ВСЕРОСІЙСЬКИЙ ЗАОЧНИЙ ФІНАНСОВО-ЕКОНОМІЧНИЙ ІНСТИТУТ
Кафедра: "Фінанси та Кредит"
До у р з про в а я р о б о т а
На тему: "Проблеми збереження інформації в процесі підприємницької діяльності"
Виконав а:
Перевірив:
ВСТУП 2
1. Класифікація умисних загроз безпеки інформації 3
2. Методи і засоби захисту інформації 9
3. Криптографічні методи захисту інформації 14
ВИСНОВОК 18
Список використаної літератури 19
ВСТУП
Розвиток нових інформаційних технологій і загальна комп'ютеризація призвели до того, що інформаційна безпека не тільки стає обов'язковою, вона ще й одна з характеристик ІС. Існує досить великий клас систем обробки інформації, при розробці яких фактор безпеки відіграє першорядну роль (наприклад, банківські інформаційні системи).
Під безпекою ІС розуміється захищеність системи від випадкового або навмисного втручання в нормальний процес її функціонування, від спроб розкрадання (несанкціонованого отримання) інформації, модифікації або фізичного руйнування її компонентів. Інакше кажучи, це здатність протидіяти різним збурювальних дій на ІВ.
Під загрозою безпеки інформації розуміються події або дії, які можуть призвести до спотворення, несанкціонованого використання або навіть до руйнування інформаційних ресурсів керованої системи, а також програмних і апаратних засобів.
Якщо виходити з класичного розгляду кібернетичної моделі будь-керованої системи, впливи на неї можуть носити випадковий характер. Тому серед загроз безпеки інформації слід виділяти як один з видів загрози випадкові, чи ненавмисні. Їх джерелом можуть бути вихід з ладу апаратних засобів, неправильні дії працівників ІВ або її користувачів, ненавмисні помилки в програмному забезпеченні і т.д. Такі загрози теж слід тримати в увазі, так як збиток від них може бути значним. Однак у цьому розділі найбільша увага приділяється загрозам умисним, які на відміну від випадкових переслідують мету нанесення шкоди керованій системі або користувачам. Це робиться нерідко заради отримання особистої вигоди.
Людини, що намагається порушити роботу інформаційної системи або дістати несанкціонований доступ до інформації, зазвичай називають зломщиком, а іноді «комп'ютерним піратом» (хакером).
У своїх протиправних діях, спрямованих на оволодіння чужими секретами, зломщики прагнуть знайти такі джерела конфіденційної інформації, які б давали їм найбільш достовірну інформацію в максимальних обсягах з мінімальними витратами на її отримання. За допомогою різного роду вивертів і безлічі прийомів і засобів підбираються шляхи й підходи до таких джерел. У даному випадку під джерелом інформації мається на увазі матеріальний об'єкт, що володіє певними відомостями, що представляють конкретний інтерес для зловмисників або конкурентів.
Захист від навмисних загроз - це свого роду змагання оборони і нападу: хто більше знає, передбачає дієві заходи, той і виграє.
Численні публікації останніх років показують, що зловживання інформацією, що циркулює в ІС або передається по каналах зв'язку, удосконалювалися не менш інтенсивно, ніж заходи захисту від них. В даний час для забезпечення захисту інформації потрібно не просто розробка приватних механізмів захисту, а реалізація системного підходу, що включає комплекс взаємопов'язаних заходів (використання спеціальних технічних і програмних засобів, організаційних заходів, нормативно-правових актів, морально-етичних заходів протидії і т.д. ). Комплексний характер захисту виникає з комплексних дій зловмисників, які прагнуть будь-якими засобами здобути важливу для них інформацію ..
Сьогодні можна стверджувати, що народжується нова сучасна технологія - технологія захисту інформації в комп'ютерних інформаційних системах і в мережах передачі даних. Реалізація цієї технології вимагає збільшуються витрати та незручності. Однак все це дозволяє уникнути значно переважаючих втрат і збитків, які можуть виникнути при реальному здійсненні погроз ІС та ІТ.
1. Види умисних загроз безпеки інформації
Пасивні загрози спрямовані в основному на несанкціоноване використання інформаційних ресурсів ІС, не надаючи при цьому впливу на її функціонування. Наприклад, несанкціонований доступ до баз даних, прослуховування каналів зв'язку і т.д.
Активні загрози мають на меті порушення нормального функціонування ІС шляхом цілеспрямованого впливу на її компоненти. До активних загроз відносяться, наприклад, виведення з ладу комп'ютера чи його операційної системи, спотворення відомостей в БнД, руйнування ПО комп'ютерів, порушення роботи ліній зв'язку і т.д. Джерелом активних загроз можуть бути дії зломщиків, шкідливі програми і т.п.
Умисні загрози поділяються також на внутрішні (що виникають всередині керованої організації) і зовнішні.
Внутрішні загрози найчастіше визначаються соціальною напруженістю і важким моральним кліматом.
Зовнішні загрози можуть визначатися зловмисними діями конкурентів, економічними умовами та іншими причинами (наприклад, стихійними лихами). За даними зарубіжних джерел, отримав широке поширення промислове шпигунство - це завдають шкоди власнику комерційної таємниці незаконні збір, привласнення і передача відомостей, що становлять комерційну таємницю, особою, не уповноваженою на це її власником.
До основних загроз безпеки інформації і нормального функціонування ІС відносяться:
• витік конфіденційної інформації;
• компрометація інформації;
• несанкціоноване використання інформаційних ресурсів;
• помилкове використання інформаційних ресурсів;
• несанкціонований обмін інформацією між абонентами;
• відмова від інформації;
• порушення інформаційного обслуговування;
• незаконне використання привілеїв.
Витік конфіденційної інформації - це безконтрольний вихід конфіденційної інформації за межі ІВ або кола осіб, яким вона була довірена по службі або стала відома в процесі роботи. Ця витік може бути наслідком:
• розголошення конфіденційної інформації;
• догляду інформації з різних, головним чином технічним, каналах;
• несанкціонованого доступу до конфіденційної інформації різними способами.
Розголошення інформації її власником або власником є умисні або необережні дії посадових осіб і користувачів, яким відповідні відомості у встановленому порядку були довірені по службі чи по роботі, призвели до ознайомлення з ним осіб, не допущених до цих відомостей.
Можливий безконтрольний догляд конфіденційної інформації по візуально-оптичним, акустичним, електромагнітним й іншим каналам.
Несанкціонований доступ - це протиправне навмисне оволодіння конфіденційною інформацією особою, що не мають права доступу до охоронюваним відомостями.
Найбільш поширеними шляхами несанкціонованого доступу до інформації є:
• перехоплення електронних випромінювань;
• примусове електромагнітне опромінення (підсвічування) ліній зв'язку з метою отримання паразитної модуляції несучої;
• застосування підслуховуючих пристроїв (закладок);
• дистанційне фотографування;
• перехоплення акустичних випромінювань і відновлення тексту принтера;
• читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів;
• копіювання носіїв інформації з подоланням заходів захисту
• маскування під зареєстрованого користувача;
• маскування під запити системи;
• використання програмних пасток;
• використання недоліків мов програмування і операційних систем;
• незаконне підключення до апаратури та ліній зв'язку спеціально розроблених апаратних засобів, що забезпечують доступ інформації;
• зловмисний виведення з ладу механізмів захисту;
• розшифровка спеціальними програмами зашифрованою: інформації;
• інформаційні інфекції.
Перераховані шляху несанкціонованого доступу вимагають досить великих технічних знань і відповідних апаратних або програмних розробок з боку зломщика. Наприклад, використовуються технічні канали витоку - це фізичні шляху від джерела конфіденційної інформації до зловмисника, за допомогою яких можливе отримання охоронюваних відомостей. Причиною виникнення каналів витоку є конструктивні і технологічні недосконалості схемних рішень або експлуатаційний знос елементів. Все це дозволяє зломщикам створювати діють на певних фізичних принципах перетворювачі, що утворюють притаманний цим принципам канал передачі інформації-канал витоку.
Однак є і досить примітивні шляху несанкціонованого доступу:
• розкрадання носіїв інформації та документальних відходів; • ініціативне співробітництво;
• схиляння до співпраці з боку зломщика; • випитиваніе;
• підслуховування;
• спостереження й інші шляхи.
Будь-які способи витоку конфіденційної інформації можуть призвести до значного матеріального і морального збитку як для організації, де функціонує ІС, так і для її користувачів.
Менеджерам слід пам'ятати, що досить велика частина причин і умов, що створюють передумови і можливість неправомірного оволодіння конфіденційною інформацією, виникає з-за елементарних недоробок керівників організацій та їх співробітників. Наприклад, до причин та умов, що створює передумови для витоку комерційних секретів, можуть належати:
• недостатнє знання працівниками організації правил захисту конфіденційної інформації і нерозуміння необхідності їх ретельного дотримання;
• використання неатестованих технічних засобів обробки конфіденційної інформації;
• слабкий контроль за дотриманням правил захисту інформації правовими, організаційними та інженерно-технічними заходами;
• плинність кадрів, в тому числі володіють відомостями, що становлять комерційну таємницю;
• організаційні недоробки, в результаті яких винуватця-ми витоку інформації є люди - співробітники ІС та ІТ.
Більшість з перерахованих технічних шляхів несанкціонованого доступу піддаються надійної блокування при правильно розробленої і реалізованої на практиці системі забезпечення безпеки. Але боротьба з інформаційними інфекціями представляє значні труднощі, тому що існує й постійно розробляється величезна безліч шкідливих програм, мета яких - псування інформації в БД і ПО комп'ютерів. Велика кількість різновидів цих програм не дозволяє розробити постійних і надійних засобів захисту проти них.
Шкідливі програми класифікуються наступним чином: Логіка бомби, як випливає з назви, використовуються для спотворення або знищення інформації, рідше з їх допомогою відбуваються крадіжка чи шахрайство. Маніпуляціями з логічними бомбами зазвичай займаються чимось незадоволені службовці, які збираються покинути цю організацію, але це можуть бути і консультанти, службовці з певними політичними переконаннями і т.п.
Реальний приклад логічної бомби: програміст, передбачаючи своє звільнення, вносить до програми розрахунку заробітної плати певні зміни, які починають діяти, коли його прізвище зникне з набору даних про персонал фірми.
Троянський кінь - програма, що виконує на додаток до основних, тобто запроектованим і документованим діям, дії додаткові, не описані в документації. Аналогія з давньогрецьким троянським конем виправдана - і в тому і в іншому випадку в не викликає підозри оболонці таїться загроза. Троянський кінь являє собою додатковий блок команд, тим чи іншим чином вставлений у вихідну нешкідливу програму, яка потім передається (дарується, продається, підміняється) користувачам ІС. Цей блок команд може спрацьовувати при настанні деякої умови (дати, часу, по команді ззовні і т . д.). Запустив таку програму наражає на небезпеку як свої файли, так і всю ІС в цілому. Троянський кінь діє здебільшого в межах повноважень одного користувача, але в інтересах іншого користувача або взагалі сторонньої людини, особу якого встановити часом неможливо.
Найбільш небезпечні дії троянський кінь може виконувати, якщо запустив його користувач володіє розширеним набором привілеїв. У такому випадку зловмисник, що склав і впровадив троянського коня, і сам цими привілеями не володіє, може виконувати несанкціоновані привілейовані функції чужими руками.
Вірус - програма, яка може заражати інші програми шляхом включення в них модифікованої копії, що володіє здатністю до подальшого розмноження.
Вважається, що вірус характеризується двома основними особливостями:
1) здатністю до саморозмноження;
2) здатністю до втручання в обчислювальний процес (тобто до отримання можливості управління).
Наявність цих властивостей, як бачимо, є аналогом паразитування в живій природі, яке властиво біологічним вірусам. В останні роки проблема боротьби з вірусами стала досить актуальною, тому дуже багато хто займається нею. Використовуються різні організаційні заходи, нові антивірусні програми, ведеться пропаганда всіх цих заходів. Останнім часом вдавалося більш-менш обмежити масштаби заражень і руйнувань. Однак, як і в живій природі, повний успіх у цій боротьбі не досягнутий.
Хробак - програма, що поширюється через мережу і не залишає своєї копії на магнітному носії. Черв'як використовує механізми підтримки мережі для визначення вузла, який може бути заражений. За-то з допомогою тих же механізмів передає своє тіло або його частину на цей вузол і або активізується, або чекає для цього відповідних умов. Найбільш відомий представник цього класу - вірус Морріса (хробак Морріса), що вразив мережу Internet в 1988 р. В якості середовища поширення хробака є мережа, всі користувачі якої вважаються дружніми і довіряють один одному, а захисні механізми відсутні. Найкращий спосіб захисту від хробака - прийняття запобіжних заходів проти несанкціонованого доступу до мережі.
Загарбник паролів - це програми, спеціально призначені для крадіжки паролів. При спробі звернення користувача до терміналу системи на екран виводиться інформація, необхідна для закінчення сеансу роботи. Намагаючись організувати вхід, користувач вводить ім'я і пароль, які пересилаються власнику програми-загарбника, після чого виводиться повідомлення про помилку, а введення і керування повертаються до операційної системи. Користувач, який думає, що допустив помилку при наборі пароля, повторює вхід і отримує доступ до системи. Однак його ім'я і пароль вже відомі власнику програми-загарбника. Перехоплення пароля можливий і іншими способами. Для запобігання цієї загрози перед входом в систему необхідно переконатися, що ви вводите ім'я та пароль саме системної програмі введення, а не який-небудь інший. Крім того, необхідно неухильно дотримуватися правил використання паролів і роботи з системою. Більшість порушень відбувається не через хитромудрих атак, а через елементарну недбалість. Дотримання спеціально розроблених правил використання паролів - необхідна умова надійного захисту.
Компрометація інформації (один з видів інформаційних інфекцій). Реалізується, як правило, за допомогою несанкціонованих змін в базі даних в результаті чого її споживач вимушений або відмовитися від неї, або вживати додаткові зусилля для виявлення змін і відновлення істинних відомостей. При використанні скомпрометованої інформації споживач наражається на небезпеку прийняття неправильних рішень.
Кафедра: "Фінанси та Кредит"
До у р з про в а я р о б о т а
На тему: "Проблеми збереження інформації в процесі підприємницької діяльності"
Виконав а:
Перевірив:
Ярославль
2004
П Л А НВСТУП 2
1. Класифікація умисних загроз безпеки інформації 3
2. Методи і засоби захисту інформації 9
3. Криптографічні методи захисту інформації 14
ВИСНОВОК 18
Список використаної літератури 19
ВСТУП
Розвиток нових інформаційних технологій і загальна комп'ютеризація призвели до того, що інформаційна безпека не тільки стає обов'язковою, вона ще й одна з характеристик ІС. Існує досить великий клас систем обробки інформації, при розробці яких фактор безпеки відіграє першорядну роль (наприклад, банківські інформаційні системи).
Під безпекою ІС розуміється захищеність системи від випадкового або навмисного втручання в нормальний процес її функціонування, від спроб розкрадання (несанкціонованого отримання) інформації, модифікації або фізичного руйнування її компонентів. Інакше кажучи, це здатність протидіяти різним збурювальних дій на ІВ.
Під загрозою безпеки інформації розуміються події або дії, які можуть призвести до спотворення, несанкціонованого використання або навіть до руйнування інформаційних ресурсів керованої системи, а також програмних і апаратних засобів.
Якщо виходити з класичного розгляду кібернетичної моделі будь-керованої системи, впливи на неї можуть носити випадковий характер. Тому серед загроз безпеки інформації слід виділяти як один з видів загрози випадкові, чи ненавмисні. Їх джерелом можуть бути вихід з ладу апаратних засобів, неправильні дії працівників ІВ або її користувачів, ненавмисні помилки в програмному забезпеченні і т.д. Такі загрози теж слід тримати в увазі, так як збиток від них може бути значним. Однак у цьому розділі найбільша увага приділяється загрозам умисним, які на відміну від випадкових переслідують мету нанесення шкоди керованій системі або користувачам. Це робиться нерідко заради отримання особистої вигоди.
Людини, що намагається порушити роботу інформаційної системи або дістати несанкціонований доступ до інформації, зазвичай називають зломщиком, а іноді «комп'ютерним піратом» (хакером).
У своїх протиправних діях, спрямованих на оволодіння чужими секретами, зломщики прагнуть знайти такі джерела конфіденційної інформації, які б давали їм найбільш достовірну інформацію в максимальних обсягах з мінімальними витратами на її отримання. За допомогою різного роду вивертів і безлічі прийомів і засобів підбираються шляхи й підходи до таких джерел. У даному випадку під джерелом інформації мається на увазі матеріальний об'єкт, що володіє певними відомостями, що представляють конкретний інтерес для зловмисників або конкурентів.
Захист від навмисних загроз - це свого роду змагання оборони і нападу: хто більше знає, передбачає дієві заходи, той і виграє.
Численні публікації останніх років показують, що зловживання інформацією, що циркулює в ІС або передається по каналах зв'язку, удосконалювалися не менш інтенсивно, ніж заходи захисту від них. В даний час для забезпечення захисту інформації потрібно не просто розробка приватних механізмів захисту, а реалізація системного підходу, що включає комплекс взаємопов'язаних заходів (використання спеціальних технічних і програмних засобів, організаційних заходів, нормативно-правових актів, морально-етичних заходів протидії і т.д. ). Комплексний характер захисту виникає з комплексних дій зловмисників, які прагнуть будь-якими засобами здобути важливу для них інформацію ..
Сьогодні можна стверджувати, що народжується нова сучасна технологія - технологія захисту інформації в комп'ютерних інформаційних системах і в мережах передачі даних. Реалізація цієї технології вимагає збільшуються витрати та незручності. Однак все це дозволяє уникнути значно переважаючих втрат і збитків, які можуть виникнути при реальному здійсненні погроз ІС та ІТ.
1. Види умисних загроз безпеки інформації
Пасивні загрози спрямовані в основному на несанкціоноване використання інформаційних ресурсів ІС, не надаючи при цьому впливу на її функціонування. Наприклад, несанкціонований доступ до баз даних, прослуховування каналів зв'язку і т.д.
Активні загрози мають на меті порушення нормального функціонування ІС шляхом цілеспрямованого впливу на її компоненти. До активних загроз відносяться, наприклад, виведення з ладу комп'ютера чи його операційної системи, спотворення відомостей в БнД, руйнування ПО комп'ютерів, порушення роботи ліній зв'язку і т.д. Джерелом активних загроз можуть бути дії зломщиків, шкідливі програми і т.п.
Умисні загрози поділяються також на внутрішні (що виникають всередині керованої організації) і зовнішні.
Внутрішні загрози найчастіше визначаються соціальною напруженістю і важким моральним кліматом.
Зовнішні загрози можуть визначатися зловмисними діями конкурентів, економічними умовами та іншими причинами (наприклад, стихійними лихами). За даними зарубіжних джерел, отримав широке поширення промислове шпигунство - це завдають шкоди власнику комерційної таємниці незаконні збір, привласнення і передача відомостей, що становлять комерційну таємницю, особою, не уповноваженою на це її власником.
До основних загроз безпеки інформації і нормального функціонування ІС відносяться:
• витік конфіденційної інформації;
• компрометація інформації;
• несанкціоноване використання інформаційних ресурсів;
• помилкове використання інформаційних ресурсів;
• несанкціонований обмін інформацією між абонентами;
• відмова від інформації;
• порушення інформаційного обслуговування;
• незаконне використання привілеїв.
Витік конфіденційної інформації - це безконтрольний вихід конфіденційної інформації за межі ІВ або кола осіб, яким вона була довірена по службі або стала відома в процесі роботи. Ця витік може бути наслідком:
• розголошення конфіденційної інформації;
• догляду інформації з різних, головним чином технічним, каналах;
• несанкціонованого доступу до конфіденційної інформації різними способами.
Розголошення інформації її власником або власником є умисні або необережні дії посадових осіб і користувачів, яким відповідні відомості у встановленому порядку були довірені по службі чи по роботі, призвели до ознайомлення з ним осіб, не допущених до цих відомостей.
Можливий безконтрольний догляд конфіденційної інформації по візуально-оптичним, акустичним, електромагнітним й іншим каналам.
Несанкціонований доступ - це протиправне навмисне оволодіння конфіденційною інформацією особою, що не мають права доступу до охоронюваним відомостями.
Найбільш поширеними шляхами несанкціонованого доступу до інформації є:
• перехоплення електронних випромінювань;
• примусове електромагнітне опромінення (підсвічування) ліній зв'язку з метою отримання паразитної модуляції несучої;
• застосування підслуховуючих пристроїв (закладок);
• дистанційне фотографування;
• перехоплення акустичних випромінювань і відновлення тексту принтера;
• читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів;
• копіювання носіїв інформації з подоланням заходів захисту
• маскування під зареєстрованого користувача;
• маскування під запити системи;
• використання програмних пасток;
• використання недоліків мов програмування і операційних систем;
• незаконне підключення до апаратури та ліній зв'язку спеціально розроблених апаратних засобів, що забезпечують доступ інформації;
• зловмисний виведення з ладу механізмів захисту;
• розшифровка спеціальними програмами зашифрованою: інформації;
• інформаційні інфекції.
Перераховані шляху несанкціонованого доступу вимагають досить великих технічних знань і відповідних апаратних або програмних розробок з боку зломщика. Наприклад, використовуються технічні канали витоку - це фізичні шляху від джерела конфіденційної інформації до зловмисника, за допомогою яких можливе отримання охоронюваних відомостей. Причиною виникнення каналів витоку є конструктивні і технологічні недосконалості схемних рішень або експлуатаційний знос елементів. Все це дозволяє зломщикам створювати діють на певних фізичних принципах перетворювачі, що утворюють притаманний цим принципам канал передачі інформації-канал витоку.
Однак є і досить примітивні шляху несанкціонованого доступу:
• розкрадання носіїв інформації та документальних відходів; • ініціативне співробітництво;
• схиляння до співпраці з боку зломщика; • випитиваніе;
• підслуховування;
• спостереження й інші шляхи.
Будь-які способи витоку конфіденційної інформації можуть призвести до значного матеріального і морального збитку як для організації, де функціонує ІС, так і для її користувачів.
Менеджерам слід пам'ятати, що досить велика частина причин і умов, що створюють передумови і можливість неправомірного оволодіння конфіденційною інформацією, виникає з-за елементарних недоробок керівників організацій та їх співробітників. Наприклад, до причин та умов, що створює передумови для витоку комерційних секретів, можуть належати:
• недостатнє знання працівниками організації правил захисту конфіденційної інформації і нерозуміння необхідності їх ретельного дотримання;
• використання неатестованих технічних засобів обробки конфіденційної інформації;
• слабкий контроль за дотриманням правил захисту інформації правовими, організаційними та інженерно-технічними заходами;
• плинність кадрів, в тому числі володіють відомостями, що становлять комерційну таємницю;
• організаційні недоробки, в результаті яких винуватця-ми витоку інформації є люди - співробітники ІС та ІТ.
Більшість з перерахованих технічних шляхів несанкціонованого доступу піддаються надійної блокування при правильно розробленої і реалізованої на практиці системі забезпечення безпеки. Але боротьба з інформаційними інфекціями представляє значні труднощі, тому що існує й постійно розробляється величезна безліч шкідливих програм, мета яких - псування інформації в БД і ПО комп'ютерів. Велика кількість різновидів цих програм не дозволяє розробити постійних і надійних засобів захисту проти них.
Шкідливі програми класифікуються наступним чином: Логіка бомби, як випливає з назви, використовуються для спотворення або знищення інформації, рідше з їх допомогою відбуваються крадіжка чи шахрайство. Маніпуляціями з логічними бомбами зазвичай займаються чимось незадоволені службовці, які збираються покинути цю організацію, але це можуть бути і консультанти, службовці з певними політичними переконаннями і т.п.
Реальний приклад логічної бомби: програміст, передбачаючи своє звільнення, вносить до програми розрахунку заробітної плати певні зміни, які починають діяти, коли його прізвище зникне з набору даних про персонал фірми.
Троянський кінь - програма, що виконує на додаток до основних, тобто запроектованим і документованим діям, дії додаткові, не описані в документації. Аналогія з давньогрецьким троянським конем виправдана - і в тому і в іншому випадку в не викликає підозри оболонці таїться загроза. Троянський кінь являє собою додатковий блок команд, тим чи іншим чином вставлений у вихідну нешкідливу програму, яка потім передається (дарується, продається, підміняється) користувачам ІС. Цей блок команд може спрацьовувати при настанні деякої умови (дати, часу, по команді ззовні і т . д.). Запустив таку програму наражає на небезпеку як свої файли, так і всю ІС в цілому. Троянський кінь діє здебільшого в межах повноважень одного користувача, але в інтересах іншого користувача або взагалі сторонньої людини, особу якого встановити часом неможливо.
Найбільш небезпечні дії троянський кінь може виконувати, якщо запустив його користувач володіє розширеним набором привілеїв. У такому випадку зловмисник, що склав і впровадив троянського коня, і сам цими привілеями не володіє, може виконувати несанкціоновані привілейовані функції чужими руками.
Вірус - програма, яка може заражати інші програми шляхом включення в них модифікованої копії, що володіє здатністю до подальшого розмноження.
Вважається, що вірус характеризується двома основними особливостями:
1) здатністю до саморозмноження;
2) здатністю до втручання в обчислювальний процес (тобто до отримання можливості управління).
Наявність цих властивостей, як бачимо, є аналогом паразитування в живій природі, яке властиво біологічним вірусам. В останні роки проблема боротьби з вірусами стала досить актуальною, тому дуже багато хто займається нею. Використовуються різні організаційні заходи, нові антивірусні програми, ведеться пропаганда всіх цих заходів. Останнім часом вдавалося більш-менш обмежити масштаби заражень і руйнувань. Однак, як і в живій природі, повний успіх у цій боротьбі не досягнутий.
Хробак - програма, що поширюється через мережу і не залишає своєї копії на магнітному носії. Черв'як використовує механізми підтримки мережі для визначення вузла, який може бути заражений. За-то з допомогою тих же механізмів передає своє тіло або його частину на цей вузол і або активізується, або чекає для цього відповідних умов. Найбільш відомий представник цього класу - вірус Морріса (хробак Морріса), що вразив мережу Internet в 1988 р. В якості середовища поширення хробака є мережа, всі користувачі якої вважаються дружніми і довіряють один одному, а захисні механізми відсутні. Найкращий спосіб захисту від хробака - прийняття запобіжних заходів проти несанкціонованого доступу до мережі.
Загарбник паролів - це програми, спеціально призначені для крадіжки паролів. При спробі звернення користувача до терміналу системи на екран виводиться інформація, необхідна для закінчення сеансу роботи. Намагаючись організувати вхід, користувач вводить ім'я і пароль, які пересилаються власнику програми-загарбника, після чого виводиться повідомлення про помилку, а введення і керування повертаються до операційної системи. Користувач, який думає, що допустив помилку при наборі пароля, повторює вхід і отримує доступ до системи. Однак його ім'я і пароль вже відомі власнику програми-загарбника. Перехоплення пароля можливий і іншими способами. Для запобігання цієї загрози перед входом в систему необхідно переконатися, що ви вводите ім'я та пароль саме системної програмі введення, а не який-небудь інший. Крім того, необхідно неухильно дотримуватися правил використання паролів і роботи з системою. Більшість порушень відбувається не через хитромудрих атак, а через елементарну недбалість. Дотримання спеціально розроблених правил використання паролів - необхідна умова надійного захисту.
Компрометація інформації (один з видів інформаційних інфекцій). Реалізується, як правило, за допомогою несанкціонованих змін в базі даних в результаті чого її споживач вимушений або відмовитися від неї, або вживати додаткові зусилля для виявлення змін і відновлення істинних відомостей. При використанні скомпрометованої інформації споживач наражається на небезпеку прийняття неправильних рішень.
Несанкціоноване використання інформаційних ресурсів, з одного боку, є наслідками її витоку і засобом її компрометації. З іншого боку, воно має самостійне значення, так як може завдати великої шкоди керованій системі (аж до повного виходу ІТ з ладу) або її абонентам.
Помилкове використання інформаційних ресурсів будучи санкціонованим тим не менш може призвести до руйнування, витоку або компрометації вказаних ресурсів. Дана загроза частіше за все є наслідком помилок, наявних в ПЗ ІТ.
Несанкціонований обмін інформацією між абонентами може призвести до отриманню одним з них відомостей, доступ до яким йому заборонено. Наслідки - ті ж, що і при несанкціонованому доступі.
Відмова від інформації полягає в невизнанні одержувачем або відправником цієї інформації фактів її отримання або від-правки. Це дозволяє одній зі сторін розривати укладені фінансові угоди технічним шляхом, формально не відмовляючись від них, завдаючи тим самим другій стороні значної шкоди.
Порушення інформаційного обслуговування - загроза, джерелом якої є сама ІТ. Затримка з наданням інформаційних ресурсів абоненту може привести до тяжких для нього наслідків. Відсутність у користувача своєчасних даних, необхідних для прийняття рішення, може викликати його нераціональні дії.
Незаконне використання привілеїв. Будь-яка захищена система містить засоби, що використовуються в надзвичайних ситуаціях, або кошти які здатні функціонувати з порушенням існуючої політики безпеки. Наприклад, на випадок раптової перевірки користувач повинен мати можливість доступу до всіх наборів системи. Зазвичай ці кошти використовуються адміністраторами, операторами, системними програмістами та іншими користувачами, які виконують спеціальні функції.
Більшість систем захисту в таких випадках використовують набори привілеїв, тобто для виконання певної функції потрібна певна привілей. Зазвичай користувачі мають мінімальний набір привілеїв, адміністратори - максимальний.
Набори привілеїв охороняються системою захисту. Несанкціонований (незаконний) захоплення привілеїв можливий при наявності помилок у системі захисту, але найчастіше відбувається в процесі керування системою захисту, зокрема при недбалому користуванні привілеями.
Суворе дотримання правил управління системою захисту, дотримання принципу мінімуму привілеїв дозволяє уникнути таких порушень.
2. Методи і засоби захисту інформації
Створення систем інформаційної безпеки (СІБ) в ІС та ІТ грунтується на наступних принципах:
Системний підхід до побудови системи захисту, що означає оптимальне поєднання взаємопов'язаних організаційних
програмних,. апаратних, фізичних та інших властивостей, підтверджених практикою створення вітчизняних і зарубіжних систем захисту і застосовуються на всіх етапах технологічного циклу обробки інформації.
Принцип безперервного розвитку системи. Цей принцип, який є одним із основоположних для комп'ютерних інформаційних систем, ще більш актуальним для СІБ. Способи реалізації загроз інформації в ІТ безперервно вдосконалюються, а тому забезпечення безпеки ІС не може бути одноразовим актом. Це безперервний процес, що полягає в обгрунтуванні і реалізації найбільш раціональних методів, способів та шляхів вдосконалення СІБ, безперервному контролі, виявленні її вузьких і слабких місць, потенційних каналів витоку інформації і нових способів несанкціонованого доступу,.
Поділ і мінімізація повноважень з доступу до оброблюваної інформації і процедурам обробки, тобто надання як користувачам, так і самим працівникам ІС, мінімуму суворо визначених повноважень, достатніх для виконання ними своїх службових обов'язків.
Повнота контролю та реєстрації спроб несанкціонованого доступу, тобто необхідність точного встановлення ідентичності кожного користувача і протоколювання його дій для проведення можливого розслідування, а також неможливість здійснення будь-якої операції обробки інформації в ІТ без її попередньої реєстрації.
Забезпечення надійності системи захисту, т. е. неможливість зниження рівня надійності при виникненні в системі збоїв, відмов, навмисних дій зломщика або ненавмисних помилок користувачів і обслуговуючого персоналу.
Забезпечення контролю за функціонуванням системи захисту, тобто створення засобів і методів контролю працездатності механізмів захисту.
Забезпечення всіляких засобів боротьби з шкідливими програмами.
Забезпечення економічної доцільності використання системи. захисту, що виражається в перевищенні можливого збитку ІС та ІТ від реалізації загроз над вартістю розробки та експлуатації СІБ.
У результаті вирішення проблем безпеки інформації сучасні ІС та ІТ повинні володіти наступними основними ознаками:
• наявністю інформації різного ступеня конфіденційності;
• забезпеченням криптографічного захисту інформації раз-
особистої ступеня конфіденційності при передачі даних;
• ієрархічністю повноважень суб'єктів доступу до програм до компонентів ІС та ІТ (до файлів-серверів, каналів зв'язку й т.п.);.
• обов'язковим управлінням потоками інформації як в локальних мережах, так і при передачі по каналах зв'язку на далекі відстані;
• наявністю механізму реєстрації та обліку спроб несанкціонованого доступу, подій в ІС і документів, що виводяться на друк;
• обов'язковим забезпеченням цілісності програмного забезпечення та інформації в ІТ;
• наявністю засобів відновлення системи захисту інформації • обов'язковим урахуванням магнітних носіїв;
• наявністю фізичної охорони засобів обчислювальної техніки і магнітних носіїв;
• наявністю спеціальної служби інформаційної безпеки системи.
При розгляді структури CІБ можливий традиційний підхід - виділення забезпечують підсистем.
Система інформаційної безпеки, як і будь-яка ІС, повинна мати певні види власного програмного забезпечення, спираючись на які вона буде здатна виконати свою цільову функцію.
1. Правове забезпечення - сукупність законодавчих актів, нормативно-правових документів, положень, інструкцій, посібників, вимоги яких є обов'язковими в рамках сфери їх діяльності в системі захисту інформації.
2. Організаційне забезпечення. Мається на увазі, що реалізація інформаційної безпеки здійснюється певними структурними одиницями, такими, наприклад, як служба безпеки фірми і її складові структури: режим, охорона тощо
3. Інформаційне забезпечення, що включає в себе відомості, дані, показники, параметри, що лежать в основі вирішення завдань, що забезпечують функціонування СІБ. Сюди можуть входити як показники доступу, обліку, зберігання, так і інформаційне забезпечення розрахункових задач різного характеру, пов'язаних з діяльністю служби безпеки.
4. Технічне (апаратне) забезпечення. Передбачається широке використання технічних засобів, як для захисту інформації, так і для забезпечення діяльності СІБ.
5. Програмне забезпечення. Маються на увазі різні інформаційні, облікові, статистичні і розрахункові програми, що забезпечують оцінку наявності та небезпеки різних каналів витоку і способів несанкціонованого доступу до інформації.
6. Математичне забезпечення. Це - математичні методи, використовувані для різних розрахунків, пов'язаних з оцінкою небезпеки технічних засобів, якими володіють зловмисники, зон та норм необхідного захисту.
7. Лінгвістичне забезпечення. Сукупність спеціальних мовних засобів спілкування фахівців і користувачів у сфері забезпечення інформаційної безпеки.
8. Нормативно-методичне забезпечення. Сюди входять норми і регламенти діяльності органів, служб, засобів, що реалізують функції захисту інформації; різного роду методики, що забезпечують діяльність користувачів при виконанні своєї роботи в умовах жорстких вимог дотримання конфіденційності.
Нормативно-методичне забезпечення може бути злито з правовим.
Слід зазначити, що з усіх заходів захисту в даний час провідну роль відіграють організаційні заходи. Тому виникає питання про організацію служби безпеки.
Реалізація політики безпеки вимагає настроювання засобів захисту, управління системою захисту і здійснення контролю функціонування ІС.
Як правило, завдання управління і контролю вирішуються адміністративної групою, склад і розмір якої залежать від конкретних умов. Дуже часто в цю групу входять адміністратор безпеки, менеджер безпеки і оператори.
У найбільшій мережі світу Інтернет атаки на комп'ютерні системи прокочуються, як цунамі, не знаючи ні державних кордонів, ні расових або соціальних відмінностей. Йде постійна боротьба інтелекту, а також організованості системних адміністраторів і винахідливості хакерів.
Розроблена корпорацією Microsoft операційна система Windows.NT в якості основи ІС набуває все більшого поширення. І звичайно, хакери усього світу звернули на неї пильну увагу.
У міру появи повідомлень про вразливі місця у Windows NT корпорація Microsoft швидко створює спочатку латки (hotfixes), а потім пакети оновлення (service packs), що допомагають захистити операційну систему. У результаті Windows NT постійно змінюється в кращу сторону. Зокрема, у ній з'являється все більше можливостей для, побудови мережі, дійсно захищеною від несанкціонованого доступу до інформації.
Методи і засоби забезпечення безпеки інформації:
Перешкода - метод фізичного перегородити шлях зловмиснику до інформації, що захищається (до апаратури, носіям інформації і т.д.).
Управління доступом - методи захисту інформації регулюванням використання всіх ресурсів ІС та ІТ. Ці методи повинні протистояти всім можливим шляхам несанкціонованого доступу до інформації. Управління доступом включає наступні функції захисту:
• ідентифікацію користувачів, персоналу і ресурсів системи (привласнення кожному об'єкту персонального ідентифікатора);
• впізнання (встановлення достовірності) об'єкта або суб'єкта по пред'явленому їм ідентифікатору;
• перевірку повноважень (перевірка відповідності дня тижня, часу доби; запрошуваних ресурсів і процедур встановленому регламенту);
• дозвіл і створення умов роботи в межах встановленого регламенту;
• реєстрацію (протоколювання) звернень до ресурсів, що захищаються;
• реагування (сигналізація, відключення, затримка робіт, відмова у запиті тощо) при спробах несанкціонованих дій.
Механізми шифрування - криптографічне закриття інформації. Ці методи захисту все ширше застосовуються як при обробці, так і при зберіганні інформації на магнітних носіях. При передачі інформації по каналах зв'язку великої протяжності цей метод є єдиним надійним.
Протидія атакам шкідливих програм передбачає комплекс різноманітних заходів організаційного характеру та використання антивірусних програм. Цілі прийнятих заходів - це зменшення ймовірності інфікування АІС, виявлення фактів зараження системи; зменшення наслідків інформаційних інфекцій, локалізація чи знищення вірусів; відновлення інформації в ІС.
Регламентація - створення таких умов автоматизованої обробки, зберігання та передачі інформації, що захищається, при яких норми і стандарти щодо захисту виконуються в найбільшою мірою.
Примус - метод захисту, у якому користувачі та персонал ІС змушені дотримуватися правил обробки, передачі й використання інформації, що захищається під загрозою матеріальної, адміністративної чи кримінальної відповідальності.
Спонукання - метод захисту, що спонукає користувачів і персонал ІС не порушувати встановлені порядки за рахунок дотримання сформованих моральних і етичних норм.
Вся сукупність технічних засобів поділяється на апаратні і фізичні.
Апаратні засоби - пристрої, що вбудовуються безпосередньо в обчислювальну техніку, або пристрою, які сполучаються з нею по стандартному інтерфейсу.
Фізичні засоби включають різні інженерні пристрої та споруди, що перешкоджають проникненню фізичній зловмисників на об'єкти захисту і здійснюють захист персоналу (особисті засоби безпеки), матеріальних засобів і фінансів, інформації від протиправних дій. Приклади фізичних засобів: замки на дверях, грати на вікнах, засоби електронної охоронної сигналізації і т.п.
Програмні засоби - це спеціальні програми і програмні комплекси, призначені для захисту інформації в ІС. Як зазначалося, багато хто з них злиті з ПЗ самої ІС.
З коштів ПЗ системи захисту необхідно виділити ще програмні засоби, що реалізують механізми шифрування (криптографії), Криптографія - це наука про забезпечення секретності та / або автентичності (справжності) передаються.
Організаційні засоби здійснюють своїм комплексом регламентацію виробничої діяльності в ІС та взаємовідносин виконавців на нормативно-правовій основі таким чином, що розголошення, витік і несанкціонований доступ до конфіденційної інформації стає неможливим або суттєво ускладнюється за рахунок проведення організаційних заходів. Комплекс цих заходів реалізується групою інформаційної безпеки, але повинен перебувати під контролем першого керівника.
Законодавчі засоби захисту визначаються законодавчими актами країни, якими регламентуються правила користування, обробки і передачі інформації обмеженого доступу та встановлюються заходи відповідальності за порушення цих правил.
Морально-етичні засоби захисту включають різноманітні норми поведінки, які традиційно склалися раніше, складаються в міру поширення ІС та ІТ в країні і в світі або спеціально розробляються. Морально-етичні норми можуть бути неписані (наприклад, чесність) або оформлені в якийсь звід (статут) правил чи приписів. Ці норми, як правило, не є законодавчо затвердженими, але оскільки їх недотримання призводить до падіння престижу організації, вони вважаються обов'язковими для виконання. Характерним прикладом таких приписів є Кодекс професійної поведінки членів Асоціації користувачів ЕОМ США.
3. Криптографічні методи захисту інформації
Готове до передачі інформаційне повідомлення, спочатку відкрите і незахищене, зашифровується і тим самим перетворюється в шифрограму, тобто в закриті текст або графічне зображення документа. У такому вигляді повідомлення передається по каналу зв'язку, навіть і не захищеного. Санкціонований користувач після отримання повідомлення дешифрує його (тобто розкриває) за допомогою зворотного перетворення криптограми, внаслідок чого виходить вихідний, відкритий вид повідомлення, доступний для сприйняття санкціонованим користувачам.
Методу перетворення в криптографічного системі відповідає використання спеціального алгоритму. Дія такого алгоритму запускається унікальним числом (послідовністю біт), зазвичай званим шифрувальним ключем.
Для більшості систем схема генератора ключа може являти собою набір інструкцій і команд який вузол апаратури, або комп'ютерну програму, або все це разом, але в будь-якому випадку процес шифрування (дешифрування) реалізується тільки цим спеціальним ключем. Щоб обмін зашифрованими даними проходив успішно, як відправнику, так і одержувачу, необхідно знати правильну ключову установку і зберігати її в таємниці.
Стійкість будь-якої системи закритого зв'язку визначається ступенем секретності використовуваного в ній ключа. Тим не менше цей ключ має бути відомий іншим користувачам мережі, щоб вони могли вільно обмінюватися зашифрованими повідомленнями. У цьому сенсі криптографічні системи також допомагають вирішити проблему аутентифікації (встановлення достовірності) прийнятої інформації. Зломщик у разі перехоплення повідомлення буде мати справу тільки з зашифрованим текстом, а істинний одержувач, приймаючи повідомлення, закриті відомим йому і відправнику ключем, буде надійно захищена від можливої дезінформації.
Сучасна криптографія знає два типи криптографічних алгоритмів: класичні алгоритми, засновані на використанні закритих, секретних ключів, і нові алгоритми з відкритим ключем, в яких використовуються один відкритий і один закритий ключ (ці алгоритми називаються також асиметричними). Крім того, існує можливість шифрування інформації і більш простим способом - з використанням генератора псевдовипадкових чисел.
Використання генератора псевдовипадкових чисел полягає в генерації гами шифру за допомогою генератора псевдовипадкових чисел при певному ключі та накладення отриманої гами на відкриті дані оборотним способом.
Надійність шифрування з допомогою генератора псевдовипадкових чисел залежить як від характеристик генератора, так і, причому більшою мірою, від алгоритму отримання гами.
Цей метод криптографічного захисту реалізується досить легко і забезпечує досить високу швидкість шифрування, однак недостатньо стійкий до дешифрування і тому непридатний для таких серйозних інформаційних систем, якими є, наприклад, банківські системи.
Для класичної криптографії характерне використання однієї секретної одиниці - ключа, який дозволяє відправнику зашифрувати повідомлення, а одержувачу розшифрувати його. У разі шифрування даних, що зберігаються на магнітних чи інших носіях інформації, ключ дозволяє зашифрувати інформацію під час запису на носій і розшифрувати при читанні з нього.
Існує досить багато різних алгоритмів криптографічного захисту інформації. Серед них можна назвати алгоритми DES, Rainbow (CIIJA); FEAL-4 і FEAL-8 (Японія); По-Crypt (Великобританія); алгоритм шифрування за ГОСТ 28147 - 89 (Росія) і ряд інших, реалізованих зарубіжними та вітчизняними постачальниками програмних і апаратних засобів захисту
Найбільш перспективними системами криптографічного захисту даних сьогодні вважаються асиметричні криптосистеми, звані також системами з відкритим ключем. Їх суть полягає в тому, що ключ, використовуваний для зашифровування, відмінний від ключа розшифрування. При цьому ключ зашифровування не секрет і може бути відомий всім користувачам системи. Однак розшифрування за допомогою відомого ключа зашифровування неможливо. Для розшифрування використовується спеціальний, секретний ключ. Знання відкритого ключа не дозволяє визначити ключ секретний. Таким чином, розшифрувати повідомлення може тільки його одержувач, що володіє цим секретним ключем.
Суть криптографічних систем з відкритим ключем зводиться до того, що в них використовуються так звані необоротні функції (іноді їх називають односторонніми або односпрямованими), які характеризуються наступною властивістю: для даного вихідного значення за допомогою деякої відомої функції досить легко обчислити результат, але розрахувати з цього результату вихідне значення надзвичайно складно.
Відомо кілька криптосистем з відкритим ключем. Найбільш розроблена на сьогодні система RSA. RSA-це система колективного користування, в якій кожен з користувачів має свої ключі зашифровування та розшифрування даних, причому секреті тільки ключ розшифрування.
Фахівці вважають, що системи з відкритим ключем більше підходять для шифрування переданих даних, ніж для захисту даних, що зберігаються на носіях інформації. Існує ще одна область застосування цього алгоритму - цифрові підписи, що підтверджують справжність переданих документів і повідомлень.
Асиметричні криптосистеми найбільш перспективні, тому що в них не використовується передача ключів іншим користувачам і вони легко реалізуються як апаратним, так і програмним способами. Проте системи типу RSA працюють приблизно в тисячу разів повільніше, ніж класичні, і вимагають довжини ключа близько 300 - 600 біт. Тому всі їхні переваги зводяться нанівець низькою швидкістю роботи. Крім того, для ряду функцій знайдені алгоритми інвертування, тобто доведено, що вони не є незворотними. Для функцій, що використовуються в системі RSA, такі алгоритми не знайдені, але немає і суворого докази незворотності використовуваних функцій. Останнім часом все частіше виникає питання про заміну в системах передачі та обробки інформації рукописної підпису, що підтверджує справжність того чи іншого документа, її електронним аналогом - електронним цифровим підписом (ЕЦП). Нею можуть скріплюватися всілякі електронні документи, починаючи з різних повідомлень і закінчуючи контрактами. ЕЦП може застосовуватися також для контролю доступу до особливо важливої ін-формації. До ЕЦП пред'являються дві основні вимоги: висока складність фальсифікації і легкість перевірки.
Для реалізації ЕЦП можна використовувати як класичні криптографічні алгоритми, так і асиметричні, причому саме останні мають всі властивості, необхідними для ЕЦП.
Однак ЕЦП надзвичайно піддана дії узагальненого класу програм «троянський кінь» з навмисно закладеними в них потенційно небезпечними наслідками, що активізується за певних умов. Наприклад, в момент зчитування файлу, в якому знаходиться підготовлений до підпису документ, ці програми можуть змінити ім'я підписувача, дату, будь-які дані (наприклад, суму в платіжних документах) і т.п.
Тому при виборі системи ЕЦП перевагу безумовно має бути віддано її апаратної реалізації, що забезпечує надійний захист інформації від несанкціонованого доступу, вироблення криптографічних ключів і ЕЦП.
З викладеного випливає, що надійна криптографічна система повинна задовольняти ряду певних вимог.
• Процедури зашифровування та розшифрування повинні бути «прозорі» для користувача.
• Дешифрування закритої інформації має бути максимально ускладнено.
• Зміст переданої інформації не повинно позначатися на ефективності криптографічного алгоритму.
• Надійність криптозахисту не повинна залежати від вмісту в секреті самого алгоритму шифрування (прикладами цього є як алгоритм DES, так і алгоритм ГОСТ 28147 - 89).
Процеси захисту інформації, шифрування і дешифрування пов'язані з кодованими об'єктами і процесами, їх властивостями, особливостями переміщення. Такими об'єктами і процесами можуть бути матеріальні об'єкти, ресурси, товари, повідомлення, блоки інформації, транзакції (мінімальні взаємодії з базою даних по мережі). Кодування крім цілей захисту, підвищуючи швидкість доступу до даних, дозволяє швидко визначати і виходити на будь-який вид товару і продукції, країну-виробника і т.д. У єдину логічну ланцюжок зв'язуються операції, пов'язані з однією угодою, але географічно розкидані по мережі.
Наприклад, штрихове кодування використовується як різновид автоматичної ідентифікації елементів матеріальних потоків, наприклад товарів, і застосовується для контролю за їх рухом у реальному часі. Досягається оперативність управління потоками матеріалів і продукції, підвищується ефективність управління підприємством. Штрихове кодування дозволяє не тільки захистити інформацію, а й забезпечує високу швидкість читання і запису кодів. Поряд з штриховими кодами з метою за-хисту інформації використовують голографічні методи.
Методи захисту інформації з використанням голографії є актуальним і розвиваються напрямком. Голографія є розділ науки і техніки, що займається вивченням і створенням способів, пристроїв для запису та обробки хвиль різної природи. Оптична голографія заснована на явищі інтерференції хвиль. Інтерференція хвиль спостерігається при розподілі в просторі хвиль і повільному просторовому розподілі результуючої хвилі. Виникаюча при інтерференції хвиль картина містить інформацію про об'єкт. Якщо цю картину фіксувати на світлочутливої поверхні, то утворюється голограма. При опроміненні голограми або її ділянки опорною хвилею можна побачити об'ємне тривимірне зображення об'єкта. Голографія застосовна до хвиль будь-якої природи і в даний час знаходить все більше практичного застосування для ідентифікації продукції різного призначення.
Технологія застосування кодів у сучасних умовах переслідує мети захисту інформації, скорочення трудовитрат і забезпечення швидкості її обробки, економії комп'ютерної пам'яті, формалізованого опису даних на основі їх систематизації і класифікації.
У сукупності кодування, шифрування і захист даних запобігають спотворення інформаційного відображення реальних виробничо-господарських процесів, руху матеріальних, фінансових і інших потоків, а тим самим сприяють обгрунтованості формування і прийняття управлінських рішень.
ВИСНОВОК
Статистика показує, що у всіх країнах збитки від зловмисних дій безперервно зростають. Причому основні причини збитків пов'язані не стільки з недостатністю коштів безпеки як таких, скільки з відсутністю взаємозв'язку між ними, тобто з нереалізованістю системного підходу. Тому необхідно випереджальними темпами удосконалювати комплексні засоби захисту.
Список використовуваної літератури:
1. Титоренко Г.А. Інформаційні технології управління. М., Юніті: 2002.
2. Мельников В. Захист інформації в комп'ютерних системах. - М.: Фінанси і статистика, Електронінформ, 1997
Помилкове використання інформаційних ресурсів будучи санкціонованим тим не менш може призвести до руйнування, витоку або компрометації вказаних ресурсів. Дана загроза частіше за все є наслідком помилок, наявних в ПЗ ІТ.
Несанкціонований обмін інформацією між абонентами може призвести до отриманню одним з них відомостей, доступ до яким йому заборонено. Наслідки - ті ж, що і при несанкціонованому доступі.
Відмова від інформації полягає в невизнанні одержувачем або відправником цієї інформації фактів її отримання або від-правки. Це дозволяє одній зі сторін розривати укладені фінансові угоди технічним шляхом, формально не відмовляючись від них, завдаючи тим самим другій стороні значної шкоди.
Порушення інформаційного обслуговування - загроза, джерелом якої є сама ІТ. Затримка з наданням інформаційних ресурсів абоненту може привести до тяжких для нього наслідків. Відсутність у користувача своєчасних даних, необхідних для прийняття рішення, може викликати його нераціональні дії.
Незаконне використання привілеїв. Будь-яка захищена система містить засоби, що використовуються в надзвичайних ситуаціях, або кошти які здатні функціонувати з порушенням існуючої політики безпеки. Наприклад, на випадок раптової перевірки користувач повинен мати можливість доступу до всіх наборів системи. Зазвичай ці кошти використовуються адміністраторами, операторами, системними програмістами та іншими користувачами, які виконують спеціальні функції.
Більшість систем захисту в таких випадках використовують набори привілеїв, тобто для виконання певної функції потрібна певна привілей. Зазвичай користувачі мають мінімальний набір привілеїв, адміністратори - максимальний.
Набори привілеїв охороняються системою захисту. Несанкціонований (незаконний) захоплення привілеїв можливий при наявності помилок у системі захисту, але найчастіше відбувається в процесі керування системою захисту, зокрема при недбалому користуванні привілеями.
Суворе дотримання правил управління системою захисту, дотримання принципу мінімуму привілеїв дозволяє уникнути таких порушень.
2. Методи і засоби захисту інформації
Створення систем інформаційної безпеки (СІБ) в ІС та ІТ грунтується на наступних принципах:
Системний підхід до побудови системи захисту, що означає оптимальне поєднання взаємопов'язаних організаційних
програмних,. апаратних, фізичних та інших властивостей, підтверджених практикою створення вітчизняних і зарубіжних систем захисту і застосовуються на всіх етапах технологічного циклу обробки інформації.
Принцип безперервного розвитку системи. Цей принцип, який є одним із основоположних для комп'ютерних інформаційних систем, ще більш актуальним для СІБ. Способи реалізації загроз інформації в ІТ безперервно вдосконалюються, а тому забезпечення безпеки ІС не може бути одноразовим актом. Це безперервний процес, що полягає в обгрунтуванні і реалізації найбільш раціональних методів, способів та шляхів вдосконалення СІБ, безперервному контролі, виявленні її вузьких і слабких місць, потенційних каналів витоку інформації і нових способів несанкціонованого доступу,.
Поділ і мінімізація повноважень з доступу до оброблюваної інформації і процедурам обробки, тобто надання як користувачам, так і самим працівникам ІС, мінімуму суворо визначених повноважень, достатніх для виконання ними своїх службових обов'язків.
Повнота контролю та реєстрації спроб несанкціонованого доступу, тобто необхідність точного встановлення ідентичності кожного користувача і протоколювання його дій для проведення можливого розслідування, а також неможливість здійснення будь-якої операції обробки інформації в ІТ без її попередньої реєстрації.
Забезпечення надійності системи захисту, т. е. неможливість зниження рівня надійності при виникненні в системі збоїв, відмов, навмисних дій зломщика або ненавмисних помилок користувачів і обслуговуючого персоналу.
Забезпечення контролю за функціонуванням системи захисту, тобто створення засобів і методів контролю працездатності механізмів захисту.
Забезпечення всіляких засобів боротьби з шкідливими програмами.
Забезпечення економічної доцільності використання системи. захисту, що виражається в перевищенні можливого збитку ІС та ІТ від реалізації загроз над вартістю розробки та експлуатації СІБ.
У результаті вирішення проблем безпеки інформації сучасні ІС та ІТ повинні володіти наступними основними ознаками:
• наявністю інформації різного ступеня конфіденційності;
• забезпеченням криптографічного захисту інформації раз-
особистої ступеня конфіденційності при передачі даних;
• ієрархічністю повноважень суб'єктів доступу до програм до компонентів ІС та ІТ (до файлів-серверів, каналів зв'язку й т.п.);.
• обов'язковим управлінням потоками інформації як в локальних мережах, так і при передачі по каналах зв'язку на далекі відстані;
• наявністю механізму реєстрації та обліку спроб несанкціонованого доступу, подій в ІС і документів, що виводяться на друк;
• обов'язковим забезпеченням цілісності програмного забезпечення та інформації в ІТ;
• наявністю засобів відновлення системи захисту інформації • обов'язковим урахуванням магнітних носіїв;
• наявністю фізичної охорони засобів обчислювальної техніки і магнітних носіїв;
• наявністю спеціальної служби інформаційної безпеки системи.
При розгляді структури CІБ можливий традиційний підхід - виділення забезпечують підсистем.
Система інформаційної безпеки, як і будь-яка ІС, повинна мати певні види власного програмного забезпечення, спираючись на які вона буде здатна виконати свою цільову функцію.
1. Правове забезпечення - сукупність законодавчих актів, нормативно-правових документів, положень, інструкцій, посібників, вимоги яких є обов'язковими в рамках сфери їх діяльності в системі захисту інформації.
2. Організаційне забезпечення. Мається на увазі, що реалізація інформаційної безпеки здійснюється певними структурними одиницями, такими, наприклад, як служба безпеки фірми і її складові структури: режим, охорона тощо
3. Інформаційне забезпечення, що включає в себе відомості, дані, показники, параметри, що лежать в основі вирішення завдань, що забезпечують функціонування СІБ. Сюди можуть входити як показники доступу, обліку, зберігання, так і інформаційне забезпечення розрахункових задач різного характеру, пов'язаних з діяльністю служби безпеки.
4. Технічне (апаратне) забезпечення. Передбачається широке використання технічних засобів, як для захисту інформації, так і для забезпечення діяльності СІБ.
5. Програмне забезпечення. Маються на увазі різні інформаційні, облікові, статистичні і розрахункові програми, що забезпечують оцінку наявності та небезпеки різних каналів витоку і способів несанкціонованого доступу до інформації.
6. Математичне забезпечення. Це - математичні методи, використовувані для різних розрахунків, пов'язаних з оцінкою небезпеки технічних засобів, якими володіють зловмисники, зон та норм необхідного захисту.
7. Лінгвістичне забезпечення. Сукупність спеціальних мовних засобів спілкування фахівців і користувачів у сфері забезпечення інформаційної безпеки.
8. Нормативно-методичне забезпечення. Сюди входять норми і регламенти діяльності органів, служб, засобів, що реалізують функції захисту інформації; різного роду методики, що забезпечують діяльність користувачів при виконанні своєї роботи в умовах жорстких вимог дотримання конфіденційності.
Нормативно-методичне забезпечення може бути злито з правовим.
Слід зазначити, що з усіх заходів захисту в даний час провідну роль відіграють організаційні заходи. Тому виникає питання про організацію служби безпеки.
Реалізація політики безпеки вимагає настроювання засобів захисту, управління системою захисту і здійснення контролю функціонування ІС.
Як правило, завдання управління і контролю вирішуються адміністративної групою, склад і розмір якої залежать від конкретних умов. Дуже часто в цю групу входять адміністратор безпеки, менеджер безпеки і оператори.
У найбільшій мережі світу Інтернет атаки на комп'ютерні системи прокочуються, як цунамі, не знаючи ні державних кордонів, ні расових або соціальних відмінностей. Йде постійна боротьба інтелекту, а також організованості системних адміністраторів і винахідливості хакерів.
Розроблена корпорацією Microsoft операційна система Windows.NT в якості основи ІС набуває все більшого поширення. І звичайно, хакери усього світу звернули на неї пильну увагу.
У міру появи повідомлень про вразливі місця у Windows NT корпорація Microsoft швидко створює спочатку латки (hotfixes), а потім пакети оновлення (service packs), що допомагають захистити операційну систему. У результаті Windows NT постійно змінюється в кращу сторону. Зокрема, у ній з'являється все більше можливостей для, побудови мережі, дійсно захищеною від несанкціонованого доступу до інформації.
Методи і засоби забезпечення безпеки інформації:
Перешкода - метод фізичного перегородити шлях зловмиснику до інформації, що захищається (до апаратури, носіям інформації і т.д.).
Управління доступом - методи захисту інформації регулюванням використання всіх ресурсів ІС та ІТ. Ці методи повинні протистояти всім можливим шляхам несанкціонованого доступу до інформації. Управління доступом включає наступні функції захисту:
• ідентифікацію користувачів, персоналу і ресурсів системи (привласнення кожному об'єкту персонального ідентифікатора);
• впізнання (встановлення достовірності) об'єкта або суб'єкта по пред'явленому їм ідентифікатору;
• перевірку повноважень (перевірка відповідності дня тижня, часу доби; запрошуваних ресурсів і процедур встановленому регламенту);
• дозвіл і створення умов роботи в межах встановленого регламенту;
• реєстрацію (протоколювання) звернень до ресурсів, що захищаються;
• реагування (сигналізація, відключення, затримка робіт, відмова у запиті тощо) при спробах несанкціонованих дій.
Механізми шифрування - криптографічне закриття інформації. Ці методи захисту все ширше застосовуються як при обробці, так і при зберіганні інформації на магнітних носіях. При передачі інформації по каналах зв'язку великої протяжності цей метод є єдиним надійним.
Протидія атакам шкідливих програм передбачає комплекс різноманітних заходів організаційного характеру та використання антивірусних програм. Цілі прийнятих заходів - це зменшення ймовірності інфікування АІС, виявлення фактів зараження системи; зменшення наслідків інформаційних інфекцій, локалізація чи знищення вірусів; відновлення інформації в ІС.
Регламентація - створення таких умов автоматизованої обробки, зберігання та передачі інформації, що захищається, при яких норми і стандарти щодо захисту виконуються в найбільшою мірою.
Примус - метод захисту, у якому користувачі та персонал ІС змушені дотримуватися правил обробки, передачі й використання інформації, що захищається під загрозою матеріальної, адміністративної чи кримінальної відповідальності.
Спонукання - метод захисту, що спонукає користувачів і персонал ІС не порушувати встановлені порядки за рахунок дотримання сформованих моральних і етичних норм.
Вся сукупність технічних засобів поділяється на апаратні і фізичні.
Апаратні засоби - пристрої, що вбудовуються безпосередньо в обчислювальну техніку, або пристрою, які сполучаються з нею по стандартному інтерфейсу.
Фізичні засоби включають різні інженерні пристрої та споруди, що перешкоджають проникненню фізичній зловмисників на об'єкти захисту і здійснюють захист персоналу (особисті засоби безпеки), матеріальних засобів і фінансів, інформації від протиправних дій. Приклади фізичних засобів: замки на дверях, грати на вікнах, засоби електронної охоронної сигналізації і т.п.
Програмні засоби - це спеціальні програми і програмні комплекси, призначені для захисту інформації в ІС. Як зазначалося, багато хто з них злиті з ПЗ самої ІС.
З коштів ПЗ системи захисту необхідно виділити ще програмні засоби, що реалізують механізми шифрування (криптографії), Криптографія - це наука про забезпечення секретності та / або автентичності (справжності) передаються.
Організаційні засоби здійснюють своїм комплексом регламентацію виробничої діяльності в ІС та взаємовідносин виконавців на нормативно-правовій основі таким чином, що розголошення, витік і несанкціонований доступ до конфіденційної інформації стає неможливим або суттєво ускладнюється за рахунок проведення організаційних заходів. Комплекс цих заходів реалізується групою інформаційної безпеки, але повинен перебувати під контролем першого керівника.
Законодавчі засоби захисту визначаються законодавчими актами країни, якими регламентуються правила користування, обробки і передачі інформації обмеженого доступу та встановлюються заходи відповідальності за порушення цих правил.
Морально-етичні засоби захисту включають різноманітні норми поведінки, які традиційно склалися раніше, складаються в міру поширення ІС та ІТ в країні і в світі або спеціально розробляються. Морально-етичні норми можуть бути неписані (наприклад, чесність) або оформлені в якийсь звід (статут) правил чи приписів. Ці норми, як правило, не є законодавчо затвердженими, але оскільки їх недотримання призводить до падіння престижу організації, вони вважаються обов'язковими для виконання. Характерним прикладом таких приписів є Кодекс професійної поведінки членів Асоціації користувачів ЕОМ США.
3. Криптографічні методи захисту інформації
Готове до передачі інформаційне повідомлення, спочатку відкрите і незахищене, зашифровується і тим самим перетворюється в шифрограму, тобто в закриті текст або графічне зображення документа. У такому вигляді повідомлення передається по каналу зв'язку, навіть і не захищеного. Санкціонований користувач після отримання повідомлення дешифрує його (тобто розкриває) за допомогою зворотного перетворення криптограми, внаслідок чого виходить вихідний, відкритий вид повідомлення, доступний для сприйняття санкціонованим користувачам.
Методу перетворення в криптографічного системі відповідає використання спеціального алгоритму. Дія такого алгоритму запускається унікальним числом (послідовністю біт), зазвичай званим шифрувальним ключем.
Для більшості систем схема генератора ключа може являти собою набір інструкцій і команд який вузол апаратури, або комп'ютерну програму, або все це разом, але в будь-якому випадку процес шифрування (дешифрування) реалізується тільки цим спеціальним ключем. Щоб обмін зашифрованими даними проходив успішно, як відправнику, так і одержувачу, необхідно знати правильну ключову установку і зберігати її в таємниці.
Стійкість будь-якої системи закритого зв'язку визначається ступенем секретності використовуваного в ній ключа. Тим не менше цей ключ має бути відомий іншим користувачам мережі, щоб вони могли вільно обмінюватися зашифрованими повідомленнями. У цьому сенсі криптографічні системи також допомагають вирішити проблему аутентифікації (встановлення достовірності) прийнятої інформації. Зломщик у разі перехоплення повідомлення буде мати справу тільки з зашифрованим текстом, а істинний одержувач, приймаючи повідомлення, закриті відомим йому і відправнику ключем, буде надійно захищена від можливої дезінформації.
Сучасна криптографія знає два типи криптографічних алгоритмів: класичні алгоритми, засновані на використанні закритих, секретних ключів, і нові алгоритми з відкритим ключем, в яких використовуються один відкритий і один закритий ключ (ці алгоритми називаються також асиметричними). Крім того, існує можливість шифрування інформації і більш простим способом - з використанням генератора псевдовипадкових чисел.
Використання генератора псевдовипадкових чисел полягає в генерації гами шифру за допомогою генератора псевдовипадкових чисел при певному ключі та накладення отриманої гами на відкриті дані оборотним способом.
Надійність шифрування з допомогою генератора псевдовипадкових чисел залежить як від характеристик генератора, так і, причому більшою мірою, від алгоритму отримання гами.
Цей метод криптографічного захисту реалізується досить легко і забезпечує досить високу швидкість шифрування, однак недостатньо стійкий до дешифрування і тому непридатний для таких серйозних інформаційних систем, якими є, наприклад, банківські системи.
Для класичної криптографії характерне використання однієї секретної одиниці - ключа, який дозволяє відправнику зашифрувати повідомлення, а одержувачу розшифрувати його. У разі шифрування даних, що зберігаються на магнітних чи інших носіях інформації, ключ дозволяє зашифрувати інформацію під час запису на носій і розшифрувати при читанні з нього.
Існує досить багато різних алгоритмів криптографічного захисту інформації. Серед них можна назвати алгоритми DES, Rainbow (CIIJA); FEAL-4 і FEAL-8 (Японія); По-Crypt (Великобританія); алгоритм шифрування за ГОСТ 28147 - 89 (Росія) і ряд інших, реалізованих зарубіжними та вітчизняними постачальниками програмних і апаратних засобів захисту
Найбільш перспективними системами криптографічного захисту даних сьогодні вважаються асиметричні криптосистеми, звані також системами з відкритим ключем. Їх суть полягає в тому, що ключ, використовуваний для зашифровування, відмінний від ключа розшифрування. При цьому ключ зашифровування не секрет і може бути відомий всім користувачам системи. Однак розшифрування за допомогою відомого ключа зашифровування неможливо. Для розшифрування використовується спеціальний, секретний ключ. Знання відкритого ключа не дозволяє визначити ключ секретний. Таким чином, розшифрувати повідомлення може тільки його одержувач, що володіє цим секретним ключем.
Суть криптографічних систем з відкритим ключем зводиться до того, що в них використовуються так звані необоротні функції (іноді їх називають односторонніми або односпрямованими), які характеризуються наступною властивістю: для даного вихідного значення за допомогою деякої відомої функції досить легко обчислити результат, але розрахувати з цього результату вихідне значення надзвичайно складно.
Відомо кілька криптосистем з відкритим ключем. Найбільш розроблена на сьогодні система RSA. RSA-це система колективного користування, в якій кожен з користувачів має свої ключі зашифровування та розшифрування даних, причому секреті тільки ключ розшифрування.
Фахівці вважають, що системи з відкритим ключем більше підходять для шифрування переданих даних, ніж для захисту даних, що зберігаються на носіях інформації. Існує ще одна область застосування цього алгоритму - цифрові підписи, що підтверджують справжність переданих документів і повідомлень.
Асиметричні криптосистеми найбільш перспективні, тому що в них не використовується передача ключів іншим користувачам і вони легко реалізуються як апаратним, так і програмним способами. Проте системи типу RSA працюють приблизно в тисячу разів повільніше, ніж класичні, і вимагають довжини ключа близько 300 - 600 біт. Тому всі їхні переваги зводяться нанівець низькою швидкістю роботи. Крім того, для ряду функцій знайдені алгоритми інвертування, тобто доведено, що вони не є незворотними. Для функцій, що використовуються в системі RSA, такі алгоритми не знайдені, але немає і суворого докази незворотності використовуваних функцій. Останнім часом все частіше виникає питання про заміну в системах передачі та обробки інформації рукописної підпису, що підтверджує справжність того чи іншого документа, її електронним аналогом - електронним цифровим підписом (ЕЦП). Нею можуть скріплюватися всілякі електронні документи, починаючи з різних повідомлень і закінчуючи контрактами. ЕЦП може застосовуватися також для контролю доступу до особливо важливої ін-формації. До ЕЦП пред'являються дві основні вимоги: висока складність фальсифікації і легкість перевірки.
Для реалізації ЕЦП можна використовувати як класичні криптографічні алгоритми, так і асиметричні, причому саме останні мають всі властивості, необхідними для ЕЦП.
Однак ЕЦП надзвичайно піддана дії узагальненого класу програм «троянський кінь» з навмисно закладеними в них потенційно небезпечними наслідками, що активізується за певних умов. Наприклад, в момент зчитування файлу, в якому знаходиться підготовлений до підпису документ, ці програми можуть змінити ім'я підписувача, дату, будь-які дані (наприклад, суму в платіжних документах) і т.п.
Тому при виборі системи ЕЦП перевагу безумовно має бути віддано її апаратної реалізації, що забезпечує надійний захист інформації від несанкціонованого доступу, вироблення криптографічних ключів і ЕЦП.
З викладеного випливає, що надійна криптографічна система повинна задовольняти ряду певних вимог.
• Процедури зашифровування та розшифрування повинні бути «прозорі» для користувача.
• Дешифрування закритої інформації має бути максимально ускладнено.
• Зміст переданої інформації не повинно позначатися на ефективності криптографічного алгоритму.
• Надійність криптозахисту не повинна залежати від вмісту в секреті самого алгоритму шифрування (прикладами цього є як алгоритм DES, так і алгоритм ГОСТ 28147 - 89).
Процеси захисту інформації, шифрування і дешифрування пов'язані з кодованими об'єктами і процесами, їх властивостями, особливостями переміщення. Такими об'єктами і процесами можуть бути матеріальні об'єкти, ресурси, товари, повідомлення, блоки інформації, транзакції (мінімальні взаємодії з базою даних по мережі). Кодування крім цілей захисту, підвищуючи швидкість доступу до даних, дозволяє швидко визначати і виходити на будь-який вид товару і продукції, країну-виробника і т.д. У єдину логічну ланцюжок зв'язуються операції, пов'язані з однією угодою, але географічно розкидані по мережі.
Наприклад, штрихове кодування використовується як різновид автоматичної ідентифікації елементів матеріальних потоків, наприклад товарів, і застосовується для контролю за їх рухом у реальному часі. Досягається оперативність управління потоками матеріалів і продукції, підвищується ефективність управління підприємством. Штрихове кодування дозволяє не тільки захистити інформацію, а й забезпечує високу швидкість читання і запису кодів. Поряд з штриховими кодами з метою за-хисту інформації використовують голографічні методи.
Методи захисту інформації з використанням голографії є актуальним і розвиваються напрямком. Голографія є розділ науки і техніки, що займається вивченням і створенням способів, пристроїв для запису та обробки хвиль різної природи. Оптична голографія заснована на явищі інтерференції хвиль. Інтерференція хвиль спостерігається при розподілі в просторі хвиль і повільному просторовому розподілі результуючої хвилі. Виникаюча при інтерференції хвиль картина містить інформацію про об'єкт. Якщо цю картину фіксувати на світлочутливої поверхні, то утворюється голограма. При опроміненні голограми або її ділянки опорною хвилею можна побачити об'ємне тривимірне зображення об'єкта. Голографія застосовна до хвиль будь-якої природи і в даний час знаходить все більше практичного застосування для ідентифікації продукції різного призначення.
Технологія застосування кодів у сучасних умовах переслідує мети захисту інформації, скорочення трудовитрат і забезпечення швидкості її обробки, економії комп'ютерної пам'яті, формалізованого опису даних на основі їх систематизації і класифікації.
У сукупності кодування, шифрування і захист даних запобігають спотворення інформаційного відображення реальних виробничо-господарських процесів, руху матеріальних, фінансових і інших потоків, а тим самим сприяють обгрунтованості формування і прийняття управлінських рішень.
ВИСНОВОК
Статистика показує, що у всіх країнах збитки від зловмисних дій безперервно зростають. Причому основні причини збитків пов'язані не стільки з недостатністю коштів безпеки як таких, скільки з відсутністю взаємозв'язку між ними, тобто з нереалізованістю системного підходу. Тому необхідно випереджальними темпами удосконалювати комплексні засоби захисту.
Список використовуваної літератури:
1. Титоренко Г.А. Інформаційні технології управління. М., Юніті: 2002.
2. Мельников В. Захист інформації в комп'ютерних системах. - М.: Фінанси і статистика, Електронінформ, 1997