2. Захист інформації від несанкціонованого доступу

Захистити інформацію від несанкціонованого досту­пу можна за допомогою апаратно-програмних, програм­них, біометричних, адміністративних, технічних засобів.

Апаратно-програмні засоби. До них належать:

• спеціальні криптографічні плати, що вбудовуються в комп'ютер, за допомогою яких інформацію можна зашифрувати, створити електронний підпис, а також аутентифікувати користувача (аутентифікація — процес ідентифікації кори­стувачів, пристроїв або будь-якої іншої одиниці, що бере участь в інформаційному обміні, перед початком якого треба мати дозвіл на доступ до даних);

• SmartCard — магнітна картка для зберігання сек­ретного ключа, шифрування паролей;

•пристрої ActivCard для введення паролей, де пароль не вводиться, а розраховується (динамічний пароль), а також SmartReader для зчитування паролів. В цих пристроях усередині вмонтовано мікропроцесор, у пам'яті якого зберігається секретний код. Пароль, що вводиться користувачем (чотири цифри), в комп'ютері перераховується, тобто створюється спеціальний код.

Програмні заходи. Вони включають:

• вбудовані у програми функції захисту даних. На­приклад, система Netware після трьох спроб кори­стувача ввійти в мережу з неправильним паро­лем блокує ідентифікатор цього користувача, і тіль­ки адміністратор мережі має змогу розблокувати доступ; |

• спеціальні криптографічні розробки.

За принципом побудови існуючі засоби захисту інформації, в яких використовуються криптографічні методи захисту, можна поділити на два типи:

• засоби, в основі роботи яких лежать симетричні алгоритми для побудови ключової системи і сис­теми аутентифікації;

• засоби, основу роботи яких складають асиметрич­ні алгоритми, що застосовуються для тих самих цілей.

У засобах першого типу обов'язковою є наявність центру розподілу ключів, що відповідає за їх створення, А розповсюдження та вилучення. При цьому носії ключової інформації передаються абонентам із використанням фізично захищених каналів зв'язку. Ключі мають змінюватися досить часто, кількість абонентів має І бути значною, тому ці засоби негнучкі та дорогі. Питання аутентифікації вирішується довір'ям користувачів | один одному, цифровий підпис неможливий. Центр розподілу ключів контролює всю інформацію. Захист ін­формації дуже низький.

У засобах другого типу ключі для шифрування ав­томатично генеруються, розповсюджуються і вилучають­ся для кожного сеансу зв'язку. Функції служби розпо­всюдження ключів виконує сертифікаційний центр, де користувач реєструється, встановлюється його аутенти­фікація, після чого ключі вилучаються. В таких засо­бах можливими є організація цифрового підпису та йо­го перевірка. Протокол установлення аутентичного зв'язку відповідає певному стандарту.

Аутентифікація є простою та суворою. При простій аутентифікації відбувається обмін паролями між або­нентами, які встановили зв'язок, із подальшою перевір­кою відповідності цих паролей еталонним. При суворій аутентифікації кожен абонент має два криптографічних ключі — секретний, відомий тільки даному абоненту, та відкритий — той, що передається в банк. Викорис­товуючи секретний ключ і спеціальний алгоритм, або­нент формує цифровий підпис — послідовність бітів, яка однозначно відповідає документу, що підписується. Пе­ревірка відповідності підпису виконується за допомо­гою відкритого ключа.

Біометричні засоби. До них належать:

• візерунки сітчатки ока;

• відбитки пальців;

• геометрія руки;

• динаміка підпису.

Адміністративні заходи. Вони включають:

• систему електронних перепусток для персоналу і відвідувачів;

• системи відеоспостереження та відеореєстрації, що дають змогу вести цілодобовий візуальний нагляд як за периметром об'єкта, так і всередині з мож­ливістю запису інформації на відеомагнітофон або комп'ютер;

• розподіл доступу до інформації. Тут необхідним є чітке визначення осіб, які мають право на ту чи іншу інформацію. Наприклад, програмісти не по­винні мати доступу до БД, а користувачі — до про­грамного забезпечення;

• систематичний аналіз мережного протоколу роботи, блокування спроб введення паролей кілька разів;

• ретельний підбір співробітників, навчання, ста­жування, тренування. Кандидат повинен мати

задовільні свідоцтва й атестати з попередніх ро­бочих місць, не мати нахилу до зловживання наркотиками та алкоголем, не мати вагомих за­боргованостей, не виявляти недоброзичливості до наймачів.

Технічні заходи. Їх можна поділити на такі групи:

• заходи захисту від підслуховування, що включа­ють:

- установлення фільтрів на лініях зв'язку;

- обстеження приміщень із метою виявлення під­слуховуючих пристроїв;

- використання звукопоглинаючих стін, стелі, під­логи;

- застосування систем віброакустичного й акус­тичного зашумлення для захисту мовної інформації від прослуховування за допомо­гою акустичних мікрофонів, стетоскопів, лазе­рних та інфрачервоних систем відбору інфор­мації;

• заходи захисту від електромагнітного випроміню­вання, куди входять:

- використання оптико-волоконного кабелю;

- застосування захисної плівки на вікнах;

- користування захищеними дисплеями.

• заходи захисту від поновлення вилучених да­них.