Предупреждение несанкционированного доступа к информации в локальных вычислительных сетях

Размещено на http://www.allbest.ru/

Тотальная компьютеризация инфраструктуры привела к бурному развитию технических способов и средств, позволяющих добывать конфиденциальную информацию ограниченного пользования. В течение прошедшего десятилетия бурно развивались программные и аппаратные средства и способы добывания информации из компьютеров и компьютерных сетей. Перспективность этого направления обусловлена неукоснительно растущим, посредством «безбумажных технологий», документооборотом, осуществляемым с помощью вычислительных сетей. В ряде случаев утечка подобной информации способна влиять не только на безопасность организации, но и на государственную безопасность.

В соответствии со ст. 20 Федерального закона "Об информации, информатизации и защите информации" целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные сети.

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ, обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

Для достижения этих целей используется три основных направления, представленных на рисунке 1:

1) Организационный.

2) Технический.

3) Комплексный.

Организационные меры защиты СКТ включают в себя совокупность организационных мероприятий по подбору, проверке и инструктажу персонала, участвующего на всех стадиях информационного процесса; разработке плана восстановления информационных объектов после выхода их из строя; организации программно-технического обслуживания СКТ; возложению дисциплинарной ответственности на лиц по обеспечению безопасности конкретных СКТ; осуществлению режима секретности при функционировании компьютерных сетей; обеспечению режима физической охраны объектов; материально-техническому обеспечению и т. д. и т. п. Организационные мероприятия, по мнению многих специалистов, занимающихся вопросами безопасности компьютерных сетей, являются важным и одним из эффективных средств защиты информации, одновременно являясь фундаментом, на котором строится в дальнейшем вся система защиты.

Одним из эффективных средств предотвращения несанкционированного доступа к компьютерной информации является ознакомление и обучение сотрудников не только с требованиями по обеспечению информационной и компьютерной безопасности, но и с применяемыми организационно-техническими мерами защиты.

Существенную роль в предупреждении преступлений в вычислительных сетях играют технические методы защиты компьютерной техники от несанкционированного доступа.

Условно меры технического характера можно подразделить на три основные группы в зависимости от характера и специфики охраняемого объекта, а именно, аппаратные, программные и комплексные.

Аппаратные методы предназначены для защиты аппаратных средств и средств связи компьютерной техники от нежелательных физических воздействий на них сторонних сил, а также для закрытия возможных нежелательных каналов утечки конфиденциальной информации и данных, образующихся за счет побочных электромагнитных излучений и наводок, виброакустических сигналов и т.д. Практическая реализация данных методов обычно осуществляется с помощью применения различных технических устройств специального назначения.

Программные методы защиты предназначаются для непосредственной защиты информации по трем направлениям (уровням):

а) аппаратуры;

б) программного обеспечения;

в) данных, а также для обеспечения должного контроля да правильностью осуществления процессов их ввода, вывода, обработки, записи, стирания, чтения и передачи по каналам связи.

Так, например, защита информации на уровне данных и управляющих команд направлена на:

1) защиту информации при ее передаче по каналам связи между пользователем и ЭВМ или между различными ЭВМ;

2) разграничение доступа и, как следствие, обеспечение доступа только к разрешенным данным, хранящимся в ЭВМ, и выполнение только допустимых операций над ними.

Для защиты информации при ее передаче обычно используют различные методы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой. Как показывает практика, методы шифрования позволяют достаточно надежно скрыть смысл сообщения. Например, в США, в соответствии с директивой Министерства финансов, начиная с 1984 г. все общественные и частные организации были обязаны внедрить процедуру шифрования коммерческой информации по системе DES (Data Encryption Standard), официально утвержденной Национальным бюро стандартов США еще в 1978 г. А с 1987 г. начал действовать принятый Международный стандарт ISO 8372, разработанный на базе алгоритма криптографического преобразования DES.

В России в июле 1991 г. был введен в действие ГОСТ 26147-89 криптографирования информации, представляющий собой единый алгоритм криптографического преобразования данных для систем обработки информации в сетях ЭВМ, отдельных вычислительных комплексах и ЭВМ, функционирующий на базе

программный сеть безопасность

отечественного алгоритма Krypton, аналогичного по своим основным техническим параметрам DES.

Все программы защиты, осуществляющие управление доступом к машинной информации, функционируют по принципу ответа на вопросы: кто может выполнять, какие операции и над какими данными. В данном случае в качестве объекта охраны, доступ к которому контролируется, может выступать файл, запись в файле или отдельное поле записи файла, а в качестве факторов, влияющих на принятие программой защиты решения о доступе, -- внешнее событие, значение данных, состояние компьютерной сети, полномочий пользователя, предыстория обращения, семантические отношения между данными.

Средства регистрации, как и средства контроля доступа к информационным ресурсам, также относятся к эффективным мерам противодействия попыткам несанкционированного доступа. Однако, если средства контроля доступа предназначены непосредственно для этого, то задача средств регистрации заключается в обнаружении и фиксации уже совершенных действий преступника или попытках их совершения.

По мнению отечественных исследователей, занимающихся вопросами безопасности компьютерных сетей, лишь в рамках исключительно одной своей отрасли при безбумажной технологии должны быть созданы условия, исключающие как случайные (непреднамеренные) ошибки, так и умышленные искажения вводимой информации.

В настоящее время специалистами выделяется четыре основных способа идентификации личности пользователя, а именно:

1) по предмету, которым владеет человек;

2) по паролю, личному идентификационному коду, который вводится в ЭВМ с клавиатуры;

3) по физическим (антропометрическим) характеристикам личности, присущим индивидуально только ей;

4) по электронной цифровой подписи (ЭЦП), основанной на использовании криптографической системы с открытым ключом.

Последние два способа считаются самыми перспективными и надежными в плане достоверности идентификации личности. К первому из них относятся все существующие биометрические системы санкционированного доступа, основанные на идентификации личности по таким характеристикам, как голос, размер ладони, отпечатки пальцев рук, сетчатка глаза, почерк, фотоснимок и т.п. Ко второму способу относится ЭЦП, широко используемая в зарубежных странах. Она позволяет:

· гарантировать авторство сообщения;

· реализовать юридическое заверение подписи и подлинности документа, переданного по каналам радиоэлектронных коммуникаций;

· повысить защищенность данных и информации, передаваемых по каналам связи.

При этом электронная подпись дает возможность не только гарантировать аутентичность документа в части его авторства путем электронно-цифровой фиксации основного текста и личностных характеристик подписи, но и установить неискаженность (целостность) содержащейся в нем информации, а также зафиксировать попытки подобного искажения. Электронная подпись, состав которой непосредственно зависит от заверяемого текста, соответствует только этому тексту, при условии, что его никто не изменял.

При рассмотрении вопросов, касающихся программной защиты информационных ресурсов, нами особо выделяется проблема их защиты от компьютерных вирусов как способа совершения компьютерного преступления. Многими специалистами отмечается в этом направлении общая для всех классов и типов ЭВМ высокая опасность «заражения» компьютерным вирусом. Одновременно с этим нами специально обращается внимание на специфическую сторону этой проблемы для персональных компьютеров (ПК) как объектов, наиболее подверженных этим противоправным деяниям по ряду причин, напрямую зависящих от их тактико-технических характеристик.

При обработке документов, содержащих информацию, отнесенную к служебной тайне, предлагается соблюдать ряд принципов:

– централизовать все стадии обработки, хранения подобных документов и производить централизованный учет;

– производить операционный учет технологических действий, каждого факта использования документа и обязательно контролировать правильность выполнения учетных операций;

– строго контролировать правила работы сотрудников с документами;

– они должны быть направлены, в первую очередь, на идентификацию личности пользователя.

Кроме того, так как взаимодействие абонентов локальной вычислительной сети базируется на использовании сетевых протоколов и сервисов, их необходимо постоянно подвергать проверке.

Литература

программный сеть безопасность

1.Федеральный закон «Об информации, информатизации и защите информации» (Ст. 20)// Собрание законов РФ, 1995. - № 8.

2.УК РФ, 1996 г., ст.ст. 183, 272 - 274.

3.Государственный стандарт «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования (ГОСТ 28147-89)// Бюллет. норм. акт. мин. и ведомств СССР. М.: 1989.

4.Черкасов ВЛ. Теория и практика решения организационно-методических проблем борьбы с экономической преступностью в условиях применения компьютерных технологий. М.: 1994.

5.Спесивцев А.В., Вегнер В.А., Крутяков А.Ю., Серегин ВВ., Сидоров В.А. Защита информации в персональных ЭВМ. М.: Радио и связь, 1992.

6.Румянцев О. Г., Додонов В.Н. Юридический энциклопедический словарь, М., "ИНФРА-М", 1997 г.

7.Першиков В.И., Савинков В.М. Толковый словарь по информатике. М.: Финансы и статистика, 1991.

Размещено на Allbest.ru