Защита ПК от несанкционированного доступа

  В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Их комплексное  использование предполагает согласованное  применение разнородных средств при построении целостной системы защиты, перекрывающей все существующие каналы реализации угроз и не содержащей слабых мест на стыке отдельных ее компонентов. Зашита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционной системы (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень зашиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.

  Защита  информации - это не разовое мероприятие  и даже не совокупность проведенных  мероприятий и установленных  средств защиты, а непрерывный  целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АИТУ, начиная с ранних стадий проектирования, а не только на этапе ее эксплуатации. Разработка системы защиты должна вестись  параллельно с разработкой самой  защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и в конечном счете создать более эффективные (как по затратам ресурсов, так и по устойчивости) защищенные системы. Большинству физических и технических средств защиты для эффективного выполнения их функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств, преодоления системы защиты после восстановления ее функционирования.

  Создать абсолютно непреодолимую систему  защиты принципиально невозможно. При  достаточном количестве времени  и средств можно преодолеть любую  защиту. Поэтому имеет смысл вести  речь только о некотором приемлемом (разумно достаточном) уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может  создавать ощутимые дополнительные неудобства пользователям. Важно правильно  выбрать тот достаточный уровень  защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

  Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные  средства защиты, особенно в начальный  период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный  уровень защиты. Естественно, что  для обеспечения возможности  варьирования уровней защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда  установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального  функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости избавит владельцев АИТУ от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

  Суть  принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации  и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

  Механизмы защиты должны быть интуитивно понятны  и просты в использовании. Применение средств защиты не должно быть связано  со знанием специальных языков или  с выполнением действий, требующих  значительных дополнительных трудовых затрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.). 
 
 
 
 
 
 
 
 
 
 
 
 

Заключение

   Подводя итоги, следует упомянуть о том, что известно множество случаев, когда фирмы (не только зарубежные) ведут между собой настоящие  «шпионские войны», вербуя сотрудников  конкурента с целью получения  через них доступа к информации, составляющую коммерческую тайну. Регулирование  вопросов, связанных с коммерческой тайной, еще не получило в России достаточного развития. Имеющееся законодательство все же не обеспечивает соответствующего современным реалиям регулирования  отдельных вопросов, в том числе  и о коммерческой тайне. В то же время надо отдавать себе отчет, что  ущерб, причиненный разглашением коммерческой тайны, зачастую имеет весьма значительные размеры (если их вообще можно оценить). Наличие норм об ответственности, в  том числе уголовной, может послужить  работникам предостережением от нарушений  в данной области, поэтому целесообразно  подробно проинформировать всех сотрудников  о последствиях нарушений. Хотелось бы надеяться  что создающаяся  в стране система защиты информации и формирование комплекса мер  по ее реализации не приведет к необратимым  последствиям на пути зарождающегося в России информационно - интеллектуального объединения со всем миром 

   Стоит отметить, что в такой маленькой статье невозможно даже самым общим образом охватить весь спектр вопросов, возникающих при рассмотрении проблемы защиты информации, и весь спектр ответов на них, найденных на сегодняшний день. Хочется сказать, что ни одна, самая совершенная система защиты, со всевозможными комплексными решениями, не может дать стопроцентной гарантии на безопасность данных. Ведь люди, разработавшие систему защиты, знают все слабые места в ней. А как показывает опыт, что бы ни сделал человек, в этом всегда найдутся слабые стороны, ведь все предусмотреть нельзя. Проблем обеспечения технической безопасности еще очень много. Но риск можно свести к минимуму, используя комплексные подходы, о которых мы и говорили в этой статье. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Список  литературы

1. Макаровой, Н.В. Информатика: Учебник пособие. – М.: Базовый курс.

     Теория, 2004. – 25с.

2. Безруков Н.Н. Компьютерные вирусы. - М.: Наука, 2008. – 45с.
3. Мостовой Д.Ю. Современные технологии борьбы с вирусами // Мир ПК.

     №8. - 2007. - 31с.

4. Кент П.А.  ПК и общество / Пер. c англ. В.Л. Григорьева. - М.: Компьютер,

    ЮНИТИ, 1996. - 267 c.

5. Левин В.К.  Защита информации в информационно-вычислительных

    системах и сетях // Программирование. - 2007. - C. 5-16.

6. Низамиева, О.Н. Проектирование системы защиты [Текст] / О.Н.

    Низамиева, Р.А. Сакулин // Информационная защита. – 2010. - № 3. - С. 66

    73.

7. Мананкова, Р.П. Информационная безопасность и защита информации: учебное пособие /С.А Мананкова. - Томск, 1991. – 256 с.

8. Диева С.А. Организация и современные методы защиты информации/ С.А.

     Диева - М.: Концерн «Банковский деловой центр», 1998. - 472с.

9. Куприянов А.И. Основы защиты информации: учеб. Пособие для студ.

    высш. учеб. заведений/ А.И.Куприянов, А.В.Сахаров, В.А. Шевцов -- М.:

    Издательский центр «Академия», 2006. -- 256 с.

10. Стрельцов А.А. Обеспечение информационной безопасности России/ Под

      ред. В.А. Садовничего и В.П. Шерстюка - М.:МЦНМО, 2002. - 296с.