- Вступительные испытания в магистратуру / 09.04.01 / Ответы на экзамен / МАГИСТРАТУРА 2017 / Voprosy_po_faylam / 39. Принципы защиты информации в вычислительных системах и сетях
- Методы и средства защиты данных
- Традиционные методы и средства защиты
- 139 Основы защиты информации Информационная безопасность (иб) и ее составляющие
- Защита информации в компьютерных сетях
Вступительные испытания в магистратуру / 09.04.01 / Ответы на экзамен / МАГИСТРАТУРА 2017 / Voprosy_po_faylam / 39. Принципы защиты информации в вычислительных системах и сетях
В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надежность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в нее изменений неуполномоченными лицами, и сохранение тайны переписки в электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят законы. Так, в статье 20 Ф едерального закона «Об информации, информатизации и защите информации» [10] целями защиты информации признаются:
• предотвращение ее утечки, хищения, утраты, искажения и подделки;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Методы и средства защиты данных
Выполнение перечисленных принципов и требований позволяет формировать систему обеспечения безопасности информационных систем, как совокупность правил, методов и аппаратно-программых средств, создаваемых при ее проектировании. К такой совокупности методов и средства защиты данных можно отнести :
1. Организационные методы обеспечения безопасности, представляющие собой некоторый набор инструкций, определяющий обязательные для всех пользователей порядок и правила использования компьютеров. А также ограничения по правилам доступа в компьютерные помещения.
2. Технологические методы обеспечения безопасности, которые составляют основу любой системы защиты и реализуются организационно, аппаратно или программно, например: фильтрация пакетов, мониторинг и аудит системы, автоматическое ведение журналов регистрации, система “обратного дозвона” при наличии в сети удаленных пользователей. В последнем случае система не устанавливает соединение по запросу удаленного пользователя, а только регистрирует запрос на соединение и сама производит обратный вызов абонента по указанному им адресу.
3. Программные средства защиты, обеспечивающие реализацию практически всех идей и методов защиты, и имеющие, кроме того, по сравнению с аппаратными средствами меньшуюю стоимость. С помощью программных методов обеспечения безопасности реализованы почти все межсетевые экраны и большинство средств криптографической защиты. Основным их недостатком является доступность для хакеров, особенно это касается широко распространенных на рынке средств защиты. Поэтому желательна разработка собственных оригинальных программных средств защиты.
4. Аппаратные средства защиты, которые принадлежат к наиболее защищенной части системы. С их помощью также могут быть реализованы любые концепции защиты, но стоимость реализации оказывается на порядок выше по сравнению с аналогичными по назначению программными средствами. При наличии выбора предпочтение следует отдавать аппаратным средствам защиты, так как они исключают любое вмешательство в их работу непосредственно из сети. Изучение работы этих средств возможно только при наличии непосредственного физического доступа к ним. Другим преимуществом аппаратных средств является большая их производительность по сравнению с программными средствами защиты (особенно в случае их использования в устройствах криптографической защиты).
5. Аппаратно-программные (гибридные) методы защиты, основанные на использовании технологических ‘устройств, допускающих некоторую настройку параметров их работы программными методами. Они представляют собой компромисс между предыдущими двумя способами и совмещают высокую производительность аппаратно реализованных систем и гибкость настройки программных. Типичными представителями такого рода устройств является аппаратно реализованные маршрутизаторы фирмы Cisco, которые допускают их настройку в качестве пакетных фильтров.
По способу реализации программного управления аппаратные средства можно разделить на два вида: предусматривающие свою программную настройку с помощью сетевого компьютера, к которому они подключены, и требующие программирования своей работы с помощью специального устройства, отличного от используемого в сети компьютера. Вторые обладают тем очевидным преимуществом, что после соединения с компьютером сети их программа не может быть изменена.
Традиционные методы и средства защиты
Основные наиболее распространенные методы и средства защиты, используемые в настоящее время можно разделить на традиционные и специфические сетевые. К традиционным методам и средствам обеспечения безопасности относятся следующие.
1. Парольная защита, которая основана на том, что для использования какого-либо ресурса необходимо задать некоторую комбинацию символов, или пароль, открывающий доступ к этому ресурсу. В практике использования паролей выработался целый “свод законов”, основные из которых следующие:
в качестве пароля не может использоваться слово, из какого бы то ни было языка;
длина пароля не может быть менее 8 символов;
один и тот же пароль не может быть использован для доступа к разным средствам;
старый пароль не должен использоваться повторно;
пароль должен меняться как можно чаще.
2. Идентификация пользователей, представляющая собой некоторое развитие системы парольной защиты на более современном техническом уровне. Она основана на применении для идентификации пользователей специальных электронных карт, содержащих идентифицирующую конкретного пользователя информацию (подобно банковским кредитным карточкам). Системы идентификации пользователей реализуются аппаратно и являются более надежными, чем парольная защита.
3. Аутентификация пользователей — это развитие систем парольной защиты и идентификации для использования в сетях. Аутентификация — это процедура проверки пользователя, аппаратуры или программы для получения доступа к определенной информации или ресурсу. По отношению к пользователю система аутентификации обычно требует указания имени и предъявления пароля или электронной карты.
4. Криптографические методы защиты являются необходимыми во всех случаях обеспечения безопасности, независимо от того, применяются они в сети или вне ее. Они основаны на шифровании данных и программ. Шифрование программ гарантирует невозможность внесения в них изменений. Криптографическая защита данных осуществляется как при их хранении, так и при передаче по сети, причем хранение данных в зашифрованном виде существенно повышает степень их защищенности. В настоящее время доступны как программная, так и высокопроизводительная аппаратная реализация средств криптографии.
5. Привязка программ и данных к конкретному компьютеру (сети или ключу) — метод, весьма динамичный по развитию реализующих его средств защиты. Основная идея метода — включение в данные или в программу конкретных параметров или характеристик конкретного компьютера, которое делает невозможным чтение данных или исполнение программ на другом компьютере. Применительно к сети различные модификации этого метода могут требовать либо выполнения всех операций на конкретном компьютере, либо наличия активного соединения сети с конкретным компьютером. Возможности использования метода “привязки” могут значительно повысить защищенность сети.
6. Разграничение прав доступа пользователей к ресурсам сети — метод, основанный на использовании таблиц или наборов таблиц, определяющих права пользователей и построенных по правилам “разрешено все, кроме” или “разрешено только”. Возможность такого разграничения доступа определяется, как правило, возможностями используемой операционной системы и заложены именно в ней. Большинство современных СОС предусматривают разграничение доступа, но в каждой из них эти возможности реализованы в разном объеме и разными способами.
7. Использование возможностей защиты, заложенных в ОС — это обязательное правило. Однако большинство ОС либо имеют минимальную защиту, либо предоставляют возможности ее реализации дополнительными средствами.
139 Основы защиты информации Информационная безопасность (иб) и ее составляющие
В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надежность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в нее изменений неуполномоченными лицами, и сохранение тайны переписки в электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий, поэтому надежность работы компьютерных систем во многом опирается на меры самозащиты.
Защита информации является актуальной, быстроразвивающейся, большой и сложной отраслью современных компьютерных технологий. Эта отрасль является многоплановой и многоуровневой. Она охватывает как порядок организации работы на отдельном компьютере, так и передачу разнообразных цифровых данных в локальных и глобальных компьютерных и телекоммуникационных сетях. Защита информации обеспечивается как на организационном, так и на техническом уровнях. К числу последних относятся как физические аппаратные, так и математические программные средства защиты информации, которые строятся на основе достижений новой науки – криптографии. К области защиты информации также относятся соответствующие разделы законодательства с комплексом юридических нормативных документов.
Защита информации в компьютерных сетях
При работе в Интернете следует иметь в виду, что насколько ресурсы Всемирной сети открыты каждому клиенту, настолько же и ресурсы его компьютерной системы могут быть при определенных условиях открыты всем, кто обладает необходимыми средствами.
Для частного пользователя этот факт не играет особой роли, но знать о нем необходимо, чтобы не допускать действий, нарушающих законодательства тех стран, на территории которых расположены серверы Интернета. К таким действиям относятся вольные или невольные попытки нарушить работоспособность компьютерных систем, попытки взлома защищенных систем, использование и распространение программ, нарушающих работоспособность компьютерных систем (в частности, компьютерных вирусов).
Работая во Всемирной сети, следует помнить о том, что абсолютно все действия фиксируются и протоколируются специальными программными средствами и информация как о законных, так и о незаконных действиях обязательно где-то накапливается. Таким образом, к обмену информацией в Интернете следует подходить как к обычной переписке с использованием почтовых открыток. Информация свободно циркулирует в обе стороны, но в общем случае она доступна всем участникам информационного процесса. Это касается всех служб Интернета, открытых для массового использования.
Однако даже в обычной почтовой связи наряду с открытками существуют и почтовые конверты. Использование почтовых конвертов при переписке не означает, что партнерам есть, что скрывать. Их применение соответствует давно сложившейся исторической традиции и устоявшимся морально-этическим нормам общения. Потребность в аналогичных “конвертах” для защиты информации существует и в Интернете. Сегодня Интернет является не только средством общения и универсальной справочной системой – в нем циркулируют договорные и финансовые обязательства, необходимость защиты которых как от просмотра, так и от фальсификации, очевидна. Начиная с 1999 года Интернет становится мощным средством обеспечения розничного торгового оборота, а это требует защиты данных кредитных карт и других электронных платежных средств.
Принципы защиты информации в Интернете опираются на определение информации, сформулированное нами в первой главе этого пособия. Информация – это продукт взаимодействия данных и адекватных им методов.Если в ходе коммуникационного процесса данные передаются через открытые системы (а Интернет относится именно к таковым), то исключить доступ к ним посторонних лиц невозможно даже теоретически. Соответственно, системы защиты сосредоточены на втором компоненте информации – на методах. Их принцип действия основан на том, чтобы исключить или, по крайней мере, затруднить возможность подбораадекватногометода для преобразования данных в информацию. Одним из приемов такой защиты являетсяшифрованиеданных.