Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Основы защиты информации

Лекция 12

Основные языки объектно-ориентированного программирования

Событийное программирование

Для объектно-ориентированного программирования характерен стиль событийногог программирования.

После создания классов роль программиста сводится к тому, чтобы описать реакции объектов на события происходящие во время работы программы.

Основные универсальные языки программирова­ния — ПАСКАЛЬ и СИ имеют объектно-ориентиро­ванные версии — Object Pascal и C++. В последнее время к этому ряду добавился язык программиро­вания Java, широко используемый в Интернете.

Язык Java применяют для написания аплетов — микропрограмм, которые встраиваются на Web-страницу наряду с графикой и текстом и в виде данных передаются на компьютер клиента, просматривающего Web-страницу. Запускаются и работают аплеты уже на компьютере клиента, принявшего их из сети Средство выполнения байтового кода Jawa может находиться в той программе, помощью которой выполняется просмотр Web-страниц, то есть в обозревателе, например в Netscape Navigator или в Microsoft Internet Explorer, хотя не все обозреватели поддерживают воспроизведение Java-аплетов. Если эта функция пользователю важна, он выбирает соответствующий обозреватель. Если она ему мешает, он может ее отключить или использовать обозреватель, который ее не поддерживает.

 

 


План лекции:

1. Виды угроз информационной безопасности.

2. Методы и средства защиты информации.

3. Обеспечение информационной безопасности на уровне государства.

Литература:

Виды угроз информационной безопасности

Наряду с интенсивным развитием вычислительных средств и сис­тем передачи информации все более актуальной становится про­блема обеспечения ее безопасности. Меры безопасности направле­ны на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемой информации.

Зарубежные публикации последних лет показывают, что зло­употребления информацией, передаваемой по каналам связи, со­вершенствовались не менее интенсивно, чем средства их преду­преждения. В этом случае для защиты информации требуется не просто разработка частных механизмов защиты, а организация це­лого комплекса мер, т.е. использование специальных средств, ме­тодов и мероприятий с целью предотвращения потери информа­ции. Сегодня рождается новая современная технология — техно­логия защиты информации в компьютерных информационных сис­темах и в сетях передачи данных.

Несмотря на предпринимаемые дорогостоящие методы, функцио­нирование компьютерных информационных систем обнаружило сла­бые места в защите информации. Неизбежным следствием стали по­стоянно увеличивающиеся расходы и усилия на защиту информации. Однако для того, чтобы принятые меры оказались эффективными, необходимо определить, что такое угроза безопасности информации, выявить возможные каналы утечки информации и пути несанкциони­рованного доступа к защищаемым данным.

Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или не­санкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства..

Угрозы принято делить на случайные, или непреднамеренные, и умышленные. Источником первых могут быть ошибки в програм­мном обеспечении, выходы из строя аппаратных средств, непра­вильные действия пользователей или администрации и т.п. Умыш­ленные угрозы, в отличие от случайных, преследуют цель нанесе­ния ущерба пользователям АИТ и, в свою очередь, подразделяются на активные и пассивные.

Пассивные угрозы, как правило, направлены на несанкциониро­ванное использование информационных ресурсов, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, попытка получения информации, циркули­рующей в каналах, посредством их прослушивания.

Активные угрозы имеют целью нарушение нормального процес­са функционирования посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К ак­тивным угрозам относятся, например, разрушение или радиоэлек­тронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных или в системной информации в компьютерных технологиях и т.д. Ис­точниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

К основным угрозам безопасности информации относят:

· раскрытие конфиденциальной информации; компрометация информации;

· несанкционированное использование информационных ре­сурсов;

· ошибочное использование информационных ресурсов;

· несанкционированный обмен информацией;

· отказ от информации;

· отказ в обслуживании.

Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т.п. В любом случае получе­ние информации, являющейся достоянием некоторого лица (группы лиц) другими лицами, наносит ее владельцам сущест­венный ущерб.

Компрометация информации, как правило, реализуется посред­ством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изме­нений и восстановления истинных сведений. В случае использова­ния скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями.

Несанкционированное использование информационных ресурсов, с одной стороны, является средством раскрытия или компрометации информации, а с другой — имеет самостоятельное значение, по­скольку, даже не касаясь пользовательской или системной инфор­мации, может нанести определенный ущерб абонентам и админи­страции. Этот ущерб может варьироваться в весьма широких пре­делах — от сокращения поступления финансовых средств до пол­ного выхода АИТ из строя.

Ошибочное использование информационных ресурсов будучи санк­ционированным тем не менее может привести к разрушению, рас­крытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в програм­мном обеспечении АИТ.

Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к ко­торым ему запрещен, что по своим последствиям равносильно рас­крытию содержания банковской информации.

Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправ­ки. В условиях банковской деятельности это, в частности, позволя­ет одной из сторон расторгать заключенные финансовые соглашения «техническим» путем, формально не отказываясь от них и на­нося тем самым второй стороне значительный ущерб.

Отказ в обслуживании представляет собой весьма существенную и распространенную угрозу, источником которой является сама АИТ. Подобный отказ особенно опасен в ситуациях, когда задерж­ка с предоставлением ресурсов абоненту может привести к тяже­лым для него последствиям. Так, отсутствие у пользователя данных, необходимых для принятия решения, в течение периода вре­мени, когда это решение еще возможно эффективно реализовать, может стать причиной его нерациональных Или даже антимонопольных действий.

Наиболее распространенными путями несанкционированного доступа к информации, сформулированными на основе анализа зарубежной печати, являются:

· перехват электронных излучений;

· принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;

· применение подслушивающих устройств (закладок);

· дистанционное фотографирование;

· перехват акустических излучений и восстановление текста принтера;

· хищение носителей информации и документальных отходов;

· чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

· копирование носителей информации с преодолением мер защиты;

· маскировка под зарегистрированного пользователя;

· мистификация (маскировка под запросы системы);

· использование программных ловушек;

· использование недостатков языков программирования и операционных систем;

· включение в библиотеки программ специальных блоков типа «Троянский конь»;

· незаконное подключение к аппаратуре и линиям связи;

· злоумышленный вывод из строя механизмов защиты;

· • внедрение и использование компьютерных вирусов.

Особую опасность в настоящее время представляет проблема компьютерных вирусов, так как с учетом большого числа разновидностей вирусов надежной защиты против них разработать не удается. Все остальные пути несанкционированного доступа под­даются надежной блокировке при правильно разработанной и реа­лизуемой на практике системе обеспечения безопасности.

Методы и средства защиты информации

При разработке АИТ возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информа­ционных систем.

Современные АИТ обладают следующими основными признаками:

· наличием информации различной степени конфиденциальности;

· необходимостью криптографической защиты информации различной степени конфиденциальности при передаче данных;

· иерархичностью полномочий субъектов доступа и программ к АРМ, файл-серверам, каналам связи и информации системы, необходимостью оперативного изменения этих полномочий;

· организацией обработки информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени;

· обязательным управлением потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;

· необходимостью регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;

· обязательным обеспечением целостности программного обеспечения и информации в АИТ;

· наличием средств восстановления системы защиты информации;

· обязательным учетом магнитных носителей;

· наличием физической охраны средств вычислительной техники и магнитных носителей.

Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ.

Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии:

· устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТ, оценивается уровень конфиденциальности и объемы;

· определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;

· анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

· определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;

· определяются мероприятия по обеспечению режима секретности на стадии разработки.

Среди организационных мероприятий по обеспечению безопасности информации важное место занимает охрана объекта, на котором расположена защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к АИТ и линиям связи.

Функционирование системы защиты информации от несанкционированного доступа, как комплекса программно-технических средств и организационных (процедурных) решений, предусматривает:

· учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;

· ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);

· оперативный контроль за функционированием систем за­щиты секретной информации;

· контроль соответствия общесистемной программной среды эталону;

· приемку включаемых в АИТ новых программных средств;

· контроль за ходом технологического процесса обработки финансово-кредитной информации путем регистрации анализа действий пользователей;

· сигнализацию опасных событий и т.д.

Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации, какими бы совершенными эти программно-технические средства не были.

Создание базовой системы защиты информации в АИТ основывается на следующих принципах:

-Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий, означающий оптималь­ное сочетание программных аппаратных средств и организацион­ных мер защиты и подтвержденный практикой создания отечественных и зарубежных систем защиты.

-Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление пользователям минимума строго определенных полномочий, доста­точных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.

-Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в АИТ без ее предварительной регистрации.

-Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднаме­ренных ошибок пользователей и обслуживающего персонала.

-Обеспечение контроля за функционированием системы защиты, т. е. создание средств и методов контроля работоспособности ме­ханизмов защиты.

-«Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ.

-Экономическая целесообразность использования системы защиты, выражающаяся в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы зашиты информации.

Проблема создания системы защиты информации включает в себя две взаимно дополняющие задачи.

1. Разработка системы защиты информации (ее синтез).

2. Оценка разработанной системы защиты информации.

Вторая задача решается путем анализа ее технических характе­ристик с целью установления, удовлетворяет ли система защиты информации комплексу требований к таким системам.

Такая задача в настоящее время решается почти исключи­тельно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информа­ции в процессе ее внедрения.

Методы и средства обеспечения безопасности информации по­казаны на рис. 1.[1,242].

 

 

Рис.1. Методы и средства обеспечения безопасности информации
(на примере банковской системы).

Рассмотрим основное содержание представленных средств и методов защиты информации, которые составляют основу меха­низмов защиты.

Препятствие — метод физического преграждения пути зло­умышленнику к защищаемой информации (к аппаратуре, носите­лям информации и т.д.).

Управление доступом — метод защиты информации регулирова­нием использования всех ресурсов компьютерной информацион­ной системы банковской деятельности (элементов баз данных, программных и технических средств). Управление доступом вклю­чает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов систе­мы (присвоение каждому объекту персонального идентифика­тора);

• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

• разрешение и создание условий работы в пределах установленного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• реагирование (сигнализация, отключение, задержка работ, от­каз в запросе) при попытках несанкционированных действий.

Маскировка — метод защиты информации путем ее криптогра­фического закрытия. Этот метод защиты широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам свя­зи большой протяженности этот метод является единственно на­дежным.

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи за­щищаемой информации, при которых возможности несанкциони­рованного доступа к ней сводились бы к минимуму.

Принуждение — такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, пе­редачи и использования защищаемой информации под угрозой ма­териальной, административной или уголовной ответственности.

Побуждение — такой метод защиты, который побуждает пользо­вателя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодатель­ные и морально-этические.

К основным средствам зашиты, используемым для создания механизма защиты, относятся следующие:

-Технические средства реализуются в виде электрических, элек­тромеханических и электронных устройств. Вся совокупность тех­нических средств делится на аппаратные и физические. Под аппа­ратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стан­дартному интерфейсу.

-Физические средства реализуются в виде автономных уст­ройств и систем. Например, замки на дверях, где размещена аппа­ратура, решетки на окнах, электронно-механическое оборудование
охранной сигнализации.

-Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функ­ций зашиты информации.

-Организационные средства защиты представляют собой орга­низационно-технические и организационно-правовые мероприя­тия, осуществляемые в процессе создания и эксплуатации вычис­лительной техники, аппаратуры телекоммуникаций для обеспече­ния защиты информации. Организационные мероприятия охваты­вают все структурные элементы аппаратуры на всех этапах их жиз­ненного цикла (строительство помещений, проектирование ком­пьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).

-Морально-этические средства защиты реализуются в виде все­возможных норм, которые сложились традиционно или складыва­ются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обяза­тельными как законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессио­нального поведения членов Ассоциаций пользователей ЭВМ США.

- Законодательные средства защиты определяются законода­тельными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмот­ренной процедуре без непосредственного участия человека) и не­формальные (определяются целенаправленной деятельностью чело­века либо регламентируют эту деятельность).

Для реализации мер безопасности используются различные ме­ханизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) пе­редаваемых сообщений.

Сущность криптографических методов заключается в следую­щем.

Готовое к передаче сообщение, будь то данные, речь или гра­фическое изображение того или иного документа, обычно называ­ется открытым, или незащищенным, текстом или сообщением. В процессе передачи такого сообщения по незащищенным каналам связи оно может быть легко перехвачено или отслежено подслуши­вающим лицом посредством его умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к этому сообщению оно зашифровывается и тем самым преобразует­ся в шифрограмму или закрытый текст. Когда же санкциониро­ванный пользователь получает сообщение, он дешифрует или рас­крывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст.

Методу преобразования в криптографической системе соответ­ствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом, или битовой последо­вательностью, обычно называемым шифрующим ключом.

Каждый используемый ключ может производить различные шифрованные сообщения, определяемые только этим ключом. Для большинства систем закрытия схема генератора ключа может пред­ставлять собой либо набор инструкций команд, либо часть, узел аппаратуры (hardware), либо компьютерную программу (software), либо все это вместе, но в любом случае процесс шифрова­ния/дешифрования единственным образом определяется выбран­ным специальным ключом. Поэтому, чтобы обмен зашифрован­ными сообщениями проходил успешно, как отправителю, так и получателю необходимо знать правильную ключевую установку и хранить ее в тайне.

Следовательно, стойкость любой системы закрытой связи опре­деляется степенью секретности используемого в ней ключа. Тем не менее этот ключ должен быть известен другим пользователям сети, так чтобы они могли свободно обмениваться зашифрованными со­общениями. В этом смысле криптографические системы также по­могают решить проблему аутентификации (установления подлин­ности) принятой информации, поскольку подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом. В то же время истинный полу­чатель, приняв эти сообщения, закрытые известным ему и отпра­вителю ключом, будет надежно защищен от возможной дезинфор­мации.

Шифрование может быть симметричным и асимметричным. Симметричное основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Асимметрич­ное характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования — дру­гой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.

Наряду с шифрованием используются и другие механизмы безопасности:

· цифровая (электронная) подпись;

· контроль доступа;

· обеспечение целостности данных;

· обеспечение аутентификации;

· постановка графика;

· управление маршрутизацией;

· арбитраж или освидетельствование.

Механизмы цифровой подписи основываются на алгоритмах ассиметричного шифрования и включают две процедуры: форми­рование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ от­правителя. Вторая процедура основывается на использовании об­щедоступного ключа, знания которого достаточно для опознавания отправителя.

Механизмы контроля доступа осуществляют проверку полномо­чий объектов АЙТ (программ и пользователей) на доступ к ресур­сам сети. При доступе к ресурсу через соединение контроль вы­полняется как в точке инициации, так и в промежуточных точках, а также в конечной точке.

Механизмы обеспечения целостности данных применяются как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но недостаточным условием целостно­сти потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования от­правителем и получателем. Отправитель дополняет передавае­мый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принято­му блоку. Несовпадение свидетельствует об искажении инфор­мации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифро­вания с использованием ключей, изменяемых в зависимости от предшествующих блоков.

Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной.

Механизмы постановки графика, называемые также механизма­ми заполнения текста, используются для реализации засекречива­ния потока данных. Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Этим нейтрализуется возможность получения информации посредством наблюдения за внешними характеристи­ками потоков, циркулирующих по каналам связи.

Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети та­ким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным) физически ненадежным каналам Механизмы арбитража обеспечивают подтверждение характери­стик данных, передаваемых между объектами АИТ, третьей сторо­ной (арбитром). Для этого вся информация, отправляемая или по­лучаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.

В АИТ при организации безопасности данных используется комбинация нескольких механизмов.

 

Обеспечение информационной безопасности на уровне государства

Лекция 13
СЖАТИЕ ДАННЫХ

 

<== предыдущая лекция | следующая лекция ==>
Локальные и глобальные переменные | Объекты сжатия
Поделиться с друзьями:


Дата добавления: 2014-01-11; Просмотров: 843; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.012 сек.