Предмет захисту інформації

Під захистом інформації будемо розуміти комплекс заходів, що проводяться з метою запобігання (зниження до безпечного рівня) можливостей витоку, розкрадання, втрати, поширення, знищення, перекручування, підробки або блокування інформації.

До початку 90-х років до проблеми захисту інформації традиційно відносили методи і принципи безпечної передачі інформації і в більшості випадків розуміли лише криптологію. В даний час відбувається поступовий перехід від поняття захист інформації до поняття інформаційна безпека. Під інформаційною безпекою будемо розуміти дії, що пов'язані з реалізацією задач захисту інформації. До такого роду дій можуть відноситися: створення нормативно-технічних і законодавчих актів і документів, спрямованих на вирішення проблем захисту інформації (закон про авторські права, патентування, ліцензування), а також механізмів реалізації вимог такого роду актів. Таким чином, інформаційна безпека стає одним із пріоритетних напрямків державної політики. Серед задач цього напрямку виділяють наступні: виявлення, оцінка та прогнозування поведінки джерел загроз інформаційної безпеки; створення й експлуатацію систем забезпечення інформаційної безпеки; захист інформаційного ресурсу.

Для вирішення задач першого роду необхідно виявити і класифікувати можливі джерела загроз.

Для вирішення задач другого роду необхідно створювати і впроваджувати системи, що дозволяють розмежувати сфери дії кожної із можливих загроз.

Для вирішення задач третього роду потрібно кожному ресурсу поставити у відповідність можливі навмисні впливи на нього і визначити дії локалізації кожного впливу.

Виходячи з усього вищесказаного, не можна розглядати проблеми захисту ресурсів комп'ютера окремо від комплексу по забезпеченню інформаційної безпеки, що включає як питання організації обчислювального процесу (або процесу опрацювання інформації), використання сукупності конкретного устаткування, так і питання підбору і навчання персоналу.

Зробимо зауваження з приводу термінології. На сьогоднішній день термінологія по ІБ в основному розроблена, хоча цей процес продовжує інтенсивно розвиватися. Найбільш розповсюджені і необхідні терміни зафіксовані в стандарті з технічного захисту інформації.

Тепер підходимо до очевидних основних питань, пов’язаних з організацією захисту інформації.

Хто, від кого чи від чого, як і яку інформацію повинний захищати?

Хто– адміністративні, технічні, силові, юридичні і правоохоронні служби держави чи недержавних організацій в особі служб інформаційної безпеки різних рівнів відповідних відділів міліції, державних контролюючих органів і судів.

Від кого – від іноземних чи вітчизняних, приватних чи державних, юридичних чи фізичних осіб, що не мають права легального доступу до інформації, але прагнуть оволодіти такою інформацією з метою нанесення збитку її власнику або для отримання особистої вигоди для себе. Цікаво відзначити той факт, що досить часто держава виключає себе зі списку можливих зловмисників, ставлячи свою цікавість до чужих секретів вище бажання своїх громадян зберегти ці секрети.

Від чого – конкретна шкідлива дія порушника може бути спрямована проти одної з трьох основних властивостей інформації.

Як – шляхом створення надійних систем збереження самої інформації, грамотного адміністрування готових систем, прийняття охоронно-режимних, слідчо-оперативних і профілактичних заходів до порушників безпеки.

Яку – насамперед акцентуємо той факт, що всілякі законодавчі акти різних країн у сфері захисту інформації спрямовані на захист не будь-якої інформації, а тільки особої інформації, що позначається спеціальним грифом – грифом таємності чи знаком інтелектуальної власності. З юридичної точки зору, ознакою таємності конкретного документа може вважатися не тільки відповідний значок у верхньому правому куті документа, але також і сам значеннєвий зміст документа. Грифи можуть привласнювати державні чиновники компетентних відомств або патентні бюро.

З історії ЗІ

Проблеми захисту інформації хвилювали людство з незапам'ятних часів. Необхідність захисту інформації виникла з потреб таємної передачі як військових, так й дипломатичних повідомлень. Наприклад, античні спартанці шифрували свої військові повідомлення. У китайців простий запис повідомлення за допомогою ієрогліфів відразу робив його таємним для чужоземців.

Для позначення всієї області таємницею (секретного) зв'язку використовується термін «криптологія», що походить від грецьких коренів «cryptos» – таємний й «logos» – повідомлення. Криптологія досить чітко може бути розділена на два напрямки: криптографію й криптоаналіз. Задача криптографа – забезпечити конфіденційність (таємність) й автентичність (дійсність) переданих повідомлень. Задача криптоаналітика – «зламати» систему захисту, розроблену криптографами. Він намагається розкрити зашифрований текст чи видати підроблене повідомлення за справжнє.

Перші канали зв'язку були дуже простими. Їх організовували використовуючи надійних кур'єрів. Безпека таких систем зв'язку залежала як від надійності кур'єра, так і від його здатності не попадати в ситуації, при яких могло мати місце розкриття повідомлення. Створення сучасних комп'ютерних систем та поява глобальних комп'ютерних мереж радикально змінило характер і діапазон проблем захисту інформації. У широко комп'ютеризованому та інформатизованому сучасному суспільстві володіння реальними цінностями, керування ними, передача цінностей чи доступ до них часто засновані на неупредметненій інформації, тобто на інформації, існування якої не обов'язково зв'язується з яким-небудь записом на фізичному носії. Аналогічним чином іноді визначаються і повноваження фізичних та юридичних осіб на використання, модифікацію, копіювання, що має велике значення для конфіденційної інформації. Тому дуже важливо створювати і застосовувати ефективні засоби для реалізації всіх необхідних функцій, зв'язаних із забезпеченням конфіденційності і цілісності інформації. Оскільки інформація може бути дуже цінною чи особливо важливою, можливі різноманітні зловмисні дії стосовно комп'ютерних систем, що зберігають, обробляють чи передають таку інформацію. Наприклад, порушник може спробувати видати себе за іншого користувача системи, підслухати канал зв'язку чи перехопити і змінити інформацію, якою обмінюються користувачі системи. Порушником може бути і користувач системи, що відмовляється від повідомлення, у дійсності сформованого ним, або який намагається затверджувати, що їм отримане повідомлення, що у дійсності не передавалося. Він може спробувати розширити свої повноваження, щоб одержати доступ до інформації, до якої йому наданий тільки частковий доступ, чи спробувати зруйнувати систему, несанкціоновано змінюючи права інших користувачів.

Для вирішення зазначених та інших подібних проблем не існує якогось одного технічного прийому чи засобу. Але загальним у рішенні багатьох з них є використання криптографії і криптоподібних перетворень інформації. Протягом більш ніж тисячолітньої історії криптографії вона представляла собою набір технічних прийомів шифрування і розшифрування, що зберігалися в строгому секреті та постійно обновлялися й удосконалювалися.

Період розвитку криптології з древніх часів до 1949 р. прийнято називати ерою донаукової криптології, оскільки досягнення тих часів були засновані на інтуїції і не підкріплювалися доказами. Криптологією займалися тоді майже винятково як мистецтвом, а не як наукою. Звичайно, це не означає, що історія криптології тих часів не представляє для нас ніякого інтересу. Більш 2000 років тому Юлій Цезар писав Ціцерону і друзям у Римі, використовуючи шифр, тепер названий його ім'ям. Лише з початком другої світової війни криптологічні служби воюючих держав усвідомили, що математики можуть внести вагомий вклад у розвиток криптології. Зокрема, в Англії в цей час був покликаний на службу як фахівець з криптології Алан Тьюринг.

Публікація в 1949 р. статті К.Шеннона «Теорія зв'язку в секретних системах» стала початком нової ери наукової криптології із секретними ключами. У цій блискучій роботі Шеннон зв'язав криптографію з теорією інформації. Із середини сімдесятих років (у зв'язку з винаходом систем з відкритим ключем) криптографія не тільки перестала бути секретним набором прийомів шифровання-розшифрування, але і почала оформлятися в нову математичну теорію. За останні двадцять років відбулося значне підвищення активності в області розвитку криптографії і її застосувань для рішення проблем захисту інформації. Це викликано широким визнанням крайньої необхідності в засобах забезпечення захисту інформації у всіх областях діяльності широко інформатизованого людського співтовариства й обумовлено появою таких нових фундаментальних ідей, як асиметрична (з відкритим ключем) криптографія, доказово стійкі протоколи, надійність яких заснована на гарантованій складності рішення математичних задач і т.д.

У криптографічній системі перетворення шифрування може бути симетричним чи асиметричним щодо перетворення розшифрування. Відповідно розрізняють два класи криптосистем:

•симетричні одноключові криптосистеми (із секретним ключем);

•асиметричні двоключові криптосистеми (з відкритим ключем).

Сучасні симетричні одноключові криптоалгоритми базуються на принципах, викладених у згаданій роботі Шеннона (1949 р.). До них відносяться закордонні криптоалгоритми DES, IDEA і криптоалгоритм, описаний у стандарті Росії ГОСТ 28147-89. Схеми реалізації цих криптоалгоритмів відкрито опубліковані і ретельно проаналізовані багатьма дослідниками. У цих криптосистемах секретним є тільки ключ, за допомогою якого здійснюється шифрування і розшифрування інформації. Дані криптосистеми можуть використовуватися не тільки для шифрування, але і для перевірки дійсності (автентифікації) повідомлень.

Появі нового напрямку в криптології – асиметричної криптографії з відкритим ключем – сприяли дві проблеми, що не удавалося вирішити в рамках класичної симетричної одноключової криптографії. Перша з цих проблем зв'язана з поширенням секретних ключів. Наявність секретного ключа, відомого тільки одержувачу повідомлення і його відправнику, сторіччями вважалося неодмінною умовою безпечної передачі інформації. Але при використанні симетричних криптосистем із секретними ключами вимагають рішення наступні питання. Як передати учасникам обміну інформацією змінні секретні ключі, що необхідні йому для виконання цього обміну? Як учасники обміну зможуть переконатися в цілісності того, що вони одержали? Друга з цих проблем зв'язана з формуванням електронного цифрового підпису. Наприкінці листа чи іншого авторизованого документа відправник звичайно ставить свій підпис. Подібна дія переслідує дві цілі: по-перше, одержувач може переконатися в дійсності листа, звіривши підпис з наявним у нього зразком; по-друге, особистий підпис є юридичним гарантом авторства документа. Цей аспект особливо важливий при висновку різного роду торгових угод, складанні зобов'язань, доручень і т.д. Підробити підпис людини на папері зовсім не просто, а скопіювати ланцюжок цифр на ЕОМ – нескладна операція. Як у такому випадку гарантувати дійсність і авторство електронних повідомлень? У той же час існує багато додатків, що вимагають достовірного цифрового підпису для цифрової інформації, яка б виконувала всі ті задачі, що виконує підпис, поставлений на документі рукою. Обидві ці проблеми здавалося відносяться до тих, що важко розв'язуються. Але вони були успішно вирішені за допомогою криптографії з відкритими ключами. В опублікованій у 1976 р. статті «Нові напрямки в криптографії» У.Діффі і М.Хеллман уперше показали, що секретний зв'язок можливий без передачі секретного ключа між відправником і одержувачем.

В асиметричних криптосистемах з відкритим ключем використовуються два ключі, принаймні, один із яких неможливо обчислити з іншого. Один ключ використовується відправником для шифрування інформації; інший – одержувачем для розшифрування одержуваних шифртекстів. Звичайно в додатках один ключ повинен бути несекретним, а інший – секретним.

Якщо ключ розшифрування неможливо одержати з ключа зашифрування за допомогою обчислень, то таємність інформації, зашифрованої на несекретному (відкритому) ключі, буде забезпечена. Однак цей ключ повинен бути захищений від підміни чи модифікації, інакше відправник може бути обдуреним і буде виконувати зашифрування на підробленому ключі, відповідний ключ розшифрування якого відомий супротивнику. Для того щоб забезпечити закриття інформації, ключ розшифрування одержувача повинен бути секретним і фізично захищеним від підміни. Так працює канал забезпечення конфіденційності (таємності) інформації. Якщо ж, навпаки, обчислювально неможливо одержати ключ шифрування з ключа розшифрування, то ключ розшифрування може бути несекретним, а секретний ключ шифрування можна використовувати для формування електронного цифрового підпису під повідомленням. У цьому випадку, якщо результат розшифрування цифрового підпису містить автентифікаціійну інформацію (заздалегідь погоджену законним відправником інформації з потенційним одержувачем), цей підпис засвідчує цілісність повідомлення, отриманого від відправника. Так працює канал автентифікації повідомлення.

Крім задачі автентифікації повідомлення в проблемі автентифікації можна виділити ще дві:

•задачу автентифікації користувача – користувач, що звертається до ресурсів комп'ютерної системи, є саме тим, за кого він себе видає?

•задачу взаємної автентифікації абонентів мережі в процесі встановлення з'єднання між ними.

Обидві ці задачі також успішно вирішуються з залученням криптографічних методів і засобів.

Поява нових інформаційних технологій і інтенсивний розвиток комп'ютерних мереж привертає усе більшу увагу користувачів до глобальної мережі Internet. Багато компаній і організацій підключають сьогодні свої локальні мережі до мережі Internet, щоб скористатися її ресурсами і перевагами. Бізнесмени і державні організації використовують Internet у різних цілях, включаючи обмін електронною поштою, поширення інформації серед зацікавлених осіб і т.п. Підключення до Internet дає великі переваги, однак при цьому виникають серйозні проблеми з забезпеченням інформаційної безпеки при підключенні локальної чи корпоративної мереж. Через відкритість своєї ідеології Internet надає зловмисникам багато можливостей для вторгнення у внутрішні мережі підприємств і організацій з метою розкрадання, перекручування чи руйнування важливої і конфіденційної інформації. Рішення задач по захисту внутрішніх мереж від найбільш ймовірних атак через Internet може бути покладене на міжмережеві екрани, що іноді називаються брандмауерами або firewall.

Проте однієї криптографії для захисту інформації недостатньо. Отже, глянемо на історію з більш загальної позиції. Як виявилося, для вирішення проблем інформаційної безпеки необхідно створювати системи захисту інформації (СЗІ).

 

Контрольні запитання

1. Причини кризи інформаційної безпеки.

2. Проблеми сучасної інформаційної безпеки.

3. Що таке захист інформації?

4. Що таке інформаційна безпека?

5. Хто, від кого чи від чого, як і яку інформацію має захищати?

6. Зміст основних етапів історії розвитку інформаційної безпеки.

7. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте.

 









Дата добавления: 2015-12-22; просмотров: 1359;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.009 сек.