Защита информации в автоматизированных системах обработки данных

n="justify">     Основной  принцип состоит в том, чтобы  ключ защиты был построен на реальном, но мало известном физическом явлении. Чтобы затруднить возможность тиражирования технических средств защиты, часто скрывается принцип действия электронной схемы и состав ее компонентов.

     Методы  и способы аппаратной защиты должны удовлетворять следующим требованиям:

• С учетом затрат выбираемый метод должен предотвращать случайное копирование и защищать от преднамеренного копирования и подделки;
• Возможность копирования ключа должна быть предотвращена;
• Электронное устройство защиты (ЭУЗ) не должно мешать нормальной работе системы или затруднять использование программного обеспечения других фирм, которое может быть защищено другими средствами;
• Допускать одновременное использование программных средств с различными типами ключей защиты.

 

     Скорость  полного перебора паролей на компьютере Pentium/120 для различных криптосистем

        

     В то время, когда вычислительной мощности для полного перебора всех паролей  не хватало, хакерами был придуман остроумный метод, основанный на том, что в качестве пароля человеком обычно выбирается существующее слово или информация о себе или знакомых (имя, дата рождения и т.д.). Поскольку в любом языке не более 100 000 слов, то их перебор займет весьма небольшое время, то от 40 до 80% существующих паролей может быть угадано с помощью такой схемы, называемой «атакой по словарю». До 80% паролей может быть угадано с использованием словаря размером всего 1 000 слов.[4] 

     4. Обеспечение информационной безопасности компьютерных систем 

     Начиная с 1999 года специалисты по компьютерным технологиям пытаются обратить внимание общественности и государственных органов на новый международный стандарт ISO/IEC 15408 «Единые критерии оценки безопасности информационных технологий» и группу поддерживающих его нормативных документов. Активность организаций по стандартизации ведущих государств, реально произошедшие изменения во взглядах специалистов к проблеме информационной безопасности (ИБ) и явились предостережением, что Россия может упустить реальный шанс вовремя освоить новейшее технологическое обеспечение информационной безопасности.

     Актуальность  решения задачи гармонизации отечественной  нормативной базы с международными стандартами, а также вопросов применения международных стандартов в отечественной  практике очень велика. Отрицательное  решение данных задач может не только затормозить развитие отечественных  систем информационной безопасности, но и откинуть Россию с достигнутых на сегодняшний день позиций в данной области.

     В мире произошло переосмысление подходов к решению проблемы обеспечения  информационной безопасности. С момента  принятия международного стандарта  ISO/IEC 15408 начался новый этап развития теории и практики обеспечения информационной безопасности.

     До  недавнего времени нормативной  основой решения задач защиты информации являлись стандарты ISO 7498-2:1989 «Архитектура безопасности ВОС» и ISO/IEC 10181:1996 «Основы положения безопасности открытых систем». Эти документы определяли взгляды специалистов на теоретические подходы обеспечения защиты информации.

 

      Общую логику построения систем защиты информации можно представить  следующим образом: 

Общие механизмы  безопасности:

1. доверительная функциональность;

2. метки безопасности;

3. обнаружение событий;

4. аудит безопасности;

5. восстановление безопасности.

Угрозы

безопасности

 

     

     

Механизмы

безопасности

Услуги

безопасности

 

     

       

Специальные механизмы  безопасности:

1. шифрование;

2. механизмы цифровой  прописи;

3. механизмы управления  доступом;

4. механизмы обеспечения  защиты целостности  данных;

5. механизмы аутентификации;

6. механизмы заполнения  трафика;

7. механизмы управления  маршрутизацией;

8. механизмы нотаризации.

  Базовые услуги безопасности:

1. конфедициальность;

2. аутентификация;

3. Целостность;

4. управление доступом;

5. неотказуемость.

Дополнительная  услуга:

доступность.

 
 
 
 
 
 
 

     Сфера действий стандарта ISO 7498-2 ограничивалась компьютерными системами, построенными на основе семиуровневой модели ВОС. Однако предложенный подход к построению систем защиты информации был обобщен на все открытые системы обработки, передачи и хранения информации принятием в 1996 году международного стандарта ISO/IEC 10181.

     Одновременно  с трансформацией взглядов на процессы обработки происходит и изменение  взглядов на подходы к обеспечению  безопасности информации. Широкая сфера  применения информационных технологий, расширение функциональных возможностей систем информационных технологий и другие причины привели к тому, что существующая модель обеспечения информационной безопасности «Угроза безопасности Þ услуга безопасности Þ механизм безопасности» перестала удовлетворять как потребителя ИТ-систем, так и их разработчика.

     По  типу основных классов угроз выделяют пять основных целевых задач безопасности ИТ-систем.

     1. Обеспечение доступности предполагает, что обладающий соответствующими правами пользователь может использовать ресурс в соответствии с правилами установленными политикой безопасности. Эта задача направлена на предотвращение преднамеренных или непреднамеренных угроз неавторизованного удаления данных или необоснованного отказа в доступе к услуге, попыток использования системы и данных в неразрешенных целях.

     2. Обеспечение целостности системы и данных рассматривается в двух аспектах. Во-первых, это целостность данных означает, что данные не могут быть модифицированы неавторизованным пользователем или процессом во время их хранения, передачи и обработки. Во-вторых, целостность заключается в том, что ни один компонент системы не может быть удален, модифицирован или добавлен.

     3. Обеспечение конфедициальности данных и системной информации предполагает, что информация не может быть получена неавторизованным пользователем во время её хранения, обработки и передачи.

     4. Обеспечение наблюдаемости направлено на обеспечение возможности ИТ-системы фиксировать любую деятельность пользователей и процессов, использовании пассивных объектов, устанавливать идентификаторы причастных к событиям пользователей и процессов с целью предотвращения нарушения безопасности и обеспечения ответственности пользователей за выполненные действия.

     5. Обеспечение гарантий – это совокупность требований, составляющих некоторую шкалу оценки для определения степени уверенности в том, что:

• функциональные требования действительно сформулированы и корректно реализованы;
• принятые меры защиты обеспечивают адекватную защиту ИТ-системы;
• обеспечена достаточная стойкость от преднамеренного проникновения и использования обходных путей.[3]

 

     Пять  основных задач тесно  взаимосвязаны и  взаимозависимы друг от друга: 

КОНФЕДИЦИАЛЬНОСТЬ

ЦЕЛОСТНОСТЬ

ЦЕЛОСТНОСТЬ 

КОНФЕДИЦИАЛЬНОСТЬ

       
 
 

НАБЛЮДАЕМОСТЬ

КОНФЕДИЦ.            ЦЕЛОСТНОСТЬ

ДОСТУПНОСТЬ 

КОНФЕДИЦ.            ЦЕЛОСТНОСТЬ

       
 

     

Г А Р А Н  Т И И

 
 
 
 
 
 
 

     5. Безопасность автоматизированных систем обработки данных

     Научно-техническая  революция в последнее время  приняла грандиозные масштабы в  области информатизации общества на базе современных средств вычислительной техники, связи, а также современных  методов автоматизированной обработки  информации. Применение этих средств  и методов приняло всеобщий характер, а создаваемые при этом информационно-вычислительные системы и сети становятся глобальными  как в смысле территориальной распределённости, так и в смысле широты охвата в рамках единых технологий процессов сбора, передачи, накопления, хранения, поиска, переработки информации и выдачи ее для использования. Иными словами, человечество приступило к реализации задачи создания и использования целой индустрии переработки информации.

     В современном мире информационный ресурс стал одним из наиболее мощных рычагов  экономического развития. Владение ин формацией необходимого качества в  нужное время и в нужном месте  является залогом успеха в любом  виде хозяйственной деятельности. Монопольное  обладание определенной информацией  оказывается зачастую решающим преимуществом  в конкурентной борьбе и предопределяет, тем самым, высокую цену "информационного  фактора".

     Широкое внедрение персональных ЭВМ вывело уровень "информатизации" деловой  жизни на качественно новую ступень. Ныне трудно представить себе фирму  или предприятие (включая самые  мелкие), которые не были бы вооружены  современными средствами обработки  и передачи информации. В ЭВМ на носителях данных накапливаются  значительные объемы информации, зачастую носящей конфиденциальный характер или представляющей большую ценность для ее владельца.