Основи інформатики Лекція 12
Лекція 12. Основи інформаційної безпеки.
Мета: Ознайомити студентів з основами інформаційної безпеки; розвивати пам'ять, логічне мислення, увагу; розвивати інтерес студентів до навчання.
Література
Виткуп В.В. Петренко В.В. Информатика и компьютерная техника. Учебное пособие. Киев. «Методика-информ». 2002.
Глинський Я.М. Інформатика. Посібник. Львів. 2008.
Дибкова Л.М. Інформатика та компютерна техніка. Навчальний посібник. Київ. Академвидав. Альма-Матер. 2005.
Морзе Н.В., Вембер В.П., Кузьмінський О.Г. Інформатика. Експериментальний підручник. Київ. Корбут. 2008.
Морзе Н.В., Вембер В.П., Кузьмінська О.Г. Інформатика: підруч. для 10 кл. загальноосвіт. навч. закл.: рівень стандарту. – К.: Школяр, 2010. – 304 с.
Ребрина В.А. Ривкінд Й.Я. Інформатика. Універсальний збірник. Київ. Генеза. 2008.
План
Поняття інформаційної безпеки.
Основні складові інформаційної безпеки: конфіденційність, доступність і цілісність інформації.
Класифікація загроз безпеки в комп’ютерних системах.
Методи забезпечення інформаційної безпеки
Загрози, що походять з Інтернету. Правила безпечної роботи в Інтернеті. Призначення й використання брандмауера.
Засоби браузера, призначені для гарантування безпеки.
Захищені сайти. Cookie-файли, спливаючі вікна та потенційні загрози, пов’язані з їх використанням.
Поняття небажаного та шпигунського програмного забезпечення й способи захисту від нього.
Захист від спаму.
З розвитком обчислювальних засобів і систем передачі інформації все більш актуальною стає проблема забезпечення її безпеки, запобігання несанкціонованому доступу до інформації, фізичного знищення або модифікації інформації, що захищається.
Під загрозою безпеки інформації розуміється дія або подія, яка може привести до руйнування, спотворення або несанкціонованого використання інформаційних ресурсів.
Погрози прийнято ділити на випадкові (ненавмисні) і умисні. Джерелом перших можуть бути помилки в програмному забезпеченні, виходи з ладу апаратних засобів, неправильні дії користувачів і т.п. Умисні погрози, на відміну від випадкових, переслідують мету нанесення збитку користувачам АІС (АІТ).
Умисні погрози, у свою чергу, підрозділяються на активні і пасивні. Пасивні погрози направлені на несанкціоноване використання інформаційних ресурсів, не роблячи при цьому впливу на її функціонування. Активні погрози мають на меті порушення нормального процесу функціонування за допомогою цілеспрямованої дії на апаратні, програмні і інформаційні ресурси.
До основних погроз безпеки інформації відносяться:
- розкриття конфіденційної інформації;
- компрометація інформації;
- несанкціоноване використання інформаційних ресурсів;
- помилкове використання інформаційних ресурсів;
- несанкціонований обмін інформацією;
- відмова від інформації;
- відмова в обслуговуванні.
Засобами реалізації загрози розкриття конфіденційної інформації можуть бути несанкціонований доступ до баз даних, прослуховування каналів і т.п.
Компрометація інформації, як правило, реалізується за допомогою внесення несанкціонованих змін в бази даних, внаслідок чого її користувач вимушений або відмовитися від неї, або робити додаткові зусилля для виявлення змін і відновлення дійсних відомостей.
Несанкціоноване використання інформаційних ресурсів, з одного боку, є засобом розкриття або компрометації інформації, а з іншою - має самостійне значення, оскільки, навіть не стосуючись призначеної для користувача або системної інформації, може завдати певного збитку абонентам і адміністрації.
Помилкове використання інформаційних ресурсів найчастіше є слідством помилок, наявних в програмному забезпеченні.
Несанкціонований обмін інформацією між абонентами може привести до отримання одним з них відомостей, доступ до яких йому заборонений.
Відмова від інформації полягає в невизнанні одержувачем або відправником цієї інформації фактів її отримання або відправки.
Відмова в обслуговуванні є вельми істотною і поширеною загрозою, джерелом якої є самі АІС (АІТ).
Найбільш поширеними шляхами несанкціонованого доступу до інформації є:
- перехоплення електронних випромінювань;
- примусове електромагнітне опромінювання ліній зв'язку з метою отримання паразитної модуляції тієї, що несе;
- застосування підслуховуючих пристроїв;
- дистанційне фотографування;
- перехоплення акустичних випромінювань і відновлення тексту принтера;
- розкрадання носіїв інформації і документальних відходів;
- читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів;
- копіювання носіїв інформації з подоланням заходів захисту;
- незаконне підключення до апаратури і ліній зв'язку;
- зловмисний висновок з ладу механізмів захисту;
- впровадження і використання комп'ютерних вірусів.
До основних методів захисту інформації відносяться: перешкода, управління доступом, маскування, регламентація, примушення, спонука.
Перешкода - метод того, що фізичного перегородило шляху зловмиснику до інформації, що захищається (до апаратури, носіям інформації і т.д.).
Управління доступом - метод захисту інформації шляхом регулювання використання всіх ресурсів інформаційної системи (елементів баз даних, програмних і технічних засобів). Управління доступом включає наступні функції захисту:
- ідентифікацію користувачів, персоналу і ресурсів системи;
- пізнання об'єкту або суб'єкта по пред'явленому їм ідентифікатору;
- перевірку повноважень (перевірка відповідності дня тижня, часу доби, запрошуваних ресурсів і процедур встановленому регламенту);
- дозвіл і створення умов роботи в межах встановленого регламенту;
- реєстрацію звернень до ресурсів, що захищаються;
- реагування (сигналізація, відключення, затримка робіт, відмова в запиті) при спробах несанкціонованих дій.
Маскування - метод захисту інформації шляхом її криптографічного закриття.
Регламентація - метод захисту інформації, що створює такі умови автоматизованої обробки, зберігання і передачі інформації, що захищається, при яких можливості несанкціонованого доступу до неї зводилися б до мінімуму.
Примушення - такий метод захисту, при якому користувачі і персонал системи вимушені дотримувати правила обробки, передачі і використання інформації, що захищається, під загрозою матеріальної, адміністративної або кримінальної відповідальності.
Спонука - такий метод захисту, який спонукає користувача і персонал системи не порушувати встановлені порядки за рахунок дотримання моральних і етичних норм, що склалися.
До основних засобів захисту відносяться:
- технічні засоби, що реалізовуються у вигляді електричних, електромеханічних і електронних пристроїв. Всю сукупність технічних засобів прийнято ділити на апаратні і фізичні. Під апаратними засобами розуміють пристрої, що вбудовуються безпосередньо в обчислювальну техніку або пристрої, які сполучаються з подібною апаратурою по стандартному інтерфейсу. До фізичних засобів відносяться автономні пристрої і системи (замки на дверях, де розміщена апаратура, грати на вікнах, електронно-механічне устаткування охоронної сигналізації і ін.);
- програмні засоби, спеціально призначені для виконання функцій захисту інформації;
- організаційні засоби захисту (організаційно-технічні і організаційно-правові заходи, здійснювані в процесі створення і експлуатації обчислювальної техніки, апаратура телекомунікацій для забезпечення захисту інформації);
- морально-етичні засоби захисту реалізуються у вигляді всіляких норм, які склалися традиційно або складаються у міру розповсюдження обчислювальної техніки і засобів зв'язку в суспільстві (прикладом таких норм є Кодекс професійної поведінки членів Асоціацій користувачів ЕОМ США);
- законодавчі засоби захисту, визначувані законодавчими актами країни, якими регламентуються правила користування, обробки і передачі інформації обмеженого доступу і встановлюються заходи відповідальності за порушення цих правил.
Для реалізації заходів безпеки використовуються різні механізми криптографії, тобто науки про забезпечення секретності і достовірності передаваних повідомлень.
Суть криптографічних методів полягає в тому, що для запобігання несанкціонованому доступу до якого-небудь повідомлення воно зашифровується. Коли санкціонований користувач одержує це повідомлення, він дешифрує або розкриває його за допомогою зворотного перетворення криптограми.
Криптографічна система грунтується на використанні спеціального алгоритму, який запускається унікальним числом, званим шифруючим ключем. Для обміну зашифрованими повідомленнями, як відправнику, так і одержувачу необхідно знати правильну ключову установку і зберігати її в таємниці. Шифрування може бути симетричним і асиметричним: перше грунтується на використанні одного і того ж секретного ключа для шифрування і дешифровки, друге характеризується тим, що для шифрування використовується один ключ, що є загальнодоступним, а для дешифровки - інший, що є секретним.
Разом з шифруванням використовуються і інші механізми безпеки:
- цифровий (електронна) підпис;
- контроль доступу;
- забезпечення цілісності даних;
- забезпечення аутентифікації;
- управління маршрутизацією;
- арбітраж або огляд.
Механізми цифрового підпису грунтуються на алгоритмах ассиметрічного шифрування і включають дві процедури: формування підпису відправником і її опознованіє (верифікацію) одержувачем.
Механізми контролю доступу здійснюють перевірку повноважень об'єктів АІТ (програм і користувачів) на доступ до ресурсів мережі.
Механізми забезпечення цілісності даних реалізуються виконанням взаємозв'язаних процедур шифрування і дешифровки відправником і одержувачем. Відправник доповнює передаваний блок криптографічною сумою, а одержувач порівнює її з криптографічним значенням, відповідним прийнятому блоку. Неспівпадання свідчить про спотворення інформації в блоці.
Механізми управління маршрутизацією забезпечують вибір маршрутів руху інформації по комунікаційній мережі так, щоб виключити передачу секретних відомостей по фізично ненадійних каналах.
Механізми арбітражу забезпечують підтвердження характеристик даних, передаваних між об'єктами АІТ, третьою стороною (арбітром).