Методы и средства обеспечения безопасности информации

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• регистрацию (сигнализация, отключение, задержка работ, от­каз и запросе) при попытках несанкционированных действий.

Маскировка — метод защиты информации путем ее криптографи­ческого закрытия. Этот метод широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дис­кетах. При передаче информации по каналам связи большой протя­женности данный метод является единственно надежным.

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи за­щищаемой информации, при которых возможности несанкциони­рованного доступа к ней сводились бы к минимуму.

Принуждение - метод защиты, при котором пользователи и пер­сонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материаль­ной, административной или уголовной ответственности.

Побуждение— метод зашиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет со­блюдения сложившихся моральных и этических норм (как регламен­тированных, так и неписаных).

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические. К основным средствам защиты, используе­мым для создания механизма обеспечения безопасности, относятся следующие.

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под ап­паратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному ин­терфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой инфор­мации на различные карточки). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Так, различают наружные системы охраны («Ворон», GUARDWIR, FPS и др.), ультрозвуковые системы (Cyclops и т. д.), системы прерывания луча (Pulsar ЗОВ и т. п.), телевизионные системы (КД/216 и др.), ра­диолокационные системы («ВИТИМ» и т. д.), система контроля вскрытия аппаратуры и др.

Программные средства представляют собой программное обеспе­чение, специально предназначенное для выполнения функций заши­ты информации. В такую группу средств входят: механизм шифрова­ния (криптографии — специальный алгоритм, который запускается уникальным числом или битовой последовательностью, обычно на­зываемым шифрующим ключом; затем по" каналам связи передается зашифрованный текст, а получатель имеет спой ключ для дешифрова­ния информации), механизм цифровой подписи, механизмы контро­ля доступа, механизмы обеспечения целостности данных, механизмы постановки графика, механизмы управления маршрутизацией, меха­низмы арбитража, антивирусные программы, программы архивации (например, zip, rar, arj и др.), защита при вводе и выводе информации и т. д.

Организационные средства защиты представляют собой организа­ционно-технические и организационно-правовые мероприятия, осу­ществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все струк­турные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной инфор­мационной системы банковской деятельности, монтаж и наладка оборудования, использование, эксплуатация).

Морально-этические средства зашиты реализуются в виде все­возможных норм, которые сложились традиционно или складыва­ются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязатель­ными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека. Наиболее показатель­ным примером таких норм является Кодекс профессионального по­ведения членов Ассоциации пользователей ЭВМ США.

Законодательные средства защиты определяются законодатель­ными актами страны, которыми регламентируются правила пользо­вания, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Все рассмотренные средства зашиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотрен­ной процедуре без непосредственного участия человека) и неформаль­ные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).

В настоящее время наиболее острую проблему безопасности (даже в тех системах, где не требуется сохранять секретную информацию, и в домашних компьютерах) составляют вирусы. Поэтому здесь оста­новимся на них подробнее. Компьютерный вирус — это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т. е. «заражать» их), а так­же выполнять различные нежелательные действия на компьютере (например, портить файлы или таблицы размещения файлов на дис­ке, «засорять» оперативную память и т. д.).

Основным средством защиты от вирусов служит архивирование. Другие методы заменить его не могут, хотя и повышают общий уро­вень защиты. Архивирование необходимо делать ежедневно. Архи­вирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов. Это дает возмож­ность не только экономить место на специальных архивных дисках, но и объединять группы совместно используемых файлов в один ар­хивный файл, в результате чего гораздо легче разбираться в общем архиве файлов. Наиболее уязвимыми считаются таблицы размеще­ния файлов, главного каталога и загрузочный сектор. Файлы рекомендуется периодически копировать на специальный внешний носитель. Их резервирова­ние важно не только для защиты от вирусов, но и для страховки на случай аварийных ситуаций или чьих-то действий, в том числе соб­ственных ошибок. Существуют программы-фильтры, проверяющие, имеется ли в файлах (на указанном пользователем диске) специальная для данного вируса комбинация байтов. Используется также специальная обра­ботка файлов, дисков, каталогов — вакцинация: запуск программ-вак­цин, имитирующих сочетание условий, в которых начинает работать и проявляет себя данный тип вируса.