Механизмы, методы и средства защиты информации

Выделяют следующие механизмы защиты информации:

· формирование и опознание подписи;

· контроль и разграничение доступа;

· система регистрации и учета информации;

· обеспечение целостности данных;

· обеспечение аутентификации;

· подстановка трафика;

· управление маршрутизацией;

· арбитраж или освидетельствование.

1. Формирование и опознание подписи. Ее механизм основывается на алгоритмах асимметричного шифрования и включает две процедуры: формирование подписи отправителем и ее опознание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных или его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знание которого достаточно для опознавания отправителя.

2. Контроль и разграничение доступа. Осуществляет проверку полномочий объектов (программ и пользователей) на доступ к ресурсам сети. В основе контроля доступа к данным лежит система разграничения доступа специалистов информационной технологии к защищаемой информации.

3. Система регистрации и учета информации. Отвечает за ведение регистрационного журнала, позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. В регистрационном журнале фиксируются все осуществленные или неосуществленные попытки доступа к данным или программам. Содержание регистрационного журнала может анализироваться как периодически, так и непрерывно. В регистрационном журнале ведется список всех контролируемых запросов, осуществляемых специалистами, а также учет всех защищаемых носителей информации с помощью их маркировки, с регистрацией их выдачи и приема.

Система регистрации и учета является одним из эффективных методов увеличения безопасности в информационных системах и технологиях.

4. Обеспечение целостности данных. Применяется как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но не достаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока данных, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.

5. Обеспечение аутентификации. Это механизм установления подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого себя выдает. Механизмы аутентификации подразделяются на одностороннюю и взаимную аутентификацию. При использовании односторонней аутентификации один из взаимодействующих объектов проверяет подлинность другого. Во втором случае – проверка является взаимной.

6. Подстановка трафика (подстановка текста). Используются для реализации службы засекречивания потока данных. Они основываются на генерации объектами информационной системы фиктивных блоков, их шифровании и организации передачи по каналам связи. Тем самым нейтрализуется возможность получения информации об информационной технологии и обслуживаемых ее пользователей посредством наблюдения за внешними характеристиками потоков информации, циркулирующих по каналам связи.

7. Управление маршрутизацией. Обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным), физически ненадежным каналам.

8. Арбитраж. Обеспечивает подтверждение характеристик данных, передаваемых между объектами информационной системы, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.

В основе механизмов защиты лежат методы защиты информации. К основным методам защиты относятся:

· маскировка;

· побуждение;

· препятствие;

· принуждение;

· регламентация;

· управление доступом.

Маскировка – это метод защиты информации путем ее криптографического закрытия. Этот метод сейчас широко применяется как при обработке, так и при хранении информации, в том числе и на переносных носителях. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.

Побуждение – это метод защиты, побуждающий специалистов и персонал автоматизированной информационной технологии не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Препятствие – это метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. д.).

Принуждение – это метод защиты, когда специалисты и персонал информационной технологии вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Регламентаци я – это метод защиты информации, создающий по регламенту в информационных технологиях такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Управление доступом – это метод защиты информации с помощью использования всех ресурсов информационной технологии. Управление доступом включает следующие функции защиты:

· идентификация специалистов, персонала и ресурсов информационной технологии (присвоение каждому объекту персонального идентификатора);

· опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

· проверка полномочий (соответствие дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

· разрешение и создание условий работы в пределах установленного регламента;

· регистрация (протоколирование) обращений к защищаемым ресурсам;

· реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.

Методы обеспечения безопасности реализуются на практике за счет применения средств защиты, которые делятся на формальные и неформальные.

Неформальные средства защиты – это средства защиты, которые определяются целенаправленной деятельностью человека, либо регламентируют эту деятельность

К основным неформальным средствам защиты относятся организационные, законодательные, морально-этические средства.

1. Организационные средства. Представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации в информационных системах. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство и оборудование помещений экономического объекта, проектирование информационной системы, монтаж и наладка оборудования, испытания, эксплуатация и т. д.). К ним можно отнести, например, охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).

2. Законодательные средства. Определяются законодательными актами страны, в которых регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушения этих правил.

3. Морально-этические средства. Реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет к утечке информации и нарушению секретности.

Формальные средства защиты – это средства, выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека.

К основным формальным средствам защиты, которые используются для защиты информации в информационных системах, относятся программные и технические средства.

1. Программные средства. Представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

2. Технические средства. Реализуются в виде электрических, электромеханических и электронных устройств. Все технические средства делятся аппаратные и физические. Аппаратные средства представляют собой устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Физические средства представляют собой автономные устройства и системы, создающие физические препятствия для злоумышленников (замки, решетки, охранная сигнализация и т.д.). К ним можно отнести, например, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.