Захист інформації в комп'ютерних системах h2>
Зенковскій А.К. p>
Захист
інформації в комп'ютерних системах - складові успіху. Прогрес подарував
людству безліч досягнень, але той же прогрес породив і масу
проблем. Людський розум, вирішуючи одні проблеми, неодмінно стикається
при цьому з іншими, новими, і цей процес приречений на нескінченність у своїй
послідовності. Хоча, якщо вже бути точним, нові проблеми - це всього лише
оновлена форма старих. Вічна проблема - захист інформації. На різних
етапах свого розвитку людство вирішувало цю проблему з притаманною для даної
епохи характерністю. Винахід комп'ютера і подальший бурхливий розвиток
інформаційних технологій в другій половині 20 століття зробили проблему захисту
інформації настільки актуальною і гострою, наскільки актуальна сьогодні
інформатизація для всього суспільства. Головна тенденція, що характеризує розвиток
сучасних інформаційних технологій - зростання числа комп'ютерних злочинів і
пов'язаних з ними розкрадань конфіденційної та іншої інформації, а також
матеріальних втрат. За результатами одного дослідження, присвяченого питанням
комп'ютерних злочинів, близько 58% опитаних постраждали від комп'ютерних
взломів за останні 12 місяців. Приблизно 18% опитаних з цього числа
заявляють, що втратили понад мільйон доларів в ході нападів, більше 66
відсотків зазнали збитків у розмірі 50 тис. доларів. Понад 22% атак були
націлені на промислові секрети або документи, що представляють інтерес перш
за все для конкурентів. Сьогодні, мабуть, ніхто не зможе з упевненістю
назвати точну цифру сумарних втрат від комп'ютерних злочинів, пов'язаних з
несанкціонованих доступом до інформації. Це пояснюється, перш за все,
небажанням постраждалих компаній оприлюднювати інформацію про свої втрати, а
також тим, що не завжди втрати від розкрадання інформації можна точно оцінити в
грошовому еквіваленті. Проте за даними, опублікованими в мережі Internet, загальні
втрати від несанкціонованого доступу до інформації у комп'ютерних системах у
1997 оцінювалися в 20 мільйонів доларів, а вже у березні 1998 року в 53,6
мільйонів доларів. Причин активізації комп'ютерних злочинів і пов'язаних з
ними фінансових втрат досить багато, істотними з них є: перехід
від традиційної "паперової" технології зберігання і передачі відомостей на
електронну і недостатнє при цьому розвиток технології захисту інформації в
таких технологіях; об'єднання обчислювальних систем, створення глобальних мереж
та розширення доступу до інформаційних ресурсів; збільшення складності
програмних засобів і пов'язане з цим зменшення числа їх надійності та
збільшенням вразливостей. Будь-яке сучасне підприємство незалежно від виду
діяльності та форми власності не в змозі успішно розвиватися і вести
господарську діяльність для створення на ньому умов для надійного
функціонування системи захисту власної інформації. Відсутність у багатьох
керівників підприємств і компаній чіткого уявлення з питань захисту
інформації призводить до того, що їм складно повною мірою оцінити необхідність
створення надійної системи захисту інформації на своєму підприємстві і тим більше
важко буває визначити конкретні дії, необхідні для захисту тих чи
інших конфіденційних відомостей. У загальному випадку керівники підприємств йдуть по
шляху створення охоронних служб, повністю ігноруючи при цьому питання
інформаційної безпеки. Негативну роль при цьому грають і деякі
засоби масової інформації, публікуючи "панічні" статті про
стан справ щодо захисту інформації, формують у читачів уявлення про
неможливості в сучасних умовах забезпечити необхідний рівень захисту
інформації. Можна з упевненістю стверджувати, що створення ефективної системи
захисту інформації сьогодні цілком реально. Надійність захисту інформації, перш
за все, буде визначатися повнотою вирішення цілого комплексу завдань, мова про
яких буде продовжена далі. p>
Інформація
як об'єкт захисту Побудова надійного захисту включає оцінку циркулює в
комп'ютерній системі інформації з метою уточнення ступеню її
конфіденційності, аналізу потенційних загроз її безпеки і встановлення
необхідного режиму її захисту. p>
Федеральним
законом "Про інформації, інформатизації та захисту інформації"
визначено, що інформаційні ресурси, тобто окремі документи або масиви
документів, у тому числі і в інформаційних системах, будучи об'єктом відносин
фізичних, юридичних осіб і держави, підлягають обов'язковому обліку та
захисту, як будь-яке матеріальне майно власника. При цьому власникові
надається право самостійно в межах своєї компетенції встановлювати
режим захисту інформаційних ресурсів і доступу до них. p>
Закон
також встановлює, що "конфіденційною інформацією вважається така документована
інформація, доступ до якої обмежується відповідно до законодавства
Російської Федерації ". При цьому федеральний закон може містити пряму
норму, згідно з якою будь-які відомості належать до категорії
конфіденційних або доступ до них обмежується. Так, Федеральний закон
"Про інформації, інформатизації та захисту інформації" прямо відносить
до категорії конфіденційної інформації персональні дані (інформацію про
громадян). Закон Української РСР "Про банки і банківську діяльність в Українській РСР"
обмежує доступ до інформації по операціях, рахунках і вкладах клієнтів і
кореспондентів банків (стаття 25). p>
Однак
не до всіх відомостей, що становлять конфіденційну інформацію, застосовна
пряма норма. Іноді законодавчо визначаються тільки ознаки, яким
повинні задовольняти ці відомості. Це зокрема стосується службової та
комерційної таємниці, ознаки яких визначаються Цивільним кодексом РФ
(стаття 139): відповідна інформація невідома третім особам; до неї
вільного доступу на законній підставі; заходів щодо забезпечення її
конфіденційності приймає власник інформації. p>
В
даний час відсутня будь-яка універсальна методика, що дозволяє
чітко співвідносити ту чи іншу інформацію до категорії комерційної таємниці. Можна
тільки порадити виходити з принципу економічної вигоди та безпеки
підприємства - надмірна "засекреченість" призводить до необгрунтованого
подорожчання необхідних заходів щодо захисту інформації та не сприяє розвитку
бізнесу, коли як широка відкритість може привести до великих фінансових
втрат або розголошення таємниці. Законопроектом "Про комерційну таємницю"
права щодо віднесення інформації до категорії комерційної таємниці представлені
керівника юридичної особи. p>
Федеральний
закон "Про інформації, інформатизації та захисту інформації", визначаючи
норми, згідно яких відомості відносяться до категорії конфіденційних,
встановлює і мети захисту інформації: запобігання витоку, розкрадання,
викривлення, підробки інформації; запобігання несанкціонованих дій з
знищення, перекручення, блокування інформації; збереження державної
таємниці, конфіденційності документованої інформації. p>
Визначившись
в необхідності захисту інформації, безпосередньо приступають до проектування
системи захисту інформації. p>
Організація
захисту інформації Окремий розділ законопроекту "Про комерційну
таємницю ", присвячений організації захисту комерційної інформації, визначає
необхідний комплекс заходів щодо її захисту: встановлення особливого режиму
конфіденційності; обмеження доступу до конфіденційної інформації;
використання організаційних заходів і технічних засобів захисту інформації;
здійснення контролю за дотриманням встановленого режиму конфіденційності. p>
Конкретне
зміст зазначених заходів для кожного окремо взятого підприємства може
бути різним за масштабами та формами. Це залежить в першу чергу від
виробничих, фінансових та інших можливостей підприємства, від обсягів
конфіденційної інформації та ступінь її значимості. Істотним є те,
що весь перелік зазначених заходів обов'язково повинен плануватися і
використовуватися з урахуванням особливостей функціонування інформаційної системи
підприємства. p>
Встановлення
особливого режиму конфіденційності спрямовано на створення умов для забезпечення
фізичного захисту носіїв конфіденційної інформації. p>
Як
правило, особливий режим конфіденційності передбачає: організацію охорони
приміщень, в яких містяться носії конфіденційної інформації;
встановлення режиму роботи в приміщеннях, в яких містяться носії
конфіденційної інформації; встановлення пропускного режиму в приміщення,
містять носії конфіденційної інформації; закріплення технічних
засобів обробки конфіденційної інформації за співробітниками, визначення
персональної відповідальності за їх збереження; встановлення порядку
користування носіями конфіденційної інформації (облік, зберігання, передача
іншим посадовим особам, знищення, звітність); організацію ремонту
технічних засобів обробки конфіденційної інформації; організацію контролю
за встановленим порядком. p>
Вимоги
що встановлюється на підприємстві особливого режиму конфіденційності оформлюються у
вигляді організаційно-розпорядчих документів і доводяться для ознайомлення до
співробітників підприємства. p>
Обмеження
доступу до конфіденційної інформації сприяє створенню найбільш
ефективних умов збереження конфіденційної інформації. Необхідно чітко
визначати коло співробітників, які допускаються до конфіденційної інформації, до яких
конкретно відомостями їм дозволено доступ та повноваження співробітників з доступу до
конфіденційної інформації. p>
Як
показує практика роботи, для розробки необхідного комплексу заходів
із захисту інформації бажано залучення кваліфікованих експертів у
галузі захисту інформації. p>
Традиційно
для організації доступу до конфіденційної інформації використовувалися
організаційні заходи, що базуються на суворому дотриманні співробітниками процедур
допуску до інформації, що визначаються відповідними інструкціями, наказами і
іншими нормативними документами. Однак з розвитком комп'ютерних систем ці
заходи перестали забезпечувати необхідну безпеку інформації. З'явилися і в
даний час широко застосовуються спеціалізовані програмні й
програмно-апаратні засоби захисту інформації, які дозволяють максимально
автоматизувати процедури доступу до інформації і забезпечити при цьому до потрібної
ступінь її захисту. Детальніше про існуючі засоби захисту інформації ми
зупинимося нижче. p>
Здійснення
контролю за дотриманням встановленого режиму конфіденційності
передбачає перевірку відповідності організації захисту інформації
встановленим вимогам, а також оцінку ефективності застосовуваних заходів захисту
інформації. Як правило, контроль здійснюється у вигляді планових та позапланових
перевірок силами своїх співробітників або із залученням інших організацій,
які спеціалізуються в цій області. За результатами перевірок спеціалістами
із захисту інформації проводиться необхідний аналіз зі складанням звіту,
який включає: висновок про відповідність проведених на підприємстві заходів
встановленим вимогам; оцінка реальної ефективності застосовуваних на
підприємстві заходів захисту інформації та пропозиції щодо їх вдосконалення. p>
Забезпечення
і реалізація перерахованих вище заходів вимагає створення на підприємстві
відповідних органів захисту інформації. Ефективність захисту інформації на
підприємстві багато в чому буде визначатися тим, наскільки правильно обрана
структура органу захисту інформації та кваліфіковані його співробітники. Як
правило, органи захисту інформації являють собою самостійні
підрозділи, однак на практиці часто практикується і призначення одного з
штатних фахівців підприємства відповідальним за забезпечення захисту
інформації. Однак така форма виправдана в тих випадках, коли обсяг необхідних
заходів щодо захисту інформації невеликий та створення окремого підрозділу
економічно не вигідно. p>
Створенням
органів захисту інформації на підприємстві завершується побудова системи захисту
інформації, під якою розуміється сукупність органів захисту інформації або
окремих виконавців, що використовуються ними засоби захисту інформації, а також
об'єкти захисту, організовані і функціонують за правилами, встановленими
відповідними правовими, організаційно-розпорядчими і нормативними
документами щодо захисту інформації. p>
Засоби
захисту інформації Як вже зазначалося вище, ефективність захисту інформації в
автоматизованих системах досягається застосуванням засобів захисту інформації
(СЗІ). Під засобом захисту інформації розуміється технічне, програмне
засіб або матеріал, призначені або використовуються для захисту інформації.
В даний час на ринку представлена велика різноманітність засобів захисту
інформації, які умовно можна розділити на кілька груп: кошти,
забезпечують розмежування доступу до інформації в автоматизованих
системах; кошти для забезпечення захисту інформації при передачі її по каналах
зв'язку; засоби, що забезпечують захист від витоку інформації за різними
фізичним параметрам, що виникають при роботі технічних засобів автоматизованих
систем; засоби, що забезпечують захист від дії програм-вірусів;
матеріали, що забезпечують безпеку зберігання, транспортування носіїв
інформації і захист їх від копіювання. p>
Основне
призначення засобів захисту першої групи - розмежування доступу до локальних і
мережевих інформаційних ресурсів автоматизованих систем. СЗІ цієї групи
забезпечують: ідентифікацію та аутентифікацію користувачів автоматизованих
систем; розмежування доступу зареєстрованих користувачів до інформаційних
ресурсів; реєстрацію дій користувачів; захист завантаження операційної
системи з гнучких магнітних дисків та CD-ROM; контроль цілісності СЗІ та
інформаційних ресурсів. Як ідентифікаторів користувачів застосовуються,
як правило, умовні позначення у вигляді набору символів. Для аутентифікації
користувачів застосовуються паролі. p>
Введення
значень ідентифікатора користувача і його пароля здійснюється за запитом СЗІ
з клавіатури. Багато сучасних СЗІ використовують і інші види ідентифікаторів --
магнітні картки, радіочастотні безконтактні картки, смарт-картки,
електронні таблетки Touch Memory та інші. Окремо варто сказати про
використанні в якості ідентифікатора індивідуальних біологічних параметрів
(відбиток пальця, райдужна оболонка ока), притаманних кожній людині.
Використання як ідентифікаторів індивідуальних біологічних
параметрів характеризується, з одного боку, вищим рівнем конфіденційності,
а з іншого - дуже високою вартістю таких систем. p>
Розмежування
доступу зареєстрованих користувачів до інформаційних ресурсів
СЗІ здійснюється відповідно до встановлених для користувачів
повноваженнями. Як правило, СЗІ забезпечують розмежування доступу до гнучких і
жорстких дисків, логічним дискам, тек, файлів, портів та пристроїв.
Повноваження користувачів встановлюються за допомогою спеціальних установок СЗІ. За
відношенню до інформаційних ресурсів засобами захисту можуть встановлюватися
такі повноваження, як дозвіл читання, запису, створення, запуску ісполняемихо
файлів та інші. p>
Системи
захисту інформації передбачають ведення спеціального журналу, в якому
реєструються певні події, пов'язані з діями користувачів,
наприклад запис (модифікація) файлу, запуск програми, виведення на друк і
інші, а також спроби несанкціонованого доступу до захищається ресурсів та їх
результат. p>
Особливо
варто відзначити наявність в СЗІ захисту завантаження операційної системи з гнучких
магнітних дисків та CD-ROM, яка забезпечує захист самих засобів захисту від
"злому" з використанням спеціальних технологій. У різних СЗІ
існують програмні та апаратно-програмні реалізації цього захисту, проте
практика показує, що програмна реалізація не забезпечує необхідної
стійкості. p>
Контроль
цілісності засобів захисту і захищаються файлов полягає в підрахунку та
порівнянні контрольних сум файлів. При цьому використовуються різної складності
алгоритми підрахунку контрольних сум. p>
Незважаючи
на функціональну спільність засобів захисту інформації даної групи, СЗІ
різних виробників розрізняються: умовами функціонування (операційна
Середа, апаратна платформа, автономні комп'ютери та обчислювальні мережі);
складністю налаштування і управління параметрами СЗІ; використовуваними типами
ідентифікаторів; переліком подій, що підлягають реєстрації; вартістю засобів
захисту. p>
З
розвитком мережевих технологій з'явився новий тип СЗІ - міжмережеві екрани
(firewalls), які забезпечують вирішення таких завдань, як захист підключень до
зовнішніх мереж, розмежування доступу між сегментами корпоративної мережі,
захист корпоративних потоків даних, переданих по відкритих мережах. p>
Захист
інформації при передачі її по каналах зв'язку здійснюється засобами
криптографічного захисту (СКЗІ). Характерною особливістю цих коштів є
те, що вони потенційно забезпечують найвищий захист переданої інформації
від несанкціонованого доступу до неї. Крім цього, СКЗІ забезпечують захист
інформації від модифікації (використання цифрового підпису та імітовставки). p>
Як
правило, СКЗІ функціонують в автоматизованих системах як самостійне
засіб, однак в окремих випадках СКЗІ може функціонувати в складі
засобів розмежування доступу як функціональна підсистема для посилення захисних
властивостей останніх. Забезпечуючи високий ступінь захисту інформації, в той же час
застосування СКЗІ спричиняє ряд незручностей: стійкість СКЗІ є потенційною,
тобто гарантується при дотриманні ряду додаткових вимог, реалізація
яких на практиці здійснюється досить складно (створення та функціонування
ключової системи, розподіл ключів, забезпечення збереження ключів,
необхідність в отриманні ліцензії ФАПСИ на право експлуатації засобів,
планування та організація заходів при компрометації ключової системи);
відносно висока вартість експлуатація таких коштів. p>
В
Загалом, при визначенні необхідності використання засобів криптографічного
захисту інформації, необхідно враховувати те, що застосування СКЗІ виправдане в
випадках явного перехоплення дійсно конфіденційної інформації. p>
Метою
статті не є широке обговорення засобів захисту від витоку інформації
різним фізичним параметрам, що виникають при роботі технічних засобів
автоматизованих систем, однак відзначимо, що для захисту інформації від витоку
по фізичним параметрам використовуються такі методи та засоби захисту:
електромагнітне екранування пристроїв або приміщень, в яких розташована
обчислювальна техніка; активна радіотехнічна маскування з використанням широкосмугових
генераторів шумів, які широко представлені на нашому ринку. p>
Радикальним
способом захисту інформації від витоку по фізичним параметрам є
електромагнітне екранування технічних пристроїв і приміщень, однак це
спосіб вимагає значних капітальних витрат і практично не застосовується. p>
І
кілька слів про матеріали, що забезпечують безпеку зберігання,
транспортування носіїв інформації і захист їх від копіювання. В основному це
спеціальні тонкоплівкові матеріали зі змінною кольоровою гамою або
голографічні мітки, які наносяться на документи та предмети (у тому числі і
на елементи комп'ютерної техніки автоматизованих систем). Вони дозволяють:
ідентифікувати автентичність об'єкту; контролювати несанкціонований доступ
до них. p>
Засоби
аналізу захищеності комп'ютерних мереж Широкий розвиток корпоративних мереж,
інтеграція їх з інформаційними системами загального користування крім явних
переваг породжує нові загрози безпеки інформації. Причини
виникнення нових загроз характеризуються: складністю і різноманітністю
використовуваного програмного й апаратного забезпечення корпоративних мереж;
великим числом вузлів мережі, що беруть участь в електронному обміні інформацією, їх
територіальної розподілу і відсутністю можливості контролю всіх
установок; доступністю інформації корпоративних систем зовнішнім користувачам
(клієнтів, партнерів та ін) через її розташування на фізично з'єднаних
носіях. p>
Застосування
описаних вище засобів захисту інформації, а також вбудованих в операційні
системи механізмів захисту інформації не дозволяє повною мірою ліквідувати
ці загрози. Наявність постійних або тимчасових фізичних з'єднань є
найважливішим чинником, який впливає на підвищення вразливостей корпоративних
систем через проломів у використовуваних захисних та програмних засобах і витоку
інформації внаслідок помилкових або неграмотних дій персоналу. p>
Забезпечення
необхідної захисту інформаційних ресурсів підприємств в цих умовах
досягається застосуванням додаткових інструментальних засобів. До їх числа
відносяться: засоби аналізу захищеності операційних систем і мережевих
сервісів; засоби виявлення небезпечних інформаційних впливів (атак) в
мережах. p>
Засоби
аналізу захищеності операційних систем дозволяють здійснювати ревізію
механізмів розмежування доступу, ідентифікації і аутентифікації, засобів
моніторингу, аудиту та інших компонентів операційних систем з точки зору
відповідності їх налаштування та конфігурації встановленим в організації. Крім
цього, засобами даного класу проводиться контроль цілісності і незмінності
програмних засобів та системних установок і перевірка наявності вразливостей
системних і прикладних служб. Як правило, такі перевірки проводяться з
використанням бази даних вразливостей операційних систем і сервісних служб,
які можуть оновлюватися у міру виявлення нових вразливостей. p>
До
числа засобів аналізу даного класу відноситься програмний засіб
адміністратора ОС Solaris ASET (Automated Security Tool), що входить до
склад ОС Solaris, пакет програм COPS (Computer Oracle and Password System)
для адміністраторів Unix-систем, і система System Scanner (SS) фірми Internet
Security System Inc. для аналізу та управління захищеність операційних систем
Unix і Windows NT/95/98. P>
Використання
в мережах Internet/Intranet протоколів TCP/IP, які характеризуються наявністю в
них непереборних вразливостей, призвело до появи останнім часом нових
різновидів інформаційних впливів на мережеві сервіси та представляють
реальну загрозу захищеності інформації. Засоби аналізу захищеності мережевих
сервісів застосовуються для оцінки захищеності комп'ютерних мереж по відношенню до
внутрішнім і зовнішнім атакам. За результатами аналізу захищеності мережевих
сервісів засобами генеруються звіти, що включають в себе список виявлених
вразливостей, опис можливих загроз та рекомендації щодо їх усунення. Пошук
вразливостей грунтується на використанні бази даних, яка містить широко
відомі уразливості мережевих сервісних програм і може оновлюватися шляхом додавання
нових вразливостей. p>
До
числа засобів аналізу даного класу належить програма SATAN (автор
В. Венемой), Netprobe фірми Qualix Group і Internet Scanner фірми Internet
Security System Inc. P>
Найбільша
ефективність захисту інформації досягається при комплексному використанні
засобів аналізу захищеності і засобів виявлення небезпечних інформаційних
впливів (атак) в мережах. Засоби виявлення атак в мережах призначені для
здійснення контролю всього мережевого трафіку, що проходить через що захищається
сегмент мережі, і оперативного реагування у випадках нападу на вузли
корпоративної мережі. p>
Більшість
засобів даної групи при виявленні атаки в мережі сповіщають адміністратора
системи, реєструють факт нападу в журналі системи і завершують з'єднання з
атакуючим вузлом. Додатково, окремі засоби виявлення атак дозволяють
автоматично реконфігуріровать міжмережеві екрани і маршрутизатори у разі
нападу на вузли корпоративної мережі. p>
Кілька
корисних порад замість укладання Існують певні правила, яких
доцільно дотримуватися при організації захисту інформації: створення та
експлуатація систем захисту інформації є складною і відповідальною
процесом. Не довіряйте питання захисту інформації дилетантам, доручіть їх
професіоналам, не намагайтеся організувати абсолютно надійний захист - такий
просто не існує. Система захисту повинна бути достатньою, надійного,
ефективної та керованою. p>
Ефективність
захисту інформації досягається не кількістю грошей, витрачених на її організацію,
а здатністю її адекватно реагувати на всі спроби несанкціонованого
доступу до інформації; заходи щодо захисту інформації від несанкціонованого
доступу повинні носити комплексний характер, тобто об'єднувати різнорідні заходи
протидії загрозам (правові, організаційні, програмно-технічні);
основна загроза інформаційної безпеки комп'ютерних систем виходить
безпосередньо від співробітників. З урахуванням цього необхідно максимально
обмежувати як коло співробітників, які допускаються до конфіденційної інформації,
так і коло інформації, до якої вони допускаються (у тому числі і до інформації з
системі захисту). При цьому кожен співробітник повинен мати мінімум повноважень з
доступу до конфіденційної інформації. p>
Сподіваємося,
що матеріал, який приведений у статті, допоможе вам отримати
уявлення про проблему захисту інформації в комп'ютерних системах та успішно
вирішувати її в повсякденній діяльності. p>
Список літератури h2>
Для
підготовки даної роботи були використані матеріали з сайту http://www.aboutstudy.ru/
p>