Языки программирования, это программы, которые позволяют записывать алгоритмы решения каких-либо задач на том или ином языке программирования.
Инструментальные средства, которые называют еще утилитами (от англ. utility - полезность, удобство), включают в себя набор небольших вспомогательных специализированных обслуживающих программ, каждая из которых выполняет какую-либо одну рутинную, но необходимую операцию.
Прикладные программы предназначены для обработки самой разнообразной информации: текстовой, числовой, звуковой, графической.
Вопреки внешним различиям все программы должны выполнять некоторые общие основополагающие функции:
1. хранить информацию в ОЗУ;
2. помнить, где она находится;
3. извлекать ее определенным образом;
4. записывать информацию на внешние носители;
5. предъявлять ее для непосредственного восприятия и др.
Системы управления и сети на их основе быстро входят во все области человеческой деятельности: военная, коммерческая, научные исследования по высоким технологиям и др Широко используя компьютеры и сети для обработки и передачи информации, эти отрасли должны быть надежно защищены от возможности доступа к ней посторонних лиц, ее утраты или искажения. Усложнение методов и средств организации машинной обработки, повсеместное использование глобальной сети Интернет приводит к тому, что информация становится все более уязвимой. Этому способствуют такие факторы, как постоянное расширение круга пользователей, имеющих доступ к ресурсам, программам и данным, недостаточный уровень защиты аппаратных и программных средств компьютеров и коммуникационных систем и т.п. Учитывая эти факты, защита информации приобретает исключительно важное значение.
Безопасная, или защищенная, КС - КС, снабженная средствами защиты для противодействия угрозам безопасности.
Комплекс средств защиты - совокупность аппаратных и программных средств, обеспечивающих информационную безопасности.
Информационная безопасность - состояние КС, при котором она способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз и при этом не создавать таких угроз для элементов самой КС и внешней среды. Конфиденциальность информации - свойство информации быть доступной только ограниченному кругу конечных пользователей и иных субъектов доступа, прошедших соответствующую проверку и допущенных к ее использованию. Ответчики по компьютерным преступлениям вписываются в 3 категории: пираты (нарушают авторское право, создавая незаконные версии программ и данных), хакеры (получают неправомочный доступ к компьютерам других пользователей и файлам в них. Они не повреждают и не копируют файлы, лишь удовлетворяются сознанием своей власти над системами) и крекеры (взломщики).
Способы и средства нарушения конфиденциальности информации 1. Непосредственное обращение к объектам доступа. Злоумышленник пытается войти в систему, используя подсмотренный полностью или частично пароль легального пользователя; пытается получить доступ к объектам, надеясь на ошибки в политике безопасности.
2Создание программных и технических средств, выполняющих обращение к объектам доступа. Злоумышленник, получив в свое распоряжение файл паролей с помощью программ, осуществляющих перебор паролей, пытается его расшифровать; использует программы, просматривающие содержимое жестких дисков, с целью получения информации о незащищенных каталогах и файлах.
З. Модификация средств защиты, позволяющая реализовать угрозы информационной безопасности. Злоумышленник, получив права доступа к подсистеме защиты, подменяет некоторые ее файлы с целью изменения реакции подсистемы на права доступа к объектам, расширяя права легальных пользователей или предоставляя права нелегальным пользователям.
4. Внедрение в технические средства программных или технических механизмов, нарушающих структуру и функции КС.
Злоумышленник, на этапе разработки или модернизации технических средств КС, внедряет аппаратуру или изменяет программы, содержащиеся в постоянном запоминающем устройстве КС, которые, наряду с полезными функциями, выполняют некоторые функции несанкционированного доступа к информации, например, сбор сведений о паролях или считывание, сохранение и передача данных, оставшихся в оперативной памяти после завершения работы приложения; подключает дополнительные устройства, например, клавиатурные шпионы, которые позволяют перехватывать пароли и конфиденциальную информацию.
Получение доступа к информации обычно осуществляется злоумышленником в несколько этапов. На первом этапе решаются задачи получения тем или иным способом доступа к аппаратным и программным средствам КС. На втором этапе решаются задачи внедрения аппаратных или программных средств с целью хищения программ и данных.
Для получения сведений о режимах доступа, паролях и данных о пользователях системы злоумышленник пытается получить доступ к использованным расходным материалам и сменным носителям;
съемные носители информации, содержащие секретную информацию;
визуальное наблюдение или съемка экранов терминалов, анализ распечаток и отходов работы графопостроителей и т.д.;
перехват побочных электромагнитных и звуковых излучений и наводок по цепям питания. Получив доступ к КС или возможность входа в систему, злоумышленник, в зависимости от преследуемых целей, среди которых можно выделить получение секретной информации, искажение секретных данных, нарушение работы системы, предпринимает следующие действия:
несанкционированный доступ к информации;
перехват данных по каналам связи;
изменение архитектуры КС, путем установки дополнительных перехватывающих устройств или замены отдельных узлов на специальные, содержащие возможность проводить несанкционированные действия в КС, например, установка клавиатурных шпионов, перепрограммирование ПЗУ, установка сетевых карт, способных фиксировать
Классификация способов и средств защиты информации. Организационно-административные и технические средства защиты информации.
Система защиты информации - это совокупность организационных (административных) технологических мер, программно-технических средств, правовых и морально - этических норм. В ходе развития концепции защиты информации специалисты пришли к выводу, что использование какого-либо одного из способов защиты, не обеспечивает надежного сохранения информации. Необходим комплексных подход к использованию и развитию всех средств и способов защиты информации. В результате были созданы следующие способы защиты информации:
1. Препятствие - физически преграждает злоумышленнику путь к защищаемой информации (на территорию и в помещения с аппаратурой, носителям информации).
2. Управление доступом - способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных).
Управление доступом включает следующие функции защиты.
1. идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта про предъявленному им идентификатору;
2. проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;
3. разрешение и создание условий работы в пределах установленного регламента;
4. регистрацию обращений к защищаемым ресурсам;
5. реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.3. Маскировка - способ защиты информации с СОД путем ее криптографического. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.
4. Регламентация - заключается в разработке и реализации в процессе функционирования СОД комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения в СОД защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение СОД (архитектура зданий, оборудование помещений, размещение аппаратуры), организацию и обеспечение работы всего персонала. Занятого обработкой информации.
5. Принуждение - пользователи и персонал СОД вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Рассмотренные способы защиты информации реализуются применением различных средств защиты:
1 - К законодательным средствам защиты относятся законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
2 - К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространение вычислительных средств в данной стране или обществе.
3 - Организационно-административные средства защиты:
а) создание контрольно-пропускного режима на территории, где располагаются средства обработки информации,
б) Изготовление и выдача специальных пропусков.
в) Проведение мероприятий по подбору персонала, связанного с обработкой данных.
г) Хранение магнитных и иных носителей информации, а также регистрационных журналов в сейфах, недоступных посторонним лицам,