А.И. Куприянов - Основы защиты информации (1022813), страница 54
Текст из файла (страница 54)
Второй уровень — «дминистративный. Во всех организационных и организационно-технических системах с учетом правовых норм и производственных требований вводится система уровней компетенции работников. В соответствии с этой системой назначаются приоритеты: кто и какую информацию может собирать и хранить, устанавливаются способы доступа к ней и условия ее распространения, права и обязанности работников, их компетенция и ответственность. Регламентируется процедуры выдачи допусков к данным. Многие из этих правил определяются внешними факторами: законами и иными нормативными актами. Но большинство проблем решается внутри организации специальными приказами и инструкциями. Следует иметь в виду, что практическое осуществление административных мер обеспечения информационной безопасности связано с ограничением доступа людей к компьютерам и обрабатываемой ими информацией.
Организационные меры защиты информации по сравнению с этическими кажутся скучными, а по сравнению с программными и техническими — лишенными конкретности и малоэффективными. Однако они представляют собой мощный барьер на пути незаконного использования информации и основу для других уровней. Никакой другой уровень защиты от НСД не может эффективно работать без соответствующей административной поддержки, но и административные меры не могут работать сами по себе, без опоры на этические и правовые нормы, без технического и программного обеспечения.
Одна из основных причин, по которой трудно проводить в жизнь эффективные административные меры, базируется на стойком общественном мнении, что защита информации — новая и необычная задача. Однако это совсем не так. Защита от НСД применялась во все времена. Просто современные способы представления данных изменились, существенно упростив процедуры НСД. Действительно, во времена преимущественного использования бумажных носителей информации получить доступ к комплекту конструкторской документации на более или менее серьезную техническую систему и скопировать несколько центнеров этой документации было существенно сложнее, чем в наше время переписать дискету.
Другая проблема при введении организационных мер защиты состоит в том, что их реализация почти неизбежно создает неудобства для пользователей. Если хлопот много, эффективность административных мер сведется к нулевой: дверь перестанут запирать, список паролей повесят на стену и т.д. При этом стоит помнить, что любые административные меры защиты вызывают у сотрудников ощущение ограничения их гражданских прав и необходимости выполнять дополнительную работу за ту же зарплату.
Поэтому прежде чем вводить административные ограничения следует найти и внедрить рациональные побудительные причины для их исполнения. Нужно четко отдавать себе отчет в том, что большинство организационных мер защиты основано на преимуществе администратора — нарушителя нужно найти и наказать. Считается, что виновных без персональной ответственности не бывает. Поэтому, распределяя ответственность, сразу нужно предусмотреть систему проверок выполнения мер защиты, которые должны бьггь неожиданными и предельно простыми.
Третий уровень — аппаратно-программный. Он состоит в применении такой процедуры идентификации пользователя, которая открывает доступ к данным и программным средствам. Аппаратная защита может быть выполнена в виде кодовой карточки, ключа и т.п.
Радикальный способ аппаратной защиты — запирать в сейф или сдавать под ответственную охрану съемный жесткий диск. А такая защита, как запирание клавиатуры на ключ или пароли 248 ., при загрузке, не выдерживает даже самых простых атак. Во-первых, обычно из 10 ключей, блокирующих клавиатуру ЭВМ, минимум 5 совпадают, и, имея связку из 3 отмычек, можно открыть клавиатуру почти любой ЭВМ с вероятностью единица. Во-вторых, можно загрузить в ЭВМ с гибкого диска свою операционную систему, которая скопирует жесткий диск физически.
Иногда даже это действие лишнее: популярный в начале 90-х гг. ХХ в. администратор диска, запрашивавший пароль при загрузке, «раскалывался», если с дискеты загружали ООБ фирмы О1811а1 Кеаеагсй. Самое слабое место аппаратной защиты — персонал. Люди обычно отказываются от использования любых дополнительных средств защиты, создающих им неудобства в работе. Поэтому применение аппаратных средств защиты требует административной поддержки. Четвертый уровень — криптографический. Это шифрование данных для скрытия от злоумышленника их смысла. До тех пор пока пользователь не идентифицирован по ключу, смысл данных ему недоступен. Данные в этом случае рассматриваются как сообщения, и для их защиты используется техника из арсенала методов шифрования.
Современным требованиям к криптографическим преобразованиям данных вполне отвечают системы, созданные по стандарту шифрования ГОСТ 28147 — 89. Так как некоторые данные критичны к искажениям, которые нельзя обнаружить исходя из контекста, приходится использовать лишь такие способы шифрования, которые чувствительны к искажению любого символа. Эти способы криптозащиты гарантируют не только высокую секретность, но и эффективное обнаружение любых искажений или ошибок. Таким образом, юридические нормы защиты информации от НСД малоэффективны, и применение их в отечественном правовом пространстве затруднено неполнотой и непоследовательностью законодательной базы„хотя новый, действующий ныне Уголовный кодекс и содержит ряд статей, касающихся компьютерных преступлений. Административные меры надежнее правовых.
Они всегда позволяют доказать, что сделано все возможное для защиты данных и предпринято все необходимое для того, чтобы найти и наказать нарушителя правил обращения с информацией. Меры по защите аппаратуры ЭВМ экзотичны для наших деловых традиций, так что об их эффективности довольно трудно судить ввиду их малой распространенности. Последняя надежда — криптографическая защита, дает абсолютную защиту данных, если ей пользоваться умело при поддержке необходимых административных мер. 249 Контрольные вопросы 1.
Перечислите основные угрозы информации в вычислительных системах и сетях. 2, Какие вам известны виды деструктивных программ? 3. Какие вам известны виды компьютерных вирусов? В чем различие действия разных вирусов? 4. Как работают компьютерные вирусы? 5, Как работают антивирусные программы? б, В чем различие компьютерных вирусов и программных закладок? 7. Какие меры борьбы с деструктивными программными воздействиями вам известны? СПИСОК ЛИТЕРАТУРЫ 1.
Антенны и устройства СВЧ / под ред. Д.И. Воскресенского. — М.: МАИ, 1999. 2. Ьакулев П.А. Радиолокационные системы / П.А. Бакулев. — М.: Радиотехника, 2004, 3. Березин Л.В. Теория и проектирование радиосистем /Л.В. Березин, В.А. Вейцель. — М.: Сов. радио, 1977.
4. Вакин С. А, Основы радиопротиводействия и радиотехнической разведки / С.А. Вакин, Л.Н. Шустов. — М.: Сов. радио, 1968. 5. Вартанесян В.А. Радиоэлектронная разведка/ В.А. Вартанесян. — М.: Воениздат, 1991. б. Герасименко В.А. Основы защиты информации / В.А. Герасименко, А,А. Малюк. — М.: МИФИ, 1997 7. Гоноровский И. С. Радиотехнические цепи и сигналы / И.С. Гоноровский.
— М.: Сов. радио, 1967. 8. Громаков Ю.А. Стандарты и системы подвижной радиосвязи / Ю.А. Громаков. — М., 1997. 9. Жельников В. Криптография от папируса до компьютера / В. Жельников. — М.: АВР, 1996. 10. Калинцев Ю.К Криптозащита сообщений в системах связи / Ю. К. Калинцев. — М.: МТУСИ, 2000. 11.
Каснерский Е.В. Компьютерные вирусы: что это такое и как с ними бороться / Е.В. Касперский. — М.: СК Пресс, 1998. 12. Киселев В.Я. Защита информации в современных системах ее пере- дачи и обработки / В.Д.Киселев, О.В.Есиков, А.С.Кислицин. — М.: Солид, 2002. 13. Куприянов А.И. Радиоэлектронные системы в информационном конфликте / А.И.
Куприянов, А.В. Сахаров. — М.: Вузовская книга, 2003. 14. Ландау Л;Д Теоретическая физика. Т. У11. Теория упругости / Л.Д.Ландау, Е.М.Лифшиц. — М.: Наука, 1965. 15. Макаров Ю. К. Методы защиты речевой информации и оценка их эффективности / Ю. К. Макаров, А.А. Хорев // Конфидент.
— 2001, Ж 4. 16. Меньисаков Ю.К Защита объектов информации от технических средств разведки / Ю.К. Меньшаков. — М.: Российский где. гуманит. ун-т, 2002. 17. Основы радиоуправления: учеб. пособие для вузов / 1П.А. Агаджанов, В.А. Вейцель, С.А. Волковский и др.1; под ред. В.А. Вейцеля, — М.: Радио и связь, 1995. 18. Оуэн Г. Теория игр / Г. Оуэн. — М.: Мир, 1971, 19. Пенин П.И. Системы передачи цифровой информации / П.И. Пении. — М.: Сов.
радио, 1976. 20. Помехозащищенность радиосистем со сложными сигналами / под ред. Г.И.Тузова. — М.: Радио и связь,1985, 251 ОГЛАВЛЕНИЕ ....24 ....24 ,... 34 ....36 ....45 ....45 ....48 .... 5 1 ,... 58 ....60 ....61 ....61 ....63 ....... 78 ..... 105 ..... 130 ..... 137 .....
141 ..... 152 ..... 157 253 21. Ра0инер Х Р. Цифровая обработка речевых сигналов / Л.Р. Рабинер, Р.В. Шафер; под ред. М.В. Назарова, Ю.Н. Прохорова; пер. с англ. — М.: Радио и связь, 1981. 22. Радиотехнические системы передачи информации: учеб. пособие для вузов / [В.А.Борисов, В.В,Калмыков, Я.М.Ковальчук и др.1; под ред. В.В.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
