Понятие информационной безопасности

Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех изменениях. Весьма опасной угрозой являются... выставки, на которые многие организации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной сети выставки - это слишком суровое испытание честности всех участников.

Еще один пример изменения, о котором часто забывают, - хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах и получить доступ к ним могут многие.

Перехват данных - очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям.

Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто теряют.

Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как маскарад - выполнение действий под видом лица, обладающего полномочиями для доступа к данным (см., например, статью Айрэ Винклера "Задание: шпионаж" в Jet Info, 1996, 19).

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример - нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Таковы основные угрозы, которые наносят наибольший ущерб субъектам информационных отношений.

Защита информации

Защита информации

Значение защиты

Аспекты защиты

Анализ схем защиты

Носители информации

Виды носителей

Защита носителей и её отличие от защиты информации

Как работать с паролями

Значение защиты

С повышением значимости и ценности информации соответственно растёт и важность её защиты.

С одной стороны, информация стоит денег. Значит утечка или утрата информации повлечёт материальный ущерб. С другой стороны, информация – это управление. Несанкционированное вмешательство в управление может привести к катастрофическим последствиям в объекте управления – производстве, транспорте, военном деле. Например, современная военная наука утверждает, что полное лишение средств связи сводит боеспособность армии до нуля.

Защиту информации (ЗИ) в рамках настоящего курса определим так: меры для ограничения доступа к информации для каких-либо лиц (категорий лиц), а также для удостоверения подлинности и неизменности информации.

Вторая задача может показаться слабо связанной с первой, но на самом деле это не так. В первом случае владелец информации стремится воспрепятствовать несанкционированному доступу к ней, а во втором случае – несанкционированному изменению, в то время как доступ для чтения разрешён. Как мы позже увидим, решаются эти задачи одними и теми же средствами.

Аспекты защиты

Во-первых, хорошая защита информации обходится дорого. Плохая же защита никому не нужна, ибо наличие в ней лишь одной "дырки" означает полную бесполезность всей защиты в целом (принцип сплошной защиты). Поэтому прежде чем решать вопрос о защите информации, следует определить, стоит ли она того. Способен ли возможный ущерб от разглашения или потери информации превысить затраты на её защиту? С этой же целью надо максимально сузить круг защищаемой информации, чтобы не тратить лишних денег и времени.

Во-вторых, прежде чем защищать информацию, нелишне определить перечень вероятных угроз, поскольку от всего на свете вы всё равно не защититесь. Возможен вариант, когда вам надо обезопасить данные от несанкционированного доступа извне, например, из Интернета. Возможно, однако, что чужих хакеров ваши данные вовсе не интересуют, и вам следует защищать информацию только от собственных сотрудников. Возможно также, что похищение или разглашение вашей информации никому не навредит, но вот её подмена может нанести вам урон. Во всех трёх случаях методы защиты будут сильно различаться.

В-третьих, при планировании схемы ЗИ большое значение имеет не только её объективная надёжность, но и отношение к защите других людей. В некоторых случаях достаточно, чтобы вы сами были уверены в достаточной надёжности защиты. А в других – это нужно доказать иным людям (например, заказчикам), часто не разбирающимся в соответствующих вопросах. Здесь встаёт вопрос сертификации, о котором мы поговорим позже.

Анализ схем защиты

Все вышеуказанные аспекты анализируются до начала мероприятий по ЗИ. В противном случае вы рискуете впустую затратить силы и средства. В разделе 7 будет дана подробная схема, по которой проводится анализ планируемой схемы ЗИ.

Заметим, что в большинстве практических случаев, с которыми автору пришлось иметь дело, такой анализ показывал, что защита или не требуется вовсе, или нужны лишь чисто номинальные, "показушные" мероприятия.

Защита носителей информации

Очень часто путают саму информацию и её носитель. Такая путаница приводит к непониманию сути проблемы и, следовательно, к невозможности её решить. Поэтому следует чётко представлять себе, где информация, а где её материальный носитель.

Виды носителей

Информация – вещь нематериальная. Это сведения, которые зафиксированы (записаны) тем или иным расположением (состоянием) материального носителя, например, порядком расположения букв на странице или величиной намагниченности ленты.

Носителем информации может быть любой материальный объект. И наоборот – любой материальный объект всегда несёт на себе некую информацию (которая, однако, далеко не всегда имеет для нас значение). Например, книга как совокупность переплёта, бумажных листов, и типографской краски на них является типичным носителем информации.

Чтобы отличать информацию от её носителя, надо твёрдо помнить, что информация – это сугубо нематериальная субстанция. Всё, что является материальным объектом, информацией быть не может, но только лишь её носителем. В том же примере с книгой и листы, и знаки на них – только носитель; информация же заключена в порядке расположения печатных символов на листах. Радиосигнал – тоже материальный объект, поскольку является комбинацией электрических и магнитных полей (с другой точки зрения – фотонов), поэтому он не является информацией. Информация в данном случае – порядок чередования импульсов или иных модуляций указанного радиосигнала.

Материя и информация неотделимы друг от друга. Информация не может существовать сама по себе, в отрыве от материального носителя. Материя же не может не нести информации, поскольку всегда находится в том или ином определённом состоянии.

Теперь перейдём к более конкретному рассмотрению. Хотя любой материальный объект – носитель информации, но люди используют в качестве таковых специальные объекты, с которых информацию удобнее считывать.

Традиционно используемым носителем информации является бумага с нанесёнными на ней тем или иным способом изображениями.

Поскольку в наше время основным средством обработки информации является компьютер, то и для хранения информации используются в основном машинно-читаемые носители. Ниже приводится полный список известных типов машинных носителей с их качественными характеристиками.

        Жёсткий магнитный диск, ЖМД, НЖМД (hard disk, HD). Применяется как основной стационарный носитель информации в компьютерах. Большая ёмкость, высокая скорость доступа. Иногда встречаются модели со съёмным диском, который можно вынуть из компьютера и спрятать с сейф. Так выглядит НЖМД.

        Гибкий магнитный диск, ГМД (floppy disk, FD) или дискета (diskette). Основной сменный носитель для персональных компьютеров. Небольшая ёмкость, низкая скорость доступа, но и стоимость тоже низкая. Основное преимущество – транспортабельность.

        Лазерный компакт-диск (CD, CD-ROM). Большая ёмкость, средняя скорость доступа, но отсутствует возможность записи информации. Запись производится на специальном оборудовании. Так выглядит CD-привод.

        Перезаписываемый лазерный компакт-диск (CD-R, CD-RW). В одних случаях возможна только запись (без перезаписи), в других - также ограниченное число циклов перезаписи данных. Те же характеристики, что и для обычного компакт-диска.

        DVD-диск. Аналогичен CD-ROM, но имеет более высокую плотность записи (в 5-20 раз). Имеются устройства как только для считывания, так и для записи (перезаписи) DVD.

        Сменный магнитный диск типа ZIP или JAZZ. Похож на дискету, но обладает значительно большей ёмкостью. Так выглядит ZIP-диск и привод для него.

        Магнитооптический или т.н. флоптический диск. Сменный носитель большой ёмкости. Так выглядит магнитооптический диск и привод для него.

        Кассета с магнитной лентой – сменный носитель для стримера (streamer) – прибора, специально предназначенного для хранения больших объёмов данных. Некоторые модели компьютеров приспособлены для записи информации на обычные магнитофонные кассеты. Кассета имеет большую ёмкость и высокую скорость записи-считывания, но медленный доступ к произвольной точке ленты. Так выглядит стример и его кассеты.

        Перфокарты – в настоящее время почти не используются.

        Перфолента – в настоящее время почти не используется.

        Кассеты и микросхемы ПЗУ (read-only memory, ROM). Характеризуются невозможностью или сложностью перезаписи, небольшой ёмкостью, относительно высокой скоростью доступа, а также большой устойчивостью к внешним воздействиям. Обычно применяются в компьютерах и других электронных устройствах специализированного назначения, таких как игровые приставки, управляющие модули различных приборов, принтеры и т.д.

        Магнитные карты (полоски). Маленькая ёмкость, транспортабельность, возможность сочетания машинно-читаемой и обычной текстовой информации. Кредитные карточки, пропуска, удостоверения и т.п.

        Существует большое количество специализированных носителей, применяемых в различных малораспространённых приборах. Например, магнитная проволока, голограмма.

Кроме того, носителем информации является оперативная память компьютера, ОЗУ (RAM), но она не пригодна для долговременного хранения информации, поскольку данные в ней не сохраняются при отключении питания. Так выглядят модули оперативной памяти.

Защита носителей и её отличие от защиты информации

Важно различать два вида ЗИ – защита носителей и защита непосредственно информации, безотносительно к тому, где она находится.

Первый вид включает несколько методов защиты носителей информации (здесь мы будем рассматривать только компьютерные носители), их можно подразделить на программные, аппаратные и комбинированные. Метод же защиты самой информации только один – использование криптографии, то есть, шифровка данных.

Если вы много работали с современными персональными компьютерами, то познакомились с некоторыми наиболее распространёнными методами защиты носителей. Вот их перечень.

        Для всех сменных носителей – физическая их защита, например, запереть в сейф.

        Для всех встроенных в ПК носителей – воспрепятствование включению питания компьютера. Конечно, этот метод действенен для ограниченного числа случаев.

        Программное воспрепятствование доступу к конкретному носителю или к компьютеру целиков. Например, пароль на CMOS.

        Программно-аппаратный метод с использованием электронных ключей, которые чаще всего вставляются в COM-порт ПК. Не получая нужный ответ от ключа, программа, для которой он предназначен, не будет работать или давать пользователю доступ к своим данным.

Как работать с паролями

Как было уже сказано, слабейшим звеном всякой системы защиты является человек. Даже в самой надёжной криптосистеме можно подобрать пароль, если пользователь выбрал его неаккуратно. Ниже приведены правила выбора паролей и обращения с ними. Несоблюдение их может свести на нет всю сложную систему защиты.

Пароль не должен быть значимым словом или сочетанием слов какого-либо языка. Словари всех языков давно составлены вместе со всеми возможными формами слов. Распространённые системы подбора паролей начинают перебор, используя словарь, в котором слова расставлены по частоте их употребления. Например, у вас длина пароля до 12 символов. Противник начинает взламывать вашу защиту, перебирая пароль со скоростью 10 000 вариантов в секунду (средний компьютер). Если в качестве пароля выбрано случайное сочетание символов (цифр и латинских букв разного регистра), то возможных вариантов примерно 1262, и перебор вариантов займёт

Возраст вселенной существенно меньше этого срока. Но если вы для более лёгкого запоминания поставили в качестве пароля осмысленное слово, то количество вариантов резко сокращается. В языке примерно 100 000 слов, вместе два языка дадут 200 000, с учётом всех возможных форм и кодировок пусть 106. Такое число будет перебрано за
Несколько выше ваши шансы, если использовалась пара слов. Сочетаний из двух слов – 1012. Перебор займёт 108 с – около 3 лет. Однако стоит противнику применить компьютер помощнее, как время полного перебора вновь упадёт до нескольких минут. Если же ваше сочетание слов сколь-нибудь осмысленно, то задачка упрощается на несколько порядков.