Защита информации в информационных технологиях управления

р) вскрытие шифров криптозащиты информации;

с) внедрение аппаратных спецвложений, программ «закладок» и «вирусов» («троянских коней» и «жучков»), т.е. таких участков программ, которые не нужны для осуществления заявленных функций, но позволяют преодолеть систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

т) незаконное подключение  к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

у) незаконное подключение  к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.

При этом чаше всего для достижения поставленной цели злоумышленник использует не один способ, а их некоторую совокупность.

 

 

 

2. Методы и средства защиты

 

Проблема создания СЗИ включает две взаимодополняющие задачи[3]:

1) разработка СЗИ (ее синтез);

2) оценка разработанной СЗИ.

Вторая задача решается путем анализа  ее технических характеристик с целью установления, удовлетворяет ли СЗИ комплексу требований к данным системам. Такая задача в настоящее время решается почти исключительно экспертным путем с помощью сертификации СЗИ и аттестации СЗИ в процессе ее внедрения.

Основное содержание методов защиты информации, которые составляют основу механизмов защиты:

Препятствия — методы физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление  доступом — метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и КТС). Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• регистрацию (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка  — метод защиты информации путем ее криптографического закрытия. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение — метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение  — метод защиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Рассмотренные методы обеспечения  безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические.

 К основным средствам  защиты, используемым для создания  механизма обеспечения безопасности, относятся следующие:

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки).

Физические  средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации.

Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функции защиты информации. В такую группу средств входят:

• механизм шифрования — специальный криптографический алгоритм, который запускается уникальным числом (битовой последовательностью), обычно называемым шифрующим ключом; затем по каналам связи передается зашифрованный текст, а получатель имеет свой ключ для дешифрования информации;
• механизм цифровой подписи;
• механизмы контроля доступа;
• механизмы обеспечения целостности данных;
• механизмы постановки графика;
• механизмы управления маршрутизацией;
• механизмы арбитража;
• антивирусные программы;
• программы архивации (например, zjp, rar, аrj и др.);
• защита при вводе и выводе информации и т.д.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, использование, эксплуатация).

Морально-этические  средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека, Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).

В настоящее время  наиболее острую проблему безопасности (даже в тех системах, где не требуется  сохранять секретную информацию, и в домашних компьютерах) составляют вирусы. Поэтому здесь остановимся на них подробнее.

Компьютерный  вирус — это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т.е. «заражать» их), а также выполнять различные нежелательные действия на компьютере (например, портить файлы или таблицы размещения файлов на диске, «засорять» оперативную память и т.д.).

Основным  средством защиты от вирусов служит архивирование. Другие методы заменить его не могут, хотя и повышают общий уровень защиты. Архивирование необходимо делать ежедневно. Архивирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов. Это дает возможность не только экономить место на специальных архивных дисках, но и объединять группы совместно используемых файлов в один архивный файл, в результате чего гораздо легче разбираться в общем архиве файлов. Наиболее уязвимыми считаются таблицы размещения файлов, главного каталога и boot-сектор. Файлы рекомендуется периодически копировать на внешние носители. Их резервирование важно не только для защиты от вирусов, но и для страховки на случай аварийных ситуаций или чьих-то действий, в том числе собственных ошибок.

Для того чтобы избежать появления компьютерных вирусов, необходимо соблюдать, прежде всего, следующие  меры:

• не переписывать программное обеспечение с других компьютеров;
• не допускать к работе на компьютере посторонних лиц, особенно если они собираются работать со своими носителями информации;
• не пользоваться посторонними носителями информации, особенно с компьютерными играми.

Можно выделить следующие  типичные ошибки пользователя, приводящие к заражению вирусами:

• отсутствие надлежащей системы архивации информации;
• запуск полученной программы без ее предварительной проверки на зараженность и без установки максимального режима защиты винчестера с помощью систем разграничения доступа;
• прогон всевозможных антивирусных программ, без знания типов диагностики одних и тех же вирусов разными антивирусными программами;
• анализ и восстановление программ на зараженной операционной системе.

Существуют программы-фильтры, проверяющие, имеется ли в файлах (на указанном пользователем диске) специальная для данного вируса комбинация байтов. Используется также специальная обработка файлов, дисков, каталогов — вакцинация: запуск программ-вакцин, имитирующих сочетание условий, в которых начинает работать и проявляет себя данный тип вируса.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3.  Принципы проектирования систем защиты

 

Защита информации в КТС должна основываться на следующих основных принципах:

• системности;
• комплексности;
• непрерывности защиты;
• разумной достаточности;
• гибкости управления и применения;
• открытости алгоритмов и механизмов защиты;
• простоты применения защитных мер и средств.

Системный подход предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности КТС. СЗИ должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Комплексный подход предполагает согласованное применение разнородных средств при построении системы защиты.

Создать абсолютно непреодолимую СЗИ принципиально невозможно. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.

В тех случаях, когда  установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса её функционирования, особенно важна гибкость этих средств. Кроме того, при изменении внешних условий и требований с течением времени, гибкость средств защиты избавит владельцев КТС от необходимости принятия кардинальных мер по полной замене их на новые.

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов системы защиты не должно дать возможности ее преодоления.

 

 

 

4. Практическая реализация системы защиты информации на примере Системы-112 Тюменской области

 

Реализацию системы защиты информации покажем на примере существующего проектирования «Системы вызова экстренных оперативных служб по единому номеру 112» в Тюменской области.  Условное обозначение подсистемы: «ПСИБ ИС Системы-112»[4]. ПСИБ представляет собой совокупность технических, программных средств и организационных мер, направленных на достижение требуемого уровня информационной безопасности Системы -112 ТМН.

Целями создания ПСИБ Системы -112 ТМН являются выполнение требований законодательства в области защиты конфиденциальной информации, а также предотвращение или существенное снижение величины ущерба, который может быть нанесен владельцу КТС вследствие реализации угроз информационной безопасности или НСД.

В части обеспечения  взаимодействия телекоммуникационной и информационно-коммуникационной подсистем в Техническом проекте Системы-112 ТМН рассматриваются вопросы обеспечения информационной безопасности с точки зрения схем организации связи и в следующих целях:

• исключение или существенное затруднение раскрытия содержания обрабатываемой информации, а так же информации, циркулирующей в каналах связи;
• обеспечение целостности и доступности обрабатываемой информации и информационных ресурсов;
• обеспечение контроля сетевого трафика и активности пользователей в информационных системах и сетях связи.

Конечной целью создания ПСИБ Системы-112 ТМН является приведение Системы-112 ТМН в соответствие требованиям законодательства в области защиты конфиденциальной информации и персональных данных и обеспечение защищённости Системы-112 ТМН от угроз безопасности информации.

ПСИБ является комплексной для Системы-112 ТМН в целом. Это означает, что она интегрирует разнородные средства защиты информации, необходимые для нейтрализации существенных угроз безопасности для всех компонентов Системы-112 ТМН, в единую взаимосвязанную системную среду, обеспечивающую выполнение целевых задач по информационной безопасности, вытекающих из моделей угроз и моделей нарушителя, общесистемной политики безопасности и частных разделов политики безопасности. Свойство комплексности является базовым принципом ПСИБ.