Защита от неавторизованного создания или уничтожения данных обеспечивается физической защитой информации, разграничением и ограничением доступа к элементам защищаемой информации, закрытием защищаемой информации в процессе непосредственной ее обработки, разработкой программно-аппаратных комплексов, устройств и специализированного программного обеспечения для предупреждения несанкционированного доступа к защищаемой информации.
Конфиденциальность информации обеспечивается идентификацией и проверкой подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю, идентификацией внешних устройств по физическим адресам, идентификацией программ, томов, каталогов, файлов по именам, шифрованием и дешифрованием информации, разграничением и контролем доступа к ней.
Среди мер, направленных на защиту информации основными являются технические, организационные и правовые.
К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и др.
К организационным мерам относятся: охрана вычислительного центра (кабинетов информатики); заключение договора на обслуживание компьютерной техники с солидной, имеющей хорошую репутацию организацией; исключение возможности работы на компьютерной технике посторонних, случайных лиц и т.п.
К правовым мерам относятся разработка норм, устанавливающих ответственность за вывод из строя компьютерной техники и уничтожение (изменение) программного обеспечения, общественный контроль за разработчиками и пользователями компьютерных систем и программ.
Следует подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных системах. В то же время свести риск потерь к минимуму возможно, но лишь при комплексном подходе к защите информации.
В следующих вопросах и темах мы рассмотрим проблемы защиты информации в автоматизированных системах обработки данных, особенности защиты информации в ПЭВМ, использование специализированного программного обеспечения для архивации данных и борьбе с компьютерными вирусами, а также основы криптографической защиты информации.
Под защитой информации в автоматизированных системах обработки данных (АСОД) понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации, хранимой и обрабатываемой с использованием средств АСОД.
Основными видами информации, подлежащими защите в АСОД, могут быть:
· исходные данные, т.е. данные, поступившие в АСОД на хранение и обработку от пользователей, абонентов и взаимодействующих систем;
· производные данные, т.е. данные, полученные в АСОД в процессе обработки исходных и производных данных;
· нормативно-справочные, служебные и вспомогательные данные, включая данные системы защиты;
· программы, используемые для обработки данных, организации и обеспечения функционирования АСОД, включая и программы защиты информации;
· алгоритмы, на основе которых разрабатывались программы (если они находятся на объектах, входящих в состав АСОД);
· методы и модели, на основе которых разрабатывались алгоритмы (если они находятся на объектах, входящих в состав АСОД);
· постановки задач, на основе которых разрабатывались методы, модели, алгоритмы и программы (если они находятся на объектах, входящих в состав АСОД);
· техническая, технологическая и другая документация, находящаяся на объектах АСОД.
Под угрозой информации в АСОД понимают меру возможности возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение (или опасность нарушения) физической целостности, несанкционированная модификация (или угроза такой модификации) информации, несанкционированное получение (или угроза такого получения) информации, несанкционированное размножение информации.
Общая классификационная структура задач по защите информации в АСОД включает в себя следующие группы:
I. Механизмы защиты:
введение избыточности элементов системы;
резервирование элементов системы;
регулирование доступа к элементам системы;
регулирование использования элементов системы;
маскировка информации;
контроль элементов системы;
регистрация сведений о фактах, событиях и ситуациях, которые возникают в процессе функционирования АСОД;
своевременное уничтожение информации, которая больше не нужна для функционирования АСОД;
сигнализация о состоянии управляемых объектов и процессов;
реагирование на проявление дестабилизирующих факторов с целью предотвращения или снижения степени их воздействия на информацию.
II. Управления механизмами защиты:
планирование защиты – процесс выработки рациональной (оптимальной) программы предстоящей деятельности. В общем случае различают долгосрочное (перспективное), среднесрочное и текущее планирование;
оперативно-диспетчерское управление защитой информации – организованное реагирование на непредвиденные ситуации, которые возникают в процессе функционирования управляемых объектов или процессов;
календарно-плановое руководство защитой – регулярный сбор информации о ходе выполнения планов защиты и изменении условий защиты, анализе этой информации и выработке решений о корректировке планов защиты;
обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к защите информации – планирование, организация, оценка текущей деятельности, сбор, накопление и обработка информации, относящейся к защите, принятие текущих решений и др.
К основным методам защиты информации относятся:
повышение достоверности информации;
криптографическое преобразование информации;
контроль и учет доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;
ограничение доступа;
разграничение и контроль доступа к информации;
разделение доступа (привилегий);
идентификация и аутентификация пользователей, технических средств, носителей информации и документов.
Особенностями ПЭВМ с точки зрения защиты информации являются:
малые габариты и вес, что делает их легко переносимыми;
наличие встроенного внутреннего запоминающего устройства большого объема, сохраняющего записанные данные после выключения питания;
наличие сменного запоминающего устройства большого объема и малых габаритов;
наличие устройств сопряжения с каналами связи;
оснащенность программным обеспечением с широкими функциональными возможностями.
Основная цель защиты информации в ПЭВМ заключается в обеспечение ее физической целостности и предупреждении несанкционированного доступа к ней.
В самом общем виде данная цель достигается путем ограничения доступа посторонних лиц в помещения, где находятся ПЭВМ, а также хранением сменных запоминающих устройств и самих ПЭВМ с важной информацией в нерабочее время в опечатанном сейфе.
Наряду с этим для предупреждения несанкционированного доступа к информации используются следующие методы:
опознавание (аутентификация) пользователей и используемых компонентов обработки информации;
разграничение доступа к элементам защищаемой информации;
регистрация всех обращений к защищаемой информации;
криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных);
криптографическое закрытие защищаемой информации в процессе ее непосредственной обработки.
Для опознавания пользователей к настоящему времени разработаны и нашли практическое применение следующие способы.
1. Распознавание по простому паролю. Каждому зарегистрированному пользователю выдается персональный пароль, который он вводит при каждом обращении к ПЭВМ.
2. Опознавание в диалоговом режиме. При обращении пользователя программа защиты предлагает ему назвать некоторые данные из имеющейся записи (пароль, дата рождения, имена и даты рождения родных и близких и т.п.), которые сравниваются с данными, хранящимися в файле. При этом для повышения надежности опознавания каждый раз запрашиваемые у пользователя данные могут быть разными.
3. Опознавание по индивидуальным особенностям и физиологическим характеристикам. Реализация данного способа предполагает наличие специальной аппаратуры для съема и ввода соответствующих параметров и программ их обработки и сравнения с эталоном.
4. Опознавание по радиокодовым устройствам. Каждому зарегистрированному пользователю выдается устройство, способное генерировать сигналы, имеющие индивидуальные характеристики. Параметры сигналов заносятся в запоминающие устройства механизмов защиты.
5. Опознавание по специальным идентификационным карточкам. Изготавливаются специальные карточки, на которые наносятся данные, персонифицирующие пользователя: персональный идентификационный номер, специальный шифр или код и т.п. Эти данные на карточку заносятся в зашифрованном виде, причем ключ шифрования может быть дополнительным идентифицирующим параметром, поскольку может быть известен только пользователю, вводиться им каждый раз при обращении к системе и уничтожаться сразу же после использования.