Базовые принципы информационной безопасности

Базовые принципы информационной безопасности обеспечивают:

· целостность данных – защита от сбоев, ведущих к потере информации, а также от неавторизованного создания или уничтожения данных;

· конфиденциальность информации и, одновременно, ее доступность для всех авторизованных пользователей.

Целостность информации – это сохранение информации в первоначальном виде. Существуют различные способы нарушения информации:

• изменение всей информации или ее части;
• создание новой информации;
• удаление всей информации или ее части;
• вставка заведомо ложной информации или ее части.

С целью сохранения целостности информации используют прием, называемый экранирование. При экранировании информация подвергается преобразованию с целью затруднить нарушению целостности. Одним из примеров экранирования может являться такой пример: информация делится на пакеты, и для каждого вычисляется контрольная сумма. При получении информации контрольная сумма вычисляется вторично.

Целостность информации обеспечивается:

· установкой закрытых каналов;

· наблюдением за маршрутом;

· управлением доступом к информации.

Защита информации – совокупность мер, обеспечивающих защиту прав собственности владельцев информационной продукции, в первую очередь – программ, баз и банков данных от несанкционированного доступа, использования, разрушения или нанесения ущерба в какой-либо иной форме.

Идентификация и аутентификация.Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.

Идентификация- это отождествление объекта, с которым предстоит работать. Идентификация может происходить по ключевому слову, магнитной карте, голосу, отпечаткам пальцев, сетчатке глаза, цифровой подписи, электронной подписи. Для снятия электронной подписи используется сканер или световое перо. При этом фиксируется не только вид подписи, но и ускорение пера, и нажим на бумагу. Эти данные заносятся в ЭВМ и хранятся в виде. Для идентификации объекта с помощью электронной подписи производят сравнение образца с текущей подписью. Цифровая подпись в целом аналогична, но шифруется с помощью хеш-функции.

Аутентификация– это установление подлинности пользователя или программы с одним из известных. Она бывает однонаправленной и взаимной.

Верификация– это установления подлинности имени пользователя или программы.

Идентификация позволяет субъекту - пользователю или процессу, назвать себя, сообщив свое имя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает.

Субъект может подтвердить свою подлинность, если предъявит:

• пароль, личный идентификационный номер, криптографический ключ и т.п.;
• личную карточку или иное устройство аналогичного назначения;
• голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики;

Главное достоинство парольной аутентификации - простота и привычность. При правильном использовании пароли могут обеспечить приемлемый уровень безопасности. Тем не менее это самое слабое средство проверки подлинности. Надежность паролей основывается на хранении их в тайне. НО!! Пароль можно подсмотреть. Пароль можно угадать методом прямого перебора либо изучив особенности пользователя. Пароли также уязвимы к электронному перехвату. Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:

• наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
• управление сроком действия паролей, их периодическая смена;
• ограничение доступа к файлу паролей;
• ограничение числа неудачных попыток входа в систему, что затруднит применение метода грубой силы;
• обучение пользователей;
• использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.

Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.

Токен - это предмет, владение которым подтверждает подлинность пользователя. Различают токены пассивные, которые только хранят, но не обрабатывают информацию и активные. Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника.

Активныетокены имеют собственную вычислительную систему. По принципу действия активные токены можно разделить на следующие категории:

• Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой;
• Динамическая генерация паролей: токен генерирует пароли, периодически изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала;
• Запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), а на дисплее токена видит ответ и переносит его на клавиатуру терминала.

Управление доступом

Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и их доступность. При этом использует принцип регистрации абонентов. Каждому абоненту присваивается уникальное имя и происходит наделение его определенными правами (полный доступ к информации, подразумевающий чтение, удаление, изменение любой части программы или всей сразу; частичный доступ к информации - это доступ к информации в определенном объеме; режим просмотра информации всей или ее части). В связи с этим разделением существует следующее разделение пользователей:

· администратор (полный доступ);

· зам администратора / модератор (доступ по выбору администратора);

· конечный пользователь.

Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д.