Информационная безопасность в современных экономических системах

Механизмы шифрования - криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Регламентация - создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение - метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение - метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств  подразделяется на аппаратные и физические.

Аппаратные средства - устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу, такие как специализированная сеть хранения, дисковые хранилища, ленточные накопители и т.п.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации, сейфы, шкафы и т.п.

Программные средства защиты данных делятся на несколько групп по целевому назначению:

- программы идентификации  пользователей;

- программы определения  прав пользователей;

- программы регистрации  работы технических средств и  пользователей;

- программы уничтожения информации после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации;

- криптографические  программы (программы шифрования  данных).

Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

 

4. Формальные модели безопасности

 

Во время работы в Интернете  вам могут угрожать не только вирусы, но и хакеры – злоумышленники, которые  с помощью специальных программ стремятся проникнуть в ваш компьютер. Попытаться получить доступ к важной информации, хранящейся на ПК, могут и некоторые сайты (в автоматическом режиме). Существуют еще так называемые шпионские программы, не случайно выделенные в особую группу. Попав на ваш компьютер, подобная программа (ничем, как и вирусы, не проявляя своего присутствия) незаметно собирает нужную информацию, отправляя ее при первой возможности на определенный сайт. Некоторые программы этой группы могут отслеживать даже строго конфиденциальную информацию – пароли, личные данные и др.

Как же защитить себя от всех этих опасностей? Первое, что вам нужно сделать, установить специальные защитные программы. На сегодняшний день наиболее надежным считается применение антивирусной программы и брандмауэра. Необходимым условием при этом должно быть регулярное (не реже одного раза в неделю) обновление антивирусной базы. Компания Microsoft непрерывно работает над улучшением операционной системы Windows XP и постоянно выпускает обновления, устраняющие различные бреши в безопасности. Установка таких обновлений повышает защищенность вашего компьютера в целом, уменьшая возможность несанкционированного к нему доступа.

Антивирусы

На каждом компьютере, даже если он не подключен к Интернету, обязательно должна работать программа, обеспечивающая защиту от вирусов. С этой целью вы можете использовать, например, программы Антивирус Касперского или Norton AntiVirus. Как уже говорилось, подобную программу недостаточно просто установить – необходимо регулярно ее обновлять, обеспечивая, таким образом, возможность отслеживания и уничтожения новых вирусов, которые появляются практически ежедневно.

Антивирусные программы не гарантируют  обнаружения неизвестных вирусов, но многие из них содержат специальные  “интеллектуальные” алгоритмы для выявления подозрительных файлов. При обнаружении подобного файла рекомендуется как можно скорее загрузить последние обновления антивирусных баз.

Одно из важнейших требований, которое  необходимо неукоснительно выполнять  для надежной защиты компьютера от вирусных атак, – систематическое обновление антивирусных баз. Этот процесс осуществляется либо автоматически по расписанию, либо пользователем вручную. Разработчики программы рекомендуют выполнять обновление антивирусных баз по расписанию.

Брандмауэры

Брандмауэр – это программа, контролирующая и фильтрующая данные, передаваемые из одной сети в другую.

Брандмауэры часто также называют файрволами (от англ. firewall – противопожарная  перегородка).

Программа устанавливается для  того, чтобы заблокировать несанкционированный доступ к компьютеру из Интернета, а иногда и доступ локальных программ в Интернет. Оба вида доступа могут применяться злоумышленниками для неблаговидных целей – распространения вирусов, спама, выведывания какой-либо важной информации и т. д. Некоторые типы вирусов способны даже захватить контроль над компьютером, и незаметно для вас он будет использоваться в корыстных целях.

Средствам антивирусной защиты чаще всего приходится иметь дело с  последствиями нарушения безопасности компьютера, когда вирусы или другие вредоносные программы уже проникли на ваш компьютер. Брандмауэр же предотвращает многие проблемы, не позволяя нанести вред вашему компьютеру. К тому же он не требует постоянного обновления, и этим принципиально отличается от других антивирусных программ. Следует, однако, заметить, что ни один брандмауэр не защитит вас от опасностей, которым вы сами подвергаете свой компьютер. Речь идет, прежде всего, о зараженных вирусами файлах, которые вы могли скачать из Интернета, получить по электронной почте или из других источников. При работе в локальной сети ваш компьютер также подвержен опасности, зачастую ничуть не меньшей, чем при работе в Интернете. Программа-брандмауэр способна защищать ваш ПК и в этом случае, однако потребуется более сложная настройка ее параметров. По данному вопросу лучше всего проконсультироваться с администратором локальной сети.

Брандмауэр Windows XP

Обновление Service Pack 2 для Windows XP добавляет  в состав операционной системы интегрированный брандмауэр. Он является не очень мощным, но вполне надежным средством защиты от внешних угроз. Данный брандмауэр способен отслеживать запросы на доступ к вашему компьютеру, поступающие из Интернета. Если такой запрос поступит от программы, которая не включена вами в список разрешенных, брандмауэр просто его заблокирует.

 

5. Шифрование

 

Шифрование является основным элементом  криптографии.

Криптография – одно из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации.

Шифрование информации – это нестандартная кодировка данных, исключающая или серьезно затрудняющая возможность их прочтения без соответствующего программного или аппаратного обеспечения и, как правило, требующая для открытия данных предъявления строго определенного ключа.

В состав криптографической системы  входят:

1) один или несколько алгоритмов  шифрования;

2) ключи, используемые этими  алгоритмами шифрования;

3) подсистемы управления ключами;

4) незашифрованный и зашифрованный  тексты.

Цели шифрования

1. статистическая защита информации исключает или серьезно затрудняет доступ к информации лицам, не владеющим паролем. Наиболее распространенной формой информации является прозрачное шифрование (рисунок 2).

 

Общая схема прозрачного шифрования

Рисунок 2. Общая схема прозрачного  шифрования

 

2. разделение прав и контроль  доступа к данным

3. защита отправленных данных  через третьи лица.

4. идентификация подлинности и контроль целостности переданных через третьих лиц данных.

Методы шифрования подразделяются на 2 группы:

1) Симметричные классические методы с секретным ключом. При этом методе для шифрования и расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договариваются заранее. Основной недостаток симметричного шифрования состоит в том, что ключ должен быть известен как отправителю, так и получателю, откуда возникает новая проблема безопасной рассылки ключей. Существует вариант, основанный на использовании составных частей, когда секретный ключ делится на две части, хранящиеся отдельно. Таким образом, каждая часть сама по себе не позволяет выполнить расшифровку.

2) Ассиметричные методы с открытым ключом, в которых для зашифровки и дешифрации требуется применение 2-х различных ключей (один называется секретным (приватным), другой  - открытым (публичным)). Причем пара ключей всегда такова, что по публичному невозможно определить приватный и не один из них не подходит для решения обратной задачи. Недостаток этого метода – низкое быстродействие.

Дополнительным методом защиты шифруемых данных и проверки их целостности  является электронная или цифровая подпись. Она добавляется к сообщению и может шифроваться вместе с ним. Алгоритмы создания электронной подписи:

1) DSA (Digital Signature Authorization) – алгоритм с использованием открытого ключа для создания электронной подписи;

2) Электронная подпись, запатентованная корпорацией RSA Data Security, позволяющая проверять целостность сообщения и личность лица, создавшего электронную подпись.

Электронная подпись – вставка в данные фрагмента инородной зашифрованной информации и применяемая для идентификации подлинности переданных данных через третьи лица документов и произвольных данных.

Сама информация при этом не защищается, то есть остается доступной для тех  лиц, через которых она передается. Все системы электронных подписей базируются на шифровании с открытым ключом. Публичный ключ дешифрации может быть добавлен непосредственно к подписи так, что вся информация, необходимая для контроля целостности данных может находится в одном «конверте». Достоверность электронной подписи целиком и полностью определяется качеством шифрующей системы.

Контроль права доступа: простейшее средство защиты данных и ограничение использования компьютерных ресурсов, предназначенное для ограждения паролем определенной информации и системных ресурсов от лиц, не имеющих к ним отношение или не обладающих достаточной для этого квалификацией.

Любое зашифрованное сообщение всегда может быть расшифровано. Перед непосредственной обработкой информации и выдачей ее пользователю производится расшифровка. При этом информация становится открытой для перехвата.

 

6. Организационно-техническое обеспечение компьютерной

Безопасности

 

Организационное обеспечение  – это регламентация производственной

деятельности и взаимоотношений  исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий.

Организационное обеспечение компьютерной безопасности включает в себя ряд  мероприятий:

- организационно-административные;

- организационно-технические;

- организационно-экономические.

Организационно-административные мероприятия  предполагают:

- минимизацию утечки информации через персонал (организация меро-