Методы защиты данных в ис

Для обеспечения защиты хранимых данных используется несколько методов и механизмов их реализации. Выделяют следующие способы защиты:

— физические (препятствие);

— законодательные;

— управление доступом;

— криптографическое закрытие

Физические способы защиты основаны на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на территорию и в помещения с аппаратурой или с носителями информации). Эти способы дают защиту только от «внешних» злоумышленников и не защищают информацию от тех лиц, которые обладают правом входа в помещение.

Законодательные средства защиты составляют законодательные акты, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавливают меры ответственности за нарушение этих правил.

Управление доступом представляет способ защиты информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). В автоматизированных системах для информационного обеспечения должны быть регламентированы порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т. д. Управление доступом предусматривает следующие функции защиты:

— идентификацию пользователей, персонала и ресурсов системы

(присвоение каждому объекту персонального идентификатора: имени,

кода, пароля и т.п.);

— аутентификацию — опознание (установление подлинности) объекта или

субъекта по предъявляемому им идентификатору;

— авторизацию — проверку полномочий (проверку соответствия дня

недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

— разрешение и создание условий работы в пределах установленного

регламента;

— регистрацию (протоколирование) обращений к защищаемым ресурсам;

— реагирование (сигнализация, отключение, задержка работ, отказ в

запросе) при попытках несанкционированных действий.

Самым распространенным методом установления подлинности является метод паролей. Пароль представляет собой строку символов, которую пользователь должен ввести в систему каким-либо способом (напечатать, набрать на клавиатуре и т. п.). Если введенный пароль соответствует хранящемуся в памяти, то пользователь получает доступ ко всей информации, защищенной этим паролем. Пароль можно использовать и независимо отпользователя для защиты файлов, записей, полей данных внутри записей и т.д. Используют различные виды паролей.

1.Простой пароль. Пользователь вводит такой пароль с клавиатуры после запроса, а компьютерная программа (или специальная микросхема) кодирует его и сравнивает с хранящимся в памяти эталоном. Преимущество простого пароля в том, что его не нужно записывать, а недостаток — в относительной легкости снятия защиты. Простой пароль рекомендуется использовать для защиты данных небольшого значения и стоимости.

2. Пароль однократного использования. Пользователю выдается список паролей, которые хранятся в памяти компьютера в зашифрованном виде. После использования пароль стирается из памяти и вычеркивается из списка, так что перехват пароля теряет смысл. Такой пароль обеспечивает более высокую степень безопасности, но более сложен. Имеет он и другие недостатки. Во-первых, необходимо где-то хранить список паролей, так как запомнить его практически невозможно, а в случае ошибки в процессе передачи пользователь оказывается в затруднительном положении: он не знает, следует ли ему снова передать тот же самый пароль или послать следующий. Во-вторых, возникают чисто организационные трудности: список может занимать много места в памяти, его необходимо постоянно изменять и т. д.

3. Пароль на основе выборки символов. Пользователь выводит из пароля отдельные символы, позиции которых задаются с помощью преобразования случайных чисел или генератора псевдослучайных чисел. Очевидно, пароль следует менять достаточно часто, поскольку постороннее лицо может в конце концов составить пароль из отдельных символов.

4. Метод «запрос-ответ». Пользователь должен дать правильные ответы на набор вопросов, хранящихся в памяти компьютера и управляемых операционной системой. Иногда пользователю задается много вопросов, и он может сам выбрать те из них, на которые он хочет ответить. Достоинство этого метода состоит в том, что пользователь может выбрать вопросы, а это дает весьма высокую степень безопасности в процессе включения в работу.

5. Пароль на основе алгоритма. Пароль определяется на основе алгоритма, который хранится в памяти компьютера и известен пользователю. Система выводит на экран случайное число, а пользователь, с одной стороны, и компьютер — с другой, на его основе вычисляют по известному алгоритму пароль. Такой тип пароля обеспечивает более высокую степень безопасности, чем многие другие типы, но более сложен и требует дополнительных затрат времени пользователя.

6. Пароль на основе персонального физического ключа. В памяти компьютера хранится таблица паролей, где они записаны как в зашифрованном, так и в открытом виде. Лицам, допущенным к работе в системе, выдается специальная магнитная карточка, на которую занесена информация, управляющая процессом шифрования. Пользователь должен вставить карточку в считывающее устройство и ввести свой пароль в открытом виде. Введенный пароль кодируется с использованием информации, записанной на карточке, и ищется соответствующая точка входа в таблицу паролей. Если закодированныйпароль соответствует хранящемуся эталону, подлинность пользователя считается установленной. Для такого типа пароля существует угроза того, что на основе анализа пары «шифрованный пароль — открытый пароль» злоумышленник сможет определить алгоритм кодирования. Поэтому рекомендуется применять стойкие схемы шифрования.

Парольная защита широко применяется в системах защиты информации и характеризуется простотой и дешевизной реализации, малыми затратами машинного времени, не требует больших объемов памяти. Однако парольная защита часто не дает достаточного эффекта по следующим причинам.

При работе с паролями рекомендуется применение следующих правил и мер предосторожности:

— не печатать пароли и не выводить их на экран;

— часто менять пароли — чем дольше используется один и тот же пароль,

тем больше вероятность его раскрытия;

— каждый пользователь должен хранить свой пароль и не позволять

посторонним узнать его;

— всегда зашифровывать пароли и обеспечивать их защиту недорогими и

эффективными средствами;

— правильно выбирать длину пароля (чем она больше, тем более высокую

степень безопасности будет обеспечивать система), так как труднее будет

отгадать пароль.

Основным методом защиты информации от несанкционированного доступа является метод обеспечения разграничения функциональных полномочий и доступа к информации, направленный на предотвращение не только возможности потенциального нарушителя «читать» хранящуюся в ПЭВМ информацию, но и возможности нарушителя модифицировать ее штатными и нештатными средствами.

Требования по защите информации от несанкционированного доступа направлены на достижение трех основных свойств защищаемой информации:- конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);

— целостность (информация, на основе которой принимаются важные

решения, должна быть достоверной и точной и должна быть защищена от

возможных непреднамеренных и злоумышленных искажений);

— готовность (информация и соответствующие информационные службы

должны быть доступны, готовы к обслуживанию всегда, когда в этом

возникает необходимость).

Вторым методом, дополняющим основной, является разработка процедуры

контроля доступа к данным, которая призвана для решения двух задач:

— сделать невозможным обход системы разграничения доступа действиями,

находящимися в рамках выбранной модели;

— гарантировать идентификацию пользователя, осуществляющего доступ к

данным.

Профессия будущего. Специалист по информационной безопасности


Похожие статьи.

Понравилась статья? Поделиться с друзьями: