Принципы защиты информации в Интернете. Характеристики, обеспечивающие безопасность системы.
Сегодня одной из самых актуальных проблем в сфере информационно-вычислительных систем является защита информации в интернете. Действительно, мало кто мыслит свою жизнь без электронной глобальной сети. Люди ведут различные финансовые операции в интернете, заказывают товары, услуги, пользуются кредитными карточками, проводят платежи, разговаривают и переписываются, совершают много других действий, требующих обеспечения конфиденциальности и защиты.
Цели защиты информации 1. Соблюдение конфиденциальности информации то есть к данным есть доступ лишь у тех пользователей, кто авторизован 2. Предотвращение несанкционированного доступа к информации и (или) передачи её лицам, не имеющим права на доступ к такой информации 3. Предотвращение несанкционированных действий по уничтожению, модификации, копированию, блокированию и предоставлению информации, а также иных неправомерных действий в отношении такой информации 4. Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование
При создании программно-аппаратных систем защиты информации разработчики руководствуются основными принципами, установленными действующими государственными законами и нормативными документами по информационной безопасности. Принципы защиты информации
Данный принцип заключается в обязательном выполнении 2-х основных условий: пользователь должен иметь достаточную "форму допуска" для доступа к информации данного уровня конфиденциальности - грифа секретности; пользователю необходим доступ к данной информации для выполнения его производственных функций. Принцип обоснованности доступа
Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов автоматизированных систем, которые в соответствии с принципом обоснованности доступа следует разделять между пользователями. Принцип достаточной глубины контроля доступа
Для предупреждения нарушения безопасности информации, которое, например, может иметь место при записи секретной информации на несекретные носители и в несекретные файлы, её передаче программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищённым каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации. Принцип разграничения потоков информации
Данный принцип заключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям. Принцип чистоты повторно используемых ресурсов
Каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможнее нарушения её защиты, т.е. какие-либо случайные или умышленные действия, которые приводят или могут привести к несанкционированному ознакомлению с конфиденциальной информацией, её искажению или уничтожению, или делают такую информацию недоступной для законных пользователей. Принцип персональной ответственности
Данный принцип подразумевает, что средства защиты информации в автоматизированных системах должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей, а для своего сопровождения должна включать специальный защищённый интерфейс для средств контроля, сигнализации о попытках нарушения защиты информации и воздействия на процессы в системе. Принцип целостности средств защиты
Любая организация или компания, которая хранит и обрабатывает данные в информационных системах, нуждается в средствах защиты информации: Финансово-кредитные организации; Коммерческие и государственные организации, у которых есть подключения в сетях общего пользования; Территориально-распределенные компании; Организации, которые вынуждены предоставлять внешний доступ к своим ресурсам информации; Операторы связи. Конечно, это далеко не весь перечень. И компании, которые вынуждены обезопасить свои информационные данные, становятся перед проблемой выбора между тем, насколько эффективной будет их работа в сетях, и необходимым уровнем защиты. Очень часто пользователи или потребители могут расценить такие меры безопасности как ограничение доступа либо снижение эффективности. Поэтому подбор средств для защиты информации каждая организация осуществляет индивидуально. Кому нужна система защиты информации?
Их классифицируют на несколько групп: Средства аппаратного (или технического) характера; Программные меры защиты; Средства, которые относят к смешанному виду; Меры организационного или административного характера. Классификация и обзор средств защиты
К первой группе относятся разные устройства. Они могут быть электронными, механическими или электромеханическими, но специфика их работы предполагает защиту информации посредством аппаратных средств. Применение этих устройств позволит воспрепятствовать физическому проникновению или замаскировать данные, если доступ все же был открыт. Технические средства надежны, независимы от субъективных факторов и обладают высокой устойчивостью к модификации. Но у них есть и свои недостатки. В первую очередь это достаточно высокая цена. Также они недостаточно гибкие и практически всегда обладают большими массой и объемом.
Второй вид оперирует разнообразными программами, для того чтобы контролировать доступ, проводить идентификацию пользователей, тестировать контроль системы защиты информации. Кроме того, средства, относящиеся к этой группе, могут шифровать данные и удалять рабочую (остаточную) информацию (вроде временных файлов). Если система использует программные средства для защиты, она получает массу преимуществ. Они гибкие и надежные, универсальные и достаточно просты в установке, а еще способны к модификации и предполагают определенное развитие. Однако этот вид средств очень чувствителен к случайным и преднамеренным изменениям. К другим недостаткам программной защиты можно отнести использование части ресурсов файл-сервера и рабочих станций, ограниченную функциональность сети и то, что ее средства могут зависеть от типа компьютера и его аппаратных средств.
Третья группа сочетает в себе свойства первой и второй. В последний вид входят средства защиты информации организационно-технического и организационно- правового характера. Сюда можно отнести: Контроль доступа в помещения, их подготовку и оснащение; Разработку стратегий безопасности компании; Подборку и изучение национальных законодательств с последующим их применением; Учреждение правил работы и контроль их соблюдения. Полноценная защита информации в интернете может быть достигнута при использовании всех этих средств в комплексе.
Для того чтобы обеспечить необходимую секретность, часто обращаются за помощью к специалистам по криптографии или шифрованию информации. При создании зашифрованных данных используют определенный алгоритм или устройство, которое его реализует. Изменяющийся код ключа осуществляет управление шифрованием. Именно с его помощью вы сможете извлечь информацию. Среди классических алгоритмов, которые используются, выделяют несколько основных: Подстановка. Она может быть как самой простой, одно алфавитной, так и многоалфавитной сложной (однопетлевой и многопетлевой); Перестановка. Различают простую и усложненную; Гаммирование. Речь идет о смешивании, в котором могут использовать длинную, короткую, неограниченную маски. Наиболее эффективные методы программных средств
В первом случае исходный алфавит заменяется альтернативными. Это самый легкий способ шифрования. Данные, зашифрованные алгоритмом перестановки, будут более защищенными, ведь в нем используются цифровые ключи или эквивалентные слова. Система, отдавшая предпочтение гуммированию, получит гарантию надежности и безопасности информации, потому что для осуществления этого способа шифрования будет проведена серьезная криптографическая работа. Для защиты используются нелинейные преобразования данных, методы рассечения-разнесения, компьютерная стеганография и прочее. К тому же существует различие между симметричным и несимметричным шифрованием. Первое означает, что для шифровки и дешифровки берутся одинаковые ключи (это называется система с закрытыми ключами). Тогда как система с открытыми ключами подразумевает собой использование открытого ключа для шифра и закрытого для его расшифровки. Если же вы хотите обезопасить себя от возможных модификаций или подмены информации, тогда стоит воспользоваться электронной цифровой подписью. Так называется тоже зашифрованное сообщение, только для его шифровки берется закрытый ключ
Еще стоит проводить аутентификацию. Это означает, что должна быть установлена подлинность каждого пользователя, который представил идентификатор, либо осуществлена проверка. Ведь сообщить этот идентификатор может и совсем другое устройство (лицо), а не тот пользователь, за которого оно себя выдает. В этих целях обычно используются пароли, секретные вопросы. Эффективной является схема одноразовых паролей. Не стоит путать аутентификацию с авторизацией. При прохождении авторизации проверяются полномочия или права пользователя на то, имеет ли он доступ к конкретному ресурсу и может ли выполнять там какие- либо операции.
Если условно разделить все существующие средства защиты, то любая система должна обеспечить безопасность своих внутренних информационных ресурсов и защитить данные в процессе их передачи в интернете. К функциям первой области относятся межсетевые экраны (или брандмауэры firewalls), которые устанавливают в разрыв всех соединений внутренней сети с глобальной. С их помощью можно разделить локальную сеть на две части или даже использовать МЭ для внутреннего деления, чтобы защитить одну подсеть от другой (особенно актуально такое решение для крупных организаций, где необходимы независимые подразделения). Методы безопасности в компьютерных сетях
Система может пострадать из-за любого вторжения в ее ресурс, ведь злоумышленники используют всевозможные средства для этого. Ваши данные могут быть стерты с помощью вируса, под вашим именем кто-то получит доступ к операционной системе, прочтет конфиденциальную информацию, заменит ее ложной, выведет все устройства и оборудование из рабочего состояния. Поэтому межсетевой экран должен уметь распознать, какие пользователи являются легальными, а какие нет, правильно провести классификацию сетевой активности, чтобы не допустить вредоносной, но и не помешать нужной. Набор правил, который будет сформирован, поможет определить условия, по каким пакеты должны проходить из одной части сети в другую.
Компания, которая хочет защитить свои ресурсы самым надежным образом, должна применять комплексный подход. Кроме вышеназванных, понадобится система, которая будет осуществлять обнаружение вторжений, предотвращать их, не допускать утечек конфиденциальной информации. Еще желательно использование средств мониторинга сетей, анализа и моделирования информационных потоков, качественных антивирусных программ, не нужно забывать об архивировании и дублировании данных, резервном копировании, анализаторах протоколов, организационных и административных мерах, которые бы помогли предотвратить физический доступ посторонних к ее информации.