Информационная безопасность и защита информации

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Защита информации и информационная безопасность

2. Системы защиты информации

3. Информационные ресурсы ограниченного распространения и угрозы ресурсам. Доступ персонала к конфиденциальной информации

Заключение

Список использованной литературы

Введение

С самого начала человеческой истории возникла потребность передачи и хранения информации.

Начиная примерно с XVII века, в процессе становления машинного производства на первый план выходит проблема овладения энергией. Сначала совершенствовались способы овладения энергией ветра и воды, а затем человечество овладело тепловой энергией.

В конце XIX века началось овладение электрической энергией, были изобретены электрогенератор и электродвигатель. И наконец, в середине XX века человечество овладело атомной энергией, в 1954 году в СССР была пущена в эксплуатацию первая атомная электростанция.

Овладение энергией позволило перейти к массовому машинному производству потребительских товаров. Было создано индустриальное общество. В этот период происходили также существенные изменения в способах хранения и передачи информации.

В информационном обществе главным ресурсом является информация. Именно на основе владения информацией о самых различных процессах и явлениях можно эффективно и оптимально строить любую деятельность.

Важно не только произвести большое количество продукции, но произвести нужную продукцию в определённое время. С определёнными затратами и так далее. Поэтому в информационном обществе повышается не только качество потребления, но и качество производства; человек, использующий информационные технологии, имеет лучшие условия труда, труд становится творческим, интеллектуальным и так далее.

В настоящее время развитые страны мира (США, Япония, страны Западной Европы) фактически уже вступили в информационное общество. Другие же, в том числе и Россия, находятся на ближних подступах к нему.

В качестве критериев развитости информационного общества можно выбрать три: наличие компьютеров, уровень развития компьютерных сетей и количество населения, занятого в информационной сфере, а также использующего информационные и коммуникационные технологии в своей повседневной деятельности.

Информация сегодня стоит дорого и её необходимо охранять. Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Информацией владеют и используют её все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, какая информация не должна быть доступна другим и т.д. Человеку легко, хранить информацию, которая у него в голове, а как быть, если информация занесена в «мозг машины», к которой имеют доступ многие люди.

1. Защита информации и информационная безопасность

Защита информации

Проблема создания системы защиты информации включает две взаимодополняющие задачи: 1) разработка системы защиты информации (ее синтез); 2) оценка разработанной системы защиты информации. Вторая задача решается путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты, информации комплексу требований к данным системам. Такая задача в настоящее время решается почти исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.

Рассмотрим основное содержание представленных методов защиты информации, которые составляют основу механизмов защиты.

Препятствия - методы физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом - метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

разрешение и создание условий работы в пределах установленного регламента;

регистрацию (протоколирование) обращений к защищаемым ресурсам;

регистрацию (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка - метод защиты информации путем ее криптографического закрытия. Этот метод широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.

Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение - метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение - метод защиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические. К. основным средствам защиты, используемым для создания механизма обеспечения безопасности, относятся следующие.

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Так, различают наружные системы охраны («Ворон», GUARDWIR, FPS и др.), ультразвуковые системы (Cyclops и т.д.), системы прерывания луча (Pulsar 30В и т.п.), телевизионные системы (VМ216 и др.), радиолокационные системы («ВИТИМ» и т.д.), система контроля вскрытия аппаратуры и др.

Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации. В такую группу средств входят: механизм шифрования (криптографии - специальный алгоритм, который запускается уникальным числом или битовой последовательностью, обычно называемым шифрующим ключом; затем по каналам связи передается зашифрованный текст, а получатель имеет свой ключ для дешифрования информации), механизм цифровой подписи, механизмы контроля доступа, механизмы обеспечения целостности данных, механизмы постановки графика, механизмы управления маршрутизацией, механизмы арбитража, антивирусные программы, программы архивации (например, zip, rar, arj и др.), защита при вводе и выводе информации и т.д.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, использование, эксплуатация).

Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).

В настоящее время наиболее острую проблему безопасности (даже в тех системах, где не требуется сохранять секретную информацию, и в домашних компьютерах) составляют вирусы. Поэтому здесь остановимся на них подробнее. Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т.е. «заражать» их), а также выполнять различные нежелательные действия на компьютере (например, портить файлы или таблицы размещения файлов на диске, «засорять» оперативную память и т.д.).

Основным средством защиты от вирусов служит архивирование. Другие методы заменить его не могут, хотя и повышают общий уровень защиты. Архивирование необходимо делать ежедневно. Архивирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов. Это дает возможность не только экономить место на специальных архивных дисках, но и объединять группы совместно используемых файлов в один архивный файл, в результате чего гораздо легче разбираться в общем архиве файлов. Наиболее уязвимыми считаются таблицы размещения файлов, главного каталога и бутсектор. Файлы рекомендуется периодически копировать на специальную дискету. Их резервирование важно не только для защиты от вирусов, но и для страховки на случай аварийных ситуаций или чьих-то действий, в том числе собственных ошибок.

В целях профилактики для защиты от вирусов рекомендуется:

работа с дискетами, защищенными от записи;

минимизация периодов доступности дискет для записи;

разделение дискет между конкретными ответственными пользователями;

разделение передаваемых и поступающих дискет;

разделение хранения вновь полученных программ и эксплуатировавшихся ранее;

проверка вновь полученного программного обеспечения на наличие в них вируса тестирующими программами;

хранение программ на жестком диске в архивированном виде.

Для того чтобы избежать появления компьютерных вирусов, необходимо соблюдать прежде всего следующие меры:

не переписывать программное обеспечение с других компьютеров, если это необходимо, то следует принять перечисленные выше меры;

не допускать к работе на компьютере посторонних лиц, особенно если они собираются работать со своими дискетами;

не пользоваться посторонними дискетами, особенно с компьютерными играми.

Можно выделить следующие типичные ошибки пользователя, приводящие к заражению вирусами:

отсутствие надлежащей системы архивации информации;

запуск полученной программы без ее предварительной проверки на зараженность и без установки максимального режима защиты винчестера с помощью систем разграничения доступа и запуска резидентного сторожа;

выполнение перезагрузки системы при наличии установленной в дисководе А дискеты (при этом BIOS делает попытку загрузиться именно с этой дискеты, а не с винчестера; в результате, если дискета заражена бутовым вирусом, происходит заражение винчестера);

прогон всевозможных антивирусных программ, без знания типов диагностики одних и тех же вирусов разными антивирусными программами;

анализ и восстановление программ на зараженной операционной системе.

В настоящее время наиболее популярные в России антивирусные средства АО «ДиалогНаука»:

полифаг Aidstest (полифаг- это программа, выполняющая действия обратные тем, которые производит вирус при заражении файла, т.е. пытающаяся восстановить файл);

ревизор Adinf;

лечащий блок AdinfExt;

полифаг для «полиморфиков» Doctor Web.

Существуют программы-фильтры, проверяющие, имеется ли в файлах (на указанном пользователем диске) специальная для данного вируса комбинация байтов. Используется также специальная обработка файлов, дисков, каталогов - вакцинация: запуск программ-вакцин, имитирующих сочетание условий, в которых начинает работать и проявляет себя данный тип вируса. В качестве примера резидентной программы для защиты от вирусов можно привести программу VSAFF фирмы Carmel Central Point Software. B качестве программ ранней диагностики компьютерного вируса могут быть рекомендованы программы CRCLIST и CRCTEST.

Информационная безопасность.

Информация с точки зрения информационной безопасности обладает следующими категориями: конфиденциальность информации - гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации целостность информации - гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения аутентичность информации - гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения апеллируемость информации - гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости - сам автор пытается "откреститься" от своих слов, подписанных им однажды.

В отношении информационных систем применяются иные категории: надежность - гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано точность - гарантия точного и полного выполнения всех команд контроль доступа - гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются контролируемость - гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса контроль идентификации - гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает устойчивость к умышленным сбоям - гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

2. Системы защиты информации

Безопасность передачи информации в сети Internet. Шифрование информации с помощью открытых и закрытых ключей. Цифровая подпись.

В современном Российском Интернет большинство его пользователей, в том числе корпоративных, использует глобальную сеть, в основном, как огромную базу данных, широчайший информационный ресурс, где удобно и быстро можно найти любую интересующую информацию, или предоставить широкой аудитории информацию о себе, своих товарах или услугах.

Одной из причин такого положения вещей является, на наш взгляд, отсутствие у представителей бизнеса уверенности, в безопасности передачи информации через Интернет. Именно по этой причине, часто используется факс, или курьер, там, где с успехом могут быть использованы возможности Интернет.

Рассмотрим, какие же направления защиты и соответствующие им технические средства вызывают сегодня наибольшее внимание со стороны разработчиков и потребителей.

Защита от несанкционированного доступа (НСД) ресурсов автономно работающих и сетевых ПК. Эта функция реализуется программными, программно-аппаратными и аппаратными средствами, которые будут рассмотрены ниже на конкретных примерах.

Защита серверов и отдельных пользователей сети Internet от злонамеренных хакеров, проникающих извне. Для этого используются специальные межсетевые экраны (брандмауэры), которые в последнее время приобретают все большее распространение (см. «Мир ПК», №11/2000, с. 82).

Защита секретной, конфиденциальной и личной информации от чтения посторонними лицами и целенаправленного ее искажения осуществляется чаще всего с помощью криптографических средств, традиционно выделяемых в отдельный класс. Сюда же можно отнести и подтверждение подлинности сообщений с помощью электронной цифровой подписи (ЭЦП). Применение криптосистем с открытыми ключами и ЭЦП имеет большие перспективы в банковском деле и в сфере электронной торговли. В данной статье этот вид защиты не рассматривается.

Достаточно широкое распространение в последние годы приобрела защита ПО от нелегального копирования с помощью электронных ключей. В данном обзоре она также рассмотрена на конкретных примерах.

Защита от утечки информации по побочным каналам (по цепям питания, каналу электромагнитного излучения от компьютера или монитора). Здесь применяются такие испытанные средства, как экранирование помещения и использование генератора шума, а также специальный подбор мониторов и комплектующих компьютера, обладающих наименьшей зоной излучения в том частотном диапазоне, который наиболее удобен для дистанционного улавливания и расшифровки сигнала злоумышленниками.

Защита от шпионских устройств, устанавливаемых непосредственно в комплектующие компьютера, так же как и измерения зоны излучения, выполняется спецорганизациями, обладающими необходимыми лицензиями компетентных органов.

Не вызывают сомнений преимущества Интернет, связанные с быстротой информационного обмена, экономией ресурсов при междугородном и международном информационном обмене, удобством при работе прикладных программ, автоматизирующих различные бизнес процессы между удаленными офисами компании, филиалами, партнерами, клиентами, сотрудниками с переносными ПК, находящимися вне своего офиса.

Все эти возможности, безусловно, способны значительно снизить временные и финансовые затраты компании и существенно повысить эффективность ее бизнеса.

Еще более весомую эффективность может принести использование Интернет при межкорпоративном информационном обмене, в таких системах как В2В портал или торговая Интернет- система.

К сожалению, на данный момент эти возможности Интернет востребованы не в достаточной мере, и одной из основных причин этого является именно причина недоверия Бизнеса к Интернет с точки зрения безопасности ее использования.

Очень часто нам приходится сталкиваться с двумя крайними, противоположными точками зрения.

Первая, заключается в отрицании проблемы безопасности как таковой, и как следствие недостаточность или отсутствие соответствующих средств обеспечения безопасности, при передаче через Интернет достаточно важной информации. Такой подход нередко заканчивается серьезными неприятностями и финансовыми потерями.

Вторая точка зрения, заключается в том, что Интернет чрезвычайно опасен, и никакие средства обеспечения безопасности не помогут сохранить неприкосновенность передаваемой через Интернет информации.

На мой взгляд, наиболее рациональным выходом из сложившейся ситуации является принцип "Золотой середины", при котором компанией осуществляется использование сети Интернет, для решения своих телекоммуникационных задач, при соблюдении соответствующих мер безопасности.

Такими мерами могут являться: собственный анализ своей телекоммуникационной инфраструктуры с точки зрения безопасности, приобретение и установка соответствующих средств защиты и обучение своих специалистов. Другой подход - привлечение к организации и поддержке своей системы безопасности профессионалов из компаний занимающихся данной проблемой.

На Российском рынке деятельность в области защиты информации регулируется Гостехкомиссией РФ и ФАПСИ. И только компании имеющие лицензии от этих структур имеют право заниматься информационной безопасностью в России.

Что касается продуктов, которые могут применяться для защиты, то на них существует система сертификации, которая, давая оценку их качества, присваивает им соответствующий класс защиты. Продукты, используемые для защиты сетей и компьютеров от проникновения непосредственно на них посторонних пользователей, сертифицируются Гостехкомиссией и называются продуктами для защиты от несанкционированного доступа (НСД). К числу таких продуктов можно отнести "Межсетевые экраны", Прокси сервера и т.д.

Использование таких систем при правильной их конфигурации позволяет значительно снизить опасность проникновения посторонних к защищаемым ресурсам.

Защита от несанкционированного доступа к ресурсам компьютера -- комплексная проблема, подразумевающая решение техническими средствами следующих вопросов:

идентификация и аутентификация пользователя при входе в систему;

контроль целостности СЗИ, программ и данных;

разграничение доступа пользователей к ресурсам ПК;

блокировка загрузки ОС с дискеты и CD-ROM;

регистрация действий пользователей и программ.

Действие такого экрана можно продемонстрировать на примере персонального сетевого экрана ViPNet производства компании "ИнфоТеКС". Данный межсетевой экран может устанавливаться как на сервер, так и на рабочую станцию. Используя его возможности можно организовать работу таким образом, что владелец компьютера может выйти на любой открытый ресурс ИНТЕРНЕТ, но при попытке доступа к его компьютеру кого-либо из внешнего мира, система блокирует такую попытку и оповещает о ней владельца. Далее можно получить информацию от системы о том с какого IP адреса пытались получить доступ.

Другая категория продуктов предназначена для организации защищенного информационного обмена и, безусловно, является наиболее надежной с точки зрения безопасности. Эти продукты, как правило, строятся на основе криптографии, и регулирование в этой области производится Федеральным Агентством Правительственной Связи и Информации. Такие продукты имеют возможность защищать данные шифрованием, причем данные не только, хранящиеся на жестком диске, но и данные, передаваемые по сетям, и в том числе "Интернет".

Таким образом, можно защитить как почтовые сообщения, так и информационный обмен между абонентами в режиме on-line. Системы позволяющие передавать любые данные через Интернет в защищенном виде называют VPN (Виртуальная Частная Сеть). VPN это виртуальная сеть с полностью закрытым от постороннего доступа информационным обменом через открытый Интернет. Именно поэтому ее называют частной.

Закрытие информации в таких системах производится, как правило, с помощью шифрования. Шифрование т.е. преобразование открытых данных в закрытые (шифрованные) производится при помощи специальных, как правило, программных ключей. Основным вопросом с точки зрения безопасности в таких системах является вопрос ключевой структуры. Как и где формируется ключ, где он хранится, как передается, кому доступен.

На сегодняшний день, известны лишь два типа алгоритмов шифрования: симметричные (классические) и асимметричные (алгоритмы шифрования с открытым ключом). Каждая из этих систем имеет свои плюсы и минусы.

При использовании симметричных алгоритмов используется один и тот же ключ для шифрования и расшифрования информации. Т.е. если пользователи А и Б хотят конфиденциально обменяться информацией, то они должны совершить следующие действия: пользователь А шифрует информацию (открытый текст) с помощью ключа и передает полученный шифртекст пользователю Б, который с помощью этого же ключа получает открытый текст.

Однако у симметричных алгоритмов шифрования есть один недостаток: перед тем как обмениваться конфиденциальной информацией, двум пользователям необходимо обменяться общим ключом, но в условиях, когда пользователи разобщены и их достаточно много, возникают большие неудобства по рассылке ключей. Кроме того, так как эти ключи как правило формируются неким Центром формирования, то они заведомо известны этому центру. Для решения данной проблемы была создана криптография с асимметричными ключами.

Основная идея криптографии с асимметричными ключами заключается в использовании пары ключей. Первый - открытый асимметричный ключ (public key) - доступен всем и используется всеми, кто собирается посылать сообщения владельцу ключа. Второй - секретный асимметричный ключ (private key) - известен только владельцу и с помощью него расшифровываются сообщения, зашифрованные на парном ему открытом ключе. Таким образом, секретная часть ключа формируется и хранится непосредственно у абонента, и недоступна никому другому. В наиболее современных системах используется комбинированная ключевая система, которая обладает как высокой стойкостью симметричного ключа, так и недоступностью для центра и гибкостью асимметричной системы. Подобными качествами обладает например система созданная компанией "ИнфоТеКС" под торговой маркой ViPNet. Данная система позволяет: как передавать любые данные, включая почту, файлы, речь, видео и т.д. через Интернет в защищенном виде, так и защищать ресурсы сети организации, включая сервера, рабочие станции и даже мобильные компьютеры выходящие в Интернет в любой точке мира от постороннего доступа.

3. Информационные ресурсы ограниченного распространения и угрозы ресурсам

Информационные ресурсы - это документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, депозитариях, музейных храненьях и др.).

В течение всей предшествующей XX в. истории развития человеческой цивилизации основным предметом труда оставались материальные объекты. Деятельность за пределами материального производства и обслуживания, как правило, относилась к категории непроизводительных затрат. Экономическая мощь государства измерялась его материальными ресурсами. Еще в конце 70-х годов председатель программы по формированию политики в области информационных ресурсов, профессор Гарвардского университета А. Осттингер писал, что наступает время, когда информация становится таким же основным ресурсом, как материалы и энергия, и, следовательно, по отношению к этому ресурсу должны быть сформулированы те же критические вопросы: кто им владеет, кто в нем заинтересован, насколько он доступен, возможно ли его коммерческое использование? Президент Академии наук США Ф. Хендлер сформулировал эту мысли следующим образом: “Наша экономика основана не на естественных ресурсах, а на умах и на применении научного знания”. В настоящее время идет борьба за контроль над наиболее ценными из всех, известных до настоящего времени ресурсов - национальные информационные ресурсы.

“Мы идем в другие страны не для того, чтобы воспользоваться преимуществами более низких издержек. Мы внедряемся туда потому, что там есть интеллектуальные резервы, и мы должны их перехватить, для того, чтобы успешно конкурировать”.

Термин “информационные ресурсы” стал широко использоваться в научной литературе после публикации известной монографии Г.Р. Громова “Национальные информационные ресурсы: проблемы промышленной эксплуатации”. Сейчас он еще не имеет однозначного толкования, несмотря на то, что это понятие является одним из ключевых в проблеме информатизации общества. Поэтому важной является проблема понимания сущности информационного ресурса, как формы представления данных и знаний, его роли в социальных процессах, а также закономерностей формирования, преобразования и распространения различных видов информационных ресурсов обществе.

Для обеспечения активизации и эффективного использования информационных ресурсов общества необходимо осуществить “электронизацию” информационных фондов. По мнению академика А. Ершова именно “в загрузке и активизации информационного фонда человечества в глобальной компьютерной сети, собственно, и заключается задача информатизации в ее техническом содержании”.

Активными информационными ресурсами является та часть ресурсов, которую составляет информация, доступная для автоматизированного поиска, хранения и обработки: формализованные и законсервированные на машинных носителях в виде работающих программ профессиональные знания и навыки, текстовые и графические документы, а также любые другие содержательные данные, потенциально доступные на коммерческой основе пользователям национального парка компьютеров. Национальные и мировые информационные ресурсы являются экономическими категориями.

Отсюда можно сделать вывод, что эффективность использования информационных ресурсов - это важнейший показатель информационной культуры общества.

Основными участниками рынка информационных услуг являются:

- производители информации (producers);

- продавцы информации (vendors, Вендоры);

- пользователи информации(users) или подписчики

Сегодня наиболее распространенным средством доступа к информационным ресурсам являются компьютерные сети, а самым прогрессивным способом получения информации выступает режим онлайн (online - интерактивный, диалоговый режим). Он предоставляет возможность пользователю, войдя в компьютерную сеть, получить доступ к "большому компьютеру" (Host - компьютеру) и к его информационным ресурсам в режиме прямого диалога, реализуемого в реальном времени.

К пользователям такого рода относят как конечных потребителей информации, так и промежуточных, оказывающих своим клиентам услуги при решении информационных задач (специальные информационные центры, имеющие доступ к нескольким онлайн системам, или специалисты-профессионалы, занимающиеся платным информационным обслуживанием клиентов, потребителей информации).

Рынок информационных онлайн услуг включает в себя следующие основные сегменты:

-компьютеризированные системы резервирования и финансовые информационные службы;

-базы данных (БД), ориентированные на массового потребителя;

-профессиональные БД.

Среди БД обычно выделяют следующие типы:

-текстовые (полнотекстовые, реферативные, библиографические, словари);

-БД, содержащие изображения и использующие средства мультимедиа;

-числовые и табличные БД;

-БД, содержащие программное обеспечение;

-доски объявлений.

Подобные БД хранят также на CD-ROM, дискетах и магнитных лентах. Ниже, однако, речь будет идти о БД, доступ к которым осуществляется в онлайн режиме - "профессиональными онлайновыми БД".

К производителям информации относят как организации, добы-вающие и публикующие информацию (информационные агентства, средства массовой информации, редакции газет и журналов, издатели, патентные ведомства), так и организации, профессионально в течение многих лет занимающиеся ее обработкой (отбором информации, индексацией, загрузкой в базы данных в виде полных текстов, кратких рефератов и т.п.).

Угрозы ресурсам.

Угрозы информационным ресурсам можно в общем случае классифицировать:

1). По цели реализации угроз:

· угрозы конфиденциальности:

- хищение (копирование) информации и средств ее обработки (носителей);

- утрата (неумышленная потеря, утечка) информации и средств ее обработки (носителей);

· угрозы доступности:

- блокирование информации;

- уничтожение информации и средств ее обработки (носителей);

· угрозы целостности:

- модификация (искажение) информации;

- отрицание подлинности информации;

- навязывание ложной информации, обман

При этом:

Хищение и Уничтожение информации понимается аналогично по применению к материальным ценным ресурсам. Уничтожение компьютерной информации - стирание информации в памяти ЭВМ.

Копирование информации - повторение и устойчивое запечатление информации на машинном или ином носителе.

Повреждение - изменение свойств носителя информации, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и он становиться полностью или частично непригодным для целевого использования.

Модификация информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных для компьютерной информации.

Блокирование информации - несанкционированное затруднение доступа пользователей к информации, не связанное с ее уничтожением;

Несанкционированное уничтожение, блокирование, модификация, копирование информации - любые, не разрешенные Законом, собственником или компетентным пользователем указанных действий с информацией.

Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество, и таким образом добиться от него добровольной передачи имущества, а также сообщений с этой целью заведомо ложных сведений.

2) По принципу воздействия на носители информации - систему обработки и передачи информации (АСОИ):

- с использованием доступа нарушителя (злоумышленника, пользователя АСОИ, процесса) к объекту (в комнату переговоров, к файлу данных, каналу связи и т.д.);

- с использованием скрытых каналов - с применением ЗУ, РЗУ, путей передачи информации, позволяющих двум взаимосвязанным процессам (легитимному и внедренному злоумышленником) обмениваться информацией таким способом, который приводит к у теске информации.

3) По характеру воздействия на систему обработки и передачи информации:

- активные угрозы, связанные с выполнением нарушителем каких-либо действий, (копирование, несанкционированная запись, доступ к наборам данных, программам, вскрытие пароля и т.д.);

- пассивные угрозы, осуществляются путем наблюдения пользователем каких-либо побочных эффектов процессов движения информации и их анализа.

4) По факту наличия возможной для использования ошибки защиты угроза может быть обусловлена одной из следующих причин:

- неадекватностью - несоответствием режиму безопасности защиты зоны охраны.

- ошибками административного управления- режима безопасности;

- ошибками в алгоритмах программ, в связях между ними и т.д., которые возникают на этапе проектирования программ или комплекса программ и из-за которых эти программы могут быть использованы совсем не так, как описано в документации.

- ошибками реализации алгоритмов программ (ошибки кодирования), связей между ними и т.д., которые возникают на этапах реализации, отладки и могут служить источником недокументированных свойств.

5) По способу воздействия на объект атаки (при активном воздействии):

- непосредственное воздействие на объект атаки (в том числе с использованием привилегий), например: непосредственный доступ в зоны слышимости и видимости, к набору данных, программе, службе, каналу связи и т.д., воспользовавшись какой-либо ошибкой;

- воздействие на систему разрешений (в том числе захват привилегий). При этом несанкционированные действия выполняются относительно прав пользователей на объект атаки, а сам доступ к объекту осуществляется потом законным образом;

- опосредованное воздействие (через других пользователей):

- "маскарад". В этом случае пользователь присваивает себе каким-либо образом полномочия другого пользователя, выдавая себя за него;

- "использование вслепую". При таком способе один пользователь заставляет другого выполнить необходимые действия (для системы защиты они не выглядят несанкционированными, ибо их выполняет пользователь, имеющий на это право), причем последний о них может и не подозревать. Для реализации этой угрозы может использоваться вирус (он выполняет необходимые действия и сообщает о их результате тому, кто его внедрил).

Два последних способа очень опасны. Для предотвращения подобных действий требуется постоянный контроль как со стороны администраторов и операторов за работой АСОИ в целом, так и со стороны пользователей за своими собственными наборами данных.

6) По способу воздействия на АСОИ:

- в интерактивном режиме - в процессе длительной работы с программой;

- в пакетном режиме - после долговременной подготовки быстрым внедрением пакета программ направленного действия.

Работая с системой, пользователь всегда имеет дело с какой-либо ее программой. Одни программы составлены так, что пользователь может оперативно воздействовать на ход их выполнения, вводя различные команды или данные, а другие так, что всю информацию приходится задавать заранее. К первым относятся, например, некоторые утилиты, управляющие программы баз данных, в основном - это программы, ориентированные на работу с пользователем. Ко вторым относятся в основном системные и прикладные программы, ориентированные на выполнение каких-либо строго определенных действий без участия пользователя.

При использовании программ первого класса воздействие оказывается более длительным по времени и, следовательно, имеет более высокую вероятность обнаружения, но более гибким, позволяющим оперативно менять порядок действий. Воздействие с помощью программ второго класса (например, с помощью вирусов) является кратковременным, трудно диагностируемым, гораздо более опасным, но требует большой предварительной подготовки для того, чтобы заранее предусмотреть все возможные последствия вмешательства.

7) По объекту атаки:

- АСОИ в целом: злоумышленник пытается проникнуть в систему для последующего выполнения каких-либо несанкционированных действий. Используют обычно "маскарад", перехват или подделку пароля, взлом или доступ к АСОИ через сеть;

- объекты АСОИ - данные или программы в оперативной памяти или на внешних носителях, сами устройства системы, как внешние (дисководы, сетевые устройства, терминалы), так и внутренние (оперативная память, процессор), каналы передачи данных. Воздействие на объекты системы обычно имеет целью доступ к их содержимому (нарушение конфиденциальности или целостности обрабатываемой или хранимой информации) или нарушение их функциональности (например, заполнение всей оперативной памяти компьютера бессмысленной информацией или загрузка процессора компьютера задачей с неограниченным временем исполнения);

- субъекты АСОИ - процессоры пользователей. Целью таких атак является либо прямое воздействие на работу процессора -- его приостановка, изменение характеристик (например, приоритета), либо обратное воздействие - использование злоумышленником привилегий, характеристик другого процесса в своих целях. Воздействие может оказываться на процессы пользователей, системы, сети;

- каналы передачи данных - прослушивание канала и анализ графика (потока сообщений); подмена или модификация сообщений в каналах связи и на узлах-ретрансляторах; изменение топологии и характеристик сети, правил коммутации и адресации.

8) По используемым средствам атаки:

- с использованием стандартного программного обеспечения;

-с использованием специально разработанных программ.

9) По состоянию объекта атаки.

- Объект атаки хранится на диске, магнитной ленте, в оперативной памяти или в любом другом месте в пассивном состоянии. При этом воздействие на объект обычно осуществляется с использованием доступа;

- Объект атаки находится в состоянии передачи по линии связи между узлами сети или внутри узла. Воздействие предполагает либо доступ к фрагментам передаваемой информации (например, перехват пакетов на ретрансляторе сети), либо просто прослушивание с использованием скрытых каналов;

- Объект атаки (процесс пользователя) находиться в состоянии обработки.

Приведенная классификация показывает сложность определения возможных угроз и способов их реализации.

Доступ персонала к конфиденциальной информации.

Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу - в помещении фирмы.

Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определенным документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.

При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части:

* доступ к персональному компьютеру, серверу или рабочей станции;

* доступ к машинным носителям информации, хранящимся вне ЭВМ;

* непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

* определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;

* регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

* организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

* организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;

* организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;

* организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стерты с жесткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стертую конфиденциальную информацию на жестком диске (произвести «уборку мусора»).

Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

* организацию учета и выдачи сотрудникам чистых машинных носителей информации;

* организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей с записанной информацией (основных и резервных);

* определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтенные машинные носители информации;

* организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;

* организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;

* организацию хранения машинных носителей в службе КД в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях;

* определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников. Работа сотрудников службы КД и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник - злоумышленник, то можно считать, что самые серьезные рубежи защиты охраняемой электронной информации он успешно прошел. В конечном счете он может просто унести компьютер или вынуть из него и унести жесткий диск, не «взламывая» базу данных.

Обычно доступ к базам данных и файлам подразумевает:

* определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;

* именование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;

* учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

* регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;

* регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;

* установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;

* отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

* механическое (ключом или иным приспособлением) блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором. Применение пользователем собственных кодов не допускается.

Следовательно, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.

Заключение

Стабильность кадрового состава является важнейшей предпосылкой надежной информационной безопасности фирмы. Миграция специалистов - самый трудно контролируемый канал утраты ценной и конфиденциальной информации. Вместе с тем полностью избежать увольнений сотрудников не представляется возможным. Необходим тщательный анализ причин увольнения, на основе которого составляется и реализуется программа, исключающая эти причины. Например, повышение окладов, аренда жилья для сотрудников вблизи фирмы и оздоровление психологического климата, увольнение руководителей, злоупотребляющих своим служебным положением, и др.

Список использованной литературы

информация защита безопасность

1. Забелин Е.И. Информационная безопасность в Интернет - услуги для бизнеса

Оригинал статьи: http://www.OXPAHA.ru/view.asp?2280.

2. Еженедельник “Computerworld», #22, 1999 год // Изд-во «Открытые системы» http://www.osp.ru/cw/1999/22/061.htm

3. А.Дмитриев Системы защиты информации. Журнал «Мир ПК», #05, 2001 год //Изд-во «Открытые системы». http://www.osp.ru/pcworld/2001/05/010.htm

4. Сервисы безопасности от Novell. Модули шифрования. http://novell.eureca.ru/

5. Паула Шерик. 10 вопросов о шифровании в NT 4.0 http://www.osp.ru/win2000/2001/05/050.htm

Размещено на Allbest.ru