Понятие безопасности и средства контроля безопасности в сетевой экономике

     К программным средствам защиты информации относятся:

• встроенные средства защиты информации в готовые программные продукты;
• специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства.

     В сетях ЭВМ наиболее эффективными являются криптографические способы  защиты информации. Криптография в переводе с древнегреческого означает «тайнопись». Суть ее заключается в том, что последовательность символов (открытый текст) подвергается некоторому преобразованию (в котором используется ключ) и в результате получается закрытый текст, непонятный тому, кто не знает алгоритма шифрования и, конечно, ключа. Для преобразования (шифрования) обычно используется некоторый алгоритм или устройство, реализующее заданный алгоритм, которые могут быть известны широкому кругу лиц. Управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет просто и надёжно расшифровать текст. Однако без знания ключа эта процедура может быть практически невыполнима даже при известном алгоритме шифрования. Даже простое преобразование информации является весьма эффективным средством, дающим возможность скрыть её смысл от большинства неквалифицированных нарушителей.

     К криптографическим методам зашиты в общем случае относятся:

• шифрование (расшифрование) информации;
• формирование и проверка цифровой подписи электронных документов.

     Шифры с секретным  ключом подразумевают наличие некой  информации (ключа), обладание которой  позволяет, как зашифровать, так  и расшифровать сообщение. С одной  стороны, такая схема имеет те недостатки, что необходимо кроме  открытого канала для передачи шифрограммы  наличие также секретного канала для передачи ключа, а кроме того, при утечке информации о ключе, невозможно доказать, от кого из двух корреспондентов  произошла утечка. С другой стороны, среди шифров именно этой группы есть единственная в мире схема шифровки, обладающая абсолютной теоретической  стойкостью. Все прочие можно расшифровать хотя бы в принципе.

     Шифры с открытым ключом подразумевают  наличие двух ключей – открытого  и закрытого; один используется для  шифровки, другой для расшифровки  сообщений. Открытый ключ публикуется  – доводится до сведения всех желающих, секретный же ключ хранится у его  владельца и является залогом  секретности сообщений. Суть метода в том, что зашифрованное при  помощи секретного ключа может быть расшифровано лишь при помощи открытого  и наоборот. Ключи эти генерируются парами и имеют однозначное соответствие друг другу. Причём из одного ключа  невозможно вычислить другой. Характерной  особенностью шифров этого типа, выгодно отличающих их от шифров с секретным ключом, является то, что секретный ключ здесь известен лишь одному человеку, в то время как в первой схеме он должен быть известен, по крайней мере, двоим.

     Электронная цифровая подпись (ЭЦП) – это последовательность символов, полученная в результате преобразования в технических средствах определенного объема информации по установленному математическому алгоритму с использованием ключей, имеющая неизменяемое соотношение с каждым символом данного объема информации.

     Вопросу предотвращения утечки информации криптографическим  путем  уделяется большое внимание. В США действует государственный  стандарт шифрования (DES – Data Encryption Standart), во всем мире разрабатываются  
математические методы, которые позволят кодировать сообщения в условиях  
эксплуатации в открытых сетях.

       Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых решений следует отметить следующие две системы, позволяющие ограничить и контролировать информационные потоки.

• межсетевые экраны (также называемые брандмауэрами или файрволами (от нем. Brandmauer, англ. firewall – «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой;
• Proxy-servers (proxy – доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью – маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях – например, на уровне приложения (вирусы, код Java и JavaScript).
• VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec.

     Под управлением доступом понимается способ защиты информации регулированием использования  всех ресурсов системы (технических, программных, элементов баз данных). В автоматизированных системах информационного обеспечения  должны быть регламентированы порядок  работы пользователей и персонала, право доступа к отдельным  файлам в базах данных и т.д.

     Упpaвлeниe дocтупoм включaeт cлeдующиe функции  зaщиты:

• идентификацию пoльзoвaтeлeй, персонaлa и ресурсов cиcтемы, пpичeм под идeнтификaциeй понимается процесс распознавания определенных компонентов системы, обычно с помощью уникальных, воспринимаемых системой имен (идентификаторов имeни – кoдa, пapoля и т.п.), и аутентификацию (уcтaнoвлeниe пoдлинности, oпoзнaниe), под которой понимается проверка идентификации пользователя, устройства или другого компонента в системе, обычно для принятия решения  о разрешении доступа к ресурсам системы;
• пpoверку пoлнoмoчий, зaключaющуюcя в пpoверкe cooтвeтвeтcтвия вpeмeни, ресурсов и пpoцeдуp уcтaнoвлeннoму peглaмeнту;
• paзpeшeниe и coздaниe уcлoвий paбoты в пpeдeлax (и тoлькo в пpeдeлax) уcтaнoвлeннoгo peглaмeнтa;
• peгиcтpaцию (пpoтoкoлиpoвaниe) oбpaщeний к зaщищаемым ресурсам;
• peaгиpoвaниe (зaдержкa paбoт, oткaз, oтключeниe, cигнaлизaция) пpи  
  пoпыткax несанкциoниpoвaнныx дeйcтвий.

     Самым распространенным методом установления подлинности является метод паролей. Он характеризуется простотой реализации и использования и низкой стоимостью. Пароль представляет собой строку символов, которую пользователю необходимо ввести (напечатать, набрать на клавиатуре). Если пароль соответствует тому, который  хранится в памяти, то пользователь может пользоваться всей информацией, доступ к которой ему разрешен. Пароль можно также использовать независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т.д.

     Различаются несколько типов паролей:

• простой пароль;
• пароль однократного использования;
• пароль на основе выбора символов;
• пароль на основе метода "зaпрос-oтвeт";
• пapoль нa оснoвe oпpeдeлeннoгo aлгopитмa.

     Третья  группа обеспечения средств защиты информации – организационные средства, которые складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия).

     Преимущества  организационных средств состоят  в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют  на нежелательные действия в сети, имеют неограниченные возможности  модификации и развития.

     Недостатки  – высокая зависимость от субъективных факторов, в том числе от общей  организации работы в конкретном подразделении.

     Четвертая группа – смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

     На  аппаратно-программные средства зашиты от НСД возлагают решение следующих  основных задач:

• защиту от вмешательства в процесс функционирования АС посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи – сотрудники подразделений организации);
• разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС (обеспечение возможности доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС для выполнения ими своих служебных обязанностей);
• регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов сотрудниками подразделений компьютерной безопасности;
• оперативный контроль за работой пользователей системы и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
• защиту от несанкционированной модификации (обеспечение неизменности, целостности) используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы и вредоносные «программы-закладки»;
• защиту хранимой, обрабатываемой и передаваемой по каналам связи информации ограниченного распространения от несанкционированного разглашения, искажения подмены или фальсификации;
• обеспечение аутентификации абонентов, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
• гибкое управление всеми защитными механизмами.

     Пятая группа – морально-этические средства включают всевозможные нормы поведения, которые традиционно сложились  ранее, складываются по мере распространения  ИС и ИТ в стране и в мире или  специально разрабатываются. Морально-этические  нормы могут быть неписаные (например, честность) либо оформленные в некий  свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку  их несоблюдение приводит к падению  престижа организации, они считаются  обязательными для исполнения. Характерным  примером таких предписаний является Кодекс профессионального поведения  членов Ассоциации пользователей ЭВМ  США.

     Шестая группа – законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Среди них можно выделить следующие основные нормативные документы:

• концепция национальной безопасности России;
• федеральный закон «Об информации, информатизации и защите информации»;
• закон Российской Федерации «О государственной тайне»;
• указ Президента Российской Федерации «Вопросы государственной технической комиссии при президенте Российской Федерации»;
• указ Президента РФ «О государственной программе обеспечения защиты государственной тайны в Российской Федерации»;
• постановление Правительства РФ «О сертификации средств защиты информации».
• практические рекомендации «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»;
• федеральный закон «Об участии в международном информационном обмене»;
• федеральный закон «Об электронной цифровой подписи»;
• федеральный закон «О федеральных органах правительственной связи и информации»;
• положение о подготовке к передаче сведений, составляющих государственную тайну, другим государствам.

     Кроме того, системы защиты от НСД должны обладать высокой надежностью, универсальностью, возможностями реализации современных  технологий защиты, невысокими требованиями к ресурсам защищаемых компьютеров, широкими возможностями по управлению механизмами защиты, должны работать с разнообразными средствами аппаратной поддержки защитных функций, и ориентироваться  на наиболее распространенные операционные системы.