Проблеми безпеки інформаційних систем та технологій
Стрімке входження України в світовий інформаційний простір примусило діловий світ замислитись про таку серйозну проблему, як захист інформації. Раптове зростання Internet почало піддавати інформаційну безпеку будь-якої комерційної організації найсильнішому тиску. Сьогодні представники багатьох комп'ютерних фірм заявляють, що не залишилося жодній компанії (що має адресу в глобальній мережі), чию систему хоч би раз не намагалися зламати. Як приклад часто приводять дані по Пентагону, систему якого за 1995 рік зламували не менш як 250 тис. разів.
Забезпечення власної безпеки - задача першочергової важливості для будь-якої системи, незалежно від її складності і призначення, будь-то біологічний організм чи система обробки інформації.
Життєдіяльність сучасного суспільства немислима без широкого застосування інформаційних технологій. Комп'ютери обслуговують банківські системи, контролюють роботу атомних реакторів, розподіляють енергію, стежать за розкладом поїздів, керують літаками та космічними кораблями. Комп'ютерні системи і телекомунікації визначають надійність та потужність систем оборони і безпеки країни. Комп'ютери забезпечують зберігання інформації, її обробку та надання споживачам, реалізовуючи таким чином інформаційні технології.
Однак, саме найвища міра автоматизації, до якої прагне сучасне суспільство, ставить його в залежність від міри безпеки інформаційних технологій, що використовуються ним, від яких залежить благополуччя і навіть життя великої кількості людей. Технічний прогрес має одну неприємну особливість: в кожному його досягненні криється щось, що обмежує його розвиток і на якомусь етапі обертає його досягнення не у благо, а у шкоду людству.
Ефект, що досягається за рахунок застосування обчислювальної техніки, зростає при збільшенні масштабів обробки інформації, тобто концентрації по можливості великих об'ємів даних і процесів їх обробки в рамках однієї технічної системи, включаючи обчислювальні мережі, що територіально розсердилися, та автоматизовані системи управління.
Масштаби і сфери застосування цієї техніки стали такими, що нарівні з проблемами надійності та стійкості її функціонування, все гостріше постає проблема забезпечення безпеки циркулюючої в ній інформації. Безпека інформації - це здатність системи її обробки забезпечити в заданий проміжок часу можливість виконання заданих вимог по величині ймовірності настання подій, що виражаються у витоку, модифікації або втраті даних, що являє собою ту або іншу цінність для їх власника. При цьому вважається, що причиною цих подій можуть бути випадкові впливи або впливи внаслідок навмисного несанкціонованого доступу порушника.
Витік інформації полягає в розкритті будь-якої таємниці: державної, військової, службової, комерційної або особистої. Захисту повинна підлягати не тільки таємна інформація. Модифікація несекретних даних може привести до витоку таємних або до не виявленого одержувачем прийому помилкових даних. Руйнування або зникнення накопичених великими зусиллями даних може привести до непоправної їх втрати. Фахівцями розглядаються і інші ситуації порушення безпеки інформації, але всі вони по своїй суті можуть бути зведені до перерахованих вище подій. У залежності від сфери і масштабів застосування тієї або іншої системи обробки даних, втрата або витік інформації може привести до різноманітних наслідків: від невинних жартів до величезних втрат економічного і політичного характеру
Одним з аргументів консервативних опонентів популяризації інформаційних технологій є проблема безпеки цих технологій, або, якщо точніше, їх небезпека. Дійсно, широке впровадження популярних дешевих комп'ютерних систем масового користування робить їх надзвичайно вразливими по відношенню до деструктивного впливу.
Безліч прикладів, які підтверджують те, що це явище є надзвичайно поширеним, можна знайти на сторінках численних видань і ще в більшій кількості на сторінках Internet. Приведемо деякі факти, що свідчать про актуальність проблеми безпеки інформаційних технологій. Кожні двадцять секунд в Сполучених Штатах відбувається злочин з використанням програмних засобів. У більш ніж 80% комп'ютерних злочинів, що розслідувало ФБР, “зломщики” проникають в систему, що атакується через глобальну мережу Internet.. Останні оцінки обчислюють втрати від розкрадання або пошкодження комп'ютерних даних в 100 млн. доларів на рік, але точні дані поки не піддаються обліку. У багатьох випадках організації не знають про те, що вторгнення мало місце, інформація крадеться непомітно, і викрадачі геніально замітають свої сліди.
Особливо широкий розмах отримали: злочини в автоматизованих системах, обслуговуючих банківські та торгові структури. За зарубіжними даними, втрати в банках внаслідок комп'ютерних злочинів щорічно складають від 170 млн. до 41 млрд дол.
У зв'язку з високою інформатизацією суспільства за кордоном проблема безпеки інформації є надто актуальною. Цій проблемі присвячені багато тисяч робіт, в тому числі сотні робіт монографічного характеру. Різні аспекти проблеми є предметом активного обговорення на форумах зарубіжних фахівців, семінарах і конференціях. У сучасній практиці в нашій країні при розробці даних питань в основному використовуються зарубіжний досвід і роботи вітчизняних фахівців з окремих методів та засобів захисту інформації в автоматизованих системах її зберігання, обробки і передачі. Ці обставини, однак, не означають, що проблема безпеки інформації в нашій країні не так актуальна, хоч і потрібно визнати, що рівень автоматизації і інформатизації нашого суспільства поки ще відстає від міжнародного рівня. Вихід на цей рівень неминучий, і рух в цьому напрямі вже відбувається. Разом з тим, потрібно також чекати і появи аналогічних спроб несанкціонованого доступу до інформації, що обробляється, які можуть носити лавиноподібний характер і яким необхідно протипоставити відповідні перешкоди. “Перші ластівки” вже з'явилися у нашого сусіда - Росії: історія з Володимиром Левіним, який в 1994 р. з комп'ютера, встановленого в Петербурзі, зумів проникнути в комп'ютерну систему Сітібанка і незаконно перевести 2,8 млн дол. на рахунки своїх спільників в США, Швейцарії, Нідерландах та Ізраїлі; випадок в філії Інкомбанка, служба безпеки якого арештувала бухгалтера цієї філії, що переводила незаконно долари на рахунки своїх спільників. За повідомленням МВС Росії, в 1993 р. була зроблена спроба розкрадання більше ніж 68 млрд рублів шляхом маніпуляцій з даними ЦБ РФ.
Розв'язання цієї проблеми, незважаючи на великий об'єм проведених досліджень, ускладнюється ще і тим, що до цього часу в Україні і за кордоном відсутня єдина та загальноприйнята теорія і концепція забезпечення безпеки інформації в автоматизованих системах її обробки.
У теорії це виражається у відмінності основних термінів і визначень, класифікації об'єктів обробки та захистів інформації, методів визначення можливих каналів несанкціонованого доступу до інформації, методів розрахунку міцності засобів її захисту, принципів побудови системи захисту, відсутності гарантованих кількісних показників рівня міцності захисту як єдиного механізму в автоматизованих системах, що створюються. На практиці - в досить успішних діях порушників і вельми відчутних втратах власників систем.
Не зупиняючись на соціальних, правових і економічних аспектах проблеми, систематизуємо наукові та технічні передумови ситуації, що склалася із забезпеченням безпеки інформаційних технологій.
1. Сучасні комп'ютери за останні роки стали набувати гігантську обчислювальну потужність, але (що на перший погляд парадоксально!) стали набагато простіші в експлуатації. Це означає, що користуватися ними стало набагато легше і що все більше нових користувачів отримує доступ до комп'ютерів. Середня кваліфікація користувачів знижується, що в значній мірі полегшує задачу зловмисникам, оскільки внаслідок “персоналізації” засобів обчислювальної техніки більшість користувачів мають особисті робочі станції, де самі здійснюють їх адміністрування. Більшість з них не в змозі постійнопідтримувати безпеку своїх систем на високому рівні, оскільки це вимагає відповідних знань, навичок, а також часу і коштів. Повсюдне поширення мережевих технологій об'єднало окремі машини в локальні мережі, що спільно використовують загальні ресурси, а застосування технології “клієнт-сервер” перетворило такі мережі в розподілені обчислювальні середовища. Безпека мережі залежить від безпеки всіх її комп'ютерів, і зловмиснику досить порушити роботу одного з них, щоб скомпрометувати всю мережу.
Сучасні телекомунікаційний технології об'єднали локальні мережі в глобальні. Це привело до появи такого унікального явища, як Internet. Саме розвиток Internet викликав сплеск інтересу до проблеми безпеки і примусив частково переглянути її основні положення. Справа в тому, що Internet (крім усього іншого) забезпечує широкі можливості для здійснення порушень безпеки систем обробки інформації всього світу. Якщо комп'ютер, який є об'єктом атаки, підключений до Internet, то для зловмисника не має великого значення, де він знаходиться в сусідній кімнаті або на іншому континенті.
2. Прогрес в області апаратних засобів поєднується з ще більш бурхливим розвитком програмного забезпечення. Як показує практика, більшість поширених сучасних програмних засобів, (насамперед операційних систем), хоч їх розробники і здійснюють певні зусилля в цьому напрямі, не відповідає навіть мінімальним вимогам безпеки. Головним чином, це виражається в наявності недоліків в організації засобів, що відповідають за безпеку, та різних “недокументованих” можливостей. Після виявлення, багато які недоліки ліквідуються за допомогою оновлення версій або додаткових засобів, однак та постійність, з якою виявляються всі нові і нові недоліки, не може не викликати побоювань. Це означає, що більшість систем надають зловмиснику широкі можливості для здійснення порушень.
3. На наших очах практично зникає відмінність між даними і програмами, що виконуються за рахунок появи і широкого поширення віртуальних машин та інтерпретаторів. Тепер будь-який розвинений додаток текстового процесора (MSWord, WordBasic) до браузера Internet (Netscape Navigator, Java) не просто обробляє дані, а інтерпретує інтегровані в них інструкції спеціальної мови програмування, тобто по суті справи є окремою машиною. Це збільшує можливості зловмисників по створенню засобів проникнення в чужі системи і утруднює захист, так як вимагає здійснювати контроль взаємодій ще на одному рівні - рівні віртуальної машини або інтерпретатора.
4. Має місце істотний розрив між теоретичними моделями безпеки, що оперують абстрактними поняттями типу об'єкт, суб'єкт і т. п., і сучасними інформаційними технологіями. Це приводить до невідповідності між моделями безпеки і їх втіленням в засобах обробки інформації. Крім того, багато які засоби захисту, наприклад, засоби боротьби з комп'ютерними вірусами і системи firewall взагалі не мають системної наукової бази. Такий стан є наслідком відсутності загальної теорії захисту інформації, комплексних моделей безпеки обробки інформації, описуючих механізми дій зловмисників в реальних системах, а також відсутністю систем, що дозволяють ефективно перевірити адекватність тих або інших рішень в області безпеки. Слідством цього є те, що практично всі системи захисту основані на аналізі результатів атаки, що успішно відбулася, що зумовлює їх відставання від поточної ситуації. Як приклад, можна привести поширену практику закриття “пробілів, що раптово” були виявлені в системі захисту. Крім усього перерахованого, в цій області (особливо в нашій країні) відсутня навіть загальноприйнята термінологія. Теорія і практика часто діють в різних площинах.
5. У сучасних умовах надзвичайно важливим є обгрунтування вимог безпеки, створення нормативної бази, не ускладнюючої завдання розробників, а, навпаки, встановлюючої обов'язковий рівень безпеки. Існує низка міжнародних стандартів, що намагаються вирішити цю проблему, однак аж до останнього часу вони не могли претендувати на те, щоб стати керівництвом до дії, або хоч би закласти підгрунтя безпечних інформаційних технологій майбутнього. В умовах поголовної інформатизації і комп'ютеризації найважливіших сфер економіки та державного апарату, нашій країні необхідні нові рішення в цій галузі.
Як в обставинах, що склалися, забезпечити безпеку відповідно до сучасних вимог?
Відповідь на дане питання не є очевидною внаслідок наступних чинників:
- на вітчизняному ринку відсутні захищені (офіційно сертифіковані) системи обробки інформації, такі, як операційні системи, СУБД, інформаційні системи, системи обробки документів, системи передачі інформації і т. п;
- всі широко поширені в нашій країні операційні системи (MS DOS, MS Windows, Windows 95/98, Novel Netware) і протоколи передачі інформації (ІРХ/SРХ, ТСР/ІР) з точки зору безпеки не витримують ніякої критики;
- окремі засоби захисту, що пропонуються на вітчизняному ринку, не в стані вирішити проблему в цілому (а іншого рішення в принципі бути не може).
Дата добавления: 2014-12-04; просмотров: 1920;