Смекни!
smekni.com

Защита информации от несанкционированного доступа (стр. 1 из 3)

Введение

Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и в дальнейшем расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцу получить какой-либо выигрыш: материальный, политический и т.д.

В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности - информационная безопасность, достигаемая за счет использования комплекса систем, методов и средств защиты информации предпринимателя от возможных злоумышленных действий конкурентов и с целью сохранения ее целостности и конфиденциальности.

Изменения, происходящие в экономической жизни России – создание финансово-кредитной системы, предприятий различных форм собственности оказывают существенное влияние на вопросы защиты информации.

В частности, к этой ситуации относится факт хищения технической и деловой информации. Как правило, это хищение связано с потерей стратегически важной информации, способной привести фирму к банкротству. Это хищение можно квалифицировать как преступление, так как ведет к потере материальных и финансовых ценностей.

Ответственность за защиту информации лежит на низшем звене руководства. Но также кто-то должен осуществлять общее руководство этой деятельностью, поэтому в организации должно иметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособности информационных систем.

«Безопасность» необходимо рассматривать как качество развития мер безопасности, которые направлены на предотвращение внутренних и внешних угроз.

В этой связи становится актуальным рассмотреть вопрос, касающийся защиты документированной информации от несанкционированного доступа, выявить основные способы защиты информации.


Глава 1. Защита от несанкционированного доступа к информации. Термины и определения

Шифр – последовательность операций, проводимых над открытыми (закрытыми) данными и ключом с целью получения закрытой (открытой) последовательности.

Ключ – конкретное для каждого нового кода значение каких-нибудь характеристик алгоритма криптографической защиты.

Гамма шифра – это некоторая псевдослучайная последовательность заданной длины, используемая для шифрования.

Гаммирование – процесс наложения гаммы шифра на открытые данные.

Зашифровывание – процесс преобразования открытых данных в закрытые с помощью шифра и ключа.

Расшифровывание – процедура преобразования закрытых данных в открытые с помощью шифра и ключа.

Шифрование – зашифровывание и (или) расшифровывание.

Дешифрование – совокупность действий по преобразованию закрытых данных в открытые без знания ключа и (или) алгоритма зашифровывания.

Имитозащита – защита от ложной информации. Осуществляется по собственным алгоритмам, с помощью выработки имитовставки.

Имитовставка – последовательность данных определенной длины, полученных специальными методами гаммирования из открытых исходных данных. Содержимое имитовставки является эталоном для проверки всей остальной информации.

Доступ к информации (Accesstoinformation) - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.

Правила разграничения доступа (Securitypolicy) - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Санкционированный доступ к информации (Authorizedaccesstoinformation) - Доступ к информации, не нарушающий правила разграничения доступа.

Несанкционированный доступ к информации (Unauthorizedaccesstoinformation) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Защита от несанкционированного доступа (Protectionfromunauthorizedaccess) - предотвращение или существенное затруднение несанкционированного доступа.

Субъект доступа (Accesssubject) - лицо или процесс, действия которых регламентируются правилами разграничения доступа.

Объект доступа (Accessobject) - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

Матрица доступа (Accessmatrix) - таблица, отображающая правила разграничения доступа.

Уровень полномочий субъекта доступа (Subjectprivilege) - совокупность прав доступа субъекта доступа.

Нарушитель правил разграничения доступа (Securitypolicyviolator) - субъект доступа, осуществляющий несанкционированный доступ к информации.

Модель нарушителя правил разграничения доступа (Securitypolicyviolater'smodel) - абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.

Комплекс средств защиты (Trustedcomputingbase) - совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.

Система разграничения доступа (Securitypolicyrealization) - совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.

Идентификатор доступа (Accessidentifier) - уникальный признак субъекта или объекта доступа.

Идентификация (Identification) - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Пароль (Password) - идентификатор субъекта доступа, который является его (субъекта) секретом.

Аутентификация (Authentication) - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.

Защищенное средство вычислительной техники (Trustedcomputersystem) - средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты.

Средство защиты от несанкционированного доступа (Protectionfacility) - пограммное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение несанкционированного доступа.

Модель защиты (Protectionmodel) - абстрактное (формализованное или Неформализованное) описание комплекса программно-технических средств и/или организационных мер защиты от несанкционированного доступа.

Безопасность информации (Informationsecurity) - состояние защищенности инфоpмации, обpабатываемой средствами вычислительной техники или автоматизированной системы от внутpенних или внешних угроз.

Целостность информации (Informationintegrity) - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).

Конфиденциальная информация (Sensitiveinformation) - информация, требующая защиты.

Дискреционное управление доступом (Discretionaryaccesscontrol) - разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.

Мандатное управление доступом (Mandatoryaccesscontrol) - разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.

Многоуровневая защита (Multilevelsecure) - защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности.

Концепция диспетчера доступа (Referencemonitorconcept) - концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам.

Диспетчер доступа (Securitykernel) - технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа; ядро защиты.

Администратор защиты (Securityadministrator) - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.

Метка конфиденциальности (Sensitivitylabel) - элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте.

Верификация (Verification) - процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие.

Класс защищенности средств вычислительной техники (Protectionclassofcomputersystems) - определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации.

Показатель защищенности средств вычислительной техники (Protectioncriterionofcomputersystems) - характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники.

Система защиты секретной информации (Secretinformationsecuritysystem) - комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах.

Система защиты информации от несанкционированного доступа (Systemofprotectionfromunauthorizedaccesstoinformation) - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.