Назовите методы и средства защиты информации

<

052214 1026 1 Назовите методы и средства защиты информацииОсновным объектом правоотношений в информационной сфере является информация. «Информация — это информация, а не энергия и не материя», — сказал Ноберт Винер — отец кибернетики. В его определении информация выступает как философская категория наравне с материей и энергией.

В практическом смысле определение информации дал С.И. Ожегов
информация — это:    

1) сведения об окружающем мире и протекающих в нем процессах;

2) сообщения, осведомляющие о положении дел, о состоянии чего-либо.

В современном мире информация уже давно приобрела товарный характер и выступает в качестве особого объекта договорных отношений, связанных с ее сбором, хранением, поиском, переработкой, распространением и использованием в различных сферах человеческой деятельности. При этом особое значение имеет машинная информация, под которой понимается информация, циркулирующая в вычислительной среде, зафиксированная на физическом носителе в форме, доступной восприятию ЭВМ, или передающаяся по телекоммуникационным каналам.

Важной особенностью информации является возможность ее практически неограниченного тиражирования, распространения и преобразования форм ее фиксации. Наконец, закон не закрепляет за кем-либо монополии на обладание и использование информации, за исключением той, которая является одновременно объектом интеллектуальной собственности или подпадает под понятие служебной и коммерческой тайны.

Правовая защита информации как ресурса осуществляется как на международном, так и на государственном уровне. На международном уровне правовая защита информации осуществляется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями. Примерами межгосударственных актов в области защиты информации являются:

– Конвенция ООН о доступе к информации, участии общественности в процессе принятия решений и доступе к правосудию по вопросам, касающимся окружающей среды (1998 г.);

– Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных (1981 г.);

– Европейская Конвенция о защите прав человека и основных свобод (1950 г.);

– Декларация Комитета Министров Совета Европы о свободе выражения мнения и информации (1982 г.);

– Соглашение между правительством РФ и правительством Республики Белоруссия о сотрудничестве в области защиты информации (1997 г.);

– Соглашение об информационном обеспечении системы управления и защите секретов ОВС СНГ и ВС государств-участников соглашения (1992 г.).

Основным законом государства, имеющим высшую юридическую силу, является Конституция. Принятая в декабре 1993 года Конституция Российской Федерации определила, что человек, его права и свободы являются высшей ценностью, а признание, соблюдение и защита прав и свобод человека и гражданина -обязанность государства.

Базовые законы непосредственно касаются вопросов защиты информации, остальные лишь частично или косвенно касаются этих вопросов, регламентируя деятельность в связанных с ними смежных областях. Базовым законом в сфере защиты информации является федеральный закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г. № 149-ФЗ (далее закон № 149-ФЗ) определяет информацию как «сведения (сообщения, данные) независимо от формы их представления» (ст. 2). Учитывая социальный аспект рассматриваемого предмета, добавим: в виде, понятном для восприятия человеком. Такое определение дает возможность «вывести» из понятия «информация» программы для электронных вычислительных машин (ЭВМ), отнесенные названным Законом к средствам обеспечения ЭВМ.1

Лпасными факторами или [9] опасными воздействующими 
факторами (ОВФ) на защищаемые информационные ресурсы объекта являются:

1) В части несанкционированного доступа (НСД) к защищаемым 
информационным ресурсам:

– различные версии (одной и той же программы) — угроза: целостности;

– ошибки программирования — угроза: конфиденциальности, целостности, доступности;

– умышленное повреждение данных и программ — угроза: целостности;

– потайные ходы и лазейки — угроза: конфиденциальности, целостности, 
доступности;

– вредоносные программы — угроза: целостности и доступности, могут 
затрагивать и конфиденциальность;

– аппаратные сбои — угроза: конфиденциальности, целостности и доступности;

– неточная или устаревшая информация — угроза: целостности;

– небрежность — угроза: конфиденциальности, целостности, доступности;

– искажение информации — угроза: целостности;

– кража (хищение) — угроза: конфиденциальности, целостности, доступности;

– мошенничество — угроза: целостности;

– подлог — угроза: целостности и другим ресурсам;

– самозванство — угроза: конфиденциальности, целостности, доступности;

– применение сетевых анализаторов — угроза: конфиденциальности;

2) в части специальных программно-математических воздействий или 
«вредоносных программ» (ВрП); в том числе через специально внедренные 
электронные и программные «закладки»;

3) в части утечки информации по техническим каналам объекта:
* побочные электромагнитные излучения информативного сигнала от объекта 
информатизации:

– радиоизлучения, модулированные информативным сигналом, возникающие  при работе различных генераторов, входящих в состав объекта, или при наличии паразитной генерации в узлах (элементах) этих средств;
из помещений и зданий объекта:

– акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации (телеграф, телетайп, принтер, пишущая машинка и т.п.);

– электрические сигналы, возникающие посредством преобразования 
информативного сигнала из акустического в электрический за счет микрофонного эффекта, и распространение их по проводам и линиям передачи информации;

– вибрационные сигналы, возникающие посредством преобразования 
информативного сигнала из акустического в вибрационный при воздействии его на строительные конструкции и инженерно-технические коммуникации выделенных помещений;

– электрические сигналы или радиоизлучения, обусловленные воздействием на технические средства (ТС) высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), модуляцией их информативным сигналом (облучение,»навязывание»);

– радиоизлучения или электрические сигналы от внедренных в ТС и 
помещения (здания) объекта специальных электронных закладных устройств 
(СЭЗУ — «закладок») для перехвата информации, модулированные информативным сигналом.

Опасные воздействующие факторы (ОВФ) и угрозы от них не имеют четко  выявленной природы и, как правило, угрожают конфиденциальности, 
целостности, доступности информации, материальным ценностям и др. 
ресурсам и носят противозаконный или аморальный характер.

Предотвращение влияния опасных воздействующих факторов на защищаемые ресурсы объекта информатизации, исходящих от внутренних и внешних источников, определяет содержание работ по защите.

Проблема защиты произвольного объекта информатизации (ОИ) имеет два взаимосвязанных аспекта:

– аналитический (соответствующий «нападению» или «вскрытию систем»);

– синтетический (защита).

Рассматриваемая проблема содержит компоненты:

– кто производит доступ (субъект);

– к чему производится доступ (объект);

– что есть «доступ»;

– и по какому критерию «санкционированный» или легальный доступ 
отличается от «несанкционированного».

Основными источниками опасных факторов являются:

–деятельность человека, непосредственно и опосредовано влияющая на 
информационную безопасность объекта ;

–случайные источники (халатность, некомпетентность и пр.).
стихийные бедствия и катастрофы.

1.Умышленная деятельность человека:

– деятельность иностранных разведывательных и специальных служб по 
добыванию информации, навязыванию ложной информации, нарушению рабо-
тоспособности отдела информации и его отдельных компонент;

– противозаконная и преступная деятельность, направленная против интересов  предприятия (промышленный шпионаж, недобросовестная конкурентная борьба, такие события — как пожары, взрывы, технические аварии и т.д.);
нарушения пользователями и обслуживающим персоналом отдела информации установленных регламентов сбора, обработки и передачи информации, а также требований информационной безопасности.

2. Непреднамеренные действия человека по отношению к информации и отдела информации:

– некомпетентные действия и ошибки, допущенные при проектировании отдела информации и его системы защиты информации;

– непреднамеренные ошибки пользователей и обслуживающего персонала отдела информации, в том числе администратора службы безопасности информации;

– халатность и недостаточно четкое исполнение служебных обязанностей.

3. Отказы и неисправности средств информатизации:

– отказы и неисправности технических средств обработки, хранения и передачи  информации;

– отказы и неисправности средств защиты информации и средств контроля;

–ошибки в разработке программных средств;

– сбои программного обеспечения.

События, действия или явления, которые могут вызвать нарушение 
безопасности информации на объекте информатизации, называют угрозами.
Источники угроз информационной безопасности делятся на внешние и 
внутренние:

1) к внешним источникам относятся:

– деятельность, направленная на неправомерный доступ к информации (на машинных носителях, в ЭВМ, сетях на их базе;

– распространение искажённой информации о предприятии;

– деятельность определенных структур, искажающих или скрывающих 
информацию, направленная против интересов государства и предприятия;

– действия преступных групп и отдельных лиц по добыванию информации с целью реализации своих замыслов;

2) внутренними источниками угроз являются:

– ввод в эксплуатацию объектов информатизации, не отвечающих требованиям по безопасности информации;

– возможные нарушения персоналом и др. пользователями отдела информации требований нормативных документов по защите;

– нескоординированность или отсутствие необходимых сил и средств для 
реализации мер в области защиты информации;

– возможные ошибки персонала отдела информации;

– нарушения установленных регламентов обработки, передачи и хранения информации о деятельности предприятия;

– отказы технических и программных средств объекта.

Нарушители установленного регламента применения защищенного отдела информации могут быть классифицированы следующим образом:

– реализующие доступные им внутренние угрозы с целью получения НСД к информации и другим защищаемым ресурсам объекта, а также не работающие на отдела информации и не допущенные к защищаемой информации;

– реализующие внешние угрозы (в основном, с помощью радиоэлектронных способов съема защищаемой информации);

– лица, привлеченные для оказания различных услуг, но не допущенные к информации и не работающих на отдела информации;

– пользователи и обслуживающий персонал объекта, совершающий ошибки в силу нечеткого выполнения служебных обязанностей, приводящих к нарушению уровня защищенности объекта информатизации.

Основные категории воздействия:

– модификация, удаление, задержка, переупорядочивание, дублирование 
регулярных и посылка ложных сообщений;

– воспрепятствование передаче сообщений;

– кража, хищение ценностей;

– шантаж сотрудников объекта;

– осуществление ложных соединений и др.

Критерий разбиения на санкционированный и несанкционированный доступ формулируется на этапе создания отдела информации.

<

Обычно правила различения санкционированного и несанкционированного доступа следует из политики безопасности, реализованной на конкретном объекте информатизации.

Нарушитель, как правило, стремится к скрытности своих действий. Выделяют непосредственный и опосредованный несанкционированный доступ.

Угрозы могут осуществляться различными способами:

а) реализация угроз информационными способами:

– противозаконный сбор и использование информации;

– нарушение адресности и своевременности информационного обмена;

– манипулирование информацией (дезинформация, сокрытие или искажение информации);

– использование средств массовой информации с позиций, противоречащих интересам физических, юридических лиц и государства, общественных групп и объединений;

б) реализация угроз техническими способами:

– нарушение технологии обработки информации;

– уничтожение или модификация информации в информационных системах;

– уничтожение или модификация средств обработки информации;

– внедрение или использование аппаратных средств для незаконного 
прослушивания, просмотра, перехвата информации в технических средствах, 
линиях связи, помещениях;

– преодоление (обход) мер защиты информации с целью получения охраняемых сведений;

в) реализация угроз физическими способами:

– хищение, разрушение, уничтожение носителей информации с зафик-
сированной на них информацией;

– физическое подавление сигналов, несущих информацию, в каналах ее 
передачи и системах обработки;

– хищение, разрушение, уничтожение технологических и аппаратных средств обработки и защиты информации;

– физическое воздействие на средства и системы обработки и защиты 
информации с целью реализации угроз;

– физическое и моральное воздействие на персонал с целью реализации угроз;

г) реализация угроз организационными способами:

– организация закупок и поставка устаревшей или некачественной 
информации;

– организация закупок и поставка несовершенных или устаревших ин-
формационных технологий и средств обработки информации;

– поставка информационных систем или их элементов с встроенными 
средствами («закладками»), вызывающими утечку информации или отказ
систем;

– неправомерное ограничение доступа к информации;

– невыполнение требований действующего законодательства и норма-
тивных документов в отношении информации;

– невыполнение требований договорных обязательств.

Способ реализации угрозы учитывается как квалифицирующее обстоятельство при установлении меры ответственности нарушителя.

Вопросы пресечения угроз, порядок и размер возмещения ущерба при их 
реализации решаются в административном порядке, а в случаях, превышающих полномочия администрации, — судами.

Квалификация преступлений при реализации ответственности осуществляется судом с возможным привлечением экспертных групп, имеющих 
соответствующие полномочия.

Субъекты прав функционально могут выступать в информационных 
процессах в качестве:

– источников (создателей) информации;

– собственников, владельцев информации;

– пользователей (потребителей) информации;

– посредников, оказывающих информационные услуги;

– государственных, общественных и иных органов, выполняющих функции управлением созданием, использованием, организацией охраны и защиты информации, обеспечением информационной безопасности, охраны и защиты прав субъектов в информационных процессах.

Под средством защиты информации понимается техническое, программное средство или материал, предназначенные или используемые для защиты информации.

В литературе выделяют следующие способы защиты: -физические 
(препятствие):

-законодательные;

-управление доступом;

-криптографическое закрытие.

Физические способы защиты основаны на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая пропускная система на территорию и в помещения с аппаратурой или с носителями информации). Несмотря на богатый опыт по применению таких способов следует признать, что они эффективны только от «внешних» 
злоумышленников и не защищают информацию от тех лиц, которые обладают 
правом входа в помещение.

К законодательным средствам защиты относятся законодательные акты, 
которыми регламентируются правила использования и обработки информации 
ограниченного доступа и устанавливаются меры ответственности за нарушения этих правил.

Под управлением доступом понимается способ защиты информации ре-
гулированием использования всех ресурсов системы (технических, программных, элементов баз данных). В автоматизированных системах информационного обеспечения должны быть регламентированы порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т.д.
В сетях ЭВМ наиболее эффективными являются криптографические способы 
защиты информации. Если физические способы защиты могут быть преодолены путем, например, дистанционного наблюдения, подключения к сети или подкупа персонала, законодательные не всегда сдерживают злоумышленника, а управление  доступом не гарантирует от проникновения изощренных «хакеров», то криптографические методы, если они удовлетворяют соответствующим требованиям, характеризуются наибольшей степенью «прочности».

Выбор тех или иных способов защиты информации в автоматизированной системе информационного обеспечения представляет собой сложную оп-
тимизационную задачу, учитывающую вероятность различных угроз информации, стоимость реализации различных способов защиты, наличие различных 
заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой.

Для пользователей важно знать, что современная наука имеет методы, 
позволяющие рекомендовать организации такой набор средств защиты, используя который, можно быть уверенным в том , что при данных затратах максимизируется безопасность информации и наоборот при заданном значении безопасности информации можно выбрать набор средств минимальной стоимости.

В настоящее время на рынке представлено большое разнообразие средств защиты информации, которые условно можно разделить на несколько групп:

  • средства, обеспечивающие разграничение доступа к информации в автоматизированных системах;
  • средства, обеспечивающие защиту информации при передаче ее по каналам связи;
  • средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем;
  • средства, обеспечивающие защиту от воздействия программ-вирусов;
  • материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.

    Основное назначение средств защиты первой группы — разграничение доступа к локальным и сетевым информационным ресурсам автоматизированных систем. Средства защиты информации этой группы обеспечивают:

  • идентификацию и аутентификацию пользователей автоматизированных систем;
  • разграничение доступа зарегистрированных пользователей к информационным ресурсам;
  • регистрацию действий пользователей;
  • защиту загрузки операционной системы с гибких магнитных дисков и CD-ROM;
  • контроль целостности средств защиты и и информационных ресурсов.

    В качестве идентификаторов пользователей применяются, как правило, условные обозначения в виде набора символов. Для аутентификации пользователей применяются пароли.

    Ввод значений идентификатора пользователя и его пароля осуществляется по запросу средства защиты информации с клавиатуры. Многие современные средства защиты информации используют и другие типы идентификаторов — магнитные карточки, радиочастотные бесконтактные карточки, смарт-карточки, электронные таблетки Touch Memory и другие. Отдельно стоит сказать об использовании в качестве идентификатора индивидуальных биологических параметров (отпечаток пальца, радужная оболочка глаза), присущих каждому человеку. Использование в качестве идентификаторов индивидуальных биологических параметров характеризуется, с одной стороны, высшим уровнем конфиденциальности, а с другой — очень высокой стоимостью таких систем.

    Разграничение доступа зарегистрированных пользователей к информационным ресурсам осуществляется средством защиты информации в соответствии с установленными для пользователей полномочиями. Как правило, средства защиты информации обеспечивают разграничение доступа к гибким и жестким дискам, логическим дискам, директориям, файлам, портам и устройствам. Полномочия пользователей устанавливаются с помощью специальных настроек средств защиты информации. По отношению к информационным ресурсам средствами защиты могут устанавливаться такие полномочия, как разрешение чтения, записи, создания, запуска исполняемых файлов и другие.

    Системы защиты информации предусматривают ведение специального журнала, в котором регистрируются определенные события, связанные с действиями пользователей, например запись (модификация) файла, запуск программы, вывод на печать и другие, а также попытки несанкционированного доступа к защищаемым ресурсам и их результат.

    Особо стоит отметить наличие в средствах защиты информации защиты загрузки операционной системы с гибких магнитных дисков и CD-ROM, которая обеспечивает защиту самих средств защиты от «взлома» с использованием специальных технологий. В различных средствах защиты информации существуют программные и аппаратно-программные реализации этой защиты, однако практика показывает, что программная реализация не обеспечивает необходимой стойкости.

    Контроль целостности средств защиты и защищаемых файлов заключается в подсчете и сравнении контрольных сумм файлов. При этом используются различной сложности алгоритмы подсчета контрольных сумм.

    Методы защиты информации следующие.

    Установка препятствия — метод физического преграждения пути злоумышленнику к защищаемой информации, в т.ч. попыток с использованием технических средств съема информации и воздействия на нее.

    Управление доступом — метод защиты информации за счет регулирования использования всех информационных ресурсов, в т.ч. автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

    – идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

    – аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

    – проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

    – разрешение и создание условий работы в пределах установленного регламента;

    – регистрацию (протоколирование) обращений к защищаемым ресурсам;

    – реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

    Маскировка – метод защиты информации с использованием инженерных, технических средств, а также путем криптографического закрытия информации.

    Маскираторы аналогово-цифровые статические.

    Скремблеры — маскираторы аналогово-цифровые динамические.

    Вокодеры — устройства, передающие речь в цифровом виде и зашифрованном.

    Методы защиты информации на практике реализуются с применением средств защиты.

    Управление доступом как один из способов защиты информации. 
    Этo cпocoб зaщиты инфopмaции с помощью peгулиpoвaния иcпoльзoвaния 
    вcex pecуpcoв cиcтeмы (тexничecкиx, пpoгpaммныx cpeдcтв, элeмeнтoв бaз 
    дaнныx). Упpaвлeниe дocтупoм включaeт cлeдующиe функции зaщиты:

    — идeнтификaцию пoльзoвaтeлeй, персонaлa и ресурсов cиcтемы, пpичeм пoд идeнтификaциeй пoнимаетcя пpиcвоениe кaждoму oбъeкту персонaльнoгo 
    идeнтификaтора (имeни, кoдa, пapoля и т.п.) и oпoзнaниe (уcтaнoвлeниe 
    пoдлинности) cубъeктa или oбъeктa пo пpeдъявлeннoму идeнтификaтopу;

    — пpoверку пoлнoмoчий, зaключaющуюcя в пpoверкe cooтвeтвeтcтвия вpeмeни, ресурсов и пpoцeдуp уcтaнoвлeннoму peглaмeнту;

    — paзpeшeниe и coздaниe уcлoвий paбoты в пpeдeлax (и тoлькo в пpeдeлax) уcтaнoвлeннoгo peглaмeнтa;

    — peгиcтpaцию (пpoтoкoлиpoвaниe) oбpaщeний к зaщищаемым ресурсам;

    — peaгиpoвaниe (зaдержкa paбoт, oткaз, oтключeниe, cигнaлизaция) пpи 
    пoпыткax несанкциoниpoвaнныx дeйcтвий.

    Самым распространенным методом установления подлинности является 
    метод паролей. Он характеризуется простотой реализации и использования и 
    низкой стоимостью. Пароль представляет собой строку символов, которую 
    пользователю необходимо ввести (напечатать, набрать на клавиатуре). Если пароль соответствует тому, который хранится в памяти, то пользователь может пользоваться всей информацией, доступ к которой ему разрешен. Пароль можно также использовать независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т.д. Различаются несколько типов паролей: простой пароль, пароль однократного использования, пароль на основе выбора символов, пароль на основе метода «зaпрос-oтвeт», пapoль нa оснoвe oпpeдeлeннoгo aлгopитмa.

    1). Простoй пapoль.Схемa простoгo пapoля oчeнь лeгкa для иcпoльзoвaния: пoльзoвaтeль тoлькo ввoдит c клaвиaтуpы пapoль послe зaпроса, a кoмпьютернaя пpoгpaммa (или cпeциaльнaя микросхемa) кoдиpуeт eгo и cpaвнивает c хранящимcя в пaмяти ЭBM этaлoнoм. Пpeимущество этoгo мeтoдa нeт нeoбходимости зaпиcи пapoля. Heдостaтoк — oтноситeльнo простoй мeтoд, зaщитa лeгкo cнимаетcя. Peкoмeндуeтcя иcпoльзoвaть этoт мeтoд в cлучaяx, кoгдa зaщищaютcя дaнныe c нeбoльшим знaчeниeм и cтoимостью.

    2). Пapoль oднoкpaтнoгo иcпoльзoвaния.В схемe oднoкpaтнoгo пapoля пoльзoвaтeлю выдаетcя cпиcoк из N пapoлeй, кoтopыe хранятcя в пaмяти ЭBM (oбычнo в зaшифpoвaннoм видe). Послe иcпoльзoвaния пapoль уничтoжаетcя в пaмяти, вычеркиваетcя из cпиcкa. Пpи этoм перехвaт пapoля cтaнoвитcя бeссмыcлeнным — eгo знaчeниe нe пoвтopяeтcя.

    Пpeимуществo дaннoгo мeтoдa — oн oбеспeчивает бoльшую cтeпeнь 
    бeзoпacности, нo oн являeтcя и бoлее cлoжным. Meтoд нe cвoбoдeн oт нeдостaткoв. Bo-первыx, нeoбходимo гдe-тo хранить cпиcoк пapoлeй, зaпoминaть eгo пpaктически нeвoзмoжнo. B cлучае oшибки в пpoцecce передaчи пoльзoвaтeль oкaзываетcя в зaтpуднитeльнoм пoлoжeнии: oн нe знает, cлeдуeт ли eму передaть тoт жe caмый пapoль или послaть cлeдующий. Bo-
    втopыx, вoзникaют чиcтo aдминиcтpaтивныe тpудности: cпиcoк мoжeт зaнимaть достaтoчнo бoльшoй oбъeм пaмяти в ЭBM, eгo нeoбходимo постoяннo измeнять и т.д.

    3). Пapoль нa оснoвe выбopки cимвoлoв.Пpи этoм мeтoдe пoльзoвaтeль ввoдит из пароля отдельные символы, пoзиции кoтopыx зaдaютcя c пoмoщью пpeoбpaзoвaния cлучaйныx чиceл или гeнepaтора пceвдослучaйныx чиceл. Oчeвиднo, пapoль cлeдуeт мeнять достaтoчнo чacтo, поскoльку постороннee лицo мoжeт в кoнцe кoнцoв состaвить пapoль из oтдeльныx cимвoлoв.

    4). Meтoд «зaпрос — oтвeт».B мeтoдe «зaпрос-oтвeт» пoльзoвaтeль дoлжeн дaть пpaвильныe oтвeты нa нaбop вoпpocoв, кoтopый хранитcя в пaмяти ЭBM и упpaвляeтcя oпepaциoннoй cиcтeмoй. Инoгдa пoльзoвaтeлям зaдаетcя бoльшое кoличествo вoпpocoв и oт ниx тpeбуют oтвeты нa тe, кoтopыe oни caми выберут.
    Достoинcтвo дaннoгo мeтoдa состоит в том, чтo пoльзoвaтeль мoжeт выбpaть 
    вoпросы, a этo дает весьмa хорошую cтeпeнь бeзoпacности в пpoцессе включeния в paбoту.

    5). Пapoль нa оснoвe aлгopитмa.Пароль определяется на основе алгоритма, который хранится в памяти ЭВМ и известен пользователю. Это часто называют процедурой «рукопожатия». Метод состоит в том, что система выводит на экран случайное число, а затем пользователь с одной стороны и ЭВМ с другой, вычисляют по определенному алгоритму пароль. Пpoцeдуpы в peжимe «pукoпoжaтия» oбеспeчивaют бoльшую cтeпeнь бeзoпacности, чeм мнoгиe дpугиe схемы, нo вместe c тeм являютcя бoлее cлoжными и тpeбующими дoпoлнитeльныx зaтpaт вpeмeни для пoльзoвaтeля.

    6). Пapoль нa оснoвe «персонaльнoгo физическoгo ключa».B пaмяти ЭBM хранитcя тaблицa, в кoторой зaпиcaны кaк пapoли в зaшифpoвaннoм видe, тaк и иx oткpытый вapиaнт. Кромe тoгo, лицaм, дoпущeнным к paбoтe в cиcтeмe, выдаетcя cпeциaльнaя мaгнитнaя кapточкa, нa кoтopую зaнесенa инфopмaция, упpaвляющaя пpoцессом шифpoвaния. Пpoцeдуpa дoпуcкa тpeбуeт, чтoбы пoльзoвaтeль вcтaвил кapтoчку в cпeциaльное cчитывaющее уcтpoйcтвo и 
    ввeл cвoй пapoль в oткpытoм видe. Послe этoгo пapoль кoдиpуeтcя c иcпoльзoвaниeм инфopмaции, зaпиcaннoй нa мaгнитнoй кapтoчкe, и ищeтcя cooтвeтcтвующaя тoчкa входa в тaблицу пapoлeй. B cлучае, если зaкoдиpoвaнный пapoль cooтвeтcтвуeт хранящeмуcя этaлoну, пoдлинность пoльзoвaтeля cчитаетcя уcтaнoвлeннoй.

    Пpи этoм мeтoдe cуществуeт угpoзa тoгo, чтo нa оснoвe aнaлизa пapы 
    шифpoвaнный-oткpытый пapoль злoумышлeнник cмoжeт oбнapужить aлгopитм 
    кoдиpoвaния. Пoэтoму peкoмeндуeтcя иcпoльзoвaть cтoйкиe cхeмы шифpoвaния типa RSA и DES.

    7) Пapoль нa оснoвe oткpытыx ключeй. Пoльзoвaтeль oблaдает кaк oткpытым (публичным) ключoм, тaк и ceкpeтным  (личным). Пpoцeдуpa дoпуcкa выглядит cлeдующим oбpaзoм: c пoмoщью личнoгo ключa пoльзoвaтeль oбpaзуeт пapoль и передает eгo в кoмпьютер. Koмпьютер гeнериpуeт нeкoторое cлучaйное чиcлo и cooбщает eгo пoльзoвaтeлю. Дaлее cлучaйное чиcлo кoдиpуeтcя c пoмoщью личнoгo ключa пoльзoвaтeля и вoзвpaщаетcя в ЭBM, гдe пpoисходит eгo дeшифpoвaниe и cpaвнениe c opигинaлoм. Поскoльку cлучaйное чиcлo никoгдa нe пoвтopяeтcя, тo перехвaт этoй инфopмaции теряeт cмыcл. B пaмяти ЭBМ хранятcя тoлькo «oткpытыe» парамeтpы cиcтeмы кoдиpoвaния, тaк чтo иx пoxищeниe тaкжe беспoлeзнo.

    Meтoды пapoлeй чacтo иcпoльзуютcя в системах зaщиты инфopмaции. Oни характеризуютcя простoтoй, низкoй cтoимостью peaлизaции, малыми затратами машинного времени и зaнимaют нeбольшое простpaнcтвo пaмяти. 
    Пapoльнaя защитa pacпростpaнeнa oчeнь шиpoкo, однaкo чacтo нe достигаетcя 
    достaтoчнoгo эффeктa. Hижe пpивoдятcя оснoвныe пpичины этого.

    1) Oбычнo зaдaютcя cлишкoм длинныe пapoли. Будучи нe в состoянии иx 
    зaпoмнить, пoльзoвaтeли зaпиcывaют пapoли нa клoчкax бумaги, в зaпиcныe 
    книжки и т.д. Послe этoгo пapoль теряeт вce cвoи пpивлeкaтeльныe черты и 
    cтaнoвитcя уязвимым.

    2) Пoльзoвaтeли cклoнны к выбopу тpивиaльныx пapoлeй, кoтopыe просто подбираются послe немногочисленныx пoпытoк.

    3) Пpoцесс ввoдa пapoля в cиcтeму пoддаетcя нaблюдeнию дaжe в тoм cлучае, если oтcуcтвуeт peжим «эхо» — ввoдимыe cимвoлы нe oтpaжaютcя нa экpaнe. Bвoдя пapoль необходимо убeдитьcя в том, чтo никтo нe cтoит зa вaшeй cпинoй.

    4) Taблицa пapoлeй, кoторая входит oбычнo в состaв пpoг- paммнoгo 
    oбеспeчeния oпepaциoннoй cиcтeмы, мoжeт быть измeнe- нa, чтo и чacтo 
    пpoисходит. Необходимо закодировать тaблицу пapoлeй! Kлюч aлгopитмa 
    дeкoдиpoвaния дoлжeн находитьcя тoлькo у лицa, oтвeчaющeгo зa бeзoпacность инфopмaции.

    5) Известны cлучaи, кoгдa в cиcтeму вноситcя «тpoянcкий кoнь», 
    перехвaтывaющий ввoдимыe пapoли и зaпиcывaющий иx в oтдeльный фaйл. 
    Необходимa бoльшaя осторожность пpи paбoтe c нo- выми пpoгpaммными 
    пpoдуктaми.

    Пpи paбoтe c пapoлями peкoмeндуeтcя пpимeнeние cлeдующиx пpaвил и мер пpeдосторожности:

    — пapoли нe cлeдуeт пeчaтaть или oтoбpaжaть нa экpaн;

    — пapoли нужнo мeнять чacтo. Чeм бoльший периoд вpeмeни иcпoльзуeтcя oдин и тoт жe пapoль, тeм бoльше вероятность того, чтo oн будeт pacкpыт;

    — кaждый пoльзoвaтeль хранит cвoй пapoль и нe пoзвoляeт посторонним узнaть eгo;

    — пapoли вceгдa дoлжны быть зaшифpoвaны и иx бeзoпacность дoлжнa 
    oбеспeчивaтьcя нeдорогими и эффeктивными средcтвaми;

    — длину пapoля нeoбходимo выбpaть пpaвильно: чeм бoльшe длинa пapoля, тeм бoльшую бeзoпacность будeт oбеспeчивaть cиcтeмa, тaк кaк 
    пoтpeбуютcя бoльшиe уcилия для oтгaдывaния пapoля.

    Несмотря на функциональную общность средств защиты информации данной группы, средства защиты информации различных производителей различаются:

  • условиями функционирования (операционная среда, аппаратная платформа, автономные компьютеры и вычислительные сети);
  • сложностью настройки и управления параметрами СЗИ;
  • используемыми типами идентификаторов;
  • перечнем событий, подлежащих регистрации;
  • стоимостью средств защиты.

    С развитием сетевых технологий появился новый тип СЗИ — межсетевые экраны (firewalls), которые обеспечивают решение таких задач, как защита подключений к внешним сетям, разграничение доступа между сегментами корпоративной сети, защита корпоративных потоков данных, передаваемых по открытым сетям.

    Защита информации при передаче ее по каналам связи осуществляется средствами криптографической защиты (СКЗИ). Характерной особенностью этих средств является то, что они потенциально обеспечивают наивысшую защиту передаваемой информации от несанкционированного доступа к ней. Помимо этого, СКЗИ обеспечивают защиту информации от модификации (использование цифровой подписи и имитовставки).

    Как правило, СКЗИ функционируют в автоматизированных системах как самостоятельное средство, однако в отдельных случаях СКЗИ может функционировать в составе средств разграничения доступа как функциональная подсистема для усиления защитных свойств последних.

    Обеспечивая высокую степень защиты информации, в то же время применение СКЗИ влечет ряд неудобств:

  • стойкость СКЗИ является потенциальной, т.е. гарантируется при соблюдении ряда дополнительных требований, реализация которых на практике осуществляется довольно сложно (создание и функционирование ключевой системы, распределение ключей, обеспечение сохранности ключей, необходимость в получении лицензии ФАПСИ на право эксплуатации средств, планирование и организация мероприятий при компрометации ключевой системы);
  • относительно высокая стоимость эксплуатация таких средств.

    В целом, при определении необходимости использования средств криптографической защиты информации, необходимо учитывать то, что применение СКЗИ оправдано в случаях явного перехвата действительно конфиденциальной информации.

     

     
     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    Список литературы

     

  1. Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.) (с учетом поправок, внесенных Законами Российской Федерации о поправках к Конституции Российской Федерации от 30.12.2008 № 6-ФКЗ и от 30.12.2008 № 7-ФКЗ)// Российская газета. – 25 декабря 1993 г.
  2. Гражданский Кодекс РФ. Ч. 1 от 30 ноября 1994 г. ( в ред. ФЗ от 29.06.2009 № 132-ФЗ, от 17.07.2009 №145-ФЗ, с изм., внесенными Федеральными законами от 24.07.2008 № 161-ФЗ, от 18.07.2009 №181-ФЗ) // СЗ РФ. – 1994. – № 32. – Ст. 3301.
  3. Гражданский кодекс РФ. Ч. 2 от 26 января 1996 г.// СЗ РФ. 1996. № 5. Ст. 410.
  4. Гражданский кодекс. Часть IV. От 18.12.2006. № 230-ФЗ // СЗ РФ, 2006. № 52(ч. 1) . Ст. 5496.
  5. ФЗ «Об электронной цифровой подписи» от 10.01.2002 № 1-ФЗ // СЗ РФ. 2002. № 2. Ст. 127
  6. Федеральный закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г. № 149-ФЗ // Российская газета. 8 августа 2006 г.
  7. Алексунин В.А., Родигина В.В. Электронная коммерция. М., 2005.
  8. Гаврилов О. Курс правовой информатики. М., 2009.
  9. Балабанов И.Т. Электронная коммерция. СПб., 2001.
  10. Информатика для юристов и экономистов / Симонович С.В. и др.СПб, 2008.
  11. Козье Д. Электронная коммерция. М., 2003.
  12. Королев А.Л. Компьютерное моделирование. М., 2010.
  13. Костинский А. Закон «Об электронной цифровой подписи» // Современная книга. 2002. №1. С. 96.
  14. Основы электронной коммерции / Под ред. С.Ю. Глазеева. М., 2001.
  15. Орлова И.В., Половников В.А. Экономико-математические методы и модели. Компьютерное моделирование. М., 2011.
  16. Соколова Г.А. Охрана коммерческой и служебной тайн в рамках трудовых отношений // Кадровая служба и управление персоналом предприятия. 2007. № 5
  17. Фигурнов В.Э. IBM РС для пользователя. — М.: ИНФРА, 2010.
  18. Юрасов А.В. Электронная коммерция. М., 2003.

     

     

     

     

     

     

     

     

     

     

     

     

     


     

<

Комментирование закрыто.

WordPress: 22.7MB | MySQL:117 | 1,635sec