Научная статья на тему 'Средства компьютерной защиты информации'

Средства компьютерной защиты информации Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
476
83
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Гончарова О. В., Бобров Д. А.

В современном обществе все большую роль играют компьютеры, и вообще электронные средства передачи, хранения и обработки информации. Для того, чтобы информационные технологии можно было использовать в различных областях, необходимо обеспечить их надежность и безопасность. Под безопасностью (в широком смысле) понимается способность информационной системы сохранять свою целостность и работоспособность при случайных или преднамеренных внешних воздействиях. Поэтому широкое использование информационных технологий привело к бурному развитию различных методов защиты информации.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Средства компьютерной защиты информации»

Материалы электронной библиотеки хранятся в файловом виде на сервере, ссылки на источники размещены в полях БД. Текстовые материалы электронной библиотеки проиндексированы. Индекс хранится в СУБД MySQL. Взаимодействие между различными типами СУБД выполнено на языке программирования PHP. Также на PHP разработан ряд функций для чтения, добавления и изменения записей в CDS/ISIS используя библиотеку isis32.dll.

Сервисы, предоставляемые пользователям информационной системы, способствуют повышению качества образования, получению профильного образования дистанционно, а также повышению квалификации специалистов, работающих в химической промышленности без отрыва от производства и затрат на командировку.

Список литературы

1. Павличева Е.Н., Кульков С.С. Расширение возможностей использования АБИС «ИРБИС» в работе информационно-библиотечного центра РХТУ. // Сб. трудов 10 международной конференции «LIBCOM 2006», 2006, Москва

2. Кульков С.С., Павличева Е.Н., Кольцова Э.М. Разработка комплексной автоматизированной информационной системы для создания, хранения и предоставления информации в области химии и химической технологии // Химическая промышленность сегодня, 2007, №3, с. 51-55

3. Павличева Е.Н., Кульков С.С. Портал информационно-библиотечного центра как эффективный инструмент образовательного процесса университета // Образовательная среда сегодня и завтра: Матер. 3 Всерос. науч.-практ. конф. - М.: Рособразова-ние, 2006. - С. 432-434.

4. Кульков С.С., Кольцова Э.М., Скичко А.С., Женса А.В. Разработка информационного обеспечения для создания электронных учебных пособий для дистанционного образования // Многоуровневая система образования и качество подготовки специалистов: Матер. 6 межвуз. Учеб.-метод. Конф. - М.: РХТУ им. Д.И. Менделеева, 2004. - С. 127-128.

5. Кульков С.С., Кольцова Э.М., Скичко А.С., Женса А.В. Разработка программного модуля для дистанционного образования по курсу «Методы синергетики в химии и химической технологии» с использованием интернет-технологий // Успехи в химии и хим. технологии: Сб. науч. тр. /РХТУ им. Д.И.Менделеева. - М., 2003. - Т. 17, № 1. - С. 62-65.

УДК 681.3.067:007

О.В. Гончарова, Д.А. Бобров

Российский химико-технологический университет им. Д.И. Менделеева, Москва, Россия СРЕДСТВА КОМПЬЮТЕРНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

In a modern society the increasing role is played with computers, and in general electronic means of transfer, storage, and processing of the information. That information technologies could be used in various areas, it is necessary to provide their reliability and safety. Safety (in a broad sense) is understood as ability of information system to keep the integrity and working capacity at casual or deliberate external influences. Therefore wide use of information technologies has led to rapid development of various methods of protection of the information.

В современном обществе все большую роль играют компьютеры, и вообще электронные средства передачи, хранения и обработки информации. Для того, чтобы информационные технологии можно

было использовать в различных областях, необходимо обеспечить их надежность и безопасность. Под безопасностью (в широком смысле) понимается способность информационной системы сохранять свою целостность и работоспособность при случайных или преднамеренных внешних воздействиях. Поэтому широкое использование информационных технологий привело к бурному развитию различных методов защиты информации.

Различают несколько видов угроз информации, которые ведут к потере секретности, целостности, доступности информации. При обширном анализе можно прийти к выводу, что защита информации должна представлять собой регулярный процесс, осуществляемый комплексным использованием программных, аппаратных и внешних технических и нетехнических средств на всех этапах разработки, внедрения и эксплуатации информационно-вычислительных систем.

Факторы, влияющие на защиту информации

1. Организационный: при создании локально-вычислительных сетей не выполняются требования для работы с защищаемой информацией;

2. Технический: невыполнение всех технических норм и требований (ГОСТов и спецификаций), а также использование оборудования, зачастую имеющего недокументированные возможности;

3. Правовой: несовершенство нормативно-правовой базы, регулирующей вопросы конфиденциальности, требования к защите информации и ответственность за несанкционируемый доступ;

4. Социальный и психологический: нерадивость персонала, халатность при работе, а также корыстный умысел при работе с защищаемой информацией [1, 2].

Средства компьютерной защиты информации

Недостаточная защита баз данных представляет угрозу сетевой безопасности. Отсутствие защиты базы данных и контроля над тем, кто имеет право модифицировать данные и удалять файлы, непременно приведет к разрушению базы данных.

Существует два традиционных способа защиты базы данных: установка пароля, требуемого при открытии базы данных, и защита на уровне пользователей, которая позволяет ограничить, к какой части базы данных пользователь будет иметь доступ или какую ее часть он сможет изменять. Простейшим способом защиты баз данных является установка пароля для открытия базы данных. После того как пароль установлен, при каждом открытии базы данных будет появляться диалоговое окно, в которое требуется ввести пароль [1, 2].

Наиболее гибкий и распространенный способ защиты базы данных называется защитой на уровне пользователей. Этот способ защиты подобен способам, используемым в большинстве сетевых систем [3].

Защита данных шифрованием - одно из возможных решений проблемы их безопасности. Шифрованием (encryption) называют процесс преобразования открытых данных (plaintext) в зашифрованные (шифр-текст, ciphertext) или зашифрованных данных в открытые по определенным правилам с применением ключей.

Процесс защиты данных шифрованием происходит в два метода шифрования данных: необратимое (one-way) (обычно называемое хэшированием) и обратимое (two-way). Технически хэширование - это не шифрование, но поскольку обе технологии при защите данных могут применяться сходным образом, то есть преобразовывать данные из открытого текста в шифрованный. Большинство средств защиты данных шифрованием реализовано в виде специализированных аппаратных устройств [4].

Концепция защищенной корпоративной сети (защищенная корпоративная сеть) состоит в том, чтобы закрыть трафик корпоративной сети средствами защиты информации сетевого уровня (VPN) и организовать фильтрацию информации в точках соединения с открытыми сетями.

Создание защищенной корпоративной сети является одной из главных задач компаний, так как проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств.

Для надежной защиты корпоративной сети необходимо установить антивирусы на все рабочие станции и серверы. Необходимо защитить корпоративную сеть от атак хакеров при помощи установки брандмауэра. Используя все необходимые средства защиты для корпоративных сетей, мы получаем надежную защищенную корпоративную сеть.

Защита экономической информации представляет комплекс мер, направленных на защиту экономической информации. Экономическая информация включает в себя конфиденциальные сведения в производственно-хозяйственной, управленческой, научно-технической и финансовой сферах, по сути относится к коммерческой тайне, поэтому защите экономической информации следует уделять особое внимание.

Защита экономической информации должна носить системный характер, то есть для получения наилучших результатов все разрозненные виды защиты экономической информации должны быть объединены в одно целое и функционировать в составе единой системы, представляющей собой слаженный механизм взаимодействующих элементов, предназначенных для выполнения определенных задач по обеспечению информационной безопасности.

Для организации экономической информации необходимо, в первую очередь, ограничение доступа к сведениям как можно меньшего количества сотрудников [5].

Защита конфиденциальной информации - комплекс мероприятий и (или) услуг по защите ее от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней.

Механизмы защиты конфиденциальной информации должны быть четко разработаны. Техническая защита конфиденциальной информации осуществляется криптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, на защиту информации от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.

Защита конфиденциальной информации осуществляется методом прозрачного шифрования с помощью технологии работы с виртуальным логическим диском. Защита конфиденциальной информации обеспечивается шифрованием данных «на лету» с помощью стойких алгоритмов шифрования. При чтении данных с диска происходит их расшифрование, при записи на диск - зашифрование. Находящиеся на диске данные всегда зашифрованы.

Информационная безопасность бизнеса - это длительный и сложный процесс, состоящий из множества элементов, и малейшая уязвимость в любом из них неизбежно приводит к существенному ослаблению всей системы. Система информационной безопасности бизнеса - это кирпичная стена, охраняющая весь периметр ИТ-инфраструктуры.

Построение комплексной системы обеспечения информационной безопасности бизнеса стало одним из жизненно важных аспектов любого бизнеса. Недооценка значения информационной безопасности приводит любую компанию к ослабленному положению в конкурентной среде. Построение собственной системы информационной безопасности бизнеса - это создание очень сложной, но все-таки поддерживающей инфраструктуры для основных бизнес-процессов предприятия или организации. Анализ

информационной безопасности бизнеса - это системный процесс получения объективных качественных и количественных оценок текущего состояния корпорации [6].

Аппаратные средства защиты информации - это специальные средства, непосредственно входящие в состав технического обеспечения и выполняющие функции защиты как самостоятельно, так и в комплексе с другими средствами, например с программными. Под программно-аппаратными средствами защиты, в данном случае, понимаются средства, основанные на использовании так называемых "аппаратных (электронных) ключей".

Существующие аппаратные средства защиты данных, разграничивающие доступ в систему на основе различной идентифицирующей информации (сетчатка глаза, отпечатки пальцев, электронные ключи и т. д.), могут дать аппаратный сбой, связанный с неверной обработкой системной даты при идентификации пользователя.

К аппаратным средствам защиты данных относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств защиты данных различного назначения, однако наибольшее распространение получают следующие:

• специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

• генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

• устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

• специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты;

• схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

Аппаратные ключи защиты состоят из собственно ключа, подключаемого к LPT или COM-порту компьютера (недавно анонсированы ключи, подключаемые к USB-шине), и программного обеспечения (драйверов для различных операционных систем и модуля, встраиваемого в защищаемую программу).

Аппаратные ключи защиты можно пытаться классифицировать по нескольким признакам. Если рассматривать возможные типы аппаратных ключей защиты подключения, то бывают, например, ключи на порт принтера (LPT), последовательный порт (СОМ), USB-порт и ключи, подключаемые к специальной плате, вставляемой внутрь компьютера. Аппаратные ключи защиты имеют очень низкое энергопотребление, в результате чего их можно подключать к информационным портам без дополнительного питания. Одним из наиболее дешевых, но наименее надежный является аппаратный ключ защиты на основе FLASH-памяти. Существуют также аппаратные ключи защиты на основе PIC-контроллеров и ASIC-чипов [7].

По данным правоохранительных органов, как России, так и зарубежных стран, в 2006 году ущерб от краж конфиденциальных данных по техническим каналам возрос от 3,5 млн. долларов США до 7 млн. долларов и стремится к бесконечности. Средний размер потерь от действий инсайдеров возрос от 300 тыс. долларов США до 1,5 млн. долларов [8].

Решение вопроса персонифицированного доступа к защищаемым данным позволяет выявлять злоумышленника с помощью информации, неопровержимо доказывающей его вину. Это, в свою очередь, невозможно без применения самых современных способов аутентификации и управления доступом.

Итак, для минимизации риска потерь необходима реализация комплекса нормативных, организационных и технических защитных мер, в первую очередь: введение

ролевого управления доступом, организация доступа пользователей по предъявлению цифрового сертификата, а в ближайшей перспективе - промышленное решение по выборочному шифрованию и применение алгоритмов ГОСТ для шифрования.

Для полного решения проблемы защиты данных администратор безопасности должен иметь возможность проводить мониторинг действий пользователей, в том числе с правами администратора. Поскольку штатная система аудита не имеет достаточных средств защиты, необходима независимая система, защищающая корпоративную сеть не только снаружи, но и изнутри. В будущем должны также появиться типовые методики комплексного решения задачи защиты баз данных для предприятий разного масштаба - от мелких до территориально распределенных [9, 10].

Список литературы

1. Бабенков М. eToken Network Logon - новый уровень аппаратной безопасности сети / М. Бабенков // Компьютер-пресс. - 2002. - № 8. - С.156-158.

2. Попов М. БДИ. - 2002. - № 1 (41). - http:// sec.ru.

3. Степаненко Н., Т рофимова Е. Маска, я тебя знаю / Н. Степаненко, Е.Трофимова // Мир ПК. - 2003. - № 6. - http://www.smartcard.ru.

4. Шепелев А. За семью замками / А. Шепелев // Chip CD. - 2002. - № 10. - С.18-22.

5. Журнал «Защита информации. Инсайд», СПб, 2006, №3.

6. Малышенко Д.Г. Противодействие компьютерному терроризму - важнейшая задача современного общества и государства. - ВНИИ МВД России. http://oxpaha.ru/view.asp713341

7. Яковенко А.А., http://www.russianlaw.net/law/doc/a202.doc, 2006.

8. ГОСТ СТР-К, 2005.

9. Голубев В. Организационно-правовые аспекты противодействия компьютерной преступности и кибертерроризму. - 2004. http://www.crime-research.ru.

10. Dorothy E. Denning. Activism, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy. http://www.crime.vl.ru/docs/ stats/ stat_92.htm

УДК 004.42:519.22

А.С. Павлов, Е. Н. Павличева

Российский химико-технологический университет им. Д.И. Менделеева, Москва, Россия

РАЗРАБОТКА АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ДЛЯ СБОРА И АНАЛИЗА ДАННЫХ

In the given publication a short description of structure of automated information system for data retrieval and analysis is stated. A short description of every functional module and detailed description of data analysis module are stated too.

В данной публикации приведено краткое описание структуры создаваемой автоматизированной информационной системы для сбора и анализа данных. Также приводится список составных модулей системы, их функциональное назначение. Дается краткое описание функций модуля анализа данных.

i Надоели баннеры? Вы всегда можете отключить рекламу.