Лекція №4. ВСТУП. ПРЕДМЕТ ЗАХИСТУ. Проблеми захисту інформації
План
1. Основні етапи історії розвитку інформаційної безпеки.
Проблема захисту інформації (ЗІ) в автоматизованих системах обробки даних (АСОД) з моменту її формулювання наприкінці 60-х років до сучасного стану пройшла тривалий і багато в чому суперечливий шлях. Спочатку виникли два напрямки рішення задачі підтримки конфіденційності:
· використання криптографічних методів ЗІ в середовищах передачі і збереження даних;
· програмно-технічне розмежування доступу до даних і ресурсів обчислювальних систем.
Тут варто помітити, що в той час АСОД були слабо розподіленими, технології глобальних і локальних обчислювальних мереж знаходилися на початковій стадії свого розвитку. Тому зазначені напрямки дуже успішно реалізувалися. Тоді і виробилася «інтуїтивно» зрозуміла термінологія ЗІ (супротивник, ресурс, дані і т.д.).
Ці особливості складають перший етап створення СЗІ, в якому центральною ідеєю було забезпечення надійного захисту механізмами, що містять технічні і програмні засоби. Технічними називалися засоби, що реалізувалися у виді електричних, електромеханічних, електронних пристроїв. При цьому вони поділялися на апаратні (що вбудовувалися в апаратуру АСОД) і фізичні (що реалізувалися у виді автономних пристроїв – електронно-механічне устаткування, охоронна сигналізація, замки, ґрати і т.д.). І вважалося, що основними засобами ЗІ є програми, причому вважалося, що програми ЗІ будуть працювати ефективно, якщо вони будуть вбудовуватися в загальносистемне ПЗ. Була сформована концепція ядра захисту – спеціального ПЗ, що включало мінімально необхідний набір захисних механізмів і залежно від конкретних умов доповнювалося різними засобами. Однак далі виявилося, що цього недостатньо.
У 70-і роки виділяється другий етап в історії створення СЗІ. З розвитком тенденції до розподіленості АСОД з'ясувалося, що ці напрямки себе вичерпали і на перше місце почали виходити проблеми автентифікації взаємодіючих елементів АСОД, а також способи керування криптографічними механізмами в розподілених системах. Стало ясно, що механізм криптографічного захисту не є головним і його слід розглядати нарівні з іншими механізмами ЗІ.
Здавалося, що, створивши ядро безпеки і доповнивши його організаційними та іншими заходами доступу, удасться створити надійну СЗІ. Зокрема, для перевірки надійності СЗІ створювалися спеціальні бригади (тигрові команди – tiger teams) із висококваліфікованих фахівців, що займалися перевіркою СЗІ шляхом їхнього злому (часто анонімного). У цей час слід зазначити також інтенсивний розвиток технічних і криптографічних засобів захисту. Однак факти говорили про інше – кількість проколів в захисті не зменшувалося. На початку 70-х років був отриманий важливий теоретичний результат (теорема Харисона), суть якого зводилася до того, що неможливо вирішити задачу абсолютного захисту для довільної системи при загальному завданні на доступ. Як пише Дж. Хоффман [5], це стало холодним душем для прихильників надійного захисту. З'явилися навіть песимістичні висловлення про неможливість узагалі створення надійного захисту. Почалися пошуки виходу з цього тупика, що стало змістом третього етапу в історії створення надійних СЗІ (80-і роки).
Наступним кроком став поділ проблематики власне засобів захисту (криптографічні засоби, засоби керування доступом та ін.) і засобів забезпечення їх коректної роботи. Тепер центральною ідеєю стала системність підходу і до самої інформації, адже раніше інформація захищалася лише побічно – фактично захищалося її оточення (носії, системи обробки і т.д.). Стало ясно, що потрібно не тільки шукати механізми ЗІ, але розглядати весь процес створення СЗІ на всіх етапах життєвого циклу системи. Тепер усе (засоби, методи, заходи) поєднувалося найбільш раціональним чином у систему захисту – саме тоді виник цей термін. Більш того, активно почали розроблятися і застосовуватися на практиці математичні моделі захисту. Вже в «Оранжевій книзі» установлювалася необхідність строгого доказу визначеного рівня захищеності системи. Слід також зазначити на цьому етапі загострення проблеми захищеного ПЗ, оскільки, по-перше, воно все-таки відіграє вирішальну роль в якісній обробці інформації, по-друге, ПЗ стає все більше і більше предметом комерційної таємниці, по-третє, це найбільш уразливе місце з усіх компонентів АСОД.
В даний час ми є свідками четвертого етапу, що характеризується:
· високими темпами розвитку елементної бази, тобто електроніки;
· інтенсивним розширенням як ушир, так і углиб мережевих конфігурацій;
· розвитком спеціалізованого ПЗ, у тому числі і програмних засобів, що атакують;
· розробкою нових криптосистем;
· високим ступенем інтегрованості різних механізмів і засобів.
Однак поки роль цих обставин ще цілком не осмислена, вона продовжує вивчатися і вимагає серйозного перегляду загальних представлень про СЗІ і пошук нових концепцій, засобів і методів.
Додамо ще декілька слів про розхожі думки щодо ЗІ. Дійсно, наприклад, багато хто, навіть з кваліфікованих користувачів ЕОМ, просто ототожнює ЗІ із криптографією. Така точка зору має певні історичні причини, але зараз одна криптографія може забезпечити тільки певний рівень конфіденційності та цілісності інформації і аж ніяк не забезпечить інформаційну безпеку в цілому. Справа в тому, що в сучасних інформаційних системах інформаційна безпека має забезпечувати не тільки (і не стільки) конфіденційність інформації, а також її цілісність та доступність. Причому іноді останні властивості інформації є головними.
Іншою досить розповсюдженою думкою є те, що, мовляв, всі загрози пов’язані з хакерами, вони бідні не сплять ночами і тільки ї думають про те, як зламати ваш захист. В дійсності ж, основна частина загроз інформації (і це цілком підтверджується статистикою – більш як 90%) реалізується в самій системі – йдеться про тривіальні некомпетентність, некваліфікованість, недбалість або байдужість персоналу системи. Тобто ЗІ – це не тільки технічні засоби та заходи, набагато важливішим є кадри, їх навчання та правильний підбір (нагадаємо відоме гасло «Кадри вирішують все!»).
Ще одна думка стосується статичного відношення до засобів ЗІ, яка полягає в наступному: ось захист організовано і всі можуть спати спокійно. Але ж життя не стоїть на місці і все рухається і розвивається – це особливо стосується сучасних інформаційних технологій. Те, що сьогодні забезпечувало надійний захист, завтра уже не забезпечує, а отже, слід постійно мати на увазі один з найважливіших принципів організації ЗІ – безперервний захист в часі і в просторі.
Багато хто також вважає, що його інформація не дуже цінна, отже, не треба втрачати великі зусилля на її захист. Така точка зору може бути дуже небезпечною, оскільки оцінка важливості чи цінності інформації, а особливо своєї, є досить складним і, в значній мірі, суб’єктивним процесом.
Контрольні запитання
1. Хто, від кого чи від чого, як і яку інформацію має захищати?
2. Зміст основних етапів історії розвитку інформаційної безпеки.
3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте.
Дата добавления: 2015-12-22; просмотров: 872;