Защита информации

Автор: Пользователь скрыл имя, 14 Декабря 2012 в 17:51, реферат

Краткое описание

Потребность в защите информации появилась одновременно с самой информацией. И возможные методы защиты информации почти всегда определялись формой ее представления и предполагаемыми способами использования.
Законодательные методы определяют кто и в какой форме должен иметь доступ к защищаемой информации, и устанавливают ответственность за нарушения установленного порядка. Например, в древнем мире у многих наций были тайные культы, называемые мистериями. К участию в мистериях допускались только посвященные путем особых обрядов лица. Содержание мистерий должно было сохраняться в тайне. А за разглашение секретов мистерий посвященного ждало преследование, вплоть до смерти. Также смертью каралось недозволенное участие в мистериях, даже произошедшее по случайности.

Файлы: 1 файл

Потребность в защите информации появилась одновременно с самой информацией.docx

— 24.56 Кб (Скачать)

Потребность в защите информации появилась одновременно с самой  информацией. И возможные методы защиты информации почти всегда определялись формой ее представления и предполагаемыми  способами использования. 
 
В первом приближении все методы защиты информации можно разделить на три класса:

  1. законодательные;
  2. административные;
  3. технические.

Законодательные методы определяют кто и в какой форме должен иметь доступ к защищаемой информации, и устанавливают ответственность за нарушения установленного порядка. Например, в древнем мире у многих наций были тайные культы, называемые мистериями. К участию в мистериях допускались только посвященные путем особых обрядов лица. Содержание мистерий должно было сохраняться в тайне. А за разглашение секретов мистерий посвященного ждало преследование, вплоть до смерти. Также смертью каралось недозволенное участие в мистериях, даже произошедшее по случайности. В современном мире существуют законы о защите государственной тайны, авторских прав, положения о праве на тайну личной переписки и многие другие. Такие законы описывают, кто и при каких условиях имеет, а кто не имеет право доступа к определенной информации. Однако законодательные методы не способны гарантировать выполнение установленных правил, они лишь декларируют эти правила вместе с мерой ответственности за их нарушение.

Административные  методы заключаются в определении процедур доступа к защищаемой информации и строгом их выполнении. Контроль над соблюдением установленного порядка возлагается на специально обученный персонал. Административные методы применялись многие века и диктовались здравым смыслом. Чтобы случайный человек не прочитал важный документ, такой документ нужно держать в охраняемом помещении. Чтобы передать секретное сообщение, его нужно посылать с курьером, который готов ценой собственной жизни защищать доверенную ему тайну. Чтобы из библиотеки не пропадали в неизвестном направлении книги, необходимо вести учет доступа к библиотечным ресурсам. Современные административные методы защиты информации весьма разнообразны. Например, при работе с документами, содержащими государственную тайну, сначала необходимо оформить допуск к секретным документам. При получении документа и возврате его в хранилище в журнал регистрации заносятся соответствующие записи. Работа с документами разрешается только в специально оборудованном и сертифицированном помещений. На любом этапе известно лицо, несущее ответственность за целостность и секретность охраняемого документа. Схожие процедуры доступа к информации существуют и в различных организациях, где они определяются корпоративной политикой безопасности. Например, элементом политики безопасности может являться контроль вноса и выноса с территории организации носителей информации (бумажных, магнитных, оптических и др.). Административные методы защиты зачастую совмещаются с законодательными и могут устанавливать ответственность за попытки нарушения установленных процедур доступа.

Технические методы защиты информации в отличие от законодательных и административных, призваны максимально избавиться от человеческого фактора. Действительно, соблюдение законодательных мер обуславливается только добропорядочностью и страхом перед наказанием. За соблюдением административных мер следят люди, которых можно обмануть, подкупить или запугать. Таким образом, можно избежать точного исполнения установленных правил. А в случае применения технических средств зашиты перед потенциальным противником ставится некоторая техническая (математическая, физическая) задача, которую ему необходимо решить для получения доступа к информации. В то же время легитимному пользователю должен быть доступен более простой путь, позволяющий работать с предоставленной в его распоряжение информацией без решения сложных задач. К техническим методам защиты можно отнести как замок на сундуке, в котором хранятся книги, так и носители информации, самоуничтожающиеся при попытке неправомерного использования. Правда, такие носители гораздо чаще встречаются в приключенческих фильмах, чем в реальности. 
Технические способы защиты информации начали разрабатываться очень давно. 
 
Так, например, еще в V—IV вв. до н. э. в Греции применялись шифрующие устройства. По описанию древнегреческого историка Плутарха, шифрующее устройство состояло из двух палок одинаковой толщины, называемых сциталами, которые находились у двух абонентов, желающих обмениваться секретными сообщениями. На сциталу по спирали наматывалась без зазоров узкая полоска папируса, и в таком состоянии наносились записи. Потом полоску папируса снимали и отправляли другому абоненту, который наматывал ее на свою сциталу и получал возможность прочесть сообщение. Элементом, обеспечивающим секретность в таком шифрующем устройстве, являлся диаметр сциталы. 
 
Вместе с техническими методами защиты разрабатывались и методы обхода (взлома) зашиты. Так древнегреческий философ Аристотель предложил использовать длинный конус, на который наматывалась лента с зашифрованным сообщением. В каком-то месте начинали просматриваться куски сообщения, что позволяло определить диаметр сциталы и расшифровать все сообщение. 
 
Применительно к информационной безопасности, технические методы защиты призваны обеспечить решение всех задач, перечисленных в разд. 1.2. Условно методы решения этих задач можно разделить на те, которые имеют математическое обоснование стойкости к взлому, и те, которые такого обоснования не имеют. 
 
Методы, не имеющие математического обоснования стойкости, проще всего рассматривать как "черный ящик" — некоторое устройство, которому на вход подаются данные, а на выходе снимается результат. Процессы, происходящие внутри "черного ящика", предполагаются неизвестными и неподвластными ни пользователю, ни потенциальному противнику. Собственно, стойкость таких методов основывается именно на предположении, что "ящик" никогда не будет вскрыт и его внутреннее устройство не будет проанализировано. Однако в реальной жизни случается всякое, и иногда или возникает ситуация, при которой раскрывается устройство "черного ящика",или упорному исследователю удается разгадать алгоритмы, определяющие функционирование зашиты, без вскрытия самого "ящика". При этом стойкость системы защиты становится равна нулю. Методы защиты, функционирующие по принципу "черного ящика", называют Security Through Obscurity (безопасность через неясность, незнание).  
 
Особенность методов защиты информации, имеющих математическое обоснование стойкости, заключается в том, что их надежность оценивается, исходя из предположения открытости внутренней структуры. То есть предполагается, что потенциальному противнику известны в деталях все алгоритмы и протоколы, использующиеся для обеспечения защиты. И, тем не менее, противник должен быть не б состоянии обойти средства защиты, т. к. для этого ему надо решить некоторую математическую проблему, которая на момент разработки защиты не имела эффективного решения. Однако существует вероятность того, что через некоторое время будет разработан эффективный алгоритм решения математической проблемы, лежащей в основе метода защиты, а это неминуемо приведет к снижению ее стойкости. Большинство методов, имеющих математическое обоснование стойкости, относятся к методам криптографии. И именно криптографические методы в основном позволяют эффективно решать задачи информационной безопасности.

Задачи информационной безопасности 
Так с чем же имеет дело информационная безопасность? Далее следует список основных целей и задач, решение которых она должна обеспечить: 
 
—секретность (privacy, confidentiality, secrecy); 
—целостность (data integrity); 
—идентификация (identification); 
—аутентификация (data origin, authentication); 
—уполномочивание (authorization); 
—контроль доступа (access control); 
—право собственности (ownership); 
—сертификация (certification); О подпись (signature); 
—неотказуемость (non-repudiation);  
—датирование (time stamping); 
—расписка в получении (receipt); d аннулирование (annul); 
—анонимность (anonymity); 
—свидетельствование (witnessing); 
—подтверждение (confirmation); О ратификация (validation). 
 
 
Секретность информации - одна из самых востребованных задач зашиты. Практически у каждого человека или организации найдутся документы, которые ни в коем случае не должны стать всеобщим достоянием, будь то личные медицинские данные, информация о финансовых операциях или государственная тайна. Пока для хранения используются неэлектронные средства (бумага, фотопленка), секретность обеспечивается административными методами (хранение в сейфах, транспортировка в сопровождении охраны и т. д.). Но когда информация обрабатывается на компьютерах и передается по открытым каналам связи, административные методы оказываются бессильны и на помощь приходят методы информационной безопасности. Задача обеспечения секретности, фактически, сводится к тому, чтобы сделать возможным хранение и передачу данных в таком виде, чтобы противник, даже получив доступ к носителю или среде передачи, не смог получить сами защищенные данные.

Целостность информации еще одна очень важная задача. В процессе обработки и передачи по каналам связи данные могут быть искажены, как случайно, так и преднамеренно. Также информация может быть изменена прямо на носителе, где она хранится. Проверка целостности просто необходима в ситуациях, когда интерпретация неправильных данных может привести к очень серьезным последствиям, например при возникновении ошибки в сумме банковского перевода или значении скорости самолета, заходящего на посадку. Обеспечение целостности (контроль целостности) заключается в том, чтобы позволить либо утверждать, что данные не были модифицированы при хранении и передаче, либо определить факт искажения данных. То есть никакое изменение данных не должно пройти незамеченным.

Идентификация необходима для того, чтобы отождествить пользователя с некоторым уникальным идентификатором. После этого ответственность за все действия, при выполнении которых предъявлялся данный идентификатор, возлагается на пользователя, за которым этот идентификатор закреплен.

Аутентификация является необходимым дополнением к идентификации и предназначена для подтверждения истинности (аутентичности) пользователя, предъявившего идентификатор. Неанонимный пользователь должен получить возможность работать только после успешной аутентификации. 
Уполномочивание сводится к тому, что ни один пользователь не должен получить доступ к системе без успешного выполнения идентификации и последующей аутентификации и ни один пользователь не должен получить доступ к ресурсам, если он не уполномочен на такие действия специальным разрешением.

Контроль доступа комплексное понятие, обозначающее совокупность методов и средств, предназначенных для ограничения доступа к ресурсам. 
Доступ должны иметь только уполномоченные пользователи, и попытки доступа должны протоколироваться. 
Право собственности используется для того, чтобы предоставить пользователю законное право на использование некоторого ресурса и, при желании, возможность передачи этого ресурса в собственность другому пользователю. Право собственности обычно является составной частью системы контроля доступа.

Сертификация процесс подтверждения некоторого факта стороной, которой пользователь доверяет. Чаще всего сертификация используется для удостоверения принадлежности открытого ключа конкретному пользователю или компании, т. к. эффективное использование инфраструктуры открытых ключей возможно лишь при наличии системы сертификации. Организации, занимающиеся выдачей сертификатов, называются удостоверяющими центрами.

Подпись позволяет получателю документа доказать, что данный документ был подписан именно отправителем. При этом подпись не может быть перенесена на другой документ, отправитель не может отказаться от своей подписи, любое изменение документа приведет к нарушению подписи, и любой пользователь, при желании, может самостоятельно убедиться в подлинности подписи. 
Неотказу ем ость — свойство схемы информационного обмена, при котором существует доказательство, которое получатель сообщения способен предъявить третьей стороне, чтобы та смогла независимо проверить, кто является отправителем сообщения. То есть отправитель сообщения не имеет возможности отказаться от авторства, т. к. существуют математические доказательства того, что никто кроме него не способен создать такое сообщение.

Расписка в получении передается от получателя к отправителю и может впоследствии быть использована отправителем для доказательства того, что переданная информация была доставлена получателю не позже определенного момента, указанного в расписке.

Датирование часто применяется совместно с подписью и позволяет зафиксировать момент подписания документа. Это может быть полезно, например, для доказательства первенства, если один документ был подписан несколькими пользователями, каждый из которых утверждает, что именно он является автором документа. Кроме этого датирование широко используется в сертификатах, которые имеют ограниченный срок действия. Если действительный сертификат был использован для подписи, а затем соответствующей службой сертифицирующего центра была проставлена метка времени, то такая подпись должна признаваться правильной и после выхода сертификата из употребления. Если же отметка времени отсутствует, то после истечения срока действия сертификата подпись не может быть признана корректной.

Аннулирование используется для отмены действия сертификатов, полномочий или подписей. Если какой-либо участник информационного обмена или принадлежащие ему ключи и сертификаты оказались скомпрометированы, необходимо предотвратить доступ этого пользователя к ресурсам и отказать в доверии соответствующим сертификатам, т. к. ими могли воспользоваться злоумышленники. Также процедура аннулирования может быть использована в отношении удостоверяющего центра.

Свидетельствование - удостоверение (подтверждение) факта создания или существования информацией некоторой стороной, не являющейся создателем.

Анонимность довольно редко вспоминаемая задача. Сильным мира сего — правительствам и корпорациям — не выгодно, чтобы пользователь мог остаться анонимным при совершении каких-либо действий в информационном пространстве. Возможно, по этой причине проекты по обеспечению анонимности носят единичный характер и, как правило, долго не живут. Да и средства коммуникации, в подавляющем большинстве, позволяют определить маршрут передачи того или иного сообщения, а значит, вычислить отправителя. 
 
Все перечисленные задачи сформулированы, исходя из потребностей существующего информационного мира. Возможно, со временем часть задач потеряет свою актуальность, по более вероятно, что появятся новые задачи, нуждающиеся в решении.


Информация о работе Защита информации