Введение
Современное развитие человеческой цивилизации, вступившей в двадцать первый век, характеризуется наиболее интенсивным использованием компьютерных информационных технологий во всех сферах общественной жизни. В настоящее время становится трудно назвать те области жизнедеятельности, успехи в которых не были бы связаны с применением таких технологий. На смену индустриальному этапу общественного развития приходит эволюционная фаза, названная информатизацией, при которой все социально-экономические структуры общества преобразуются таким образом, чтобы обеспечить этим структурам и обществу в целом наиболее эффективное и динамичное развитие на основе максимально полного использования имеющихся компьютерных информационных ресурсов. Традиционные материальные ресурсы постепенно утрачивают свое первоначальное значение, а им на смену приходят информационные ресурсы, которые со временем не убывают, а неуклонно растут. Информация, как предмет труда, становится все в большей степени стратегическим ресурсом общества, его движущей производительной силой.В условиях информатизации общества особую ценность обретают люди – носители знаний, наилучшие передатчики технологической информации и передового опыта.
Для их эффективного участия в информационных процессах создается мощнейшая инфраструктура средств компьютерной и телекоммуникационной техники, изменяющая не только процесс и характер трудовой деятельности, но и сам образ жизни, и систему ценностей человека. В настоящее время хорошо налаженная распределенная сеть информационно-вычислительных комплексов способна сыграть такую же роль в современном обществе, какую в свое время сыграли электрификация, телефонизация, радио и телевидение вместе взятые.Современные информационные технологии приобретают глобальный характер, охватывая все сферы жизнедеятельности человека, формируя информационное единство всей человеческой цивилизации.
С помощью глобальной вычислительной сети Интернет объединяются и перемещаются на любые расстояния гигантские объемы информации, обеспечивается доступ многочисленных пользователей, расположенных на практически неограниченной территории, к информационным ресурсам всего мирового сообщества. Для государств современного мира становится очевидным, что отставание в области информатизации может оказаться непреодолимым препятствием для их дальнейшего развития, привести к существенным, а подчас драматическим последствиям во всех сферах жизнедеятельности, превратить их в сырьевой придаток информационно и промышленно развитых стран. Широкое использование компьютерных информационных технологий во всех сферах жизни современного общества делает вполне закономерной и весьма актуальной проблему компьютерной защиты информации, или иначе, проблему обеспечения информационной безопасности. В условиях интенсивного развития рынка информационных продуктов и услуг информация становится полноценным товаром, обладающим своими стоимостными характеристиками и потребительскими свойствами. Подобно любым другим традиционно существующим товарам, информация также нуждается в своей сохранности и, следовательно, надежной защите.
В методологии анализа информационной безопасности обычно выделяют следующие основные понятия:
Объект информационной безопасности;
Существующие и потенциально возможные угрозы данному объекту;
Обеспечение информационной безопасности объекта от проявления таких угроз.
Если объектом информационной безопасности выступает сама информация, то для нее наиболее важным является сохранение таких свойств, как:
Целостность;
Конфиденциальность;
Доступность.
Целостность информации заключается в ее существовании в неискаженном виде по отношению к некоторому фиксированному состоянию.
Конфиденциальность – это свойство, указывающее на необходимость введения ограничений доступа к данной информации для определенного круга лиц.
Доступность информации – это ее свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к необходимой информации.
Весьма распространенным и вполне естественным является также рассмотрение безопасности информации в инфраструктуре конкретной информационной системы (ИС). Такие системы представляют собой взаимосвязанную совокупность средств, методов и персонала, обеспечивающих сбор, хранение, обработку, передачу и отображение информации в интересах достижения поставленной цели.
Целью создания ИС является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности (в случае необходимости).
Информация является при этом конечным "продуктом потребления" и выступает в качестве центральной компоненты информационной системы. Объектом информационной безопасности становится в этом случае данная информационная система.В методологическом плане общим основанием для отнесения данного объекта к множеству объектов информационной безопасности является наличие в нем так называемого "информационного измерения" и необходимость обеспечения безопасности этого "измерения". К "информационно измеряемым" объектам относятся объекты, для которых одной из важных структурных составляющих является либо сама информация, либо деятельность, предметом которой она является. С этой точки зрения, упомянутые ранее информационные системы, безусловно, являются объектами информационной безопасности. В инфраструктуре таких систем не только представлена различная информация, но и реализуются процессы, связанные с ее преобразованием. Значимость "информационного измерения", а, следовательно, и необходимость обеспечения информационной безопасности хорошо прослеживаются в иерархии объектов: человек – общество – государство.
Информация, "информационное измерение" имеют для человека такое же важное значение, как пища, воздух, вода. Информация обуславливает не только возможность его адаптации как биологического существа к условиям внешней среды, но и обуславливает возникновение его социальных потребностей, возможность его социальной адаптации, развития личности, самореализации и самоутверждения. Информация является основным средством взаимодействия человека с другими людьми. Посредством информации реализуются процессы воспитания и образования, происходит овладение трудовыми навыками, осуществляется мотивация его деятельности, а также в определенной мере и сама деятельность. Таким образом, информационная безопасность человека заключается в невозможности нанесения вреда ему как личности, существование и социальная деятельность которой во многом базируется на осмыслении получаемой информации, информационных взаимодействиях с другими индивидами, и часто использующей информацию в качестве предмета своей деятельности.Свое "информационное измерение" имеет общество, представляющее собой сложный вид организации социальной жизни. Оно позволяет поддерживать его целостность, упорядочивать отношения между отдельными общностями, интегрировать социальные новообразования и подчинять их логике поведения основной массы населения, воспроизводить единую ткань многообразных социальных взаимодействий, осуществляемых средствами информационной коммуникации.
Также трудно переоценить роль информации и информационной инфраструктуры в функционировании духовной сферы общества, в функционировании и распространении культуры, системы ценностей, норм поведения, регулирующих взаимодействие между людьми. Таким образом, информационная безопасность общества заключается в невозможности нанесения вреда его духовной сфере, культурным ценностям, социальным регуляторам поведения людей, информационной инфраструктуре и передаваемым с ее помощью сообщениям. "Информационное измерение" государства определяется многообразным информационным наполнением его деятельности в самых различных сферах, например, таких как обеспечение национальной безопасности, ликвидация последствий стихийных бедствий и экономических катастроф, реализация социальных программ поддержки здравоохранения, образования, социального обеспечения нетрудноспособных, защита прав и свобод граждан. В условиях современной глобализации информационных процессов безопасность государства в информационной сфере становиться важнейшей составляющей национальной безопасности.
Таким образом, информационная безопасность государства заключается в невозможности нанесения вреда деятельности государства по выполнению функций управления делами общества, предметом которой выступают информация и информационная инфраструктура. Человек, общество и государство не являются единственно возможными объектами безопасности, обладающими своим "информационным измерением". Масштабная проблематика обеспечения информационной безопасности названных объектов, безусловно, детализируется и конкретизируется на локальных уровнях сложной социально-экономической и общественно-политической иерархии любого государства. Так, в условиях конкурентно-рыночных отношений становятся весьма распространенными объектами информационной безопасности компьютерные системы, отображающие информационными средствами деятельность различных предприятий, организаций и учреждений. Очевидной является необходимость обеспечения безопасного и надежного функционирования таких систем.С любым объектом информационной безопасности естественным образом связано существование той или иной угрозы, под которой понимается совокупность условий и факторов, возникающих в процессе взаимодействия данного объекта с другими объектами или составляющих его компонентов между собой и способных оказывать на него негативное воздействие. В широком смысле такие угрозы могут носить как случайный, так и преднамеренный характер.Случайные угрозы могут быть вызваны авариями и стихийными бедствиями, сбоями и отказами в работе компьютерных систем, ошибками, допущенными при их разработке, а также ошибочными действиями пользователей и обслуживающего персонала. В настоящее время такие угрозы достаточно хорошо изучены статистическими методами, что позволяет вполне адекватно противодействовать им. Более опасными с точки зрения характера и последствий проявления являются преднамеренные угрозы, вызванные злоумышленными действиями людей. Арсенал и изощренность таких угроз неуклонно расширяются, поэтому для их нейтрализации необходимо предугадать не только возможные цели злоумышленника, но и его квалификацию, и техническую оснащенность.Для любого объекта информационной безопасности (государство, отрасль, ведомство, государственное предприятие, частная фирма и т.д.) противодействие существующим и потенциально возможным угрозам достигается проведением соответствующей политики безопасности. Для ее реализации используются различные средства, методы и мероприятия. К их числу относятся, в частности, правовые нормы, организационные мероприятия, инженерно-технические и программно-аппаратные средства, методы криптографии. Названные средства обычно рассматриваются также в качестве соответствующих видов обеспечения информационной безопасности. Учитывая системный характер влияния на компьютерную информационную безопасность многочисленных факторов и обстоятельств, вполне очевидно, что эффективное решение этой проблемы возможно только на основе комплексного и целенаправленного использования всех имеющихся средств, обеспечивающих в целом необходимый и, главное, гарантированный уровень защищенности информационных ресурсов. Следует отметить, что рассматриваемая проблема обеспечения информационной безопасности весьма актуальна для нашей страны. Нельзя считать, что из-за унаследованной информационной замкнутости, некоторой технической отсталости Россия мене уязвима в информационном отношении, чем другие страны. Скорее наоборот. Как раз достаточно высокая степень централизации структур государственного управления российской экономикой может привести к гибельным последствиям в результате информационной агрессии.
В 2000 году Президентом была утверждена Доктрина информационной безопасности Российской Федерации, устанавливающая официальную систему взглядов на содержание национальных интересов России в информационной сфере, методы противодействия существующим угрозам и систему обеспечения информационной безопасности. При этом были учтены проблемы развития российского общества, порожденные как советским периодом его истории, так и периодом продолжающихся социально-экономических и политических преобразований.Реализация закрепленных в Доктрине положений должна создать необходимые условия, обеспечивающие устойчивое развитие российского общества и его институтов на базе информатизации производственной, духовной, политической и социальной сфер общественной жизни, а также поддержание соответствующего современным международным стандартам правового статуса личности. Так, с 1992 года выявление угроз информационной безопасности и подготовка предложений по противодействию этим угрозам возложено законодательством на Совет Безопасности РФ, при котором образована Межведомственная комиссия по информационной безопасности. С 1996 года в Комитете Государственной Думы РФ существует подкомитет по информационной безопасности, а также экспертный совет по законодательству в области обеспечения информационной безопасности. Большую работу в этой области выполняют также федеральные органы исполнительной власти, а также государственные органы субъектов РФ.
Интенсифицируются исследования проблем обеспечения программно-аппаратной компьютерной информационной безопасности, выполняемые как в естественных и технических науках, так и в рамках гуманитарных наук. Комплексное научное осмысление этих проблем существенно способствует развитию индустрии средств защиты информации, используемых, в том числе, в современных компьютерных и телекоммуникационных системах.
Развивается правовое регулирование отношений в области обеспечения информационной безопасности. Приняты такие базовые законодательные акты как законы "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", "О связи", "О государственной тайне", первая и вторая части Гражданского кодекса РФ, новые редакции Уголовного и Уголовно-процессуального кодексов РФ, ряд законов, регулирующих отношения в области средств массовой информации, и др.
Совершенствуется система подготовки кадров высшей квалификации по вопросам обеспечения информационной безопасности. Специальности, по которым осуществляется подготовка специалистов в этой области, выделены в отдельный раздел Перечня направлений подготовки и специальностей высшего профессионального образования.
1.1. Компьютерная система как объект защиты информации
Современная компьютерная система (КС) является по своему назначению и содержательной сущности информационной системой (ИС), представляющей собой взаимосвязанную совокупность средств, методов и персонала, обеспечивающих сбор, хранение, обработку, передачу и отображение информации в интересах достижения поставленной цели.
Функциональной основой любой ИС являются протекающие в ней информационные процессы. Характер этих процессов определяется соответствующей информационной технологией (ИТ). Информационная технология – это совокупность средств и методов сбора, обработки, передачи данных (первичной информации) для получения информации нового качества (информационного продукта) о состоянии объекта, процесса или явления. Иначе говоря, информационная технология представляет собой процесс, реализуемый в среде информационной системы.
В настоящее время сложилась устойчивая категория так называемых пользователей ИС, т.е. лиц, обращающихся к информационной системе для получения необходимой информации. Целью создания ИС является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности (в случае необходимости), информация является конечным "продуктом потребления" и выступает в виде центральной компоненты информационной системы.
Информационные системы являются наиболее важной составляющей процесса использования информационных ресурсов общества. К настоящему времени они прошли несколько эволюционных этапов, смена которых определялась, главным образом, развитием научно-технического прогресса, появлением новых технических средств хранения, обработки и передачи информации.
В современном обществе основным техническим средством автоматизированной обработки информации стал компьютер, оснащенный разнообразными программными средствами. Реализуемые на его основе компьютерные системы могут быть не только сосредоточенными в одном месте, но и распределенными по территории. В последнем случае используются средства телекоммуникации, соединенные с компьютерами. Таким образом, понятие компьютерной системы является, в общем случае, достаточно широким и охватывает не только автономные компьютеры индивидуального пользования, но и многопользовательские компьютерные системы и сети (локальные, региональные и глобальные).
Компьютерная система, подобно любым другим информационным системам, является также объектом защиты. Предметом защиты в КС является информация. Применительно к КС информация материализуется в виде так называемых данных, представленных на машинных носителях или отображаемых физическим состоянием различных электронных и электромеханических устройств. В качестве машинных носителей информации обычно используются бумага, магнитные ленты, диски различных типов. Физическое состояние технических средств КС, участвующих в хранении, обработке и передаче данных, идентифицируется соответствующими уровнями электрических сигналов, представляющих двоично-кодированную информацию.
Для обеспечения безопасности информации в компьютерных системах требуется защита не только аппаратных, но и программных средств таких систем. Программные средства сами по себе являются частью информационного ресурса компьютерной системы, а, кроме того, от их безопасности существенно зависит безопасность любой другой информации, которая хранится, передается или обрабатывается в КС. Таким образом, для защиты информации в КС необходимо защищать технические и программные средства, а также машинные носители от несанкционированных (неразрешенных) воздействий на них.Однако такое рассмотрение компьютерных систем как объектов защиты информации является неполным. Дело в том, что компьютерные системы относятся к классу человеко-машинных информационных систем. Такие системы разрабатываются, обслуживаются и эксплуатируются соответствующими специалистами, которые являются также носителями информации, имеющими самый непосредственный доступ к системе. Вот почему от несанкционированных воздействий необходимо защищать не только программно-технические средства компьютерных систем, но также обслуживающий персонал и пользователей.
При решении проблемы защиты информации в КС необходимо учитывать еще и противоречивость человеческого фактора. Обслуживающий персонал и пользователи могут быть как обьектом, так и источником несанкционированного воздействия на информацию.Таким образом, компьютерная система как объект защиты представляет собой совокупность следующих взаимосвязанных компонентов:
Информационных массивов, представленных на различных машинных носителях;
Технических средств обработки и передачи данных (компьютерных и телекоммуникационных средств);
Программных средств, реализующих соответствующие методы, алгоритмы и технологию обработки информации;
Обслуживающего персонала и пользователей системы, объединенных по организационному, предметно-тематическому, технологическому и другим принципам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.
В специальной литературе компьютерная система как объект защиты информации часто рассматривается в еще более широком смысле. Для таких систем понятие "объект" включает в себя не только информационные ресурсы, программно-технические средства, обслуживающий персонал, пользователей, но и помещения, здания, а также прилегающую к зданиям территорию.
1.2. Понятие угрозы информационной безопасности в КС
Для того чтобы обеспечить эффективную защиту информации в компьютерной системе, необходимо в первую очередь рассмотреть и проанализировать все факторы, которые представляют угрозу информационной безопасности.
Под угрозой информационной безопасности КС обычно понимают потенциально возможное событие, действие, процесс или явление, которые могут оказать нежелательное воздействие на систему, а также на информацию, которая в ней хранится и обрабатывается. Такие угрозы, воздействия на информацию непосредственно или опосредовано, через другие компоненты компьютерной системы (программно-технические средства, обслуживающий персонал, пользователей), могут привести к уничтожению, искажению, копированию, хищению, несанкционированному распространению информации, к ограничению или блокированию доступа к ней и т.д. В настоящее время рассматривается достаточно обширный перечень реально существующих и потенциально возможных угроз информационной безопасности в компьютерных системах. Последствия проявления таких угроз, если для них не созданы необходимые препятствия, могут оказаться весьма существенными и даже катастрофическими не только для отдельных граждан, предприятий или организаций, но и для национальных интересов государства в целом.
Независимо от специфики конкретных видов угроз информационная безопасность должна сохранять, прежде всего, такие свойства информации и систем ее обработки, как:
Целостность;
Конфиденциальность;
Доступность.
Целостность информации заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Угроза нарушения целостности включает в себя любое умышленное изменение информации, хранящейся в компьютерной системе или передаваемой из одной системы в другую. Целостность также будет нарушена, если к несанкционированному ее изменению приводят случайные сбои и отказы в работе технических средств, ошибки при разработке программно-технических средств, непреднамеренные ошибки персонала и пользователей в процессе эксплуатации компьютерной системы. В отличие от перечисленных несанкционированных угроз нарушения целостности возможно санкционированное изменение информации, которое планируется и выполняется, например, периодически с целью необходимой коррекции определенных баз данных.
Конфиденциальность информации – это свойство, указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Данное свойство информации вытекает из объективной необходимости защиты законных интересов отдельных субъектов информационных отношений. Угроза нарушения конфиденциальности информации может привести к ситуации, в которой данная информация становится известной тому, кто не располагает полномочиями доступа к ней.
Доступность информации – это свойство системы, в которой циркулирует информация, характеризующее способность обеспечивать своевременный и беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в этом возникает необходимость. Угроза недоступности информации возникает всякий раз, когда в результате преднамеренных действий других пользователей или злоумышленников блокируется доступ к некоторому ресурсу компьютерной системы. Такое блокирование может быть постоянным, т.е. запрашиваемый ресурс никогда не будет получен. Блокирование может вызывать только задержку запрашиваемого ресурса, достаточно продолжительную для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан. Угрозой ограничения доступа никогда не следует пренебрегать из-за ограниченности ресурсов компьютерных систем, в том числе ресурсов системы идентификации пользователей, основанной на введении паролей. Злоумышленник может направить в систему идентификации множественный поток ложных паролей. В итоге пользователь, даже и имеющий право доступа к ресурсам системы, не сможет пробиться к системе идентификации, чтобы ввести своей правильный пароль. Рассмотренные виды основных угроз информационной безопасности (нарушения целостности, конфиденциальности и доступности информации) являются для компьютерных систем первичными или непосредственными, так как их реализация приводит к непосредственному воздействию на защищаемую информацию. Однако такие воздействия проявляются в полной мере лишь в том случае, если на их пути не создано никаких систем защиты или других препятствий.В современных компьютерных системах всегда обеспечивается тот или иной уровень защиты информации. Информация никогда не представляется "в чистом виде", на пути к ней имеется хотя бы какая-нибудь система защиты, и поэтому, чтобы угрожать, скажем, нарушением конфиденциальности, атакующая сторона должна преодолеть эту систему. Поскольку не существует, в принципе, абсолютно стойких систем защиты, то все, в конечном счете, сводится ко времени и средствам, необходимым на их преодоление.
Для преодоления существующей системы защиты необходимо предварительно получить тем или иным способом данные о параметрах и характеристиках этой системы. В связи с этим угроза раскрытия параметров КС, включая параметры ее системы защиты, обычно рассматривается как еще один вид угроз информационной безопасности. Данная угроза раскрытия является опосредованной. В результате ее реализации не причиняется, какой-либо ущерб обрабатываемой в КС информации, однако при этом существенно усиливаются возможности проявления названных ранее первичных или непосредственных угроз.
1.3. Классификация и общий анализ угроз информационной безопасности в КС
Угрозы информационной безопасности, рассмотренные в предыдущем параграфе, интерпретировались некими обезличенными событиями, которые вызывали нарушения целостности, конфиденциальности или доступности информации. На самом деле любая угроза, вызывающая такие негативные последствия, представляет собой процесс, протекающий в пространстве и времени.
Для возникновения таких угроз всегда существует определенные предпосылки, причины и источники. Для их передачи и распространения используются соответствующие каналы. Обьектом атакующего воздействия могут стать те или иные компоненты компьютерной системы.
Все это требует систематизированной оценки и классификации с целью выработки обоснованных требований к системе защиты, способной противодействовать существующим или потенциально возможным угрозам.
Классификация угроз информационной безопасности компьютерных систем может быть проведена по ряду базовых признаков.
По природе возникновения:
Естественные угрозы, т.е. угрозы, вызванные воздействиями на КС и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека;
Искусственные угрозы, т.е. угрозы, вызванные деятельностью человека.
По степени преднамеренности проявления:
Случайные угрозы;
Преднамеренные угрозы.
По непосредственному источнику угроз:
Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение и т.п.);
Угрозы, непосредственным источником которых является человек.
Например:
Внедрение агентов в число персонал системы;
Вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей;
Угроза несанкционированного копирования конфиденциальных данных пользователей;
Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.).
Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства;
Например, в случаях:
Ошибок, допущенных при их разработке;
Сбоев или отказов в процессе эксплуатации;
Некомпетентного использования.
Угрозы, непосредственным источником которых являются несанкционированные программно–аппаратные средства;
Например: нелегально внедренные программно-аппаратные "закладки" или деструктивные вредительские программы, часто называемые вирусами.
По положению источника угроз;
Угрозы, источник которых расположен вне контролируемой зоны, территории (помещения), на которой находится КС.
Например:
Перехват побочных электромагнитных, акустических и других излучений, а также наводок на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, цепи электропитания, заземления и т.п.);
Перехват данных, непосредственно передаваемых по каналам связи;
Дистанционная фото– и видеосьемка.
Угрозы, источник которых расположен в пределах контролируемой зоны, территории (помещения), на которой находится КС;
Например:
Хищение производственных отходов (распечаток, записей списанных носителей информации и т.п.);
Отключение или вывод из строя подсистем обеспечения функционирования компьютерных систем (электропитания, линий связи, систем охлаждения и вентиляции и т.п.);
Дата добавления: 2015-08-27; просмотров: 162 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |