<<
>>

5.2. Основные методы и средства защиты информации в АИС

Технология криптозащиты в России выполняется на основе алгорит­ма шифрования в соответствии с установленными нормативами [8]. Стандарт устанавливает алгоритм криптографического преобразования для систем обработки информации в сетях ЭВМ, отдельных вычисли­тельных комплексах.
Алгоритм криптографического преобразования предназначен для аппаратной или программной реализации, удовлет­воряет криптографическим требованиям и по своим параметрам не накладывает ограничений на степень секретности защищаемой инфор­мации. Криптографическое преобразование данных может быть прове­дено в следующих режимах: простой замены, гаммирования, гаммиро- вания с обратной связью и выработки имитовставки.

Для понимания сущности режимов возьмем несколько терминов, включенных в ГОСТ. Криптографическая защита — это защита данных при помощи криптографического преобразования данных. В свою очередь криптографическое преобразование — это преобразование данных при помощи шифрования и (или) выработки имитовставки. Имитовставка — отрезок информации фиксированной длины, полу­ченной по определенному правилу из открытых данных и ключа и добавленной к зашифрованным данным для обеспечения имитозащи- ты.

Шифрование данных — процесс зашифрования или расшифрова­ния. Гаммирование — процесс наложения по определенному закону гаммы шифра на открытые данные. Гамма шифра — псевдослучайная двоичная последовательность, вырабатываемая по заданному алгорит­му для зашифрования открытых данных и расшифрования зашифро­ванных данных. Шифр — совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с использованием ключей. Ключ шифрования — некоторое конкрет­ное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразо­вания из совокупности возможных для данного алгоритма преобразо­ваний.

С целью улучшения качества системы защиты информации разраба­тываются специальные программы шифрования данных. В качестве примера можно привести WinDefender — программу, которая может за­щитить конфиденциальные данные, файлы и каталоги компьютера. Программа обеспечивает безопасное хранение информации на жестком диске, дискетах, компакт-дисках под управлением ОС Windows. Это означает, что никто из имеющих доступ к компьютеру, кроме пользова­теля, не сможет открыть его зашифрованные файлы. Чтобы начать ра­ботать с зашифрованными данными необходимо ввести пароль. После этого WinDefender начнет автоматически расшифровывать данные при обращении к ним из любой программы, а также автоматически шифро­вать их при записи на диск. Для шифрования файлов WinDefender использует надежный криптостойкий алгоритм. Во время работы мож­но заблокировать WinDefender. Это означает, что программа продолжа­ет свою работу по шифрованию файлов, но доступ к настройкам WinDefender запрещается. Помимо этого блокируется функция закры­тия окна WinDefender. Перевести WinDefender в разблокированное со­стояние возможно только с помощью пароля. Эта функция может быть полезна, например, если пользователь ненадолго отходит от компьюте­ра и не желает, чтобы кто-то изменял настройки WinDefender.

Результативность работы активных и пассивных устройств защиты зависит от методов и средств хищения информации. Например, для предотвращения съема информации при помощи микрофона с ав­тономным питанием необходимо осуществить следующие действия: провести визуальный поиск, обеспечить экранирование, установить ге­нераторы шума и радиопомех, селекторы сигналов, детекторы электро­магнитного поля и излучения, нелинейные локаторы, устройства воз­действия на микрофон и др. (табл. 5.3).

Таблица 5.3

Основные методы и средства получения и защиты информации

Вид ситуации Канал утечки информации Способы и средства
получения информации защиты информации
Речь

в помещении, на улице

Акустический Подслушивание

(диктофон,

микрофон,

полуактивная

система)

Шумовые

генераторы,

поиск закладных

устройств,

защитные

фильтры,

Продолжение табл.

5.3
Вид ситуации Канал утечки Способы и средства
информации получения информации защиты информации
Виброакустический Стетоскоп, вибродатчик ограничение доступа
Гидроакустический Гидроакустический датчик
Акустоэлектронный Специальные радиоприемники
Речь по телефону Акустический Подслушивание

(диктофон,

микрофон,

полуактивная

система)

Те же способы
а) проводному Сигнал в линии Параллельный

(телефон, прямое

подключение,

электромагнитный

датчик, диктофон,

телефонная

закладка)

Маскирование, скремблирование, шифрование, спецтехника
Наводки Специальные

радиотехнические

устройства

Спецтехника
б) радиотелефону ВЧ-сигнал Радиоприемники Маскирование, скремблирование, шифрование, спецтехника
Документ на Непосредственно Кража, прочтение, Ограничение
бумажном документ копирование, доступа,
носителе фотографирование спецтехника
Изготовление Продавливание Кража, прочтение Огртехмероприятия
документа на ленты или бумаги
бумажном Акустический шум Аппаратура Устройства
носителе принтера акустического контроля шумоподавления
Паразитные Специальные Экранирование
сигналы, наводки радиотехнические устройства
Почтовое Непосредственно Кража, прочтение Специальные
отправление документ методы

Окончание табл.

5.3
Вид ситуации Канал утечки информации Способы и средства
получения информации защиты информации
Документ на Носитель Хищение, Контроль доступа,
небумажном копирование, физическая защита,
носителе считывание криптозащита
Изготовление Изображение на Визуальный, Контроль доступа,
документа на дисплее копирование, физическая и
небумажном фотографирование криптозащита
носителе Паразитные Специальные Контроль доступа,
сигналы, наводки радиотехнические криптозащита,
устройства поиск закладок,
Электросигнал Аппаратные экранирование
закладки
Программный Программные
продукт закладки
Передача Электрические Несанкционирован­ Криптозащита
документа по и оптические ное подключение,
каналам связи сигналы имитация
зарегистрирован-
ного пользователя
Производственный Отходы, Спецаппаратура Оргтехмероприятия,
процесс излучение и т.п. различного физическая защита
назначения
Работа Сигналы, наводки Программные и Криптозащита,
с удаленными аппаратные специальное
базами данных закладки, программное
несанкциониро- обеспечение,
ванный доступ, оргтехмероприятия,
компьютерные антивирусная
вирусы защита

Анализ таблиц 5.1—5.3 показывает, что технология обеспечения без­опасности информации в значительной мере зависит от методов и средств защиты. Эффективность перехвата информации электронными средствами в подавляющем числе модификаций можно считать хоро­шей. Наибольшую трудность обнаружения представляют миниатюрная камера с передачей изображения по сети питания и радиомикрофон с цифровой передачей, кодированием, записью и сбросом информации в случае необходимости. В последнее время широкое применение имеют биометрические средства распознавания объекта при его доступе к ин­формации.

Биометрические технологии можно разделить на две разновиднос­ти — физиологические и психологические, или поведенческие. К раз­ряду физиологических относятся технологии, основанные на распозна­вании объекта по признакам лица, глаз, пальцев, ладони, тепла и др. К классу психологических можно отнести технологии идентификации объекта по признакам голоса, подписи, особенностям использования клавиатуры и др. Комбинируя различные способы биометрической и аппаратной аутентификации, можно получить весьма надежную систе­му защиты.

Одно из условий эффективности системы защиты АИС — возмож­ность количественной оценки ее способности выполнять свою главную функцию. Например, эффективной оценкой в данном случае может быть мера относительного ущерба, предотвращенного системой защи­ты информации. Вполне обоснованным направлением представляется рассмотрение зависимости эффективности защиты от привлекаемых ресурсов.

Задача выбора стратегии защиты облегчается, если при меньших затратах удастся обеспечить равную или даже большую эффективность защиты. Очевидны и источники экономии затрат — например, исполь­зование более экономичных средств универсального характера, рацио­нальное распределение ресурсов и более совершенные формы управления ими, привлечение интегрированных форм обеспечения безопасности и др. Указанные источники экономии более всего относятся к крупным коммерческим структурам. Для предприятий среднего и малого бизне­са количество таких источников заметно сокращается. Концепция сис­темы безопасности малых структур должна строиться на защите лишь от отдельных видов опасности. В противном случае защита может себя не оправдать.

Любая угроза и противодействие ей происходят во времени и харак­теризуются определенными масштабами. Исходя из этого, ущерб от возможных угроз будет определяться тем, насколько полно данные со­бытия пересекаются во времени. Самый нежелательный вариант — за­паздывающее противодействие, когда реакция системы защиты начи­нается к моменту завершения угрозы или после нее. Он характерен для систем информационной защиты. Несколько лучший вариант — одно­временное противодействие, т.е. когда оно начинается с появлением угрозы. И, наконец, наилучший вариант — противодействие, носящее опережающий характер: реакция системы защиты начинается до нача­ла реализации опасности. Основанием для реакции могут быть опера­тивные данные, сигналы тревоги раннего оповещения и т.п.

Если говорить о тактических вопросах системы безопасности АИС, прежде всего следует иметь в виду скорость ее реакции и надежность мероприятий. Прежде чем определиться в вопросах тактики, надо помнить, что она должна соответствовать стратегии и опираться на точ­ный количественный анализ. Для АИС среднего и малого масштаба такой анализ вполне реален даже без средств автоматизации. Однако необходимо привлечь силы специалистов и экспертов, которые могли бы провести анализ обстановки и свойств защищаемой информации, спрогнозировать возможные модели угроз, изучить рынок существую­щих методов и средств защиты. Результаты этих мероприятий обеспе­чили бы оценку системы защиты и при необходимости усовершенст­вовали ее. Для крупных ИС нужен несколько иной подход с более высокими требованиями к эффективности и рентабельности защиты целостности информации в АИС. Гораздо шире должны быть представ­лены и необходимые для этого исходные данные. При этом следует отметить, что выполнение работ по изучению и построению адекватных моделей на основе этих данных проводится на базе ЭВМ. Очень трудно, а иногда и практически невозможно осуществить анализ и последую­щую оптимизацию системы надежной защиты информации без приме­нения ЭВМ.

Вопросы и задания для самопроверки

1. Сформулируйте определение понятия «Интегральная защита ин­формации АИС».

2. Какие основные виды угроз безопасности информации АИС вам известны?

3. Назовите основные методы и средства интегральной защиты АИС.

4. На чем основан алгоритм криптозащиты?

5. Дайте функциональную характеристику программы защиты дан­ных АИС.

<< | >>
Источник: Исаев Георгий Николаевич. Информационные системы в экономике : учебник для студентов вузов, обучающихся по специальностям «Финансы и кредит», «Бухгалт. учет, анализ и аудит» / Г. Н. Исаев. — 3-е изд., стер. — М. : Издательство «Омега-Л», — 462 с. : ил., табл. — (Высшее эко­номическое образование).. 2010

Еще по теме 5.2. Основные методы и средства защиты информации в АИС:

  1. 5.2. Виды, методы и средства защиты информации в ИС и в ИТ управления 5.2.1. Оценка безопасности ИС
  2. Глава 5. ЗАЩИТА ИНФОРМАЦИИ В АИС
  3. 1.5.3. Способы и средства защиты информации
  4. 5.2.3. Криптографические методы защиты информации
  5. 4.2. Методы и средства технологического контроля обработки экономической информации
  6. 11.7. Раскрытие информации об основных средствах в бухгалтерской отчетности
  7. Полнота и правильность раскрытия информации об основных средствах в отчетности.
  8. 7.12. Раскрытое информации об основных средствах в бухгалтерской отчетности
  9. 4.2. Стоимость основных средств. Оценка и износ основных средств. Источники финансирования воспроизводства основных средств
  10. 1.5.6. Защита информации от компьютерных вирусов
  11. 1.5.5. Шифрование — специфический способ защиты информации
  12. 14.3. Основные направления развития АИС
  13. Основные методы нормирования оборотных средств