Безопасность данных (data security) — концепция защиты программ и
данных от случайного либо умышленного изменения, уничтожения,
разглашения, а также несанкционированного использования.
Интенсивное развитие средств связи и широкое внедрение
информационных технологий во все сферы жизни делают все более
актуальной проблему защиты информации. Преступления в сфере
передачи и обработки информации в ряде стран, по мнению
специалистов, превратились в национальное бедствие. Особенно
широкий размах получили преступления в системах телекоммуникаций,
обслуживающих банковские и торговые учреждения. По официальным
источникам, ежегодные потери только делового сектора США от
несанкционированного проникновения в информационные базы данных
составляют 150-300 млрд. долл.
Средства обеспечения информационной безопасности можно условно
разделить на следующие группы:
· системы контроля доступа (управляют правами доступа
пользователей, регистрируют обращения к защищаемым данным,
осуществляют аутентификацию пользователей и сетевых систем
(установление подлинности имени объекта для получения им права
использования программ и данных));
· системы шифрования информации (кодируют данные, хранящиеся на
локальных дисках пользователей и передаваемые по
телекоммуникационным каналам);
· системы электронно-цифровой подписи (обеспечивают аутентификацию
получаемой информации и контроль ее целостности);
· системы антивирусной защиты (контролируют состояние памяти
вычислительных систем, предотвращают заражение файлов на локальных
и сетевых дисках, а также распространение вирусов по сети);
· системы защиты firewall (осуществляют авторизацию входящего и
исходящего трафика между локальной компьютерной сетью и
Internet);
· системы резервного хранения и восстановления информации
(обеспечивают запись информации на резервные носители и, в случае
необходимости, ее восстановление на жестких дисках компьютеров
предприятия).
Необходимо отметить, что само по себе наличие даже самых
совершенных планов обеспечения информационной безопасности не может
служить гарантией безопасности данных и надежности работы
информационной инфраструктуры.
Система (служба) обеспечения безопасности информации - это
совокупность различных мероприятий (правовых, организационных,
технических), позволяющих не допустить или существенно затруднить
нанесение ущерба интересам поставщиков и потребителей информации.
Реализация этих мер должна способствовать:
· обеспечению целостности информации (полноты, точности,
достоверности);
· сохранению конфиденциальности информации (конфиденциальной
называется информация, не являющаяся общедоступной), предупреждение
несанкционированного получения информации;
· обеспечению доступности, т.е. доступа к информации со стороны
пользователей, имеющих на то надлежащие полномочия.
В соответствии с рекомендациями МСЭ-Т конфиденциальность,
целостность и доступность являются характеристиками безопасности
передаваемых данных.
Перечислим наиболее характерные угрозы безопасности информации при
ее передаче:
· перехват данных - обзор данных несанкционированным пользователем;
эта угроза проявляется в возможностях злоумышленника
непосредственно подключаться к линии связи для съема передаваемой
информации либо получать информацию "на дистанции", вследствие
побочного электромагнитного излучения средств передачи информации
по каналам связи;
· анализ трафика - обзор информации, касающейся связи между
пользователями (например, наличие/отсутствие, частота, направление,
последовательность, тип, объем и т.д.).
Даже если подслушивающий не
может определить фактического содержания сообщения, он может
получить некоторый объем информации, исходя из характера потока
трафика (например, непрерывный, пакетный, периодический или
отсутствие информации);
· изменение потока сообщений (или одного сообщения) - внесение в
него необнаруживаемых искажений, удаление сообщения или нарушение
общего порядка следования сообщений;
· повтор процесса установления соединения и передачи сообщения -
записывание несанкционированным пользователем с последующим
повтором им процесса установления соединения с передачей ранее уже
переданного и принятого пользователем сообщения;
· отказ пользователя от сообщения - отрицание передающим
пользователем своего авторства в предъявленном ему принимающим
пользователем сообщении или отрицание принимающим пользователем
факта получения им от передающего пользователя сообщения;
· маскарад - стремление пользователя выдать себя за некоторого
другого пользователя с целью получения доступа к дополнительной
информации, получения дополнительных привилегий или навязывание
другому пользователю системы ложной информации, исходящей якобы от
пользователя, имеющего санкции на передачу такого рода
информации;
· нарушение связи - недопущение связи или задержка срочных
сообщений.
Рекомендациями МОС и МСЭ-Т предусматриваются следующие основные
механизмы защиты:
· шифрование данных;
· обеспечение аутентификации;
· обеспечение целостности данных;
· цифровая подпись;
· контроль доступа.
Механизм шифрования может обеспечивать конфиденциальность либо
передаваемых данных, либо информации о параметрах трафика и может
быть использован в некоторых других механизмах безопасности или
дополнять их. Существование механизма шифрования подразумевает
использование, как правило, механизма управления ключами.
При рассмотрении механизмов аутентификации основное внимание
уделяется методам передачи в сети информации специального характера
(паролей, аутентификаторов, контрольных сумм и т.п.). В случае
односторонней или взаимной аутентификации обеспечивается процесс
проверки подлинности пользователей (передатчика и приемника
сообщений), что гарантирует предотвращение соединения с логическим
объектом, образованным злоумышленником.
Механизм обеспечения целостности данных предполагает введение в
каждое сообщение некоторой дополнительной информации, являющейся
функцией от содержания сообщения. Эти методы применяются как при
передаче данных по виртуальному соединению, так и при использовании
датаграммной передачи. В первом случае гарантируется устранение
неупорядоченности, потерь, повторов, вставок или модификации данных
при помощи специальной нумерации блоков, либо введением меток
времени. В датаграммном режиме метки времени могут обеспечить
только ограниченную защиту целостности последовательности блоков
данных и предотвратить переадресацию отдельных блоков.
Механизм цифровой подписи, реализующий один из процессов
аутентификации пользователей и сообщения, применяется для
подтверждения подлинности содержания сообщения и удостоверения того
факта, что оно отправлено абонентом, указанным в заголовке в
качестве источника данных. Цифровая подпись (ЦП) также необходима
для предотвращения возможности отказа передатчика от факта выдачи
какого-либо сообщения, а приемника - от его приема.
Механизмом цифровой подписи определяются две процедуры:
· формирование блока данных, добавляемого к передаваемому
сообщению;
· подписание блока данных.
Процесс формирования блока данных содержит общедоступные процедуры
и в отдельных случаях специальные (секретные) ключи преобразования,
известные на приеме.
Процесс подписания блока данных использует информацию, которая
является информацией частного использования (т.е. уникальной и
конфиденциальной). Этот процесс подразумевает либо шифрование блока
данных, либо получение криптографического контрольного значения
блока данных с использованием частной информации подписавшего
пользователя в качестве ключа шифрования частного пользования.
Таким образом, после проверки подписи в последующем третьему лицу
(например, арбитру) в любое время может быть доказано, что подпись
может выполнить только единственный держатель секретной (частной)
информации.
Механизмы контроля доступа могут использовать аутентифицированную
идентификацию объекта (отождествление анализируемого объекта с
одним из известных объектов) или информацию объекта (например,
принадлежность к известному множеству объектов) либо возможности
этого объекта для установления и применения прав доступа к нему.
Если объект делает попытку использовать несанкционированный или
санкционированный с неправильным типом доступа ресурсы, то функция
контроля доступа будет отвергать эту попытку и может сообщить о ней
для инициирования аварийного сигнала и (или) регистрации его как
части данных проверки безопасности. Механизмы контроля доступа
могут использоваться на любом конце соединения и (или) в любом
промежуточном узле.
Безопасность информации
102
0
5 минут
Темы:
Понравилась работу? Лайкни ее и оставь свой комментарий!
Для автора это очень важно, это стимулирует его на новое творчество!