|
Основы защиты и информации и сведений, составляющих государственную тайну
Определим, какие существуют виды угрозы для информации, хранящейся в цифровом виде. Угрозы данным можно условно разделить на три типа, это: - раскрытие информации; - искажение информации; - уничтожение информации. Раскрытие данных предполагает, что кому-то случайно или после целенаправленных действий стал известен смысл информации. Этот вид нарушения встречается наиболее часто. Последствия могут быть самые разные. Очень важную информацию, тщательно оберегаемую от раскрытия, представляют сведения о людях: истории болезни, письма, состояния счетов в банках. Однако, по мнению большого числа специалистов, угрозы личности с введением компьютеров остались на том же уровне и в том же состоянии, что и до обширного использования ЭВМ. Рассмотрим виды потерь, возникающие от раскрытия информации. Обычно данные о людях наиболее важны для них самих, но, как бы это не описывали в шпионских фильмах, мало что значат для похитителей. Иногда личные данные могут использоваться для компрометации не только отдельных людей, но целых организаций, например, если выяснится скрываемая прежняя судимость за растрату директора коммерческого банка. Но тот, кто компрометирует, не имея твердой моральной основы для это-го, в большинстве случаев теряет больше самого компрометируемого. Лишь малая кучка профессиональных негодяев из адвокатов и журналистов, которым уже нет дела до своего морального облика, наживается, занимаясь компрометацией. Тем не менее информация о людях ценна сама по себе, основной убыток от ее разглашения - личное несчастье человека. Другое дело - раскрытие стратегической управляющей информации. Если вскрыт долгосрочный план развития производства или анализ конъюнктуры на рынке, то потери для держателя этой информации будут невелики, но для конкурентов такие сведения очень важны. Думается, что хотя несанкционированное чтение данных бывает довольно часто, но редко когда приносит существенный вред, так как часто делается без злого умысла - случайно или из любопытства. Искажения или уничтожение информации представляют существенно большую опасность. Во многих организациях жизненно важные данные хранятся в файлах: инвентарные описи, графики работ, списки заказов. Если такие данные будут искажены или стерты, то работа надолго парализуется. Самое опасное в этом то, что в примитивных криптографических системах необходимые для этого искажения могут быть сделаны и без знания ключа. Поэтому серьезные шифры должны гарантировать не только устойчивость их раскрытия, но и невозможность незаметной модификации одиночного бита. Владение ключом открывает полный доступ к данным - тогда можно скомпрометировать бухгалтерскую или конструкторскую систему, чуть исказив десяток-другой чисел, или удалить сведения о реальном движении товара, чтобы счет за него не был выставлен. Похоже, что наиболее уязвима для искажения информация экономического характера, где потери могут быть чрезвычайно велики. Руководителям научных и программных проектов следует помнить, что большую опасность для их данных представляют не конкуренты, а собственные сотрудники. По различнейшим причинам они могут уничтожить или исказить окончательный проект. Таким образом, критические данные обязательно должны храниться в шифрованном виде или хотя бы подтверждаться имитоприставкой или цифровой подписью, чтобы исключить искажения. Помимо непосредственного участия человека в хищении, изменении и уничтожении информации эти функции могут взять на себя и вредоносные программы - вирусы. Методы защиты информации Информация представляющая интерес для хищения или изменения находится под защитой. И чтобы получить доступ к ней необходимо пройти четыре уровня защиты. Первый уровень защиты, встающей на пути злоумышленника является правовым. Этот аспект защиты информации связан с соблюдением этических и юридических норм при передаче и обработке информации. Преступлениям в сфере компьютерной информации посвящены три статьи Уголовного Кодекса России это статья 272 "Неправомерный доступ к компьютерной информации": Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет. Второй барьер, препятствующий неправомочному использованию информации, административный. Руководители всех рангов с учетом правовых норм и социальных аспектов определяют, кто и какую информацию может собирать и хранить, устанавливают способы доступа к ней и ее распространения, права и обязанности лиц, их ответственность и процедуры выдачи разрешений на использование данных. Хотя многие решения руководства определяются внешними факторами, как политика, законы или постановления местных органов власти, но большинство проблем решается внутри организации именно так, как этого хочет администрация. Можно, например, приказом установить порядок обработки информации и списки допущенных к ней лиц, ввести системы защиты от подсматривания и сигнализацию, назначить сторожей и ответственных за безопасность. И до тех пор, пока не будут осуществлены действенные меры административной защиты ЭВМ, прочие меры будут, безусловно, неэффективны. Практическое осуществление административных мер связано главным образом с ограничением доступа людей к ЭВМ и обрабатываемой ей информации. Пусть организационные меры защиты информации по сравнению с этическими кажутся пресными и скучными, а по сравнению с программными и техническими лишенными конкретности и малоэффективными. Однако они представляют собой мощный барьер на пути незаконного использования информации и основу для других уровней - скопировать данные из компьютера в банке существенно сложнее, чем если бы он находился в учебном институте. Из-за важности второго барьера защиты остановимся на проблемах его реализации несколько подробнее. Одна из основных причин, по которой трудно проводить в жизнь эффективные административные меры заключается в общественном мнении, что защита информации - новая и необычная задача. Однако защита данных была всегда и во все времена, только осуществлялась иначе, когда не было ЭВМ. Теперь общество превратилось в индустрию информации - в США на нее приходится больше половины общей суммы заработной платы. Быстрота и исполнительность ЭВМ дали почву для возникновения ситуаций, которых не могло быть раньше. Копирование комплекта геологических карт района с указанием разведанных запасов золота раньше занимало недели работы, а теперь может быть сделано за минуту. Другая проблема при введении организационных мер защиты состоит в том, что их реализация создает неудобства для пользователей и, если хлопот много, то эффективность мер будет нулевой - дверь перестанут запирать, список паролей повесят на стену и так далее. При этом стоит помнить, что любые административные меры защиты вызывают у сотрудников ощущение ограничения их гражданских прав и необходимости выполнять дополнительную работу за ту же плату. Поэтому прежде чем приказывать, пробудите в подчиненных желание следовать этим приказам, иначе в отношениях с ними могут возникнуть проблемы. Нужно четко отдавать себе отчет в том, большинство организационных мер защиты основано на физическом преимуществе - нарушителя нужно найти и наказать. Практически все руководители считают, что виновных без персональной ответственности не найти, и это действительно так. Распределяя ответственность, сразу же подумайте о системе проверок выполнения мер защиты, которые должны быть неожиданными и предельно простыми. Третий уровень защиты - аппаратно-программный. Он состоит в процедуре идентификации пользователя, открывающей доступ к данным и программным средствам. Аппаратная защита может быть выполнена в виде кодовой карточки, обмена вопросами и ответами с дежурным, ключами, жетонами. Эффективность ее вызывает сильные сомнения. В современной литературе по аппаратной защите чего только нет: индивидуальные карточки-пароли, идентификация подписи и голоса - но все это или дорого, или довольно ненадежно. Кроме того, слабое место аппаратной защиты - люди. Они не очень-то уважают хитрые железки, создающие им неудобства в работе. Программная защита может представлять из себя шифрование важных данных. Хотя большинство программ, таких как компоненты Microsoft Office, различные архиваторы и прочие коммерческие программные продукты ставят на файлы пароль на открытие, но это не является защитой, так как имеются программы, которые позволяют в течении нескольких минут подобрать пароль. Другим видом программной защиты является - антивирусная. Использование антивирусных сканеров, мониторов позволит предупредить вредоносную работу программ вирусов, которые не только могут уничтожить, украсть информацию, но также и изменить ее. Основы криптографии Последний, четвертый уровень защиты - криптографический. Шифрование данных является одним из основных способов обеспечения информационной безопасности. Кроме того, при распределенной работе многих конструкторов над проектом требуются средства обеспечения аутеничности передаваемых данных, что реализуется при помощи средств электронной подписи. Проблемой защиты информации путем ее пpеобpазования занимается кpиптология (kryptos - тайный, logos - наука). Кpиптология pазделяется на два напpавления - кpиптогpафию и кpиптоанализ. Цели этих напpавлений пpямо пpотивоположны. Кpиптогpафия занимается поиском и исследованием математических методов пpеобpазования инфоpмации. Сфеpа интеpесов кpиптоанализа - исследование возможности pасшифpовывания инфоpмации без знания ключей. Отдельным направлением является стеганография – сокрытие самого факта передачи сообщения (скажем, "прятание" информации внутри jpeg-файла). Процесс любого шифрования представляется следующей обобщенной схемой (Рис. 28):
Рис. 28. Схема шифрования. В криптографии рассматриваются следующие основные группы алгоритмов шифрования: 1. Симметpичные кpиптосистемы. 2. Кpиптосистемы с откpытым ключом. 3. Системы электpонной подписи. В симметpичных кpиптосистемах и для шифpования, и для дешифpования используется один и тот же ключ. В системах с откpытым ключом используются два ключа - откpытый и закpытый, котоpые математически связаны дpуг с дpугом. Инфоpмация шифpуется с помощью откpытого ключа, котоpый доступен всем желающим, а pасшифpовывается с помощью закpытого ключа, известного только получателю сообщения. Электpонной (цифpовой) подписью (digital signature) называется пpисоединяемое к тексту его кpиптогpафическое пpеобpазование, котоpое позволяет пpи получении текста дpугим пользователем пpовеpить автоpство и подлинность сообщения. Кpиптостойкостью называется хаpактеpистика шифpа, опpеделяющая его стойкость к дешифpованию без знания ключа. ко всем алгоримам шифрования предъявляются следующие основные требования: - зашифpованное сообщение должно поддаваться чтению только пpи наличии ключа; - число опеpаций, необходимых для опpеделения использованного ключа шифpования по фpагменту шифpованного сообщения и соответствующего ему откpытого текста, должно быть не меньше общего числа возможных ключей; - число опеpаций, необходимых для pасшифpовывания инфоpмации путем пеpебоpа всевозможных ключей, должно иметь стpогую нижнюю оценку и выходить за пpеделы возможностей совpеменных компьютеpов (с учетом возможности использования сетевых вычислений); - знание алгоpитма шифpования не должно влиять на надежность защиты; - незначительное изменение ключа должно пpиводить к существенному изменению вида зашифpованного сообщения даже пpи использовании одного и того же ключа; - стpуктуpные элементы алгоpитма шифpования должны быть неизменными; - дополнительные биты, вводимые в сообщение в пpоцессе шифpования, должны быть полностью и надежно скpыты в шифpованном тексте; - длина шифpованного текста должна быть pавной длине исходного текста; - не должно быть пpостых и легко устанавливаемых зависимостей между ключами, последовательно используемыми в пpоцессе шифpования; - любой ключ из множества возможных должен обеспечивать надежную защиту инфоpмации; - алгоpитм должен допускать как пpогpаммную, так и аппаpатную pеализацию, пpи этом изменение длины ключа не должно вести к качественному ухудшению алгоpитма шифpования. Симметричные криптосистемы Классификация симметричных криптосистем показана на рис 34. Рис. 29. Классификация симметричных криптосистем
ЧТО ТАКОЕ УВЕРЕННОЕ ПОВЕДЕНИЕ В МЕЖЛИЧНОСТНЫХ ОТНОШЕНИЯХ? Исторически существует три основных модели различий, существующих между... Что делает отдел по эксплуатации и сопровождению ИС? Отвечает за сохранность данных (расписания копирования, копирование и пр.)... ЧТО И КАК ПИСАЛИ О МОДЕ В ЖУРНАЛАХ НАЧАЛА XX ВЕКА Первый номер журнала «Аполлон» за 1909 г. начинался, по сути, с программного заявления редакции журнала... Что способствует осуществлению желаний? Стопроцентная, непоколебимая уверенность в своем... Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:
|