Основные методы защиты от несанкционированного вмешательства в информационные процессы

Под системой защиты от несанкционированного использования и копирования (защиты авторских прав, или просто защиты, от копирования) понимается комплекс программных или программно-аппаратных средств, предназначенных для усложнения или запрещения нелегального распространения, использования и (или) изменения программных продуктов и иных информационных ресурсов.[4]

Использование Криптографических методов

Проблема защиты информации путем ее преобразования, исключающего ее прочтение посторонним лицом волновала человеческий ум с давних времен. История криптографии - ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии тому примеры.

С широким распространением письменности криптография стала формироваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей переписке использовал уже более менее систематический шифр, получивший его имя.

Бурное развитие криптографические системы получили в годы первой и второй мировых войн. Начиная с послевоенного времени и по нынешний день появление вычислительных средств ускорило разработку и совершенствование криптографических методов.

Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления - криптографию и криптоанализ. Цели этих направлений прямо противоположны.

Криптография занимается поиском и исследованием математических методов преобразования информации.

Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей.

Современная криптография включает в себя четыре крупных раздела:

- Симметричные криптосистемы;

- Криптосистемы с открытым ключом;

- Системы электронной подписи;

- Управление ключами.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Как бы ни были сложны и надежны криптографические системы - их слабое место при практической реализации - проблема распределения ключей. Для того, чтобы был возможен обмен конфиденциальной информацией между двумя субъектами ИС, ключ должен быть сгенерирован одним из них, а затем каким-то образом опять же в конфиденциальном порядке передан другому. Т.е. в общем случае для передачи ключа опять же требуется использование какой-то криптосистемы.

Для решения этой проблемы на основе результатов, полученных классической и современной алгеброй, были предложены системы с открытым ключом.

Суть их состоит в том, что каждым адресатом ИС генерируются два ключа, связанные между собой по определенному правилу. Один ключ объявляется открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне.

Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст в принципе не может быть расшифрован тем же открытым ключом. Дешифрование сообщение возможно только с использованием закрытого ключа, который известен только самому адресату.[5]

Очень важным является административный контроль работы КС и защита от несанкционированного доступа к информации (объектам).

При организации доступа субъектов к объектам выполняются следующие действия:

- идентификация и аутентификация субъекта доступа;

- проверка прав доступа субъекта к объекту;

- ведение журнала учета действий субъекта.

При входе в КС, при получении доступа к программам и конфиденциальным данным субъект должен быть идентифицирован и аутентифицирован. Эти операции обычно выполняются вместе. Пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация), а затем сообщает секретные сведения, подтверждающие, что он тот, за кого себя выдает.

Для аутентификации субъекта чаще всего используются атрибутивные идентификаторы, которые делят на следующие категории:

- пароли;

- съемные носители информации;

- электронные жетоны;

- пластиковые карты.

- механические ключи.

В настоящее время аппаратура КС поддерживает ввод пароля до начала загрузки ОС. Такой пароль хранится в энергонезависимой памяти и обеспечивает предотвращение НСД до загрузки любых программных средств.

Другие способы (съемные носители, карты и др.) предполагают наличие технических средств, хранящих идентификационную информацию.

Метод парольной защиты

Законность запроса пользователя определяется по паролю, представляющему собой, как правило, строку знаков. Метод паролей считается достаточно слабым, так как пароль может стать объектом хищения, перехвата, перебора, угадывания. Однако простота метода стимулирует поиск путей его усиления.

Для повышения эффективности парольной защиты рекомендуется:

1. выбирать пароль длиной более 6 символов, избегая распространенных, легко угадываемых слов, имен, дат и т.п.;

2. использовать специальные символы;

3. пароли, хранящиеся на сервере, шифровать при помощи односторонней функции;

4. файл паролей размещать в особо защищаемой области ЗУ ЭВМ, закрытой для чтения пользователями;

5. комментарии файла паролей следует хранить отдельно от файла;

6. периодически менять пароли;

7. предусмотреть возможность насильственной смены паролей со стороны системы через определенный промежуток времени;

8. использовать несколько пользовательских паролей: собственно пароль, персональный идентификатор, пароль для блокировки/разблокировки аппаратуры при кратковременном отсутствии и т.п.

В качестве более сложных парольных методов используется случайная выборка символов пароля и одноразовое использование паролей. В первом случае пользователю (устройству) выделяется достаточно длинный пароль, причем каждый раз для опознавания используется часть пароля, выбираемая случайно. При одноразовом использовании пароля пользователю выделяется не один, а большое количество паролей, каждый из которых используется по списку или по случайной выборке один раз.

Использование программных и программно-аппаратных средств обеспечения безопасности информации

К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав КС и выполняющие (как самостоятельно, так и при помощи программных средств) некоторые функции по обеспечению безопасности информации.

К основным аппаратным средствам защиты информации относятся:

- Устройства ввода идентифицирующий пользователя информации;

- Устройства шифрования информации;

- Устройства для воспрепятствования несанкционированному включению рабочих станций серверов.

Под программными средствами информационной безопасности понимают специальные программные средства, включаемые в состав программного обеспечения КС исключительно для выполнения защитах функций.

К основным программным средствам защиты информации относятся:

- Программы идентификации, аутентификации пользователей КС;

- Программы разграничения доступа пользователей к ресурсам КС;

- Программы от несанкционированного доступа, копирования изменения и использования.

К преимуществам программных средств защиты информации относятся:

- Простота тиражирования;

- Гибкость (возможность настройки на различные условия применения);

- Простота применения;

- Практически неограниченные возможности их развития.

К недостаткам программных средств относятся:

- снижение эффективности КС за счет потребления ее ресурсов, требуемых для функционирования программ защиты;

- Более низкая производительность.

Заключение

В заключении можно сказать, что с конца 80-ых начала 90-ых годов проблемы связанные с защитой информации беспокоят как специалистов в области компьютерной безопасности, так и многочисленных рядовых пользователей персональных компьютеров. Это связано с глубокими изменениями, вносимыми компьютерной технологией в нашу жизнь. Изменился сам подход к понятию “информация”. Этот термин сейчас больше используется для обозначения специального товара, который можно купить, продать, обменять на что-то другое и т.д. При этом стоимость подобного товара зачастую превосходит в десятки, а то и в сотни раз стоимость самой вычислительной техники, в рамках которой он функционирует. ^[6]

Естественно, возникает потребность защитить информацию от несанкционированного доступа, кражи, уничтожения и других преступных действий. Однако, большая часть пользователей не осознает, что постоянно рискует своей безопасностью и личными тайнами. И лишь немногие хоть, каким либо образом защищают свои данные. Пользователи компьютеров регулярно оставляют полностью незащищенными даже такие данные как налоговая и банковская информация, деловая переписка и электронные таблицы. Проблемы значительно усложняются, когда мы начинаем работать или играть в сети так как хакеру намного легче в это время заполучить или уничтожить информацию, находящуюся в нашем компьютере.

На данный момент с развитием технологий существует большое количество угроз, направленных на несанкционированный доступ к информации, на ее искажение, удаление, например вирусы, которые успешно внедрились в повседневную компьютерную жизнь и покидать ее в обозримом будущем не собираются. Нужно четко представлять себе, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в информационных системах. Но так же следует помнить, что большая концентрация защитных средств в информационной системе может привести не только к тому, что система окажется очень дорогостоящей, но и к тому, что у нее произойдет существенное снижение коэффициента готовности. Например, если такие ресурсы системы, как время центрального процессора будут постоянно тратиться на работу антивирусных программ, шифрование, резервное архивирование и тому подобное, скорость работы пользователей в такой системе может упасть до нуля.^[7]

Поэтому главное при определении мер и принципов защиты информации это квалифицированно определить границы разумной безопасности и затрат на средства защиты с одной стороны и поддержания системы в работоспособном состоянии и приемлемого риска с другой.

Список использованной литературы

Не нашли, что искали? Воспользуйтесь поиском: