- •Учебное пособие (электронный конспект лекций) шишов о.В. Информационная безопасность
- •1. Информация как объект защиты. Необходимость и направления защиты
- •Свойства информации и требования к ее защите
- •Виды и формы представления информации. Машинное представление информации
- •Системы защиты информации. Общие направления обеспечения безопасности информации.
- •Информационная собственность. Правовая защита
- •Организационная защита
- •Инженерно техническая защита
- •2. Угрозы безопасности информации
- •2.1. Классификация угроз безопасности информации
- •2.2. Случайные и преднамеренные угрозы безопасности информации
- •2.3. Модель нарушителя безопасности информации и методы сбора информации для проникновения в ис
- •2.4. Способы и цели несанкционированного доступа к информации
- •2.5. Способы несанкционированного доступа к информации через технические средства
- •2.6. Угрозы на централизованный информационно-вычислительный комплекс
- •2.7. Атаки на субд
- •2.7. Атаки на уровне ос
- •2.8. Атаки на уровне сети
- •3. Современные методы защиты информации
- •3.1.Ограничение доступа.
- •3.2. Разграничение доступа.
- •3.3. Контроль доступа к аппаратуре
- •3.4. Разделение привилегий на доступ к информации
- •3.5. Криптографическое преобразование информации
- •4. Идентификация и установление подлинности объекта (субъекта)
- •4.1. Идентификация и установление подлинности личности.
- •4.2. Выбор носителей кодов паролей
- •4.3. Идентификация и установление подлинности документов
- •4.5. Идентификация и установление подлинности информации на средствах ее отображения и печати
- •5. Проектирование систем защиты информации
- •5.1. Основные принципы проектирования защиты
- •5.2. Порядок проектирования защиты
- •6. Компьютерные вирусы и антивирусные программы
- •6.1. Определение и классификация компьютерных вирусов
- •6.2. Защита от компьютерных вирусов
3. Современные методы защиты информации
Возвращаясь к истории вопроса, напомним, что при наличии простых средств хранения и передачи информации существовали и не утратили своего значения до настоящего времени следующие методы ее защиты от преднамеренного доступа:
• ограничение доступа;
• разграничение доступа;
• разделение доступа (привилегий);
• криптографическое преобразование информации;
• контроль, обнаружение и регистрация доступа;
• законодательные меры.
Указанные методы осуществлялись чисто организационно или с помощью технических средств.
С появлением автоматизированной обработки информации изменился и дополнился новыми видами физический носитель информации и усложнились технические средства ее обработки.
С усложнением обработки, увеличением количества технических средств, участвующих в ней, умножаются количество и виды случайных воздействий, а также возможные каналы несанкционированного доступа. С возрастанием объемов, сосредоточением информации, увеличением количества пользователей и другими указанными выше причинами увеличивается вероятность преднамеренного несанкционированного доступа к информации. В связи с этим развиваются старые и возникают новые дополнительные методы защиты информации в вычислительных системах:
• методы функционального контроля, обеспечивающие обнаружение и диагностику отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;
• методы повышения достоверности информации;
• методы защиты информации от аварийных ситуаций;
• методы контроля доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;
• методы разграничения и контроля доступа к информации;
• методы идентификации и аутентификации пользователей, технических средств, носителей информации и документов;
• методы защиты от побочного излучения и наводок информации. Рассмотрим каждый из методов подробнее и оценим его возможности в плане дальнейшего использования при проектировании конкретных средств защиты информации в автоматизированных системах.
3.1.Ограничение доступа.
Ограничение доступа заключается в создании некоторой физической замкнутой преграды вокруг объекта защиты с организацией контролируемого доступа лиц, связанных с объектом обработки и защиты по своим функциональным обязанностям.
Ограничение доступа к автоматизированной системе обработки информации заключается:
• в выделении специальной территории для размещения ИС;
• в сооружении по периметру зоны специальных ограждений с охранной сигнализацией;
• в сооружении специальных зданий или других построек;
• в выделении специальных помещений в здании;
• в создании контрольно-пропускного режима на территории, в зданиях
и помещениях.
Задача средств ограничения доступа - исключить случайный и преднамеренный доступ посторонних лиц на территорию размещения ИС и непосредственно к аппаратуре. В указанных целях создается защитный контур, замыкаемый двумя видами преград: физической и контрольно-пропускной. Такие преграды часто называют системой охранной сигнализации и системой контроля доступа.
Традиционные средства контроля доступа в защищаемую зону: изготовление и выдача допущенным лицам специальных пропусков с фотографией владельца и сведений о нем. Данные пропуска могут храниться у владельца или непосредственно в пропускной кабине охраны. В последнем случае допущенное лицо называет фамилию и свой номер либо набирает его на специальной панели кабины при проходе через турникет; пропускное удостоверение выпадает из ячейки и поступает в руки работника охраны, который визуально сверяет личность владельца с изображением на фотографии, названную фамилию с фамилией на пропуске. Эффективность защиты данной системы выше первой. При этом исключается: потеря пропуска, его перехват и подделка. Кроме того, есть резерв в повышении эффективности защиты с помощью увеличения количества проверяемых параметров. Однако основная нагрузка по контролю при этом ложится на человека, а он, как известно, может ошибаться.
В зарубежной литературе имеются сообщения о применении биометрических методов аутентификации человека, когда в качестве идентификаторов используются отпечатки пальцев, ладони, голоса, личной подписи. Однако перечисленные методы пока не получили широкого распространения и вряд ли получат.
Совершенствование контрольно-пропускной системы в настоящее время ведется также в направлении улучшения конструкции пропуска-удостоверения личности путем записи кодовых значений паролей и других данных, размещаемых на носителе типа смарт-карты. Подробнее эти вопросы рассмотрены ниже.
Физическая преграда защитного контура, размещаемая по периметру охраняемой зоны, снабжается охранной сигнализацией.
В настоящее время ряд предприятий выпускает электронные системы для защиты государственных и частных объектов от проникновения посторонних лиц. Гарантировать эффективность системы охранной сигнализации можно только в том случае, если обеспечена надежность всех ее составных элементов и их согласованное функционирование. При этом имеют значение тип датчика, способ оповещения или контроля, помехоустойчивость, а также реакция на сигнал тревоги. Местная звуковая или световая сигнализация может оказаться недостаточной, поэтому данные устройства охраны целесообразно подключить к специализированным средствам централизованного управления, которые при получении сигнала тревоги высылают специальную группу быстрого реагирования.
Следить за состоянием датчиков может автоматическая система, расположенная в центре управления, или сотрудник охраны, который находится на объекте и при световом или звуковом сигнале принимает соответствующие меры. В первом случае местные охранные устройства подключаются к центру через телефонные линии, а специализированное цифровое устройство осуществляет периодический опрос состояния датчиков, автоматически набирая номер приемоответчика, расположенного на охраняемом объекте. При поступлении в центр сигнала тревоги автоматическая система включает сигнал оповещения.
Датчики сигналов устанавливаются на различного рода ограждениях, внутри помещений, непосредственно на сейфах и т.д.
При разработке комплексной системы охраны конкретного объекта с целью исключения возможности обхода создаваемой преграды учитывают его специфику: внутреннюю планировку здания, окон, входной двери, размещение наиболее важных технических средств.
Все эти факторы влияют на выбор типа датчиков, их положение и определяют ряд других особенностей данной системы. По принципу действия системы тревожной сигнализации можно классифицировать следующим образом:
• традиционные (обычные), основанные на использовании цепей сигна-лизации и индикации в комплексе с различными контактными датчиками;
• ультразвуковые;
• системы прерывания луча;
• телевизионные;
• радиолокационные;
• микроволновые;
• прочие.
Создание на территории некоторой замкнутой зоны с установкой преграды по периметру является очень старой проблемой, и по этому вопросу имеется много отечественной и зарубежной литературы. Анализ принципов построения и параметров данных систем, а также принятая выше концепция построения системы защиты позволяют сформулировать следующие требования к таким системам:
• максимальная полнота охвата контролируемой зоны;
• минимальная вероятность необнаруживаемого обхода преграды нарушителем;
• достаточные избирательность и чувствительность к присутствию, перемещению и другим действиям нарушителя;
• возможность исключения «мертвых» зон и простота размещения датчиков обнаружения;
• устойчивость к естественным случайным помехам;
• удовлетворительное время обнаружения нарушителя;
• достаточно быстрая и точная диагностика места нарушения;
• простота и надежность конструкции;
• возможность централизованного контроля событий;
• приемлемая стоимость.
Выполнение одной системой всех указанных требований является задачей непростой.