Информационные таможенные технологии / 14. Методы и средства защиты. Криптографическая защита данных и электронная цифровая подпись

Тема 14: Методы и средства защиты

1. Методы и средства обеспечения безопасности информации:

Методы

Препятствия

Управление доступом

Маскировка

Регламентация

Принуждение

Побуждение

Средства

Физические	Аппаратные	Программные	Организационные		Законодательные	Морально-этические
Технические
Формальные				Неформальные

Препятствия – физические преграды на пути злоумышленника к защищаемой информации.

Управление доступом – регулирование использования ресурсов, составляющих вычислительных сетей. Управление доступом включает следующие функции защиты:

1. Идентификация пользователя.

2. Опознание, т.е. установление подлинности по предъявленному идентификатору.

3. Проверка полномочий.

4. Разрешение на обеспечение условий работы в рамках установленного регламента.

5. Регистрация – протоколирование обращений к защищаемым ресурсам (сигнализация, блокирование и т.д.)

Маскировка – криптографическая защита, которая является наиболее надежным способом защиты информации.

Регламентация – мероприятия, обеспечивающие невозможность несанкционированного доступа к обрабатываемой информации.

Принуждение – соблюдение правил обработки, передачи и использования информации при материальной и уголовной ответственности.

Побуждение – мероприятия, направленные на необходимость соблюдения пользователем установленных правил.

К средствам защиты относятся:

Технические – реализуются в виде механических, электромеханических и электронных. Их подразделяют на физические и аппаратные.

Физические средства реализуются в виде автономных устройств и систем, например наружные системы охраны.

Аппаратные средства – техника и устройства сопрягаемые с вычислительной техникой по стандартному интерфейсу.

Программные – специальное программное обеспечение, защищающее информацию. К нему относится шифрование, цифровая подпись, управление маршрутизацией, программа архивирования и так далее.

Организационные – мероприятия, проводимые в процессе разработки и эксплуатации оборудования вычислительных сетей.

Законодательные – средства защиты, устанавливающие меры ответственности за нарушения определенных правил.

Морально-этические – необязательные и незаконодательные меры, выполнение которых ведет к повышению авторитета человека их соблюдающего.

К важным методам защиты относится также аудит, который представляет собой запись определенных событий в журнале безопасности сервера. Этот процесс контролирует все действия пользователя в сети и выступает как часть ее защиты. При этом фиксируются:

1. Попытки входа в сеть или подключение к отдельным видам информационных ресурсов.

2. Разрыв соединений.

3. Открытие/закрытие файлов и их модификация.

4. Изменение паролей и параметров регистрации и т.д.

Компьютерный вирус – специально написанная, небольшая по размерам программа, которая встраивается в другую программу или документ и заставляет ЭВМ выполнять несанкционированные действия, например, изменять файлы, перегружать оперативную память, искажать таблицы и т.д.

Основными типами компьютерных вирусов являются программные, загрузочные и макровирусы.

Программные вирусы – блоки программного кода, умышленно внедренные в состав прикладных программ, при запуске которых активизируется имплантируемый в них код, который приводит к многократному размножению вирусного кода.

Загрузочные вирусы – они в отличие от программных вирусов поражают системные области носимой памяти или жестких дисков.

Макровирусы – разновидность вирусов, поражающих документы, выполненные в прикладных программах, использующих макрокоманды (например, расширение .doc).

Самым простым и основным методом защиты от вирусов является архивирование документов.

Для информационной безопасности государства создана специальная структура федеральных органов, которую возглавляет совет безопасности Российской Федерации и межведомственная комиссия по информационной безопасности.

Ведомственная система обеспечения безопасности таможенных органов имеет следующую структуру:

1. Руководитель ФТС.

2. Совет по информационной безопасности таможенных органов.

3. Структурные подразделения центрального аппарата ФТС.

4. Региональные таможенные управления радиоэлектронной безопасности объектов таможенной инфраструктуры.

5. ГНИВЦ.

6. Советы информационной безопасности РТУ.

7. Постоянно действующие комиссии по защите государственной тайны.

8. Структурные подразделения, участвующие в обеспечении информационной безопасности.

Важнейшей частью государственной системы обеспечения информационной безопасности является Федеральная служба по техническому и экспортному контролю ФСБ России (ФСТЭК).