VI Международная студенческая научная конференция Студенческий научный форум - 2014

Одним из главных факторов по обеспечению эффективности управления различными сферами общественной жизни, является правильное использование информации различного характера. Темпы прогресса сегодняшнего, а тем более завтрашнего дня в огромной степени зависят от состояния дел в области информационно-вычислительного обслуживания важнейших сфер деятельности – науки, техники, производства и управления.

Особенно актуальной является проблема использования экономической информации в сфере управления материальным производством, так как рост информационного потока находится в зависимости от промышленного потенциала страны. Быстрое развитие процессов автоматизации, использование компьютеров во всех сферах современной жизни, помимо несомненных преимуществ, повлекли появление ряда специфичных проблем. Одна из них – необходимость обеспечения эффективной защиты информации. Поэтому создание правовых норм, закрепляющих права и обязанности граждан, коллективов и государства на информацию, а также защита этой информации становятся важнейшим аспектом информационной политики государства.

Защита информации, особенно в экономической сфере, является очень специфическим и важным видом деятельности.

Проблема защиты информации, в том числе и экономической, является далеко не новой, и решать её люди пытались с древних времен.

На заре цивилизации ценные сведения сохранялись в материальной форме: вырезались на каменных табличках, позже записывались на бумагу. Для их защиты использовались такие же материальные объекты: стены, рвы.

Информация часто передавалась с посыльным и в сопровождении охраны. И эти меры себя оправдывали, поскольку единственным способом получения чужой информации было ее похищение. К сожалению, физическая защита имела крупный недостаток. При захвате сообщения враги узнавали все, что было написано в нем. Еще Юлий Цезарь принял решение защищать ценные сведения в процессе передачи. Он изобрел шифр Цезаря. Этот шифр позволял посылать сообщения, которые никто не мог прочитать в случае перехвата. Данная концепция получила свое развитие во время Второй мировой войны. Германия использовала машину под названием Enigma для шифрования сообщений, посылаемых воинским частям.

Конечно, способы защиты информации постоянно меняются, как меняется наше общество и технологии. Появление и широкое распространение компьютеров привело к тому, что большинство людей и организаций стали хранить информацию в электронном виде. Возникла потребность в защите такой информации.

В начале 70-х гг. XX века Дэвид Белл и Леонард Ла Падула разработали модель безопасности для операций, производимых на компьютере. Эта модель базировалась на правительственной концепции уровней классификации информации (несекретная, конфиденциальная, секретная, совершенно секретная) и уровней допуска. Если человек (субъект) имел уровень допуска выше, чем уровень файла (объекта) по классификации, то он получал доступ к файлу, в противном случае доступ отклонялся. Эта концепция нашла свою реализацию в стандарте 5200.28 "Trusted Computing System Evaluation Criteria" (TCSEC) ("Критерий оценки безопасности компьютерных систем"), разработанном в 1983г. Министерством обороны США. Из-за цвета обложки он получил название "Оранжевая книга".

"Оранжевая книга" определяла для каждого раздела функциональные требования и требования гарантированности. Система должна была удовлетворять этим требованиям, чтобы соответствовать определенному уровню сертификации.

Выполнение требований гарантированности для большинства сертификатов безопасности отнимало много времени и стоило больших денег. При составлении других критериев были сделаны попытки разделить функциональные требования и требования гарантированности. Эти разработки вошли в "Зеленую книгу" Германии в 1989г., в "Критерии Канады" в 1990г., "Критерии оценки безопасности информационных технологий" (ITSEC) в 1991г. и в "Федеральные критерии" (известные как Common Criteria - "Общие критерии") в 1992г. Каждый стандарт предлагал свой способ сертификации безопасности компьютерных систем.

Одна из проблем, связанных с критериями оценки безопасности систем, заключалась в недостаточном понимании механизмов работы в сети. При объединении компьютеров к старым проблемам безопасности добавляются новые. В "Оранжевой книге" не рассматривались проблемы, возникающие при объединении компьютеров в общую сеть, поэтому в 1987г. появилась TNI (Trusted Network Interpretation), или "Красная книга". В "Красной книге" сохранены все требования к безопасности из "Оранжевой книги", сделана попытка адресации сетевого пространства и создания концепции безопасности сети. К сожалению, и "Красная книга" связывала функциональность с гарантированностью. Лишь некоторые системы прошли оценку по TNI, и ни одна из них не имела коммерческого успеха.

В наши дни проблемы стали еще серьезнее. Организации стали использовать беспроводные сети, появления которых "Красная книга" не могла предвидеть. Для беспроводных сетей сертификат "Красной книги" считается устаревшим. Технологии компьютерных систем и сетей развиваются слишком быстро. Соответственно, также быстро появляются новые способы защиты информации.

Рассмотрим конкретные методы и средства защиты, которые используются в компьютерных сетях.

Парольная защита основывается на том, что для того, чтобы использовать какой-либо ресурс, необходимо задать пароль (некоторая комбинация символов). С помощью паролей защищаются файлы, архивы, программы и отдельные компьютеры. У парольной защиты есть недостатки - это слабая защищенность коротких паролей, которые с помощью специальных программ можно быстро раскрыть простым перебором.

Идентификацию и аутентификацию пользователей можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов.

Идентификация представляет собой процедуру распознавания пользователя (процесса) по его имени.

Аутентификация - это процедура проверки подлинности пользователя, аппаратуры или программы для получения доступа к определенной информации или ресурсу.

Криптографические методы защиты основываются на шифровании информации и программ. Готовое к передаче сообщение - будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным текстом. Такое сообщение в процессе передачи по незащищенным каналам связи может быть легко перехвачено. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в закрытый текст. Санкционированный пользователь, получив сообщение, дешифрует его обратным преобразованием криптограммы. В результате чего получается исходный открытый текст.

Шифрование может быть симметричным и асимметричным. Симметричное шифрование использует один и тот же секретный ключ для шифровки и дешифровки. Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новую проблему рассылки ключей. С другой стороны, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

При ассиметричном шифровании для шифрования используется один общедоступный ключ, а для дешифрования - другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.

Асимметричные методы шифрования позволяют реализовать так называемую электронную подпись. Идея состоит в том, что отправитель посылает два экземпляра сообщения - открытое и дешифрованное его секретным ключом. Получатель может зашифровать с помощью открытого ключа отправителя дешифрованный экземпляр и сравнить с открытым ключом. Если они совпадут, личность и подпись отправителя можно считать установленными.

Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными. Так, для решения задачи рассылки ключей сообщение сначала симметрично шифруют случайным ключом, затем этот ключ шифруют открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети.

При использовании асимметричных методов необходимо иметь гарантию подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи вводится понятие сертификационного центра, который заверяет справочник имен/ключей своей подписью.

Услуги, характерные для асимметричного шифрования, можно реализовать и с помощью симметричных методов, если имеется надежная третья сторона, знающая секретные ключи своих клиентов. Эта идея положена, например, в основу сервера аутентификации Kerberos.

В последнее время получила распространение разновидность симметричного шифрования, основанная на использовании составных ключей. Идея состоит в том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама по себе не позволяет выполнить расшифровку. Если у правоохранительных органов появляются подозрения относительно лица, использующего некоторый ключ, они могут получить половинки ключа и дальше действовать обычным для симметричной расшифровки образом.

Шифрование программ гарантирует невозможность внесения в них изменений. Криптографическая защита данных осуществляется и при хранении данных и при передаче их по сети. В настоящее время возможна как программная, так и аппаратная реализация средств криптографии.

Привязка программ и данных к конкретному компьютеру (сети или ключу). Идея этого метода заключается в том, чтобы включить в данные или в программу параметры или характеристики конкретного компьютера, что сделает невозможным чтение данных или выполнение программ на другом компьютере. Различные модификации этого метода применительно к сети могут требовать или выполнение всех операций на конкретном компьютере, или активного соединения сети с конкретным компьютером. Метод «привязки» может значительно повысить защищенность сети.

Разграничение прав доступа пользователей к ресурсам сети. Этот метод основан на использовании наборов таблиц, которые определяют права пользователей. Они построены по правилам «разрешено все, кроме» или «разрешено только». Таблицы по паролю или идентификатору пользователя определяют его права доступа к дискам, файлам, операциям чтения, записи, копирования, удаления и другим сетевым ресурсам. Такое разграничение доступа определяется, как правило, возможностями используемой операционной системой.

Управление доступом может быть достигнуто при использовании дискреционного или мандатного управления доступом.

Дискреционная модель разграничения доступа предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретного субъекта. Правом редактирования дискреционного списка контроля доступа обычно обладают владелец объекта и администратор безопасности. Эта модель отличается простотой реализации, но возможна утечка конфиденциальной информации даже в результате санкционированных действий пользователей.

Мандатная модель разграничения доступа предполагает назначение объекту метки (грифа) секретности, а субъекту - уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил «не читать выше» и «не записывать ниже». Использование мандатной модели, в отличие от дискреционного управления доступом, предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.

Протоколирование и аудит состояния системы безопасности составляют основу обеспечения безопасности корпоративной сети. Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита используются для формирования стратегии развития системы защиты информации в организации. Необходимо помнить, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу и способствовать повышению уровня информационной безопасности компании.

Межсетевой экран (МЭ) или брандмауэр (Firewall) - это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Межсетевой экран - это не одна компонента, а стратегия защиты ресурсов организации, доступных из глобальной сети.

Основная функция МЭ - централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход МЭ, его эффективность близка к нулю. МЭ обычно используются для защиты сегментов локальной сети организации.

Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. Прозрачность - это видимость МЭ как внутренним пользователям, так и внешним, осуществляющим взаимодействие через МЭ, который прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно МЭ конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу), и, с другой стороны, МЭ конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.

Важным понятием экранирования является зона риска, определяемая как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Для повышения надежности защиты, экран реализуют как совокупность элементов, так что "взлом" одного из них еще не открывает доступ ко всей внутренней сети. Экранирование и с точки зрения сочетания с другими сервисами безопасности, и с точки зрения внутренней организации использует идею многоуровневой защиты, за счет чего внутренняя сеть оказывается в пределах зоны риска только в случае преодоления злоумышленником нескольких, по-разному организованных защитных рубежей. Экранирование может использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями.

Таким образом, мы рассмотрели некоторые возможные средства защиты, ведь человечество не стоит на месте и будет продолжать развивать и усовершенствовать данные технологии.

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ:

1. Андреев Б. В. Защита прав и свобод человека и гражданина в информационной сфере // Системы безопасности, № 1, 2002. C. 10-13

2. Биячуев Т.А. Безопасность корпоративных сетей. /Под ред. Л.Г.Осовецкого. - СПб: СПб ГУ ИТМО, 2009. - 420 с.

3. Безбогов А.А. Методы и средства компьютерной информации: учебное пособие / А.А.Безбогов, А.В.Яковлев, В.Н. Шамкин. - Тамбов: Изд-во Тамб. Гос. Техн. Ун-та, 2006.-196 с.

4. Вычислительные системы, сети и телекоммуникации: Учебник. - 2-е изд., перераб. и доп. / Под ред. А.П. Пятибратова. - М.: Финансы и статистика, 2003.