Методы защиты информации

Содержание

 

 

Введение

 

Проблема защиты информации: надежное обеспечение ее сохранности и установление статуса использования  - является одной из важнейших проблем современности.

Еще 25-30 лет назад задача защиты информации могла быть эффективно решена  с помощью организационных мер и отдельных программно - аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.

Особенностями современных  информационных технологий являются:

• Увеличение числа автоматизированных процессов в системах обработки данных и важности принимаемых на их основе решений;
• Территориальная распределенность компонентов компьютерной системы и передача информации между этими компонентами;
• Усложнение программных и аппаратных средств компьютерных систем;
• Накопление и длительное хранение больших массивов данных на электронных носителях;
• Интеграция в единую базу данных информацию различной направленности различных методов доступа;
• Непосредственный доступ к ресурсам компьютерной системы большого количества пользователей различной категории и с различными правами доступа в системе;
• Рост стоимости ресурсов компьютерных систем.

Рост количества и  качества  угроз безопасности информации в компьютерных системах не всегда приводит к адекватному ответу в виде создания надежной системы и безопасных информационных технологий. В большинстве коммерческих и государственных организаций, не говоря о простых пользователях, в качестве средств защиты используются только антивирусные программы и разграничение прав доступа пользователей на основе паролей.

К сожалению, значительная отсталость структуры в технологическом  плане наряду с высокой скоростью  вступления в цивилизованное экономическое  общество оказала свое тормозное влияние на развитие информационных технологий. Даже сегодня, когда практически каждый понимает роль информационных технологий, а уровень подготовки наших специалистов стал сравним с западным.

Целью работы является анализ современных методов защиты информации

В соответствии с целью, задачами работы будут:

1. Основные понятия обеспечения информационной безопасности.

2. Методы защиты информации.

3. Средства защиты информации.

4. Криптографические методы защиты информации.

 

1. Основные понятия обеспечения информационной безопасности

 

Под информацией, применительно  к задаче ее защиты понимается сведения о лицах, предметах, фактах, событиях явлениях и процессах независимо от формы их представления. В зависимости от формы представления информация может быть речевой, телекоммуникационной, документированной.

Информационные процессы – процессы сбора, накопления, обработки  хранения, распределения и поиска информации.

Информационная система - совокупность документов и массивов документов и информационных технологий.

Информационными ресурсами  называют документы или массив документов существующие отдельно или в составе  информационной системы.

Процесс создания оптимальных  условий для удовлетворения информационных потребностей граждан, организаций, общества и государства называется информатизацией.

Информатизация разделяется  на открытую и ограниченного доступа.

Информация является одним из объектов гражданского права том числе и прав собственности, владения, пользования. Собственник информационных ресурсов, технологий  и систем – субъект с правом владения, пользования  и распределения указанных объектов.  Владельцем  ресурсов, технологий и систем является субъект с полномочиями владения и пользования указанными объектами. Под пользователем понимается субъект обращающийся к информационной системе за получением нужной информации и пользующегося ею.

К защищаемой относится  информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, выдвигаемыми собственником информации.

Под утечкой информации понимают неконтролируемое распространение  защищенной информации путем ее разглашения, несанкционированного доступа и получение разведчиками. Несанкционированный доступ  - получение защищенной информации заинтересованным субъектом  с нарушением правилом доступа к ней.

Несанкционированное воздействие  на защищенную информацию это воздействие  с нарушением правил ее изменения (например подменяя электронных документов). Под непреднамеренным  воздействием на защищенную информацию понимается воздействие на нее из-за ошибок пользователя, сбой техники, или программных средств, природных явлений и других непреднамеренных воздействий( например уничтожение документа на накопителе на жестком диске).

Целью защиты информации является предотвращение нанесения   ущерба пользователю, владельцу или  собственнику. Под эффективностью защиты информации понимается степень соответствия результатов защиты поставленной цели. Объектом защиты может быть информация, ее носитель, информационный процесс, в отношении которого необходимо производить защиту в соответствии с поставленными целями.

Конфиденциальность информации – это известность ее содержания только имеющим, соответствующие полномочия субъект.

Шифрование информации это преобразование информации, в  результате, которого содержание информации становится непонятным для субъекта, не имеющего соответствующего доступа.  Результат шифрования называется шифротекстом.

Под угрозой информационной безопасности в компьютерной системе  понимают события или действия которые  могут вызвать изменения функционирования КС, связанные с нарушением защищенности информации обрабатываемой в ней.

Уязвимость информации – это возможность возникновения  на каком либо этапе жизненного цикла  КС такого ее состояния при котором  создастся условия для реальной угрозы безопасности  в ней

Атака это действие предпринимаемое  нарушителем, в поиске и использовании той или иной уязвимости. Угрозы могу быть разделены на угрозы независящие от деятельности человека и искусственный угрозы, связанные с деятельностью человека.

Искусственные угрозы в  свою очередь делятся на непреднамеренные (ошибки в проектировании, ошибки в работе программных средств) и преднамеренные (несанкционированный доступ, несанкционированные действия).

Результатом реализации угроз может быть утечка, искажение  или утрата информации.

2. Методы защиты  информации

 

Потребность в защите информации появилась одновременно с самой информацией. И возможные методы защиты информации почти всегда определялись формой ее представления и предполагаемыми способами использования.

В первом приближении  все методы защиты информации можно  разделить на три класса:

-законодательные; 
-административные; 
-технические.

Законодательные методы определяют кто и в какой форме должен иметь доступ к защищаемой информации, и устанавливают ответственность за нарушения установленного порядка. Например, в древнем мире у многих наций были тайные культы, называемые мистериями. К участию в мистериях допускались только посвященные путем особых обрядов лица. Содержание мистерий должно было сохраняться в тайне. А за разглашение секретов мистерий посвященного ждало преследование, вплоть до смерти. Также смертью каралось недозволенное участие в мистериях, даже произошедшее по случайности. В современном мире существуют законы о защите государственной тайны, авторских прав, положения о праве на тайну личной переписки и многие другие. Такие законы описывают, кто и при каких условиях имеет, а кто не имеет право доступа к определенной информации. Однако законодательные методы не способны гарантировать выполнение установленных правил, они лишь декларируют эти правила вместе с мерой ответственности за их нарушение.

Административные методы заключаются в определении процедур доступа к защищаемой информации и строгом их выполнении. Контроль над соблюдением установленного порядка возлагается на специально обученный персонал. Административные методы применялись многие века и диктовались здравым смыслом. Современные административные методы защиты информации весьма разнообразны. Например, при работе с документами, содержащими государственную тайну, сначала необходимо оформить допуск к секретным документам. Элементом политики безопасности может являться контроль вноса и выноса с территории организации носителей информации (бумажных, электронных, и др.). Административные методы защиты зачастую совмещаются с законодательными и могут устанавливать ответственность за попытки нарушения установленных процедур доступа.

Технические методы защиты информации в отличие от законодательных и административных, призваны максимально избавиться от человеческого фактора. Действительно, соблюдение законодательных мер обуславливается только добропорядочностью и страхом перед наказанием. За соблюдением административных мер следят люди, которых можно обмануть, подкупить или запугать. Таким образом, можно избежать точного исполнения установленных правил. А в случае применения технических средств зашиты перед потенциальным противником ставится некоторая техническая (математическая, физическая) задача, которую ему необходимо решить для получения доступа к информации. В то же время легитимному пользователю должен быть доступен более простой путь, позволяющий работать с предоставленной в его распоряжение информацией без решения сложных задач. К техническим методам защиты можно отнести как коды и пароли, специальные программы, так же это могут быть носители информации, самоуничтожающиеся при попытке неправомерного использования.

3. Средства защиты информации

 

Средства защиты информации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.¹

В целом средства обеспечения  защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они препятствуют доступу к информации, в том числе с помощью её маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объём и масса, высокая стоимость.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств — универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).²

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

По степени  распространения и доступности  выделяются программные средства, другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.³

4. Криптографические  методы защиты информации

 

         Готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, т. е. в закрытые текст или графическое изображение документа. В таком виде сообщение передается по каналу связи, даже и не защищенному. Санкционированный пользователь после получения сообщения дешифрует его (т. е. раскрывает) посредством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям.⁴

        Методу преобразования в криптографической  системе соответствует использование  специального алгоритма. Действие  такого алгоритма запускается  уникальным числом (последовательностью  бит), обычно называемым шифрующим  ключом.

          Для большинства систем схема генератора ключа может представлять собой набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все это вместе, но в любом случае процесс шифрования (дешифрования) реализуется только этим специальным ключом. Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю, необходимо знать правильную ключевую установку и хранить ее в тайне.