Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• обеспечение юридической значимости информации, представленной в виде электронного документа;
• обеспечение неотслеживаемости действий клиента.
Конфиденциальность - свойство информации быть доступной только ограниченному кругу пользователей информационной системы, в которой циркулирует данная информация.
Под целостностью понимается свойство информации или программного обеспечения сохранять свою структуру и/или содержание в процессе передачи и/или хранения.
Здесь следует сделать пояснение. Рассматривая вопрос передачи информации в виде сообщений через сеть, можно прийти к заключению, что каждое сообщение по своему смысловому содержанию образует некоторый класс. Другими словами, смысл конечного сообщения останется таким же, как и начального, даже если форма представления информации в электронном виде существенно изменится. Таким образом, каждое сообщение на русском языке будет иметь свой класс эквивалентности, и для данного случая свойство сохранения целостности информации можно сформулировать следующим образом: переданное сообщение X считается сохранившим целостность, если полученное в результате передачи сообщение Xl принадлежит классу эквивалентности сообщения X.
Достоверность - свойство информации, выражающееся в строгой принадлежности объекту, который является ее источником, либо тому объекту, от которого эта информация принята.
16_Компьютерная безопасность. Криптографические методы защиты
Оперативность - способность информации или некоторого информационного ресурса быть доступным для конечного пользователя в соответствии с его временным потребностями.
Юридическая значимость означает, что документ обладает юридической силой. С этой целью субъекты, которые нуждаются в подтверждении юридической значимости передаваемого сообщения, договариваются о повсеместном принятии некоторых атрибутов информации, выражающих ее способность быть юридически значимой. Данное свойство информации особенно актуально в системах электронных платежей, где осуществляется операция по переводу денежных средств. Исходя из сказанного, можно сформулировать некоторые требования к атрибутам информации, выражающим ее свойство быть юридически значимой. Прежде всего ее необходимо сформировать таким образом, чтобы с формальной точки зрения было определенно ясно, что только отправитель, которому принадлежит данный платежный документ, мог его создать. О способах обеспечения юридической значимости платежных документов будет сказано ниже.
Неотслеживаемостъ - способность совершать некоторые действия в информационной системе незаметно для других объектов. Актуальность данного требования стала очевидной благодаря появлению таких понятий, как электронные деньги и Internet-banking. Так, для авторизации доступа к электронной платежной системе пользователь должен предоставить некоторые сведения, однозначно его идентифицирующие. По мере развития данных систем может появиться реальная опасность, что, например, все платежные операции будут контролироваться, тем самым возникнут условия для тотальной слежки за пользователями информационных систем.
Существует несколько путей решения проблемы неотслеживаемости:
• запрещение с помощью законодательных актов всякой тотальной слежки за пользователями информационных систем;
• применение криптографических методов для поддержания неотслеживаемости.
Как уже говорилось, информационная безопасность может рассматриваться не только по отношению к некоторым конфиденциальным сведениям, но и по отношению к способности информационной системы выполнять заданные функции.
Основные задачи, решаемые в рамках информационной безопасности по отношению к работоспособности ИТС, должны обеспечивать защиту от:
• нарушения функционирования телекоммуникационной системы, выражающегося в воздействии на информационные каналы, каналы сигнализации, управления и удаленной загрузки баз данных коммутационного оборудования, системное и прикладное программное обеспечение;
Введение
17
• несанкционированного доступа к информационным ресурсам и от попыток использования ресурсов сети, приводящих к утечке данных, нарушению целостности сети и информации, изменению функционирова- • ния подсистем распределения информации, доступности баз данных;
• разрушения встраиваемых и внешних средств защиты;
• неправомочных действий пользователей и обслуживающего персонала сети.
Приоритеты среди перечисленных задач информационной безопасности определяются индивидуально для каждой конкретной ИТС и зависят от требований, предъявляемых непосредственно к информационным системам.
Следует учесть, что с точки зрения государственных структур защитные мероприятия в первую очередь призваны обеспечить конфиденциальность, целостность и доступность информации. (Понятно, для режимных государственных организаций на первом месте всегда стоит конфиденциальность сведений, а целостность понимается исключительно как их неизменность.) Коммерческим структурам, вероятно, важнее всего целостность и доступность данных и услуг по их обработке. По сравнению с государственными, коммерческие организации более открыты и динамичны, поэтому вероятные угрозы для них отличаются не только количеством, но и качеством.
