БЕЛОРУССКИЙ ИНСТИТУТ ПРАВОВЕДЕНИЯ

Дистанционное образование

А.И.Бородина, Л.И Крошинская, О.Л.Сапун

ОСНОВЫ ИНФОРМАТИКИ

И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

Защита деловой информации

Минск

2004БЕЛОРУССКИЙ ИНСТИТУТ ПРАВОВЕДЕНИЯ

Дистанционное образование

А.И.Бородина, Л.И Крошинская, О.Л.Сапун

ОСНОВЫ ИНФОРМАТИКИ

И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

Защита деловой информации

Минск

НО ООО «БИП-С»

2004

Рекомендовано редакционно-издательским советом

Белорусского института правоведения

Бородина А.И.

Основы информатики и вычислительной техники: Защита информации / И.И. Бородина, Л.И, Крошинская, О.Л. Сапун. – Мн.: НО ООО «БИП-С», 2004. – 32. с.

Защита информации имеет в современном высокотехнологичном мире огромное значение. С каждым днем все большие объемы информации нуждаются в защите от несанкционированного доступа. Использование алгоритмов шифрования давно вышло за рамки применения их для передачи секретных документов. Сегодня эти алгоритмы применяются в системах телекоммуникации, программном обеспечении для компьютеров и т.д.

В данной работе освещены вопросы классификации криптосистем, принципы и методы шифрования, а также выделены основные направления развития систем шифрования. Раскрыты основные принципы работы наиболее известных криптосистем: DES, RSA, систем потокового шифрования, ГОСТ 28147-89; указаны их особенности, преимущества и недостатки, а также их практическое применение. Перечислены основные аппаратные и программные продукты, в которых применены данные криптосистемы, и даны их характеристики.

введение

Проблемы информационной безопасности постоянно усугубляются процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем. Это дает основание поставить проблему компьютерного права, одним из основных аспектов которой являются так называемые компьютерные посягательства. Об актуальности проблемы свидетельствует обширный перечень компьютерных преступлений.

Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, программное обеспечение и базы данных.

Каждый сбой работы компьютерной сети это не только «моральный» ущерб для работников предприятия и сетевых администраторов. По мере развития технологий электронных платежей, «безбумажного» документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не случайно защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано три базовых принципа информационной безопасности, которая должна обеспечивать:

• целостность данных – защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;
  
• конфиденциальность информации;
  
• доступность для всех авторизованных пользователей.
  

Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем в соответствии с характером и важностью решаемых ими задач.

1. кто и что угрожает деловой информации

Основной угрозой для деловой информации являются хакеры и вирусы. Но подавляющее большинство инцидентов с потерей пользовательской информации остаются случайными или их причиной является сам пользователь.

Два наиболее общих фактора, угрожающих как деловым данным, так и всем остальным их видам, – это случайное стирание и аппаратный отказ.

Для того чтобы компьютер и его пользователь были готовы к несчастному случаю нужно регулярно проводить резервное копирование деловых данных, и тогда в случае неудачи они могут быть восстановлены. Здесь самой главной задачей является нахождение компромисса между пользой восстановления потерянных данных и потраченным временем и неудобствами, связанными с резервным копированием.

Существует три вида резервного копирования:

• полное резервное копирование жесткого диска,
  
• частичное копирование лишь выбранных файлов,
  
• инкрементное копирование только файлов, которые были изменены после осуществления последней резервной копии.
  

Преимущество полного резервного копирования жесткого диска – законченность, т.е. это снимок содержания жесткого диска, к которому можно обращаться, так как там все остается неизменным. Частичное копирование полезно в том случае, если работа сконцентрирована на какой-то определенной области жесткого диска.

Деловой информации угрожает не только возможность сбоя или стирания, но и определенные лица, цели которых – внедрение в информацию. Таких лиц называют хакерами. В общем словаре хакерского сленга «Жаргон» имеется такое определение термина «хакер»: это тот, кто испытывает интеллектуальное наслаждение от творческого преодоления ограничений (http://nws.cc.emoryedu/Jargon30) [1, стр.40]. Хакеры встречаются во всех областях технологического мира. Для некоторых это ремесло является основным средством к существованию.

В целом люди, от которых непосредственно должна охраняться информация делятся на четыре основные категории:

• воры-универсалы, которые охотятся за тем, что можно продать;
  
• технически неграмотные любопытные – для защиты от них используются достаточно простые средства защиты: атрибуты файлов и каталогов типа «скрытый» и «только для чтения»;
  
• технически грамотные любопытные – это люди, не имеющие злого умысла, поэтому защита от них выполняется с помощью сохранения важных данных на гибких дисках или размещение данных в защищенные паролем архивные файлы;
  
• явный хакер высокой технической квалификации – на него и вирусов направлена вся защита информации.
  

На практике выделяется три основных способа передачи вирусов:

• Пиратское программное обеспечение. Многие пользователи, не желая платить дорогую цену за программное обеспечение, копируют его. Хакеры, которые знают о данных действиях людей, довольно часто запускают туда вирусы.
  
• На диске. Случается, что компании продают зараженные вирусами фабричные дистрибутивные диски. Но наиболее распространенным путем является обмен дискетами между пользователями.
  
• Пересылка файлов. Уровень опасности при пересылке зависит от источника. Некоторые системные администраторы по возможности проверяют каждый файл на наличие вирусов, перед тем как разрешить его пересылку, а другие берут практически все загруженное и пересылают без тестирования.
  

  Вопросы для самоконтроля
  

1. Откуда исходит угроза деловой информации?
   
2. Категории людей, от которых должна защищаться информация.
   
3. Основные способы передачи вирусов.
   

2. Компьютерная преступность

Компьютерные преступления условно можно подразделить на две большие категории – преступления, связанные с вмешательством в работу компьютеров, и преступления, использующие компьютеры как необходимые технические средства.

Перечислим основные виды преступлений, связанные с вмешательством в работу компьютеров.

1. Несанкционированный доступ к информации, хранящейся в компьютере. Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов технических устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи, подключаемой к каналам передачи данных.

Хакеры, «электронные корсары», «компьютерные пираты» – так называют людей, осуществляющих несанкционированный доступ в чужие информационные сети для забавы. Набирая на удачу один номер за другим, они терпеливо дожидаются, пока на другом конце провода не отзовется чужой компьютер. После этого телефон подключается к приемнику сигналов в собственной ЭВМ, и связь установлена. Если теперь угадать код (а слова, которые служат паролем, часто банальны), то можно внедриться в чужую компьютерную систему.

Несанкционированный доступ к файлам законного пользователя осуществляется также нахождением слабых мест в защите системы. Однажды обнаружив их, нарушитель может не спеша исследовать содержащуюся в системе информацию, копировать ее, возвращаться к ней много раз.

Программисты иногда допускают ошибки в программах, которые не удается обнаружить в процессе отладки. Авторы больших сложных программ могут не заметить некоторых слабостей логики. Уязвимые места иногда обнаруживаются и в электронных цепях. Все эти небрежности и ошибки приводят к появлению «брешей».

Бывает, что некто проникает в компьютерную систему, выдавая себя за законного пользователя. Системы, которые не обладают средствами аутентичной идентификации (например, по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, по голосу и т.п.), оказываются без защиты против этого приема. Самый простейший путь его осуществления – получить коды и другие идентифицирующие шифры законных пользователей. Это может делаться:

• приобретением (обычно подкупом персонала) списка пользователей со всей необходимой информацией;
  
• обнаружением такого документа в организациях, где не налажен достаточный контроль за их хранением;
  
• подслушиванием через телефонные линии.
  

Несанкционированный доступ может осуществляться также в результате системной поломки.

2. Ввод в программное обеспечение «логических бомб», которые срабатывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему. «Временная бомба» – разновидность «логической бомбы», которая срабатывает по достижении определенного времени. «Троянский конь» состоит в тайном введении в чужую программу таких команд, которые позволяют осуществлять новые, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность. С помощью «троянского коня» преступники, например, могут отчислять на свой счет определенную сумму с каждой операции.

В США получила распространение форма компьютерного вандализма, при которой «троянский конь» разрушает через какой-то промежуток времени все программы, хранящиеся в памяти машины. Во многих поступивших в продажу компьютерах оказалась «временная бомба», которая «взрывается» в самый неожиданный момент, разрушая все данные.

3. Разработка и распространение компьютерных вирусов. «Троянские кони» типа «сотри все данные этой программы, перейди в следующую и сделай то же самое» обладают свойствами переходить через коммуникационные сети из одной системы в другую, распространяясь как вирусное заболевание.

Выявляется такой вирус не сразу. Первое время компьютер «вынашивает инфекцию», поскольку для маскировки вирус нередко используется в комбинации с «логической бомбой» или «временной бомбой». Вирус наблюдает за всей обрабатываемой информацией и может перемещаться, используя пересылку этой информации.

Начиная действовать (перехватывать управление), вирус дает команду компьютеру, чтобы тот записал зараженную версию программы. После этого он возвращает программе управление. Обнаружить этот вирус можно, только обладая чрезвычайно развитой программистской интуицией, поскольку никакие нарушения в работе ЭВМ в этот момент не проявляют себя.

Каковы способы распространения компьютерного вируса?

Дискета или магнитная лента, перенесенные на другие ЭВМ, способны заразить их. И наоборот, когда «здоровая» дискета вводится в зараженный компьютер, она может стать носителем вируса. Удобными для распространения обширных эпидемий оказываются телекоммуникационные сети. Достаточно одного контакта, чтобы персональный компьютер был заражен или заразил тот, с которым контактировал. Однако самый частый способ заражения – это копирование программ, что является обычной практикой у пользователей персональных ЭВМ. Скопированными оказываются и зараженные программы. Специалисты предостерегают от копирования ворованных программ.

Естественно, что против вирусов были приняты чрезвычайные меры, приведшие к созданию текстовых программ-антивирусов. Защитные программы подразделяются на три вида: фильтрующие – препятствующие проникновению вируса, противоинфекционные – постоянно контролирующие процессы в системе, и противовирусные – настроенные на выявление отдельных вирусов. Однако развитие этих программ пока не успевает за развитием компьютерной эпидемии.

Следует отметить, что распространение компьютерных вирусов имеет и некоторые положительные стороны. В частности, они являются и защитой от похитителей программного обеспечения. Зачастую разработчики сознательно заражают свои дискеты каким-либо безобидным вирусом, который хорошо обнаруживается любым антивирусным тестом. Это служит достаточно надежной гарантией, что никто не рискнет копировать такую дискету.

4. Преступная небрежность в разработке, изготовлении и эксплуатации программно-вычислительных комплексов. Проблема небрежности в области компьютерной техники сродни неосторожной вине при использовании любого другого вида техники, транспорта и т.п.

Особенностью компьютерной небрежности является то, что безошибочных программ в принципе не бывает. Если проект практически в любой области техники можно выполнить с большим запасом надежности, то в области программирования такая надежность весьма условна, а в ряде случаев почти не достижима.

5. Подделка компьютерной информации. Этот вид компьютерной преступности является разновидностью несанкционированного доступа с той разницей, что пользоваться им может, как правило, не посторонний пользователь, а сам разработчик, имеющий достаточно высокую квалификацию.

Идея преступления состоит в подделке выходной информации с целью имитации работоспособности больших систем, составной частью которых является компьютер. При достаточно ловко выполненной подделке зачастую удается сдать заказчику заведомо неисправную продукцию.

К подделке информации можно отнести также подтасовку результатов выборов, голосований, референдумов и т.п. Ведь если каждый голосующий не может убедиться, что его голос зарегистрирован правильно, то всегда возможно внесение искажений в итоговые протоколы.

6. Хищение компьютерной информации. Если «обычные» хищения подпадают под действие существующего уголовного закона, то проблема хищения информации значительно более сложна. Присвоение машинной информации, в том числе программного обеспечения, путем несанкционированного копирования не квалифицируется как хищение, поскольку хищение сопряжено с изъятием ценностей из фондов организации. Не очень далека от истины шутка, что у нас программное обеспечение распространяется только путем краж и обмена краденым. При неправомерном обращении в собственность машинная информация может не изыматься из фондов, а копироваться. Следовательно, как уже отмечалось выше, машинная информация должна быть выделена как самостоятельный предмет уголовно-правовой охраны.

Рассмотрим теперь вторую категорию преступлений, в которых компьютер используется как средство достижения цели. Здесь можно выделить разработку сложных математических моделей, входными данными в которых являются возможные условия проведения преступления, а выходными данными – рекомендации по выбору оптимального варианта действий преступника.

Другой вид преступлений с использованием компьютеров получил название «воздушный змей». В простейшем случае требуется открыть в двух банках по небольшому счету. Далее деньги переводятся из одного банка в другой и обратно с постоянно повышающимися суммами. Хитрость заключается в том, чтобы до того, как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в этот банк, так чтобы общая сумма покрывала требование о первом переводе. Этот цикл повторяется большое количество раз («воздушный змей» поднимается все выше и выше) до тех пор, пока на счете не оказывается приличная сумма. Тогда деньги быстро снимаются, а владелец счета исчезает.

Вопросы для самоконтроля

1. Основные виды преступлений, связанные с вмешательством в работу компьютеров.
   
2. Преступления, в которых компьютер используется как средство достижения цели.
   

3. Предупреждение компьютерных преступлений

Известен ряд мер, направленных на предупреждение преступления. Выделяют из них технические, организационные и правовые.

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер зашиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

Существует специальная техника по следующим основным направлениям:

• системы обнаружения технических средств съема информации;
  
• технические системы защиты информации;
  
• специальные приемные устройства (сканеры);
  
• детекторы (обнаружители) металлических предметов и взрывчатых веществ;
  
• аппаратура аудио-, видеоконтроля;
  
• специальные средства звукозаписи.
  

К организационным мерам относят охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение.

Вопросы для самоконтроля

1. Технические меры предупреждений компьютерных преступлений.
   
2. Организационные меры предупреждений компьютерных преступлений.
   
3. Правовые меры предупреждений компьютерных преступлений.
   

4. Защита данных в компьютерных сетях

4.1. Классификация сбоев и нарушений прав доступа

При рассмотрении проблем защиты данных в сети прежде всего возникает вопрос о классификации сбоев и нарушений прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных «угроз» можно выделить следующие:

1. Сбои оборудования:

• сбои кабельной сети;
  
• перебои электропитания;
  
• сбои дисковых систем;
  
• сбои систем архивации данных;
  
• сбои работы серверов, рабочих станций, сетевых карт и т.д.
  

2. Потери информации из-за некорректной работы программного обеспечения:

• потери или изменение данных при ошибках программного обеспечения;
  
• потери при заражении системы компьютерными вирусами.
  

3. Потери, связанные с несанкционированным доступом:

• несанкционированное копирование, уничтожение или подделка информации;
  
• ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц.
  

4. Потери информации, связанные с неправильным хранением архивных данных.

5. Ошибки обслуживающего персонала и пользователей:

• случайное уничтожение или изменение данных;
  
• некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.
  

В зависимости от возможных видов нарушений работы сети (под нарушением работы также понимают и несанкционированный доступ) многочисленные виды защиты информации объединяются в три основных класса:

• средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т.д.;
  
• программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа;
  
• административные меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т.д.
  

Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д.

Сложность создания системы защиты информации определяется тем, что данные могут быть похищены из компьютера и одновременно оставаться на месте, т.е. ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении.

Обеспечение безопасности информации – дорогое дело, и не столько из-за затрат на закупку или установку средств, сколько из-за того, что трудно квалифицированно определить границы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии.

Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности.

4.2. Физическая защита данных

Кабельная система

Кабельная система остается главной «ахилессовой пятой» большинства локальных вычислительных сетей: по данным различных исследований, именно кабельная система является причиной более чем половины всех отказов сети.

Наилучший способ избавиться от неправильной прокладки кабеля – это применение получивших широкое распространение в последнее время так называемых структурированных кабельных систем, использующих одинаковые кабели для передачи данных в локальной вычислительной сети, локальной телефонной сети, передачи видеоинформации или сигналов от датчиков пожарной безопасности или охранных систем. К структурированным кабельным системам относятся, например, SYSTIMAX SCS фирмы AT&T, OPEN DECconnect компании Digital, кабельная система корпорации IBM.

Понятие «структурированность» означает, что кабельную систему здания можно разделить на несколько уровней в зависимости от назначения и месторасположения компонентов кабельной системы. Например, кабельная система SYSTIMAX SCS состоит из:

• внешней подсистемы (campus subsystem);
  
• аппаратных средств (equipment room);
  
• административной подсистемы (administrative subsystem);
  
• магистрали (backbone cabling);
  
• горизонтальной подсистемы (horizontal subsystem);
  
• рабочих мест (work location subsystem).
  

Системы электроснабжения

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания. Большинство источников бесперебойного питания одновременно выполняют функции и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства: серверы, концентраторы, мосты и т.д., – оснащены собственными дублированными системами электропитания.

За рубежом корпорации имеют собственные аварийные электрогенераторы или резервные линии электропитания. Эти линии подключены к разным подстанциям, и при выходе из строя одной из них электроснабжение осуществляется с резервной подстанции.

Системы архивирования и дублирования информации

Организация надежной и эффективной системы архивации данных является одной из важнейших задач по обеспечению сохранности информации в сети. В небольших сетях, где установлены один-два сервера, чаще всего применяется установка системы архивации непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер.

Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия.

Защита от стихийных бедствий

Основной и наиболее распространенный метод защиты информации и оборудования от различных стихийных бедствий: пожаров, землетрясений, наводнений и т.д., – состоит в хранении архивных копий информации или в размещении некоторых сетевых устройств, например, серверов баз данных, в специальных защищенных помещениях, расположенных, как правило, в других зданиях или даже в другом районе города или в другом городе.

4.3. Программные и программно-аппаратные методы защиты

Защита от компьютерных вирусов

Наиболее распространенными методами защиты от вирусов остаются различные антивирусные программы. Однако в качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера. Корпорация Intel уже в 1994 году предложила перспективную технологию защиты от вирусов в компьютерных сетях. Flash-память сетевых адаптеров Intel EtherExpress PRO/10 содержала антивирусную программу, сканирующую все системы компьютера еще до его загрузки.

Защита от несанкционированного доступа

Проблема защиты информации от несанкционированного доступа обострилась в связи с широким распространением компьютерных сетей. Зачастую ущерб наносится не из-за злого умысла, а из-за элементарных ошибок пользователей, которые случайно портят или удаляют важные данные. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.

В компьютерных сетях при организации контроля доступа и разграничения полномочий пользователей чаще всего используются встроенные средства сетевых операционных систем. Так крупнейший производитель сетевых операционных систем – корпорация Novell – в своем продукте NetWare 4.1 предусмотрел помимо стандартных средств ограничения доступа, таких как система паролей и разграничения полномочий, ряд новых возможностей, обеспечивающих первый класс защиты данных. NetWare предусматривает, в частности, возможность кодирования данных по принципу «открытого ключа» (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.

В то же время в такой системе организации защиты все равно остается слабое место: уровень доступа и возможность входа в систему определяются паролем. Но пароль можно подсмотреть или подобрать. Для исключения возможности неавторизованного входа в компьютерную сеть в последнее время используется комбинированный подход: пароль + идентификация пользователя по персональному ключу. В качестве ключа может использоваться пластиковая карта (магнитная или со встроенной микросхемой – smart-card) или различные устройства для идентификации личности по биометрической информации: по радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и т.п.

Оснастив сервер или сетевые рабочие станции, например, устройством чтения smart-card и специальным программным обеспечением, можно значительно повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить карту в устройство чтения и ввести свой персональный код. Программное обеспечение позволяет установить несколько уровней безопасности, которые управляются системным администратором. Возможен и комбинированный подход с вводом дополнительного пароля, при этом приняты специальные меры против «перехвата» пароля с клавиатуры. Этот подход значительно надежнее применения паролей, поскольку, если пароль подглядели, пользователь об этом может не знать, если же пропала карточка, можно принять меры немедленно.

Smart-card позволяет реализовать, в частности, такие функции, как контроль входа, доступ к устройствам персонального компьютера, доступ к программам, файлам и командам. Кроме того, возможно также осуществление контрольных функций, в частности, регистрация попыток нарушения доступа к ресурсам, использования запрещенных утилит, программ, команд Ms Dos.

Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos. В основе этой системы авторизации лежат три компонента:

• База данных, содержащая информацию по всем сетевым ресурсам, пользователям, паролям, шифровальным ключам и т.д.
  
• Авторизационный сервер (authentication server), обрабатывающий все запросы пользователей для получения того или иного вида сетевых услуг. Авторизационный сервер, получая запрос от пользователя, обращается к базе данных и определяет, имеет ли пользователь право на совершение данной операции. При этом пароли пользователей по сети не передаются, что также повышает степень защиты информации.
  
• Сервер выдачи разрешений (ticket-granting server) получает от авторизационного сервера «пропуск», содержащий имя пользователя и его сетевой адрес, время запроса и ряд других параметров, а также уникальный ключ.
  

Среди других подобных комплексных схем можно отметить разработанную Европейской Ассоциацией Производителей Компьютеров (ЕСМА) систему Sesame (Secure European System for Application in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.

Пароли

Идея использования пароля заключается в следующем: если кто-нибудь попробует обратиться к информации и, в частности, к деловым данным или аппаратным средствам, то пароли должны создать ему массу неудобств. Чем сложнее его угадать, тем безопаснее сохранность данных.

Длина пароля существенно влияет на уровень защиты. Например, 4 цифры по 10 возможных значений каждая содержат 1000 возможных комбинаций. Таким образом при увеличении пароля даже на одну цифру сложность любого внедрения значительно возрастает.

Но при задании пароля важно соблюдать некоторые предостережения: не желательно употребление имен, использование профессиональной информации, желательно избегать повторений. Длинные пароли с изменением регистра и знаков препинания являются наиболее эффективными.

Использование одинакового пароля в течение недель, месяцев или лет не является формой профессиональной защиты, так как обнаружение пароля кем-либо может повлечь за собой, например, разглашение коммерческой тайны. По этой причине предпочтительным является регулярное изменение пароля.

В Microsoft Word для Windows 6.0 защитить документ можно следующим образом. В меню Файл можно выбрать Сохранить как…, а в появившемся диалоговом окне нажать кнопку Параметры, в последующем диалоговом окне можно ввести пароль, ограничивающий возможность открыть документ. Можно также ввести пароль, необходимый для изменения содержания документа.

У пользователей ПК есть несколько методов защиты паролем важных материалов: пароли начальной загрузки BIOS, пароли отдельных файлов и защищенные паролем архивные файлы – это средства, которые помогают защитить деловую информацию от несанкционированного доступа.

Шифрование

В мире защиты информации шифрование считается наиболее эффективным способом охраны ценных документов от несанкционированного доступа. Слово «криптография» пришло к нам из Древней Греции и буквально означает «секретное письмо».

Эффективное шифрование определяется как шифр, требующий огромных усилий для взлома или включающий в себя целый диапазон вычислительных возможностей. Программное обеспечение шифрования уникально в том отношении, что исходный текст и используемые в нем алгоритмы шифрования данных можно опубликовать без ущерба безопасности данных, зашифрованных с помощью такого программного обеспечения. Шифровальное программное обеспечение описывается строгим математическим языком большой сложности и не выдает секретной информации даже экспертам, потому что вывод программ полностью зависит от ключа, заданного при выполнении программ. Не зная ключ, не возможно вычислить основные алгоритмы шифрования.

Шифрование данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее мощные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации.

Финансовые службы компаний имеют важную и большую пользовательскую базу и часто специфические требования предъявляются к алгоритму, используемому в процессе шифрования. Опубликованные алгоритмы, например DES, являются обязательными. В то же время, рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведомства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy).

Шифрование данных может осуществляться в режимах On-line (в темпе поступления информации) и Off-line (автономном). Остановимся подробнее на первом типе, представляющем большой интерес. Наиболее распространены два алгоритма.

Стандарт шифрования данных DES (Data Encryption Standart) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительственным стандартом для шифрования цифровой информации. Алгоритм DES использует ключ длиной 56 бит и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадриллионов возможных ключевых комбинаций, обеспечивая высокую степень защиты при небольших расходах. При частой смене ключей алгоритм удовлетворительно решает проблему превращения конфиденциальной информации в недоступную.

Теоретически шифрование DES уязвимо для лобовых методов взлома, то есть прямого подбора различных вариантов ключа. Однако, на это могут пойти лишь крупные корпорации или правительство, потратив миллионы долларов и перепробовав триллионы возможных комбинаций. Но этой программе уже более 20 лет, а уже изобретено шифрование с открытым ключом, что делает эту программу несколько устаревшей.

Алгоритм RSA был изобретен Ривестом, Шамиром и Альдеманом в 1976 году и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качестве стандарта Национальным Бюро Стандартов.

DES технически является симметричным алгоритмом, а RSA – асимметричным, то есть он использует разные ключи при шифровании и дешифровании. Пользователи имеют два ключа и могут широко распространять свой открытый ключ. Открытый ключ используется для шифрования сообщения пользователем, но только определенный получатель может дешифровать его своим секретным ключом; открытый ключ бесполезен для дешифрования. Это делает ненужными секретные соглашения о передаче ключей между корреспондентами. DES определяет длину данных и ключа в битах, а RSA может быть реализован при любой длине ключа. Чем длиннее ключ, тем выше уровень безопасности, но становится длительнее и процесс шифрования и дешифрования. Если ключи DES можно сгенерировать за микросекунды, то время генерации ключа RSA – десяткис екунд. Поэтому открытые ключи RSA предпочитают разработчики программных средств, а секретные ключи DES – разработчики аппаратуры.

Мир криптографии вращается вокруг некоторых очень сложных математических вычислений, включающих разложение на большие простые множители чисел. За последние годы многими организациями, агентствами и людьми были разработаны различные алгоритмы и схемы шифрования. Но все алгоритмы шифрования используют один общий принцип – чем длиннее ключ, тем теоретически более безопасна информация. Известно большое количество методов шифрования.

Система PGP обеспечивает более эффективное шифрование, чем DES. PGP стала новшеством в программном обеспечении персонального шифрования в мелком бизнесе. Способность PGP использовать длинные ключи делает взлом почти невозможным.

Kerberos. Этот метод шифрования с секретным ключом. При исполнении этого метода и отправитель, и получатель должны знать один секретный ключ, используемый как для шифрования, так и для расшифровки данных. Здесь отдельная станция отвечает на все запросы установления подлинности. Слабостью Kerberos является единство станции, так как в случае успешного нападения на станцию раскрываются все секретные данные.

RC2 и RC4. Эти системы шифрования служат для обеспечения массового шифрования больших объемов данных. Соглашение между Ассоциацией издателей программного обеспечения и Госдепартаментом, одобряющие экспорт эффективной криптографии, делает возможным разумное экспортное лицензирование. Это лицензирование обеспечивается в том случае, если ключ ограничен 40 битами, 56-тью для иностранных филиалов и офисов отечественных компаний и 40-разрядной строкой, названной солью. Цель этой строки, включенной в шифрованное сообщение в нешифрованном виде, состоит в том, чтобы помешать хакерам использовать предварительно созданные списки ключей для попыток взломать сообщение.

PEM. Расшифровывается как Почта Повышенной Секретности, так как она предназначена для усиления стандартных способов шифрования электронной почты.

Имеется большое количество и других методов шифрования, которые в чем-то схожи, а в чем-то даже превосходят данные методы шифрования. В настоящее время имеется несколько шифровальных программ типа PGP и DES.

Все эти программы для шифрования являются высшим уровнем искусства, а наиболее простыми являются два способа: шифрование файлов PCZip и Zip-файлы, защищенные паролем.

PCZip – это возможность шифровать содержание архива. Для расшифровки Zip-файла может потребоваться много времени. Но не стоит помещать наиболее ценные данные в шифрованный Zip-файл, так как этот способ, по сравнению со всеми другими, не столь надежный.

Также Zip-файлы можно защитить паролем. Имеются 12-разрядные и 16-разрядные версии WinZip, так что его можно использовать на любой машине. WinZip совместим с рядом форматов архивных файлов, таких как ZIP, LZM, TAR. Во время его установки программе сообщается, где находится соответствующее программное обеспечение для каждого из поддерживаемых форматов архива. Можно установить и систему поиска вирусов, а также использовать WinZip для управления единым архивом ценных файлов, защищенных одним паролем.

Подписи

Помимо защиты данных на рабочей станции, иногда необходимо защищать каналы передачи информации. В Республике Беларусь уже принят закон «Об электронном документе», который гласит о том, что документ в электронном виде приравнивается к документу на бумаге. Это также налагает определенные требования на обеспечение безопасности передачи информации и использование электронной подписи для идентификации и проверки ценности документа.

Создание подписи – это использование шифрования с открытым ключом для шифрования подписи во время сделки. Цифровая подпись состоит из открытого шифровального ключа, имени пользователя, срока действия, а также цифровой подписи заверяющего должностного лица. Система пользователя не содержит секретного ключа банка, так что даже при вскрытии карточки риску подвергаются лишь деньги, сохраненные на ней. Секретная часть ключа, используемая для шифровки и расшифровки данных, должна храниться в устройстве, создающем подпись (компьютер, карточка с микропроцессором и так далее). Создание подписи требует бóльшей вычислительной мощности, чем та, которая доступна для типичной карточки. Ее перенос производится с помощью про-подписей, которые прилагаются к электронным монетам. Так что, как только пользователь переносит деньги на монетный двор электронных наличных денег, то сразу получает на свой компьютер или кредитную карточку пакет про-подписей и соответствующее количество наличных денег. Для завершения подписи необходима минимальная вычислительная мощность.

Подписи гарантируют неприкосновенность оплаты. Никто не может подделать подпись. Также подписи гарантируют, что пользователь не сможет потратить одну и ту же сумму дважды.

Цифровая подпись является хорошим гарантом сохранности информации.

4.4. Защита информации при удаленном доступе

По мере расширения деятельности предприятий, роста численности персонала и появления новых филиалов, возникает необходимость доступа удаленных пользователей (или групп пользователей) к вычислительным и информационным ресурсам. Чаще всего для организации удаленного доступа используются кабельные линии (обычные телефонные или выделенные) и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода.

В частности, в мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов, т.е. их разделение и передача параллельно по двум линиям, что делает невозможным «перехват» данных при незаконном подключении хакера к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки «перехваченных» данных. Кроме того, мосты и маршрутизаторы удаленного доступа могут быть запрограммированными таким образом, что удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети главного офиса.

Разработаны и специальные устройства контроля доступа к компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль Remote Port Security Device (RPSD), представляющий собой два блока размером с обычный модем: RPSD-Lock (замок), устанавливаемый в центральном офисе, и RPSD-Key (ключ), подключаемый к модему удаленного пользователя. RPSD-Key и -Lock позволяют установить несколько уровней защиты и контроля доступа, в частности:

• шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;
  
• контроль доступа в зависимости от дня недели или времени суток.
  

Широкое распространение радиосетей в последние годы поставило разработчиков радиосистем перед необходимостью защиты информации от хакеров, вооруженных разнообразными сканирующими устройствами. Было применено множество технических решений. Например, в радиосети компании RAM Mobil Data информационные пакеты передаются через разные каналы и базовые станции, что делает практически невозможным для посторонних собрать всю передаваемую информацию воедино. Активно используются в радиосетях и технологии шифрования данных при помощи алгоритмов DES и RSA.

Для гарантия защиты данных в сетях файловые серверы и рабочие станции организованы в областях. Область – это группа серверов и рабочих станций с аналогичными требованиями к защите данных. В больших сетях под управлением LAN Manager и LAN Server имеется возможность установки нескольких областей. Области предоставляют простой способ для контроля доступа пользователей к сети и к сетевым ресурсам. Пользователь может регистрироваться в нескольких областях, но присоединяться к сети он может только в какой-то одной из этих областей.

В сети под управлением LAN Manager и LAN Server защита данных на уровне пользователя состоит из контроля при присоединении к сети и системы разрешений. Каждый зарегистрированный пользователь имеет пароль. Для доступа к сети в определенной области пользователь указывает свое имя и пароль. Сетевой администратор может ограничить доступ некоторым пользователям в определенное время, в определенные дни или с определенных рабочих станций. Эти ограничения устанавливают пределы, в которых пользователи имеют право доступа к разделяемым ресурсам.

4.5. Администрирование систем

Задача системного администратора в области защиты данных сводится к правильному распределению ресурсов и разграничению прав доступа к информации. Чтобы избежать случайной или преднамеренной потери данных, пользователю должно быть разрешено только то, что необходимо для его работы. Например, работникам сервисного центра компании не нужен доступ к финансовым и бухгалтерским документам, которые могут представлять коммерческую тайну. В администрирование системы также можно включить установку и настройку брандмауэров – устройств, которые предназначены для защиты через Интернет.

Правильно настроенная сеть с разграничением прав пользователей и доступа к ресурсам играет важнейшую роль и зачастую обеспечивает весьма высокий уровень безопасности.

В заключении хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях. В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.

Вопросы для самоконтроля

1. Классификация сбоев и нарушений прав доступа.
   
2. Физическая защита данных.
   
3. Программные методы защиты данных.
   
4. Защита информации при удаленном доступе.
   
5. Администрирование систем.
   

5. Законы и защита деловой информации

Закон «Об информации, информатизации и защите информации», принятый в Российской Федерации в 1999 году, а также закон «Об информатизации», принятый в Республике Беларусь в 1999 году, решают проблему правового регулирования отношений в трех взаимосвязанных и взаимозависимых направлениях:

• формирование и использование информационных ресурсов;
  
• создание и применение информационных систем, технологий и средств обеспечения;
  
• защита информации и прав субъектов в условиях информации.
  

Цель защиты:

• предотвращение утечки, хищения, утраты, искажения, подделки информации;
  
• сохранение государственной тайны, конфиденциальности документов в соответствии с законодательством и так далее.
  

Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику. Контроль за соблюдением требований к защите информации и эксплуатации специальных программно-технических средств, а также обеспечение организационных мер защиты информационных систем обработки информации с ограниченным доступом в негосударственных структурах, осуществляется органами государственной власти. Следует иметь в виду, что защите подлежит и открытая, доступная информация, например, от преступных посягательств, совершенных по отношению к справочным архивам, фондам библиотек и так далее.

Что касается прав субъектов в области защиты информации, то собственник массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты и получения консультаций.

Сейчас обеспечением безопасности данных занимаются практически все серьезные интеграторы, работающие на отечественном рынке. Это такие компании, как БелСофт, Датастрим. Системный интегратор подбирает оптимальное решение для обеспечения безопасности бизнеса, создает программную и аппаратную базу, осуществляет обслуживание и обновление корпоративной системы безопасности.

Вопросы для самоконтроля

1. Законы о защите информации в РФ и РБ и их сущность.
   

ИСПОЛЬЗОВАННАЯ ЛИТЕРАТУРА

1. Рааб М. (M.Raab) Защита сетей: наконец-то в центре внимания // Компьютеруорлд, №29, – М., 1994. С.18.
   
2. Векслер Д. (J.Wexler) Наконец-то надежно обеспечена защита данных в радиосетях // Компьютеруорлд, №17, – М., 1994. С.13-14.
   
3. Сухова С.В. Система безопасности NetWare // Сети. №4. 1995. С.60-70.
   
4. Беляев В. Безопасность в распределительных системах // Открытые системы. №3. М., 1995. С.36-40.
   
5. Ведеев Д. Защита данных в компьютерных сетях // Открытые системы, М., №3. 1995. С.12-18.
   
6. Эд Тайли. Безопасность компьютера / Пер. с англ.: худ. обл. М.В.Драко. – Мн.: ООО «Попурри». 1997. С 480.
   
7. Дэвис Питер. Компьютерная безопасность / Пер. с англ. – Киев: Диалектика. 1997. С. 403
   
8. Шуравко В.Защита информации // Белорусская Деловая Газета, №16, 2000.
   
9. Материалы 5-й Международной конференции по компьютерной защите.
   
10. Федеральный закон «Об информации, информатизации и защите информации». – М., 1999.
    

ЛОССАРИЙ

тесты

1. Для каждого понятия, указанного слева, выберите правильный ответ из набора ответов, расположенных справа.
   

Тренинг умений

1. Откуда исходит угроза деловой информации?
   
2. Категории людей, от которых должна защищаться информация.
   
3. Основные способы передачи вирусов.
   
4. Основные виды преступлений, связанные с вмешательством в работу компьютеров.
   
5. Преступления, в которых компьютер используется как средство достижения цели.
   
6. Технические меры предупреждений компьютерных преступлений.
   
7. Организационные меры предупреждений компьютерных преступлений.
   
8. Правовые меры предупреждений компьютерных преступлений.
   
9. Классификация сбоев и нарушений прав доступа.
   
10. Физическая защита данных.
    
11. Программные методы защиты данных.
    
12. Защита информации при удаленном доступе.
    
13. Администрирование систем.
    
14. Законы о защите информации в РФ и РБ и их сущность.
    

Учебное издание

Бородина Алла Ивановна

Крошинская Лариса Израйлевна

Сапун Оксана Леонидовна

Основы информатики

и вычислительной техники

Защита деловой информации

Редактор-корректор Э.Н. Гневко

Компьютерная верстка О.Н. Якубович

Подписано в печать 15.60.2004г.

Формат 60х84 ¹/₁₆. Печать офсетная. Гарнитура «Таймс».

Усл. печ. л. 2. Уч.-изд. л. 1,55. Тираж 100 экз. Заказ № 32.

НО ООО «БИП-С». 220004, г. Минск, ул. Короля, 3.

ЛВ № 251 от 18.03.2003 г.

Размножено на ризографе для внутреннего использования

Метки текущей записи:

bip, dos, Белорусский Институт Правоведения, БИП, Бородина, вопрос, действие, закон, норм, образование, Основы информатики и математики, Понятие, права, правительство, право, производства, радио, свидетель, соглашение, спор

Автор статьи: Дмитрий

Дмитрий написал 6135 статей.

Больше из этой рубрики

• Самый крутой киносайт : https://kino-24.su/
• Мир танков World of Tanks: моды, читы
• Введение в дисциплину «Основы информатики и вычислительной техники»
• Защита деловой информации. Программные меры защиты информации
• Системы программирования

Больше этого автора

• Понятие и виды векселей
• При выборе короля
• Обучение в Чехии: вратa в европейское образование
• Sen Chuck Grassleys Office Has Produced twenty Married Couples
• Виды покера на костях