Теоретические основы защиты информации

Рассмотрение вопросов защиты компьютерной информации, угрозы и основные методы реализации информационной безопасности. Организационно-правовые меры и способы предохранения. Средства защиты: инженерно–технические и программно–аппаратные технологии.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 02.01.2014
Размер файла 32,1 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

Проблема защиты информации с момента появления до современного состояния прошла длительный и во многом противоречивый путь в своем развитии. Изначально существовало два направления решения задачи поддержания конфиденциальности: использование криптографических методов защиты информации в средах передачи и хранения данных и программно-техническое разграничение доступа к данным и ресурсам вычислительных систем. При этом стоит учесть, что в начале 80-х годов компьютерные системы были слабо распределенными, технологии глобальных и локальных вычислительных сетей находились на начальной стадии своего развития, и указанные задачи удавалось достаточно успешно решать.

Позже, с появлением тенденции к распределенной обработке информации, классический подход к организации разделения ресурсов и классические криптографические протоколы начали постепенно исчерпывать себя и эволюционировать. Первостепенными стали проблемы аутентификации взаимодействующих элементов системы, а также способы управления криптографическими механизмами в распределенных компьютерных системах. Вместе с тем, начало складываться мнение о том, что функции криптографической защиты являются равноправными для автоматизированной системы и должны быть рассмотрены вместе с другими функциями. Данная теория послужила отправной точкой для разделения проблематики собственно средств защиты (включая криптографические средства, средства контроля доступа и др.) и средств обеспечения их корректной работы.

В начале 80-х годов возник ряд моделей защиты, основанных на разделении автоматизированной системы обработки информации на субъекты и объекты (модели Белла-Лападула, модель Take-Grant и др.). В данных моделях ставятся и исследуются вопросы взаимодействия элементов системы с заданными свойствами. Целью анализа и последующей реализации модели является именно достижение таких свойств системы, как конфиденциальность и доступность. Например, описывается дискреционный механизм безопасности, разделяющий доступ поименованных субъектов к поименованным объектам или полномочное управление доступом, моделирующее систему категорий и грифов доступа. Как правило, та или иная модель безопасности исходит из априорной технологии работы с объектами (так, например мандатная модель моделирует структуру секретного делопроизводства), которая может быть формализована и обоснована. При практической реализации данных моделей в конкретных системах встал вопрос о гарантиях выполнения их свойств (фактически это выполнение условий тех или иных утверждений, обосновывающих свойства формализованной модели).

Так как процесс обеспечения информационной безопасности - это непрерывный процесс, то и существующая методология проектирования защищенной системы представляет собой итеративный процесс устранения найденных слабостей, некорректностей и неисправностей.

В 1996 г. в классической работе Грушо А. А. и Тимониной Е.Е. "Теоретические основы защиты информации" был высказан и обоснован тезис о том, что гарантированную защищенность в автоматизированной системе следует понимать как гарантированное выполнение априорно заданной политики безопасности.

Нельзя не отметить конструктивность такого подхода к формулированию гарантий политики безопасности, поскольку проверка наличия заданного набора свойств достаточно легко проводится или может быть заложена при проектировании. Однако эти требования рассматриваются без учета связи между собой, т. е. формально и не структурировано. Качественное описание свойств системы (например, "идентификация и аутентификация" или "контроль целостности") не касается взаимосвязи данных механизмов и их количественных характеристик.

Математическая модель политики безопасности рассматривает систему защиты в некотором стационарном состоянии, когда действуют защитные механизмы, а описание разрешенных или неразрешенных действий не меняется. На практике же система обработки информации проходит путь от отсутствия защиты к полному оснащению защитными механизмами. При этом система управляется, т.е. разрешенные и неразрешенные действия в ней динамически изменяются.

Упомянутые выше методики оценки защищенности представляют собой в какой-то мере необходимые условия. Выполнение заданного набора качественных показателей с одной стороны не позволяет оценить количественно каждый показатель, а с другой препятствует системному подходу.

Таким образом, основной особенностью информационной безопасности автоматизированных систем всегда являлась(и является сейчас) ее практическая направленность.

1. Классические угрозы безопасности информации

компьютерный информационный безопасность программный

Угроза безопасности информации компьютерной системы (КС) - это потенциально возможное воздействие на информацию (КС), которое прямо или косвенно может нанести урон пользователям или владельцам информации (КС).

Угрозы информационной безопасности могут быть разделены на два вида:

· естественные угрозы физических воздействий на информацию стихийных природных явлений - угрозы не зависящие от деятельности человека;

· искусственные угрозы - угрозы, вызванные человеческой деятельностью и являющиеся гораздо более опасными.

Искусственные угрозы, в зависимости от их мотивов, разделяются на непреднамеренные (случайные) и преднамеренные (умышленные).

К непреднамеренным угрозам относятся:

· ошибки в проектировании КС;

· ошибки в разработке программных средств КС;

· случайные сбои в работе аппаратных средств КС, линий связи, энергоснабжения;

· ошибки пользователей КС;

· воздействие на аппаратные средства КС физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.

Наибольшего внимания заслуживают искусственные преднамеренные угрозы, ввиду того, что вероятность этих угроз намного выше уже описанных.

2. Основные методы реализации угроз информационной безопасности

К основным направлениям реализации злоумышленником информационных угроз относятся:

· непосредственное обращение к объектам доступа;

· создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;

· модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;

· внедрение в технические средства системы программных или технических механизмов, нарушающих её предполагаемую структуру и функции.

При рассмотрении вопросов защиты автоматизированных систем целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой системе информации, которая поможет систематизировать как возможные угрозы, так и меры по их нейтрализации и парированию, т.е. поможет систематизировать и обобщить весь спектр методов обеспечения защиты, относящихся к информационной безопасности. Эти уровни следующие:

· уровень носителей информации;

· уровень средств взаимодействия с носителем;

· уровень представления информации;

· уровень содержания информации.

Данные уровни были введены исходя из того, что:

1. Информация для удобства манипулирования чаще всего фиксируется на некотором материальном носителе, которым может быть бумага, дискета или иной носитель;

2. Если способ представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходимость в преобразователях информации в доступный для человека способ представления.

3. Как уже было отмечено, информация может быть охарактеризована способом своего представления или тем, что еще называется языком в обиходном смысле.

4. Человеку должен быть доступен смысл представленной информации, ее семантика.

3. Классификация методов и средств защиты информации

Существующие методы и средства защиты информации можно подразделить на четыре основные группы:

· методы и средства организационно-правовой защиты информации;

· методы и средства инженерно-технической защиты информации;

· криптографические методы и средства защиты информации;

· программно-аппаратные методы и средства защиты информации.

4. Организационно-правовые методы и средства защиты

К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

Основные свойства методов и средств организационной защиты:

· обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);

· объединение всех используемых в КС средств в целостный механизм защиты информации.

Методы и средства организационной защиты информации включают в себя:

· ограничение физического доступа к объектам КС и реализация режимных мер;

· ограничение возможности перехвата ПЭМИН;

· разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);

· резервное копирование наиболее важных с точки зрения утраты массивов документов;

· профилактику заражения компьютерными вирусами.

Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей. В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты, при этом далеко не все.

Можно выделить четыре уровня правового обеспечения информационной безопасности:

1. Международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России.

2. Подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ.

3. Государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами.

4. Локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации.

5. Инженерно-технические методы и средства защиты

Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, которые обеспечивают:

· защиту территории и помещений КС от проникновения нарушителей;

· защиту аппаратных средств КС и носителей информации от хищения;

· предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств КС;

· предотвращение возможности перехвата ПЭМИН, вызванных работающими техническими средствами КС и линиями передачи данных;

· организацию доступа в помещения КС сотрудников;

· контроль над режимом работы персонала КС;

· контроль над перемещением сотрудников КС в различных производственных зонах;

· противопожарную защиту помещений КС;

· минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий.

Важнейшей составной частью инженерно-технических средств защиты информации являются технические средства охраны, которые образуют первый рубеж защиты КС и являются необходимым, но недостаточным условием сохранения конфиденциальности и целостности информации в КС.

6. Программные и программно-аппаратные методы и средства защиты

К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств КС.

К основным аппаратным средствам защиты информации относятся:

· устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т.п.);

· устройства для шифрования информации;

· устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).

Примеры вспомогательных аппаратных средств защиты информации:

· устройства уничтожения информации на магнитных носителях;

· устройства сигнализации о попытках несанкционированных действий пользователей КС и др. Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций.

К основным программным средствам защиты информации относятся:

· программы идентификации и аутентификации пользователей КС;

· программы разграничения доступа пользователей к ресурсам КС;

· программы шифрования информации;

· программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т п.) от несанкционированного изменения, использования и копирования.

Заметим, что под идентификацией, применительно к обеспечению информационной безопасности КС, понимают однозначное распознавание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта).

Примеры вспомогательных программных средств защиты информации:

· программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т.п.);

· программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;

· программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);

· программы тестового контроля защищенности КС и др.

К преимуществам программных средств защиты информации относятся:

· простота тиражирования;

· гибкость (возможность настройки на различные условия применения, учитывающие специфику угроз информационной безопасности конкретных КС);

· простота применения - одни программные средства, например шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя никаких новых (по сравнению с другими программами) навыков;

· практически неограниченные возможности их развития путем внесения изменений для учета новых угроз безопасности информации.

К недостаткам программных средств защиты информации относятся:

· снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирования программ защиты;

· более низкая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты, например шифрования);

· пристыкованность многих программных средств защиты (а не их встроенность в программное обеспечение КС), что создает для нарушителя принципиальную возможность их обхода;

· возможность злоумышленного изменения программных средств защиты в процессе эксплуатации КС.

7. Защита от несанкционированного доступа к информации в компьютерных системах

В руководящих документах Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) приведены следующие основные способы несанкционированного доступа к информации в КС:

· непосредственное обращение к объекту с конфиденциальной информацией (например, с помощью управляемой пользователем программы, читающей данные из файла или записывающей их в него);

· создание программных и технических средств, выполняющих обращение к объекту в обход средств защиты (например, с использованием случайно или преднамеренно оставленных разработчиком этих средств, так называемых «люков»);

· модификация средств защиты для осуществления несанкционированного доступа (например, внедрение программных закладок);

· внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих структуру и функции этих средств для осуществления несанкционированного доступа (например, путем загрузки на компьютере иной, незащищенной операционной системы).

Модель нарушителя определяется исходя из следующих предположений:

· нарушитель имеет доступ к работе со штатными средствами КС;

· нарушитель является специалистом высшей квалификации (знает все о КС и, в частности, о системе и средствах ее защиты).

· Можно выделить следующие уровни возможностей нарушителя, предоставляемые ему штатными средствами КС (каждый следующий уровень включает в себя предыдущий):

1. Запуск программ из фиксированного набора (например, подготовка документов или получение почтовых сообщений);

2. Создание и запуск собственных программ (возможности опытного пользователя или пользователя с полномочиями отладки программ);

3. Управление функционированием КС - воздействие на ее базовое программное обеспечение, состав и конфигурацию КС (например, внедрение программной закладки);

4. Весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт средств КС, вплоть до включений в состав КС собственных СВТ с новыми функциями.

С учетом различных уровней возможностей нарушителя выделяют следующие вспомогательные способы несанкционированного доступа к информации в КС, позволяющие нарушителю; использовать перечисленные ранее основные способы:

· ручной или программный подбор паролей путем их полного перебора или при помощи специального словаря (взлом КС);

· подключение к КС в момент кратковременного прекращения работы легального пользователя, работающего в интерактивном режиме и не заблокировавшего свой терминал;

· подключение к линии связи и перехват доступа к КС после отправки пакета завершения сеанса легального пользователя, работающего в удаленном режиме;

· выдача себя за легального пользователя с применением похищенной у него или полученной обманным путем (с помощью так называемой социальной инженерии) идентифицирующей информации - «маскарад»;

· создание условий для связи по компьютерной сети легального пользователя с терминалом нарушителя, выдающего себя за легального объекта КС (например, одного из ее серверов), - «мистификация»;

· создание условий для возникновения в работе КС сбоев, которые могут повлечь за собой отключение средств защиты информации или нарушение правил политики безопасности;

· тщательное изучение подсистемы защиты КС и используемой в ней политики безопасности, выявление ошибочных участков в программных средствах защиты информации в КС, введение программных закладок, разрешающих доступ нарушителю.

В соответствии с руководящими ФСТЭК РФ основными направлениями обеспечения защиты СВТ и АС от несанкционированного доступа являются создание системы разграничения доступа (СРД) субъектов к объектам доступа и создание обеспечивающих средств для СРД.

К основным функциям СРД относятся:

· реализация правил разграничения доступа субъектов и их процессов к информации и устройствам создания ее твердых копий;

· изоляция процессов, выполняемых в интересах субъекта доступа, от других субъектов;

· управление потоками информации в целях предотвращения ее записи на носители несоответствующего уровня конфиденциальности;

· реализация правил обмена информацией между субъектами в компьютерных сетях.

К функциям обеспечивающих средств для СРД относятся:

· идентификация и аутентификация субъектов и поддержание привязки субъекта к процессу, выполняемому для него;

· регистрация действий субъекта и активизированного им процесса;

· исключение и включение новых субъектов и объектов доступа, изменение полномочий субъектов;

· реакция на попытки несанкционированного доступа (сигнализация, блокировка, восстановление объекта после несанкционированного доступа);

· учет выходных печатных форм в КС;

· контроль целостности программной и информационной части СРД и обеспечивающих ее средств.

Заключение

В данной статье было дано обобщенное описание современных проблем в области защиты информации, приведена классификация угроз безопасности компьютерных систем. Также была приведена классификация методов и средств защиты информации, описаны основные виды несанкционированного доступа к ресурсам автоматизированных систем. Показано, что основными способами защиты от несанкционированного доступа к информации в компьютерных системах являются аутентификация, авторизация (определение прав доступа субъекта к объекту с конфиденциальной информацией) и шифрование информации.

Важнейшим механизмом современных средств обеспечения комплексной защиты информации является система разграничения доступа к ресурсам. В теории компьютерной безопасности существует множество моделей разграничения доступа различающихся как по уровню защиты, так и по сложности реализации и администрирования.

Список литературы

1. Жидких А.Д. Статья «Обучающая система».

2. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. - Екатеринбург: Издательство Урал. университета, 2003. - 328 с.

3. Грушо А.А., Тимонина Е.Е. “Теоретические основы защиты информации” - Москва: Издательство Агентства “Яхтсмен”, 1996.

4. Хорев П.Б. Методы и средства защиты информации в компьютерных системах. - М.: Издательский центр “Академия”, 2005. - 256 с.

Размещено на Allbest.ru


Подобные документы

  • Технические средства защиты информации. Основные угрозы безопасности компьютерной системы. Средства защиты от несанкционированного доступа. Системы предотвращения утечек конфиденциальной информации. Инструментальные средства анализа систем защиты.

    презентация [3,8 M], добавлен 18.11.2014

  • Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях. Угрозы информации, способы их воздействия на объекты. Концепция информационной безопасности предприятия. Криптографические методы и средства защиты информации.

    курсовая работа [350,4 K], добавлен 10.06.2014

  • Комплексный подход в обеспечении информационной безопасности. Анализ процессов разработки, производства, реализации, эксплуатации средств защиты. Криптографические средства защиты информации. Основные принципы инженерно-технической защиты информации.

    курсовая работа [725,1 K], добавлен 11.04.2016

  • Моделирование объектов защиты информации. Структурирование защищаемой информации. Моделирование угроз безопасности: способы физического проникновения, технические каналы утечки информации, угрозы от стихийных источников. Инженерно-техническое мероприятия.

    курсовая работа [794,1 K], добавлен 13.07.2012

  • Программно-аппаратные средства защиты компьютера от несанкционированного доступа. Электронный замок "Соболь". Система защиты информации SecretNet. Дактилоскопические устройства защиты информации. Управление открытыми ключами, удостоверяющие центры.

    курсовая работа [3,1 M], добавлен 23.08.2016

  • Понятие компьютерной преступности. Основные понятия защиты информации и информационной безопасности. Классификация возможных угроз информации. Предпосылки появления угроз. Способы и методы защиты информационных ресурсов. Типы антивирусных программ.

    курсовая работа [269,7 K], добавлен 28.05.2013

  • Основные программы стеганографии. Программно-аппаратные средства криптографической защиты информации с закрытым ключом. Требования к используемым криптографическим средствам за рубежом и в России. Отечественные системы шифрования с открытым ключом.

    отчет по практике [64,6 K], добавлен 18.09.2013

  • Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.

    дипломная работа [1,2 M], добавлен 28.04.2012

  • Исследование теоретических основ и вопросов инженерно-технической защиты информации на предприятии. Разработка информационной системы инженерно-технической защиты информации. Экономическая эффективность внедренных систем защиты информации на предприятии.

    курсовая работа [2,3 M], добавлен 26.05.2021

  • Ознакомление с основными средствами архивации данных, антивирусными программами, криптографическими и другими программными средствами защиты информации. Аппаратные ключи защиты, биометрические средства. Способы охороны информации при работе в сетях.

    дипломная работа [2,4 M], добавлен 06.09.2014

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.