На этапе эксплуатации программные средства дорабатываются, в них устраняются замеченные ошибки, поддерживается целостность программных средств и актуальность данных, используемых этими средствами.[10]
Аппаратно-программные методы повышения достоверности перерабатываемой в автоматизированных системах информации представляют собой совокупность методов контроля и выявления ошибок в исходных и получаемых информационных массивах, их локализации и исправления.[11]
При эксплуатации автоматизированных систем существует возможность разрушения информационных массивов, которое приводит к появлению ошибок в результатах, невозможности решения некоторых функциональных задач или к полному отказу автоматизированных систем. Основными причинами нарушения целостности и готовности информационных массивов в процессе их непосредственного использования или хранения на носителях являются ошибки и преднамеренные действия операторов и обслуживающего персонала, деструктивные действия компьютерных вирусов, агрессивность внешней среды (температура, влажность и др.), износ носителей информации, приводящие к разрушению информационных массивов или их носителей.
Проблема обеспечения целостности и готовности информации при эксплуатации автоматизированных систем заключается в разграничении доступа к информационным массивам и программно-техническим ресурсам, контроле правильности информационных массивов, обнаружении ошибок, резервировании и восстановлении информационных массивов во внутримашинной информационной базе по зарезервированным информационным массивам.[12]
Методы повышения сохранности информации в автоматизированных системах в зависимости от вида их реализации можно разделить на организационные и аппаратно-программные.
I. Организационные методы повышения сохранности состоят в создании и использовании рациональной технологии эксплуатации информационных массивов, предусматривающей профилактические меры по снижению доли искажений информационных массивов до определенного допустимого уровня и по обеспечению своевременного предоставления необходимых аутентичных информационных массивов для автоматизированного решения задач автоматизированных систем. Основными из них являются:
1) учет и хранение информационных массивов в базах данных автоматизированных систем;
2) контроль за качеством работы операторов и обслуживающего персонала;
3) контроль износа и старения технических средств, функционирования автоматических систем, а также правильности их эксплуатации;
4) профотбор, обучение и стимулирование персонала автоматизированных систем;
5) организация труда персонала автоматизированных систем, обеспечивающая уменьшение возможностей нарушения им требований сохранности информационных массивов;
6) обеспечение противопожарной защиты и температурно-влажностного режима.
II. Аппаратно-программными методами повышения сохранности информации являются:
1) резервирование информации (обеспечивает защиту информации как от случайных угроз, так и от преднамеренных воздействий):
- оперативное резервирование – создание и хранение резервных рабочих копий информационных массивов, используемых для решения функциональных задач автоматизированных систем в реальном масштабе времени;
- восстановительное резервирование – создание и хранение дополнительных копий информационных массивов, используемых только для восстановления разрушенных рабочих копий информационных массивов;
- долговременное резервирование – создание, длительное хранение и обслуживание архивов оригиналов, дубликатов и резервных копий информационных массивов.
2) контроль, обнаружение и исправление ошибок информационных массивов (реализуются как в аппаратном варианте, так и в виде программных модулей):
- получение контрольных сумм – сумма всех символов, полученная циклическим сложением после обновления информационных массивов;
- использование контрольных чисел – цифра, связанная с символами информационных массивов некоторым соотношением;
- использование избыточных кодов – позволяют выявлять и автоматически исправлять имеющиеся в информационных массивах ошибки;
- программная проверка по четности – обеспечивает более качественный контроль по сравнению со схемной проверкой четности;
- контроль верности входных информационных массивов – контроль допустимого диапазона изменения некоторого показателя.
3) контроль верности входных данных и защита от вирусов:
- обнаружение вирусов в автоматизированных системах (сканирование, обнаружение изменений, эвристический анализ, вакцинация программ, аппаратно-программная защита от вирусов);
- блокирование работы программ-вирусов
- устранение последствий воздействия вирусов.
Для решения данных задач используются специальные антивирусные средства.
4) блокировка ошибочных операций (действий) – использует технические и аппаратно-программные средства. Технические средства применяются в основном для предотвращения ошибочных действий людей (блокировочные тумблеры, защитные экраны и ограждения, предохранители, средства блокировки записей на магнитные ленты, дискеты и т.п.). Аппаратно-программные средства позволяют, например, блокировать вычислительный процесс при нарушениях программами адресных пространств оперативной памяти.[13]
Все эти методы позволяют повысить достоверность информации и сохранить целостность и готовность информационных массивов в процессе их непосредственного использования или хранения на носителях.
2.2. Обеспечение конфиденциальности информации
В общей проблеме обеспечения защищенности информации в автоматизированных системах особая роль отводится обеспечению требуемого уровня конфиденциальности информационных массивов. Это обусловлено тем, что возможное нарушение конфиденциальности информационных массивов и как следствие раскрытие, модификация ( с целью дезинформации), случайное или преднамеренное разрушение, а также несанкционированное использование информации могут привести к крайне тяжелым последствиям с нанесением неприемлемого ущерба владельцам или пользователям информации.
Основными направлениями обеспечения конфиденциальности информации в автоматизированных системах являются:
- защита информации от утечки по техническим каналам;
- криптографическая защита информационных массивов;
- защита объектов от несанкционированного доступа посторонних лиц;
- разграничение доступа в автоматизированных системах.
Всю совокупность мер и мероприятий по обеспечению конфиденциальности информации в автоматизированных системах можно условно разделить на две группы:
1) организационные (административные, законодательные);
2) инженерно-технические (физические, аппаратные, программные и криптографические).
Административные – комплекс организационно-правовых мер и мероприятий, регламентирующих (на основе нормативно правовых актов: приказов, директив, инструкций и т.п.) процессы функционирования автоматизированных систем, использование ее аппаратно-программных средств, а также взаимодействие пользователей и обслуживающего персонала с автоматизированными системами с целью исключения возможностей или существенного затруднения несанкционированного доступа к информационным массивам.
Комплекс законодательных мер определяется законами страны, постановлениями, регламентирующими правила переработки и использования информации ограниченного доступа и ответственность за их нарушение.
Комплекс физических мер и мероприятий предназначен для создания физических препятствий для потенциальных нарушителей на пути в места, в которых можно иметь доступ к защищаемой информации.
Аппаратные методы обеспечения конфиденциальности информации – это комплекс мероприятий по разработке и использованию механических, электрических, электронных и других устройств, предназначенных для защиты информации от несанкционированного доступа, утечки и модификации.
Программными решениями (методами) обеспечения конфиденциальности информации являются комплексы специальных программ и компонентов общего программного обеспечения автоматизированных систем, предназначенных для выполнения функций контроля, разграничения доступа и исключения несанкционированного использования информации.
Криптографические методы обеспечения конфиденциальности информации в автоматизированных системах – это комплекс процедур и алгоритмов преобразования информации, обеспечивающих скрытность смыслового содержания информационных массивов.[14]
2.2.1. Методы разграничения доступа
При организации доступа субъектов к объектам выполняются следующие действия:
1) Идентификация и аутентификация субъекта доступа – при входе в компьютерную систему. При получении доступа к программам и конфиденциальным данным субъект должен быть идентифицирован и аутентифицирован. Эти две операции обычно выполняются вместе, т.е. пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация), а затем сообщает секретные сведения, подтверждающие, что он тот, за кого себя выдает.
Иногда проводится дополнительно авторизация субъекта, под которой понимается создание программной среды для его работы. Но основными средствами обеспечения безопасности являются идентификация и аутентификация.
Обычно данные, идентифицирующие пользователя, не засекречены, но для усложнения проведения атак по несанкционированному доступу желательно хранить эти данные в файле, доступ к которому возможен только администратору системы.