Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Основні проблеми безпеки інформаційних технологій



Читайте также:
  1. II. ОСНОВНІ НАПРЯМИ РОЗВИТКУ ШКОЛИ
  2. III. Проблеми та перспективи розвитку фінансово-валютної політики в Україні.
  3. V. ЗМІЦНЕННЯ ТА РАЦІОНАЛЬНЕ ВИКОРИСТАННЯ НАВЧАЛЬНО-МАТЕРІАЛЬНОЇ БАЗИ. ДОТРИМАННЯ ТЕХНІКИ БЕЗПЕКИ ТА САНІТАРНО-ГІГІЄНІЧНИХ НОРМ.
  4. Аграрного права України; проблеми їх розвитку; роль юридичної науки в їх обгрунтуванні 1 страница
  5. Аграрного права України; проблеми їх розвитку; роль юридичної науки в їх обгрунтуванні 2 страница
  6. Аграрного права України; проблеми їх розвитку; роль юридичної науки в їх обгрунтуванні 3 страница
  7. Аграрного права України; проблеми їх розвитку; роль юридичної науки в їх обгрунтуванні 4 страница

Проблеми безпеки інформаційних технологій виникли на перети­ні двох передових у плані використання технічних досягнень напря­мів — безпеки технологій та інформатизації. В умовах, коли об'єкт захисту представляє собою інформаційну систему, або коли засоби нападу мають форму інформаційних впливів, необхідно застосову­вати цілком нові технології та методи захисту. Можна підійти до систематизації ситуації із забезпеченням безпеки інформаційних те­хнологій наступним чином (рис. 6.11) [33].

Насамперед слід відзначити, що сучасні комп'ютери набули вели­кої обчислювальної потужності, але разом з тим стали набагато про­стішими в експлуатації. Це означає, означає, що користуватися ними стало набагато легше, завдяки чому все більша кількість нових, як правило, некваліфікованих людей одержали доступ до комп'ютерів, що призводить до зниження середньої кваліфікації користувачів.

Ця тенденція суттєво полегшує завдання порушникам, так як в результаті "персоналізації" засобів обчислювальної техніки більшість користувачів мають особисті комп'ютери та здійснюють їхнє адмі­ністрування самостійно. Більшість з них не можуть постійно під-


Розділ 6 Інформаційні системи та технології як об'єкти безпеки

Рис. 6.11. Основні проблеми забезпечення безпеки інформаційних

технологій

тримувати безпеку цих систем на належному рівні із-за відсутності відповідних знань, навичок, а також часу и засобів.

Широке розповсюдження мережних технологій об'єднало окре­мі машини в локальні мережі, які спільно використовують загальні ресурси, а застосування технологій клієнт-сервер та кластеризації перетворило такі мережі в розподілені обчислювальні середовища. Безпека мережі визначається захищеністю всіх комп'ютерів та мере­жаного обладнання, що входить до її складу, і зловмисникові доста­тньо порушити роботу тільки однієї компоненти, щоб скомпромету­вати всю мережу.


Частина II Основи безпеки інформаційних технологій

Сучасні телекомунікаційні технологій об'єднали локальні ком­п'ютерні мережі в глобальне інформаційне середовище. Це призве­ло до появи такого унікального явища як Internet. Саме розвиток Internet викликав хвилю інтересу до проблеми інформаційної без­пеки та поставив питання про обов'язкову наявність засобів захи­сту в систем та мереж, які приєднуються до Internet, незалежно до характеру інформації, яка оброблюється в них. Справа в тому, що Internet забезпечує широкі можливості зловмисникам для здійсне­ння порушень безпеки в глобальному масштабі. Якщо комп'ютер, який є об'єктом впливу (атаки), приєднаний до Internet, то для ата­куючого не має значення де він знаходиться — у сусідній кімнаті чи на іншому континенті.

Інша проблема безпеки інформаційних технологій викликана бур­хливим розвитком програмного забезпечення. Практика показує, більшість розповсюджених сучасних програмних засобів, в першу чергу операційних систем, не відповідає навіть мінімальним вимо­гам безпеки, хоча їхні розробника останнім часом здійснюють певні зусилля у цьому напрямку.

У першу чергу це проявляється у наявності вад у роботі засобів захисту та наявності великої кількості різноманітних "недокументо-ваних" можливостей. Після їхнього виявлення багато вад ліквідову­ються за допомогою оновлення версій та додаткових засобів, про­те та сталість, з якою виявляються все нові та нові вади, не може не викликати побоювань. На теперішній час можна стверджувати, що більшість систем надають зловмисникам широкі можливості для здійснення порушень.

Розвиток гнучких та мобільних технологій оброблення інформа­ції привів до того, що практично зникає грань між даними, які обро­блюються, та програмами, за якими вони оброблюються, за рахунок широкого розповсюдження віртуальних машин та інтерпретаторів.

Тепер будь-який розвинений додаток від текстового процесора до броузера Internet не просто обробляє дані, а інтерпретує інтегрова­ні в них інструкції спеціальних мов програмування, тобто по суті є окремою машиною з традиційною фон-нейманівською архітектурою, для якої можна створювати засоби нападу, віруси і т.ін. Це збільшує можливості зловмисників із створення засобів впровадженні у чужі системи та утруднює завдання захисту подібних систем, так як на­явність таких "вкладених" систем потребує і реалізації захисту для кожного рівня.

Невідповідність бурхливого розвитку засобів оброблення інфор-


Розділ 6 Інформаційні системи та технології як об'єкти безпеки

мації та повільного відпрацювання теорії інформаційної безпеки при­вели до появи суттєвого розриву між теоретичними моделями безпе­ки, які оперують абстрактними поняттями типу об'єкт, суб'єкт і т.ін. та реальними категоріями сучасних інформаційних технологій. Крім того, багато засобів захисту, наприклад, засоби боротьби з комп'ю­терними вірусами та системи захисту корпоративних мереж firewall на даний час взагалі не мають чіткої системної наукової бази.

Таке положення є наслідком відсутності загальної теорії захисту інформації, комплексних моделей безпеки оброблення інформація, які би описували механізми дій зловмисників в реальних системах, а також відсутність засобів, які дозволяли би ефективно моделювати адекватність тих чи інших рішень в галузі безпеки. Наслідком цього є те, що практично всі системи захисту засновані на "латанні дір", виявлених у процесі експлуатації, що визначає їхнє відставання від загроз, які динамічно розвиваються.

На практиці відсутність системної та наукової бази інформаційної безпеки проявляється вже в тому, що нема навіть загальноприйня­тої термінології, яка би адекватно сприймалася всіма спеціалістами в галузі безпеки. Тома часто теорія і практика діють у різних пло­щинах.

Необхідність створення глобального інформаційного простору та забезпечення безпеки процесів у ньому викликала необхідність роз­робки міжнародних стандартів, відповідно до яких можна забезпе­чити необхідний рівень гарантії забезпечення захисту. В сучасних умовах надзвичайно важливими є стандартизація не тільки вимог безпеки, а також методі підтвердження адекватності реалізованих засобів захисту та коректності самої реалізації.

Існуючі національні стандарти робили спроби вирішити цю про­блему, проте ці документи не можуть претендувати на те, щоб за­класти фундамент безпечних інформаційних технологій. Діючі до­кументи представляють лише скромне наслідування колишнім за­рубіжним стандартам. В умовах обвальної інформатизації найва­жливіших сфер вітчизняної економіки та державного апарату країни вкрай необхідні нові рішення у цій галузі.

Внаслідок сукупної дії всіх перерахованих факторів, що визнача­ють проблеми безпеки інформаційних систем, призначених для обро­блення особливо важливої інформації, стоїть цілий ряд завдань, які потребують негайного та ефективного вирішення.

Забезпечення безпеки нових типів інформаційних ресур­сів. Оскільки комп'ютерні системи тепер безпосередньо інтегровані


Частина II Основи безпеки інформаційних технологій

в інформаційні структури сучасного суспільства, засоби захисту по­винні враховувати сучасні форми подання інформації (гіпертекст, мультимедіа і т.ін.). Це означає, що системи захисту повинні забез­печувати безпеку на рівні інформаційних ресурсів, а не окремих до­кументів, файлів або повідомлень.

Організація довіреної взаємодії сторін (взаємної іденти-фікації/автентифікації) в інформаційному просторі. Розви­ток мереж та Internet вимагає необхідності здійснення ефективного захисту при віддаленому доступі до інформації, а також взаємодії користувачів через загальнодоступні мережі. Причому необхідно ви­конати це завдання в глобальному масштабі, незважаючи на те, що учасники цієї взаємодії можуть знаходитися в різних частинах пла­нети, функціонувати на різних платформах і в різних операційних системах.

Захист від автоматичних засобів нападу. Досвід експлуата­ції існуючих систем показав, що сьогодні від захисту вимагаються нові функції, а саме, механізми, які забезпечували би безпеку си­стеми в умовах можливої взаємодії з нею, або появи всередині неї програм, які здійснюють деструктивні дії — комп'ютерних вірусів, автоматизованих засобів злому, агресивних агентів.

Інтеграція захисту інформації в процесі автоматизації її оброблення як обов'язкового елементу. Для того, щоб бути за­требуваними сучасним ринком інформаційних систем засоби захисту не повинні вступати в конфлікт з існуючими додатками та з тра­диційними інформаційними технологіями оброблення інформації, а, навпроти, повинні стати невід'ємною частиною цих засобів і техно­логій.

Якщо ці завдання не будуть вирішені, то подальше розповсю­дження інформаційних технологій у сфері систем, які обробляють важливу інформацію, дуже скоро стане під загрозою. Держава, яка починає інформатизацію практично з "нуля", є полігоном для засто­сування останніх досягнень інформаційних технологій, тому для неї вирішення завдання створення захищених інформаційних систем є надзвичайно актуальним.


Дата добавления: 2015-07-11; просмотров: 115 | Нарушение авторских прав






mybiblioteka.su - 2015-2024 год. (0.007 сек.)