• Введение
• Глава 1. Вопросы защиты информации в школьном курсе информатики
• 1.1 Преподавание правовых основ защиты информации в школьном курсе информатики
• 1.1.1 "Защита информации" - как тема в школьном курсе предмета "Информатика"
• 1.1.2 Содержание учебного модуля "Защита информации"
• 1.2 Организация защиты информации (программная составляющая)
• 1.2.1 Назначение программной защиты данных
• 1.2.2 Типы программной защиты
• 1.2.3 Схема системы программной защиты
• 1.2.4 Классификация средств защиты
• 1.2.5 Выбор средства защиты
• 1.2.6 Борьба с пиратством
• 1.2.7 Защита операционной системы
• 1.2.8 Программная организация доступа
• 1.2.9 Защита информационных систем
• 1.2.10 Система криптографии данных
• 1.2.11 Программная защита данных при их передаче
• 1.2.12 Программное восстановление данных
• 1.3 Организация защиты информации (аппаратная составляющая)
• 1.3.1 Защита машинных носителей данных
• 1.3.2 Защита технического обеспечения компьютерных систем
• 1.3.3 Выбор и защита средств коммуникации
• 1.3.4 Используемое программное обеспечение
• 1.3.5 Профилактические работы по защите данных
• 1.3.6 Копирование данных
• 1.3.7 Восстановление данных и носителей данных
• 1.3.8 Системы архивации данных. Архивы
• 1.3.9 Антивирусология
• 1.3.10 Антивирусная профилактика
• Глава 2. Локальная сеть школы и ее защита
• 2.1 Особенности организации школьной ЛВС
• 2.2 Организация защиты информации на примере школьной ЛВС
• 2.2.1 Организация защиты ресурсов ЛВС с использованием Active Directory
• 2.2.2 Использование групповых политик
• 2.2.3 Безопасное использование Интернет в общеобразовательном учреждении
• Заключение
• Литература

Введение

1.1.2 Содержание учебного модуля "Защита информации"

Модульный принцип формирования учебного материала в курсе "Информатика" позволяет включать новые разделы, необходимость изучения которых вызывается (впрочем, как и содержание всего обучения в школе) потребностями общества.

Уровневое деление содержания, формулирование требований к знаниям и умениям учащихся должно адаптировать модуль к циклической модели построения школьного курса информатики: тема рассматривается на протяжении всего периода изучения предмета, но на каждом уровне (пропедевтический, базовый, профильный) все более углубленно и расширенно.

Модуль может включать следующие темы [29]:

Теоретические основы защиты информации.

Защита информации средствами операционной системы.

Защита и восстановление информации на жестких дисках.

Основы криптографии.

Защита информации в локальных и глобальных сетях.

Правовые основы защиты информации.

Содержание модуля требует от преподавателя привлечение дополнительных источников информации, так как в учебниках, разрешенных к использованию, данные вопросы рассмотрены недостаточно. Ориентиром для учителя может служить тезисное изложение содержания тем "Защита информации" и "Информационная безопасность" профессором В.А. Кайминым (см. Приложение 3, Приложение 4).

Изучение каждой темы в курсе "Защита информации" должно предусматривать проведение теоретических и практических занятий и основываться на знании базовых разделов информатики и информационных технологий. В конце изучения каждой темы проводится контроль качества ее усвоения в форме контрольной работы. Завершается курс итоговой контрольной работой, содержащей комплексное задание по содержанию всего курса. Итоговая контрольная работа может быть заменена проектным заданием, выполнение которого требует не только знания содержания темы, но и практических умений, навыков исследовательской деятельности, творческого подхода. Результаты проектной деятельности представляются публично, что служит развитию коммуникационных навыков, умения защищать свое мнение, критично и доброжелательно относиться к суждениям оппонентов.

Возможные темы проектов:

Отличительной особенностью курса "Защита информации" должно являться дополнительное программное и техническое обеспечение уроков. Выполнение практических заданий по внесению элементов защиты в настройки операционной системы и программного обеспечения персонального компьютера, а также выявлению и устранению неисправностей на жестких дисках требует как высокой подготовленности учителя, так и резервирования жестких дисков ЭВМ компьютерных классов программными и аппаратными методами.

Формирование информационного общества, предусматривает рост правовой культуры населения, немалое место в которой занимает культура работы с информацией. Восполнение пробела в этой области предусматривает заключительная тема "Правовые основы защиты информации". Полученные знания о своих правах и обязанностях в информационной сфере, а также об обязанностях должностных лиц государственных и иных учреждений перед гражданами, поможет современной молодежи защитить не только имеющуюся информацию, но и свои права и свободы человека и гражданина.

Тема "Правовые основы защиты информации" является обязательной для рассмотрения вне зависимости от профиля класса. Приведем пример почасового планирования темы для учащихся 10 класса.

Урок.1. Доктрина информационной безопасности Российской Федерации.

Урок 2. Закон РФ "О государственной тайне".

Урок 3 - 4. Закон РФ "Об информации, информатизации и защите информации".

Урок 5. Закон РФ "О правовой охране программ для электронных вычислительных машин и баз данных".

Урок 6. Закон РФ "Об электронной цифровой подписи".

Урок 7. Уголовная ответственность, наступающая за преступления в информационной сфере.

Урок 8. Контрольная работа.

Серия уроков по теме "Защита информации" была проведена для учащихся 10-х классов МОУ СОШ №34 г. Каменска-Уральского. Для итогового контроля была выбрана проектная форма. Результаты показали повышение уровня знаний по данной теме. В качестве выходной диагностики учащимся вновь было предложено заполнение таблицы "Опасности в Интернет". Адекватные меры защиты были выбраны 78% опрошенных по сравнению с 11% до изучения темы.

Диаграмма 2.

1.2 Организация защиты информации (программная составляющая)

1.2.1 Назначение программной защиты данных

Программная защита данных - это комплекс мероприятий по разработке, внедрению и организации функционирования специализированного программно-информационного обеспечения, предназначенного для защиты данных. Прежде всего, это средства программной организации доступа к данным, аппаратуре, носителям данных, а также средства восстановления частично или полностью утерянных или искаженных данных.

Программная защита данных является центральной в системе защиты данных: на этом уровне силами и средствами системного и прикладного программного обеспечения решаются все злободневные проблемы взаимодействия пользователей с информацией и взаимоотношения различных групп пользователей, разработчиков, владельцев информационных массивов и программных средств.

Программная защита данных предполагает решение следующих трех основных задач:

1) Обеспечение целостности, защита от непредусмотренных и несанкционированных изменений данных:

обеспечение защиты операционной системы, внутренней и внешней памяти компьютера от порчи или потери;

ведение учета состояния данных и всех его изменений; восстановление данных при нарушении их целостности.

2) Обеспечение доступности, защита данных от неправомерного и несанкционированного удержания:

обеспечение доступа к информации и/или возможности ее изменения всем лицам и организациям, имеющим соответствующее право;

защита данных при их коммуникации, в том числе, средствами электронной почты, обеспечение доступа к сетевым данным.

3) Обеспечение конфиденциальности, защита данных от несанкционированного доступа и использования:

классификация данных по степени конфиденциальности и доступа к ним, назначение ключей, паролей, шифров и пр.;

обеспечение конфиденциальности данных, защита их от несанкционированного доступа.

В систему программной защиты данных могут входить средства защиты операционной системы и ее конфигурации, программного и информационного обеспечения от потерь и несанкционированного доступа системы доступа к информации по ключам и паролям, средства архивации данных на машинных носителях, в том числе, под паролями, антивирусные и профилактические средства, средства кодирования и раскодирования данных, средства восстановления данных при их частичной и полной утрате, автоматизированная система копирования и дублирования наборов данных на архивные носители, система программ и утилит по восстановлению наборов данных с архивных или эталонных носителей.

Разработка программной защиты данных предполагает создание вышеперечисленных средств и обеспечение их бесперебойной и надежной работы; распределение данных и системы их обработки в компьютерных сетях, обеспечивающих максимальную надежность их хранения и передачи.

1.2.2 Типы программной защиты

Программная защита разделяется на несколько типов:

тип использования: (уровни пользователя и профессионала-разработчика);

тип защищаемой информации: память, данные, программа;

тип защиты: восстановление данных, защита от несанкционированного доступа, изменения, копирования и т.д.;

тип объекта защиты: операционная система, отдельная программно-информационная система, комплексная защита данных в масштабах учреждения, ведомства, глобальной сети;

тип средства защиты: программа, утилита, функция и пр.

На профессиональном уровне программная защита данных организуется и создается специальными службами в ходе разработки прикладного программного обеспечения; внедрения и адаптации специализированных системных и стандартных средств.

К этому типу относится разработка всех форм и средств защиты - программной, физической, правовой, включая антивирусные программы, архиваторы и пр. На стадии проектирования систем или в ходе их функционирования разработчики предусматривают средства защиты с учетом степени важности и конфиденциальности данных этих систем. В зависимости от объекта защиты, технологии их разработки, а также, разумеется, творческих потенциалов автора выбираются или создаются те или иные средства защиты.

На уровне пользователя осуществляется выбор и применение подходящих средств защиты памяти компьютера, данных или информационной системы, ограничения доступа к ним. Обычно это стандартизированные средства, рассчитанные на массовое применение по отношению к определенному типу информации. Это могут быть программы преобразования (шифрования и дешифрования) или восстановления данных, зашиты программных модулей, система ключей и паролей.

Средством защиты могут, в частности, быть специальная программа или утилита, загружаемая в оперативную память по мере необходимости; резидентная программа, проверяющая целостность данных (файлов); функции и процедуры в составе программного обеспечения баз данных, программно-информационных комплексов: преобразование, проверка ключей и паролей, структуры и содержания данных.

1.2.3 Схема системы программной защиты

Организация доступа к данным

Паспортизация данных, пользователей, разграничение полномочий.

Защита программ от несанкционированного и нелегального использования

Криптография данных

Защита дискет от копирования

Защита данных при передаче

Борьба с компьютерным пиратством

Программная защита данных

Программное восстановление данных

Средства программной защиты: личные, стандартные, специальные

Режим функционирования средств защиты: автономный, автоматизированный

1.2.4 Классификация средств защиты

Средство защиты может быть встроено в программу разработчика в виде отдельных процедур или функций и вместе с ней скомпилировано и сформировано в единый загрузочный модуль. Обычно такая защита подготавливается самим разработчиком основного продукта. Достоинство ее в своей оригинальности, независимости от внешних факторов, может быть, дешевизне. Однако такой подход вряд ли совершенен, а главное, часто грешит "самодеятельностью" и не обеспечивает полноты и надежности защиты. Чтобы грамотно и профессионально выполнить защиту, автору разработки надо немало изучить и потратить усилий и времени, сравнимых с затраченными на основную работу.

Второй подход - это подключение стандартизированных средств защиты к продуктам информатизации на стадии их распространения или внедрения в конкретную операционную среду. Как правило, эти средства защиты подготавливаются людьми, специализирующимися на этом поле деятельности, и распространяются в качестве программных продуктов, т.е. рассчитаны на массовое применение. В этом случае программы защиты и загрузочные модули пользователя формируются независимо друг от друга. Этот подход явно удобнее и предпочтительнее, так как: выше уровень защиты: она создается профессионалом, знающим, что именно надо защищать и как это осуществить; налицо разделение труда, когда каждый занимается своим делом, что, естественно, гарантирует большую эффективность и производительность; универсальность средства: однажды созданное оно приложимо к большому классу программно-информационных продуктов; осуществимы учет и классификация средств защиты, их выбор для защиты информационных ресурсов (в том числе и государственных) или определение возможности применения. Кроме того, стандартные средства защиты более удобны в применении. Представленные в виде пакета модулей (программ, рабочих файлов, инструкций) в отдельном каталоге диска или на дискете, они всегда готовы к употреблению и более универсальны. Выделяется также класс специальных средств защиты государственных информационных ресурсов, подготавливаемых специализированными службами по лицензии уполномоченных органов.

1.2.5 Выбор средства защиты

Степень и надежность защиты данных (файла, программы, дискеты) от копирования зависит от используемого средства защиты. Напрашивается, казалось бы, очевидный вывод: чем лучше средство защиты, тем оно предпочтительнее для применения. Однако это далеко не так.

Во-первых, любая защита не является абсолютно надежной. Для профессиональных "взломщиков" не составляет большого труда ее преодоление, обход, разрушение. Любые шифры, ключи и пароли устанавливаются и сохраняются лишь на ограниченное время, в течение которого по предположению авторов защиты взломщики не успеют их разгадать и разрушить. Поэтому никогда нельзя исключить вероятность того, что дорогие хлопоты по защите могут оказаться напрасными.

Во-вторых, хорошее и надежное средство защиты может оказаться дороже самого объекта защиты.

Удорожание продукта может, в свою очередь, отрицательно повлиять на его реализацию, продажу. Зачем тогда все труды по его созданию и защите?

В этом случае лучше выбрать относительно надежное, но сравнительно недорогое средство защиты. Профессионалам, специализирующимся на присвоении чужих программ, пиратам от информатики выгоднее заниматься дорогими, крупными разработками: затраты их труда по разрушению защиты меньше затрат на создание продукта. Поэтому в этом случае нужна более тщательная защита, хотя и она, как видно, не гарантирует успех. Средство защиты от копирования файлов или дискеты не должно затруднять инсталляцию и использование программного продукта. Иначе, опять же, дополнительные сложности (необходимость ключевой дискеты, например) снизят реализацию защищаемого продукта. Функциональные свойства выбираемого средства защиты зависят от цели его применения. Для защиты информационных объектов на конкретных компьютерных системах необходимы средства по предотвращению несанкционированного доступа и использования. Для защиты информационной продукции требуются средства, предотвращающие ее неконтролируемое распространение.

1.2.6 Борьба с пиратством

Пиратство является одним из нецивилизованных и даже криминальных проявлений в отношениях, устанавливающихся на рынке программно-информационных продуктов. Вместо того, чтобы приобрести ту или иную разработку или информацию на законных основаниях, недобросовестные пользователи зачастую стараются правдами, а больше неправдами, найти обходные пути для их перетаскивания на свой компьютер и последующего незаконного использования. Другие пытаются продать то, что им не принадлежит или то, что они не имеют права распространять. Борьбу с проявлениями пиратства следует вести по всем возможным направлениям и всеми возможными способами, в частности:

более четким и полным правовым регулированием отношений в области информатизации;

запретительными мерами, методами выявления и наказания;

защитой данных от несанкционированного доступа и копирования;

экономическими мерами и созданием соответствующих условий;

повышением культуры отношений и обращения с программными продуктами.

Правовое регулирование должно предусматривать, разумеется, не только сами отношения между субъектами и объектами информатизации, но и отношения к проявлениям недобросовестного обращения с этими объектами. Регулирование должно обеспечить организацию достаточно быстрого и удобного оформления авторских и имущественных прав на продукты информатизации, документирования информации, а также эффективной и действенной правовой защиты документированной, патентованной и зарегистрированной информации, ее правообладателей.

Акты пиратства и злоупотреблений должны не только не приветствоваться, но и преследоваться.

Защита от копирования является относительно эффективным и надежным средством, хотя и не может дать абсолютных гарантий: любую защиту можно при большом желании снять, разрушить.

Системой запретов и преследований, а также защитой от копирования проблему пиратства, конечно, не решить. В условиях насыщенности рынка программно-информационных продуктов пользователь при прочих равных условиях выбирает тот из них, который проще установить, т.е., не защищенный. Поэтому на многих западных программных разработках отсутствует какая-либо защита. Считается, что гораздо более эффективным средством является создание условий, при которых пиратство будет экономически и функционально невыгодным. Для того, чтобы потенциальному пользователю программного продукта было удобнее его приобрести у законного владельца, чем красть или переписывать у товарищей, возможны разнообразные средства и создание соответствующих условий:

предоставление гарантий качества, безопасности, функциональной полноты, надежности работы и пр.;

сдача (установка) продукта "под ключ", обучение пользователей;

возможности обратиться с претензиями по функционированию, с предложениями к изготовителю или жалобами на него;

возможности получить консультацию или разъяснение по интересующим вопросам, посетить семинары, конференции, посвященные состоянию данного продукта и его использования, вступить в ассоциацию пользователей этого продукта и т.д.;

предоставление права на приоритетное и льготное приобретение новых версий продукта, полученных в процессе его развития;

снижение цен, всевозможные скидки для оптовых, повторных покупок продуктов, установление взаимовыгодных отношений, дилерства, дистрибьютерства и пр.

Таким образом, создаются условия для долгосрочных отношений с потребителями, рассчитывающими на приобретение информационных продуктов в их развитии в авторском сопровождении. Экономические условия выражаются и в следующем. Желая продать свою разработку, автор должен ее документировать, оформить и/или сертифицировать, указав при этом все используемые продукты, которые, разумеется, не могут иметь пиратское происхождение. Другими словами, поскольку конечной целью использования программного обеспечения является создание своего производного продукта, нелегальное приобретение необходимых для работы средств становится бессмысленным и неэффективным.

1.2.7 Защита операционной системы

Защита операционной системы заключается в обеспечении условий и режимов надежного сохранения и нормального функционирования самой системы, всего программно-информационного обеспечения, работающего под ее управлением, а также средств взаимодействия с ней. Защита системы имеет два уровня - уровень ее разработчика, изготовителя и уровень пользователя. На уровне пользователя предпринимаются меры по физическому сохранению системы (модулей, драйверов, библиотек) и обеспечению их совместимости между собой, а также с другими модулями. От пользователя зависит степень использования внутренних ресурсов и возможностей системы для защиты данных.

Функциональные средства ядра операционной системы обеспечивают защиту ее целостности и работоспособности, а также содержимого рабочих областей оперативной памяти компьютера и хранение информации на внешних носителях. Операционная система должна обладать возможностями для создания контролируемой системы доступа к данным, исключающей несанкционированное пользование информацией. Организационные и сервисные средства операционной системы - это программы ее библиотеки по физической защите и восстановлению наборов данных и их носителей. Совокупность вышеназванных средств должна обеспечить возможность организации эффективной системы защиты данных (программной, физической).

Современная операционная система должна обладать всеми возможностями для защиты конфиденциальных данных на терминалах пользователей или на файл-серверах компьютерных сетей при их обработке и передаче по каналам связи. Существует ряд стандартов для операционных систем, на которые ориентируются производители операционных систем, а также производят сертификацию на соответствие им.

1.2.8 Программная организация доступа

В зависимости от решаемых задач, характера обрабатываемой информации и средств ее обработки требуется регулирование области доступа к ним, возможности их модификации, копирования. Для этого требуются различные средства диспетчеризации обращения и взаимодействия с защищаемыми объектами.

Защита может быть добровольной, когда пользователь или разработчик системы сам решает о ее необходимости, и обязательной, когда решение о защите принимается на основании характера или принадлежности информации к определенному классу либо на основании планов и решений, принятых на уровне корпорации (ведомства). Так, информация, относящаяся к государственным информационным ресурсам и представляющая предмет ограниченного доступа и распространения, подлежит обязательной защите.

Программная организация доступа предусматривает создание системы паспортизации данных, системы управления доступом; системы учета работы с данными и регистрацию изменений.

Автоматизация информационных процессов предполагает, что все это должно быть выражено программными средствами и реализовано в соответствующих информационных системах и специализированных средствах защиты данных.

Создание системы доступа предполагает решение множества задач, решаемых как непосредственно силами и средствами программной защиты, так и в процессе взаимодействия с системами правовой и административной защиты, которое выражается, в частности в создании структуры доступа и его средств, программных, криптографических, системы паролей, в организации системы доступа, с определением и установлением множества отношений между различными информационными массивами, их собственниками, владельцами и пользователями, в создании и/или внедрении программных средств защиты.

1.2.9 Защита информационных систем

Защиту информационной системы следует рассматривать в двух аспектах:

1) защиту ее содержания и целостности;

2) защиту от несанкционированного доступа и копирования.

Защита содержания состоит в предотвращении случайного или умышленного его уничтожения или искажения. Об этом должны заботиться и пользователь системы (применяя средства физической защиты данных), и ее разработчик (изготовитель), поскольку именно он отвечает за достоверность и полноту информационных ресурсов системы.

Современные операционные и инструментальные системы предлагают достаточно широкий спектр такой защиты. Можно, например, при подготовке пакета для использования изменить статус файлов на Read-Only, или применять специальные утилиты из библиотеки системы для защиты и восстановления файлов.

Информационная система содержит множество файлов, составляющих ее информационные ресурсы, и программные модули системы управления и обработки этих ресурсов. В соответствии с этим защита информации от несанкционированного доступа подразделяется на два типа защиты: программ и рабочих файлов.

Программы - исполнимые файлы, поэтому их защита заключается в создании такого режима, когда они не будут работать без выполнения определенных условий. А в другом качестве они практически бесполезны для обычного пользователя.

Текстовые, табличные или графические файлы можно прочитать, просмотреть, модифицировать, переписать самыми различными способами, с помощью специализированных редакторов и других программ. В сети, информационной системе можно предусмотреть множество ключей и паролей, ограничивающих доступ к узлам сети, каталогам и файлам. Но обычно имеется достаточно возможностей обращения к файлам с помощью вышеперечисленных средств. Поэтому защита файлов заключается в представлении их данных в форме, недоступной для восприятия, зашифрованном, архивированном виде, упакованном формате и т.д. Такое представление позволяет предохранять от ненужных изменений и физическое состояние файлов.

Шифрование файла заключается в разработке некоторой системы замены кодов символов данных на другие; кодировании защищаемых файлов в соответствии с этой системой; выполнении функций кодирования и раскодирования файлов или блоков данных при их обработке и ее завершении. Некоторые архиваторы (Zip, Rar) позволяют создавать архивы с заданием пароля, который надо указать при разархивировании. Такой файл будет достаточно надежно защищен.

1.2.10 Система криптографии данных

Создать и реализовать систему шифрования данных, в принципе, технически несложно. Однако при ее использовании могут возникнуть следующие проблемы, связанные с уменьшением производительности системы, увеличением времени шифрования и дешифрования данных; достижением требуемого уровня секретности; надежностью функционирования системы: нечеткость или несовершенство алгоритма могут привести к потере данных, невозможности их восстановления (следует иметь эталонный экземпляр информационных массивов).

Построение хорошей и надежной системы криптографии (шифрования) данных является сложным и дорогостоящим делом, затраты труда на которую сравнимы с созданием большой системы. Поэтому лучше пользоваться средствами, разработанными специализированными службами по алгоритмам, проверенными теорией и практикой. Различают симметричные и асимметричные алгоритмы криптографии.

Симметричный алгоритм использует секретный ключ общей длиной в 64 бита и обеспечивает наличие почти 10¹⁷ переборов вариантов кодирования. При обмене информации с использованием этого алгоритма криптографии пользователи (источник и адресат) должны иметь общий для них секретный ключ, который они устанавливают заранее. Симметричная система защиты предполагает закрытое применение информации и предназначена, прежде всего, для государственной информации с ограниченным режимом пользования.

Асимметричный алгоритм криптографии использует разные ключи для шифрования и дешифрования. Один открытый ключ используется для шифрования информации. Этот ключ можно дать всем потенциальным корреспондентам пользователя компьютера. Присылаемую ими информацию, зашифрованную данным открытым ключом, может расшифровать только этот пользователь с помощью своего секретного ключа. Длина ключа не фиксирована, чем он длиннее, тем выше уровень шифрования. При этом, однако, увеличиваются процедуры шифрования и дешифрования. Асимметричный способ криптографии предполагает открытый способ взаимодействия, позволяющий создавать собственные системы шифрования. Такие системы применяются при коммуникации коммерческих данных.