Автоматизированные системы, обрабатывающие информацию, являются сложными техническими системами. Недостаточная надежность функционирования таких систем, сбои и отказы в работе тех или иных функциональных устройств, могут привести к потере информации.
В ряде случаев стоимость обрабатываемой информации значительно превосходит стоимость оборудования, входящего в состав автоматизированной системы. В таких ситуациях ставится задача сохранения информации даже в условиях производственных катастроф и стихийных бедствий.
Для того чтобы сформулировать задачи защиты информации от злоумышленников, необходимо представить себе их цели и возможности по достижению этих целей.
• незаконное копирование программ (и другой ценной информации);
• отказ от информации
Под конфиденциальной информацией понимается информация, доступ к которой ограничен в соответствии с законодательством. Факт попадания такой информации злоумышленнику называют утечкой информации и говорят о защите информации от утечки. Утечка информации может быть разной по последствиям. Так, например, утечка информации, связанная с хищением носителя или даже компьютера в целом, очень быстро обнаруживается. В то же время негласная для законного владельца утечка информации наносит больший вред.
Модификация информации всегда подразумевается неявной для законного владельца информации. Модификация информации может проявляться по-разному. Например, в финансовом документе она может заключаться в "исправлении" номера счета, куда надо переслать деньги, или размера суммы, подлежащей перечислению по указанному адресу. В сетях с коммутацией пакетов модификация может заключаться в изъятии из канала связи части сообщения, изменение порядка следования частей сообщения. Наконец,
возможен повтор или посылка фальсифицированного сообщения, например, с указанием банку перечислить деньги.
Уничтожение информации может привести к краху вычислительной системы, если не были приняты профилактические меры по резервному копированию информации, и к временному выходу системы из строя при наличии резервных копий.
Под нарушением функционирования автоматизированной системы подразумевают (в отличие от уничтожения информации) скрытные действия, мешающие нормально функционировать системе. Такие действия могут осуществляться захватом ресурсов, запуска на решение посторонних задач или повышением приоритетности задач, не требующих срочного решения. К указанным вмешательствам в работу наиболее чувствительны информационные системы, работающие в режиме реального времени или в режиме оперативного принятия решений.
Говоря о незаконном копировании программ, имеют в виду копирование не конфиденциальной информации, а информации, распространяемой па коммерческой или другой договорной основе. Незаконное копирование программ и другой ценной информации рассматривается как нарушение авторских прав разработчиков программного продукта и баз данных.
Отказ от информации характерен для следующих ситуаций взаимодействия двух удаленных абонентов в телекоммуникационной сети. Если абонент А посылает абоненту В сообщение, а позднее отказывается от факта отправки такого сообщения, то говорят об отказе от факта передачи сообщения. Если абонент В получив сообщение от абонента А, позднее отказывается от факта получения сообщения, то говорят об отказе от факта получения сообщения. Первый случай реален, например, если посланное сообщение содержало некоторые обязательства отправителя по отношению к получателю, а второе – если полученное сообщение содержало некоторые поручения для получателя. Отказ от информации делает практически невозможным взаимодействие удаленных абонентов с использованием прогрессивных компьютерных и сетевых технологий.
При рассмотрении целей злоумышленника необходимо отметить следующее обстоятельство. При создании той или иной системы защиты информации в автоматизированной системе или сети, злоумышленник лишается возможности достичь своих целей наиболее простыми и доступными (как в отсутствие защиты) средствами. В новых условиях злоумышленник постарается исследовать внедренную систему защиты и найти пути ее преодоления. При этом у него появляются новые цели: узнать ключи или пароли, модифицировать программное обеспечение системы защиты информации и тем самым полностью или частично нейтрализовать защитный механизм, обойти его. Такие цели носят по сравнению со сформулированными выше промежуточный характер. Но эти цели надо обязательно учитывать при проектировании и внедрении средств защиты информации.
В практической деятельности выделяют следующие основные виды защиты информации:
– защита информации от несанкционированного доступа:
– защита информации от перехвата в системах связи.
– защита юридической значимости электронных документов.
– защита конфиденциальной информации от утечки по каналам побочных электромагнитных излучении и наводок.
– защита информации от компьютерных вирусов и других опасных воздействии по каналам распространения программ.
– защита от несанкционированного копирования и распространения программ и ценной компьютерной информации.
Защита конфиденциальной и ценной информации от несанкционированного доступа (НСД) призвана обеспечить решение одной из двух наиболее важных задач защиты имущественных прав владельцев и пользователей ЭВМ – защиту собственности, воплощенной в обрабатываемой информации от всевозможных злоумышленных покушении, которые могут нанести существенный экономический и другой материальный и нематериальный ущерб К ней примыкает задача защиты государственных секретов, где в качестве собственника информации выступает государство Основной целью этого вида защиты является обеспечения конфиденциальности, целостности и доступности информации В части технической реализации защита от НСД сводится к задаче разграничения функциональных полномочии и доступа к информации
Существуют два принципа формулирования правил разграничения доступа дискреционный и мандатный.
Первый из них базируется на матричных моделях.
Пусть имеется некоторое множество поименованных объектов доступа (файлы, каталоги, устройства, и тому подобное) и некоторое множество субъектов доступа (пользователи, их процессы). Правила разграничения доступа тогда записываются в виде матрицы, каждый из столбцов которой соответствует одному объекту доступа, а каждая строка соответствует одному субъекту доступа. На пересечении i-го столбца и j-ой строки записываются права доступа j-го субъекта доступа к i-му объекту доступа (читать, записывать, удалять, и тому подобное).
На практике системы разграничения доступа, базирующиеся на матричных моделях, реализуются обычно в виде специальных компонент универсальных ОС или СУБД, либо в виде самостоятельных программных изделий. Существенной особенностью матричных средств разграничения доступа для наиболее используемых универсальных ОС является принципиальная децентрализованность механизмов диспетчера доступа, что приводит к невозможности строгого выполнения требований верифицируемости, защищенности и полноты контроля указанных механизмов.
Мандатный принцип разграничения доступа основан на том, что все объекты доступа наделяются метками конфиденциальности (например по грифам секретности: '"особой важности", "совершенно секретно", "секретно", "несекретно"), а для каждого субъекта доступа определяется уровень допуска (например уровень секретности документов, с которыми субъекту разрешено работать). Тогда при общении пользователя с системой чтение разрешается только по отношению к информации соответствующего уровня конфиденциальности или ниже. А запись информации разрешается только для информации соответствующего уровня конфиденциальности или выше. Такие правила обеспечивают при прохождении информации не понижение уровня ее конфиденциальности.
Отметим, что в наиболее ответственных случаях используются оба принципа формулирования правил разграничения доступа.
Сама процедура доступа пользователя (в соответствии с правилами разграничения доступа) происходит в три этапа: идентификация, аутентификация и авторизация.
Идентификация заключается в предъявлении пользователем системе своего идентификатора (имени) и проверке наличия в памяти системы этого имени.
Аутентификация заключается в проверке принадлежности субъекту доступа предъявленного им идентификатора (проверка подлинности). Для реализации процедуры аутентификации используется идентификатор субъекта доступа, который является либо его секретом (пароль и тому подобное), либо является уникальным для субъекта и гарантировано неподделываемым (биометрические характеристики).
Авторизация заключается в установлении прав доступа к тому или иному ресурсу в соответствии с правилами разграничения доступа.
Простейший способ защиты автоматизированной системы от удаленного доступа несанкционированных пользователей – это отказ от работы в сети, обеспечение физической защиты от всех внешних сетевых соединений. В наиболее ответственных случаях так и поступают.
Однако в силу практической невозможности такой изоляции в большинстве случаев в настоящее время, необходимо предусмотреть простые и ясные правила осуществления коммуникаций между локальными сетями различной степени защищенности, или даже, защищенной сети с незащищенной. Защищенная локальная сеть при этом представляется как бы находящейся внутри периметра, поддерживающего секретность. Внутри периметра служба контроля доступа и другие защитные механизмы определяют: кто и к какой информации допущен. В такой среде шлюзовая система, которая иногда называется брандмауэром, маршрутизатором или модулем защищенного интерфейса, может отделять защищенные системы или сети от незащищенных систем или сетей извне. Незащищенная система может общаться с защищенной только через единственный канал связи, контролируемый защищенным шлюзом. Шлюз контролирует трафик как извне, так и наружу, и эффективно изолирует защищенную сеть от внешнего мира. Благодаря тому, что брандмауэр защищает другие компьютеры, находящиеся внутри периметра, защита может быть сконцентрирована в брандмауэре.
