Методы и средства защиты информации в АИС.

Виды угроз безопасности информации.

Под угрозой безопасности информации понимаются действия или события, которые могут привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Угрозы безопасности информации делятся на случайные непреднамеренные) и умышленные, а также пассивные и активные.

Источниками случайных угроз являются ошибки в программном обеспечении, выход из стоя аппаратных средств, неправильные действия пользователей и администрации. Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на функционирование. Активные угрозы имеют целью нарушение нормального процесса функционирования АИС посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы.

К основным угрозам безопасности информации относят:

·раскрытие конфиденциальной информации;

·компрометация информации, внесения несанкционированных изменений в базы данных;

·несанкционированное использование информационных ресурсов;

·ошибочное использование информационных ресурсов;

·несанкционированный обмен информацией;

·отказ от информации (непризнание получателей или отправителей этой информации или фактов ее принятия и получения);

·отказ в обслуживании;

·задержка в предоставлении ресурсов абоненту.

Наиболее распространенными путями несанкционированного доступа к информации являются:

·перехват электронных излучений;

·принудительное электронное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей частоты;

·применение подслушивающих устройств;

·перехват акустических излучений;

·хищение носителей информации;

·чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

·копирование носителей информации с преодолением мер защиты;

·маскировка под зарегистрированного пользователя;

·мистификация (маскировка под запросы системы);

·использование недостатков языков программирования и операционной системы;

·незаконное подключение к аппаратуре и линиям связи;

·внедрение компьютерных вирусов.

 

Организационные мероприятия, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ. Существенное значение при проектировании придается предпроекному обследованию объекта на этой стадии:

· устанавливается наличие конфиденциальной информации в АИТ, оценивается уровень конфиденциальности и объем подобного рода информации;

· определяются режимы обработки информации, состав комплекса технических средств, общесистемные программные средства и т.д.;

· анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

· определяется степень участия персонала, функциональных средств и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия их между собой и службой безопасности;

· определяются мероприятия по обеспечению секретности на стадии разработки.

Создание базовой системы защиты информации в АИТ основывается на следующих принципах:

· комплексный подход при построении защиты при ведущей роли организационных мероприятий;

· разделение и минимизация полномочий по доступу к обрабатываемой информации процедурам обработки, то есть предоставление пользователям минимума строго определенных полномочий, достаточного для успешного выполнения своих служебных обязанностей;

· полнота контроля и регистрация попыток несанкционированного доступа, то есть необхимость точного установления идентичности каждого пользователя и протоколирование его действий для проведения возможного исследования;

· обеспечение надежности системы защиты, то есть невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователя или обслуживающего персонала;

· обеспечение контроля за функционированием системы защиты, то есть создание средств и методов контроля работоспособности механизмов защиты.

К методам защиты информации относятся:

· препятствие- метод физического преграждения пути злоумышленнику к защищаемой информации;

· управление доступом- включает в себя следующие функции защиты:

* идентификацию пользователя, персонала системы;

* опознание объекта или субъекта по предъявленному им идентификатору;

* проверку полномочий;

* протоколирование обращений к защищаемым ресурсам.

· маскировка- метод защиты информации путем ее криптографического закрытия, при передачи информации по каналам связи большой протяженности этот метод оказывается наиболее удобным;

· регламентация- метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможность несанкционированного доступа к ней свелась бы к минимуму;

· принуждение- такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой административной, материальной или уголовной ответственности;

· побуждение- соблюдение установленных порядков за счет соблюдения установленных морально-этических норм.

Средства защиты информации:

· физические средства реализуются в виде автономных устройств и систем (замки, электронно-механическое оборудование охранной сигнализации);

· аппаратные средства- устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые соединяются с подобной аппаратурой по стандартному интерфейсу;

· программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации;

· организационные средства защиты представляют из себя организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации, организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла;

· морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складывались по мере распространения вычислительной техники и средств связи в обществе;

· законодательные средства- определяются законодательными актами страны.

Для реализации мер безопасности используются различные механизмы шифрования (криптографии), Криптография- это наука об обеспечении секретности и подлинности передаваемого сообщения. Сущность криптографических методов заключается в следующем. Готовое к передаче сообщение (открытое) шифруется (превращается в закрытое) и его расшифровывает получатель сообщения.

Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом или битовой последовательностью, называемой шифрующим колючем. Для большинства систем закрытая схема генератора ключа может представлять либо набор инструкций и команд, либо узел аппаратуры (hard ware), либо компьютерную программу (soft ware), либо все это вместе взятое. Но в любом случае процесс шифрования и дешифрования единственным образом определятся выбранным специальным колючем. Стойкость любой системы связи определяется степенью секретности используемого в ней ключа.

Шифрование может быть симметричным и асимметричным. При симметричном шифровании используется один и тот же ключ для шифрования и дешифрования. Асимметричное шифрование характеризуется тем, что для шифрования используется общедоступный ключ, а для дешифрования другой, секретный. При этом знание общедоступного ключа не позволяет определить секретный ключ.

Наряду с шифрованием используются другие механизмы безопасности:

* цифровая (электронная подпись);

* контроль доступа;

* обеспечение целостности данных;

* обеспечение аутентификации;

* постановка графика;

* управление маршрутизацией;

* арбитраж или освидетельствование.

Механизм цифровой подписи основывается на алгоритме асимметричного шифрования и включает две процедуры: формирование подписи отправителем и ее опознавание (верификация) получателем. Первая процедура обеспечивает формирование блока данных либо его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.

Механизмы контроля доступа осуществляют проверку полномочий объектов АИТ(программ и пользователей на доступ к ресурсам сети).

Механизмы обеспечения целостности данных применяются как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но не достаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографической суммой, соответствующей принимаемому блоку. Несовпадения свидетельствуют об искажении информации в блоке. Однако, описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков. Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка оказывается взаимной.

Механизм постановки графика, называемый также механизмом заполнения текста основан на генерации объектами АИТ фиктивных блоков, их шифрования и организации передачи по каналам связи. Этим нейтрализуется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам сети.

Механизм управления маршрутизацией обеспечивает выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным каналам.

Механизм арбитража обеспечивает подтверждение характеристик данных, передаваемых АИТ третьей стороной (арбитром). Для этого вся информация, передаваемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.