи так, щоб порушення захисту в одній із груп не впливало на безпеку інших.
• Надійна система захисту має бути повністю протестована та узгоджена.
• Захист стає більш ефективним та гнучким, якщо він допускає зміну своїх параметрів з боку адміністратора.
• Система захисту повинна розроблятися, виходячи з припущення, що користувачі будуть робити серйозні помилки і взагалі мають найгірші наміри.
• Найбільш важливі та критичні рішення мають прийматися людиною.
• Існування механізмів захисту має бути приховано від користувачів, робота яких перебуває під контролем.

Апаратно-програмні засоби захисту інформації

Незважаючи на те, що сучасні ОС для персональних комп'ютерів, такі як Windows 2000, Windows XP і Windows NT мають власні підсистеми захисту, актуальність створення додаткових засобів захисту зберігається. Справа в тому, що більшість систем не здатні захистити дані, що знаходяться за їх межами, наприклад, при мережному інформаційному обміні.

Апаратно-програмні засоби захисту можна розбити на п'ять груп:

1. Системи ідентифікації (розпізнавання) та аутентифікації (перевірки автентичності) користувачів.
2. Системи шифрування дискових даних
3. Системи шифрування даних, що передаються мережами.
4. Системи автентифікації електронних даних.
5. Засоби управління криптографічними ключами.

1. Системи ідентифікації та аутентифікації користувачів

Застосовуються для обмеження доступу випадкових та незаконних користувачів до ресурсів комп'ютерної системи. Загальний алгоритм роботи таких систем полягає в тому, щоб отримати від користувача інформацію, що засвідчує його особистість, перевірити її справжність і потім надати (або не надати) користувачеві можливість роботи з системою.

При побудові цих систем виникає проблема вибору інформації, на основі якої здійснюються процедури ідентифікації та автентифікації користувача. Можна виділити такі типи:

• секретна інформація, якою володіє користувач (пароль, секретний ключ, персональний ідентифікатор тощо); користувач повинен запам'ятати цю інформацію або для неї можуть бути застосовані спеціальні засоби зберігання;
• фізіологічні параметри людини (відбитки пальців, малюнок райдужної оболонки ока тощо) або особливості поведінки (особливості роботи на клавіатурі тощо).

Системи, що базуються на першому типі інформації, вважаються традиційними. Системи, які використовують другий тип інформації, називають біометричними. Слід зазначити тенденцію випереджаючого розвитку біометричних систем ідентифікації.

2. Системи шифрування дискових даних

Щоб зробити інформацію марною противника, використовується сукупність методів перетворення даних, звана криптографією[від грец. kryptos- прихований і grapho- пишу].

Системи шифрування можуть здійснювати криптографічні перетворення даних лише на рівні файлів чи рівні дисків. До програм першого типу можна віднести архіватори типу ARJ та RAR, які дозволяють використовувати криптографічні методи для захисту архівних файлів. Прикладом систем другого типу може бути програма шифрування Diskreet, що входить до складу популярного програмного пакета Norton Utilities, Best Crypt.

Іншою класифікаційною ознакою систем шифрування дискових даних є спосіб їхнього функціонування. За способом функціонування системи шифрування дискових даних ділять на два класи:

• системи "прозорого" шифрування;
• системи, що спеціально викликаються для здійснення шифрування.

У системах прозорого шифрування (шифрування "на льоту") криптографічні перетворення здійснюються в режимі реального часу, непомітно для користувача. Наприклад, користувач записує підготовлений у текстовому редакторі документ на диск, що захищається, а система захисту в процесі запису виконує його шифрування.

Системи другого класу зазвичай є утиліти, які необхідно спеціально викликати для виконання шифрування. До них відносяться, наприклад, архіватори із вбудованими засобами парольного захисту.

Більшість систем, які пропонують встановити пароль на документ, не шифрують інформацію, а лише забезпечують запит пароля при доступі до документа. До таких систем належить MS Office, 1C та багато інших.

3. Системи шифрування даних, що передаються мережами

Розрізняють два основні способи шифрування: канальне шифрування та кінцеве (абонентське) шифрування.

В разі канального шифруваннязахищається вся інформація, що передається каналом зв'язку, включаючи службову. Цей спосіб шифрування має таку перевагу - вбудовування процедур шифрування на канальний рівень дозволяє використовувати апаратні засоби, що сприяє підвищенню продуктивності системи. Однак цей підхід має і суттєві недоліки:

• шифрування службових даних ускладнює механізм маршрутизації мережевих пакетів та вимагає розшифрування даних у пристроях проміжної комунікації (шлюзи, ретранслятори тощо);
• шифрування службової інформації може призвести до появи статистичних закономірностей у шифрованих даних, що впливає на надійність захисту та накладає обмеження на використання криптографічних алгоритмів.

Кінцеве (абонентське) шифруваннядозволяє забезпечити конфіденційність даних, що передаються між двома абонентами. І тут захищається лише зміст повідомлень, вся службова інформація залишається відкритою. Недоліком є ​​можливість аналізувати інформацію про структуру обміну повідомленнями, наприклад про відправника і одержувача, про час і умови передачі даних, а також про обсяг даних, що передаються.

4. Системи автентифікації електронних даних

При обміні даними мережами виникає проблема аутентифікації автора документа і самого документа, тобто. встановлення справжності автора та перевірка відсутності змін в отриманому документі. Для автентифікації даних застосовують код автентифікації повідомлення (імітівставку) або електронний підпис.

Імітівставкавиробляється з відкритих даних за допомогою спеціального перетворення шифрування з використанням секретного ключа і передається каналом зв'язку в кінці зашифрованих даних. Імітівставка перевіряється одержувачем, що володіє секретним ключем, шляхом повторення процедури, виконаної раніше відправником над отриманими відкритими даними.

Електронний цифровий підписє відносно невеликою кількістю додаткової аутентифікуючої інформації, що передається разом з текстом, що підписується. Відправник формує цифровий підпис, використовуючи секретний ключ відправника. Отримувач перевіряє підпис, використовуючи відкритий ключ відправника.

Таким чином, для реалізації імітівставки використовуються принципи симетричного шифрування, а для реалізації електронного підпису – асиметричного. Докладніше ці дві системи шифрування вивчатимемо пізніше.

5. Засоби управління криптографічними ключами

Безпека будь-якої криптосистеми визначається криптографічними ключами. У разі ненадійного керування ключами зловмисник може заволодіти ключовою інформацією та отримати повний доступ до всієї інформації у системі чи мережі.

Розрізняють такі види функцій управління ключами: генерація, зберігання та розподіл ключів.

Способи генерації ключівдля симетричних та асиметричних криптосистем різні. Для генерації ключів симетричних криптосистем використовуються апаратні та програмні засоби генерації випадкових чисел. Генерація ключів для асиметричних криптосистем більш складна, оскільки ключі повинні мати певні математичні властивості. Докладніше на цьому питанні зупинимося щодо симетричних і асиметричних криптосистем.

Функція зберіганняпередбачає організацію безпечного зберігання, обліку та видалення ключової інформації. Для забезпечення безпечного зберігання ключів застосовують їхнє шифрування за допомогою інших ключів. Такий підхід призводить до концепції ієрархії ключів. У ієрархію ключів зазвичай входить головний ключ (тобто майстер-ключ), ключ шифрування ключів та ключ шифрування даних. Слід зазначити, що генерація та зберігання майстер-ключа є критичним питанням криптозахисту.

Розподіл- Найвідповідальніший процес в управлінні ключами. Цей процес повинен гарантувати скритність ключів, що розподіляються, а також бути оперативним і точним. Між користувачами мережі ключі розподіляють двома способами:

• за допомогою прямого обміну сеансовими ключами;
• використовуючи один чи кілька центрів розподілу ключів.

Перелік документів

1. ПРО ДЕРЖАВНУ ТАЄМНИЦЮ. Закон Російської Федерації від 21 липня 1993 № 5485-1 (в ред. Федерального закону від 6 жовтня 1997 № 131-ФЗ).
2. ПРО ІНФОРМАЦІЮ, ІНФОРМАТИЗАЦІЮ І ЗАХИСТУ ІНФОРМАЦІЇ. Федеральний закон Російської Федерації від 20 лютого 1995 року № 24-ФЗ. Прийнято Державною Думою 25 січня 1995 року.
3. ПРО ПРАВОВУ ОХОРОНУ ПРОГРАМ ДЛЯ ЕЛЕКТРОННИХ ВИЧИСЛЮВАЛЬНИХ МАШИН І БАЗ ДАНИХ. Закон Російської Федерації від 23 лютого 1992 № 3524-1.
4. ПРО ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС. Федеральний закон Російської Федерації від 10 січня 2002 року № 1-ФЗ.
5. ПРО АВТОРСЬКЕ ПРАВО І СМІЖНИХ ПРАВАХ. Закон Російської Федерації від 9 липня 1993 року № 5351-1.
6. ПРО ФЕДЕРАЛЬНІ ОРГАНИ УРЯДНОГО ЗВ'ЯЗКУ ТА ІНФОРМАЦІЇ. Закон Російської Федерації (в ред. Указу Президента РФ від 24.12.1993 № 2288; Федерального закону від 07.11.2000 № 135-ФЗ.
7. Положення про акредитацію випробувальних лабораторій та органів із сертифікації засобів захисту інформації з вимог безпеки інформації / Державна технічна комісія при Президентові Російської Федерації.
8. Інструкція про порядок маркування сертифікатів відповідності, їх копій та сертифікаційних засобів захисту інформації / Державна технічна комісія при Президентові Російської Федерації.
9. Положення з атестації об'єктів інформатизації з вимог безпеки інформації / Державна технічна комісія при Президентові Російської Федерації.
10. Положення про сертифікацію засобів захисту інформації з вимог безпеки інформації: з доповненнями відповідно до Постанови Уряду Російської Федерації від 26 червня 1995 року № 608 "Про сертифікацію засобів захисту інформації" / Державна технічна комісія при Президентові Російської Федерації.
11. Положення про державне ліцензування діяльності у сфері захисту інформації / Державна технічна комісія при Президентові Російської Федерації.
12. Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем та вимоги щодо захисту інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
13. Концепція захисту засобів обчислювальної техніки та автоматизованих систем від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
14. Кошти обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
15. Кошти обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
16. Захист інформації. Спеціальні знаки захисту. Класифікація та загальні вимоги: Керівний документ/Державна технічна комісія при Президентові Російської Федерації.
17. Захист від несанкціонованого доступу до інформації. Терміни та визначення: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru/

Вступ

2. Системи захисту інформації

3. Інформаційні ресурси обмеженого поширення та загрози ресурсам. Доступ персоналу до конфіденційної інформації

Висновок

Вступ

З початку людської історії виникла потреба передачі та зберігання інформації.

Починаючи з XVII століття, у процесі становлення машинного виробництва першому плані виходить проблема оволодіння енергією. Спочатку вдосконалювалися способи оволодіння енергією вітру та води, а потім людство опанувало теплову енергію.

Наприкінці XIX століття почалося оволодіння електричною енергією, було винайдено електрогенератор та електродвигун. І нарешті, в середині XX століття людство опанувало атомну енергію, в 1954 році в СРСР була пущена в експлуатацію перша атомна електростанція.

Опанування енергією дозволило перейти до масового машинного виробництва споживчих товарів. Було створено індустріальне суспільство. У цей період відбувалися також суттєві зміни у способах зберігання та передачі інформації.

В інформаційному суспільстві основним ресурсом є інформація. Саме на основі володіння інформацією про різні процеси і явища можна ефективно і оптимально будувати будь-яку діяльність.

Важливо не тільки зробити велику кількість продукції, але й зробити необхідну продукцію в певний час. З певними витратами і таке інше. Тож у інформаційному суспільстві підвищується як якість споживання, а й якість виробництва; людина, яка використовує інформаційні технології, має найкращі умови праці, праця стає творчою, інтелектуальною і так далі.

В даний час розвинуті країни світу (США, Японія, країни Західної Європи) фактично вже вступили в інформаційне суспільство. Інші ж, зокрема й Росія, перебувають на ближніх підступах до нього.

Як критерії розвиненості інформаційного суспільства можна вибрати три: наявність комп'ютерів, рівень розвитку комп'ютерних мереж та кількість населення, зайнятого в інформаційній сфері, а також використовує інформаційні та комунікаційні технології у своїй повсякденній діяльності.

Інформація сьогодні коштує дорого та її необхідно охороняти. Масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою програм, що самовідтворюються, вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди інформації, що зберігається в комп'ютері.

Інформацією володіють та використовують її всі люди без винятку. Кожна людина вирішує собі, яку інформацію їй необхідно отримати, яка інформація має бути доступна іншим тощо. Людині легко, зберігати інформацію, яка в неї в голові, а як бути, якщо інформація занесена в «мозок машини», до якої мають доступ багато людей.

1. Захист інформації та інформаційна безпека

Захист інформації

Проблема створення системи захисту включає дві взаємодоповнюючі завдання: 1) розробка системи захисту інформації (її синтез); 2) оцінка розробленої системи захисту. Друге завдання вирішується шляхом аналізу її технічних характеристик з метою встановлення, чи задовольняє система захисту інформації комплексу вимог до даних систем. Таке завдання нині вирішується майже виключно експертним шляхом за допомогою сертифікації засобів захисту інформації та атестації системи захисту інформації у процесі її впровадження.

Розглянемо основний зміст наведених методів захисту інформації, які становлять основу механізмів захисту.

Перешкоди - методи фізичного запобігання шляху зловмиснику до інформації, що захищається (до апаратури, носіїв інформації і т.д.).

Управління доступом – метод захисту інформації регулюванням використання всіх ресурсів комп'ютерної інформаційної системи (елементів баз даних, програмних та технічних засобів). Управління доступом включає такі функції захисту:

ідентифікацію користувачів, персоналу та ресурсів системи (присвоєння кожному об'єкту персонального ідентифікатора);

упізнання (встановлення справжності) об'єкта чи суб'єкта за пред'явленим ним ідентифікатором;

перевірку повноважень (перевірка відповідності дня тижня, часу доби, запитуваних ресурсів та процедур встановленого регламенту);

дозвіл та створення умов роботи в межах встановленого регламенту;

реєстрацію (протоколювання) звернень до ресурсів, що захищаються;

реєстрацію (сигналізація, відключення, затримка робіт, відмова у запиті) при спробах несанкціонованих дій.

Маскування – метод захисту інформації шляхом її криптографічного закриття. Цей метод широко застосовується там як із обробці, і при зберіганні інформації, зокрема на дискетах. При передачі інформації каналами зв'язку великої протяжності даний метод єдино надійним.

Регламентація - метод захисту інформації, що створює такі умови автоматизованої обробки, зберігання та передачі інформації, що захищається, при яких можливості несанкціонованого доступу до неї зводилися б до мінімуму.

Примус - метод захисту, при якому користувачі та персонал системи змушені дотримуватися правил обробки, передачі та використання інформації, що захищається під загрозою матеріальної, адміністративної або кримінальної відповідальності.

Побуждение - метод захисту, який спонукає користувача і персонал системи не порушувати встановлений порядок з допомогою дотримання моральних і етичних норм (як регламентованих, і неписаних).

Розглянуті методи забезпечення безпеки реалізуються практично за рахунок застосування різних засобів захисту, таких, як технічні, програмні, організаційні, законодавчі та морально-етичні. До основних засобів захисту, що використовуються для створення механізму забезпечення безпеки, відносяться такі.

Технічні засоби реалізуються у вигляді електричних, електромеханічних та електронних пристроїв. Вся сукупність технічних засобів ділиться на апаратні та фізичні. Під апаратними засобами прийнято розуміти техніку чи пристрої, які сполучаються з подібною апаратурою за стандартним інтерфейсом. Наприклад, система пізнання та розмежування доступу до інформації (за допомогою паролів, запису кодів та іншої інформації на різні картки). Фізичні засоби реалізуються у вигляді автономних пристроїв та систем. Наприклад, замки на дверях, де розміщена апаратура, ґрати на вікнах, джерела безперебійного живлення, електромеханічне обладнання охоронної сигналізації. Так, розрізняють зовнішні системи охорони («Ворон», GUARDWIR, FPS та ін.), Ультразвукові системи (Cyclops і т.д.), системи переривання променя (Pulsar 30В і т.п.), телевізійні системи (VМ216 та ін.) ), радіолокаційні системи («ВІТІМ» і т.д.), система контролю розтину апаратури та ін.

Програмні засоби є програмне забезпечення, спеціально призначене для виконання функцій захисту інформації. У таку групу засобів входять: механізм шифрування (криптографії - спеціальний алгоритм, який запускається унікальним числом або бітовою послідовністю, зазвичай званим шифруючим ключем; потім каналами зв'язку передається зашифрований текст, а одержувач має свій ключ для дешифрування інформації), механізм цифрового підпису, механізми контролю доступу, механізми забезпечення цілісності даних, механізми постановки графіка, механізми управління маршрутизацією, механізми арбітражу, антивірусні програми, програми архівації (наприклад, zip, rar, arj та ін), захист при введенні та виведенні інформації тощо.

Організаційні засоби захисту є організаційно-технічні та організаційно-правові заходи, що здійснюються в процесі створення та експлуатації обчислювальної техніки, апаратури телекомунікацій для забезпечення захисту інформації. Організаційні заходи охоплюють усі структурні елементи апаратури всіх етапах їх життєвого циклу (будівництво приміщень, проектування комп'ютерної інформаційної системи банківської діяльності, монтаж і налагодження устаткування, використання, експлуатація).

Морально-етичні засоби захисту реалізуються у вигляді всіляких норм, які склалися традиційно або складаються в міру поширення обчислювальної техніки та засобів зв'язку в суспільстві. Ці норми здебільшого є обов'язковими як законодавчі заходи, проте недотримання їх зазвичай веде до втрати авторитету і престижу людини. Найбільш показовим прикладом таких норм є Кодекс професійної поведінки членів Асоціації користувачів ЕОМ США.

Законодавчі засоби захисту визначаються законодавчими актами країни, якими регламентуються правила користування, обробки та передачі інформації обмеженого доступу та встановлюються заходи відповідальності порушення цих правил.

Усі розглянуті засоби захисту розділені на формальні (що виконують захисні функції суворо за заздалегідь передбаченою процедурою без безпосередньої участі) і неформальні (визначаються цілеспрямованої діяльністю людини чи регламентують цю діяльність).

В даний час найбільш гостру проблему безпеки (навіть у тих системах, де не потрібно зберігати секретну інформацію, та в домашніх комп'ютерах) становлять віруси. Тому тут зупинимося на них докладніше. Комп'ютерний вірус – це спеціально написана невелика за розмірами програма, яка може «приписувати» себе до інших програм (тобто «заражати» їх), а також виконувати різні небажані дії на комп'ютері (наприклад, псувати файли або таблиці розміщення файлів на диску , "засмічувати" оперативну пам'ять і т.д.).

Основним засобом захисту від вірусів є архівування. Інші методи замінити його не можуть, хоч і підвищують загальний рівень захисту. Архівування необхідно робити щодня. Архівування полягає у створенні копій файлів, що використовуються, і систематичному оновленні змінюваних файлів. Це дає можливість не тільки економити місце на спеціальних архівних дисках, але й об'єднувати групи файлів, що спільно використовуються, в один архівний файл, в результаті чого набагато легше розбиратися в загальному архіві файлів. Найбільш уразливими вважаються таблиці розміщення файлів, головного каталогу та бутсектор. Файли рекомендується періодично копіювати спеціальну дискету. Їхнє резервування важливе не лише для захисту від вірусів, але й для страховки на випадок аварійних ситуацій чи чиїхось дій, у тому числі власних помилок.

Для профілактики захисту від вірусів рекомендується:

робота із дискетами, захищеними від запису;

мінімізація періодів доступності дискет для запису;

поділ дискет між конкретними відповідальними користувачами;

поділ дискет, що передаються та надходять;

поділ зберігання новостворених програм і експлуатованих раніше;

перевірка новоствореного програмного забезпечення на наявність у них вірусу тестуючими програмами;

зберігання програм на жорсткому диску в архівованому вигляді.

Для того щоб уникнути появи комп'ютерних вірусів, необхідно дотримуватися насамперед таких заходів:

не переписувати програмне забезпечення з інших комп'ютерів, якщо це необхідно, слід вжити перерахованих вище заходів;

не допускати роботи на комп'ютері сторонніх осіб, особливо якщо вони збираються працювати зі своїми дискетами;

не користуватись сторонніми дискетами, особливо з комп'ютерними іграми.

Можна виділити такі типові помилки користувача, що призводять до зараження вірусами:

відсутність належної системи архівації інформації;

запуск отриманої програми без її попередньої перевірки на зараженість та без встановлення максимального режиму захисту вінчестера за допомогою систем розмежування доступу та запуску резидентного сторожа;

виконання перезавантаження системи за наявності встановленої в дисководі А дискети (при цьому BIOS робить спробу завантажитися саме з цієї дискети, а не з вінчестера; в результаті, якщо дискета заражена бутовим вірусом, відбувається зараження вінчестера);

прогін всіляких антивірусних програм, без знання типів діагностики тих самих вірусів різними антивірусними програмами;

аналіз та відновлення програм на зараженій операційній системі.

В даний час найбільш популярні в Росії антивірусні засоби АТ "ДіалогНаука":

поліфаг Aidstest (поліфаг-це програма, що виконує дії зворотні тим, які виробляє вірус при зараженні файлу, тобто намагається відновити файл);

ревізор Adinf;

лікувальний блок AdinfExt;

поліфаг для "поліморфіків" Doctor Web.

Існують програми-фільтри, що перевіряють, чи є у файлах (на вказаному користувачем диску) спеціальна для цього вірусу комбінація байтів. Використовується також спеціальна обробка файлів, дисків, каталогів - вакцинація: запуск програм-вакцин, що імітують поєднання умов, у яких починає працювати і виявляє себе даний тип вірусу. Як приклад резидентної програми захисту від вірусів можна навести програму VSAFF фірми Carmel Central Point Software. В якості програм ранньої діагностики комп'ютерного вірусу можуть бути рекомендовані програми CRCLIST та CRCTEST.

Інформаційна безпека.

Інформація з точки зору інформаційної безпеки має наступні категорії: конфіденційність інформації - гарантія того, що конкретна інформація доступна тільки тому колу осіб, для кого вона призначена; порушення цієї категорії називається розкраданням або розкриттям інформації цілісність інформації - гарантія того, що інформація зараз існує в її вихідному вигляді, тобто при її зберіганні або передачі не було здійснено несанкціонованих змін; порушення цієї категорії називається фальсифікацією повідомлення автентичність інформації – гарантія того, що джерелом інформації є саме та особа, яка заявлена ​​як її автор; порушення цієї категорії також називається фальсифікацією, але вже автора повідомлення апелюваність інформації - гарантія того, що за потреби можна буде довести, що автором повідомлення є саме заявлена ​​людина, і не може бути ніхто інший; відмінність цієї категорії від попередньої у цьому, що з підміні автора, хтось інший намагається заявити, що він автор повідомлення, а за порушення апелюваності - сам автор намагається " відхреститися " від своїх слів, підписаних їм одного разу.

Щодо інформаційних систем застосовуються інші категорії: надійність – гарантія того, що система поводиться в нормальному та позаштатному режимах так, як заплановано точність – гарантія точного та повного виконання всіх команд контроль доступу – гарантія того, що різні групи осіб мають різний доступ до інформаційних об'єктам, і ці обмеження доступу постійно виконуються контрольованість - гарантія того, що у будь-який момент може бути проведена повноцінна перевірка будь-якого компонента програмного комплексу контроль ідентифікації - гарантія того, що клієнт, підключений в даний момент до системи, є саме тим, за кого себе видає стійкість до умисних збоїв - гарантія того, що при умисному внесенні помилок у межах заздалегідь обумовлених норм система поводитиметься так, як обумовлено заздалегідь.

2. Системи захисту інформації

Безпека передачі у мережі Internet. Шифрування інформації за допомогою відкритих та закритих ключів. Цифровий підпис.

У сучасному Російському Інтернет більшість його користувачів, у тому числі корпоративних, використовує глобальну мережу, в основному, як величезну базу даних, найширший інформаційний ресурс, де зручно і швидко можна знайти будь-яку інформацію, що цікавить, або надати широкій аудиторії інформацію про себе, свої товари або послуг.

Однією з причин такого стану речей є, на наш погляд, відсутність у представників бізнесу впевненості у безпеці передачі інформації через Інтернет. Саме з цієї причини часто використовується факс, або кур'єр, там, де з успіхом можуть бути використані можливості Інтернет.

Розглянемо, які напрями захисту та відповідні їм технічні засоби викликають сьогодні найбільшу увагу з боку розробників і споживачів.

Захист від несанкціонованого доступу (НСД) ресурсів автономно працюючих та мережевих ПК. Ця функція реалізується програмними, програмно-апаратними та апаратними засобами, які будуть розглянуті нижче на конкретних прикладах.

Захист серверів та окремих користувачів мережі Internet від зловмисних хакерів, що проникають ззовні. Для цього використовуються спеціальні міжмережові екрани (брандмауери), які останнім часом набувають все більшого поширення (див. «Світ ПК», №11/2000, с. 82).

Захист секретної, конфіденційної та особистої інформації від читання сторонніми особами та цілеспрямованого її спотворення здійснюється найчастіше за допомогою криптографічних засобів, що традиційно виділяються в окремий клас. Сюди можна віднести і підтвердження автентичності повідомлень за допомогою електронного цифрового підпису (ЕЦП). Застосування криптосистем з відкритими ключами та ЕЦП має великі перспективи у банківській справі та у сфері електронної торгівлі. У цій статті цей вид захисту не розглядається.

Досить широкого поширення останніми роками набув захист ПЗ від нелегального копіювання за допомогою електронних ключів. У цьому огляді її також розглянуто на конкретних прикладах.

Захист від витоку інформації по побічним каналам (ланцюгами живлення, каналу електромагнітного випромінювання від комп'ютера або монітора). Тут застосовуються такі випробувані засоби, як екранування приміщення та використання генератора шуму, а також спеціальний підбір моніторів і комплектуючих комп'ютера, що мають найменшу зону випромінювання в тому частотному діапазоні, який найбільш зручний для дистанційного уловлювання та розшифровки сигналу зловмисниками.

Захист від шпигунських пристроїв, що встановлюються безпосередньо в комплектуючі комп'ютера, так само як і вимірювання зони випромінювання, виконується спецорганізаціями, які мають необхідні ліцензії компетентних органів.

Не викликають сумнівів переваги Інтернету, пов'язані зі швидкістю інформаційного обміну, економією ресурсів при міжміському та міжнародному інформаційному обміні, зручністю при роботі прикладних програм, що автоматизують різні бізнес процеси між віддаленими офісами компанії, філіями, партнерами, клієнтами, співробітниками з переносними ПК, що знаходяться поза межами свого офісу.

Всі ці можливості, безумовно, здатні значно знизити тимчасові та фінансові витрати компанії та суттєво підвищити ефективність її бізнесу.

Ще більш вагому ефективність може принести використання Інтернету при міжкорпоративному інформаційному обміні, таких як В2В портал або торгова Інтернет-система.

На жаль, на даний момент ці можливості Інтернет потрібні не достатньо, і однією з основних причин цього є саме причина недовіри Бізнесу до Інтернету з точки зору безпеки її використання.

Дуже часто нам доводиться стикатися з двома крайніми, протилежними поглядами.

Перше, полягає в запереченні проблеми безпеки як такої, і як наслідок недостатність або відсутність відповідних засобів забезпечення безпеки при передачі через Інтернет досить важливої ​​інформації. Такий підхід нерідко закінчується серйозними неприємностями та фінансовими втратами.

Друга точка зору полягає в тому, що Інтернет надзвичайно небезпечний, і ніякі засоби забезпечення безпеки не допоможуть зберегти недоторканність інформації, що передається через Інтернет.

На мій погляд, найбільш раціональним виходом із ситуації є принцип "Золотої середини", при якому компанією здійснюється використання мережі Інтернет, для вирішення своїх телекомунікаційних завдань, при дотриманні відповідних заходів безпеки.

Такими заходами можуть бути: власний аналіз своєї телекомунікаційної інфраструктури з погляду безпеки, придбання та встановлення відповідних засобів захисту та навчання своїх фахівців. Інший підхід - залучення до організації та підтримки своєї системи безпеки професіоналів із компаній, що займаються даною проблемою.

На Російському ринку діяльність у сфері захисту регулюється Держтехкомісією РФ і ФАПСИ. І тільки компанії, що мають ліцензії від цих структур, мають право займатися інформаційною безпекою в Росії.

Що стосується продуктів, які можуть застосовуватися для захисту, то на них існує система сертифікації, яка, оцінюючи їх якість, присвоює їм відповідний клас захисту. Продукти, що використовуються для захисту мереж та комп'ютерів від проникнення безпосередньо на них сторонніх користувачів, сертифікуються Держтехкомісією та називаються продуктами захисту від несанкціонованого доступу (НСД). До таких продуктів можна віднести "Межмережевые екрани", Проксі сервера і т.д.

Використання таких систем при правильній конфігурації дозволяє значно знизити небезпеку проникнення сторонніх до ресурсів, що захищаються.

Захист від несанкціонованого доступу до ресурсів комп'ютера - комплексна проблема, яка передбачає вирішення технічними засобами наступних питань:

ідентифікація та аутентифікація користувача при вході до системи;

контроль цілісності СЗІ, програм та даних;

розмежування доступу користувачів до ресурсів ПК;

блокування завантаження ОС з дискети та CD-ROM;

реєстрація дій користувачів та програм.

Дія такого екрану можна продемонструвати на прикладі персонального мережевого екрану ViPNet виробництва компанії "ІнфоТеКС". Цей міжмережевий екран може встановлюватися як на сервер, так і на робочу станцію. Використовуючи його можливості, можна організувати роботу таким чином, що власник комп'ютера може вийти на будь-який відкритий ресурс ІНТЕРНЕТ, але при спробі доступу до його комп'ютера будь-кого із зовнішнього світу, система блокує таку спробу і сповіщає про неї власника. Далі можна отримати інформацію від системи про те, з якої IP адреси намагалися отримати доступ.

Інша категорія продуктів призначена для організації захищеного інформаційного обміну та, безумовно, є найбільш надійною з погляду безпеки. Ці продукти, як правило, будуються на основі криптографії, і регулювання у цій галузі здійснюється Федеральним Агентством Урядового Зв'язку та Інформації. Такі продукти мають можливість захищати дані шифруванням, причому дані не тільки, що зберігаються на жорсткому диску, а й дані, що передаються мережами, і в тому числі "Інтернет".

Таким чином можна захистити як поштові повідомлення, так і інформаційний обмін між абонентами в режимі on-line. Системи, що дозволяють передавати будь-які дані через Інтернет у захищеному вигляді, називають VPN (Віртуальна Приватна Мережа). VPN – це віртуальна мережа з повністю закритим від стороннього доступу інформаційним обміном через відкритий Інтернет. Саме тому її називають приватною.

Закриття інформації у таких системах здійснюється, як правило, за допомогою шифрування. Шифрування, тобто. Перетворення відкритих даних на закриті (шифровані) здійснюється за допомогою спеціальних, як правило, програмних ключів. Основним питанням з погляду безпеки таких системах є питання ключової структури. Як і де формується ключ, де зберігається, як передається, кому доступний.

На сьогоднішній день відомі лише два типи алгоритмів шифрування: симетричні (класичні) та асиметричні (алгоритми шифрування з відкритим ключем). Кожна з цих систем має свої плюси та мінуси.

При використанні симетричних алгоритмів використовується той самий ключ для шифрування та розшифрування інформації. Тобто. якщо користувачі А і Б хочуть конфіденційно обмінятися інформацією, вони повинні зробити такі дії: користувач А шифрує інформацію (відкритий текст) за допомогою ключа і передає отриманий шифртекст користувачеві Б, який за допомогою цього ключа отримує відкритий текст.

Однак у симетричних алгоритмів шифрування є один недолік: перед тим, як обмінюватися конфіденційною інформацією, двом користувачам необхідно обмінятися спільним ключем, але в умовах, коли користувачі роз'єднані і їх досить багато, виникають великі незручності щодо розсилки ключів. З іншого боку, оскільки ці ключі зазвичай формуються якимось Центром формування, всі вони свідомо відомі цьому центру. Для вирішення цієї проблеми було створено криптографія з асиметричними ключами.

Основна ідея криптографії з асиметричними ключами полягає у використанні пари ключів. Перший – відкритий асиметричний ключ (public key) – доступний усім і використовується всіма, хто збирається надсилати повідомлення власнику ключа. Другий – секретний асиметричний ключ (private key) – відомий лише власнику і за допомогою нього розшифровуються повідомлення, зашифровані на парному йому відкритому ключі. Таким чином, секретна частина ключа формується та зберігається безпосередньо у абонента, та недоступна нікому іншому. У найбільш сучасних системах використовується комбінована ключова система, яка має як високу стійкість симетричного ключа, так і недоступність для центру і гнучкість асиметричної системи. Подібними якостями володіє система створена компанією "ІнфоТеКС" під торговою маркою ViPNet. Ця система дозволяє: як передавати будь-які дані, включаючи пошту, файли, мовлення, відео тощо. через Інтернет у захищеному вигляді, так і захищати ресурси мережі організації, включаючи сервери, робочі станції і навіть мобільні комп'ютери, що виходять в Інтернет у будь-якій точці світу від стороннього доступу.

3. Інформаційні ресурси обмеженого поширення та загрози ресурсам

Інформаційні ресурси – це документи та масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, депозитаріях, музейних зберіганнях та ін.).

Протягом усієї попередньої XX ст. Історія розвитку людської цивілізації основним предметом праці залишалися матеріальні об'єкти. Діяльність за межами матеріального виробництва та обслуговування, як правило, належала до категорії непродуктивних витрат. Економічна міць держави вимірювалася його матеріальними ресурсами. Ще наприкінці 70-х років голова програми з формування політики в галузі інформаційних ресурсів, професор Гарвардського університету А. Осттінгер писав, що настає час, коли інформація стає таким же основним ресурсом, як матеріали та енергія, і, отже, стосовно цього ресурсу мають бути сформульовані ті самі критичні питання: хто їм володіє, хто у ньому зацікавлений, наскільки він доступний, чи можливе його комерційне використання? Президент Академії наук США Ф. Хендлер сформулював цю думку так: “Наша економіка заснована не так на природних ресурсах, але в умах і застосування наукового знання”. Нині триває боротьба контролю над найбільш цінними з усіх, відомих до нашого часу ресурсів - національні інформаційні ресурси.

“Ми йдемо в інші країни не для того, щоб скористатися перевагами нижчих витрат. Ми впроваджуємося туди тому, що там є інтелектуальні резерви, і ми маємо їх перехопити, щоб успішно конкурувати”.

Термін "інформаційні ресурси" став широко використовуватися в науковій літературі після опублікування відомої монографії Г.Р. Громова "Національні інформаційні ресурси: проблеми промислової експлуатації". Зараз він ще не має однозначного тлумачення, незважаючи на те, що це поняття є одним із ключових у проблемі інформатизації суспільства. Тому важливою є проблема розуміння сутності інформаційного ресурсу, як форми подання даних та знань, його ролі у соціальних процесах, а також закономірностей формування, перетворення та поширення різних видів інформаційних ресурсів суспільстві.

Задля більшої активізації та ефективного використання інформаційних ресурсів суспільства необхідно здійснити “електронізацію” інформаційних фондів. На думку академіка О. Єршова саме “у завантаженні та активізації інформаційного фонду людства у глобальній комп'ютерній мережі, власне, і полягає завдання інформатизації у її технічному змісті”.

Активними інформаційними ресурсами є та частина ресурсів, яку становить інформація, доступна для автоматизованого пошуку, зберігання та обробки: формалізовані та законсервовані на машинних носіях у вигляді працюючих програм професійні знання та навички, текстові та графічні документи, а також будь-які інші змістовні дані, потенційно доступні на комерційній основі для користувачів національного парку комп'ютерів. Національні та світові інформаційні ресурси є економічними категоріями.

Звідси можна дійти невтішного висновку, що ефективність використання інформаційних ресурсів - це найважливіший показник інформаційної культури суспільства.

Основними учасниками ринку інформаційних послуг є:

Виробники інформації (producers);

Продавці інформації (vendors, Вендор);

Користувачі інформації (users) або передплатники

Сьогодні найпоширенішим засобом доступу до інформаційних ресурсів є комп'ютерні мережі, а найпрогресивнішим способом отримання інформації виступає режим онлайн (online – інтерактивний, діалоговий режим). Він надає можливість користувачу, увійшовши в комп'ютерну мережу, отримати доступ до "великого комп'ютера" (Host - комп'ютера) та його інформаційних ресурсів у режимі прямого діалогу, що реалізується в реальному часі.

До користувачів такого роду відносять як кінцевих споживачів інформації, так і проміжних, які надають своїм клієнтам послуги при вирішенні інформаційних завдань (спеціальні інформаційні центри, які мають доступ до кількох онлайн систем, або фахівці-професіонали, які займаються платним обслуговуванням клієнтів, споживачів інформації).

Ринок інформаційних онлайн послуг включає наступні основні сегменти:

Комп'ютеризовані системи резервування та фінансові інформаційні служби;

Бази даних (БД), зорієнтовані масового споживача;

Професійні БД.

Серед БД зазвичай виділяють такі типи:

Текстові (повнотекстові, реферативні, бібліографічні, словники);

Числові та табличні БД;

Дошки оголошень.

Подібні БД зберігають на CD-ROM, дискетах і магнітних стрічках. Нижче, однак, йтиметься про БД, доступ до яких здійснюється в онлайн режимі - "професійними онлайновими БД".

До виробників інформації відносять як організації, що видобувають і публікують інформацію (інформаційні агентства, засоби масової інформації, редакції газет та журналів, видавці, патентні відомства), так і організації, які професійно протягом багатьох років займаються її обробкою (відбором інформації, індексацією, завантаженням до баз даних у вигляді повних текстів, коротких рефератів тощо).

Загрози ресурсів.

Загрози інформаційним ресурсам можна загалом класифікувати:

1). З метою реалізації загроз:

· Погрози конфіденційності:

Розкрадання (копіювання) інформації та засобів її обробки (носіїв);

Втрата (ненавмисна втрата, витік) інформації та засобів її обробки (носіїв);

· Погрози доступності:

Блокування інформації;

Знищення інформації та засобів її обробки (носіїв);

· Погрози цілісності:

Модифікація (спотворення) інформації;

Заперечення справжності інформації;

Нав'язування неправдивої інформації, обман

При цьому:

Розкрадання та Знищення інформації розуміється аналогічно до застосування до матеріальних цінних ресурсів. Знищення комп'ютерної інформації - стирання інформації у пам'яті ЕОМ.

Копіювання інформації - повторення та стійке відображення інформації на машинному чи іншому носії.

Пошкодження - зміна властивостей носія інформації, при якому суттєво погіршується його стан, втрачається значна частина його корисних властивостей і стає повністю або частково непридатним для цільового використання.

Модифікація інформації - внесення будь-яких змін, крім пов'язаних із адаптацією програми для ЕОМ чи баз даних для комп'ютерної інформації.

Блокування інформації - несанкціоноване утруднення доступу користувачів до інформації, не пов'язане з її знищенням;

Несанкціоноване знищення, блокування, модифікація, копіювання інформації будь-які, не дозволені Законом, власником або компетентним користувачем зазначених дій з інформацією.

Обман (заперечення справжності, нав'язування хибної інформації) - навмисне спотворення чи приховування істини з метою ввести в оману особа, у веденні якої перебуває майно, і таким чином домогтися від неї добровільної передачі майна, а також повідомлень з цією метою свідомо неправдивих відомостей.

2) За принципом на носії інформації - систему обробки та передачі (АСОИ):

З використанням доступу порушника (зловмисника, користувача АСОІ, процесу) до об'єкта (до кімнати переговорів, до файлу даних, каналу зв'язку тощо);

З використанням прихованих каналів - із застосуванням ЗП, РЗП, шляхів передачі інформації, що дозволяють двом взаємопов'язаним процесам (легітимному та впровадженому зловмисником) обмінюватися інформацією таким способом, який призводить до утиску інформації.

3) За характером на систему обробки та передачі:

Активні загрози, пов'язані з виконанням порушником будь-яких дій (копіювання, несанкціонований запис, доступ до наборів даних, програм, розтин пароля тощо);

Пасивні загрози здійснюються шляхом спостереження користувачем будь-яких побічних ефектів процесів руху інформації та їх аналізу.

4) За фактом наявності можливої ​​для використання помилки захисту загроза може бути обумовлена ​​однією з таких причин:

Неадекватністю – невідповідністю режиму безпеки захисту зони охорони.

Помилками адміністративного управління-режиму безпеки;

Помилками в алгоритмах програм, у зв'язках між ними і т.д., які виникають на етапі проектування програм або комплексу програм і через які ці програми можуть бути використані зовсім не так, як описано в документації.

Помилками реалізації алгоритмів програм (помилки кодування), зв'язків між ними тощо, які виникають на етапах реалізації, налагодження і можуть бути джерелом недокументованих властивостей.

5) За способом впливу на об'єкт атаки (при активному впливі):

Безпосередній вплив на об'єкт атаки (у тому числі з використанням привілеїв), наприклад: безпосередній доступ до зони чутності та видимості, до набору даних, програми, служби, каналу зв'язку тощо, скориставшись будь-якою помилкою;

Вплив на систему дозволів (зокрема захоплення привілеїв). При цьому несанкціоновані дії виконуються щодо прав користувачів на об'єкт атаки, а сам доступ до об'єкта здійснюється згодом законним чином;

Опосередкований вплив (через інших користувачів):

- "Маскарад". У цьому випадку користувач привласнює якимось чином повноваження іншого користувача, видаючи себе за нього;

- "використання наосліп". При такому способі один користувач змушує іншого виконати необхідні дії (для системи захисту вони не виглядають несанкціонованими, бо їх виконує користувач, який має право), причому останній про них може і не підозрювати. Для реалізації цієї загрози може використовуватися вірус (він виконує необхідні дії та повідомляє про їхній результат тому, хто його впровадив).

Два останні способи дуже небезпечні. Для запобігання подібним діям потрібен постійний контроль як з боку адміністраторів та операторів за роботою АСОІ в цілому, так і з боку користувачів за власними наборами даних.

6) За способом впливу на АСОІ:

В інтерактивному режимі – у процесі тривалої роботи з програмою;

У пакетному режимі - після тривалої підготовки швидким використанням пакета програм спрямованого действия.

Працюючи з системою, користувач завжди має справу з якоюсь її програмою. Одні програми складені так, що користувач може оперативно впливати на хід виконання, вводячи різні команди або дані, а інші так, що всю інформацію доводиться задавати заздалегідь. До перших належать, наприклад, деякі утиліти, керуючі програми баз даних, переважно - це програми, орієнтовані працювати з користувачем. До других відносяться в основному системні та прикладні програми, орієнтовані виконання будь-яких суворо певних дій без участі користувача.

При використанні програм першого класу вплив виявляється більш тривалим за часом і, отже, має більш високу ймовірність виявлення, але гнучкішим, що дозволяє оперативно змінювати порядок дій. Вплив за допомогою програм другого класу (наприклад, за допомогою вірусів) є короткочасним, важко діагностованим, набагато небезпечнішим, але вимагає великої попередньої підготовки для того, щоб передбачити всі можливі наслідки втручання.

7) По об'єкту атаки:

АСОІ в цілому: зловмисник намагається проникнути в систему для подальшого виконання будь-яких несанкціонованих дій. Використовують зазвичай "маскарад", перехоплення або підробку пароля, зламування або доступ до АСОІ через мережу;

Об'єкти АСОИ - дані чи програми в оперативної пам'яті чи зовнішніх носіях, самі пристрої системи, як зовнішні (дисководи, мережеві пристрої, термінали), і внутрішні (оперативна пам'ять, процесор), канали передачі. Вплив на об'єкти системи зазвичай має на меті доступ до їх вмісту (порушення конфіденційності або цілісності оброблюваної або збереженої інформації) або порушення їхньої функціональності (наприклад, заповнення всієї оперативної пам'яті комп'ютера безглуздою інформацією або завантаження процесора комп'ютера завданням з необмеженим часом виконання);

Суб'єкти АСОІ – процесори користувачів. Метою таких атак є або пряма дія на роботу процесора - його призупинення, зміна характеристик (наприклад, пріоритету), або зворотний вплив - використання зловмисником привілеїв, характеристик іншого процесу у своїх цілях. Вплив може чинитися на процеси користувачів, системи, мережі;

Канали передачі даних - прослуховування каналу та аналіз графіка (потоку повідомлень); підміна або модифікація повідомлень у каналах зв'язку та на вузлах-ретрансляторах; зміна топології та характеристик мережі, правил комутації та адресації.

8) За використовуваними засобами атаки:

З використанням стандартного програмного забезпечення;

З використанням спеціально розроблених програм.

9) За станом об'єкта атаки.

Об'єкт атаки зберігається на диску, магнітній стрічці, в оперативній пам'яті або будь-якому іншому місці в пасивному стані. У цьому вплив об'єкт зазвичай здійснюється з допомогою доступу;

Об'єкт атаки перебуває у стані передачі лінії зв'язку між вузлами мережі чи всередині вузла. Вплив передбачає або доступ до фрагментів інформації, що передається (наприклад, перехоплення пакетів на ретрансляторі мережі), або просто прослуховування з використанням прихованих каналів;

Об'єкт атаки (процес користувача) перебуває у стані обробки.

Наведена класифікація показує складність визначення можливих загроз та їх реалізації.

Доступ персоналу до конфіденційної інформації.

Дозвіл на доступ до конфіденційних відомостей представника іншої фірми або підприємства оформляється резолюцією повноважної посадової особи на розпорядженні (або листі, зобов'язанні), поданому заінтересованою особою. У резолюції мають бути зазначені конкретні документи чи відомості, до яких дозволено доступ. Одночасно вказується прізвище співробітника фірми, який знайомить представника іншого підприємства з цими відомостями та відповідає за його роботу - у приміщенні фірми.

Слід дотримуватись правила, за яким реєструються всі особи, які мають доступ до певних документів, комерційних секретів. Це дозволяє високому рівні здійснювати інформаційне забезпечення аналітичної роботи з виявлення можливих каналів втрати інформації.

При організації доступу співробітників фірми до конфіденційних масивів електронних документів, баз даних необхідно пам'ятати про його багатоступінчастий характер. Можна виділити такі основні складові:

* доступ до персонального комп'ютера, сервера або робочої станції;

* доступ до машинних носіїв інформації, які зберігаються поза ЕОМ;

* Безпосередній доступ до баз даних та файлів.

Доступ до персонального комп'ютера, сервера або робочої станції, які використовуються для обробки конфіденційної інформації, передбачає:

* Визначення та регламентацію першим керівником фірми складу співробітників, які мають право доступу (входу) до приміщення, в якому знаходиться відповідна обчислювальна техніка, засоби зв'язку;

* Регламентацію першим керівником тимчасового режиму знаходження цих осіб у зазначених приміщеннях; персональне та тимчасове протоколювання (фіксування) керівником підрозділу чи напрямки діяльності фірми наявності дозволу та періоду роботи цих осіб в інший час (наприклад, у вечірні години, вихідні дні та ін.);

* Організацію охорони цих приміщень у робочий та неробочий час, визначення правил розкриття приміщень та відключення охоронних технічних засобів інформації та сигналізування; визначення правил встановлення приміщень на охорону; регламентацію роботи зазначених технічних засобів у робочий час;

* Організацію контрольованого (в необхідних випадках пропускного) режиму входу в зазначені приміщення та виходу з них;

* Організацію дій охорони та персоналу в екстремальних ситуаціях або при аваріях техніки та обладнання приміщень;

* Організацію виносу із зазначених приміщень матеріальних цінностей, машинних та паперових носіїв інформації; контроль внесених у приміщення і особистих речей, що виносяться персоналом.

Незважаючи на те, що після закінчення робочого дня конфіденційні відомості мають бути перенесені на гнучкі носії та стерті з жорсткого диска комп'ютера, приміщення, в яких обчислювальна техніка, підлягають охороні. Пояснюється це тим, що, по-перше, в комп'ютер, що не охороняється, легко встановити будь-який засіб промислового шпигунства, по-друге, зловмисник може за допомогою спеціальних методів відновити стерту конфіденційну інформацію на жорсткому диску (здійснити «прибирання сміття»).

Доступ до машинних носіїв конфіденційної інформації, що зберігаються поза ЕОМ, передбачає:

* Організацію обліку та видачі співробітникам чистих машинних носіїв інформації;

* Організацію щоденної фіксованої видачі співробітникам та прийому від співробітників носіїв із записаною інформацією (основних та резервних);

* визначення та регламентацію першим керівником складу співробітників, які мають право оперувати конфіденційною інформацією за допомогою комп'ютерів, встановлених на їх робочих місцях, та отримувати у службі КД враховані машинні носії інформації;

* Організацію системи закріплення за співробітниками машинних носіїв інформації та контролю за безпекою та цілісністю інформації, обліку динаміки зміни складу записаної інформації;

* Організацію порядку знищення інформації на носії, порядку та умов фізичного знищення носія;

* Організацію зберігання машинних носіїв у службі КД у робочий і неробочий час, регламентацію порядку евакуації носіїв у екстремальних ситуаціях;

* Визначення та регламентацію першим керівником складу співробітників не здають з об'єктивних причин технічні носії інформації на зберігання в службу КД наприкінці робочого дня, організацію особливої ​​охорони приміщень та комп'ютерів цих співробітників. Робота співробітників служби КД та фірми загалом з машинними носіями інформації поза ЕОМ має бути організована за аналогією з паперовими конфіденційними документами.

Доступ до конфіденційних баз даних та файлів є завершальним етапом доступу співробітника фірми до комп'ютера. І якщо цей співробітник - зловмисник, то можна вважати, що найсерйозніші рубежі захисту електронної інформації, що охороняється, він успішно пройшов. Зрештою він може просто забрати комп'ютер або вийняти з нього і забрати жорсткий диск, не «зламуючи» базу даних.

Зазвичай доступ до баз даних та файлів передбачає:

* визначення та регламентацію першим керівником складу співробітників, що допускаються до роботи з певними базами даних та файлами; контроль системи доступу адміністратором бази даних;

* іменування баз даних і файлів, фіксування в машинній пам'яті імен користувачів та операторів, які мають право доступу до них;

* облік складу бази даних та файлів, регулярну перевірку наявності, цілісності та комплектності електронних документів;

* реєстрацію входу в базу даних, автоматичну реєстрацію імені користувача та часу роботи; збереження первісної інформації;

реєстрацію спроби несанкціонованого входу в базу даних, реєстрацію помилкових дій користувача, автоматичну передачу сигналу тривоги охороні та автоматичне відключення комп'ютера;

* Встановлення та нерегулярне за терміном зміна імен користувачів, масивів і файлів (паролей, кодів, класифікаторів, ключових слів тощо), особливо при частій зміні персоналу;

* відключення ЕОМ при порушеннях у системі регулювання доступу чи збої системи захисту;

* механічне (ключом або іншим пристроєм) блокування відключеної, але завантаженої ЕОМ при нетривалих перервах у роботі користувача. Коди, паролі, ключові слова, ключі, шифри, спеціальні програмні продукти, апаратні засоби тощо. атрибути системи захисту інформації в ЕОМ розробляються, змінюються спеціалізованою організацією та індивідуально доводяться до кожного користувача працівником цієї організації або системним адміністратором. Використання власних кодів не дозволяється.

Отже, процедури допуску та доступу співробітників до конфіденційної інформації завершують процес включення даного співробітника до складу осіб, які реально володіють таємною фірмою. З цього часу велике значення набуває поточна робота з персоналом, у розпорядженні якого знаходяться цінні та конфіденційні відомості.

Висновок

Стабільність кадрового складу є найважливішою передумовою надійної інформаційної безпеки фірми. Міграція фахівців - найважче контрольований канал втрати цінної та конфіденційної інформації. Водночас повністю уникнути звільнень співробітників неможливо. Необхідний ретельний аналіз причин звільнення, на основі якого складається та реалізується програма, яка виключає ці причини. Наприклад, підвищення окладів, оренда житла для співробітників поблизу фірми та оздоровлення психологічного клімату, звільнення керівників, які зловживають своїм службовим становищем та ін.

Список використаної літератури

інформація захист безпека

1. Забєлін Є.І. Інформаційна безпека в Інтернет - послуги для бізнесу

Оригінал статті: http://www.OXPAHA.ru/view.asp?2280.

2. Тижневик “Computerworld”, #22, 1999 // Вид-во «Відкриті системи» http://www.osp.ru/cw/1999/22/061.htm

3. А.Дмитрієв Системи захисту інформації. Журнал «Світ ПК», # 05, 2001 // Вид-во «Відкриті системи». http://www.osp.ru/pcworld/2001/05/010.htm

4. Сервіси безпеки від Novell. Модулі шифрування. http://novell.eureca.ru/

5. Паула Шерік. 10 питань про шифрування в NT 4.0 http://www.osp.ru/win2000/2001/05/050.htm

Розміщено на Allbest.ru

Подібні документи

Проблема захисту. Особливості захисту інформації у комп'ютерних мережах. Загрози, атаки та канали витоку інформації. Класифікація методів та засобів забезпечення безпеки. Архітектура мережі та її захист. Методи забезпечення безпеки мереж.

дипломна робота , доданий 16.06.2012


Безпека інформації, компоненти захисту. Дестабілізуючі фактори. Класифікація загрози безпеці інформації за джерелом появи, характером цілей. Способи реалізації. Рівень захисту інформації. Етапи створення систем захисту.

презентація , доданий 22.12.2015


Головні канали витоку інформації. Основні джерела конфіденційної інформації. Основні об'єкти захисту. Основні роботи з розвитку та вдосконалення системи захисту інформації. Модель захисту інформаційної безпеки ВАТ "РЗ".

курсова робота , доданий 05.09.2013


Види внутрішніх та зовнішніх умисних загроз безпеці інформації. Загальне поняття захисту та безпеки інформації. Основні цілі та завдання інформаційного захисту. Поняття економічної доцільності забезпечення безпеки інформації підприємства.

контрольна робота , доданий 26.05.2010


Вимоги до інформації: доступність, цілісність та конфіденційність. Модель CIA як інформаційна безпека, що будується на захисті доступності, цілісності та конфіденційності інформації. Прямі та непрямі загрози, засоби захисту інформації.

презентація , додано 06.01.2014


Структура та особливості ОС Linux, історія її розвитку. Інформаційна безпека: поняття та регламентуючі документи, напрями витоку інформації та її захисту. Розрахунок створення системи інформаційної безпеки та дослідження її ефективності.

курсова робота , доданий 24.01.2014


Система формування режиму інформаційної безпеки. Завдання інформаційної безпеки суспільства. Засоби захисту інформації: основні методи та системи. Захист інформації у комп'ютерних мережах. Положення найважливіших законодавчих актів Росії.

реферат, доданий 20.01.2014


Поняття та основні засади забезпечення інформаційної безпеки. Поняття безпеки в автоматизованих системах. Основи законодавства РФ у сфері інформаційної безпеки та захисту інформації, процеси ліцензування та сертифікації.

курс лекцій, доданий 17.04.2012


Поняття, цілі та завдання інформаційної безпеки. Загрози інформаційної безпеки та способи їх реалізації. Управління доступом до інформації та інформаційних систем. Захист мереж та інформації під час роботи в Інтернеті. Концепція електронного підпису.

контрольна робота , доданий 15.12.2015


Найважливіші сторони забезпечення інформаційної безпеки. Технічні засоби обробки інформації та її документаційні носії. Типові шляхи несанкціонованого одержання інформації. Концепція електронного підпису. Захист інформації від руйнування.