Защита інформацією комп'ютерних системах

Защита інформацією комп’ютерних системах

Зенковский А.К.

Защита інформацією комп’ютерних системах — складові успіху. Прогрес подарував людству безліч досягнень, але вона ж прогрес породив й безліч проблем. Людський розум, дозволяючи одні проблеми, неодмінно зіштовхується цьому з іншими, новими, і цей процес приречений на нескінченність у своїй послідовності. Хоча, якщо вже зовсім точним, нові проблеми — це лише оновлена форма старих. Вічна проблема — захист інформації. На різних етапах свого розвитку людство вирішувало цю проблему властивою для даної епохи характерністю. Винахід комп’ютера та подальше бурхливий розвиток інформаційних у другої половини 20 століття зробили проблему захисту інформації настільки актуальною завжди і гострої, наскільки актуальна сьогодні інформатизація для суспільства. Головна тенденція, характеризує розвиток сучасних інформаційних технологій — зростання кількості комп’ютерних злочинів і що з ними розкрадань конфіденційною і інший інформації, і навіть матеріальних втрат. За результатами одного дослідження, присвяченого питанням комп’ютерних злочинів, близько 58% опитаних постраждали від комп’ютерних зломів протягом останніх 12 місяців. Приблизно 18% опитаних з цієї кількості заявляють, що втратили більше мільйони доларів на ході нападів, більш 66 відсотків зазнали збитків розмірі 50 тис. доларів. Понад 22% атак були націлені на промислові секрети чи документи, що привабливі колись всього для конкурентів. Сьогодні, напевно, не зможе впевнено назвати точну цифру сумарних збитків комп’ютерних злочинів, що з несанкціонованих доступом до інформації. Це, передусім, небажанням постраждалих компаній оприлюднити інформацію про свої збитки, а також тим, що не втрати від розкрадання інформації не складно оцінити в грошовому еквіваленті. Проте за даними, опублікованим у мережі Internet, загальні втрати від несанкціонованого доступу до інформацією комп’ютерних системах в 1997 року було оцінено в $ 20 мільйонів, а в 1998 року у 53,6 мільйонів. Причин активізації комп’ютерних злочинів і що з ними фінансових втрат досить багато, суттєвими є: перехід від традиційної «паперової «технології збереження і передачі відомостей на електронну недостатню у своїй розвиток технології захисту в таких технологіях; об'єднання обчислювальних систем, створення глобальних мереж і розширення доступу до інформаційних ресурсів; збільшення складності програмних засобів пов’язана з цим зменшення кількості їх надійності і збільшенням уязвимостей. Будь-яке сучасне підприємство незалежно від виду роботи і форми власності неспроможна успішно розвиватись агресивно та вести господарську діяльність з метою створення ньому умов надійного функціонування системи захисту власної інформації. Відсутність в багатьох керівників підприємств та акцій компаній чіткого подання з питань захисту інформації призводить до того, що їм важко повною мірою оцінити необхідність створення надійної системи захисту своєму підприємстві тим паче складно буває визначити конкретні дії, необхідних захисту розв’язання тих чи інших конфіденційних відомостей. У випадку керівники підприємств точаться суперечки з шляху створення охоронних служб, повністю ігноруючи у своїй питання інформаційну безпеку. Негативну роль у своїй грають В. Гвоздицький і деякі засоби інформації, публікуючи «панічні «статті про станом справ захисту інформації, формують у читачів уявлення про неможливості у сучасних умовах забезпечити необхідний рівень захисту інформації. Можна з упевненістю стверджувати, створення ефективну систему захисту нині цілком реально. Надійність захисту, колись всього, визначатиметься повнотою вирішення цілої комплексу завдань, промову про яких продовжено дальше.

Информация як об'єкт захисту Побудова надійний захист включає оцінку що циркулювала у комп’ютерної системі інформації із метою уточнення ступеня її конфіденційності, аналізу потенційних загроз безпечності встановлення необхідного режиму її защиты.

Федеральным законом «Про інформацію, інформатизації і захист інформації «визначено, що інформаційні ресурси, тобто. окремі документи чи масиви документів, зокрема та інформаційних системах, будучи об'єктом відносин фізичних, юридичних осіб і держави, підлягають обов’язковому обліку і захисту, як і будь-яке матеріальне майно власника. У цьому власнику надається право самостійно не більше своєї компетенції встановлювати режим захисту інформаційних ресурсів немає і доступу до ним.

Закон також встановлює, що «конфіденційної інформацією вважається така документована інформація, доступом до якої обмежується відповідно до законодавством Російської Федерації «. У цьому федеральний закон може містити пряму норму, за якою будь-які дані ставляться до категорії конфіденційних чи доступу до них обмежується. Так, Федеральний закон «Про інформацію, інформатизації і захист інформації «безпосередньо відносить до категорії конфіденційної комп’ютерної інформації персональні дані (інформацію про громадян). Закон РРФСР «Про банки та надійної банківської діяльність у РРФСР «обмежує доступом до даними за операціями, банківських рахунках і вкладах клієнтів — і кореспондентів банків (стаття 25).

Однако не всім даними, що становить конфіденційну інформацію, застосовна пряма норма. Іноді законодавчо визначаються лише ознаки, яким повинні задовольняти ці дані. Це, зокрема належить до службової і комерційну таємницю, ознаки яких визначаються Цивільним кодексом РФ (стаття 139): відповідна інформація невідома третіх осіб; до неї вільного доступу на законних підставах; заходи її конфіденційності приймає власник информации.

В час відсутня будь-яка універсальна методика, що дозволяє чітко співвідносити той чи інший інформацію до категорії комерційної таємниці. Можна лише порадити виходити із принципу за економічну вигоду та безпеки підприємства — надмірна «засекреченість «призводить до необґрунтованого подорожчання необхідних заходів для захисту інформації та не сприяє розвитку бізнесу, як широка відкритість можуть призвести до великим фінансовим втрат чи розголошенню таємниці. Законопроектом «Про комерційну таємницю «права по віднесенню інформації до категорії комерційної таємниці представлені керівнику юридичного лица.

Федеральный закон «Про інформацію, інформатизації і захист інформації «, визначаючи норми, відповідно до яких відомості ставляться до категорії конфіденційних, встановлює і цілі захисту: запобігання витоку, розкрадання, спотворення, підробки інформації; запобігання несанкціонованих дій зі знищення, спотворення, блокування інформації; збереження державної таємниці, конфіденційності документованої информации.

Определившись у необхідності захисту, безпосередньо приступають до системи захисту информации.

Организация захисту Окремий розділ законопроекту «Про комерційної таємниці «, присвячений організації захисту комерційної інформації, визначає необхідний комплекс заходів із її захисту: встановлення особливого режиму конфіденційності; обмеження доступу до конфіденційної комп’ютерної інформації; використання організаційних заходів і технічних засобів захисту; здійснення контроль над дотриманням встановленого режиму конфиденциальности.

Конкретное зміст зазначених заходів кожному за окремо взятої підприємства може бути різним який масштабами та формам. Це насамперед від виробничих, фінансових та інших можливостей підприємства, від обсягу конфіденційної інформації та ступеня її значимості. Істотним і те, що все перелік зазначених заходів обов’язково має плануватися і використовуватися з урахуванням особливостей функціонування інформаційної системи предприятия.

Установление особливого режиму конфіденційності спрямоване створення умов забезпечення фізичного захисту носіїв конфіденційної информации.

Как правило, особливий режим конфіденційності передбачає: організацію охорони приміщень, які містять носії конфіденційної комп’ютерної інформації; встановлення режиму роботи у приміщеннях, які містять носії конфіденційної комп’ютерної інформації; встановлення пропускного режиму на приміщення, містять носії конфіденційної комп’ютерної інформації; закріплення технічних коштів обробки конфіденційної комп’ютерної інформації за співробітниками, визначення персональну відповідальність право їх схоронність; встановлення порядку користування носіями конфіденційної комп’ютерної інформації (облік, зберігання, передача іншим посадових осіб, знищення, звітність); організацію ремонту технічних засобів обробки конфіденційної комп’ютерної інформації; організацію контролю за встановленим порядком.

Требования установлюваного для підприємства особливого режиму конфіденційності оформляються в вигляді організаційно-розпорядчих документів і майже доводяться ознайомлення до співробітників предприятия.

Ограничение доступу до конфіденційної комп’ютерної інформації сприяє створенню найбільш ефективних умов схоронності конфіденційної комп’ютерної інформації. Треба чітко визначати коло співробітників, що допускаються до конфіденційної комп’ютерної інформації, яких конкретно даними їм дозволено доступ і відповідних повноважень співробітників про доступ до конфіденційної информации.

Как показує практика роботи, і розробити необхідного комплексу заходів захисту інформації бажано залучення кваліфікованих експертів в галузі захисту информации.

Традиционно в організацію доступу до конфіденційної комп’ютерної інформації використовувалися організаційні заходи, засновані на суворе дотримання співробітниками процедур допуску до інформації, визначених відповідними інструкціями, наказами і іншими нормативними документами. Проте з розвитком комп’ютерних систем ці заходи перестали забезпечувати необхідну безпеку інформації. Виникли й в час широко застосовуються спеціалізовані програмні і програмно-апаратні засоби захисту інформації, що дозволяють максимально автоматизувати процедури доступу до інформації та забезпечити у своїй необхідну рівень її захисту. Докладніше про існування засобах захисту ми зупинимося ниже.

Осуществление контроль над дотриманням встановленого режиму конфіденційності передбачає перевірку відповідності організації захисту установленим вимогам для, і навіть оцінку ефективності застосовуваних заходів захисту інформації. Зазвичай, контроль ввозяться вигляді планових і позапланових перевірок силами своїм співробітникам чи із інших організацій, що спеціалізуються у цій галузі. За результатами перевірок фахівцями захисту інформації проводиться необхідний аналіз з упорядкуванням звіту, що включає: висновок відповідності проведених для підприємства заходів установленим вимогам для; оцінка реальної ефективності застосовуваних на підприємстві заходів захисту і щодо їх совершенствованию.

Обеспечение і реалізація перелічених вище заходів зажадає створення підприємстві відповідних органів захисту. Ефективність захисту на підприємстві багато в чому визначатися тим, наскільки правильно обрано структура органу захисту і кваліфіковані вони б. Як правило, органи захисту є самостійні підрозділи, проте, попри практиці часто практикується та призначення однієї з штатних фахівців підприємства відповідальних забезпечення захисту інформації. Але така форма виправдана у випадках, коли обсяг необхідних заходів щодо захисту інформації невеличкої і створення осібного підрозділи економічно не выгодно.

Созданием органів захисту для підприємства завершується побудова системи захисту інформації, під якої розуміється сукупність органів захисту чи окремих виконавців, які вони вживали засоби захисту інформації, і навіть об'єкти захисту, організовані і які функціонують за правилам, встановленим відповідними правовими, організаційно-розпорядчими і нормативними документами захисту информации.

Средства захисту Як уже відзначалося вище, ефективність захисту в автоматизованих системах досягається застосуванням засобів захисту інформації (СЗІ). Під засобом захисту розуміється технічне, програмне засіб чи матеріал, призначені чи використовувані за захистом інформації. Нині над ринком представлено велика різноманітність засобів захисту інформації, які умовно можна розділити сталася на кілька груп: кошти, щоб забезпечити розмежування доступу до інформацією автоматизованих системах; кошти, щоб забезпечити захист інформації під час передачі її за каналам зв’язку; кошти, щоб забезпечити захисту від просочування інформації різноманітні фізичним полях, які виникають під час роботи технічних засобів автоматизованих систем; кошти, щоб забезпечити захисту від впливу программ-вирусов; матеріали, що гарантують безпеку зберігання, транспортування носіїв інформації та захист їхню відмінність від копирования.

Основное призначення засобів захисту першої групи — розмежування доступу до локальних і мережним інформаційних ресурсів автоматизованих систем. СЗІ цієї групи забезпечують: ідентифікацію і аутентификацию користувачів автоматизованих систем; розмежування доступу зареєстрованих користувачів до інформаційним ресурсів; реєстрацію дій користувачів; захист завантаження операційній системи з гнучких магнітних дисків і CD-ROM; контроль цілісності СЗІ і інформаційних ресурсів. Як ідентифікаторів користувачів застосовуються, зазвичай, умовні позначення як набору символів. Для аутентифікації користувачів застосовуються пароли.

Ввод значень ідентифікатора користувача та її пароля здійснюється за запиту СЗІ з клавіатури. Багато сучасні СЗІ використовують та інші типи ідентифікаторів — магнітні картки, радіочастотні безконтактні картки, смарт-карточки, електронні таблетки Touch Memory та інші. Окремо слід сказати про використанні як ідентифікатора індивідуальних біологічних параметрів (дактилограма, райдужна оболонка очі), властивих кожній людині. Використання як ідентифікаторів індивідуальних біологічних параметрів характеризується, з одного боку, вищим рівнем конфіденційності, з другого — дуже високою вартістю таких систем.

Разграничение доступу зареєстрованих користувачів до інформаційних ресурсів здійснюється СЗІ відповідно до встановленими для користувачів повноваженнями. Зазвичай, СЗІ забезпечують розмежування доступу до гнучким і жорстких дисків, логічним дискам, директоріям, файлам, портам і пристроям. Повноваження користувачів встановлюються з допомогою спеціальних настройок СЗІ. По відношення до інформаційних ресурсів засобів захисту можуть встановлюватися таких повноважень, як дозвіл читання, записи, створення, запуску исполняемыхо файлів і другие.

Системы захисту передбачають ведення спеціального журналу, у якому реєструються певні події, пов’язані з його діями користувачів, наприклад запис (модифікація) файла, запуск програми, висновок на печатку, і інші, і навіть спроби несанкціонованого доступу до захищуваних ресурсів та його результат.

Особо слід зазначити його присутність серед СЗІ захисту завантаження ОС з гнучких магнітних дисків і CD-ROM, що забезпечує захист самих засобів захисту від «зламування «з допомогою спеціальних технологій. У різних СЗІ існують програмні і апаратно-програмні реалізації цієї захисту, проте практика показує, що програмна реалізація не забезпечує необхідної стойкости.

Контроль цілісності засобів і захищуваних файлів залежить від підрахунку і порівнянні контрольних сум файлів. У цьому використовуються різної складності алгоритми підрахунку контрольних сумм.

Несмотря на функціональну спільність засобів захисту інформації цієї групи, СЗІ різних виробників різняться: умовами функціонування (операційна середовище, апаратна платформа, автономні комп’ютери і обчислювальні мережі); складністю настроювання й управління параметрами СЗІ; використовуваними типами ідентифікаторів; переліком подій, які підлягають реєстрації; вартістю коштів защиты.

С розвитком мережевих технологій з’явився новим типом СЗІ - міжмережеві екрани (firewalls), що забезпечують рішення завдань, як захист підключень до зовнішнім мереж, розмежування доступу між сегментами корпоративної мережі, захист корпоративних потоків даних, переданих по відкритим сетям.

Защита інформації під час передачі її за каналів зв’язку здійснюється засобами криптографічного захисту (СКЗИ). Характерною рисою цих коштів є те, що потенційно забезпечують найвищу захист переданої інформації від несанкціонованого доступу до неї. До того ж, СКЗИ забезпечують захист інформації від модифікації (використання цифрового електронного підпису і имитовставки).

Как правило, СКЗИ функціонують в автоматизованих системах самостійна засіб, однак у окремих випадках СКЗИ може функціонувати у складі коштів розмежування доступу як функціональна підсистема посилення захисних властивостей останніх. Забезпечуючи високий рівень захисту, до того ж час застосування СКЗИ тягне ряд незручностей: стійкість СКЗИ є потенційної, тобто. гарантується за дотримання низки додаткових вимог, реалізація яких практиці здійснюється дуже складно (створення і функціонування ключовою системи, розподіл ключів, забезпечення схоронності ключів, потреба у отриманні ліцензії ФАПСИ на право експлуатації коштів, планування і організація заходів при компрометації ключовою системи); досить висока вартість експлуатація таких средств.

В цілому, щодо необхідності використання коштів криптографічного захисту, необхідно враховувати те, що «застосування СКЗИ виправдано в випадках явного перехоплення справді конфіденційної информации.

Целью статті перестав бути широке обговорення засобів захисту від просочування інформації по різним фізичним полях, які виникають під час роботи технічних засобів автоматизованих систем, проте відзначимо, що з захисту від витоку по фізичним полях використовуються такі методи і засоби захисту: електромагнітне екранування пристроїв, чи приміщень, у яких розташована обчислювальної техніки; активна радіотехнічна маскування з допомогою широкосмугових генераторів шумів, які широко представлені на нашому рынке.

Радикальным способом захисту від витоку по фізичним полях є електромагнітне екранування технічних пристроїв і приміщень, але це спосіб вимагає значних капітальних видатків та практично не применяется.

И кілька слів матеріалами, які забезпечують безпека збереження, транспортування носіїв інформації та захист їхню відмінність від копіювання. У це спеціальні тонкопленочные матеріали з мінливих колірної гамою чи голографічні мітки, що наносяться на документи і предмети (зокрема і на елементи комп’ютерна техніка автоматизованих систем). Вони дозволяють: ідентифікувати справжність об'єкта; контролювати не санкціонованого доступу до ним.

Средства аналізу захищеності комп’ютерних мереж Широке розвиток корпоративних мереж, інтеграція його з інформаційними системами загального користування крім явних переваг породжує нові загрози національній безпеці інформації. Причини виникнення нових загроз характеризуються: складністю і різнорідністю використовуваного програмного і апаратного забезпечення корпоративних мереж; великою кількістю вузлів мережі, що у електронному обмін інформацією, їх територіальної распределенностью і відсутність можливості контролю всіх настройок; доступністю інформації корпоративних систем зовнішнім користувачам (клієнтам, партнерам тощо.) через на її прихильність на фізично з'єднаних носителях.

Применение описаних вище засобів захисту інформації, і навіть вмонтованих у операційні системи механізмів захисту Демшевського не дозволяє повною мірою ліквідувати ці загрози. Наявність постійних або часових фізичних сполук є найважливішим чинником якого, які впливають для підвищення уязвимостей корпоративних систем через дірок в використовуваних захисних і програмних засобах і витоку інформації внаслідок хибних чи неписьменних дій персонала.

Обеспечение необхідної захисту інформаційних ресурсів підприємств у умовах досягається застосуванням додаткових інструментальних коштів. До до їх числа ставляться: кошти аналізу захищеності операційними системами і мережевих сервісів; кошти виявлення небезпечних інформаційних впливів (атак) в сетях.

Средства аналізу захищеності операційними системами дозволяють здійснювати ревізію механізмів розмежування доступу, ідентифікації і аутентифікації, коштів моніторингу, аудиту й інших компонентів операційними системами з погляду відповідності їх настройок та конфігурацій встановленим у організації. Крім цього, засобами даного класу проводиться контроль цілісності і незмінності програмних засобів і системних установок і перевірка наявності уязвимостей системних і прикладних служб. Зазвичай, такі перевірки проводяться з використанням бази даних уязвимостей операційними системами і сервісних служб, що потенційно можуть оновлюватися принаймні виявлення нових уязвимостей.

К числу коштів аналізу даного класу належить програмне засіб адміністратора ОС Solaris ASET (Automated Security Tool), яке входить у склад ОС Solaris, пакет програм COPS (Computer Oracle and Password System) для адміністраторів Unix-систем, і системи System Scanner (SS) фірми Internet Security System Inc. для аналізу та управління захищеність операційними системами Unix і Windows NT/ 95/98.

Использование у мережах Internet/Intranet протоколів TCP/IP, які характеризуються наявністю в них неустранимых уязвимостей, призвело до появи останнім часом нових різновидів інформаційних впливів на мережні сервіси і які мають реальну загрозу захищеності інформації. Кошти аналізу захищеності мережевих сервісів застосовуються з оцінки захищеності комп’ютерних мереж стосовно внутрішнім і зовнішніх атакам. За результатами аналізу захищеності мережевих сервісів засобами генеруються звіти, які включають у собі список виявлених уязвимостей, опис можливих загроз і з усунення. Пошук уязвимостей полягає в використанні бази даних, що містить широко відомі уразливості мережевих сервісних програм, тож може оновлюватися шляхом додавання нових уязвимостей.

К числу коштів аналізу даного класу належить програма SATAN (автор В. Венема), Netprobe фірми Qualix Group і Internet Scanner фірми Internet Security System Inc.

Наибольшая ефективність захисту характеризується комплексному використанні коштів аналізу захищеності і коштів виявлення небезпечних інформаційних впливів (атак) у мережах. Кошти виявлення атак у мережах призначені для здійснення контролю всього мережного трафіку, що відбувається через защищаемый сегмент мережі, та оперативної реагування у разі напади проти вузли корпоративної сети.

Большинство коштів цієї групи для виявлення атаки у мережі сповіщають адміністратора системи, реєструють факт нападу журналі системи та завершують з'єднання з атакуючим вузлом. Додатково, окремі кошти виявлення атак дозволяють автоматично реконфигурировать міжмережеві екрани і маршрутизатори у разі напади проти вузли корпоративної сети.

Несколько корисних рад замість укладання Є певні правила, яких доцільно дотримуватися з організацією захисту: створення умов та експлуатація систем захисту є і відповідальним процесом. Не довіряйте питання захисту дилетантам, доручите їх професіоналам; не намагайтеся організувати абсолютно надійний захист — такий не існує. Система захисту повинна бути достатньою, надійної, ефективною і управляемой.

Эффективность захисту досягається не кількістю грошей, витрачених їхньому організацію, а здатністю її адекватно реагувати попри всі спроби несанкціонованого доступу до інформації; заходи щодо захисту інформації від несанкціонованого доступу мають нести комплексний характер, тобто. об'єднувати різнорідні заходи протидії загрозам (правові, організаційні, програмно-технічні); основна загроза інформаційну безпеку комп’ютерних систем виходить безпосередньо від працівників. З огляду на це необхідно максимально обмежувати як коло співробітників, що допускаються до конфіденційної комп’ютерної інформації, і коло інформації, до котрої я вони допускаються (зокрема і до інформації з системі захисту). У цьому кожен співробітник повинен мати мінімум повноважень із доступу до конфіденційної информации.

Надеемся, що, наведений у статті, допоможе вам отримати необхідне уявлення проблему захисту в комп’ютерних системах й успішно вирішувати їх у повсякденної деятельности.

Список литературы

Для підготовки даної роботи було використані матеріали із російського сайту internet.