Компьютерная безопасность

Стремительное развитие средств вычислительной техники и открытых сетей передачи данных обусловило их широкое распространение в повседневной жизни и предпринимательской деятельности. Мощные вычислительные возможности и оперативность передачи информации не только оказали большое влияние на принципы ведения бизнеса, сложившиеся в большинстве традиционных отраслей, но и открыли новые направления развития предпринимательской деятельности. В современных условиях автоматизация банковской деятельности и управления предприятиями является «modus vivendi», а такие слова, как «Internet-banking», «e-commerce» и «smart-cards», уже не вызывают всеобщего удивления и жарких дебатов.
Однако последние достижения человеческой мысли в области компьютерных технологий связаны с появлением не только персональных компьютеров, сетей передачи данных и электронных денег, но и таких понятий, как хакер, информационное оружие, компьютерные вирусы и т.п. Оказывается, что под информационной безопасностью подразумевается одно из ведущих направлений развития информационных технологий - круг задач, решаемых в этой области, постоянно расширяется как в количественном, так и в качественном отношении.
Современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, раскрытия, модификации данных, принадлежащих конечным пользователям.
На практике угрозы для информационно-телекоммуникационных систем (ИТС) могут быть реализованы непосредственным воздействием как на информацию, представляющую интерес для конечных пользователей подобных систем, так и на информационные ресурсы и телекоммуникационные службы, обеспечиваемые в рамках данной ИТС. Например, существует распространенный вид атаки через Internet - шторм ложных запросов на ТСР-соединение, приводящий к тому, что система временно прекращает обслуживание удаленных пользователей. Перечень подобного типа угроз достаточно обширен, и нередко такие проблемы необходимо решать путем защиты пользовательской информации как части ИТС.
Под информационной безопасностью в этой книге мы будем понимать состояние защищенности обрабатываемых, хранимых и передаваемых в ИТС данных от незаконного ознакомления, преобразования и уничтожения (как крайний случай модификации), а также состояние защищенности информационных ресурсов от воздействий, направленных на нарушение их работоспособности.
Основными задачами защиты пользовательской информации являются:
• обеспечение конфиденциальности информации;
• обеспечение целостности информации;
• обеспечение достоверности информации;
• обеспечение оперативности доступа к информации;
• обеспечение юридической значимости информации, представленной в виде электронного документа;
• обеспечение неотслеживаемости действий клиента.
Конфиденциальность - свойство информации быть доступной только ограниченному кругу пользователей информационной системы, в которой циркулирует данная информация.
Под целостностью понимается свойство информации или программного обеспечения сохранять свою структуру и/или содержание в процессе передачи и/или хранения.
Здесь следует сделать пояснение. Рассматривая вопрос передачи информации в виде сообщений через сеть, можно прийти к заключению, что каждое сообщение по своему смысловому содержанию образует некоторый класс. Другими словами, смысл конечного сообщения останется таким же, как и начального, даже если форма представления информации в электронном виде существенно изменится. Таким образом, каждое сообщение на русском языке будет иметь свой класс эквивалентности, и для данного случая свойство сохранения целостности информации можно сформулировать следующим образом: переданное сообщение X считается сохранившим целостность, если полученное в результате передачи сообщение XI принадлежит классу эквивалентности сообщения X.
Достоверность - свойство информации, выражающееся в строгой принадлежности объекту, который является ее источником, либо тому объекту, от которого эта информация принята.
Оперативность - способность информации или некоторого информационного ресурса быть доступным для конечного пользователя в соответствии с его временным потребностями.
Юридическая значимость означает, что документ обладает юридической силой. С этой целью субъекты, которые нуждаются в подтверждении юридической значимости передаваемого сообщения, договариваются о повсеместном принятии некоторых атрибутов информации, выражающих ее способность быть юридически значимой. Данное свойство информации особенно актуально в системах электронных платежей, где осуществляется операция по переводу денежных средств. Исходя из сказанного, можно сформулировать некоторые требования к атрибутам информации, выражающим ее свойство быть юридически значимой. Прежде всего ее необходимо сформировать таким образом, чтобы с формальной точки зрения было определенно ясно, что только отправитель, которому принадлежит данный платежный документ, мог его создать. О способах обеспечения юридической значимости платежных документов будет сказано ниже.
Неотслеживаемостъ - способность совершать некоторые действия в информационной системе незаметно для других объектов. Актуальность данного требования стала очевидной благодаря появлению таких понятий, как электронные деньги и Internet-banking. Так, для авторизации доступа к электронной платежной системе пользователь должен предоставить некоторые сведения, однозначно его идентифицирующие. По мере развития данных систем может появиться реальная опасность, что, например, все платежные операции будут контролироваться, тем самым возникнут условия для тотальной слежки за пользователями информационных систем.
Существует несколько путей решения проблемы неотслеживаемости:
• запрещение с помощью законодательных актов всякой тотальной слежки за пользователями информационных систем;
• применение криптографических методов для поддержания неотслеживаемости.
Как уже говорилось, информационная безопасность может рассматриваться не только по отношению к некоторым конфиденциальным сведениям, но и по отношению к способности информационной системы выполнять заданные функции.
Основные задачи, решаемые в рамках информационной безопасности по отношению к работоспособности ИТС, должны обеспечивать защиту от:
• нарушения функционирования телекоммуникационной системы, выражающегося в воздействии на информационные каналы, каналы сигнализации, управления и удаленной загрузки баз данных коммутационного оборудования, системное и прикладное программное обеспечение;
• несанкционированного доступа к информационным ресурсам и от попыток использования ресурсов сети, приводящих к утечке данных, нарушению целостности сети и информации, изменению функционирова- • ния подсистем распределения информации, доступности баз данных;
• разрушения встраиваемых и внешних средств защиты;
• неправомочных действий пользователей и обслуживающего персонала сети.
Приоритеты среди перечисленных задач информационной безопасности определяются индивидуально для каждой конкретной ИТС и зависят от требований, предъявляемых непосредственно к информационным системам.
Следует учесть, что с точки зрения государственных структур защитные мероприятия в первую очередь призваны обеспечить конфиденциальность, целостность и доступность информации. (Понятно, для режимных государственных организаций на первом месте всегда стоит конфиденциальность сведений, а целостность понимается исключительно как их неизменность.) Коммерческим структурам, вероятно, важнее всего целостность и доступность данных и услуг по их обработке. По сравнению с государственными, коммерческие организации более открыты и динамичны, поэтому вероятные угрозы для них отличаются не только количеством, но и качеством.
Для решения задачи обеспечения безопасности в информационно-телекоммуникационных сетях необходимо:
• защитить информацию при ее хранении, обработке и передаче по сети;
• подтвердить подлинность объектов данных и пользователей (аутентификация сторон, устанавливающих связь);
• обнаружить и предупредить нарушение целостности объектов данных;
• защитить технические устройства и помещения;
• защитить конфиденциальную информацию от утечки и от внедренных электронных устройств съема информации;
• защитить программные продукты от внедрения программных закладок и вирусов;
• защитить от несанкционированного доступа к информационным ресурсам и техническим средствам сети, в том числе и к средствам управления, чтобы предотвратить снижение уровня защищенности информации и самой сети в целом;
• организовать требующиеся мероприятия, направленные на обеспечение сохранности конфиденциальных данных.
Конкретная реализация общих принципов обеспечения информационной безопасности может выражаться в организационных либо технических мерах защиты информации.
Следует отметить, что объем мероприятий по защите обрабатываемых и передаваемых данных зависит прежде всего от величины предполагаемого ущерба, который может выражаться в прямой (затраты на покупку нового программного обеспечения в случае нарушения целостности программного обеспечения) или в опосредованной (затраты от простоя информационной системы банка) форме. Правда, в некоторых ситуациях рассчитать величину ущерба затруднительно (например, в случае утечки государственного тайны).