Уровни меры защиты информации в АИС

Введение

 

Одной из обратных сторон компьютерных информационных технологий является обострение проблемы защиты информации. Данные в компьютерной форме сосредотачивают в физически  локальном и небольшом объеме огромные массивы информации, несанкционированный доступ к которой или ее разрушение могут приводить к тяжелым последствиям и ущербу. Возможность быстрого, во многих случаях практически мгновенного, и без следов копирования огромных массивов данных, находящихся в компьютерной форме, в том числе и удаленно расположенных, дополнительно провоцирует злоумышленников на несанкционированный доступ к информации, ее несанкционированную модификацию или разрушение.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Уровни защиты информации в АИС

Говоря о защите информации в АИС, необходимо дать определение самому понятию информационной безопасности. Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Методами обеспечения  защиты информации являются следующие: препятствие, управление доступом, маскировка, регламентация, принуждение и побуждение.

Препятствие-метод физического  преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).  
Управление доступом — метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации (фирмы). Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);
• аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента.
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка-метод защиты информации в автоматизированной информационной системе путем ее криптографического закрытия. 
Регламентация-метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

Принуждение-такой метод  защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. 
Побуждение-такой метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.

Указанные выше методы обеспечения  информационной безопасности организации (фирмы) реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства: физические, аппаратные, программные, аппаратно-программные, криптографические, организационные, законодательные и морально-этические.

Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных систем. 
Наряду с традиционными механическими системами при доминирующем участии человека разрабатываются и внедряются универсальные  автоматизированные электронные системы физической защиты, предназначенные для охраны территорий, охраны помещений, организации пропускного режима, организации наблюдения; системы пожарной сигнализации; системы предотвращения хищения носителей.

Элементную базу таких  систем составляют различные датчики, сигналы от которых обрабатываются микропроцессорами, электронные интеллектуальные ключи, устройства определения биометрических характеристик человека и т. д. 
Для организации охраны оборудования, входящего в состав автоматизированной информационной системы предприятия, и перемещаемых носителей информации (дискеты, магнитные ленты, распечатки) используются:

• различные замки (механические, с кодовым набором, с управлением от микропроцессора, радиоуправляемые), которые устанавливают на входные двери, ставни, сейфы, шкафы, устройства и блоки системы;
• микровыключатели, фиксирующие открывание или закрывание дверей и окон;
• специальные сейфы и металлические шкафы для установки в них отдельных элементов автоматизированной информационной системы (файл-сервер, принтер и т. п.) и перемещаемых носителей информации.

Для нейтрализации утечки информации по электромагнитным каналам  используют экранирующие и поглощающие  материалы и изделия.

Для защиты от наводок на электрические цепи узлов и блоков автоматизированной информационной системы используют экранированный кабель для внутристоечного, внутриблочного, межблочного и наружного монтажа; экранированные эластичные соединители (разъемы), сетевые фильтры подавления электромагнитных излучений.

Для контроля электропитания используются электронные отслеживатели- устройства, которые устанавливаются  в местах ввода сети переменного  напряжения.

Аппаратные средства защиты-это различные электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками.  
Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т. д.

Основные функции аппаратных средств защиты:

• запрещение несанкционированного (неавторизованного) внешнего доступа (удаленного пользователя, злоумышленника) к работающей автоматизированной информационной системе;
• запрещение несанкционированного внутреннего доступа к отдельным файлам или базам данных информационной системы, возможного в результате случайных или умышленных действий обслуживающего персонала;
• защита активных и пассивных (архивных) файлов и баз данных, связанная с необслуживанием или отключением автоматизированной информационной системы;
• защита целостности программного обеспечения.

 

Эти задачи реализуются  аппаратными средствами защиты информации с использованием метода управления доступом (идентификация, аутентификация и проверка полномочий субъектов системы, регистрация и реагирование).  
Для работы с особо ценной информацией организации (фирмы) производители компьютеров могут изготавливать индивидуальные диски с уникальными физическими характеристиками, не позволяющими считывать информацию. При этом стоимость компьютера может возрасти в несколько раз.

Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля. 
Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы.

В настоящее время  создано большое количество операционных систем, систем управления базами данных, сетевых пакетов и пакетов  прикладных программ, включающих разнообразные  средства защиты информации.

С помощью программных  средств защиты решаются следующие задачи информационной безопасности:

• контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. п.);
• разграничение и контроль доступа субъектов к ресурсам и компонентам системы, внешним ресурсам;
• изоляция программ процесса, выполняемого в интересах конкретного субъекта, от других субъектов (обеспечение работы каждого пользователя в индивидуальной среде);
• управление потоками конфиденциальной информации с целью предотвращения записи на носители данных несоответствующего уровня (грифа) секретности;
• защита информации от компьютерных вирусов;
• стирание остаточной конфиденциальной информации в разблокированных после выполнения запросов полях оперативной памяти;
• стирание остаточной конфиденциальной информации на магнитных дисках, выдача протоколов о результатах стирания; 
  обеспечение целостности информации путем введения избыточности данных;
• автоматический контроль над работой пользователей системы на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале.

В настоящее время  ряд операционных систем изначально содержит встроенные средства блокировки «повторного использования». Для  других типов операционных систем существует достаточно много коммерческих программ, не говоря уже о специальных пакетах безопасности, реализующих аналогичные функции.  
Применение избыточных данных направлено на предотвращение появления в данных случайных ошибок и выявление неавторизованных модификаций. Это может быть применение контрольных сумм, контроль данных на чет-нечет, помехоустойчивое кодирование и т. д.

Часто практикуется хранение в некотором защищенном месте  системы сигнатур важных объектов системы. Например, для файла в качестве сигнатуры может быть использовано сочетание байта защиты файла с его именем, длиной и датой последней модификации. При каждом обращении к файлу или в случае возникновения подозрений текущие характеристики файла сравниваются с эталоном.  
Свойство ревизуемости системы контроля доступа означает возможность реконструкции событий или процедур. Средства обеспечения ревизуемости должны выяснить, что же фактически случилось. Здесь речь идет о документировании исполняемых процедур, ведении журналов регистрации, а также о применении четких и недвусмысленных методов идентификации и проверки.  
Следует отметить, что задачу контроля доступа при одновременном обеспечении целостности ресурсов надежно решает только шифрование информации.

   

  

 

 

 

 

 

 

 

 

 

Меры защиты информации АИС

Все меры защиты можно  разделить на четыре категории:

1.      Защита территорий и помещений, где расположена АИС (20%);

2.      Защита от технических средств шпионажа (12%);

3.      Защита АИС и хранилищ с носителями информации (28%);

4.      Меры по работе с персоналом (40%).

Меры защиты территории и помещений включают следующие технические системы:

• пожарной безопасности;
• охранной сигнализации;
• охранного телевидения и видеонаблюдения;
• управление допуском, включая системы опознавания личности и другие системы, позволяющие автоматизировать процесс допуска людей и транспорта в защищаемые здания и сооружения, а также дающие возможность отслеживать длительность пребывания и маршруты передвижения людей на защищаемых объектах;
• входного контроля (металлодетекторы, средства обнаружения радиоактивных веществ и т.п.);
• инженерные средства защиты – специальные замки и двери, решётки на окнах, защитные оконные плёнки, пулестойкие оконные бронемодули и др.

Меры защиты от технических  средств шпионажа включают:

• поиск и уничтожение технических средств шпионажа;
• шифрование телефонных переговоров, факсимильных сообщений, всей информации, передаваемой по каналам телефонной связи;
• подавление технических средств шпионажа постановкой помех;
• экранирование помещений и источников электромагнитных излучений;
• заземление, звукоизоляция;

Меры защиты АИС включают:

• выработку политики безопасности в АИС;
• организационные меры по внедрению политики безопасности;
• защиту оборудования (компьютеров) от нарушения их целостности;
• антивирусную защиту программного обеспечения;
• проверку целостности аппаратных средств и программного обеспечения, установленного на компьютерах АИС;
• создание систем разграничения доступа к ресурсам информационно-вычислительной системы и к базам данных;
• определение пользователей при доступе к ресурсам локальной сети и базам данных;
• протоколирование действий пользователей при работе на компьютере в сетях;
• аудит протоколов действий пользователей;
• использование прокси-серверов;
• установку систем обнаружения атак;
• применение систем криптографической аутентификации и защиты информации в телекоммуникационных сетях;
• создание систем учёта и контроля информации, хранимой на автономных носителях информации, и учёта этих носителей;
• создание систем резервного копирования и хранения информации, по возможности, территориально-распределённых;
• использование систем резервирования электропитания;
• проведение расследований попыток нарушения информационной безопасности АИС, в том числе с привлечением профессиональных служб компьютерных криминалистов;
• периодический контроль программного обеспечения, установленного на компьютерах пользователей, на предмет его легальности.