Обеспечение защиты информации в системах и сетях происходит по следующим направлениям:

1. Организационные меры (например, ограничение доступа в помещения, где производится обработка информации; допуск к информации проверенных лиц; хранение носителей информации в специальных сейфах).

2. Организационно-технические (установка кодовых замков; осуществление питания от независимых источников; использование жидкокристаллических мониторов; установка клавиатуры на мягкую основу и т.п.).

3. Программные (блокировка данных и ввод ключевых слов; идентификация; программы обнаружения несанкционированного доступа; антивирусные средства, средства контроля и диагностики программного и аппаратного обеспечения ПК).

4. Правовые. Создание соответствующей нормативной правовой базы для обеспечения информационной безопасности и защиты информации.

Угрозы безопасности: понятие и классификация . Комплексное решение вопросов безопасности называется архитектурой безопасности, которая включает: угрозы безопасности, службы безопасности и механизмы (методы) обеспечения безопасности.

Угроза безопасности - действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов компьютерных информационных системах и сетей.

По природе возникновения угрозы разделяют на:

Естественные - угрозы, вызванные воздействиями на компьютерную систему и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека;

Искусственные - угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, выделяют: непреднамеренные (случайные) угрозы, вызванные ошибками в проектировании системы и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала; преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей.

По отношению к компьютерным системам угрозы подразделяют на внешние и внутренние.

На основе объектов компьютерной системы угрозы классифицируют на:

Угрозы компьютерам или серверам (физическое вмешательство, заражение вирусами, несанкционированное внедрение в систему);

Пользователям (подмена персоналий, нарушение приватности);

Документам (нарушение целостности документа, искажение аутентичности отправителя документа, непризнание участия).

Методы обеспечения безопасности информации. К методам обеспечения безопасности информации относится:

Идентификация пользователей/сообщений;

Шифрование данных;

Электронно-цифровая подпись;

Добавление контрольной суммы;

Управление маршрутизацией.

Идентификация позволяет устанавливать конкретного пользователя, работающего за терминалом и принимающего либо отправляющего информацию. Идентификация производится с помощью паролей (совокупности символов, известных подключенному к системе абоненту); физических методов, например, карточек с магнитным покрытием; анализа индивидуальных параметров (отпечатки пальцев, рисунка линий руки, радужной оболочки глаз, идентификация по голосу).

Шифрование осуществляется методами криптографии, т.е. методом преобразования из общепринятой формы в кодированную (обратный процесс – дешифрование). Секретный ключ шифровки известен только отправителю и получателю.

Электронная цифровая подпись (ЭЦП) также относится к криптографическим методам защиты информации. Применятся при разработке защищенных систем электронного документооборота. ЭЦП представляет собой средство правовой защиты и аутентификации электронного документа. ЭЦП подразделяется на: ЭЦП текста документа и ЭЦП операции, которая заверяет действия, при которых подписывается документ.

Добавление контрольной суммы к сообщению рассчитывается по специальному алгоритму. При этом получатель рассчитывает по тому же алгоритму контрольную сумму и сравнивает результат с принятой суммой. Контрольную сумму часто называют кодом аутентификации сообщения или имитовставкой .

Электронные ключи часто рассматриваются только как средство защиты от копирования. Электронные ключи построены на основе микросхемы и имеют электрически программируемую энергонезависимую память. Защита программ с помощью электронных ключей позволяет отказаться от привязки программ к некопируемой ключевой дискете или конкретному компьютеру. Пользователь может свободно создавать резервные копии, переписывать защищенные программы с одного компьютера на другой и т.д., однако запускаться и работать эти программы будут только при подключении электронного ключа к параллельному порту компьютера.

ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ

В практической деятельности в информационных технологиях при­менение мер и способов защиты информации включает следующие са­мостоятельные направления, представленные на рис.8.6.

Для каждого направления определены основные цели и задачи.

1. Защита конфиденциальной информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач - защиту хранимой и обрабатываемой в вычислительной технике информации от всевозможных злоумышленных покушений, которые могут нанести существенный экономический и другой матери­альный и нематериальный ущерб. Основной целью этого вида защиты является обеспечение конфиденциальности, целостности и доступности информации.

Рис. 8.6. Меры и способы защиты, используемые в информационных технологиях

Требования по защите информации от несанкционированного дос­тупа в информационных технологиях направлены на достижение трех основных свойств защищаемой информации:

В части технической реализации защита от несанкционированного доступа в информационных технологиях сводится к задаче разграниче­ния функциональных полномочий и доступа к данным с целью не толь­ко использования информационных ресурсов, но и их модификации.

Защита информации в каналах связи направлена на предотвраще­ние возможности несанкционированного доступа к конфиденциальной информации, циркулирующей по каналам связи различных видов меж­ду различными уровнями управления экономическим объектом или внешними органами. Данный вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты информации в неконтроли­руемых каналах связи является применение криптографии и специаль­ных связных протоколов.

Защита юридической значимости электронных документов оказы­вается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы и другие распорядительные, договорные, финансовые доку­менты. Их общая особенность заключается в том, что в случае возник­новения споров (в том числе и судебных), должна быть обеспечена воз­можность доказательства истинности факта того, что автор действитель­но фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения данной проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением электронных подписей (цифровых подписей). На практике вопросы зашиты значимости электронных до­кументов решаются совместно с вопросами защиты ИТ экономического объекта.

Защита информации от утечки по каналам побочных электромаг­нитных излучений и наводок является важным аспектом защиты конфи­денциальной и секретной информации в вычислительной технике от не­санкционированного доступа со стороны посторонних лиц. Данный вид защиты направлен на предотвращение возможности утечки информа­тивных электромагнитных сигналов за пределы охраняемой территории экономического объекта. При этом предполагается, что внутри охраняе­мой территории применяются эффективные режимные меры, исклю­чающие возможность бесконтрольного использования специальной ап­паратуры перехвата, регистрации и отображения электромагнитных сиг­налов. Для защиты от побочных электромагнитных излучений и наводок широко применяется экранирование помещений, предназна­ченных для размещения средств вычислительной техники, а также тех­нические меры, позволяющие снизить интенсивность информативных излучений самого оборудования персональных компьютеров и каналов связи.

В некоторых ответственных случаях может быть необходима допол­нительная проверка вычислительной техники на предмет возможного выявления специальных закладных устройств промышленного шпиона­жа, которые могут быть внедрены туда с целью регистрации или записи информативных излучений персонального компьютера, а также речевых и других несущих уязвимую информацию сигналов.

5. Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации является самостоятельным видом защиты прав, ориентированных на проблему охраны интеллекту­альной собственности, воплощенной в виде программ и ценных баз дан­ных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, прове­рок по обращениям к устройствам хранения ключа и ключевым диске­там, блокировка отладочных прерываний, проверка рабочего персо­нального компьютера по его уникальным характеристикам и т.д.), кото­рая приводит исполнимый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» ПК.

Общим свойством средств защиты программ и баз данных в ИТ от несанкционированного копирования является ограниченная стойкость такой защиты, т.к. в конечном случае исполнимый код программы по­ступает на выполнение в центральный процессор в открытом виде и мо­жет быть прослежен с помощью аппаратных отладчиков. Однако это об­стоятельство не снижает потребительских свойств средств защиты до минимума, т.к. основная цель их применения - максимально затруд­нить, хотя бы временно, возможность несанкционированного копиро­вания ценной информации.

Для обеспечения безопасности информации в офисных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации». Система защиты информации - это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Традиционные меры для противодействия утечкам информации подразделяются на технические и организационные.

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

К организационным мерам можно отнести охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).

Несанкционированный доступ к информации может происходить во время профилактики или ремонта компьютеров за счет прочтения остаточной информации на носителях, несмотря на ее удаление пользователем обычными методами. Другой способ - прочтение информации с носителя во время его транспортировки без охраны внутри объекта или региона.

Современные компьютерные средства построены на интегральных схемах. При работе таких схем происходят высокочастотные изменения уровней напряжения и токов, что приводит к возникновению в цепях питания, в эфире, в близрасположенной аппаратуре и т.п. электромагнитных полей и наводок, которые с помощью специальных средств (условно назовем их "шпионскими") можно трансформировать в обрабатываемую информацию. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность такого рода съема и расшифровки информации увеличивается.

Несанкционированное ознакомление с информацией возможно также путем непосредственного подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.

Традиционными методами защиты информации от несанкционированного доступа являются идентификация и аутентификация, защита паролями. Идентификация и аутентификация. В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основе построения таких систем находится принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.

Ключевыми понятиями в этой системе являются идентификация и аутентификация. Идентификация - это присвоение какому-либо объекту или субъекту уникального имени или образа. Аутентификация - это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.

Конечная цель процедур идентификации и аутентификации объекта (субъекта) - допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки. Объектами идентификации и аутентификации могут быть: люди (пользователи, операторы и др.); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные носители информации; информация на экране монитора и др. Установление подлинности объекта может производиться аппаратным устройством, программой, человеком и т.д.

Защита паролями. Пароль - это совокупность символов, определяющая объект (субъекта). При выборе пароля возникают вопросы о его размере, стойкости к несанкционированному подбору, способам его применения. Естественно, чем больше длина пароля, тем большую безопасность будет обеспечивать система, ибо потребуются большие усилия для его отгадывания. При этом выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базой и быстродействием.

В случае применения пароля необходимо периодически заменять его на новый, чтобы снизить вероятность его перехвата путем прямого хищения носителя, снятия его копии и даже физического принуждения человека. Пароль вводится пользователем в начале взаимодействия с компьютерной системой, иногда и в конце сеанса (в особо ответственных случаях пароль нормального выхода может отличаться от входного). Для правомочности пользователя может предусматриваться ввод пароля через определенные промежутки времени.

Пароль может использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю. Для идентификации пользователей могут применяться сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и др. Широкое распространение нашли физические методы идентификации с использованием носителей кодов паролей. Такими носителями являются пропуска в контрольно-пропускных системах; пластиковые карты с именем владельца, его кодом, подписью; пластиковые карточки с магнитной полосой; пластиковые карты с встроенной микросхемой (smart-card); карты оптической памяти и др.

Средства защиты информации по методам реализации можно разделить на три группы:

• ·программные;
• ·программно-аппаратные;
• ·аппаратные.

Программными средствами защиты информации называются специально разработанные программы, которые реализуют функции безопасности вычислительной системы, осуществляют функцию ограничения доступа пользователей по паролям, ключам, многоуровневому доступу и т.д. Эти программы могут быть реализованы практически в любой операционной системе, удобной для пользователя. Как правило, эти программные средства обеспечивают достаточно высокую степень защиты системы и имеют умеренные цены. При подключении такой системы в глобальную сеть вероятность взлома защиты увеличивается. Следовательно, этот способ защиты приемлем для локальных замкнутых сетей, не имеющих внешний выход.

Программно-аппаратными средствами называются устройства, реализованные на универсальных или специализированных микропроцессорах, не требующие модификаций в схемотехнике при изменении алгоритма функционирования. Эти устройства также адаптируются в любой операционной системе, имеют большую степень защиты. Они обойдутся несколько дороже (их цена зависит от типа операционной системы). При этом данный тип устройств является самым гибким инструментом, позволяющим вносить изменения в конфигурацию по требованию заказчика. Программно-аппаратные средства обеспечивают высокую степень защиты локальной сети, подключенной к глобальной.

Аппаратными средствами называются устройства, в которых функциональные узлы реализуются на сверхбольших интегральных системах (СБИС) с неизменяемым алгоритмом функционирования. Этот тип устройств адаптируется в любой операционной системе, является самым дорогим в разработке, предъявляет высокие технологические требования при производстве. В то же время эти устройства обладают самой высокой степенью защиты, в них невозможно внедриться и внести конструктивные или программные изменения. Применение аппаратных средств затруднено из-за их высокой стоимости и статичности алгоритма.

Программно-аппаратные средства, уступая аппаратным по скорости, позволяют в то же время легко модифицировать алгоритм функционирования и не обладают недостатками программных методов. К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени.

Для обеспечения безопасности информации в офисных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации». Система защиты информации - это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Традиционные меры для противодействия утечкам информации подразделяются на технические и организационные Конахович Г. Защита информации в телекоммуникационных системах. - М.: МК-Пресс, 2005.С.123..

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

К организационным мерам можно отнести охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).

Несанкционированный доступ к информации может происходить во время профилактики или ремонта компьютеров за счет прочтения остаточной информации на носителях, несмотря на ее удаление пользователем обычными методами. Другой способ - прочтение информации с носителя во время его транспортировки без охраны внутри объекта или региона.

Современные компьютерные средства построены на интегральных схемах. При работе таких схем происходят высокочастотные изменения уровней напряжения и токов, что приводит к возникновению в цепях питания, в эфире, в близрасположенной аппаратуре и т.п. электромагнитных полей и наводок, которые с помощью специальных средств можно трансформировать в обрабатываемую информацию. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность такого рода съема и расшифровки информации увеличивается.

Несанкционированное ознакомление с информацией возможно также путем непосредственного подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.

Традиционными методами защиты информации от несанкционированного доступа являются идентификация и аутентификация, защита паролями. Коржов В. Стратегия и тактика защиты.//Computerworld Россия.- 2004.-№14.С.26.

Идентификация и аутентификация. В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основе построения таких систем находится принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.

Ключевыми понятиями в этой системе являются идентификация и аутентификация. Идентификация - это присвоение какому-либо объекту или субъекту уникального имени или образа. Аутентификация - это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.

Классификация мер по защите информации

В настоящее время виды компьютерных преступлений чрезвычайно многообразны. Все меры противодействия компьютерным преступлениям можно под­разделить на:

· Нормативно-правовые

· Морально-этические

· Организационные

· Технические.

Нормативно-правовые - включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные от­ношения в обществе. К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав про­граммистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы обще­ственного контроля за разработчиками компьютерных систем и принятие со­ответствующих международных договоров об их ограничениях, если они вли­яют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение. Только в последние годы появились работы по проблемам правовой борьбы с компьютерными преступлениями.

Морально-этические - правила и нормы поведения, направленные на обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения.

Организационные - правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих, казалось бы триви­альных правил, установка любых, даже самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не ре­шены на должном уровне организационные вопросы. Меры обеспечения сохранности и защиты информации на каждом пред­приятии или фирме различаются по своим масштабам и формам. Они зависят от производственных, финансовых и других возможностей фирмы. Наличие большого количества уязвимых мест на любом современном пред­приятии или фирме, широкий спектр угроз и довольно высокая техническая оснащенность злоумышленников требует обоснованного выбора специальных решений по защите информации. Основой таких решений можно считать:

· Применение научных принципов в обеспечении информацион­ной безопасности, включающих в себя: законность, экономичес­кую целесообразность и прибыльность, самостоятельность и ответственность, научную организацию труда, тесную связь тео­рии с практикой, специализацию и профессионализм, программ­но-целевое планирование, взаимодействие и координацию, до­ступность в сочетании с необходимой конфиденциальностью

· Принятие правовых обязательств со стороны сотрудников пред­приятия в отношении сохранности доверенных им сведений (ин­формации)

· Создание таких административных условий, при которых исключается возможность кражи, хищения или искажения информа­ции

Для надежной защиты конфиденциальной информации целесообразно при­менять следующие организационные мероприятия:

· Определение уровней (категорий) конфиденциальности защи­щаемой информации

· Выбор принципов (локальный, объектовый или смешанный) ме­тодов и средств защиты

· Установление порядка обработки защищаемой информации

· Учет пространственных факторов: введение контролируемых (охраняемых) зон правильный выбор помещений и расположение объектов меж­ду собой и относительно границ контролируемой зоны

· Учет временных факторов: ограничение времени обработки защищаемой информации доведение времени обработки информации с высоким уровнем конфиденциальности до узкого круга лиц

Технические средства - комплексы специального технического и про­граммного обеспечения, предназначенные для предотвращения утечки об­рабатываемой или хранящейся у вас информации путем исключения не­санкционированного доступа к ней с помощью технических средств съема. Технические методы защиты информации подразделяются на аппарат­ные, программные и аппаратно-программные.

Для блокирования возможных каналов утечки информации через тех­нические средства обеспечения производственной и трудовой деятельнос­ти с помощью специальных технических средств и создания системы защи­ты объекта по ним необходимо осуществить ряд мероприятий:

· специфические особенности расположения зданий, помещений в зданиях, территорию вокруг них и подве­денные коммуникации

· Выделить те помещения, внутри которых циркулирует конфиден­циальная информация и учесть используемые в них техничес­кие средства

Осуществить такие технические мероприятия:

· проверить используемую технику на соответствие величины побочных излучений допустимым уровням экранировать помещения с техникой или эту технику в поме­щениях

· перемонтировать отдельные цепи, линии, кабели использовать специальные устройства и средства пассивной и активной защиты.

Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудно­стью в ее создании является то, что она одновременно должна удовлетво­рять двум группам прямо противоположных требований:

· Обеспечивать надежную защиту информации

· Не создавать заметных неудобств сотрудникам и особенно кли­ентам.

Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглаше­ния информации, циркулирующей в определенном носителе.

Защита компьютера

В персональном компьютере в качестве вычислительных ресурсов выступают оперативная память, процессор, встроенные накопители на жестких или гибких магнитных дисках, клавиатура, дисплей, принтер, пе­риферийные устройства. Защита оперативной памяти и процессора предусматривает контроль за появлением в оперативной памяти так называемых ре­зидентных программ, защиту системных данных, очистку остатков секретной информации в неиспользуемых областях памяти. Для этого достаточно иметь в своем распоряжении программу просмотра оперативной памяти для конт­роля за составом резидентных программ и их расположением.

Гораздо важнее защита встроенных накопителей. Существуют несколь­ко типов программных средств, способных решать эту задачу:

Защита диска от записи и чтения

Контроль за обращениями к диску

Средства удаления остатков секретной информации.

Но самый надежный метод защиты, безусловно, шифрование, так как в этом случае охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи дискеты). Однако в ряде случаев использование шифрования затруднитель­но либо невозможно, поэтому необходимо использовать оба метода в со­вокупности. Большинство средств защиты реализуются в виде программ или пакетов программ, расширяющих возможности стандартных операци­онных систем, а также систем управления базами данных. Более подробно о защите компьютерной информации рассказано в следующих главах.

Методы и средства защиты информации в каналах связи

Безопасность связи при передаче речевых сообщений основывается на использовании большого количества различных методов закрытия сооб­щений, меняющих характеристики речи таким образом, что она становит­ся неразборчивой и неузнаваемой для подслушивающего лица, перехватив­шего закрытое сообщение. При этом оно занимает ту же полосу частот, что и открытый сигнал. Выбор методов закрытия зависит от вида конкрет­ного применения и технических характеристик канала передачи.

В зависимости от спектра передачи речевых сигналов методы защиты речевых сигналов в узкополосных каналах разделяют на следующие виды:

· Аналоговое скремблирование

· Маскирование сигнала специальной заградительной помехой

· Дискретизация речи с последующим шифрованием.

При аналоговом скремблировании изменяется характеристика речево­го сигнала, в результате чего образуется модулированный сигнал, облада­ющий свойствами неразборчивости и неузнаваемости. Полоса частот спек­тра преобразованного сигнала остается такой же, как и исходного. Анало­говое скремблирование осуществляется на базе временной и/или частотной перестановок отрезков речи.

За счет временных перестановок преобразованное сообщение кодиру­ется, при этом расширяется спектр. Искажения спектра в узкополосном канале определяют потери в восстановленном сообщении. Аналогично, пе­рестановки отрезков спектра при частотном скремблировании приводят к интермодуляционным искажениям восстанавливаемого сообщения.

Маскирование речевого сигнала основано на формировании аддитивной заградительной помехи с последующим ее выделением и компенсацией на при­емной стороне. Как правило, этот метод используется в сочетании с простей­шим скремблированием (наложением мультипликативной помехи на сигнал).

Метод дискретизации речи с последующим шифрованием предполагает передачу основных компонентов речевого сигнала путем преобразования их в цифровой поток данных, который смешивается с псевдослучайной пос­ледовательностью. Полученное таким образом закрытое сообщение с по­мощью модема передается в канал связи.

В цифровых системах компоненты речи преобразуются в цифровой поток. Дальнейшие операции преобразования включают перестановку, скремблиро­вание псевдослучайной последовательностью, временное запаздывание.

Цифровая подпись

Для решения задачи аутентификации информации Диффи и Хеллманом в 1976 г. предложена концепция аутентификации на основе «цифровой подписи». Она заключается в том, что каждый пользователь сети имеет свой секретный ключ, необходимый для формирования подписи, соответствующий этому секретному ключу открытый ключ, предназначенный для проверки подписи, известен всем другим пользователям сети. В предложенной схеме цифровая подпись вычисляется на основе защищаемого сообщения и секретного ключа конкретного пользователя, являющегося отправителем этого сообщения. Каждый пользователь, имеющий соответствующий открытый ключ, может аутентифицировать сообщение по подписи. Кроме того, знание открытого ключа не позволяет подделать подпись. Такие схемы аутентификации называются асимметричными.

Вне зависимости от используемого алгоритма схема цифровой подписи включает две процедуры: процедуру формирования подписи и процедуру проверки, существенной особенностью которых является следующее. При выполнении процедуры формирования подписи используется секретный ключ, известный только лицу, осуществляющему эту процедуру. При выполнении процедуры проверки используется открытый ключ. Только в этом случае арбитр, разрешая возникший спор, может убедиться, что именно тот, кто владеет соответствующим ключом, произвел данную подпись.

Основная область применения цифровой подписи - это информационные системы, в которых отсутствует взаимное доверие сторон (финансовые системы, системы контроля за соблюдением международных договоров, например договора о контроле за ядерными испытаниями и т.д.). Возможно применение схем цифровой подписи для создания «электронного нотариуса» с целью обеспечения охраны авторских прав на программные изделия. Что же касается цифровой подписи, то:

1. Каждый человек использует для подписи документов свой секретный уникальный ключ.

2. Любая попытка подписать документ без знания соответствующего секретного ключа практически не имеет успеха.

3. Цифровая подпись документа есть функция содержания этого документа и секретного ключа. Цифровая подпись может передаваться отдельно от документа.

4. Копия подписанного цифровым способом документа не отличается от его оригинала (нет проблемы подписи каждой копии).

Методы построения цифровой подписи

Наиболее часто для построения схемы цифровой подписи используется алгоритм RSA. Схема цифровой подписи, основанная на алгоритме RSA, заключается в следующем. Допустим, пользователь А желает передать несекретное сообщение Х пользователю В, предварительно его подписав. Для этого он, используя секретный ключ d, вычисляет подпись у

И посылает (Х.у). Получатель В имеющий соответствующий открытый ключе, получив (Х.у) проверяет равенство

И сравнивает результат этого вычисления с X. В случае совпадения полученное сообщение считается подлинным. Длина подписи в этом случае равна длине сообщения, что не всегда удобно.

Другие методы основаны на формировании соответствующей сообщению контрольной комбинации с помощью классических криптоалгоритмов или так называемых «односторонних функций сжатия».

Примером таких методов являются:

1. Метод MAC (Message Authentication Codes). В нем формируется контрольная комбинация от документа (сообщения или файла) в виде свертки данного документа с секретным ключом на основе классического алгоритма типа DES.

2. Метод MDS (Manipulation Detection Codes). Метод основан на использовании кодов, обнаруживающих обман. Производится вычисление контрольной комбинации от документа на основе использования односторонней (полислучайной) функции сжатия.

Какой метод считать лучшим, определяется из конкретных условий работы. Для коротких сообщений типа платежных поручений или квитанций подтверждения приема, наверное лучше использовать алгоритм RSA. Для контроля целостности больших объемов информации предпочтительней методы аутентификации на основе блочных алгоритмов.

Сравним цифровую подпись с обычной подписью. С помощью обычной подписи всегда можно доказать авторство, потому, что:

1. У каждого человека свой только ему присущий почерк, который характеризуется определенным написанием букв, давлением на ручку и т.д.

2. Попытка подделки подписи обнаруживается с помощью графологического анализа

3. Подпись и подписываемый документ передаются только вместе на одном листе бумаги. Ситуаций, когда подпись передается отдельно от документа, не существует. При этом подпись не зависит от содержания документа, на котором она поставлена.

4. Копии подписанного документа недействительны, если они не имеют своей настоящей (а не скопированной) подписи.

Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных, то есть во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.

Используемые пароли можно подразделить на семь основных групп:

Пароли, устанавливаемые пользователем

Пароли, генерируемые системой

Случайные коды доступа, генерируемые системой

Полуслова

Ключевые фразы

Интерактивные последовательности типа «вопрос - ответ» ;

«Строгие» пароли.

Первая группа является наиболее распространенной. Большинство таких паролей относятся к типу «выбери сам». Для лучшей защиты от несанкционированного доступа необходимо использовать достаточно длинный пароль, поэтому обычно система запрашивает пароль, содержащий не менее четырех-пяти букв. Существуют также и другие меры, не позволяющие пользователю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и заглавные буквы вперемешку с цифрами; заведомо очевидные пароли, например, internet, ею отвергаются. В разных операционных системах существует немало программ, которые просматривают файлы, содержащие пароли, анализируют пароли пользователей и опре­деляют, насколько они секретны. Неподходящие пароли заменяются.

Когда человек впервые загружает компьютер, и тот запрашивает у него пароль, этот пароль наверняка окажется вариантом одной из общих и акту­альных для всех тем - особенно если у пользователя не хватает времени. Представьте себе состояние человека, когда его просят придумать собственный секретный пароль. Как бы то ни было, стоит запросу появиться на экра­не монитора, и человека посещает мысль о том, что надо немедленно что-то предпринимать. Не считая гениев и безнадежных тупиц, все люди, когда надо принимать быстрые решения, мыслят и действуют примерно одинаково. Им требуется время, чтобы начать мыслить творчески, поэтому начальные пред­положения и первые умозаключения в определенных группах людей оказы­ваются одинаковыми. И пользователи выдают первое, что приходит им в го­лову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. В такой ситуации пароль создается в спешке, а последующая его замена на более надежный происходит достаточно редко. Таким образом, многие пароли, созданные пользователями, могут быть раскрыты достаточно быстро.

Случайные пароли и коды, устанавливаемые системой, могут быть не­скольких разновидностей. Системное программное обеспечение может ис­пользовать полностью случайную последовательность символов - вплоть до случайного выбора регистров, цифр, пунктуации длины; или же исполь­зовать в генерирующих процедурах ограничения. Создаваемые компьюте­ром пароли могут также случайным образом извлекаться из списка обыч­ных или ничего не значащих слов, созданных авторами программы, кото­рые образуют пароли вроде onah.foopn, или ocar-back-treen.

Полуслова частично создаются пользователем, а частично - каким-либо случайным процессом. Это значит, что если даже пользователь придумает легкоугадываемый пароль, например, «абзац», компьютер дополнит его ка­кой-нибудь неразберихой, образовав более сложный пароль типа «абзац,3ю37».

Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа «мы были обеспокоены этим», или не иметь смысла - «ловящий рыбу нос». Следу­ет заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз. К концепции клю­чевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются «мбоэ» и «лрн». Подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.

Интерактивные последовательности «вопрос - ответ», предлагают пользователю ответить на несколько вопросов, как правило, личного пла­на: «Девичья фамилия вашей матери?», «Ваш любимый цвет?», и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с «пра­вильными». Системы с использованием «вопросов - ответов» склонны прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, чтобы подтвердить его право пользоваться системой. В настоящее время такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.

«Строгие» пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством. В этом случае компьютер обыч­но с простодушным коварством предлагает несколько вариантов приглашений, а пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми кодами. Одноразовые коды - это паро­ли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным кли­ентам возможности системы. Они также порой применяются при первом вхож­дении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соответствующий времени, дате или дню недели.

Итак, для того, чтобы пароль был действительно надежен, он должен отвечать определенным требованиям:

Быть определенной длины

Включать в себя как прописные, так и строчные буквы

Включать в себя одну и более цифр,

Включать в себя один нецифровой и один неалфавитный символ.

Электронные ключи

Для борьбы с компьютерным пиратством наряду со специальными программными средствами используются и аппаратно-программные средства. Они базируются на применении электронных устройств, подключаемых либо к внутренней шине компьютера, либо к его наружным разъемам. Если оценивать степень надежности защиты объемом трудозатрат, необходимых для ее «взлома», то аппаратно-программные средства «прочнее» чисто программных.

Действительно, для вскрытия такой защиты недостаточно распутать ухищрения в программе. Необходимо восстановить протоколы и содержание обмена программ с дополнительной аппаратурой. Решение этих задач требует, как правило, применения специальных аппаратных средств типа логических анализаторов.

Электронный ключ - это компактный прибор, который подсоединяется к параллельному или последовательному портам компьютера и не влияет на взаимодействие компьютера с внешними устройствами. Идея защиты с использованием электронного ключа состоит в применении в защищаемой программе специального алгоритма взаимодействия с ключом, который не позволяет исполнять программу без него. В этом случае каждый экземпляр программы поставляется вместе с электронным ключом. Критерии оценки качества электронного ключа: ключ должен представлять собой некоторый генератор функций, а не просто память для констант; ключ должен быть выполнен на базе заказной интегральной схемы, что исключает возможность его законного воспроизведения.

Электронные ключи могут использоваться для решения следующих задач:

• защита программ от несанкционированного распространения;
• защита данных от раскрытия содержащейся в них информации;
• защита компьютеров от доступа к ним посторонних лиц

1. Защита программ осуществляется двумя способами. Первый способ (назовем его ручным) состоит во встраивании самим разработчиком в свою программу фрагментов, взаимодействующих с электронным ключом. Второй способ основан на автоматическом включении в защищаемый файл обменов с ключом. В этом случае поставляемая вместе с ключом специальная программа автоматически обрабатывает исполняемые файлы таким образом, что без ключа они оказываются неработоспособными. Преимуществом автоматической защиты перед ручной является практически нулевая трудоемкость этой процедуры. Кроме того, программа автоматической защиты создается высококвалифицированными специалистами, что обеспечивает ее большую надежность.

2. Защита данных от раскрытия содержащейся в них информации достигается путем шифрования. Существуют достаточно эффективные методы шифрования, например алгоритм DES. Однако надежность шифрования не может быть выше надежного хранения и передачи шифровального ключа. В этом случае шифровальный ключ не надо запоминать или записывать и, что очень важно, вводить в компьютер с клавиатуры. Хранящиеся в компьютере данные могут быть дешифрованы только при наличии ключа. Кроме того, для повышения надежности сама программа шифрования - дешифрования может быть защищена с помощью того же самого ключа.

3. Защита компьютера от посторонних лиц предполагает загрузку операционной системы только для санкционированных пользователей, а также обеспечение доступа каждого пользователя только к выделенным ресурсам, среди которых могут быть логические диски, каталоги и отдельные файлы. Реализация такой защиты связана с идентификацией пользователей. Для этого могут быть использованы электронные ключи. При этом возможны два подхода.

Первый подход предполагает, что каждый санкционированный пользователь имеет в своем распоряжении уникальный электронный ключ. Распознавание пользователя осуществляется без ввода каких-либо паролей после подсоединения ключа к разъему. В этом случае можно утверждать, что ключ к тайнам пользователя хранится у них в кармане. Но, если компьютер эксплуатируется в организации, то администрация, как правило, желает иметь доступ ко всем файлам и контролировать работу всех пользователей. Для этого необходимо иметь хотя бы по два одинаковых набора ключей, причем один набор хранится у руководителя организации.

Второй подход обеспечивает снижение стоимости защиты за счет того, что используется только один ключ для всех пользователей. Ключом распоряжается администратор системы, назначаемый руководством организации. Загрузка операционной системы возможна только при подсоединенном ключе. Идентификация пользователей осуществляется путем ввода паролей.

Под целостностью данных понимается система правил Microsoft Access, позволяющих при изменении одних объектов автоматически изменять все связанные с ними объекты и обеспечивать защиту от случайного удаления или изменения связанных данных.

Список значений может быть задан либо фиксированным набором зна­чений, которые вводятся пользователем при создании поля, либо спис­ком значений из ссылочной таблицы или запроса.

Индекс - средство Microsoft Access, ускоряющее поиск и сортировку в таблице. Ключевое поле таблицы индексируется автоматически. Не допускается создание индексов для полей типа MEMO и «Гипер­ссылка» или полей объектов OLE.

Уникальный индекс - индекс, определенный для свойства Индекси­рованное поле значением «Да (Совпадения не допускаются)». При этом ввод в индексированное поле повторяющихся значений становится невозможным. Для ключевых полей уникальный индекс создается автоматически.