Эволюция технологии обеспечения безопасности связи показывает, что только концепция комплексного подхода к защите информации может обеспечить современные требования безопасности в каналах телекоммуникаций. Комплексный подход подразумевает комплексное развитие всех методов и средств защиты и требует проведения их классификации.
Рассмотрим кратко основное содержание методов и средств обеспечения безопасности в каналах телекоммуникаций.
Управление доступом - метод защиты информации регулированием использования всех ресурсов системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:
· идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
· опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
· проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
· разрешение и создание условий работы в пределах установленного регламента;
· регистрацию (протоколирование) обращений к защищаемым ресурсам;
· реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.)
Маскировка - метод защиты информации в каналах телекоммуникаций путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на гибких магнитных дисках. При передаче информации по каналам телекоммуникаций большой протяженности этот метод является единственно надежным. В отечественных коммерческих системах этот метод используется еще достаточно редко из-за недостатка технических средств криптографического закрытия и их высокой стоимости в настоящее время.
Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение - такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение - такой метод защиты, который побуждает пользователя и персонал системы не нарушать установленных за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и «неписаных»).
Рассмотренные выше методы обеспечения безопасности в каналах телекоммуникаций реализуются на практике применением различных средств защиты, - технических, программных, организационных, законодательных и морально-этических.
Рассмотрим основные средства, используемые для создания механизмов защиты.
Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в телекоммуникационную аппаратуру, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Из наиболее известных аппаратных средств можно отметить схемы контроля информации по четности, схемы защиты полей памяти по ключу и т. п.
Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.
Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации.
Указанные выше средства и составляли основу механизмов защиты на первой фазе развития технологии обеспечения безопасности связи в каналах телекоммуникаций. При этом считалось, что основными средствами защиты являются программные. Первоначально программные механизмы защиты включались, как правило, в состав операционных систем управляющих ЭВМ или систем управления базами данных. Практика показала, что надежность подобных механизмов защиты является явно недостаточной. Особенно слабым звеном оказалась защита по паролю. Поэтому в дальнейшем механизмы защиты становились все более сложными, с привлечением других средств обеспечения безопасности.
Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и эксплуатация).
Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в данной стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.
Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
В заключение необходимо также отметить, что все рассмотренные средства защиты делятся на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).
