Класифікація методів захисту інформації й безпеки комп’ютерних систем.

Для створення засобів захисту інформації та забезпечення безпеки комп'ютерних систем (КС) застосовуються такі методи:

1. Законодавчі.

2. Організаційні.

3. Технічні.

4. Математичні.

5. Програмні.

6. Морально-етичні.

Організаційні заходи охоплюють більшість засобів управління безпекою. Цілісність даних є визначальною для функціонування систем у фінансових та інших сферах. Організаційні заходи використовуються для захисту майже від усіх відомих порушень безпеки й цілісності обчислювальних систем. Це організація спостереження в обчислювальній системі; перевірка та підготовка персоналу (користувачів); будівництво захисних споруд від стихійних лих і несанкціонованого доступу; контроль за змінами в програмному й математичному забезпеченні; створення спеціальної адміністративної служби захисту; реалізація контрольно-пропускного режиму; розробка нормативних положень про діяльність обчислювальної системи.

Організаційні заходи доповнюють захист інформації на етапах її зберігання й передачі, забезпечують «підтримку» криптографічних методів, наприклад, безпеку зберігання ключів шифрування і т.п.

Технічні заходи підрозділяються на фізичні й апаратні. Є два шляхи забезпечення захисту: фізичний захист і захист системи.

Фізичний захист ефективно перешкоджає шахрайству й несанкціонованого доступу до ресурсів ПК. Поділ функціональних обов'язків та сфери користування інформацією повинні забезпечувати надійний контроль з надання специфічних даних. Персонал користувачів та їх ротація повинні періодично перевірятися. Щоб уникнути конфліктів, персонал повинен бути ідентифіковано та мати рівень доступу повноважень. Наприклад, починаючому користувачеві не дозволяється обробляти платіжні документи.

Захист системи підкреслює потребу підтримувати цілісність програмного забезпечення системи, програм і даних в момент їх використання.

Основний етап захисту звернення (доступу) – упізнання користувача: його ідентифікація й встановлення автентичності. Ідентифікація користувача або терміналу – це присвоєння йому унікального, неповторюваного номеру, імені. Надалі вони необхідні для упізнання та обліку кількості звернень до ресурсів обчислювальної системи.

Паролі як засіб підтвердження автентичності мають місце практично в будь-якій діючій системі захисту. Пароль – це набір буквено-цифрових знаків з певними параметрами: час існування, довжина, спосіб отримання, форма присвоєння та ін.

Кожна людина відрізняється відбитками пальців, тембром голосу та ін. На сьогодні створено пристрої підтвердження автентичності шляхом розпізнавання аудіограм голосу, відбитків пальців, форми голови й т.д. Їх, як правило, вбудовано до терміналів. Таким чином, процес ідентифікації та встановлення автентичності стає єдиним і відпадає необхідність в упізнанні користувача. Такі пристрої знаходять місце при доступі до терміналів з абсолютно секретною інформацією.

В обчислювальних системах слід використовувати досить різноманітні шифри, що дозволяють «закривати» інформацію різними методами: заміною (підстановкою) символів; перестановкою символів; аналітичними перетвореннями; криптографічними методами. Всі вони відносяться до математичних методів захисту.

Найбільш дієвим прийомом контролю за взаємодією термінальних пристроїв (користувачів) з обчислювальною системою є реєстрація, яка буває двох видів: ручна і машинна. При ручній кожен користувач заносить до журналу реєстрації власне ім'я, ідентифікатор терміналу, час початку й закінчення роботи з обчислювальною системою та інші відомості, необхідні для всеосяжного контролю доступу.

При машинній реєстрації одна з програм (програма ведення журналу) системи захисту фіксує в журналі, як правило, повний текст введеної інформації, ідентифікатор терміналу, пароль користувача, тип виконуваних змін, адреси даних, що модифікуються, значення даних до й після зміни. Реєстрація абсолютно всіх звернень не доцільна.

У деяких організаціях вважають, що етичні кодекси роблять позитивний вплив на персонал; в таких організаціях прийняті та вивішені на видних місцях в зонах, де проводиться обробка інформації, етичні кодекси.

Література.

Нормативна:

1. Про інформацію [Електронний ресурс]: закон України від 02.10.1992 № 2657-12 в редакції Закону України 10.08.2012 № 5029-17. – Електрон. дан. (1 файл). – Режим доступу: http://zakon1.rada.gov.ua.

Базова:

1. Гундарь К.Ю., Гундарь А.Ю., Янишевский Д.А. Защита информации в компьютерных системах [Текст]. – К.: «Корнейчук», 2000. – 152 с.

2. Домарев В.В. Защита информации и безопасность компьютерных систем [Текст]. – К.: Издательство «Диа-Софт», 1999. – 480 с.

Допоміжна:

1. В.Е. Ходаков, Н.В. Пилипенко, Н.А. Соколова Введение в компьютерные науки [Текст]: учебное пособие. /Под ред. В.Е. Ходакова. – Херсон: Издательство ХГТУ. – 2004. – 610 с.

2. Соколов В.Ю. Інформаційні системи і технології [Текст]: навчальний посібник, 2010.

Інформаційні ресурси:

1. http://www.informatuka.info (Курс лекцій з дисципліни «Основи інформаційних технологій»).

2. http://www.ido.rudn.ru/nfpk/inf/inf11.html (Телекомунікаційні технології).

Питання для самоперевірки.

1. Які частини комп'ютерної системи становлять найбільшу небезпеку для системи захисту?

2. Чим характеризується проникнення до комп'ютерної системи? Перелічіть його основні види.

3. У чому полягає суть поняття «входження між рядків»?

4. У чому полягає відмінність між поняттями конфіденційності та секретності інформації?

5. Які організаційні методи можуть застосовуватися для захисту інформації в компютерних системах?

6. Визначте значення фізичного захисту для безпеки комп'ютерних систем.

7. У чому полягає суть поняття захист системи, пароль, індивідуальні характеристики?

8. Визначте основні способи математичного, програмного, морально-етичного забезпечення необхідного ступеня захисту комп'ютерних систем.

Не нашли, что искали? Воспользуйтесь поиском: