Концептуальні аспекти захисту інформації в сучасних інформаційних технологіях

Механізм забезпечення цілісності даних припускає введення в кожне повідомлення деякої додаткової інформації, що є функцією від змісту повідомлення. У рекомендаціях МОС розглядаються методи забезпечення цілісності двох типів:

- перші забезпечують  цілісність єдиного блока даних;

- другі потоку  блоків даних або окремих полів  цих блоків.

4. Служба керування доступом – забезпечує захист від несанкціонованого доступу до інформації, що утримується в віддалених банках даних, або від несанкціонованого використання мережі;
5. Служба цілосності інформації – забезпечує доказ цілісності повідомлення, прийнятого від відповідного джерела і знаходиться на збереженні, наприклад, у терміналі-приймачі, і яке може бути перевірене в будь-який момент часу арбітром (третьою стороною);

6) Служба доставки – забезпечує захист від спроб зловмисника порушити зв'язок або затримати передачу повідомлення на час, що перевищує час цінності переданої в повідомленні інформації; ця служба безпосередньо пов'язана з процесами передачі інформації в мережах зв'язку.

Ці методи застосовуються як при передачі даних по віртуальному з'єднанню, так і при використанні дейтаграмної передачі. У першому  випадку гарантується усунення повторів, вставок або модифікацій даних  за допомогою спеціальної нумерації  блоків або введенням міток часу. У дейтаграмному режимі мітки часу можуть забезпечити тільки обмежений захист цілісності послідовності блоків даних і запобігти переадресації окремих блоків.

 

Таблиця 1.1. Служби і процедури захисту

Найменування  служби	Номер  служби	Процедура захисту	Номер  рівня
Аутентифікація:
Однорівневих  об'єктів	1	Шифрування, цифровий підпис, забезпечення аутентифікації.	3, 4,7
Джерела  даних	2	Шифрування, цифровий підпис	3,4,7
Контроль  доступу	3	Керування  доступом	3,4,7
З  а с е к р е ч у в а н н я:
З'єднання	4	Шифрування	14, 6
		Керування маршрутом	7
В режимі без  з'єднання	5	Шифрування	24, 6
		Керування маршрутом	7
Вибіркових  полей	6	Шифрування	6,7
Потоку даних	7	Шифрування	1,6
		Заповнення  потоку	3,7
		Керування маршрутом	3
З а б е з п е ч е н н я ц і л о с н о с т і:
З'єднання з  відновленням	8	Шифрування, забезпечення цілосності даних	4,7
З'єднання без  відновлення	9	Шифрування, забезпечення цілосності даних	3,4,7
Вибіркових  полей даних	10	Шифрування, забезпечення цілосності даних	7
Без установлення з'єднання	11	Шифрування	3,4,7
		Цифровий підпис	4
		Забезпечення  цілосності даних	3,4,7
Вибіркових  полей без з'єднання	12	Шифрування	7
		Цифровий підпис	4,7
		Забезпечення  цілосності даних	7
І н  ф о р м у в а н н  я:
Про відправку	13	Цифровий підпис, забезпечення цілосності даних, підтвердження  характеристик даних	7
Про доставку	14	Цифровий підпис, забезпечення цілосності даних, підтвердження  характеристик даних	7

 

 

Механізм цифрового електронного підпису, що регламентує один із процесів аутентифікації користувачів і повідомлень, використовується для підтвердження істинності змісту повідомлення і посвідчення того факту, що воно відправлено тим абонентом, що зазначений в заголовку якості джерела даних. Цифровий підпис також необхідний для запобігання можливості відмови передавача від видачі якогось повідомлення, а приймача від його прийому.

Процес підписання блоку даних використовує інформацію, що є інформацією приватного використання (тобто унікальної і конфіденційної). Цей процес припускає або шифрування блоку даних, або одержання криптографічного контрольного значення блоку даних із використанням приватної інформації користувача, що підписав, у якості ключа шифрування приватного користування. Таким чином, після перевірки підпису в наступній третій особі (наприклад, арбітру) у будь-який час може бути доведено, що підпис міг виконати тільки єдиний тримач секретної (приватної) інформації.

Механізми контролю доступу можуть використовувати  аутентифікаційну ідентифікацію об'єкта або інформацію об'єкта (наприклад, приналежність до відомої множини об'єктів) або можливості цього об'єкта для встановлення і застосування прав доступу до цього об'єкта. Якщо об'єкт робить спробу використовувати несанкціонований ресурс або санкціонований ресурс із неправильним типом доступу, то функція контролю доступу буде відхиляти цю спробу і може повідомити про цю спробу для ініціювання аварійного сигналу і (або) реєстрації його як частини даних перевірки безпеки. Механізми контролю доступу можуть використовуватися на будь-якому кінці з'єднання і (або) у будь-якому проміжному вузлі.

Механізми підстановки  трафіка, названого також механізмами  заповнення потоку, використовується для реалізації служби засекречування потоку даних. Вони грунтуються на генерації фіктивних блоків, їх шифрування й організації передачі по каналах зв'язку. Тим самим нейтралізується можливість одержання інформації про мережу і абонентах, що обслуговуються нею, за допомогою спостереження за зовнішніми характеристиками потоків, що циркулюють по каналах зв'язку.

Найбільш надійними  являються криптографічні методи захисту  інформації, що відносяться до класу  засобів захисту із запитом інформації.

Криптографічний захист – це захист даних за допомогою криптографічного перетворення: кодування та шифрування. Для кодування використовуються кодувальні книги і таблиці, що вміщують набори часто використовуваних фраз, кожній з яких відповідає кодове слово. Для декодування використовується така ж книга.

Другий тип  криптографічного перетворення – шифрування – представляє собою процедуру (алгоритм) перетворення символів вихідного  тексту до форми, недоступної для  розпізнання (зашифрований текст).

Під шифром розуміють сукупність перетворень множини відкритих даних на множину зашифрованих, заданих алгоритмом криптографічного перетворення. В шифрі завжди розрізняють два елемента: алгоритм і ключ.

Для сучасних криптографічних  систем захисту інформації сформульовані  наступні загальноприйняті вимоги:

       - зашифроване повідомлення повинно  піддаватись читанню тільки при  наявності ключа;

- число операцій, необхідних для визначення використаного  ключа шифрування по фрагменту  повідомлення і відповідного  йому відкритого тексту, повинно бути не менше загального числа можливих ключів;

-  число операцій, необхідних для розшифрування  інформації шляхом перебору можливих  ключів повинно мати строгу  нижню оцінку і виходити за  межі можливостей сучасних комп’ютерів  ( із врахуванням можливості використання мережних обчислень);

- знання алгоритму  шифрування не повинно впливати  на надійність захисту;

- незначна зміна  ключа повинна приводити до  значної зміни виду зашифрованого  повідомлення навіть при використанні  одного і того ж ключа;

- структурні елементи алгоритму шифрування повинні бути незмінними;

- додаткові  біти, що вводяться до повідомлення  в процесі шифрування, повинні  бути повністю і надійно заховані  у шифрованому тексті;

- довжина зашифрованого  тексту має дорівнювати довжині  вихідного тексту;

- не повинно  бути простих і легко установлювальних  залежностей між ключами, що  послідовно використовуються в  процесі шифрування;

- кожний ключ  із множини можливих повинен  забезпечувати надійний захист  інформації;

- алгоритм має  допускати як програмну, так і апаратну реалізацію, при цьому зміна довжини ключа не повинна приводити до якісного погіршення алгоритму шифрування.

Необхідно також  відзначити, що всі розглянуті засоби захисту діляться на:

• формальні, що виконують захисні функції строго по заздалегідь передбаченій процедурі без особистої участі людини,
• неформальні, обумовлені цілеспрямованою діяльністю людини або регламентуючої цієї діяльності.

До неформальних можна віднести:

1. Захист даних на дисках 

Кожний диск, папка й файл локального комп'ютера, а також комп'ютера, підключеного до локальної мережі, може бути захищений від несанкціонованого доступу. Для них можуть бути встановлені певні права доступу (повний, тільки читання, по паролю), причому права можуть бути різними для різних користувачів.

Для забезпечення більшої надійності зберігання даних  на жорстких дисках використовуються Raid-масиви (Redantant Arrays of Independent Disks — надлишковий  масив незалежних дисків). Кілька твердих  дисків підключаються до спеціального Raid-контролеру, який розглядає їх як єдиний логічний носій інформації. При записі інформації вона дублюється й зберігається на декількох дисках одночасно, тому при виході з ладу одного з дисків дані не губляться.

2. Захист доступу до комп'ютера 

Для запобігання  несанкціонованого доступу до даних, що зберігаються на комп'ютері, використовуються паролі. Комп'ютер дозволяє доступ до своїх ресурсів тільки тим користувачам, які зареєстровані й увели правильний пароль. Кожному конкретному користувачеві може бути дозволений доступ тільки до певних інформаційних ресурсів. При цьому може проводитися реєстрація всіх спроб несанкціонованого доступу.

Захист користувацьких настроювань був у операційній  системі Windows 98 (при завантаженні системи  користувач повинен увести свій пароль), однак такий захист легко обходиться, тому що користувач може відмовитися від уведення пароля. Вхід по паролю може бути встановлений у програмі BIOS Setup, комп'ютер не почне завантаження операційної системи, якщо не введений правильний пароль. Подолати такий захист нелегко, більше того, виникнуть серйозні проблеми доступу до даних, якщо користувач забуде цей пароль.

У цей час  для захисту від несанкціонованого  доступу до інформації усе більш  часто використовуються біометричні  системи авторизації й ідентифікації користувачів. Використовувані в цих системах характеристики є невід'ємними якостями особистості людини й тому не можуть бути загубленими й підробленими. До біометричних систем захисту інформації відносяться системи розпізнавання мови, системи ідентифікації по відбитках пальців, а також системи ідентифікації по райдужній оболонці ока.

3. Захист інформації в Інтернеті

Якщо комп'ютер підключений до Інтернету, то в принципі будь-який користувач, також підключений  до Інтернету, може одержати доступ до інформаційних ресурсів цього комп'ютера. Якщо сервер має з'єднання з Інтернетом і одночасно служить сервером локальної мережі (Інтранет-сервером), то можливо несанкціоноване проникнення з Інтернету в локальну мережу.

Механізми проникнення  з Інтернету на локальний комп'ютер і в локальну мережу можуть бути різними:

• Web-сторінки, що завантажуються в браузер можуть містити активні елементи Active-Х  або Java-аплети, здатні виконувати деструктивні дії на локальному комп'ютері;

•  деякі Web-сервери розміщають на локальному комп'ютері текстові файли cookie, використовуючи які можна одержати конфіденційну інформацію про користувача локального комп'ютера;

• за допомогою  спеціальних утиліт можна одержати доступ до дисків і файлам локального комп'ютера й ін.

Для того щоб цього не відбувалося, установлюється програмний або апаратний бар'єр між Інтернетом і Інтранетом за допомогою брандмауера (firewall — міжмережевий екран). Брандмауер відслідковує передачу даних між мережами, здійснює контроль поточних з'єднань, виявляє підозрілі дії й тим самим запобігає несанкціонованому доступу з Інтернету в локальну мережу.

4. Захист програм від нелегального копіювання й використання 

Комп'ютерні пірати, нелегально тиражуючи програмне  забезпечення, знецінюють працю програмістів, роблять розробку програм економічно невигідним бізнесом. Крім того, комп'ютерні пірати нерідко пропонують користувачам недопрацьовані програми, програми з помилками або їх демоверсії.

Для того щоб  програмне забезпечення комп'ютера  могло функціонувати, воно повинно бути встановлене (інстальоване). Програмне забезпечення поширюється фірмами-виробниками у формі дистрибутивів на CD-ROM. Кожний дистрибутив має свій серійний номер, що перешкоджає незаконному копіюванню й установці програм.

Для запобігання  нелегального копіювання програм і даних, що зберігаються на CD-ROM, може використовуватися спеціальний захист. На CD-ROM може бути розміщений закодований програмний ключ, який губиться при копіюванні й без якого програма не може бути встановлена.

Захист від  нелегального використання програм може бути реалізований за допомогою апаратного ключа, який приєднується звичайно до паралельного порту комп'ютера. Програма, що захищається, звертається до паралельного порту й запитує секретний код; якщо апаратний ключ до комп'ютера не приєднаний, то програма, що захищається, визначає ситуацію порушення захисту й припиняє своє виконання.

 

Висновок

 

Отже, ускладнення  методів і засобів організації  машинної обробки інформації, а також  широке використання  обчислювальних мереж призводить до того, що інформація стає все більш вразливою. У зв’язку з цим захист інформації в процесі її збору, обробки і зберігання набуває виключно важливого значення (особливо в комерційних та оборонних галузях).

Під захистом інформації розуміється сукупність заходів, методів і засобів, що забезпечують рішення наступних основних задач:

- перевірка  цілісності інформації;

- виключення  несанкціонованого доступу до  ресурсів персонального комп’ютера (надалі ПК), а також до програм  і даних, що зберігаються в  ньому;