КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Захист інформації в комп'ютерному середовищіЗахист інформації в комп'ютерному середовищі с організованою сукупністю правових заходів, засобів і методів (організаційних, технічних, програмних), які покликані попереджувати або знижувати можливість створення каналів відтоку інформації, викривлення інформації, що обробляється або зберігається. Із зростанням обсягів обробки інформації в комп'ютерних мережах, розширенням кола її споживачів, розповсюдженням багатопрограмних режимів роботи комп'ютерної техніки, а також впровадженням перспективних інформаційних систем дана проблема набуває нового значення у зв'язку із зростанням ролі програмно-технічного посередника між людиною-користувачем та інформаційними об'єктами, що, в свою чергу, викликало створення додаткових способів захисту інформації. Проблема захисту інформації набуває особливого значення в сфері економіки, що характеризується підвищеними вимогами до прихованості та оперативності обробки інформації. Найбільше від комп'ютерних злочинів потерпають розвинуті у технічному відношенні країни, однак і в інших країнах, з початком процесу комп'ютеризації створюються сприятливі умови для здійснення таких злочинів. Зокрема, глобальна комп'ютерна мережа Інтернет надає можливість увійти до будь-якої світової відомчої комп'ютерної системи. Крім того, це можна зробити майже з будь-якої точки світу. Інформаційна безпека українських підприємств, на відміну від розвинених країн, поки що значно менше залежить від комп'ютерних мереж. В основному комп'ютерні злочини в Україні здійснюються у фінансово-кредитній сфері. Робота в мережі також є джерелом небезпеки. Чим ширше розвивається Інтернет, тим більше можливостей для порушення безпеки комп'ютерів. За останній чає в Інтернеті різко збільшилось число вірусних, а також "шпигунських" програм типу "троянського коня" і просто крадіжок паролів різними користувачами. Комп'ютерна безпека зводиться до наступних аспектів: - інформаційна безпека; - безпека самого комп'ютера; - організація безпечної роботи користувача з комп'ютерною технікою. Захист інформації є першою життєвою необхідністю будь-якої системи, що не може не зацікавити керівників, які розуміють цінність комерційної таємниці підприємств. Система, що проектується, повинна сприяти захисту інформації підприємства і забезпечувати надійність та безпеку інформації в системі. Якісна інформаційна система повинна виконувати наступні функції щодо безпеки даних: 1) поділ доступу до функцій і даних системи шляхом авторизації користувачів за паролем; 2) шифрування даних; 3) наявність контролю за входом до системи і ведення журналу робочого часу; 4) контроль за періодичністю створення резервних (архівних) копій інформації. Майже в усіх підприємствах існують спеціальні підрозділи, які займаються захистом конфіденційної інформації від несанкціонованого доступу, їх головним завданням є формування програми роботи в сфері інформаційної безпеки та забезпечення її виконання шляхом виділення необхідних ресурсів та постійного контролю стану справ. Основними завданнями співробітників, які забезпечують інформаційну безпеку, є: - розробка та впровадження політики інформаційної безпеки підприємства; - проведення організаційних заходів для підтримки політики безпеки; - застосування необхідних механізмів захисту (технічних засобів); - модернізація системи інформаційної безпеки тощо. Співробітники, які працюють у напрямі комп'ютерної безпеки, повинні володіти такими ж знаннями, як і системні адміністратори, тобто бути ознайомленим з операційними системами та різними прикладними продуктами, що використовуються на підприємстві повинні бути не гіршими, ніж у адміністратора мережі. Основною програмою захисту інформації с багаторівнева політика безпеки, яка відображає підхід певного підприємства до захисту своїх інформаційних активів. Політика безпеки с сукупністю умов, за яких користувачі обчислювальної системи можуть отримати доступ до інформації та ресурсів, не порушуючи при цьому її цілісності та не сприяючи її витоку. Таким чином, політика безпеки визначає організаційно-технічні і програмно-апаратних вимоги, які повинні бути виконані при реалізації певної системи захисту інформації. Політика безпеки включає правила та норми поведінки при обробці, захисті, а також розповсюдженні конфіденційної облікової інформації. Зокрема, правила визначають, в яких випадках користувач мас право працювати з певними наборами даних. Від надійності комп'ютерної системи залежить суворість та різноманітність правила, які забезпечують політику безпеки. Безпека інформації в інформаційних системах забезпечується за допомогою основних пунктів безпеки, до яких належать: - ідентифікація та аутентифікація (перевірка справжності); - керування доступом; - протоколювання; - криптографія; - екранування. Ідентифікація і аутентифікація полягає в тому, що кожен користувач, перш ніж одержати право на здійснення будь-яких дії в системі, повинен ідентифікувати себе. Звичайний спосіб ідентифікації введення імені користувача при вході в систему. У свою чергу система повинна перевірити автентичність особи користувача, тобто що він є саме тим, за кого себе видає. Стандартний засіб перевірки аутентифікації - пароль, хоча можуть використовуватися також різного роду особисті картки, біометричні пристрої, такі як, наприклад, сканування оболонки ока або відбитків пальців, або ж їх комбінація. Ідентифікацію та аутентифікацію можна вважати основою програмно-технічних засобів безпеки. Вони є першою лінією захисту всієї системи інформаційної безпеки організації. Ідентифікація дозволяє користувачу або обчислювальному процесу, який діє за його командою, ідентифікувати себе шляхом повідомлення свого імені. За допомогою процесу аутентифікації друга сторона переконується, що користувач, який намагається увійти в операційну систему, дійсно той, за кого себе видає. Справжність суб'єкта підтверджується хоча б однією з наступних вимог: - те, що він знає (пароль, особистий ідентифікаційний номер, криптографічний ключ тощо); - те, що він має (особиста картка або інший пристрій аналогічного призначення); - те, що є частиною його самого (голос, відбитки пальців, сітківка ока тощо, тобто біометричні характеристики користувача); - те, що асоціюється з ним (координати). Найбільш розповсюдженим та дешевим засобом аутентифікації е паролі. Принцип дії системи паролів полягає в наступному: операційна система порівнює введений та завчасно заданий для даного користувача пароль, і у випадку їх збігу справжність користувача є доведеною. Основними перевагами системи парольної аутентифікації є простота та звичність. При правильному використанні паролі можуть забезпечити прийнятний для багатьох організацій рівень безпеки. Але за сукупністю характеристик систему парольної аутентифікації потрібно визнати найбільш слабким засобом перевірки справжності. В основу надійності паролів як ідентифікаторів покладено здатність користувача пам'ятати та зберігати їх у таємниці. Але введення паролю можна підгледіти або вгадати його, наприклад за допомогою словника. Якщо файл паролів зашифрований, але є доступним для читання, його можна перекачати до себе на комп'ютер і спробувати підібрати пароль за допомогою спеціального програмного забезпечення. Найбільш принциповим недоліком системи парольної аутентифікації, який неможливо компенсувати покращенням адміністрування або навчанням користувачів, є уразливість паролів відносно електронного перехоплення. Практично єдиним засобом вирішення цієї проблеми вважається використання криптографії для шифрування паролів перед передачею лініями зв'язку. Перераховані заходи підвищення надійності системи безпеки доцільно застосовувати навіть при одночасному використанні з паролями інших методів аутентифікації. Наступними за популярністю після парольної системи безпеки є секретні криптографічні ключі користувачів. Засоби керування доступом дозволяють специфікувати та контролювати дії, які користувачі можуть виконувати над інформацією та іншими комп'ютерними ресурсами, тобто логічне керування доступом, яке реалізується програмними засобами. Логічне керування доступом є основним механізмом гарантії безпеки інформаційних систем, яке забезпечує конфіденційність та цілісність об'єктів шляхом заборони обслуговування неавторизованих користувачів. Основне завдання логічного керування доступом полягає в тому, що для кожної пари (суб'єкта, об'єкта) визначається безліч допустимих операцій, яка залежить від деяких додаткових умов, а також здійснюється подальший контроль над виконанням встановленого порядку доступу. За допомогою параметрів управління доступу до інформації реалізуються наступні заходи захисту інформації: - присвоєння кожному користувачу персонального імені, коду, паролю та розпізнавання його за наданим ним ідентифікатором; - перевірка повноважень, яка полягає у перевірці відповідності дня тижня, часу дня, а також ресурсів і процедур за встановленим для користувача регламентом; - визначення та забезпечення умов праці для кожного користувача в межах встановленого для нього регламенту; - реєстрація запитів відносно ресурсів, які захищаються; - відмова, відключення, сигналізація при спробах несанкціонованих дій. Аналіз реєстраційної інформації передбачає, наявність засобів вибіркового протоколювання як відносно користувачів, тобто здійснюється стеження лише за підозрілими особами, так і відносно подій, зокрема, вхід та вихід із комп'ютерної інформаційної системи, звернення до видаленої системи, операції з файлами, зміна прав доступу користувачів інформації. Протоколювання допомагає стежити за користувачами та відтворювати здійснені події. Реконструкція подій дозволяє проаналізувати випадки порушень, зрозуміти, чому вони стали можливі, оцінити розміри збитку і вжити заходів щодо уникнення подібних порушень в майбутньому. При здійсненні протоколювання події фіксуються наступні дані: - дата та час здійснення події; - унікальний ідентифікатор користувача, який є ініціатором дії; - тип події; - результат дії (успіх або невдача); - імена об'єктів (файлів), які відкриваються або видаляються. Головними цілями реалізації процесів протоколювання та аудиту є: - забезпечення підзвітності користувачів та адміністраторів; - забезпечення можливості реконструювання послідовності подій; - виявлення спроб порушення інформаційної безпеки; - подання інформації для виявлення та аналізу проблем. Забезпечення підзвітності можна віднести до класу профілактичних засобів, або засобів затримання несанкціонованого доступу до інформації. Якщо всі користувачі та адміністратори повідомлені про те, що будь-які їх дії фіксуються, вони, можливо, не спричинять незаконних операцій. Якщо існують будь-які підстави підозрювати користувача або адміністратора в протизаконних намірах, то можна реєструвати їх дії особливо детально, практично до кожного натискання клавіші. При цьому забезпечується не лише можливість розслідування випадків порушення режиму безпеки, але й вчасне припинення несанкціонованих дій. Одним з найбільш вагомих засобів забезпечення конфіденційності та контролю цілісності інформації є метод криптографії. Він займає центральне місце серед програмно-технічних засобів безпеки, є основою реалізації багатьох складних ситуацій і в той же час останньою межею захисту. Основним елементом криптографії є шифрування, тобто перетворення даних в нечитабельну форму за допомогою ключів шифрування-розшифровки. Криптографічні програми засновані на використанні методів шифрування (кодування) інформації. Вони є надійними засобами захисту інформації в комп'ютерному середовищі. Криптосистема складається з одного або декількох алгоритмів шифрування (виражених за допомогою математичних формул), ключів, що використовуються цими алгоритмами шифрування, підсистеми керування ключами, незашифрованого та зашифрованого текстів. До тексту, який необхідно зашифрувати, застосовуються алгоритм шифрування та ключ для отримання з нього зашифрованого тексту. Далі зашифрований текст передасться до місця призначення, де той же алгоритм використовується для його розшифровки, щоб отримати розшифрований текст. Екранування дає можливість контролювати також Інформаційні потоки, які направлені у зовнішню сферу, що сприяє підтриманню режиму конфіденційності. Окрім функцій розмежування доступу екрани здійснюють також протоколювання інформаційних обмінів з можливістю їх подальшого аудиту. Як приклад, можна навести міжмережеві екрани або брандмауери, які встановлюють для захисту локальної мережі підприємства, яка маг вихід до Інтернету. Як вже відмічалося раніше, одним з найважливіших аспектів системи захисту є система паролів працівників. Вхід користувачів та введення паролів можна назвати першою "лінією оборони" системи захисту інформації від несанкціонованого доступу. Після отримання користувачем дозволу на доступ у мережу шляхом вводу правильного ідентифікатора та пароля він переходить до другої лінії оборони, сутність якої полягає в тому, що мережа визначає привілеї, якими володіє певний користувач. Спочатку всім користувачам мережі надаються рівні права працівників однієї системи. Але деякі з них мають відповідні додаткові права або привілеї, які відрізняють таких користувачів від решти працівників організації. Певний тип мережевої операційної системи визначає, які саме привілеї можна встановлювати у своїй мережі. В більшості підприємства права доступу для користувачів поширюються на цілі каталоги, хоча, можливо, встановити і спеціальний доступ до деяких окремих файлів або груп файлів. При цьому використовується спеціалізоване ім'я файлу. У мережі одна людина повинна мати необмежений доступ до всієї інформації, яка зберігається у мережі, і до всіх мережевих ресурсів. Така людина називається контролером мережі або адміністратором. Головним завданням адміністратора є встановлення та безперебійна робота системи захисту, через це на цього користувача не поширюються жодні захисні обмеження. У більшості мережевих операційних систем адміністраторський вхід відкривається автоматично при встановленні системи. Ідентифікатор користувача і пароль, які використовуються в цьому вході, повинні бути відображені в мережевій документації. Вони однакові для будь-якої системи даного типу. Але в подальшому необхідно замінити цей пароль, тому що будь-який користувач, що знає стандартні ідентифікатор та пароль, встановлювані системою для адміністраторського входу, зможе працювати у мережі з необмеженими можливостями доступу до будь-яких компонентів системи Окрім злочинів, які здійснюються з використанням новітніх комп'ютерних технологій, що завдають значних економічних збитків, суспільство стає все більш залежним від роботи комп'ютерних інформаційних систем у різноманітних галузях людської діяльності, починаючи від управління підприємствами, і закінчуючи розробкою національної безпеки держави. Іноді навіть незначний збій у функціонуванні таких систем може призвести до реальної загрози несанкціонованого витоку конфіденційної інформації. Крім того, стрімке зростання глобальних комп'ютерних та телекомунікаційних мереж, а також можливість підключення до них через звичайні телефонні лінії посилюють можливості їх використання для здійснення несанкціонованого доступу до інформації, яка мас обмежений доступ.
|