<<
>>

Программно-технические методы обеспечения информационной безопасности

Раскрывая содержание программно-технических методов обеспечения информационной безопасности, необходимо отметить, что в основе создания и применения всех программно-технических средств информационной безопасности лежит два понятия - «идентификация» и «аутентификация».

Идентификация - процесс, позволяющий установить имя пользователя (например, вручение визитной карточки, где указаны имя, должность и другие атрибуты конкретного лица).

Аутентификация - процесс проверки подлинности введенного в систему имени пользователя (например, проверка подлинности имени пользователя через сличение его внешнего вида с фотографией).

Средства идентификации и аутентификации могут и объединяться [например, через предъявление служебного удостоверения, где приведены и данные для идентификации (фамилия, должность и пр.), и данные для аутентификации (фотография)]. Кроме того, сами средства идентификации и аутентификации могут иметь некоторые признаки, подтверждающие их подлинность. На удостоверении, например, это печати, подписи и другие признаки защиты от подделок.

В информационных технологиях способы идентификации и аутентификации являются средством обеспечения его доступа в информационное пространство организации в целом или отдельные разделы этого пространства.

Выделяют следующие способы идентификации и аутентификации пользователя информационно-вычислительных систем: парольные методы; методы с применением специализированных аппаратных средств; методы, основанные на анализе биометрических характеристик пользователя.

Смысл парольных методов заключается в том, что для входа в систему пользователь вводит два кода: свое условное имя (идентификация) и уникальный, известный только ему одному, код-пароль для аутентификации. При правильном использовании парольные схемы могут обеспечить приемлемый для многих организаций уровень безопасности. Однако в настоящий момент по совокупности характеристик они считаются самым слабым средством аутентификации, поскольку надежность паролей очень сильно зависит от «человеческого фактора».

Вторая система идентификации и аутентификации предполагает использование специальных устройств - магнитных карт, смарт-карт, так называемых таблеток, токенов и других аппаратных идентификаторов, на которых записана уникальная информация. Эти методы отличаются большей устойчивостью. Однако существует возможность его потери или кражи аппаратного идентификатора.

Наиболее перспективным в настоящее время считается использование средств идентификации пользователя по биометрическим признакам: отпечатку пальца, рисунку радужной оболочки глаз, отпечатку ладони и др. Эти методы обладают достаточно высокой надежностью и не требуют от пользователя запоминания сложных паролей или заботы о сохранности аппаратного идентификатора.

Эти средства также не лишены недостатков, поскольку могут возникнуть проблемы с идентификацией из-за изменения радужной оболочки глаза под воздействием лекарства, из-за изменений в кожном покрове под воздействием высокой или низкой температуры воздуха.

Вопрос о применимости того или иного средства решается в зависимости от выявленных угроз и технических характеристик защищаемого объекта. Здесь необходим компромисс между надежностью, доступностью по цене, удобством использования и администрирования средств идентификации и аутентификации.

После того как с помощью средств идентификации и аутентификации был получен доступ в информационную систему, в дело вступают

средства логического управления доступом.

Средства логического управления доступом тоже контролируют возможность попадания пользователя в тот или иной раздел информации, хранящейся в системе, только они реализуются программным путем. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность информации.

Одним из средств логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ. Подобный подход обычно реализуют в рамках системы меню, и пользователю показывают лишь допустимые варианты выбора.

В процессе обеспечения информационной безопасности особое внимание уделяется протоколированию и аудиту информации.

Протоколирование - это сбор и накопление информации о событиях, происходящих в информационно-вычислительной системе. У каждой программы есть свой набор возможных событий, которые можно классифицировать на внешние (вызванные действиями других программ или оборудования), внутренние (вызванные действиями самой программы) и клиентские (вызванные действиями пользователей и администраторов).

Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

При осуществлении протоколирования и аудита преследуются следующие главные цели: обеспечить подотчетность пользователей и администраторов; обеспечить возможность реконструкции последовательности событий; обнаружить попытки нарушений информационной безопасности; предоставить информацию для выявления и анализа проблем.

Пользователь не в состоянии вмешаться в процесс протоколирования, а процесс аудита осуществляется тогда, когда есть определенные претензии к пользователю. В хорошо сделанной системе фиксируются все попытки доступа пользователя к информации и практически все виды действий, которые над этой информацией производились.

Обеспечение подобной подотчетности считается одним из средств сдерживания попыток нарушения информационной безопасности, поскольку реконструкция событий позволяет выявить слабости в защите, найти виновника, определить способ устранения проблемы и вернуться к нормальной работе.

Криптография, или шифрование. Эта область информационной безопасности занимает центральное место среди программно-технических средств безопасности.

В современной криптографии используются два основных метода шифрования - симметричное и асимметричное.

В симметричном шифровании один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит проблему безопасной пересылки ключей при обмене сообщениями. С другой - получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

В асимметричных методах применяются два ключа. Один из них, несекретный, используется для шифровки и может без всяких опасений передаваться по открытым каналам, другой - секретный - применяется для расшифровки и известен только получателю.

Асимметричные методы шифрования позволяют реализовать электронную подпись, или электронное заверение сообщения. Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными.

Экранирование. С развитием сетевых технологий все большую актуальность приобретает защита от случайных или намеренных воздействий из внешних сетей (например, Интернет), с которыми взаимодействует сеть предприятия. Для этой цели используются различные разновидности межсетевых экранов, а сам процесс защиты получил название экранирования. Межсетевой экран - это специализированная программная система, ограничивающая возможность передачи информации как из внешней сети в сеть предприятия, так и из сети предприятия во внешнюю среду. Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов.

<< | >>
Источник: Чмыхало А. Ю.. Социальная безопасность: Учебное              пособие — Томск: Изд-во ТПУ - 168 с.. 2007

Еще по теме Программно-технические методы обеспечения информационной безопасности:

  1. Обеспечение информационной безопасности Организационные методы обеспечения информационной безопасности
  2. Информационная безопасность: понятие, задачи и уровни обеспечения
  3. Содержание комплексного подхода к обеспечению информационной безопасности предприятия
  4. Организационно-правовые основы обеспечения национальной безопасности РФtype="1"> Совет Безопасности Российской Федерации как основной конституционный орган обеспечения национальной безопасности страны
  5. Проблема информационного обеспечения социальной безопасности в современном мире
  6. Глава 8. Информационная безопасность как составная часть социальной безопасности
  7. Основные понятия — оборудование и программное обеспечение (ПО)
  8. Глава 25. Обеспечение безопасности жизнедеятельности в чрезвычайных ситуациях Глава 26. Правовые и организационные основы безопасности жизнедеятельности Глава 25. Обеспечение безопасности жизнедеятельности в чрезвычайных ситуациях
  9. § 3.2. Специальное программное обеспечение сетевых исследований
  10. Глава 4. ОБЩИЕ ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ГРАЖДАН И ЗАЩИТЫ ОКРУЖАЮЩЕЙ СРЕДЫ ПРИ ПРОВЕДЕНИИ РАБОТ ПО ХРАНЕНИЮ, ПЕРЕВОЗКЕ И УНИЧТОЖЕНИЮ ХИМИЧЕСКОГО ОРУЖИЯ И ОСНОВНЫЕ ЗАДАЧИ ПО ИХ ОБЕСПЕЧЕНИЮ
  11. 2.1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ КЛАССИФИКАЦИИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ЭКОНОМИЧЕСКОГО АНАЛИЗА
  12. 2.3. СОВРЕМЕННОЕ СОСТОЯНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДРУГИХ ВИДОВ ЭКОНОМИЧЕСКОГО АНАЛИЗА
  13. 7.1. Структура и состав программного обеспечения системы оперативно-календарного планирования
  14. ИОНИЗИРУЮЩЕЕ ИЗЛУЧЕНИЕ, РАДИАЦИОННАЯ БЕЗОПАСНОСТЬ ГИГИЕНИЧЕСКИЕ ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ РАДИАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ЗАГОТОВКЕ И РЕАЛИЗАЦИИ МЕТАЛЛОЛОМА САНИТАРНО-ЭПИДЕМИОЛОГИЧЕСКИЕ ПРАВИЛА И НОРМАТИВЫ САНПИН
  15. 1.1. МЕСТО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ПО ЭКОНОМИЧЕСКОМУ АНАЛИЗУ В ОБЩЕЙ СИСТЕМЕ СРЕДСТВ АВТОМА ТИЗАЦИИ УПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТЬЮ ХОЗЯЙСТВУЮЩЕГО СУБЪЕКТА
- Коучинг - Методики преподавания - Андрагогика - Внеучебная деятельность - Военная психология - Воспитательный процесс - Деловое общение - Детский аутизм - Детско-родительские отношения - Дошкольная педагогика - Зоопсихология - История психологии - Клиническая психология - Коррекционная педагогика - Логопедия - Медиапсихология‎ - Методология современного образовательного процесса - Начальное образование - Нейро-лингвистическое программирование (НЛП) - Образование, воспитание и развитие детей - Олигофренопедагогика - Олигофренопсихология - Организационное поведение - Основы исследовательской деятельности - Основы педагогики - Основы педагогического мастерства - Основы психологии - Парапсихология - Педагогика - Педагогика высшей школы - Педагогическая психология - Политическая психология‎ - Практическая психология - Пренатальная и перинатальная педагогика - Психологическая диагностика - Психологическая коррекция - Психологические тренинги - Психологическое исследование личности - Психологическое консультирование - Психология влияния и манипулирования - Психология девиантного поведения - Психология общения - Психология труда - Психотерапия - Работа с родителями - Самосовершенствование - Системы образования - Современные образовательные технологии - Социальная психология - Социальная работа - Специальная педагогика - Специальная психология - Сравнительная педагогика - Теория и методика профессионального образования - Технология социальной работы - Трансперсональная психология - Философия образования - Экологическая психология - Экстремальная психология - Этническая психология -