Информационная безопасность

Понятие информационной безопасности

Информационная безопасность - защищенность информационных ресурсов и систем от внешних и внутренних посягательств и угроз для граждан, организаций и государственных органов.

Для граждан информационная безопасность выражается в защищенности:

- их персональных компьютеров;

- их личной информации в информационных системах и сетях;

- результатов их интеллектуальной деятельности.

Для организаций – защищенность:

- от внешних посягательств на служебную информацию;

- корпоративных информационных систем и сети ПК;

- принадлежащей им интеллектуальной собственности.

Для государства – защита:

- от внешних и внутренних угроз национальных информационных ресурсов и государственных информационных систем;

- телекоммуникационных инфраструктур, организаций и служб.

Работа на ПК – это работа с программами, файлами, документами и базами данных, хранящимися в памяти ПК. Неправильное обращение с ними или с компьютером может привести к их утрате или к неработоспособности ПК.

Информация в ПК – в личных или служебных компьютерах, на сетевых серверах приобретает все большую ценность, и ее утрата или модификация может принести значимый материальный ущерб.

Для надежности хранения информация копируется на компакт-диски, либо жесткие диски сетевых серверов. Особо ценная информация копируется в двух экземплярах на разных носителях.

Для пакетов программ средством хранения и восстановления копий на персональных компьютерах служат компакт-диски, а в сети ПК – архивные копии на общедоступных серверах.

Для ограничения доступа во всех операционных системах и сетевых информационных системах применяется регистрация пользователей с проверкой паролей доступа к тем или иным ресурсам ПК.

Правовая охрана информации

Правовая охрана программ для ПК и баз данных введена в Российской Федерации Законом РФ «О правовой охране программ для электронных вычислительных машин и баз данных», который вступил в силу в 1992 году.

Предоставляемая настоящим законом правовая охрана распространяется на все виды программ для ПК. Правовая охрана не распространяется на идеи и принципы, лежащие в основе программы для ПК, в том числе на идеи и принципы организации интерфейса и алгоритма.

Авторское право

Информация на ПК, а также программы и базы данных для ПК согласно российским законам и международному праву является предметом авторского права и объектами интеллектуальной собственности.

На электронные книги, сайты, базы данных и программы для ПК распространяются те же авторские права, что и на обычные литературные, научные и художественные произведения.

Для признания и осуществления авторского права на программы для ПК не требуется ее регистрация в какой-либо организации. Оно возникает автоматически при их создании.

Автором считается лицо, творческим трудом которого создано произведение. Авторские права фиксируются знаком © copyright – право копий (alt + 0169) с указанием фамилии (псевдонима) и года создания.

Сайты в Интернете являются объектами авторского права. Т.к. всякий гипертекст – это программа для клиентских ПК, а сами сайты – это базы данных, представляющие совокупность гипертекстов на сетевых серверах.

Автору программы принадлежит исключительное право осуществлять воспроизведение и распространение программы любыми способами, а также модификацию программы.

Организация или пользователь, правомерно владеющий экземпляром программы (купивший лицензию на ее использование), вправе без получения дополнительного разрешения разработчика осуществлять любые действия, связанные с функционированием программы, в том числе ее запись и хранение в памяти ПК. Запись и хранение в памяти ПК допускаются в отношении одной ПК или одного пользователя в сети, если другое не предусмотрено договором с разработчиком.

В отношении организаций или пользователей, которые нарушают авторские права, разработчик может потребовать возмещения причиненных убытков и выплаты нарушителем компенсации в определяемой по усмотрению суда сумме от 5000-кратного до 50 000-кратного размера минимальной месячной оплаты труда.

Электронная подпись

В 2002 году был принят Закон РФ «Об электронно-цифровой подписи», который стал законодательной основой электронного документооборота в России. По этому закону электронная цифровая подпись в электронном документе признается юридически равнозначной подписи в документе на бумажном носителе.

При регистрации электронно-цифровой подписи в специализированных центрах корреспондент получает два ключа: секретный и открытый. Секретный ключ хранится на дискете или смарт-карте и должен быть известен только самому корреспонденту. Открытый ключ должен быть у всех потенциальных получателей документов и обычно рассылается по электронной почте.

Процесс электронного подписания документа состоит в обработке с помощью секретного ключа текста сообщения. Далее зашифрованное сообщение посылается по электронной почте абоненту. Для проверки подлинности сообщения и электронной подписи абонент использует открытый ключ.

Защита информации

Методы обеспечения информационной безопасности:

1. Авторизация - этот метод позволяет создавать группы пользователей, наделять эти группы разными уровнями доступа к сетевым и информационным ресурсам и контролировать доступ пользователя к этим ресурсам;

2. Идентификация и аутентификация. Идентификация позволяет определить субъект (терминал пользователя, процесс) по уникальному номеру, сетевому имени и другим признакам. Аутентификация – проверка подлинности субъекта, например, по паролю, PIN-коду, криптографическому ключу и т.д.

Методы аутентификации:

1. Парольная аутентификация

В настоящее время парольная аутентификация является наиболее распространенной, прежде всего, благодаря своему единственному достоинству – простоте использования. Однако, парольная аутентификация имеет множество недостатков:

В отличие от случайно формируемых криптографических ключей (которые, например, может содержать уникальный предмет, используемый для аутентификации), пароли пользователя бывает возможно подобрать из-за достаточно небрежного отношения большинства пользователей к формированию пароля. Часто встречаются случаи выбора пользователями легко предугадываемых паролей.

Существуют и свободно доступны различные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств. Например, на сайте www.lostpassword.com описана утилита подбора пароля для документа Microsoft Word 2000 (Word Password Recovery Key), предназначенная для восстановления доступа к документу, если его владелец забыл пароль. Несмотря на данное полезное назначение, ничто не мешает использовать эту и подобные ей утилиты для взлома чужих паролей

Пароль может быть получен путем применения насилия к его владельцу.

Пароль может быть подсмотрен или перехвачен при вводе.

Биометрическая аутентификация

Используется аутентификация по геометрии руки, радужной оболочки сетчатки глаза, клавиатурный почерк (Клавиатурный почерк — это не только скорость ввода информации, но и интервалы между нажатием на клавиши и число перекрытий между ними, время удержания мыши, степень аритмичности при наборе текста и использование функциональных клавиш. Это даже частота возникновения ошибок при вводе!), отпечатки пальцев и т.п.

Технические средства аутентификации

1. SMART-карты - интеллектуальные карты - пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, управляющую устройством и контролирующую доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления.

Назначение смарт-карт — одно- и двухфакторная аутентификация пользователей, хранение ключевой информации и проведение криптографических операций в доверенной среде.

Смарт-карты находят всё более широкое применение в различных областях, от систем накопительных скидок до кредитных и дебетовых карт, студенческих билетов, телефонов стандарта GSM и проездных билетов.

Смарт-карта более безопасное хранилище закрытого ключа. Для доступа к защищенной информации, хранящейся в памяти смарт-карты, требуется пароль, называемый PIN-кодом.

2. е-Token (электронный ключ), USB-ключ - аппаратное устройство, представляющее собой комбинацию смарт-карты и устройства чтения смарт-карт.

3. ОТР-Token, Однора́зовый паро́ль (one time password) — мобильное персональное устройство, принадлежащее определенному пользователю, генерирующее одноразовые пароли, используемые для аутентификации данного пользователя. Действие одноразового пароля также может быть ограничено определённым промежутком времени.

Аутентификация с одноразовым паролем обладает устойчивостью к атаке анализа сетевых пакетов, что дает ей значительное преимущество перед запоминаемыми паролями.

Определение координат пользователя:

1. GPS (Global Positioning System — система глобального позиционирования) — спутниковая система навигации, обеспечивающая измерение расстояния, времени и определяющая местоположение во всемирной системе координат. Позволяет почти при любой погоде определять местоположение в любом месте Земли (исключая приполярные области) и околоземного космического пространства. Система разработана, реализована и эксплуатируется Министерством обороны США, при этом в настоящее время доступна для использования для гражданских целей — нужен только навигатор или другой аппарат (например, смартфон) с GPS-приёмником.

2. GSM (Groupe Spécial Mobile, позже переименован в Global System for Mobile Communications) (русск. СПС-900) - глобальный стандарт цифровой мобильной сотовой связи с разделением каналов по времени и частоте. Разработан под эгидой Европейского института стандартизации электросвязи (ETSI) в конце 1980-х годов).

Криптография

Наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства.

Изначально криптография изучала методы шифрования информации — обратимого преобразования открытого (исходного) текста на основе секретного алгоритма или ключа в шифрованный текст (шифротекст). Традиционная криптография образует раздел симметричных криптосистем, в которых зашифровывание и расшифровывание проводится с использованием одного и того же секретного ключа. Помимо этого раздела современная криптография включает в себя асимметричные криптосистемы, системы электронной цифровой подписи (ЭЦП), хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию.

Криптография не занимается защитой от обмана, подкупа или шантажа законных абонентов, кражи ключей и других угроз информации, возникающих в защищённых системах передачи данных.

Криптография — одна из старейших наук, её история насчитывает несколько тысяч лет.

Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов). Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Экранирование символов - замена в тексте управляющих символов на соответствующие текстовые подстановки. Один из видов управляющих последовательностей. Обычно языки программирования, текстовые командные интерфейсы, языки разметок текста (HTML, TeX, wiki-разметка) имеют дело со структурированным текстом, в котором некоторые символы (и их комбинации) используются в качестве управляющих, в том числе управляющих структурой текста.

Разделение информационных потоков между различными информационными системами.

Физическая защита

Физические устройства защиты:

-Физические устройства доступности к сетевым узлам и линиям связи

-Противопожарные меры

-Защита поддержки инфраструктуры (электропитание, кондиционирование

-Защита мобильных и радио систем.

-Защита от перехвата данных.

Поддержка текущей работоспособности

-Резервное копирование.

-Управление носителями.

-Регламентированные работы.

5