Тема: Проблеми захисту інформації в
комп'ютерних мережах.
Зміст.
Введення.
1. Проблеми захисту інформації в комп'ютерних системах.
2. Забезпечення захисту інформації в мережах.
3. Механізми забезпечення безпеки:
3.1. Криптографія.
3.2. Електронний підпис.
3.3. Аутентифікація.
3.4. Захист мереж.
4. Вимоги до сучасних засобів захисту інформації.
Висновок.
Література.
Введення.
У обчислювальній техніці поняття безпеки є досить широким. Воно має на увазі і надійність роботи комп'ютера, і збереження цінних даних, і захист інформації від внесення до неї змін не уповноваженими особами, і збереження таємниці листування в електронному зв'язку. Зрозуміло, у всіх цивілізованих країнах на варті безпеки громадян стоять закони, але у сфері обчислювальної техніки правозастосовна практика поки розвинена недостатньо, а законотворчий процес не встигає за розвитком комп'ютерних систем, багато в чому спирається на заходи самозахисту.
Завжди існує проблема вибору між необхідним рівнем захисту та ефективністю роботи в мережі. У деяких випадках користувачами або споживачами заходи щодо забезпечення безпеки можуть бути розцінені як заходи з обмеження доступу та ефективності. Однак такі засоби, як, наприклад, криптографія, дозволяють значно посилити ступінь захисту, не обмежуючи доступ користувачів до даних.
1. Проблеми захисту інформації в комп'ютерних системах.
Широке застосування комп'ютерних технологій в автоматизованих системах обробки інформації та управління призвело до загострення проблеми захисту інформації, що циркулює в комп'ютерних системах, від несанкціонованого доступу. Захист інформації в комп'ютерних системах має низку специфічних особливостей, пов'язаних з тим, що інформація не є жорстко пов'язаної з носієм, може легко і швидко копіюватися і передаватися по каналах зв'язку. Відомо дуже велика кількість загроз інформації, які можуть бути реалізовані як з боку зовнішніх порушників, так і з боку внутрішніх порушників.
Радикальне вирішення проблем захисту електронної інформації може бути отримано тільки на базі використання криптографічних методів, які дозволяють вирішувати найважливіші проблеми захищеної автоматизованої обробки та передачі даних. При цьому сучасні швидкісні методи криптографічного перетворення дозволяють зберегти вихідну продуктивність автоматизованих систем. Криптографічні перетворення даних є найбільш ефективним засобом забезпечення конфіденційності даних, їхньої цілісності і справжності. Тільки їх використання в сукупності з необхідними технічними та організаційними заходами можуть забезпечити захист від широкого спектру потенційних загроз.
Проблеми, що виникають з безпекою передачі інформації при роботі в комп'ютерних мережах, можна розділити на три основні типи:
· Перехоплення інформації - цілісність інформації зберігається, але її конфіденційність порушена;
· Модифікація інформації - вихідне повідомлення змінюється або повністю підміняється іншим і відсилається адресату;
· Підміна авторства інформації. Дана проблема може мати серйозні наслідки. Наприклад, хтось може надіслати листа від вашого імені (цей вид обману прийнято називати спуфінга) або Web - сервер може прикидатися електронним магазином, приймати замовлення, номери кредитних карт, але не висилати ніяких товарів.
Потреби сучасної практичної інформатики призвели до виникнення нетрадиційних завдань захисту електронної інформації, однією з яких є автентифікація електронної інформації в умовах, коли обмінюються інформацією сторони не довіряють один одному. Ця проблема пов'язана зі створенням систем електронного цифрового підпису. Теоретичною базою для вирішення цієї проблеми було відкриття двухключевой криптографії американськими дослідниками Діффі і Хеміманом в середині 1970-х років, яке стало блискучим досягненням багатовікового еволюційного розвитку криптографії. Революційні ідеї двухключевой криптографії призвели до різкого зростання числа відкритих досліджень в галузі криптографії і показали нові шляхи розвитку криптографії, нові її можливості і унікальне значення її методів у сучасних умовах масового застосування електронних інформаційних технологій.
Технічною основою переходу в інформаційне суспільство є сучасні мікроелектронні технології, які забезпечують безперервне зростання якості засобів обчислювальної техніки і служать базою для збереження основних тенденцій її розвитку - мініатюризації, зниження електроспоживання, збільшення обсягу оперативної пам'яті (ОП) і місткості вбудованих і знімних накопичувачів, зростання продуктивності і надійності, розширення сфер і масштабів застосування. Дані тенденції розвитку засобів обчислювальної техніки призвели до того, що на сучасному етапі захист комп'ютерних систем від несанкціонованого доступу характеризується зростанням ролі програмних та криптографічних механізмів захисту в порівнянні з апаратними.
Зростання ролі програмних і криптографічних засобів зашитий проявляється в тому, що виникають нові проблеми в галузі захисту обчислювальних систем від несанкціонованого доступу, вимагають використання механізмів і протоколів з порівняно високою обчислювальною складністю і можуть бути ефективно вирішені шляхом використання ресурсів ЕОМ.
Однією з важливих соціально-етичних проблем, породжених все більш розширюється застосуванням методів криптографічного захисту інформації, є протиріччя між бажанням користувачів захистити свою інформацію і передачу повідомлень і бажанням спеціальних державних служб мати можливість доступу до інформації деяких інших організацій та окремих осіб з метою припинення незаконної діяльності . У розвинених країнах спостерігається широкий спектр думок про підходи до питання про регламентації використання алгоритмів шифрування. Висловлюються пропозиції від повної заборони широкого застосування криптографічних методів до повної свободи їх використання. Деякі пропозиції відносяться до вирішення використання тільки ослаблених алгоритмів або до встановлення порядку обов'язкової реєстрації ключів шифрування. Надзвичайно важко знайти оптимальне рішення цієї проблеми. Як оцінити співвідношення втрат законослухняних громадян і організацій від незаконного використання їх інформації і збитків держави від неможливості отримання доступу до зашифрованої інформації окремих груп, що приховують свою незаконну діяльність? Як можна гарантовано не допустити незаконне використання криптоалгоритмів особами, які порушують і інші закони? Крім того, завжди існують способи прихованого зберігання і передачі інформації. Ці питання ще належить вирішувати соціологам, психологам, юристам і політикам.
Виникнення глобальних інформаційних мереж типу INTERNET є важливим досягненням комп'ютерних технологій, однак, з INTERNET пов'язана маса комп'ютерних злочинів.
Результатом досвіду застосування мережі INTERNET є виявлена слабкість традиційних механізмів захисту інформації та відставання у застосуванні сучасних методів. Криптографія надає можливість забезпечити безпеку інформації в INTERNET і зараз активно ведуться роботи з впровадження необхідних криптографічних механізмів в цю мережу. Не відмова від прогресу в інформатизації, а використання сучасних досягнень криптографії - ось стратегічно правильне рішення. Можливість широкого використання глобальних інформаційних мереж та криптографії є досягненням і ознакою демократичного суспільства.
Володіння основами криптографії в інформаційному суспільстві об'єктивно не може бути привілеєм окремих державних служб, а є нагальною необхідністю для самих широких верств науково-технічних працівників, що застосовують комп'ютерну обробку даних або розробляють інформаційні системи, співробітників служб безпеки і керівного складу організацій і підприємств. Тільки це може служити базою для ефективного впровадження та експлуатації засобів інформаційної безпеки.
Одна окремо взята організація не може забезпечити досить повний і ефективний контроль за інформаційними потоками в межах всієї держави і забезпечити належний захист національного інформаційного ресурсу. Однак, окремі державні органи можуть створити умови для формування ринку якісних засобів захисту, підготовки достатньої кількості фахівців і оволодіння основами криптографії та захисту інформації з боку масових користувачів.
У Росії та інших країнах СНД на початку 1990-х років чітко простежувалася тенденція випередження розширення масштабів і сфер застосування інформаційних технологій над розвитком систем захисту даних. Така ситуація у певній мірі була і є типовою і для розвинених капіталістичних країн. Це закономірно: спочатку повинна виникнути практична проблема, а потім будуть знайдені рішення. Початок перебудови в ситуації сильного відставання країн СНД в області інформатизації в кінці 1980-х років створило благодатний грунт для різкого подолання сформованого розриву.
Приклад розвинених країн, можливість придбання системного програмного забезпечення і комп'ютерної техніки надихнули вітчизняних користувачів. Включення масового споживача, зацікавленого в оперативній обробці даних та інших достоїнствах сучасних інформаційно-обчислювальних систем, у вирішенні проблеми комп'ютеризації призвело до дуже високим темпам розвитку цієї області в Росії та інших країнах СНД. Однак, природне спільне розвиток засобів автоматизації обробки інформації і засобів захисту інформації в значній мірі порушилося, що стало причиною масових комп'ютерних злочинів. Ні для кого не секрет, що комп'ютерні злочини в даний час складають одну з дуже актуальних проблем.
Використання систем захисту зарубіжного виробництва не може виправити цей перекіс, оскільки надходять на ринок Росії продукти цього типу не відповідають вимогам через існуючих експортних обмежень, прийнятих у США - основному виробнику засобів захисту інформації. Іншим аспектом, що має першорядне значення, є те, що продукція такого типу повинна пройти встановлену процедуру сертифікації в уповноважених на проведення таких робіт організаціях.
Сертифікати іноземних фірм та організацій, ніяк не можуть бути заміною вітчизняним. Сам факт використання зарубіжного системного та прикладного програмного забезпечення створює підвищену потенційну загрозу інформаційних ресурсів. Застосування іноземних засобів захисту без належного аналізу відповідності виконуваних функцій і рівня захисту, який він може багаторазово ускладнити ситуацію.
Форсування процесу інформатизації вимагає адекватного забезпечення споживачів засобами захисту. Відсутність на внутрішньому ринку достатньої кількості засобів захисту інформації, що циркулює в комп'ютерних системах, значний час не дозволяло в необхідних масштабах здійснювати заходи щодо захисту даних. Ситуація погіршувалася відсутністю достатньої кількості фахівців у галузі захисту інформації, оскільки останні, як правило, готувалися тільки для спеціальних організацій. Реструктурування останніх, пов'язане із змінами, що відбуваються в Росії, привело до утворення незалежних організацій, що спеціалізуються в області захисту інформації, що поглинув вивільнені кадри, і як наслідок виникнення духу конкуренції, що призвела до появи в даний час досить великої кількості сертифікованих засобів захисту вітчизняних розробників.
Однією з важливих особливостей масового використання інформаційних технологій є те, що для ефективного вирішення проблеми захисту державного інформаційного ресурсу необхідно розосередження заходів щодо захисту даних серед масових користувачів. Інформація повинна бути захищена в першу чергу там, де вона створюється, збирається, переробляється і тими організаціями, які несуть шкоди безпосередній при несанкціонованому доступі до даних. Цей принцип раціональний і ефективний: захист інтересів окремих організацій - це складова реалізації захисту інтересів держави в цілому.
2. Забезпечення захисту інформації в мережах.
У ЗС зосереджується інформація, виключне право на користування якою належить певним особам або групам осіб, що діють у порядку особистої ініціативи або відповідно до посадових обов'язків. Така інформація повинна бути захищена від усіх видів стороннього втручання: читання особами, які не мають права доступу до інформації, і навмисної зміни інформації. До того ж у ЗС повинні здійснюватися заходи щодо захисту обчислювальних ресурсів мережі від їх несанкціонованого використання, тобто повинен бути виключений доступ до мережі осіб, що не мають на це права. Фізичний захист системи і даних може здійснюватися тільки стосовно робочих ЕОМ і вузлів зв'язку і виявляється неможливою для засобів передачі, що мають велику протяжність. З цієї причини у ЗС повинні використовуватися кошти, що виключають несанкціонований доступ до даних і забезпечують їх секретність.
Дослідження практики функціонування систем обробки даних і обчислювальних систем показали, що існує досить багато можливих напрямів витоку інформації та шляхів несанкціонованого доступу в системах та мережах. У їх числі:
· Читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів;
· Копіювання носіїв інформації і файлів інформації з подоланням заходів захисту;
· Маскування під зареєстрованого користувача;
· Маскування під запит системи;
· Використання програмних пасток;
· Використання недоліків операційної системи;
· Незаконне підключення до апаратури та ліній зв'язку;
· Зловмисний виведення з ладу механізмів захисту;
· Впровадження і використання комп'ютерних вірусів.
Забезпечення безпеки інформації у ЗС та в автономно працюючих ПЕОМ досягається комплексом організаційних, організаційно-технічних, технічних і програмних заходів.
До організаційних заходів захисту інформації належать:
· Обмеження доступу до приміщень, в яких відбувається підготовка і обробка інформації;
· Допуск до обробки та передачі конфіденційної інформації тільки перевірених посадових осіб;
· Зберігання магнітних носіїв та реєстраційних журналів у закритих для доступу сторонніх осіб сейфах;
· Виключення перегляду сторонніми особами змісту оброблюваних матеріалів через дисплей, принтер і т.д.;
· Використання криптографічних кодів при передачі по каналах зв'язку цінної інформації;
· Знищення фарбувальних стрічок, паперу та інших матеріалів, які містять фрагменти цінної інформації.
Організаційно-технічні заходи захисту інформації включають:
· Здійснення живлення устаткування, обробного цінну інформацію від незалежного джерела живлення або через спеціальні мережеві фільтри;
· Установку на дверях приміщень кодових замків;
· Використання для відображення інформації при введенні-виведенні рідкокристалічних або плазмових дисплеїв, а для отримання твердих копій - струминних принтерів і термопринтерів, оскільки дисплей дає таке високочастотне електромагнітне випромінювання, що зображення з його екрану можна приймати на відстані декількох сотень кілометрів;
· Знищення інформації, що зберігається в ПЗП і на НЖМД, при списанні або надсилання ПЕОМ в ремонт;
· Установка клавіатури і принтерів на м'які прокладки з метою зниження можливості зняття інформації акустичним способом;
· Обмеження електромагнітного випромінювання шляхом екранування приміщень, де відбувається обробка інформації, листами з металу або зі спеціальної пластмаси.
Технічні засоби захисту інформації - це системи охорони територій та приміщень за допомогою екранування машинних залів та організації контрольно-пропускних систем. Захист інформації в мережах і обчислювальних засобах за допомогою технічних засобів реалізується на основі організації доступу до пам'яті за допомогою:
· Контролю доступу до різних рівнів пам'яті комп'ютерів;
· Блокування даних і введення ключів;
· Виділення контрольних бітів для записів з метою ідентифікації та ін
Архітектура програмних засобів захисту інформації включає:
комп'ютерних мережах.
Зміст.
Введення.
1. Проблеми захисту інформації в комп'ютерних системах.
2. Забезпечення захисту інформації в мережах.
3. Механізми забезпечення безпеки:
3.1. Криптографія.
3.2. Електронний підпис.
3.3. Аутентифікація.
3.4. Захист мереж.
4. Вимоги до сучасних засобів захисту інформації.
Висновок.
Література.
Введення.
У обчислювальній техніці поняття безпеки є досить широким. Воно має на увазі і надійність роботи комп'ютера, і збереження цінних даних, і захист інформації від внесення до неї змін не уповноваженими особами, і збереження таємниці листування в електронному зв'язку. Зрозуміло, у всіх цивілізованих країнах на варті безпеки громадян стоять закони, але у сфері обчислювальної техніки правозастосовна практика поки розвинена недостатньо, а законотворчий процес не встигає за розвитком комп'ютерних систем, багато в чому спирається на заходи самозахисту.
Завжди існує проблема вибору між необхідним рівнем захисту та ефективністю роботи в мережі. У деяких випадках користувачами або споживачами заходи щодо забезпечення безпеки можуть бути розцінені як заходи з обмеження доступу та ефективності. Однак такі засоби, як, наприклад, криптографія, дозволяють значно посилити ступінь захисту, не обмежуючи доступ користувачів до даних.
1. Проблеми захисту інформації в комп'ютерних системах.
Широке застосування комп'ютерних технологій в автоматизованих системах обробки інформації та управління призвело до загострення проблеми захисту інформації, що циркулює в комп'ютерних системах, від несанкціонованого доступу. Захист інформації в комп'ютерних системах має низку специфічних особливостей, пов'язаних з тим, що інформація не є жорстко пов'язаної з носієм, може легко і швидко копіюватися і передаватися по каналах зв'язку. Відомо дуже велика кількість загроз інформації, які можуть бути реалізовані як з боку зовнішніх порушників, так і з боку внутрішніх порушників.
Радикальне вирішення проблем захисту електронної інформації може бути отримано тільки на базі використання криптографічних методів, які дозволяють вирішувати найважливіші проблеми захищеної автоматизованої обробки та передачі даних. При цьому сучасні швидкісні методи криптографічного перетворення дозволяють зберегти вихідну продуктивність автоматизованих систем. Криптографічні перетворення даних є найбільш ефективним засобом забезпечення конфіденційності даних, їхньої цілісності і справжності. Тільки їх використання в сукупності з необхідними технічними та організаційними заходами можуть забезпечити захист від широкого спектру потенційних загроз.
Проблеми, що виникають з безпекою передачі інформації при роботі в комп'ютерних мережах, можна розділити на три основні типи:
· Перехоплення інформації - цілісність інформації зберігається, але її конфіденційність порушена;
· Модифікація інформації - вихідне повідомлення змінюється або повністю підміняється іншим і відсилається адресату;
· Підміна авторства інформації. Дана проблема може мати серйозні наслідки. Наприклад, хтось може надіслати листа від вашого імені (цей вид обману прийнято називати спуфінга) або Web - сервер може прикидатися електронним магазином, приймати замовлення, номери кредитних карт, але не висилати ніяких товарів.
Потреби сучасної практичної інформатики призвели до виникнення нетрадиційних завдань захисту електронної інформації, однією з яких є автентифікація електронної інформації в умовах, коли обмінюються інформацією сторони не довіряють один одному. Ця проблема пов'язана зі створенням систем електронного цифрового підпису. Теоретичною базою для вирішення цієї проблеми було відкриття двухключевой криптографії американськими дослідниками Діффі і Хеміманом в середині 1970-х років, яке стало блискучим досягненням багатовікового еволюційного розвитку криптографії. Революційні ідеї двухключевой криптографії призвели до різкого зростання числа відкритих досліджень в галузі криптографії і показали нові шляхи розвитку криптографії, нові її можливості і унікальне значення її методів у сучасних умовах масового застосування електронних інформаційних технологій.
Технічною основою переходу в інформаційне суспільство є сучасні мікроелектронні технології, які забезпечують безперервне зростання якості засобів обчислювальної техніки і служать базою для збереження основних тенденцій її розвитку - мініатюризації, зниження електроспоживання, збільшення обсягу оперативної пам'яті (ОП) і місткості вбудованих і знімних накопичувачів, зростання продуктивності і надійності, розширення сфер і масштабів застосування. Дані тенденції розвитку засобів обчислювальної техніки призвели до того, що на сучасному етапі захист комп'ютерних систем від несанкціонованого доступу характеризується зростанням ролі програмних та криптографічних механізмів захисту в порівнянні з апаратними.
Зростання ролі програмних і криптографічних засобів зашитий проявляється в тому, що виникають нові проблеми в галузі захисту обчислювальних систем від несанкціонованого доступу, вимагають використання механізмів і протоколів з порівняно високою обчислювальною складністю і можуть бути ефективно вирішені шляхом використання ресурсів ЕОМ.
Однією з важливих соціально-етичних проблем, породжених все більш розширюється застосуванням методів криптографічного захисту інформації, є протиріччя між бажанням користувачів захистити свою інформацію і передачу повідомлень і бажанням спеціальних державних служб мати можливість доступу до інформації деяких інших організацій та окремих осіб з метою припинення незаконної діяльності . У розвинених країнах спостерігається широкий спектр думок про підходи до питання про регламентації використання алгоритмів шифрування. Висловлюються пропозиції від повної заборони широкого застосування криптографічних методів до повної свободи їх використання. Деякі пропозиції відносяться до вирішення використання тільки ослаблених алгоритмів або до встановлення порядку обов'язкової реєстрації ключів шифрування. Надзвичайно важко знайти оптимальне рішення цієї проблеми. Як оцінити співвідношення втрат законослухняних громадян і організацій від незаконного використання їх інформації і збитків держави від неможливості отримання доступу до зашифрованої інформації окремих груп, що приховують свою незаконну діяльність? Як можна гарантовано не допустити незаконне використання криптоалгоритмів особами, які порушують і інші закони? Крім того, завжди існують способи прихованого зберігання і передачі інформації. Ці питання ще належить вирішувати соціологам, психологам, юристам і політикам.
Виникнення глобальних інформаційних мереж типу INTERNET є важливим досягненням комп'ютерних технологій, однак, з INTERNET пов'язана маса комп'ютерних злочинів.
Результатом досвіду застосування мережі INTERNET є виявлена слабкість традиційних механізмів захисту інформації та відставання у застосуванні сучасних методів. Криптографія надає можливість забезпечити безпеку інформації в INTERNET і зараз активно ведуться роботи з впровадження необхідних криптографічних механізмів в цю мережу. Не відмова від прогресу в інформатизації, а використання сучасних досягнень криптографії - ось стратегічно правильне рішення. Можливість широкого використання глобальних інформаційних мереж та криптографії є досягненням і ознакою демократичного суспільства.
Володіння основами криптографії в інформаційному суспільстві об'єктивно не може бути привілеєм окремих державних служб, а є нагальною необхідністю для самих широких верств науково-технічних працівників, що застосовують комп'ютерну обробку даних або розробляють інформаційні системи, співробітників служб безпеки і керівного складу організацій і підприємств. Тільки це може служити базою для ефективного впровадження та експлуатації засобів інформаційної безпеки.
Одна окремо взята організація не може забезпечити досить повний і ефективний контроль за інформаційними потоками в межах всієї держави і забезпечити належний захист національного інформаційного ресурсу. Однак, окремі державні органи можуть створити умови для формування ринку якісних засобів захисту, підготовки достатньої кількості фахівців і оволодіння основами криптографії та захисту інформації з боку масових користувачів.
У Росії та інших країнах СНД на початку 1990-х років чітко простежувалася тенденція випередження розширення масштабів і сфер застосування інформаційних технологій над розвитком систем захисту даних. Така ситуація у певній мірі була і є типовою і для розвинених капіталістичних країн. Це закономірно: спочатку повинна виникнути практична проблема, а потім будуть знайдені рішення. Початок перебудови в ситуації сильного відставання країн СНД в області інформатизації в кінці 1980-х років створило благодатний грунт для різкого подолання сформованого розриву.
Приклад розвинених країн, можливість придбання системного програмного забезпечення і комп'ютерної техніки надихнули вітчизняних користувачів. Включення масового споживача, зацікавленого в оперативній обробці даних та інших достоїнствах сучасних інформаційно-обчислювальних систем, у вирішенні проблеми комп'ютеризації призвело до дуже високим темпам розвитку цієї області в Росії та інших країнах СНД. Однак, природне спільне розвиток засобів автоматизації обробки інформації і засобів захисту інформації в значній мірі порушилося, що стало причиною масових комп'ютерних злочинів. Ні для кого не секрет, що комп'ютерні злочини в даний час складають одну з дуже актуальних проблем.
Використання систем захисту зарубіжного виробництва не може виправити цей перекіс, оскільки надходять на ринок Росії продукти цього типу не відповідають вимогам через існуючих експортних обмежень, прийнятих у США - основному виробнику засобів захисту інформації. Іншим аспектом, що має першорядне значення, є те, що продукція такого типу повинна пройти встановлену процедуру сертифікації в уповноважених на проведення таких робіт організаціях.
Сертифікати іноземних фірм та організацій, ніяк не можуть бути заміною вітчизняним. Сам факт використання зарубіжного системного та прикладного програмного забезпечення створює підвищену потенційну загрозу інформаційних ресурсів. Застосування іноземних засобів захисту без належного аналізу відповідності виконуваних функцій і рівня захисту, який він може багаторазово ускладнити ситуацію.
Форсування процесу інформатизації вимагає адекватного забезпечення споживачів засобами захисту. Відсутність на внутрішньому ринку достатньої кількості засобів захисту інформації, що циркулює в комп'ютерних системах, значний час не дозволяло в необхідних масштабах здійснювати заходи щодо захисту даних. Ситуація погіршувалася відсутністю достатньої кількості фахівців у галузі захисту інформації, оскільки останні, як правило, готувалися тільки для спеціальних організацій. Реструктурування останніх, пов'язане із змінами, що відбуваються в Росії, привело до утворення незалежних організацій, що спеціалізуються в області захисту інформації, що поглинув вивільнені кадри, і як наслідок виникнення духу конкуренції, що призвела до появи в даний час досить великої кількості сертифікованих засобів захисту вітчизняних розробників.
Однією з важливих особливостей масового використання інформаційних технологій є те, що для ефективного вирішення проблеми захисту державного інформаційного ресурсу необхідно розосередження заходів щодо захисту даних серед масових користувачів. Інформація повинна бути захищена в першу чергу там, де вона створюється, збирається, переробляється і тими організаціями, які несуть шкоди безпосередній при несанкціонованому доступі до даних. Цей принцип раціональний і ефективний: захист інтересів окремих організацій - це складова реалізації захисту інтересів держави в цілому.
2. Забезпечення захисту інформації в мережах.
У ЗС зосереджується інформація, виключне право на користування якою належить певним особам або групам осіб, що діють у порядку особистої ініціативи або відповідно до посадових обов'язків. Така інформація повинна бути захищена від усіх видів стороннього втручання: читання особами, які не мають права доступу до інформації, і навмисної зміни інформації. До того ж у ЗС повинні здійснюватися заходи щодо захисту обчислювальних ресурсів мережі від їх несанкціонованого використання, тобто повинен бути виключений доступ до мережі осіб, що не мають на це права. Фізичний захист системи і даних може здійснюватися тільки стосовно робочих ЕОМ і вузлів зв'язку і виявляється неможливою для засобів передачі, що мають велику протяжність. З цієї причини у ЗС повинні використовуватися кошти, що виключають несанкціонований доступ до даних і забезпечують їх секретність.
Дослідження практики функціонування систем обробки даних і обчислювальних систем показали, що існує досить багато можливих напрямів витоку інформації та шляхів несанкціонованого доступу в системах та мережах. У їх числі:
· Читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів;
· Копіювання носіїв інформації і файлів інформації з подоланням заходів захисту;
· Маскування під зареєстрованого користувача;
· Маскування під запит системи;
· Використання програмних пасток;
· Використання недоліків операційної системи;
· Незаконне підключення до апаратури та ліній зв'язку;
· Зловмисний виведення з ладу механізмів захисту;
· Впровадження і використання комп'ютерних вірусів.
Забезпечення безпеки інформації у ЗС та в автономно працюючих ПЕОМ досягається комплексом організаційних, організаційно-технічних, технічних і програмних заходів.
До організаційних заходів захисту інформації належать:
· Обмеження доступу до приміщень, в яких відбувається підготовка і обробка інформації;
· Допуск до обробки та передачі конфіденційної інформації тільки перевірених посадових осіб;
· Зберігання магнітних носіїв та реєстраційних журналів у закритих для доступу сторонніх осіб сейфах;
· Виключення перегляду сторонніми особами змісту оброблюваних матеріалів через дисплей, принтер і т.д.;
· Використання криптографічних кодів при передачі по каналах зв'язку цінної інформації;
· Знищення фарбувальних стрічок, паперу та інших матеріалів, які містять фрагменти цінної інформації.
Організаційно-технічні заходи захисту інформації включають:
· Здійснення живлення устаткування, обробного цінну інформацію від незалежного джерела живлення або через спеціальні мережеві фільтри;
· Установку на дверях приміщень кодових замків;
· Використання для відображення інформації при введенні-виведенні рідкокристалічних або плазмових дисплеїв, а для отримання твердих копій - струминних принтерів і термопринтерів, оскільки дисплей дає таке високочастотне електромагнітне випромінювання, що зображення з його екрану можна приймати на відстані декількох сотень кілометрів;
· Знищення інформації, що зберігається в ПЗП і на НЖМД, при списанні або надсилання ПЕОМ в ремонт;
· Установка клавіатури і принтерів на м'які прокладки з метою зниження можливості зняття інформації акустичним способом;
· Обмеження електромагнітного випромінювання шляхом екранування приміщень, де відбувається обробка інформації, листами з металу або зі спеціальної пластмаси.
Технічні засоби захисту інформації - це системи охорони територій та приміщень за допомогою екранування машинних залів та організації контрольно-пропускних систем. Захист інформації в мережах і обчислювальних засобах за допомогою технічних засобів реалізується на основі організації доступу до пам'яті за допомогою:
· Контролю доступу до різних рівнів пам'яті комп'ютерів;
· Блокування даних і введення ключів;
· Виділення контрольних бітів для записів з метою ідентифікації та ін
Архітектура програмних засобів захисту інформації включає:
· Контроль безпеки, в тому числі контроль реєстрації входження в систему, фіксацію в системному журналі, контроль дій користувача;
· Реакцію (в тому числі звукову) на порушення системи захисту контролю доступу до ресурсів мережі;
· Контроль мандатів доступу;
· Формальний контроль захищеності операційних систем (базової загальносистемного і мережевий);
· Контроль алгоритмів захисту;
· Перевірки та підтвердження правильності функціонування технічного та програмного забезпечення.
Для надійного захисту інформації та виявлення випадків неправомірних дій проводиться реєстрація роботи системи: створюються спеціальні щоденники і протоколи, в яких фіксуються всі дії, пов'язані із захистом інформації в системі. Фіксуються час надходження заявки, її тип, ім'я користувача і терміналу, з якого ініціалізується заявка. При відборі подій, що підлягають реєстрації, необхідно мати на увазі, що зі зростанням кількості реєстрованих подій не може перегляд щоденника і виявлення спроб подолання захисту. У цьому випадку можна застосовувати програмний аналіз і фіксувати сумнівні події. Використовуються також спеціальні програми для тестування системи захисту. Періодично або у випадково вибрані моменти часу вони перевіряють працездатність апаратних і програмних засобів захисту.
До окремої групи заходів щодо забезпечення збереження інформації та виявлення несанкціонованих запитів відносяться програми виявлення порушень в режимі реального часу. Програми даної групи формують спеціальний сигнал при реєстрації дій, які можуть призвести до неправомірних дій по відношенню до інформації, що захищається. Сигнал може містити інформацію про характер порушення, місці його виникнення та інші характеристики. Крім того, програми можуть заборонити доступ до інформації, що захищається або симулювати такий режим роботи (наприклад, моментальна завантаження пристроїв введення-виведення), який дозволить виявити порушника і затримати його відповідною службою.
Один з поширених способів захисту - явне вказівку секретності виведеної інформації. У системах, що підтримують кілька рівнів секретності, вивід на екран терміналу або друкувального пристрою будь-якої одиниці інформації (наприклад, файлу, запису і таблиці) супроводжується спеціальним грифом із зазначенням рівня секретності. Ця вимога реалізується з допомогою відповідних програмних засобів.
В окрему групу виділено засоби захисту від несанкціонованого використання програмного забезпечення. Вони набувають особливого значення внаслідок широкого розповсюдження ПК.
3. Механізми забезпечення безпеки.
3.1. Криптографія.
Для забезпечення секретності застосовується шифрування, або криптографія, що дозволяє трансформувати дані в зашифровану форму, з якої витягти вихідну інформацію можна тільки при наявності ключа.
Системам шифрування стільки ж років, скільки письмовою обміну інформацією.
"Криптографія" в перекладі з грецької мови означає "тайнопис", що цілком відображає її первісне призначення. Примітивні (з позицій сьогоднішнього дня) криптографічні методи відомі з найдавніших часів і дуже тривалий час вони розглядалися скоріше як деякий хитрування, ніж сувора наукова дисципліна. Класичною завданням криптографії є оборотне перетворення деякого зрозумілого вихідного тексту (відкритого тексту) в уявну випадкової послідовність деяких знаків, звану шифртекст або криптограми. При цьому шифр-пакет може містити як нові, так і наявні у відкритому повідомленні знаки. Кількість знаків у криптограмі і в початковому тексті в загальному випадку може відрізнятися. Неодмінною вимогою є те, що, використовуючи деякі логічні заміни символів в шифртекст, можна однозначно і в повному об'ємі відновити вихідний текст. Надійність збереження інформації в таємниці визначалося в далекі часи тим, що в секреті тримався сам метод перетворення.
Пройшли багато століть, протягом яких криптографія була предметом обраних - жерців, правителів, великих воєначальників і дипломатів. Незважаючи на малу поширеність використання криптографічних методів і способів подолання шифрів противника надавало істотну дію на результат важливих історичних подій. Відомий не один приклад того, як переоцінка використовуваних шифрів приводила до військових і дипломатичних поразок. Незважаючи на застосування криптографічних методів у важливих областях, епізодичне використання криптографії не могло навіть близько підвести її до тієї ролі та значенню, які вона має в сучасному суспільстві. Своїм перетворенням в наукову дисципліну криптографія зобов'язана потребам практики, породженим електронної інформаційної технологією.
Пробудження значного інтересу до криптографії і її розвиток почався з XIX століття, що пов'язано із зародженням електрозв'язку. У XX столітті секретні служби більшості розвинених країн стали належить до цієї дисципліни як до обов'язкового інструменту своєї діяльності.
В основі шифрування лежать два основних поняття: алгоритм і ключ. Алгоритм - це спосіб закодувати початковий текст, в результаті чого виходить зашифроване послання. Зашифроване послання може бути інтерпретовано тільки за допомогою ключа.
Очевидно, щоб зашифрувати послання, досить алгоритму.
Голландський криптограф Керкхофф (1835 - 1903) вперше сформулював правило: стійкість шифру, тобто криптосистеми - набору процедур, керованих деякої секретною інформацією невеликого обсягу, повинна бути забезпечена в тому випадку, коли криптоаналітик противника відомий весь механізм шифрування за винятком секретного ключа - інформації, що управляє процесом криптографічних перетворень. Мабуть, одним із завдань цієї вимоги було усвідомлення необхідності випробування розробляються кріптосхем в умовах більш жорстких порівняно з умовами, в яких міг би діяти потенційний порушник. Це правило стимулювало появу більш якісних шифрувальних алгоритмів. Можна сказати, що в ньому міститься перший елемент стандартизації в області криптографії, оскільки передбачається розробка відкритих способів перетворень. В даний час це правило інтерпретується більш широко: всі довготривалі елементи системи захисту повинні передбачатися відомими потенційному зловмиснику. У останню формулювання криптосистеми входять як окремий випадок систем захисту. У цьому формулюванні передбачається, що всі елементи систем захисту поділяються на дві категорії - довгострокові і легко змінювані. До довготривалим елементів відносяться ті елементи, які відносяться до розробки систем захисту і для зміни вимагають втручання фахівців або розробників. До легко змінюваним елементів відносяться елементи системи, які призначені для довільного модифікування або модифікування за наперед заданим правилом, виходячи з випадково вибраних початкових параметрів. До легко змінюваним елементів відносяться, наприклад, ключ, пароль, ідентифікація і т.п. Розглянуте правило відображає той факт, належний рівень секретності може бути забезпечений тільки по відношенню до легко змінюваним елементам.
Незважаючи на те, що відповідно до сучасних вимог до криптосистемам вони повинні витримувати криптоаналіз на основі відомого алгоритму, великого обсягу відомого відкритого тексту і відповідного йому шифртекста, шифри, використовувані спеціальними службами, зберігаються в секреті. Це обумовлено необхідністю мати додатковий запас міцності, оскільки в даний час створення криптосистем з доказовою стійкістю є предметом розвивається теорії і являє собою досить складну проблему. Щоб уникнути можливих слабкостей, алгоритм шифрування може бути побудований на основі добре вивчених і апробованих принципах і механізмах перетворення. Жоден серйозний сучасний користувач не буде покладатися тільки на надійність збереження в секреті свого алгоритму, оскільки вкрай складно гарантувати низьку ймовірність того, що інформація про алгоритм стане відомою зловмисникові.
Секретність інформації забезпечується введенням в алгоритми спеціальних ключів (кодів). Використання ключа для шифрування надає дві суттєві переваги. По-перше, можна використовувати один алгоритм з різними ключами для відправки послань різним адресатам. По-друге, якщо секретність ключа буде порушена, його можна легко замінити, не змінюючи при цьому алгоритм шифрування. Таким чином, безпека систем шифрування залежить від таємності використовуваного ключа, а не від секретності алгоритму шифрування. Багато алгоритми шифрування є загальнодоступними.
Кількість можливих ключів для даного алгоритму залежить від числа біт в ключі. Наприклад, 8-бітний ключ допускає 256 (2 8) комбінацій ключів. Чим більше можливих комбінацій ключів, тим важче підібрати ключ, тим надійніше зашифровано послання. Так, наприклад, якщо використовувати 128-бітний ключ, то необхідно буде перебрати 2 128 ключів, що в даний час не під силу навіть найпотужнішим комп'ютерам. Важливо відзначити, що зростаюча продуктивність техніки призводить до зменшення часу, потрібного для розтину ключів, і систем забезпечення безпеки доводиться використовувати все більш довгі ключі, що, у свою чергу, веде до збільшення витрат на шифрування.
Оскільки таке важливе місце в системах шифрування приділяється секретності ключа, то основною проблемою подібних систем є генерація і передача ключа. Існують дві основні схеми шифрування: симетричне шифрування (його також іноді називають традиційними або шифруванням з секретним ключем) і шифрування з відкритим ключем (іноді цей тип шифрування називають асиметричним).
При симетричному шифруванні відправник та одержувач володіють одним і тим же ключем (секретним), за допомогою якого вони можуть зашифровувати і розшифровувати данние.Прі симетричному шифруванні використовуються ключі невеликої довжини, тому можна швидко шифрувати великі об'єми даних. Симетричне шифрування використовується, наприклад, деякими банками в мережах банкоматів. Однак симетричне шифрування має деякі недоліки. По-перше, дуже складно знайти безпечний механізм, за допомогою якого відправник та одержувач зможуть таємно від інших вибрати ключ. Виникає проблема безпечного розповсюдження секретних ключів. По-друге, для кожного адресата необхідно зберігати окремий секретний ключ. По-третє, у схемі симетричного шифрування неможливо гарантувати особу відправника, оскільки два користувача володіють одним ключем.
У схемі шифрування з відкритим ключем для шифрування послання використовуються два різних ключа. За допомогою одного з них послання зашифровується, а за допомогою другого - розшифровується. Таким чином, необхідної безпеки можна добиватися, зробивши перший ключ загальнодоступним (відкритим), а другий ключ зберігати тільки в одержувача (закритий, особистий ключ). У такому випадку будь-який користувач може зашифрувати послання за допомогою відкритого ключа, але розшифрувати послання здатний тільки володар особистого ключа. При цьому немає необхідності піклуватися про безпеку передачі відкритого ключа, а для того щоб користувачі могли обмінюватися секретними повідомленнями, досить наявності у них відкритих ключів один одного.
Недоліком асиметричного шифрування є необхідність використання більш довгих, ніж при симетричному шифруванні, ключів для забезпечення еквівалентного рівня безпеки, що позначається на обчислювальних ресурсах, необхідних для організації процесу шифрування.
3.2. Електронний підпис.
Якщо послання, безпека якого ми хочемо забезпечити, належним чином зашифровано, все одно залишається можливість модифікації початкового повідомлення або підміни цього повідомлення іншим. Одним із шляхів вирішення цієї проблеми є передача користувачем одержувачу короткого представлення переданого повідомлення. Подібне короткий уявлення називають контрольною сумою, або дайджестом повідомлення.
Контрольні суми використовуються при створенні резюме фіксованої довжини для представлення довгих повідомлень. Алгоритми розрахунку контрольних сум розроблені так, щоб вони були по можливості унікальні для кожного повідомлення. Таким чином, усувається можливість підміни одного повідомлення іншим із збереженням того ж самого значення контрольної суми.
Однак при використанні контрольних сум виникає проблема передачі їх одержувачу. Одним з можливих шляхів її вирішення є включення контрольної суми в так звану електронний підпис.
За допомогою електронного підпису одержувач може переконатися в тому, що отримане ним повідомлення надіслано не стороннім особою, а мають певні права відправником. Електронні підписи створюються шифруванням контрольної суми та додаткової інформації за допомогою особистого ключа відправника. Таким чином, будь-хто може розшифрувати підпис, використовуючи відкритий ключ, але коректно створити підпис може тільки власник особистого ключа. Для захисту від перехоплення та повторного використання підпис містить у собі унікальне число - порядковий номер.
3.3. Аутентифікація.
Аутентифікація є одним з найважливіших компонентів організації захисту інформації в мережі. Перш ніж користувачеві буде надано право отримати той чи інший ресурс, необхідно переконатися, що він дійсно той, за кого себе видає.
При отриманні запиту на використання ресурсу від імені будь-якого користувача сервер, що надає даний ресурс, передає керування серверу аутентифікації. Після отримання позитивної відповіді сервера аутентифікації користувачеві надається запитуваний ресурс.
При аутентифікації використовується, як правило, принцип, що отримав назву "що він знає", - користувач знає деякий секретне слово, яке він посилає серверу аутентифікації у відповідь на його запит. Однією зі схем аутентифікації є використання стандартних паролів. Пароль - сукупність символів, відомих підключеного до мережі абоненту, - вводиться ним на початку сеансу взаємодії з мережею, а іноді і в кінці сеансу (в особливо відповідальних випадках пароль нормального виходу з мережі може відрізнятися від вхідного ). Ця схема є найбільш вразливою з точки зору безпеки - пароль може бути перехоплений і використаний іншою особою. Найчастіше використовуються схеми із застосуванням одноразових паролів. Навіть будучи перехопленим, цей пароль буде марний при наступній реєстрації, а отримати наступний пароль з попереднього є вкрай важким завданням. Для генерації одноразових паролів використовуються як програмні, так і апаратні генератори, що представляють собою пристрої, що вставляються в слот комп'ютера. Знання секретного слова необхідно користувачеві для приведення цього пристрою в дію.
Однією з найбільш простих систем, що не вимагають додаткових витрат на обладнання, але в той же час забезпечують гарний рівень захисту, є S / Key, на прикладі якої можна продемонструвати порядок подання одноразових паролів.
У процесі аутентифікації з використанням S / Key беруть участь дві сторони - клієнт і сервер. При реєстрації в системі, що використовує схему аутентифікації S / Key, сервер надсилає на клієнтську машину запрошення, що містить зерно, передане по мережі у відкритому вигляді, поточне значення лічильника ітерацій і запит на введення одноразового пароля, який повинен відповідати поточним значенням лічильника ітерації. Отримавши відповідь, сервер перевіряє його і передає керування серверу необхідного користувачеві сервісу.
3.4. Захист мереж.
Останнім часом корпоративні мережі все частіше включаються в Інтернет або навіть використовують його в якості своєї основи. Зважаючи на те, якої шкоди може принести незаконне вторгнення в корпоративну мережу, необхідно виробити методи захисту. Для захисту корпоративних інформаційних мереж використовуються брандмауери. Брандмауери - це система або комбінація систем, що дозволяють розділити мережу на дві або більше частин і реалізувати набір правил, що визначають умови проходження пакетів з однієї частини в іншу. Як правило, ця межа проводиться між локальною мережею підприємства і INTERNETOM, хоча її можна провести і всередині. Однак захищати окремі комп'ютери невигідно, тому зазвичай захищають всю мережу. Брандмауер пропускає через себе весь трафік і для кожного проходить пакету приймає рішення - пропускати його або відкинути. Для того щоб брандмауер міг приймати ці рішення, для нього визначається набір правил.
Брандмауер може бути реалізований як апаратними засобами (тобто як окрема фізична пристрій), так і у вигляді спеціальної програми, запущеної на комп'ютері.
Як правило, в операційну систему, під управлінням якої працює брандмауер, вносяться зміни, мета яких - підвищення захисту самого брандмауера. Ці зміни зачіпають як ядро ОС, так і відповідні файли конфігурації. На самому брандмауері не дозволяється мати розділів користувачів, а отже, і потенційних дірок - тільки розділ адміністратора. Деякі брандмауери працюють тільки в режимі одного, а багато хто має систему перевірки цілісності програмних кодів.
Брандмауер зазвичай складається з декількох різних компонентів, включаючи фільтри або екрани, які блокують передачу частини трафіку.
Всі брандмауери можна розділити на два типи:
· Пакетні фільтри, які здійснюють фільтрацію IP-пакетів засобами фільтруючих маршрутизаторів;
· Сервери прикладного рівня, які блокують доступ до певних сервісів в мережі.
Таким чином, брандмауер можна визначити як набір компонентів або систему, яка розташовується між двома мережами і володіє наступними властивостями:
· Весь трафік з внутрішньої мережі в зовнішню і з зовнішньої мережі у внутрішню повинен пройти через цю систему;
· Тільки трафік, певний локальної стратегією захисту, може пройти через цю систему;
· Система надійно захищена від проникнення.
4. Вимоги до сучасних засобів захисту інформації.
Згідно з вимогами Гостехкомиссии Росії засоби захисту інформації від несанкціонованого доступу (СЗІ НСД), що відповідають високому рівню захисту, повинні забезпечувати:
· Дискреційний і мандатний принцип контролю доступу;
· Очищення пам'яті;
· Ізоляцію модулів;
· Маркування документів;
· Захист введення і виведення на відчужується фізичний носій інформації;
· Зіставлення користувача з пристроєм;
· Ідентифікацію та аутентифікацію;
· Гарантії проектування;
· Реєстрацію;
· Взаємодія користувача з комплексом засобів захисту;
· Надійне відновлення;
· Цілісність комплексу засобів захисту;
· Контроль модифікації;
· Контроль дистрибуції;
· Гарантії архітектури;
Комплексні ЗЗІ НСД повинні супроводжуватися пакетом наступних документів:
· Посібник з ЗЗІ;
· Керівництво користувача;
· Тестова документація;
· Конструкторська (проектна) документація.
Таким чином, відповідно до вимог Гостехкомиссии Росії комплексні ЗЗІ НСД повинні включати базовий набір підсистем. Конкретні можливості цих підсистем щодо реалізації функцій захисту інформації визначають рівень захищеності засобів обчислювальної техніки. Реальна ефективність СЗІ НСД визначається функціональними можливостями не тільки базових, але й додаткових підсистем, а також якістю їх реалізації.
Комп'ютерні системи та мережі схильні широкому спектру потенційних загроз інформації, що обумовлює необхідність передбачити великий перелік функцій та підсистем захисту. Доцільно в першу чергу забезпечити захист найбільш інформативних каналів витоку інформації, якими є наступні:
· Можливість копіювання даних з машинних носіїв;
· Канали передачі даних;
· Розкрадання ЕОМ або вбудованих накопичувачів.
Проблема перекриття цих каналів ускладнюється тим, що процедури захисту даних не повинні призводити до помітного зниження продуктивності обчислювальних систем. Це завдання може бути ефективно вирішена на основі технології глобального шифрування інформації, розглянутої в попередньому розділі.
Сучасна масова система захисту повинна бути ергономічною і володіти такими властивостями, придатними для широкого її застосування, як:
· Комплексність - можливість установки різноманітних режимів захищеної обробки даних з урахуванням специфічних вимог різних користувачів і передбачати широкий перелік можливих дій передбачуваного порушника;
· Сумісність - система повинна бути сумісною зі всіма програмами, написаними для даної операційної системи, і повинна забезпечувати захищений режим роботи комп'ютера в обчислювальній мережі;
· Переносимість - можливість установки системи на різні типи комп'ютерних систем, включаючи портативні;
· Зручність у роботі - система повинна бути проста в експлуатації і не повинна змінювати звичну технологію роботи користувачів;
· Робота в масштабі реального часу - процеси перетворення інформації, включаючи шифрування, повинні виконуватися з великою швидкістю;
· Високий рівень захисту інформації;
· Мінімальна вартість системи.
Висновок.
Слідом за масовим застосуванням сучасних інформаційних технологій криптографія вторгається в життя сучасної людини. На криптографічних методах засноване застосування електронних платежів, можливість передачі секретної інформації по відкритих мережах зв'язку, а також вирішення великого числа інших завдань захисту інформації в комп'ютерних системах та інформаційних мережах. Потреби практики призвели до необхідності масового застосування криптографічних методів, а отже до необхідності розширення відкритих досліджень та розробок у цій області. Володіння основами криптографії стає важливим для вчених і інженерів, що спеціалізуються в області розробки сучасних засобів захисту інформації, а також в областях експлуатації та проектування інформаційних та телекомунікаційних систем.
Однією з актуальних проблем сучасної прикладної криптографії є розробка швидкісних програмних шифрів блочного типу, а також швидкісних пристроїв шифрування.
В даний час запропоновано ряд способів шифрування, захищених патентами Російської Федерації і заснованих на ідеях використання:
· Гнучкого розкладу вибірки підключень;
· Генерування алгоритму шифрування по секретному ключу;
· Підстановок, що залежать від перетворюваних даних.
Література.
1. Острейковскій В.А. Інформатика: Учеб. посібник для студ. середовищ. проф. навч. закладів. - М.: Вищ. шк., 2001. - 319с.: Іл.
2. Економічна інформатика / під ред. П.В. Конюховского і Д.М. Колесова. - СПб.: Пітер, 2000. - 560с.: Іл.
3. Інформатика: Базовий курс / С.В. Симонович та ін - СПб.: Пітер, 2002. - 640с.: Іл.
4. Молдовян А.А., Молдовян Н.А., Рад Б.Я. Криптографія. - СПб.: Видавництво "Лань", 2001. - 224с., Іл. - (Підручники для вузів. Спеціальна література).
· Реакцію (в тому числі звукову) на порушення системи захисту контролю доступу до ресурсів мережі;
· Контроль мандатів доступу;
· Формальний контроль захищеності операційних систем (базової загальносистемного і мережевий);
· Контроль алгоритмів захисту;
· Перевірки та підтвердження правильності функціонування технічного та програмного забезпечення.
Для надійного захисту інформації та виявлення випадків неправомірних дій проводиться реєстрація роботи системи: створюються спеціальні щоденники і протоколи, в яких фіксуються всі дії, пов'язані із захистом інформації в системі. Фіксуються час надходження заявки, її тип, ім'я користувача і терміналу, з якого ініціалізується заявка. При відборі подій, що підлягають реєстрації, необхідно мати на увазі, що зі зростанням кількості реєстрованих подій не може перегляд щоденника і виявлення спроб подолання захисту. У цьому випадку можна застосовувати програмний аналіз і фіксувати сумнівні події. Використовуються також спеціальні програми для тестування системи захисту. Періодично або у випадково вибрані моменти часу вони перевіряють працездатність апаратних і програмних засобів захисту.
До окремої групи заходів щодо забезпечення збереження інформації та виявлення несанкціонованих запитів відносяться програми виявлення порушень в режимі реального часу. Програми даної групи формують спеціальний сигнал при реєстрації дій, які можуть призвести до неправомірних дій по відношенню до інформації, що захищається. Сигнал може містити інформацію про характер порушення, місці його виникнення та інші характеристики. Крім того, програми можуть заборонити доступ до інформації, що захищається або симулювати такий режим роботи (наприклад, моментальна завантаження пристроїв введення-виведення), який дозволить виявити порушника і затримати його відповідною службою.
Один з поширених способів захисту - явне вказівку секретності виведеної інформації. У системах, що підтримують кілька рівнів секретності, вивід на екран терміналу або друкувального пристрою будь-якої одиниці інформації (наприклад, файлу, запису і таблиці) супроводжується спеціальним грифом із зазначенням рівня секретності. Ця вимога реалізується з допомогою відповідних програмних засобів.
В окрему групу виділено засоби захисту від несанкціонованого використання програмного забезпечення. Вони набувають особливого значення внаслідок широкого розповсюдження ПК.
3. Механізми забезпечення безпеки.
3.1. Криптографія.
Для забезпечення секретності застосовується шифрування, або криптографія, що дозволяє трансформувати дані в зашифровану форму, з якої витягти вихідну інформацію можна тільки при наявності ключа.
Системам шифрування стільки ж років, скільки письмовою обміну інформацією.
"Криптографія" в перекладі з грецької мови означає "тайнопис", що цілком відображає її первісне призначення. Примітивні (з позицій сьогоднішнього дня) криптографічні методи відомі з найдавніших часів і дуже тривалий час вони розглядалися скоріше як деякий хитрування, ніж сувора наукова дисципліна. Класичною завданням криптографії є оборотне перетворення деякого зрозумілого вихідного тексту (відкритого тексту) в уявну випадкової послідовність деяких знаків, звану шифртекст або криптограми. При цьому шифр-пакет може містити як нові, так і наявні у відкритому повідомленні знаки. Кількість знаків у криптограмі і в початковому тексті в загальному випадку може відрізнятися. Неодмінною вимогою є те, що, використовуючи деякі логічні заміни символів в шифртекст, можна однозначно і в повному об'ємі відновити вихідний текст. Надійність збереження інформації в таємниці визначалося в далекі часи тим, що в секреті тримався сам метод перетворення.
Пройшли багато століть, протягом яких криптографія була предметом обраних - жерців, правителів, великих воєначальників і дипломатів. Незважаючи на малу поширеність використання криптографічних методів і способів подолання шифрів противника надавало істотну дію на результат важливих історичних подій. Відомий не один приклад того, як переоцінка використовуваних шифрів приводила до військових і дипломатичних поразок. Незважаючи на застосування криптографічних методів у важливих областях, епізодичне використання криптографії не могло навіть близько підвести її до тієї ролі та значенню, які вона має в сучасному суспільстві. Своїм перетворенням в наукову дисципліну криптографія зобов'язана потребам практики, породженим електронної інформаційної технологією.
Пробудження значного інтересу до криптографії і її розвиток почався з XIX століття, що пов'язано із зародженням електрозв'язку. У XX столітті секретні служби більшості розвинених країн стали належить до цієї дисципліни як до обов'язкового інструменту своєї діяльності.
В основі шифрування лежать два основних поняття: алгоритм і ключ. Алгоритм - це спосіб закодувати початковий текст, в результаті чого виходить зашифроване послання. Зашифроване послання може бути інтерпретовано тільки за допомогою ключа.
Очевидно, щоб зашифрувати послання, досить алгоритму.
Голландський криптограф Керкхофф (1835 - 1903) вперше сформулював правило: стійкість шифру, тобто криптосистеми - набору процедур, керованих деякої секретною інформацією невеликого обсягу, повинна бути забезпечена в тому випадку, коли криптоаналітик противника відомий весь механізм шифрування за винятком секретного ключа - інформації, що управляє процесом криптографічних перетворень. Мабуть, одним із завдань цієї вимоги було усвідомлення необхідності випробування розробляються кріптосхем в умовах більш жорстких порівняно з умовами, в яких міг би діяти потенційний порушник. Це правило стимулювало появу більш якісних шифрувальних алгоритмів. Можна сказати, що в ньому міститься перший елемент стандартизації в області криптографії, оскільки передбачається розробка відкритих способів перетворень. В даний час це правило інтерпретується більш широко: всі довготривалі елементи системи захисту повинні передбачатися відомими потенційному зловмиснику. У останню формулювання криптосистеми входять як окремий випадок систем захисту. У цьому формулюванні передбачається, що всі елементи систем захисту поділяються на дві категорії - довгострокові і легко змінювані. До довготривалим елементів відносяться ті елементи, які відносяться до розробки систем захисту і для зміни вимагають втручання фахівців або розробників. До легко змінюваним елементів відносяться елементи системи, які призначені для довільного модифікування або модифікування за наперед заданим правилом, виходячи з випадково вибраних початкових параметрів. До легко змінюваним елементів відносяться, наприклад, ключ, пароль, ідентифікація і т.п. Розглянуте правило відображає той факт, належний рівень секретності може бути забезпечений тільки по відношенню до легко змінюваним елементам.
Незважаючи на те, що відповідно до сучасних вимог до криптосистемам вони повинні витримувати криптоаналіз на основі відомого алгоритму, великого обсягу відомого відкритого тексту і відповідного йому шифртекста, шифри, використовувані спеціальними службами, зберігаються в секреті. Це обумовлено необхідністю мати додатковий запас міцності, оскільки в даний час створення криптосистем з доказовою стійкістю є предметом розвивається теорії і являє собою досить складну проблему. Щоб уникнути можливих слабкостей, алгоритм шифрування може бути побудований на основі добре вивчених і апробованих принципах і механізмах перетворення. Жоден серйозний сучасний користувач не буде покладатися тільки на надійність збереження в секреті свого алгоритму, оскільки вкрай складно гарантувати низьку ймовірність того, що інформація про алгоритм стане відомою зловмисникові.
Секретність інформації забезпечується введенням в алгоритми спеціальних ключів (кодів). Використання ключа для шифрування надає дві суттєві переваги. По-перше, можна використовувати один алгоритм з різними ключами для відправки послань різним адресатам. По-друге, якщо секретність ключа буде порушена, його можна легко замінити, не змінюючи при цьому алгоритм шифрування. Таким чином, безпека систем шифрування залежить від таємності використовуваного ключа, а не від секретності алгоритму шифрування. Багато алгоритми шифрування є загальнодоступними.
Кількість можливих ключів для даного алгоритму залежить від числа біт в ключі. Наприклад, 8-бітний ключ допускає 256 (2 8) комбінацій ключів. Чим більше можливих комбінацій ключів, тим важче підібрати ключ, тим надійніше зашифровано послання. Так, наприклад, якщо використовувати 128-бітний ключ, то необхідно буде перебрати 2 128 ключів, що в даний час не під силу навіть найпотужнішим комп'ютерам. Важливо відзначити, що зростаюча продуктивність техніки призводить до зменшення часу, потрібного для розтину ключів, і систем забезпечення безпеки доводиться використовувати все більш довгі ключі, що, у свою чергу, веде до збільшення витрат на шифрування.
Оскільки таке важливе місце в системах шифрування приділяється секретності ключа, то основною проблемою подібних систем є генерація і передача ключа. Існують дві основні схеми шифрування: симетричне шифрування (його також іноді називають традиційними або шифруванням з секретним ключем) і шифрування з відкритим ключем (іноді цей тип шифрування називають асиметричним).
При симетричному шифруванні відправник та одержувач володіють одним і тим же ключем (секретним), за допомогою якого вони можуть зашифровувати і розшифровувати данние.Прі симетричному шифруванні використовуються ключі невеликої довжини, тому можна швидко шифрувати великі об'єми даних. Симетричне шифрування використовується, наприклад, деякими банками в мережах банкоматів. Однак симетричне шифрування має деякі недоліки. По-перше, дуже складно знайти безпечний механізм, за допомогою якого відправник та одержувач зможуть таємно від інших вибрати ключ. Виникає проблема безпечного розповсюдження секретних ключів. По-друге, для кожного адресата необхідно зберігати окремий секретний ключ. По-третє, у схемі симетричного шифрування неможливо гарантувати особу відправника, оскільки два користувача володіють одним ключем.
У схемі шифрування з відкритим ключем для шифрування послання використовуються два різних ключа. За допомогою одного з них послання зашифровується, а за допомогою другого - розшифровується. Таким чином, необхідної безпеки можна добиватися, зробивши перший ключ загальнодоступним (відкритим), а другий ключ зберігати тільки в одержувача (закритий, особистий ключ). У такому випадку будь-який користувач може зашифрувати послання за допомогою відкритого ключа, але розшифрувати послання здатний тільки володар особистого ключа. При цьому немає необхідності піклуватися про безпеку передачі відкритого ключа, а для того щоб користувачі могли обмінюватися секретними повідомленнями, досить наявності у них відкритих ключів один одного.
Недоліком асиметричного шифрування є необхідність використання більш довгих, ніж при симетричному шифруванні, ключів для забезпечення еквівалентного рівня безпеки, що позначається на обчислювальних ресурсах, необхідних для організації процесу шифрування.
3.2. Електронний підпис.
Якщо послання, безпека якого ми хочемо забезпечити, належним чином зашифровано, все одно залишається можливість модифікації початкового повідомлення або підміни цього повідомлення іншим. Одним із шляхів вирішення цієї проблеми є передача користувачем одержувачу короткого представлення переданого повідомлення. Подібне короткий уявлення називають контрольною сумою, або дайджестом повідомлення.
Контрольні суми використовуються при створенні резюме фіксованої довжини для представлення довгих повідомлень. Алгоритми розрахунку контрольних сум розроблені так, щоб вони були по можливості унікальні для кожного повідомлення. Таким чином, усувається можливість підміни одного повідомлення іншим із збереженням того ж самого значення контрольної суми.
Однак при використанні контрольних сум виникає проблема передачі їх одержувачу. Одним з можливих шляхів її вирішення є включення контрольної суми в так звану електронний підпис.
За допомогою електронного підпису одержувач може переконатися в тому, що отримане ним повідомлення надіслано не стороннім особою, а мають певні права відправником. Електронні підписи створюються шифруванням контрольної суми та додаткової інформації за допомогою особистого ключа відправника. Таким чином, будь-хто може розшифрувати підпис, використовуючи відкритий ключ, але коректно створити підпис може тільки власник особистого ключа. Для захисту від перехоплення та повторного використання підпис містить у собі унікальне число - порядковий номер.
3.3. Аутентифікація.
Аутентифікація є одним з найважливіших компонентів організації захисту інформації в мережі. Перш ніж користувачеві буде надано право отримати той чи інший ресурс, необхідно переконатися, що він дійсно той, за кого себе видає.
При отриманні запиту на використання ресурсу від імені будь-якого користувача сервер, що надає даний ресурс, передає керування серверу аутентифікації. Після отримання позитивної відповіді сервера аутентифікації користувачеві надається запитуваний ресурс.
При аутентифікації використовується, як правило, принцип, що отримав назву "що він знає", - користувач знає деякий секретне слово, яке він посилає серверу аутентифікації у відповідь на його запит. Однією зі схем аутентифікації є використання стандартних паролів. Пароль - сукупність символів, відомих підключеного до мережі абоненту, - вводиться ним на початку сеансу взаємодії з мережею, а іноді і в кінці сеансу (в особливо відповідальних випадках пароль нормального виходу з мережі може відрізнятися від вхідного ). Ця схема є найбільш вразливою з точки зору безпеки - пароль може бути перехоплений і використаний іншою особою. Найчастіше використовуються схеми із застосуванням одноразових паролів. Навіть будучи перехопленим, цей пароль буде марний при наступній реєстрації, а отримати наступний пароль з попереднього є вкрай важким завданням. Для генерації одноразових паролів використовуються як програмні, так і апаратні генератори, що представляють собою пристрої, що вставляються в слот комп'ютера. Знання секретного слова необхідно користувачеві для приведення цього пристрою в дію.
Однією з найбільш простих систем, що не вимагають додаткових витрат на обладнання, але в той же час забезпечують гарний рівень захисту, є S / Key, на прикладі якої можна продемонструвати порядок подання одноразових паролів.
У процесі аутентифікації з використанням S / Key беруть участь дві сторони - клієнт і сервер. При реєстрації в системі, що використовує схему аутентифікації S / Key, сервер надсилає на клієнтську машину запрошення, що містить зерно, передане по мережі у відкритому вигляді, поточне значення лічильника ітерацій і запит на введення одноразового пароля, який повинен відповідати поточним значенням лічильника ітерації. Отримавши відповідь, сервер перевіряє його і передає керування серверу необхідного користувачеві сервісу.
3.4. Захист мереж.
Останнім часом корпоративні мережі все частіше включаються в Інтернет або навіть використовують його в якості своєї основи. Зважаючи на те, якої шкоди може принести незаконне вторгнення в корпоративну мережу, необхідно виробити методи захисту. Для захисту корпоративних інформаційних мереж використовуються брандмауери. Брандмауери - це система або комбінація систем, що дозволяють розділити мережу на дві або більше частин і реалізувати набір правил, що визначають умови проходження пакетів з однієї частини в іншу. Як правило, ця межа проводиться між локальною мережею підприємства і INTERNETOM, хоча її можна провести і всередині. Однак захищати окремі комп'ютери невигідно, тому зазвичай захищають всю мережу. Брандмауер пропускає через себе весь трафік і для кожного проходить пакету приймає рішення - пропускати його або відкинути. Для того щоб брандмауер міг приймати ці рішення, для нього визначається набір правил.
Брандмауер може бути реалізований як апаратними засобами (тобто як окрема фізична пристрій), так і у вигляді спеціальної програми, запущеної на комп'ютері.
Як правило, в операційну систему, під управлінням якої працює брандмауер, вносяться зміни, мета яких - підвищення захисту самого брандмауера. Ці зміни зачіпають як ядро ОС, так і відповідні файли конфігурації. На самому брандмауері не дозволяється мати розділів користувачів, а отже, і потенційних дірок - тільки розділ адміністратора. Деякі брандмауери працюють тільки в режимі одного, а багато хто має систему перевірки цілісності програмних кодів.
Брандмауер зазвичай складається з декількох різних компонентів, включаючи фільтри або екрани, які блокують передачу частини трафіку.
Всі брандмауери можна розділити на два типи:
· Пакетні фільтри, які здійснюють фільтрацію IP-пакетів засобами фільтруючих маршрутизаторів;
· Сервери прикладного рівня, які блокують доступ до певних сервісів в мережі.
Таким чином, брандмауер можна визначити як набір компонентів або систему, яка розташовується між двома мережами і володіє наступними властивостями:
· Весь трафік з внутрішньої мережі в зовнішню і з зовнішньої мережі у внутрішню повинен пройти через цю систему;
· Тільки трафік, певний локальної стратегією захисту, може пройти через цю систему;
· Система надійно захищена від проникнення.
4. Вимоги до сучасних засобів захисту інформації.
Згідно з вимогами Гостехкомиссии Росії засоби захисту інформації від несанкціонованого доступу (СЗІ НСД), що відповідають високому рівню захисту, повинні забезпечувати:
· Дискреційний і мандатний принцип контролю доступу;
· Очищення пам'яті;
· Ізоляцію модулів;
· Маркування документів;
· Захист введення і виведення на відчужується фізичний носій інформації;
· Зіставлення користувача з пристроєм;
· Ідентифікацію та аутентифікацію;
· Гарантії проектування;
· Реєстрацію;
· Взаємодія користувача з комплексом засобів захисту;
· Надійне відновлення;
· Цілісність комплексу засобів захисту;
· Контроль модифікації;
· Контроль дистрибуції;
· Гарантії архітектури;
Комплексні ЗЗІ НСД повинні супроводжуватися пакетом наступних документів:
· Посібник з ЗЗІ;
· Керівництво користувача;
· Тестова документація;
· Конструкторська (проектна) документація.
Таким чином, відповідно до вимог Гостехкомиссии Росії комплексні ЗЗІ НСД повинні включати базовий набір підсистем. Конкретні можливості цих підсистем щодо реалізації функцій захисту інформації визначають рівень захищеності засобів обчислювальної техніки. Реальна ефективність СЗІ НСД визначається функціональними можливостями не тільки базових, але й додаткових підсистем, а також якістю їх реалізації.
Комп'ютерні системи та мережі схильні широкому спектру потенційних загроз інформації, що обумовлює необхідність передбачити великий перелік функцій та підсистем захисту. Доцільно в першу чергу забезпечити захист найбільш інформативних каналів витоку інформації, якими є наступні:
· Можливість копіювання даних з машинних носіїв;
· Канали передачі даних;
· Розкрадання ЕОМ або вбудованих накопичувачів.
Проблема перекриття цих каналів ускладнюється тим, що процедури захисту даних не повинні призводити до помітного зниження продуктивності обчислювальних систем. Це завдання може бути ефективно вирішена на основі технології глобального шифрування інформації, розглянутої в попередньому розділі.
Сучасна масова система захисту повинна бути ергономічною і володіти такими властивостями, придатними для широкого її застосування, як:
· Комплексність - можливість установки різноманітних режимів захищеної обробки даних з урахуванням специфічних вимог різних користувачів і передбачати широкий перелік можливих дій передбачуваного порушника;
· Сумісність - система повинна бути сумісною зі всіма програмами, написаними для даної операційної системи, і повинна забезпечувати захищений режим роботи комп'ютера в обчислювальній мережі;
· Переносимість - можливість установки системи на різні типи комп'ютерних систем, включаючи портативні;
· Зручність у роботі - система повинна бути проста в експлуатації і не повинна змінювати звичну технологію роботи користувачів;
· Робота в масштабі реального часу - процеси перетворення інформації, включаючи шифрування, повинні виконуватися з великою швидкістю;
· Високий рівень захисту інформації;
· Мінімальна вартість системи.
Висновок.
Слідом за масовим застосуванням сучасних інформаційних технологій криптографія вторгається в життя сучасної людини. На криптографічних методах засноване застосування електронних платежів, можливість передачі секретної інформації по відкритих мережах зв'язку, а також вирішення великого числа інших завдань захисту інформації в комп'ютерних системах та інформаційних мережах. Потреби практики призвели до необхідності масового застосування криптографічних методів, а отже до необхідності розширення відкритих досліджень та розробок у цій області. Володіння основами криптографії стає важливим для вчених і інженерів, що спеціалізуються в області розробки сучасних засобів захисту інформації, а також в областях експлуатації та проектування інформаційних та телекомунікаційних систем.
Однією з актуальних проблем сучасної прикладної криптографії є розробка швидкісних програмних шифрів блочного типу, а також швидкісних пристроїв шифрування.
В даний час запропоновано ряд способів шифрування, захищених патентами Російської Федерації і заснованих на ідеях використання:
· Гнучкого розкладу вибірки підключень;
· Генерування алгоритму шифрування по секретному ключу;
· Підстановок, що залежать від перетворюваних даних.
Література.
1. Острейковскій В.А. Інформатика: Учеб. посібник для студ. середовищ. проф. навч. закладів. - М.: Вищ. шк., 2001. - 319с.: Іл.
2. Економічна інформатика / під ред. П.В. Конюховского і Д.М. Колесова. - СПб.: Пітер, 2000. - 560с.: Іл.
3. Інформатика: Базовий курс / С.В. Симонович та ін - СПб.: Пітер, 2002. - 640с.: Іл.
4. Молдовян А.А., Молдовян Н.А., Рад Б.Я. Криптографія. - СПб.: Видавництво "Лань", 2001. - 224с., Іл. - (Підручники для вузів. Спеціальна література).