7.3. Методы и средства защиты информации в информационных системах
Методы и средства защиты информации в автоматизированных информационных системах представлены на рис. 7.4.
Рис. 7.4. Методы и средства защиты информации
Рассмотрим основное содержание методов защиты информации в автоматизированной системе.
145
Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.).
Управление доступом - регулирование использования ресурсов ЭИС потребителями и обслуживающим персоналом. При этом реализуются следующие функции:
идентификация пользователей, персонала и ресурсов системы (присвоение уникального кода-идентификатора каждому объекту);
установление подлинности (аутентификация) объекта по предъявленному им идентификатору (например, предъявление паролей);
проверка полномочий (проверка соответствия дня недели, запрашиваемых ресурсов и процедур установленному регламенту);
разрешение и создание условий работы в пределах установленного регламента;
регистрация (протоколирование) обращений к защищаемым ресурсам;
реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Маскировка - метод защиты информации путем ее криптографического закрытия. Защищаемые данные преобразуются в зашифрованную форму, не позволяющую постороннему лицу раскрыть содержание исходных данных. Для этого используются специальные алгоритмы преобразования цифровых кодов исходного сообщения в коды криптограммы, реализуемые программным, аппаратным или программно-аппаратным способом. Санкционированный пользователь может выполнить обратное преобразование криптограммы, получив исходные данные в их первоначальном виде. Шифрование и расшифровка сообщения выполняется на основе уникального числа, называемого ключом. Метод криптографического закрытия широко используется при хранении информации и при ее передаче по каналам связи и передачи данных.
Регламентация - создание таких условий для обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводятся к минимуму.
Принуждение - создание условий, при которых пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования
146
защищаемой информации (угроза материальной, административной или .уголовной ответственности).
Побуждение - создание условий, побуждающих пользователей и персонал системы не нарушать установленные порядки (традиции организации, моральные и этические нормы).
Рассмотрим возможные средства защиты в автоматизированной информационной системе.
Физическими средствами защиты называются механические, электронно-механические или электромеханические устройства и сооружения, специально предназначенные для создания физических препятствий на пути к защищаемой информации (замки на дверях, решетки на окнах, оборудование контрольно-пропускных пунктов, системы охранной сигнализации и т. п.).
Аппаратными средствами защиты являются различные электронные устройства, которые включаются в состав технического обеспечения системы и выполняют (самостоятельно или в комплексе с другими средствами) некоторые функции защиты. К настоящему времени в зарубежных системах применяется значительное число различных аппаратных средств практически во всех структурных элементах автоматизированных систем: терминалах, устройствах группового ввода-вывода данных, центральных процессорах, внешней памяти, периферийном оборудовании.
Программными средствами защиты называются специальные программы, входящие в состав программного обеспечения системы, которые способны осуществлять функции защиты. Программные средства ввиду их универсальности, сравнительной простоты реализации и гибкости являются важнейшей и непременной частью механизма защиты современных автоматизированных систем. Программы защиты принято делить на группы в соответствии с выполняемыми ими функциями:
программы идентификации, опознания (терминала, пользователя);
программы регулирования работы (технических средств, пользователей, задач, элементов баз: данных);
программы разграничения доступа (к задачам, программам, элементам баз данных);
программы криптографического закрытия информации;
147
программы защиты программ (ОС, СУБД, программ пользователей);
вспомогательные программы уничтожения остаточной информации, форматирования грифа секретности выдаваемых документов, ведения регистрационных журналов, имитации работы с нарушителем (для отвлечения его внимания), тестового контроля механизма защиты и др.
В настоящее время все более широко применяется такое программное средство защиты информации, как электронная (цифровая) подпись. Механизм электронной подписи основан на криптографических алгоритмах шифрования и включает две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура формирует двоичную последовательность (число) на основе содержания сообщения и секретного ключа, известного только отправителю. Это число передастся по сети вместе с сообщением и расшифровывается получателем с помощью другого ключа, известного всем пользователям данного уровня конфиденциальности. Электронная подпись особенно важна для защиты юридической значимости электронных документов (передаваемых по сети приказов, платежных поручений, контрактов и других финансовых, договорных, распорядительных документов). Особенность таких электронных документов заключается в том, что в случае возникновения споров (в том числе и судебных) должна быть обеспечена возможность доказательства истинности того факта, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе.
Организационными средствами защиты называются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации системы. Эти мероприятия должны проводиться на всех стадиях жизненного цикла ЭИС и охватывать все компоненты системы (помещения, технические и программные средства и т.п.).
К законодательным средствам защиты относятся законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. В России в настоящее время разработан ряд законов, имеющих отношение к информационной безопасности вообще и защите автоматизированных информационных систем в частности: «О государственной
тайне», «О федеральных органах правительственной связи и информации», «Об участии в международном информационном обмене», «Об авторском праве и смежных правах», «О правовой охране программ для ЭВМ и баз данных», «Об информации, информатизации и защите информации», «Об электронной цифровой подписи», «О коммерческой тайне» (в проекте).
К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или организации. Наиболее показательным примером таких корм является Кодекс профессионального поведения членов американской Ассоциации пользователей ЭВМ.
Все рассмотренные средства защиты делятся на формальные и неформальные. Формальными считаются такие средства, которые выполняют свои защитные функции строго формально, т.е. по заранее предусмотренной процедуре и без непосредственного участия человека. К неформальным средствам отнесены такие, которые либо определяются целенаправленной деятельностью людей, либо регламентируют (непосредственно или косвенно) эту деятельность.
- Глава 1, Основные сведения об информационных технологиях обработки экономической информации 7
- Глава 2 Основные сведения об автоматизированных информационных системах………….38
- Глава 3. Информационное обеспечение автоматизированных систем ...59
- Глава 4. Программное обеспечение автоматизированных систем 76
- Основные понятия 76
- Глава 5. Проектирование автоматизированных информационных систем 93
- Глава 6. Основные сведения о компьютерных сетях
- Основные понятия 116
- Глава 7. Основы защиты информации в автоматизированных системах 137
- Основные понятия 137
- Введение
- Глава 1
- Основные сведения
- Об информационных технологиях
- Обработки экономической информации
- 1.1. Экономическая информация как часть информационного ресурса общества
- 1.2. Информация и информационные процессы в организационно-экономической сфере
- 1.3. Информационные технологии обработки экономической информации
- 1.3.1. Информационная технология обработки данных
- 1.3.2. Информационные технологии автоматизированного офиса
- 1.3.3. Информационные технологии управления
- 1.3.4. Информационные технологии поддержки принятия решений
- 1.3.5. Информационные технологии экспертных систем
- 1.3.6. Нейросетевые технологии
- 1.4. Государственная политика в области информатизации
- Глава 2
- 2.1. Понятие автоматизированной информационной системы
- 2.2. Классификация экономических автоматизированных информационных систем
- 2.3. Структура автоматизированной информационной системы
- 2.3.1 Функциональная часть автоматизированной информационной системы
- 2.3.2. Обеспечивающая часть аис
- 2.4. Свойства и характеристики аис
- Вопросы для самоконтроля
- Глава 3 информационное обеспечение автоматизированных систем
- 3.1. Основные понятия
- 3.2. Документы в автоматизированной системе
- 3.3. Классификация и кодирование
- 3.4. Внутримашинное информационное обеспечение
- 3.4.1. Понятие базы данных
- 3.4.2. Базы данных и файловые системы
- 3.5. Проектирование и эксплуатация баз данных
- Вопросы для самоконтроля
- Глава 4 программное обеспечение автоматизированных систем
- 4.1. Основные понятия
- 4.2. Виды программного обеспечения автоматизированной системы
- 4.2.1. Системное общее программное обеспечение
- 4.2.2. Сервисное общее программное обеспечение
- 4.2.3. Прикладное общее программное обеспечение
- Пакеты прикладных программ
- Прикладные программы офисного применения
- 4.2.4. Инструментальное общее программное обеспечение
- 4.2.5. Специальное программное обеспечение автоматизированных систем
- Вопросы для самоконтроля
- Глава 5
- 5.1. Современные подходы к автоматизации управления в организационно-экономических системах
- 5.1.1. Кусочная автоматизация
- 5.1.2. Автоматизация по участкам
- 5,1.3. Автоматизация по направлениям
- 5.1.4. Полная автоматизация управления организацией
- 5.1.5. Подходы к проектированию автоматизированных информационных систем
- 5.2. Стандартизация деятельности, связанной с разработкой автоматизированных информационных систем
- 5.3. Жизненный цикл автоматизированной информационной системы
- 5.3.1. Понятие и модели жизненного цикла аис
- 5.3.2. Представление процесса разработки в екс ас
- 5.4. Некоторые вопросы проведения автоматизации в организации
- 5.4.1. Управление процессом автоматизации
- 5.4.2. Стратегия автоматизации
- 5.4.3. Реорганизация деятельности организационной системы
- 5.5. Роль пользователей в процессе разработки автоматизированной информационной системы
- Вопросы для самоконтроля
- 6.5. Эталонная модель взаимодействия открытых систем
- Основные функции уровней модели osi
- Глава 7 основы защиты информации в автоматизированных системах
- 7.1. Основные понятия
- 7.2. Угрозы безопасности информации в эис
- 7.2.1. Случайные угрозы
- 7.2.2. Преднамеренные угрозы
- 7.2.3. Последствия реализации угроз, специфические для эис
- 7.3. Методы и средства защиты информации в информационных системах
- 7.4. Комплексный подход к защите информации в автоматизированных системах
- Вопросы для самоконтроля
- Примеры современных программных средств в экономической сфере Система «1с: Предприятие»
- Система «Галактика»
- Литература