logo
Уч_пособие ИТ управления

7.2 Средства и механизмы обеспечения безопасности информации

Средства защиты информации делятся на формальные и неформальные. Формальные средства защиты выполняют защитные функции по заранее предусмотренной процедуре без непосредственного участия человека. К ним относятся технические средства, представленные электрическими, электромеханическими и электронными устройствами, среди которых выделяют аппаратные, встраиваемые непосредственно в вычислительную технику или сопряженные с подобной аппаратурой по стандартному интерфейсу устройства и физические, представленные автономными устройствами и системами, создающими физические препятствия для злоумышленников (сигнализация, решетки и др.). Программные средства представлены программным обеспечением, предназначенным для выполнения функций защиты информации.

К неформальным средствам защиты относятся организационные, морально-этические и законодательные. Организационные средства включают организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации в информационных технологиях. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство и оборудование помещений экономического объекта, проектирование информационной технологии, монтаж и наладка оборудования, испытания, эксплуатация и т. д.).

Морально-этические средства реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет к утечке информации и нарушению секретности.

Законодательные средства определяются законодательными актами страны, в которых регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушения этих правил.

Для реализации средств безопасности в информационных технологиях от несанкционированных воздействий, оказываемых на вычислительную технику и каналы связи (прочтение информации в сетевых пакетах, изменение содержания полей данных в сетевых пакетах, подмена отправителя/получателя), наибольшее распространение получили криптографические средства защиты.

Механизм криптографической защиты на сетевом уровне корпоративной вычислительной сети строится на сертифицированных ФАПСИ (Федеральное агентство правительственной связи и информации) - аппаратно-программных комплексах, которые обеспечивают защиту информации. Задача криптографии в преобразовании некоторого понятного исходного текста в кажущуюся случайной последовательность знаков – криптограмму [13].

Сущность криптографии заключается в том, что готовое к передаче сообщение (данные, речь или графическое сообщение того или иного документа) обычно называемое открытым, исходным или незащищенным текстом или сообщением для предотвращения к нему несанкционированного доступа зашифровывается, преобразуясь в шифротекст или закрытый текст. При получении сообщения санкционированным пользователем оно дешифруется или раскрывается им посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст.

Метод преобразования в криптографической системе определяется используемым специальным алгоритмом. Работа такого алгоритма определяется уникальным числом или битовой последовательностью, обычно называемой шифрующим ключом.

Каждый используемый ключ может производить различные шифрованные сообщения, определяемые только этим ключом. Для большинства систем закрытия схема генератора ключа может представлять собой либо набор инструкций, команд, либо часть или узел аппаратуры (hardware), либо компьютерную программу (software), либо все эти модули одновременно. В любом случае процесс шифрования/дешифрования единственным образом определяется выбранным специальным ключом. Для успешного обмена зашифрованными сообщениями в информационных технологиях отправителю и получателю необходимо знать правильную ключевую установку и хранить ее в тайне. Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа.

Тем не менее, этот ключ должен быть известен другим пользователям сети так, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом случае криптографические системы также помогают решить проблему аутентификации принятой информации, т. к. подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом. В то же время истинный получатель, приняв сообщение, закрытое известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.

Наряду с шифрованием в информационных технологиях используются и другие механизмы безопасности. Механизм цифровой (электронной) подписи. Основывается на алгоритмах ассиметричного шифрования и включает две процедуры: формирование подписи отправителем и ее опознание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных или его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знание которого достаточно для опознавания отправителя. Ассиметричное шифрование заключается в создании общедоступного ключа для шифрования и секретного для дешифрования.

Симметричное шифрование основывается на применении одного и того же секретного ключа для шифрования и дешифрования.

Механизмы контроля доступа осуществляют проверку полномочий объектов информационной технологии (программ и пользователей) на доступ к ресурсам сети. В основе контроля доступа к данным лежит система разграничения доступа специалистов информационной технологии к защищаемой информации.

Система регистрации и учета. В регистрационном журнале фиксируются все осуществленные или неосуществленные попытки доступа к данным или программам. Система регистрации и учета, ответственная за ведение регистрационного журнала, позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. Содержание регистрационного журнала может анализироваться как периодически, так и непрерывно.

Механизмы аутентификации. Аутентификация бывает односторонней и взаимной. При использовании односторонней аутентификации в ИТ один из взаимодействующих объектов проверяет подлинность другого. Во втором случае проверка является взаимной. Аутентификация - процедура проверки правильности введенной пользователем регистрационной информации для входа в систему.

Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным), физически ненадежным каналам.

Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами информационных технологий, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.

Основным способом защиты от доступа к конфиденциальным остаточным данным является своевременное уничтожение данных после окончания работы в рабочих областях оперативной и внешней памяти, выделенных пользователю и в местах положения файлов после выдачи запросов на их удаление. Уничтожение остаточных данных может быть осуществлено средствами операционных сред или с помощью специализированных программ.

Одним из основных компонентов системы защиты информации и процесса ее обработки в вычислительных системах является подсистема защиты от компьютерных вирусов.