Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверка полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента;
• регистрация (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
111
Маскировка — метод защиты процессов переработки информации путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.
Регламентация — метод защиты процессов переработки информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемых процессов обработки информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение — такой метод защиты процессов переработки информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемых процессов обработки информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — такой метод защиты процессов переработки информации, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).
Рассмотренные методы обеспечения безопасности процессов переработки информации реализуются на практике за счет применения различных средств защиты, таких как технические, программные, организационные, законодательные и морально-этические.
Средства обеспечения безопасности процессов переработки информации, используемые для создания механизма зашиты, подразделяются на формальные (выполняют защитные функции по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).
К формальным средствам защиты относятся следующие:
• технические, которые реализуются в виде электрических, электромеханических и электронных устройств. Технические средства защиты, в свою очередь, подразделяются на физические и аппаратные. Физические средства защиты реализуются в виде автономных устройств и систем (например, замки на дверях, за которыми размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу;
• программные, которые представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты процессов обработки информации.
112
К неформальным средствам защиты относятся следующие:
• организационные, которые представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты обработки информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация);
• законодательные, которые определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил;
• морально-этические, которые реализуются в виде всевозможных норм, сложившихся традиционно или складывающихся по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США.
Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности или аутентичности (подлинности) передаваемых сообщений.
Сущность крипто графических методов заключается в следующем. Готовое к передаче сообщение, будь то данные, речь или графическое изображение того или иного документа, обычно называется открытым, или незащищенным, текстом (сообщением). В процессе передачи по незащищенным каналам связи такое сообщение может быть легко перехвачено или отслежено подслушивающим лицом посредством его умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к этому сообщению оно зашифровывается и тем самым преобразуется в шифрограмму или закрытый текст. Когда же санкционированный пользователь получает сообщение, он дешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст.
