Защита информации
[ Home ]                                      

требования к АСОЭИ

общая структура объекта автоматизации

состав АСОЭИ

технология обработки информации

обслуживание системы

защита информации

оценка эффективности АСОЭИ 

использованная литература

Система защиты информации - совокупность специальных мер правового и административного характера, организационных мероприятий, физических и технических средств защиты, а также специального персонала, предназначенного для обеспечения безопасности информации.

Правовые меры защиты информации - действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушения.

Морально-этические меры защиты информации - традиционно сложившиеся в стране нормы поведения и правила обращения с информацией. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека, организации.

Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.

Физические меры защиты - различные механические, электро- или электронно-механические устройства, предназначение для создания физических препятствий на путях проникновения потенциальных нарушителей к абонентам АБС и защищаемой информации, а также техник визуального наблюдения, связи и охранной сигнализации.

Технические (аппаратно-программные) средства защиты - различные электронные устройства и специальные программы, выполняющие (самостоятельно или в комплексе с другими средствами) функции защиты информации (идентификацию пользователей, разграничение доступа к ресурсам, криптографическое закрытие информации и т.п.)

Администратор безопасности - лицо или группа лиц, ответственных за обеспечение безопасности системы, за реализацию и непрерывность соблюдения установленных административных мер защиты и осуществляющих постоянную организационную поддержку функционирования применяемых физических и технических средств защиты.

Наилучшие результаты по защите АСОЭИ достигаются при системном подходе к вопросам безопасности АСОЭИ и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы начиная с ее проектирования.

Существуют следующие универсальные (общие) способы защиты информации от различных воздействий на нее:

1. Идентификация и аутентификация (пользователей процессов и т.д.);

2. Контроль доступа к ресурсам АСОЭИ (управление доступом);

3. Регистрация и анализ событий, происходящих в АСОЭИ;

4. Контроль целостности объектов АСОЭИ;

5. Шифрование данных;

6. Резервирование ресурсов и компонентов АСОЭИ.

Идентификация - это присвоение кода каждому объекту персонального идентификатора.

Аутентификация - установление подлинности.

Управление доступом - защита информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). Регламентируются порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т.д.

Резервирование ресурсов и компонентов АСОЭИ предполагает: организацию регулярных процедур спасения и резервного хранения критичных данных, установку и периодическую проверку резервных устройств обработки данных, подготовку специалистов, способных заменить администраторов систем, регистрацию систем и хранение носителей информации в строго определенных местах, выдачу их уполномоченным лицам с необходимыми отметками в регистрационных документах.

Методы борьбы с несанкционированным доступом:

Один из эффективных методов борьбы с несанкционированным доступом (НСД) к центральным компьютерам в сетях общего пользования предложен фирмой Microcom. Он основан на использовании устройства управления модемами HDMS Plus.

Это устройство используется в составе программно-аппаратных средств сети PIE-Net, а также в корпоративных сетях таких зарубежных банков и компаний, как US Federal Reserve Bank, Bank of America, Citibank, AT&T, IBM и др. Кроме пользовательских паролей система HDMS Plus обеспечивает также защиту с помощью обратного вызова перед установлением связи и проверку паролей на уровне модемов.

Основной проблемой в вопросе обеспечения конфиденциальности передаваемой информации является наличие стойких и эффективно реализуемых криптосхем и организация надёжных и удобных ключевых систем.

В коммерческих сетях передачи данных, функционирующих в США, применяется специально разработанный стандарт шифрования DES (Data Encryption Standard), использующий как программные, так и программно-аппаратные реализации этого шифра.

В СНГ действует стандарт шифрования данных в сетях ЭВМ - ГОСТ 28147 - 89 “Системы обработки информации. Защита криптографическая”, который в значительно большей степени, чем стандарт DES, отвечает современным требованиям к средствам обеспечения конфиденциальности по своим криптографическим качествам.

Важным компонентом в системе безопасности сетей передачи данных  является цифровая подпись, позволяющая обмениваться юридически значимыми документами, проводить платежные операции, подтверждать целостность предаваемой и проверять целостность полученной информации.

Концепция защиты информации, разработанная фирмой IBM

Фирма IBM для целей защиты информации предлагает комплекс технических средств и программных продуктов для контроля доступа, наделения пользователей персональными полномочиями, установления подлинности передаваемой информации и секретности трансакций, действующий в диапазоне от уровня рабочих станций до уровня хост-ЭВМ.

Защита рабочей станции как составляющая часть единой системы защиты информации включает следующие функции:

и компоненты:

Идентификация и проверка конечного пользователя достигаются за счет применения персонального идентификатора. В качестве дополнительного средства проверки используется динамический метод проверки подписи конечным пользователем, основанный на измерении скорости движения ручки и давления при совершении подписи, показатели которых сравниваются с хранимыми в персональной карточке безопасности показателями.

Наделение полномочиями конечного пользователя, информация о которых хранится в персональной карточке безопасности. При положительном результате проверки доступ к прикладному программному продукту и наделение полномочиями выполнять те или иные трансакции контролируется на персональном уровне.

Секретность трансакций достигается путем включения криптографического (шифровального) процессора, реализующего алгоритм шифрования данных, в персональную карточку безопасности фирмы IBM , в интерфейсное устройство безопасности типа IBM 4754 и в криптографический адаптер типа IBM 4755 на уровне рабочих станций, а также в процессор безопасности сети типа IBM 4753 на уровне хост-ЭВМ.

Целостность информации обеспечивается применением кода подлинности передаваемой информации, формируемого путем реализации криптографического алгоритма данных в передающих и приемных устройствах.

Выполнение функций защиты информации реализуется с помощью комплекса технических средств и программных продуктов, разработанных фирмой IBM.

Персональная карточка безопасности фирмы IBM представляет собой карточку с встроенным в нее микропроцессором безопасности. Карточка содержит коммуникационный интерфейс и реализуемый алгоритм шифрования данных и становится частью криптографической рабочей станции при вставке в интерфейсное устройство безопасности фирмы IBM типа IBM 4754, соединенное с рабочей станцией через криптографический адаптер типа IBM 4755 или через последовательный адаптер.

Интерфейсное устройство безопасности типа IBM 4754 представляет собой настольное устройство с возможностью чтения и записи на персональной карточке безопасности фирмы IBM; оно может быть соединено с рабочей станцией через последовательный адаптер или через криптографический адаптер типа IBM 4755. Если требуется высокий уровень защиты, то в дополнение к персональному идентификатору подпись выполняется специальной ручкой и затем проверяется в криптографическом адаптере типа IBM 4755.

Криптографический адаптер типа IBM 4755 выполняет функции криптографического шифрования и дешифрования при использовании в персональном компьютере типа PC или PS/2, а также при взаимодействии с рабочей станцией и другими узлами.

Процессор безопасности сети типа IBM 4753 обеспечивает криптографическую поддержку системы, требующей защиты информации, путем реализации алгоритма шифрования данных.

Представленная система обеспечения защиты информации фирмы IBM опирается на различные компьютерные платформы и позволяет реализовать различные варианты банковских технологий и средств защиты информации.

Практика показывает, что введение паролей не защищает в достаточной степени от несанкционированного проникновения в  коммуникационные сети. Наилучшим методом защиты компьютерной сети от несанкционированного проникновения является использование специальных компьютерных программ, постоянно сканирующих состояние сети, выявляющих попытки несанкционированного прорыва в них и подающих сигнал тревоги с одновременным блокированием канала связи, по которому пытается подключиться компьютер “хакера”.

По аналогичному принципу работают программы защиты компьютерных сетей от проникновения в них вирусов. Вирусы в настоящий момент представляют собой огромную опасность для успешного функционирования банковских компьютерных сетей. Проникновение в такую сеть опасного вируса может привести не только к потере информации, но и блокировке всей сети в целом. Ущерб банку в таком случае может быть колоссальным, поскольку приостановка его работы хотя бы на один день приведёт к краху. Потеря же информации о счетах клиентов и перечислениях денежных средств вообще ведёт к катастрофе. Создание постоянно сканирующих систему программ, выявляющих и уничтожающих вирусы, является сейчас крупным бизнесом.

вверх