Астахова_А_В_Инф_системы_в_экономике

Приведем еще схематичные примеры задач, решаемых удаленными абонентами.

1.Взаимодействуют два, не доверяющих друг другу абонента. Они хотят подписать контракт. Это надо сделать так, чтобы не допустить следующую ситуацию: один из абонентов получил подпись другого,

асам не подписался. Протокол решения этой задачи принято называть протоколом подписания контракта.

2.Взаимодействуют два не доверяющих друг другу абонента. Они хотят бросить жребий с помощью монеты. Это надо сделать так, чтобы абонент, подбрасывающий монету, не мог изменить результат подбрасывания после получения догадки от абонента, угадывающего этот результат. Протокол решения для схемы этой задачи принято называть протоколом подбрасывания монеты.

За последние годы криптография и криптографические методы все шире входят в жизнь. Отправляя электронную почту, пользователи иногда отвечают на вопрос меню: «Нужен ли режим шифрования?». Владелец интеллектуальной банковской карточки, обращаясь через терминал к банку, вначале выполняет криптографический протокол аутентификации карточки. Пользователи сети Internet знакомы с дискуссией вокруг возможного принятия стандарта цифровой подписи для тех страниц сети, которые содержат «критическую» информацию (нормативные правовые акты, прайс-листы и др.). С недавних пор пользователи сетей стали указывать после своей фамилии наряду с «E-mail ...» и менее привычную информацию — «Отпечаток открытого ключа ...».

Одним из достаточно новых понятий в криптографии является понятие «функции с секретом». Развитие данного направления позволит:

•организовать обмен шифрованными сообщениями с использованием только открытых каналов связи, т. е. отказаться от секретных каналов связи для предварительного обмена ключами;

•включить в задачу вскрытия шифра трудную математическую задачу и тем самым повысить обоснованность стойкости шифра;

•решать новые криптографические задачи, отличные от шифрования.

Электронно-цифровая подпись. Значимым для экономической практики примером использования криптографических алгоритмов с открытым ключом является электронно-цифровая подпись (ЭЦП).

ЭЦП используется юридическими и физическими лицами в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью

правомочного лица и скрепленного печатью. Порядок использования ЭЦП на территории Российской Федерации определен Федеральным законом «О электронно-цифровой подписи» от 10.01.2002 г. № 1-ФЗ.

В соответствии с этим законом, ЭЦП — это программно-крипто- графическое средство, которое обеспечивает:

•проверку целостности документов;

•конфиденциальность документов;

•установление лица, отправившего документ.

Использование ЭЦП позволяет: значительно сократить время, на оформление сделки или другой процедуры, связанное с обменом документацией; усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов; гарантировать достоверность документации; минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена; обеспечить создание корпоративной системы обмена документами.

Для пользователя ЭЦП представляет собой совокупность закрытого ключа — контейнера, обладателем которого может быть только владелец сертификата, и однозначно соответствующего этому закрытому ключу открытого ключа — сертификата. Сертификат представим в виде файла формата X.509, отображенного на рис. 5.4.

Рис. 5.4. Экранная форма внешнеговида сертификатаЭЦП

В отличие от закрытого ключа, который должен храниться в тайне, открытый ключ может распространяться публично.

Схема шифрования данных с использованием открытого ключа состоит из двух этапов. На первом из них производится обмен по несекретному каналу открытыми ключами. При этом необходимо обеспечить подлинность передачи ключевой информации. На втором этапе, собственно, реализуется шифрование сообщений, при котором отправитель зашифровывает сообщение открытым ключом получателя. Зашифрованный файл может быть прочитан только владельцем секретного ключа, т. е. получателем. Схема дешифрования, реализуемая получателем сообщения, использует для этого секретный ключ получателя.

Реализация схемы ЭЦП связана с вычислением значения хэшфункции (дайджеста) передаваемых данных. Это значение представляет собой уникальное число, полученное из исходных данных путем их сжатия с помощью сложного алгоритма. Хэш-функция является однонаправленной функцией, в результате чего, используя «хэшзначение» невозможно восстановить исходные данные. Хэш-функция чувствительна к всевозможным искажениям данных, поэтому трудно отыскать два набора данных, обладающих одним и тем же значением хэш-функции.

Схема формирования подписи электронного документа его отправителем включает автоматическое вычисление хэш-функции электронного документа и шифрование этого значения посредством секретного ключа отправителя. Результатом шифрования является значение ЭЦП электронного документа (реквизит электронного документа), которое пересылается вместе с самим электронным документом получателю. При этом получателю сообщения должен быть предварительно передан открытый ключ отправителя сообщения

Схема проверки (верификации) ЭЦП, осуществляемая получателем, сообщения состоит из следующих этапов. На первом из них производится дешифрование блока ЭЦП посредством открытого ключа отправителя. Затем вычисляется хэш-функция электронного документа. Результат вычисления сравнивается с результатом дешифрации блока ЭЦП. В случае совпадения принимается решение о соответствии ЭЦП электронного документа заявленным данным. Несовпадение результатов дешифрации с результатом вычисления хэш-функции электронного документа может возникнуть по следующим причинам:

•в процессе передачи по каналу связи была потеряна целостность электронного документа;

•при формировании ЭЦП был использован не тот или поддельный секретный ключ;

•при проверке ЭЦП был использован не тот открытый ключ (в процессе передачи по каналу связи или при дальнейшем его хранении он был модифицирован или подменен).

Реализация криптографических алгоритмов с открытыми ключами, требует по сравнению с симметричными алгоритмами, больших затрат процессорного времени. Поэтому криптография с открытыми ключами обычно используется для решения задач распределения ключей и ЭЦП, а симметричная криптография для шифрования.

Известна также схема комбинированного шифрования, сочетающая высокую безопасность криптосистем с открытым ключом с преимуществами высокой скорости работы симметричных криптосистем.

Вэтой схеме для шифрования используется случайно вырабатываемый симметричный (сеансовый) ключ, который, в свою очередь зашифровывается посредством открытой криптосистемы для его последующей передачи в начале сеанса связи.

Для реализации юридически значимого электронного взаимодействия двух сторон необходимо заключить договор, предусматривающий обмен сертификатами. Сертификат представляет собой документ, связывающий личностные данные владельца и его открытый ключ.

Вбумажном виде он должен содержать рукописные подписи уполномоченных лиц и печати. После сертификации каждая из сторон становится обладателем пары открытого и закрытого ключей.

Идентификация и аутентификация. Основой любых систем защиты информационных ресурсов ИС являются идентификация и аутентификация, так как все механизмы защиты информации рассчитаны на работу с поименованными субъектами и объектами ИС. В качестве субъектов ИС могут выступать как пользователи, так и процессы, а в качестве объектов ИС — информация и другие информационные ресурсы системы.

Идентификацией называется присвоение субъектам и объектам доступа личного идентификатора и сравнение его идентификаторами из заданного перечня. Идентификация обеспечивает выполнение следующих функций:

•установление подлинности и определение полномочий субъекта для его допуска к работе в системе;

•контроль установленных полномочий в процессе работы пользователя;

•регистрация действий пользователя при работе в системе и др.

Аутентификация заключается в проверке: является ли подключающийся к системе субъект тем, за кого он себя выдает. Если в процессе аутентификации подлинность субъекта установлена, то система защиты информации должна определить его полномочия (совокупность прав). Это необходимо для последующего контроля и разграничения доступа к ресурсам.

Методы аутентификации можно классифицировать по используемым при проверке средствам:

•методы, основанные на знании лицом пароля;

•методы, использующие технологию токенов (карточек), или основанные на использовании уникального предмета: смарт-карты, touch-memory, ключа для USB-портов и др.;

•методы, основанные на измерении биометрических параметров человека — физиологических или поведенческих атрибутах живого организма;

•методы, основанные на некоторой информации, ассоциированной с пользователем, например, с его координатами его нахождения.

Наиболее распространенными простыми и привычными являются методы аутентификации, основанные на паролях — секретных идентификаторах субъектов. При вводе субъектом своего пароля подсистема аутентификации сравнивает его с паролем, хранящимся в базе эталонных данных в зашифрованном виде, и если пароли совпадают.

подсистема аутентификации разрешает доступ к ресурсам ИС. При этом могут быть многократно используемые пароли и одноразовые

пароли. В первом случае угроза рассекречивания пароля повышается. Следует отметить, что для повышения безопасности пароль не должен быть примитивным, так как можно запустить программу по подбору паролей — «дробилку». Поэтому более надежный способ — использование одноразовых или динамически меняющихся паролей.

Известны следующие методы парольной защиты, основанные на одноразовых паролях:

•методы модификации схемы простых паролей;

•методы «запрос-ответ»;

•функциональные методы.

Впервом случае пользователю выдается список паролей. При аутентификации система запрашивает у пользователя пароль, номер в списке которого определен по случайному закону. Длина и порядковый номер начального символа пароля тоже могут задаваться случайным образом.

При использовании метода «запрос-ответ» система задает пользователю некоторые вопросы общего характера, правильные ответы на которые известны только конкретному пользователю.

Функциональные методы основаны на использовании специальной функции парольного преобразования. Например, метод «рукопожатия» заключается в следующем. При входе в ИС подсистема аутентификации генерирует случайную последовательность цифр x, которая выдается пользователю. Пользователь вычисляет результат функции парольного преобразования y = f(x) и возвращает его в систему. Система сравнивает собственный вычисленный результат с результатом, полученным от пользователя. При совпадении указанных результатов подлинность пользователя считается доказанной. Функция y = f(x) известна только пользователю и системе защиты. Достоинством метода является то, что передача какой-либо информации, которой может воспользоваться злоумышленник, здесь сведена к минимуму.

В последнее время получили распространение комбинированные методы идентификации, требующие, помимо знания пароля, наличие карты (token) — специального устройства, подтверждающего подлинность субъекта. Они могут быть пассивными (с памятью) или активными (интеллектуальные карточки), в которые встроен процессор. К достоинству использования карточек относят то, что обработка аутентификационной информации выполняется устройством чтения, без передачи в память компьютера. Это исключает возможность электронного перехвата по каналам связи. Интеллектуальные карточки можно применять не только для целей безопасности, но и, например, для финансовых операций.

Методы аутентификации, основанные на измерении биометрических параметров человека, обеспечивают практически 100 % идентификацию, решая проблемы утраты паролей и личных идентификаторов. Примерами внедрения указанных методов являются системы идентификации пользователя по рисунку радужной оболочки глаза, отпечаткам пальцем и ладони, формам ушей, инфракрасной картине капиллярных сосудов, по почерку, по запаху, по тембру голоса, по ДНК. В настоящее время такие методы требуют сложного и часто дорогостоящего оборудования. Например, при входе в систему, пользователь кладет палец на сканер в подтверждение своей личности.

В настоящее время получают распространение токены с системой персональной с системой персональной аутентификации на базе биометрической информации, которая считывается с руки пользователя. Таким «ключом» может воспользоваться только тот пользователь, на которого этот ключ настроен.

Новым направлением аутентификации является доказательство подлинности удаленного пользователя по его местонахождению. Данный защитный механизм основан на использовании системы космической навигации, типа GPS (Global Positioning System). Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра определить месторасположение пользователя. Высокая надежность аутентификации определяется тем, что орбиты спутников подвержены колебаниям, предсказать которые достаточно трудно. Кроме того, координаты постоянно меняются, что сводит на нет возможность их перехвата. Аппаратура GPS проста и надежна в использовании и сравнительно недорога. Это позволяет ее использовать в случаях, когда авторизованный удаленный пользователь должен находиться в нужном месте.

Все названные возможности средств аутентификации можно разделить по уровню информационной безопасности на следующие категории:

•статическая аутентификация;

•устойчивая аутентификация;

•постоянная аутентификация.

Статическая аутентификация обеспечивает защиту только от несанкционированного доступа в систему. Сюда относятся постоянные пароли, эффективность которых зависит от степени их защищенности.

Реализациями устойчивой аутентификации являются системы, использующие одноразовые пароли и электронные подписи. Усиленная аутентификация обеспечивает защиту от атак, при которых злоумышленник может перехватить информацию системы аутентификации и попытаться ее использовать в последующем. Однако устойчивая аутентификация не обеспечивает защиту от активных атак, когда злоумышленник может в течение сеанса аутентификации перехватить, модифицировать и вставить информацию в поток передаваемых данных.

Постоянная аутентификация обеспечивает идентификацию каждого блока передаваемых данных, что предохраняет их от несанкционированной модификации или вставки. Примером реализации указанной категории аутентификации является использование алгоритмов генерации электронных подписей для каждого бита пересылаемой информации.

Разграничение доступа. После выполнения идентификации и аутентификации необходимо установить полномочия (совокупность

прав) субъекта для последующего контроля санкционированного использования вычислительных ресурсов, доступных в ИС. Такой процесс называется разграничением доступа.

Обычно полномочия субъекта представляются: списком ресурсов, доступных пользователю, и правами по доступу к каждому ресурсу из списка. В качестве вычислительных ресурсов могут быть программы, режимы работы в программах, информация из базы данных, логические устройства, объем памяти, время процессора, приоритет и т. д.

Разграничения доступа осуществляется с учетом уровня секретности и категориям в соответствии с должностными полномочиями специалистов системы управления.

Законы и стандарты в области информационной безопасности являются лишь отправным нормативным базисом системы обеспечения безопасности информации в ИС. Основой практического построения интегрированной системы является создание административноорганизационного уровня системы, определяющего генеральное направление работ по обеспечению безопасности.

В целом, обобщая аспекты информационной безопасности ИС можно отметить следующую тенденцию. Развитие рынка и конкуренции способствует росту количества угроз и, следовательно, — средств обеспечения безопасности, это в свою очередь, приводит к принципиально иному пониманию роли информационной безопасности. Сегодня ее нельзя воспринимать исключительно как защиту или страховку — она перерастает в нечто большее, а именно — в один из ключевых бизнес-активов современной организации. По мнению специалистов аналитического центра компании Perimetrix, внедрение технологий информационной безопасности может способствовать росту бизнеса напрямую, а не только с помощью минимизации рисков. И в будущем этот тренд будет только усиливаться. Так, среди рекомендаций Ernst & Young по улучшению системы безопасности необходимо отметить усиление взаимосвязи информационной безопасности и бизнес-целей, интеграция информационной безопасности в систему управления рисками, обеспечение соответствия стандартам и использование нетрадиционных подходов для поиска специалистов-профессионалов.

Вопросы для самоконтроля по главе 5

1.Что такое безопасность ИС?

2.Пояснит е место информационной безопасности в системе национальной безопасности.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

Нормативные акты и официальные документы

1.ГОСТ 15.971–90. Системы обработки информации: Термины и определения. — М.: Изд-во стандартов, 1994.

2.ГОСТ 19.201–78. Единая система программной документации: Техническое задание. Требования к содержанию и оформлению. — М.: Издво стандартов, 1994.

3.ГОСТ 24.402–88. Организация данных в системах обработки данных: Термины и определения. — М.: Изд-во стандартов, 1994.

4.ГОСТ 28.147–89. Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования. — М.: Изд-во стандартов, 1991.

5.ГОСТ 6.61.1–87. Единая система классификации и кодирования техни- ко-экономической информации. Основные положения. — М.: Изд-во стандартов, 1994.

6.Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. — М., 1992.

7.Комплекс отраслевых руководящих методических материалов по созданию АСУ и САПР. — М: Статистика, 1980.

8.Постановлением Правительства РФ от 31.08.2006 г. № 532 «Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».

9.Постановление Правительства РФ от 15.08.2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».

10.Приказ ФТС России от 24.01.2008 г. № 52 «О внедрении информационной технологии представления таможенным органам сведений в электронной форме для целей таможенного оформления товаров, в том числе с использованием международной ассоциации сетей “Интернет” (Интернет-декларирование)».

11.Распоряжение Правительства РФ от 08.12.2011 г. № 2227-р «Об утверждении Стратегии инновационного развития Российской Федерации на период до 2020 года»

12.Распоряжение Правительства РФ от 20.10.2010 г. № 1815-р «Государственная программа Российской Федерации «Информационное общество» (2011–2020 годы)».

13.Таможенный кодекс Таможенного союза (Решение Межгосударственного Совета Еврозийского экономического сообщества (высшего органа таможенного союза) на уровне глав государств от 27.11.2009 г. № 17).

14.Указ Президента РФ от 06.03.1997 г. №188 «Об утверждении перечня сведений конфиденциального характера».

15.Указ Президентом РФ от 09.09.2000 г. № Пр-1895 «Доктрина информационной безопасности Российской Федерации».

16.Указом Президента РФ от 07.02.2008 г. № Пр-212 «Стратегия развития информационной безопасности в Российской Федерации».

17.Указ Президента РФ от 12.05.2009 г. № 537 «О Стратегии национальной безопасности РФ до 2020 года».

18.Указ Президента РФ от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

19.Федеральный закон от 06.10.1997 г. № 131-ФЗ «О государственной тайне».

20.Федеральный закон от 27.07.2010 г. № 227-ФЗ «Об информации, информационных технологиях и о защите информации» .

21.Федеральный закон от 08.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности».

22.Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи»

23.Федеральный закон от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне».

24.Федеральный закон от 07.07.2003 г. № 126-ФЗ «О связи»

25.Федеральный закон Российской Федерации от 28.12.2010 г. № 390-ФЗ «О безопасности».

Специальная литература

1.Автоматизация управления предприятием / В. В. Баронов, Г. Н. Калянов, Ю. Н. Попов и др. — М.: Инфра-М, 2000.

2.Автоматизированные системы управления предприятием / Под ред.

Г.А. Титоренко. — М.: Финансы и статистика, 1983.

3.Автоматизированные системы управления предприятием и объединением / Ф. Ф. Аунапу, А. С. Линков, В. И. Терещенко, А. А. Шукис / Под. ред. д. э. н. В. И. Терещенко. — Киев.: Технiка, 1978.

4.Астахов А. Н. Анализ защищенности корпоративных систем / Открытые системы. — 2002. — № 7, 8.

5.Астахова А. В. Проектирование систем информации и управления: Учебник. — Барнаул: Изд-во АлтГТУ им. И. И. Ползунова, 2011.

6.Афонин П. Н. Информационные таможенные технологии: Учебник. — СПб.: Троицкий мост, 2012.

7.Бусленко Н. П. Моделирование сложных систем. — М.: Наука, 1978.

8.Гладких А. А., Дементьев В. Е. Базовые принципы информационной безопасности вычислительных сетей: Учебное пособие. — Ульяновск: Изд-во УлГТУ, 2009.

9.Глушков В. М. Основы безбумажной информатики. — 2-е изд., испр. — М.: Наука, 1987.

10.Давыдова Л. А. Информационные системы в экономике в вопросах и ответах: Учебное пособие. — М.: ТК Велби; Проспект, 2004.

11.Денисов С. А. Управление в таможенных органах: Учебное пособие. — Барнаул: Изд-во Алтайской академии экономики и права, 2006.

12.Елиферов В. Г., Репин В. В. Бизнес-процессы. Регламентация и управление. — М.:ИНФРА-М, 2009.

13.Ермошенко М. Менеджмент: Учебное пособие / Н. Ермошенко, С. Ерохин, О. Стороженко. — К.: Национальная академия управления, 2006.

14.Зегжда Д. П., Ивашко А. М. Основы безопасности информационных систем. — М.: Горячая линия-Телеком, 2000.

15.Информационные системы в экономике: Учебник / Под ред. проф.

Г.А. Титоренко. — 2-е изд., перераб. и доп. — М.: Юнити-Дана, 2008.

16.Информационные системы и технологии в экономике и управлении: Учебник / Под ред. проф. В. В. Трофимова. — 2-е изд., перераб. и доп. — М.: Высшее образование, 2007.

17.Китова О. Б. Продукты Software AG для электронного бизнеса // Реинжиниринг бизнес-процессов предприятий на основе современных информационных технологий: Сб. научных трудов 3-й российской научно-практической конференции. — М: МЭСИ, 1999.

18.Козлов В. А. Открытые информационные системы. — М.: Финансы и статистика, 1999.

19.Козье Д. Электронная коммерция / Пер. с агл. — М.: Русская редакция, 1999.

20.Левин В. К. Защита информации в информационно-вычислительных системах и сетях // Программирование. — 1994. — № 5.

21.Липаев В. В., Филинов Е. Н. Мобильность программ и данных в открытых информационных системах. — М.: Научная книга, 1997.

22.Маклаков С. В. ВРwin и Erwin. Case-средства разработки информационных систем. — М.: ДИАЛОГ-МИФИ, 2000.

23.Малышенко Ю. В., Федоров В. В. Информационные таможенные технологии: Учебник в 2 ч. — М.: РИО РТА, 2008.

24.Мельников В. В. Защита информации в компьютерных системах. — М.: Финансы и статистика; Электроинформ, 1997.

25.Моисеева Н. К., Конышева М. В. Управление маркетингом: теория, практика, информационные технологии: Учебное пособие / Под. ред. Н. К. Моисеевой. — М.: Финансы и статистика, 2002.

26.Немирова Г. И., Рожкова Ю. В. Экономика таможенного дела: Учебное пособие. — СПб.: Троицкий мост, 2013.

27.Новая технология и организационные структуры / Под ред. Й. Пиннингса, А. Бьютандама (Сокр. пер. с анг.). — М: Экономика, 1990.

28.Одинцов А. В., Норенков Ю. И., Горин А. Д. Динамическое моделирование предприятия // Информационные технологии. — 1997. — № 2.

29.Петров В. А. Групповое производство и автоматизированное оперативное управление. — Л.: Машиностроение, 1975.

30.Предприятие: стратегия, структура, положения об отделах и службах, должностные инструкции / К. А. Волкова, И. П. Дежкина, Ф. К. Казакова, И. А. Сергеева. — М.: Экономика; Норма, 1997.

31.Рудая И. Л. Стратегическая деловая игра «Никсдорф Дельта»: Учебное пособие. — М.: Финансы и статистика, 2002.

32.Рябко Б. Я., Филонов А. Н. Криптографические методы защиты информации : Учебное пособие для вузов, 2005.

33.Саак А. Э., Пахомов Е. В., Тюшняков В. Н. Информационные технологии управления: Учебник для вузов. — СПб.: Питер, 2005.

34.Смирнова Г. Н., Сорокин А. А., Тельнов Ю. Ф. Проектирование экономических информационных систем: Учебник / Под. ред. Ю. Ф. Тельнова. — М.: Финансы и статистика, 2001.

35.Стровский Л. Е., Казанцев С. К., Паршина Е. А. и др. Внешнеэкономическая деятельность предприятия: Учебник / Под ред. проф. Л. Е. Стровского. — 4-е изд.— М.: ЮНИТИ, 2007.

36.Тельнов Ю. Ф. Влияние реинжиниринга бизнес-процессов на архитектуру корпоративной экономической информационной системы // Экономические информационные системы на пороге XXI века. — М: МЭСИ, 1999.