• Гідрологія і Гідрометрія
• Господарське право
• Економіка будівництва
• Економіка природокористування
• Економічна теорія
• Земельне право
• Історія України
• Кримінально виконавче право
• Медична радіологія
• Методи аналізу
• Міжнародне приватне право
• Міжнародний маркетинг
• Основи екології
• Предмет Політологія
• Соціальне страхування
• Технічні засоби організації дорожнього руху
• Товарознавство продовольчих товарів

Проблеми захисту інформації

Комп'ютерні системи і телекомунікації визначають надійність і потужність систем оборони і безпеки країни. Комп'ю­тери забезпечують збереження інформації, її обробку і надання її споживачам, реалізуючи в такий спосіб інформаційні технології.

Однак саме найвищий ступінь автоматизації, до якого прагне су­часне суспільство, ставить його в залежність від ступеня безпеки використовуваних ним інформаційних технологій, з якими пов'язані благополуччя і навіть життя безлічі людей. Стосовно інформаційних технологій це означає, що широке впро­вадження популярних дешевих комп'ютерних систем масового попиту і застосування робить їх надзвичайно вразливими щодо деструк­тивних впливів. Як показує аналіз останніх років, по­стійно винаходяться нові й нові види та форми обробки інформації і паралельно винаходяться все нові й нові види і форми її захисту. Однак цілком її ніяк не вдається захистити і, напевно, не вдасться взагалі.

Які ж передумови кризи мають місце на сьогоднішній день? Систематизуємо наукові і технічні передумови ситуації із забезпечен­ням інформаційних технологій .

1. Збільшення обсягів інформації, що накопичується, зберігається та обробляється за допомогою ЕОМ та інших засобів обчислювальної техніки (ЗОТ). При цьому мова йде не тільки і не стільки про різке і буквальне збільшення самих обсягів, а й про розширення арсеналу методів, способів і можливостей її зосередження і збереження, наприклад, коли в єдиних базах даних може зосереджуватися інформація різного призначення і належності. Фактично, проникнувши в досить могутню базу даних, можна одержати всю інформацію. Особливо розширилися можливості подібного роду з виникненням глобальної мережі Internet.

2. Сучасні комп'ютери за останні роки отримали величезну обчислювальну потужність, але стали набагато простішими в експлуатації. Це означає, що користуватися ними стало набагато простіше і що все більша кількість нових користувачів одержує доступ до комп'ютерів. Середня кваліфікація користувачів знижується, що значною мірою полегшує задачу ЗЛ, тому що в результаті такої «персоналізації» ЗОТ більшість користу­вачів мають власні робочі станції і самі здійснюють їх адміністрування. Більшість з них не в змозі постійно підтримувати безпеку своїх систем на високому рівні, оскільки це вимагає відповідних знань, навичок, а також часу і коштів. Повсюдне поширення мереже­вих технологій об'єднало окремі машини в локальні мережі, що спільно використовують загальні ресурси, а застосування технології «клієнт-сервер» перетворило такі мережі в розподілені обчислюваль­ні середовища. Тепер безпека мережі починає залежати від безпеки всіх її компонентів, і ЗЛ досить порушити роботу однієї з них, щоб скомпрометувати всю мережу.

Сучасні телекомунікаційні технології об'єднали локальні мережі в глобальні. Це привело до появи такого унікального явища, як Internet . І саме розвиток Internet викликав сплеск інтересу до проблеми без­пеки і змусив, принаймні частково, переглянути її основні положення. Справа в тому, що, крім усіх плюсів користування, Internet забезпе­чує широкі можливості для здійснення порушень безпеки систем обробки інформації усього світу. Якщо комп'ютер підключений до Internet , то для ЗЛ не має ніякого значення, де він знаходиться - у сусідній кімнаті чи на іншому кінці світу.

3. Прогрес у сфері апаратних засобів супроводжується ще більш бурхливим розвитком програмного забезпечення (ПЗ). Як показує практика, більшість розповсюджених сучасних програмних засобів (у першу чергу - операційних систем (ОС)), незважаючи на великі зусилля розробників у цьому напрямку, не відповідають навіть міні­мальним вимогам безпеки. Головним чином це виражається в наяв­ності вад в організації засобів, що відповідають за безпеку, і різних «не документованих» можливостей. Після виявлення багато вад лікві­дуються за допомогою відновлення версій чи додаткових засобів, однак та постійність, з якою виявляються все нові і нові вади, не мо­же не викликати побоювань. Це означає, що більшість систем нада­ють ЗЛ широкі можливості для здійснення порушень.

4. Практично зникає розходження між даними і програмами, що виконуються, за рахунок появи і значного поширення віртуальних машин і різних інтерпретаторів. Тепер додаток від текстового процесора до браузера не просто обробляє дані, а інтерпретує інтегровані в них інструкції спеціальної мови про­грамування, тобто по суті це є окремою машиною. Це істотно збільшує можливості ЗЛ зі створення засобів проникнення в чужі системи й ускладнює захист, тому що вимагає здійснення контролю взаємодії ще на одному рівні - рівні віртуальної машини чи інтерпретатора.

5. Має місце істотний розрив між теоретичними моделями безпеки, що оперують абстрактними поняттями типу об'єкт, суб'єкт і т. п., і сучасними інформаційними технологіями. Це призводить до невідповідності між моделями безпеки і їх упровадженням у засобах об­робки інформації. Крім того, багато засобів захисту, наприклад засоби боротьби з комп'ютерними вірусами, узагалі не мають системної наукової бази. Таке становище склалося через відсутність загальної теорії захисту інформації, комплексних моделей безпеки обробки інформації, що описують механізми дій ЗЛ в реальних умовах в реальних системах, а також відсутність систем, що дозволяють ефективно перевірити адекватність тих чи інших рі­шень у сфері безпеки. Наслідком цього є те, що практично всі сис­теми захисту ґрунтуються на аналізі результатів успішних атак, що заздалегідь визначає їх відставання від реальної ситуації. Як приклад можна навести поширену практику закриття «раптово» виявлених вад у системі захисту.

6. У сучасних умовах надзвичайно важливим є обґрунтування вимог безпеки, створення нормативної бази, яка не ускладнює задачі розроблювачів, а, навпаки, встановлює обов'язковий рівень безпеки.

7. Глобальна безпека. В останні роки у світі різко загост­рилися проблеми, що пов'язані із забезпеченням безпечної діяльності людей узагалі. Внаслідок політичної та економічної нестабільності постійно виникають різні негативні явища. Тому різко ускладнилася проблема забез­печення економічної, матеріальної і навіть фізичної безпеки людини. Убезпечення ж перелічених видів безпеки виявилося прямо пов'язаним з інформаційною безпекою внаслідок широкого використання ін­формаційних технологій практично в усіх сферах людської діяльності.

Унаслідок сукупної дії перерахованих факторів перед розроблювачами сучасних інформаційних систем, призначених для обробки важливої інформації, постають такі завдання, що вимагають негайно­го й ефективного вирішення:

1. Забезпечення безпеки нових типів інформаційних ресурсів. Оскільки комп'ютерні системи тепер прямо інтегровані в інформаційні структури сучасного суспільства, засоби захисту повинні враховувати сучасні форми представлення інформації (гіпертекст, мультимедіа і т. д.). Це означає, що системи захис­ ту повинні забезпечувати безпеку на рівні інформаційних ре­сурсів, а не окремих документів, файлів чи повідомлень.

2. Організація довірчої взаємодії сторін (взаємної ідентифікації/ автентифікації) в інформаційному просторі. Розвиток локальних мереж і Internet диктує необхідність здійснення ефективного захисту при віддаленому доступі до інформації, а також взаємодії користувачів через загальнодоступні мережі. Причому потрібно вирішити це завдання в глобальному масштабі, незважаючи на те, що сторони, які беруть участь, можуть зна­ходитися в різних частинах планети, функціонувати на різних апаратних платформах і в різних ОС.

3. Захист від автоматичних засобів нападу. Досвід експлуатації існуючих систем показав, що сьогодні від систем захисту вима­гаються зовсім нові функції, а саме - можливість забезпечення безпеки в умовах будь-якої їх взаємодії з подібними засобами, в тому числі і при появі усередині цих програм, що здійснюють деструктивні дії,- комп'ютерних вірусів, автоматизованих засобів злому, агресивних агентів. На перший погляд здається, що ця проблема вирішується засобами розмежування доступу, однак це не зовсім так, що підтверджується відомими випадками по­ ширення комп'ютерних вірусів у «захищених» системах.

4. Інтеграція захисту інформації в процес автоматизації її оброб­ки як обов'язковий елемент. Для того щоб бути затребуваними сучасним ринком інформаційних систем, засоби безпеки не повинні вступати в конфлікт з існуючими додатками і сформованими технологіями обробки інформації, а, навпаки, повинні стати невід'ємною частиною цих засобів і технологій.

5. Розробка сучасних надійних, адекватних та ефективних математичних моделей безпеки.

Проблема захисту інформації (ЗІ) в автоматизованих системах оброб­ки даних (АСОД) з моменту її формулювання наприкінці 60-х років до сучасного етапу пройшла багато в чому суперечливий шлях.

Нині ми є свідками етапу, що характеризується:

• високими темпами розвитку елементної бази, тобто електроніки;

• інтенсивним розширенням як ушир, так і углиб мережевих конфігурацій;

• розвитком спеціалізованого ПЗ, у тому числі й атакуючих про­ грамних засобів;

• розробкою нових криптосистем;

• високим ступенем інтегрованості різних механізмів і засобів. Однак поки що роль цих обставин ще цілком не осмислена, вона продовжує вивчатися і вимагає серйозного перегляду загальних уяв­лень про СЗІ і пошуку нових концепцій, засобів і методів.

На сьогодні проблему ЗІ можна охарактеризувати рядом таких основних положень:

• чітка практична спрямованість, тобто біль­шість положень спочатку реалізуються як конкретні схеми і рекомендації, що тільки потім узагальню­ються і фіксуються у вигляді теоретичних положень чи методичних рекомендацій;

• багатоаспектність, тобто забезпечення безпеки відбувається у багатьох напрямках;

• і невизначеність як наслідок наявності «людського фактора» - невідомо, хто, коли, де і яким чином може порушити безпеку об'єктів захисту; > розуміння неможливості створення ідеального (абсолютного) захисту;

• і застосування оптимізаційного підходу - мінімальність ризику і можливого збитку, що випливають з того, що щораз вибирається лише певний ступінь захищеності, який визначається конкретни­ми умовами (можливі витрати на захист, можливі загрози і т. д.);

• наявність безпечного часу, тобто завжди враховується, що існує час життя інформації і час, необхідний для подолання ЗЛ захисту (звичайно, бажано, щоб останній був більший від першого);

• захист від усього і від усіх.

В сучасних інформа­ційних системах інформаційна безпека має забезпечувати не тільки (і не стільки) конфіденційність інформації, а передусім її цілісність та до­ступність.

Основна частина загроз інформації (більш як 90 %) реалізується в самій системі - йдеться про тривіальні некомпетентність, некваліфікованість, недбалість персоналу системи. Ще одна думка стосується уявлення про статичність засобів ЗІ, яке полягає в такому: захист організовано, і це вже є гарантія захисту повного. Проте те що сьогодні забезпечувало надійний захист, завтра уже не забезпечує, а отже, слід постійно мати на увазі один з найважливіших принципів організації ЗІ - безперервний захист у часі і в просторі.

Багато хто також вважає, що його інформація не дуже цінна, отже, не треба витрачати великих зусиль на її захист. Така точка зору може бути дуже небезпечною, оскільки оцінка важливості чи цінності інформації, а особливо своєї, є досить складним і, значною мірою, суб'єктивним процесом.

Засоби захисту від несанкціонованого доступу (НСД), що реалізовані в КС, слід розглядати як підсистему захисту від НСД у складі СЗІ. Характеристики фізичного середовища, персоналу, оброблюваної інформації, організаційної під­системи істотно впливають на вимоги до функцій захисту, що реалі­зуються КС.

Обчислювальна система АС являє собою сукупність апаратних засобів, програмних засобів, призначених для обробки інформації. Кожний із компонентів ОС може розроблятись і надходити на ринок як незалежний продукт. Кожний з цих компонентів може реалізову­вати певні функції захисту інформації, оцінка яких може виконува­тись незалежно від процесу експертизи АС і має характер сертифіка­ції.

Під КС слід розуміти представлену для оцінки сукупність апара­тури, програмно-апаратних засобів, окремих організаційних заходів, що впливають на захищеність інформації. Як КС можуть виступати: ЕОМ загального призначення або персональна ЕОМ; ОС; прикладна або інструментальна програма (пакет програм); підсистема захисту від НСД, яка являє собою надбудову над ОС; локальна обчислюваль­на мережа; мережева ОС; ОС автоматизованої системи; в найбільш загальному випадку - сама АС або її частина.

Можлива ситуація, коли для побудови певної КС використову­ються компоненти, кожний або деякі з яких мають сертифікат, що підтверджує, що ці компоненти реалізують певні функції захисту інформації. Це, однак, не означає, що КС, яка складається з таких компонентів, реалізовуватиме всі ці функції. Для гарантії останнього має бути виконано проектування КС з метою інтеграції засобів захисту, що надаються кожним компонентом, в єдиний комплекс засобів захис­ту. Таким чином, наявність сертифіката слід розглядати як потенційну можливість КС реалізовувати певні функції захисту оброблюваної ін­формації від певних загроз.

Основні властивості інформації, що безпосередньо ви­значають її цінність. Такими фундаментальними властивостями захи­щеної інформації (ФВЗІ) є конфіденційність, цілісність, доступність і спостереженість .

Термін конфіденційністьвизначається як властивість інформації, яка полягає в тому, що вона не може бути доступною для ознайомлення користувачам і/або процесам, що не мають на це відповідних повноважень.

Цілісністьінформації - це властивість, що полягає в тому, що вона не може бути доступною для модифікації користувачам і/або вона процесам, що не мають на це відповідних повноважень. Цілісність інформації може бути фізичною і/або логічною.

Доступність інформації - це властивість, що полягає в можливості її користування на вимогу користувача, який має відповідні повноваження.

Спостереженість- це властивість інформації, яка полягає в тому, що процес її обробки повинен постійно перебувати під контролем певного керуючого захистом органу.

Потенційно можливі несприятливі впливи на інформацію, що при­зводять до порушення хоча б однієї з перерахованих властивостей, нази­вають загрозами інформації. Рівень захищеності ін­формації в системі - це певна міра (наприклад, імовірнісна) можливості виникнення на якому-небудь етапі життєдіяльності системи такої події, наслідком якої можуть бути небажані впливи на інформацію, тобто порушення хоча б одного із зазначених ФВЗІ. Безпосередньо пов'язані з інформацією фундаментальні поняття - конфіденційність, цілісність і доступність характеризуються такими важливими особливостями:

• незалежність - кожне із введених понять не залежить від ін­ших; це дозволяє при моделюванні ЗІ визначити деякий простір, вважаючи їх сукупність базисом у цьому просторі;

• конструктивність - чітке виділення певної сторони проблеми ЗІ дає можливість при її реалізації використовувати конкретні механізми і засоби;

• можливість багаторазового їх дублювання при використанні різних механізмів і засобів захисту (як показує практика, будь-які з механізмів і засобів ЗІ завжди підтримують відразу декі­лька з відзначених властивостей), що дозволяє істотно підвищити рівень захищеності інформації в системі;

• можливість враховувати конкретні загрози інформації при формулюванні конкретних цілей захисту;

• можливість визначити послуги для забезпечення кожної з ФВЗІ залежно від рівня важливості інформації, очікуваних загроз інформації, цілей і завдань ЗІ.

Конфіденційність встановлює певний статус захисту щодо інформації, в той час як безпека стосується механізмів, які використовуються для підтримки цього ста­тусу. Крім того, на відміну від конфіденційності, цілісність характеризує лише ступінь відповідності певних представлень інформації в системі.

Переглядів: 2073