Понятие информационной безопасности
Информационная безопасность - защищенность информационных ресурсов и систем от внешних и внутренних посягательств и угроз для граждан, организаций и государственных органов.
Для граждан информационная безопасность выражается в защищенности:
- их персональных компьютеров;
- их личной информации в информационных системах и сетях;
- результатов их интеллектуальной деятельности.
Для организаций – защищенность:
- от внешних посягательств на служебную информацию;
- корпоративных информационных систем и сети ПК;
- принадлежащей им интеллектуальной собственности.
Для государства – защита:
- от внешних и внутренних угроз национальных информационных ресурсов и государственных информационных систем;
- телекоммуникационных инфраструктур, организаций и служб.
Работа на ПК – это работа с программами, файлами, документами и базами данных, хранящимися в памяти ПК. Неправильное обращение с ними или с компьютером может привести к их утрате или к неработоспособности ПК.
Информация в ПК – в личных или служебных компьютерах, на сетевых серверах приобретает все большую ценность, и ее утрата или модификация может принести значимый материальный ущерб.
Для надежности хранения информация копируется на компакт-диски, либо жесткие диски сетевых серверов. Особо ценная информация копируется в двух экземплярах на разных носителях.
Для пакетов программ средством хранения и восстановления копий на персональных компьютерах служат компакт-диски, а в сети ПК – архивные копии на общедоступных серверах.
Для ограничения доступа во всех операционных системах и сетевых информационных системах применяется регистрация пользователей с проверкой паролей доступа к тем или иным ресурсам ПК.
Правовая охрана информации
Правовая охрана программ для ПК и баз данных введена в Российской Федерации Законом РФ «О правовой охране программ для электронных вычислительных машин и баз данных», который вступил в силу в 1992 году.
Предоставляемая настоящим законом правовая охрана распространяется на все виды программ для ПК. Правовая охрана не распространяется на идеи и принципы, лежащие в основе программы для ПК, в том числе на идеи и принципы организации интерфейса и алгоритма.
Авторское право
Информация на ПК, а также программы и базы данных для ПК согласно российским законам и международному праву является предметом авторского права и объектами интеллектуальной собственности.
На электронные книги, сайты, базы данных и программы для ПК распространяются те же авторские права, что и на обычные литературные, научные и художественные произведения.
Для признания и осуществления авторского права на программы для ПК не требуется ее регистрация в какой-либо организации. Оно возникает автоматически при их создании.
Автором считается лицо, творческим трудом которого создано произведение. Авторские права фиксируются знаком © copyright – право копий (alt + 0169) с указанием фамилии (псевдонима) и года создания.
Сайты в Интернете являются объектами авторского права. Т.к. всякий гипертекст – это программа для клиентских ПК, а сами сайты – это базы данных, представляющие совокупность гипертекстов на сетевых серверах.
Автору программы принадлежит исключительное право осуществлять воспроизведение и распространение программы любыми способами, а также модификацию программы.
Организация или пользователь, правомерно владеющий экземпляром программы (купивший лицензию на ее использование), вправе без получения дополнительного разрешения разработчика осуществлять любые действия, связанные с функционированием программы, в том числе ее запись и хранение в памяти ПК. Запись и хранение в памяти ПК допускаются в отношении одной ПК или одного пользователя в сети, если другое не предусмотрено договором с разработчиком.
В отношении организаций или пользователей, которые нарушают авторские права, разработчик может потребовать возмещения причиненных убытков и выплаты нарушителем компенсации в определяемой по усмотрению суда сумме от 5000-кратного до 50 000-кратного размера минимальной месячной оплаты труда.
Электронная подпись
В 2002 году был принят Закон РФ «Об электронно-цифровой подписи», который стал законодательной основой электронного документооборота в России. По этому закону электронная цифровая подпись в электронном документе признается юридически равнозначной подписи в документе на бумажном носителе.
При регистрации электронно-цифровой подписи в специализированных центрах корреспондент получает два ключа: секретный и открытый. Секретный ключ хранится на дискете или смарт-карте и должен быть известен только самому корреспонденту. Открытый ключ должен быть у всех потенциальных получателей документов и обычно рассылается по электронной почте.
Процесс электронного подписания документа состоит в обработке с помощью секретного ключа текста сообщения. Далее зашифрованное сообщение посылается по электронной почте абоненту. Для проверки подлинности сообщения и электронной подписи абонент использует открытый ключ.
Защита информации
Методы обеспечения информационной безопасности:
1. Авторизация - этот метод позволяет создавать группы пользователей, наделять эти группы разными уровнями доступа к сетевым и информационным ресурсам и контролировать доступ пользователя к этим ресурсам;
2. Идентификация и аутентификация. Идентификация позволяет определить субъект (терминал пользователя, процесс) по уникальному номеру, сетевому имени и другим признакам. Аутентификация – проверка подлинности субъекта, например, по паролю, PIN-коду, криптографическому ключу и т.д.
Методы аутентификации:
1. Парольная аутентификация
В настоящее время парольная аутентификация является наиболее распространенной, прежде всего, благодаря своему единственному достоинству – простоте использования. Однако, парольная аутентификация имеет множество недостатков:
В отличие от случайно формируемых криптографических ключей (которые, например, может содержать уникальный предмет, используемый для аутентификации), пароли пользователя бывает возможно подобрать из-за достаточно небрежного отношения большинства пользователей к формированию пароля. Часто встречаются случаи выбора пользователями легко предугадываемых паролей.
Существуют и свободно доступны различные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств. Например, на сайте www.lostpassword.com описана утилита подбора пароля для документа Microsoft Word 2000 (Word Password Recovery Key), предназначенная для восстановления доступа к документу, если его владелец забыл пароль. Несмотря на данное полезное назначение, ничто не мешает использовать эту и подобные ей утилиты для взлома чужих паролей
Пароль может быть получен путем применения насилия к его владельцу.
Пароль может быть подсмотрен или перехвачен при вводе.
Биометрическая аутентификация
Используется аутентификация по геометрии руки, радужной оболочки сетчатки глаза, клавиатурный почерк (Клавиатурный почерк — это не только скорость ввода информации, но и интервалы между нажатием на клавиши и число перекрытий между ними, время удержания мыши, степень аритмичности при наборе текста и использование функциональных клавиш. Это даже частота возникновения ошибок при вводе!), отпечатки пальцев и т.п.
Технические средства аутентификации
1. SMART-карты - интеллектуальные карты - пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, управляющую устройством и контролирующую доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления.
Назначение смарт-карт — одно- и двухфакторная аутентификация пользователей, хранение ключевой информации и проведение криптографических операций в доверенной среде.
Смарт-карты находят всё более широкое применение в различных областях, от систем накопительных скидок до кредитных и дебетовых карт, студенческих билетов, телефонов стандарта GSM и проездных билетов.
Смарт-карта более безопасное хранилище закрытого ключа. Для доступа к защищенной информации, хранящейся в памяти смарт-карты, требуется пароль, называемый PIN-кодом.
2. е-Token (электронный ключ), USB-ключ - аппаратное устройство, представляющее собой комбинацию смарт-карты и устройства чтения смарт-карт.
3. ОТР-Token, Однора́зовый паро́ль (one time password) — мобильное персональное устройство, принадлежащее определенному пользователю, генерирующее одноразовые пароли, используемые для аутентификации данного пользователя. Действие одноразового пароля также может быть ограничено определённым промежутком времени.
Аутентификация с одноразовым паролем обладает устойчивостью к атаке анализа сетевых пакетов, что дает ей значительное преимущество перед запоминаемыми паролями.
Определение координат пользователя:
1. GPS (Global Positioning System — система глобального позиционирования) — спутниковая система навигации, обеспечивающая измерение расстояния, времени и определяющая местоположение во всемирной системе координат. Позволяет почти при любой погоде определять местоположение в любом месте Земли (исключая приполярные области) и околоземного космического пространства. Система разработана, реализована и эксплуатируется Министерством обороны США, при этом в настоящее время доступна для использования для гражданских целей — нужен только навигатор или другой аппарат (например, смартфон) с GPS-приёмником.
2. GSM (Groupe Spécial Mobile, позже переименован в Global System for Mobile Communications) (русск. СПС-900) - глобальный стандарт цифровой мобильной сотовой связи с разделением каналов по времени и частоте. Разработан под эгидой Европейского института стандартизации электросвязи (ETSI) в конце 1980-х годов).
Криптография
Наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства.
Изначально криптография изучала методы шифрования информации — обратимого преобразования открытого (исходного) текста на основе секретного алгоритма или ключа в шифрованный текст (шифротекст). Традиционная криптография образует раздел симметричных криптосистем, в которых зашифровывание и расшифровывание проводится с использованием одного и того же секретного ключа. Помимо этого раздела современная криптография включает в себя асимметричные криптосистемы, системы электронной цифровой подписи (ЭЦП), хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию.
Криптография не занимается защитой от обмана, подкупа или шантажа законных абонентов, кражи ключей и других угроз информации, возникающих в защищённых системах передачи данных.
Криптография — одна из старейших наук, её история насчитывает несколько тысяч лет.
Протоколирование и аудит
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов). Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.
Экранирование символов - замена в тексте управляющих символов на соответствующие текстовые подстановки. Один из видов управляющих последовательностей. Обычно языки программирования, текстовые командные интерфейсы, языки разметок текста (HTML, TeX, wiki-разметка) имеют дело со структурированным текстом, в котором некоторые символы (и их комбинации) используются в качестве управляющих, в том числе управляющих структурой текста.
Разделение информационных потоков между различными информационными системами.
Физическая защита
Физические устройства защиты:
-Физические устройства доступности к сетевым узлам и линиям связи
-Противопожарные меры
-Защита поддержки инфраструктуры (электропитание, кондиционирование
-Защита мобильных и радио систем.
-Защита от перехвата данных.
Поддержка текущей работоспособности
-Резервное копирование.
-Управление носителями.
-Регламентированные работы.
5