Главная » Разное

Психологические способы защиты информации

Содержание
  1. Журнал «ПАРТНЕР»
  2. ИНФОРМАЦИОННО-ПСИХОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ ЛИЧНОСТИ
  3. Советы психолога
  4. Проф. В. Левицкий (Магдебург)
  5. ИНФОРМАЦИОННО-ПСИХОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ ЛИЧНОСТИ
  6. Виды методов и средств защиты информации: физические, психологические и организационные
  7. Методы и средства защиты информации
  8. 10.5. Методы и средства защиты
  9. Современные технологии защиты информации

Журнал «ПАРТНЕР»

ИНФОРМАЦИОННО-ПСИХОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ ЛИЧНОСТИ

Советы психолога

Проф. В. Левицкий (Магдебург)

ИНФОРМАЦИОННО-ПСИХОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ ЛИЧНОСТИ

По данным Всемирной организации здравоохранения, количество людей, нуждающихся в психологической или психиатрической помощи, сейчас растет быстрее, чем число страдающих сердечно-сосудистыми и онкологическими заболеваниями.

Во время психологических консультаций наших бывших соотечественников, обратившихся за помощью в связи с различными проявлениями душевного неблагополучия (неврозы, депрессии, страхи, фобии и пр.), выясняется, что их причиной часто является. информация.

Средства массовой информации — телевидение, радио, Интернет, многочисленные печатные издания — ежедневно обрушивают на нас лавину самой различной информации, интересной, познавательной и. негативной, внушающей порой страх за нашу жизнь и жизнь наших близких. Не каждый человек может с этим справиться.

Источники опасности. В современном мире на первом месте среди источников информации находится телевидение, которое обладает неограниченными возможностями информационного воздействия. Зрительный (визуальный) канал является ведущим каналом получения информации из внешнего мира, более 90% информации получаем мы с его помощью. Десятки европейских, в том числе и русскоязычных, телевизионных каналов и радиостанций в своих выпусках новостей в первую очередь извещают нас о новых человеческих трагедиях и гибели десятков, сотен, а то и тысяч людей, связанных с природными катаклизмами, терактами, техногенными катастрофами и авариями. В многочисленных сериалах и кинофильмах нам показывают ужасные сцены убийства, насилия и жестокости. Политические комментаторы постоянно делают мрачные прогнозы на будущее. Журналисты смакуют жуткие сенсационные подробности различных преступлений.

Никто не спорит, что появление компьютера – одно из важнейших достижений ХХ века. Современные компьютерные технологии позволяют знакомиться с мировыми культурными ценностями, пользоваться электронной почтой, получать разнообразные интересующие человека сведения. Компьютер стал в нашей жизни необходимым инструментом получения информации. Но надо научиться правильно пользоваться этим инструментом, чтобы он приносил благо, а не вред.

Возникла серьезная проблема влияния компьютеризации на психику человека, на его душевную организацию. Психологи отмечают серьезные изменения в познавательной и коммуникативной сферах личности человека, чья деятельность связана с использованием компьютера. Человек часто не в состоянии проверить достоверность получаемой информации, увлекаясь «знаковой информацией», он теряет т.н. «смысловую чувствительность», у него появляется безучастность к происходящему в мире. Психологи и психиатры всерьез обеспокоены появлением интернет-зависимости, уводящей личность в виртуальный мир, когда человек страдает маниакальным стремлением часами бродить по киберпространству, забывая о сне и еде. Особенно их волнует чрезмерное увлечение компьютерными играми — компьютерная игромания, увлечение общением через Интернет – чатомания, от которых нередко трудно избавиться.

Негативную информацию человек получает не только через телевидение или Интернет. На концертах беснующихся поп-звезд и на дискотеках на молодежную, как правило, публику обрушиваются сверхдопустимые для слухового восприятия децибелы, в которых зачастую, кроме ритма и грохота, нет вообще никакой информации.

Общаясь с другими людьми, человек получает также не всегда приятную для него информацию. По каналу ОБС — «одна баба сказала» часто распространяются различные сплетни и слухи, волнующие получателя информации. Наши встречи со знакомыми не всегда обходятся без рассказов о болезнях и других неприятностях, произошедших с их родными и знакомыми. Бесконечны потоки негативной информации, от которых многие не знают, как защититься.

Современные информационные технологии, широко используемые СМИ, оказывают на человека воздействие, имеющее цель изменить его потребности, взгляды, социальную ориентацию в интересах тех, кто оплачивает эти средства массовой информации, власть, политические силы, коммерческие структуры и пр. При таком информационном воздействии происходит деформация психики человека, затрагивающая не только сферу его сознания, но и область бессознательного. Личность постепенно теряет свою индивидуальность, происходит ее зомбирование, она становится легко управляемой. Изменяются критерии добра и зла. Жестокость и насилие становятся привычными атрибутами жизни. Исчезают такие присущие человеку качества, как сочувствие, сострадание, сопереживание, терпимость. В конечном счете, всё это приводит к тому, что возникает бездуховность, появляется стремление обеспечивать только свое биологическое существование, жить по принципу — «моя хата с краю», пассивность становится нормой жизни. Поэтому неслучайно перед человечеством встала острая проблема обеспечения его информационно-психологической безопасности.

Информационно-психологическая безопасность личности – это определенная защищенность сознания и бессознательной сферы психики от вредных информационных воздействий, способных против воли и желания человека изменять его психологические характеристики и поведение. Как и какими средствами ее можно обеспечить?

Люди подвержены информационному воздействию по-разному. Это зависит от возраста, индивидуально-психологических особенностей личности, жизненного опыта. Часто СМИ при информационно-психологическом воздействии на человека используют не метод убеждения личности, при котором происходит активное осмысливание получаемой информации и ее принятие или неприятие в зависимости от приводимых аргументов, а метод внушения, при котором информация воспринимается человеком пассивно, при этом она не осмысливается, не перерабатывается.

Существуют различные приемы и техники внушения, позволяющие нужной информации проникать в глубины психики (в область бессознательного), минуя защитные барьеры сознания (известный «эффект 25-го кадра», например). Внушению в большей или меньшей мере поддаются все люди, но если человеку присущи такие личностные качества как безответственность, робость, доверчивость, тревожность, мечтательность, суеверность, религиозность, склонность к подражанию, подверженность влиянию мнения группы, толпы и т.п., он становится более внушаемым. Кроме того, физическое напряжение, недосыпание, утомление, сильное эмоциональное возбуждение, ощущение невостребованности, ненужности, оторванности, скука усиливают вероятность внушения. Восприимчивость к внушению со стороны СМИ снижается по мере приобретения жизненного опыта и научных знаний.

Для обеспечения информационно-психологической безопасности личности можно рекомендовать различные способы психологической защиты. Они позволяют предотвратить или нейтрализовать негативное воздействие информации в различных ситуациях, например, масс-коммуникационных (получение информации через средства массовой коммуникации — СМК или СМИ), контакт-коммуникационных (получение информации во время массовых зрелищных мероприятий, на митингах, собраниях и пр.) и межличностных (получение информации при общении с людьми, во время бесед, встреч и пр.).

Способ защиты 1-й: «Уход» — увеличение дистанции, прерывание контакта, выход за пределы досягаемости информационного воздействия. Действия в различных информационных ситуациях могут быть такими:

  • отключение определенных каналов СМИ (раздражающего канала телевидения, выход из Интернета и пр.), отказ от просмотра (прослушивания) конкретных теле-радиопрограмм;
  • отказ от чтения некоторых газет, статей, рубрик и пр.;
  • уход, под различными предлогомами, с массовых зрелищных мероприятий: театра, концертного зала, кинотеатра и пр., митингов, собраний и др.;
  • смена неприятной темы беседы, стремление не обострять межличностные отношения во время беседы (обход «скользких тем», «острых углов» и пр.), уклонение от встреч с теми, кто является источником неприятных переживаний, прерывание под различными предлогами встреч, бесед.

В некоторых случаях защита может выразиться в более резких формах – «изгнании» или «игнорировании».

При использовании способа «изгнание» средство или источник негативного информационного воздействия изгоняется (или вытесняется) из информационной среды (отказ от пользования телевизором или компьютером, отказ посещать театральные постановки или концерты и пр.).

«Игнорирование»предполагает невосприятие информации, которая затрудняет или препятствует определенной деятельности человека, может спровоцировать конфликт, вызвать негативные эмоции.

Способ защиты 2-й: «Блокировка» — контроль информационного воздействия, выставление психологических барьеров, ограждение психики от внешнего негативного информационного воздействия.
Действия, выполняемые при «блокировке»:

  • критическое восприятие информации;
  • эмоциональное отчуждение (восприятие негативной информации «без эмоций»);
  • увеличение межличностного пространства – «зоны общения» во время беседы;
  • использование «психологических барьеров» (принижение источника информации, внутреннее осмеяние, развенчание авторитета, несерьезное восприятие информации, недоверие, настороженность, невнимательность, отвлечение и переключение внимания на другие объекты, не связанные с содержанием информационного воздействия и пр.).

Способ защиты 3-й: «Управление» — контроль процесса информационного воздействия, влияние на его характеристики и источник. Выполняемые действия:

  • использование обратной связи (участие в опросах рейтинга популярности определенных каналов или программ телевидения, популярности периодических изданий и пр.);
  • выражение в зрелищных мероприятиях своего отношения к происходящему (неодобрения, недовольства выступающими);
  • использование при беседе принципа «своих не обижают», для чего продемонстрировать желание стать другом, членом одной общности; ослабить или дестабилизировать активность собеседника неожиданным отвлечением (например, сделать комплимент, высказать сочувствие) и др.
Читайте также:  Способы лечения легких при коронавирусе

Способ защиты 4-й: «Затаивание» — контроль своей реакции на внешнее информационное воздействие. Выполняемые действия:

  • отсрочка своих реакций, поспешных выводов и оценок, задержка или отказ от действий и поступков, вызываемых информационным воздействием (например, при нахождении в толпе, чтобы не поддаться «эффекту толпы», психическому заражению и не совершить поступков, о которых потом можно будет сожалеть);
  • маскировка, сокрытие чувств, проявлений эмоций и др.

Умение человека в зависимости от ситуации воспользоваться тем или иным способом психологической защиты от негативного воздействия информации способствует формированию его информационной культуры, которая, в конечном счете, и обеспечит информационно-психологическую безопасность личности.

Источник

Виды методов и средств защиты информации: физические, психологические и организационные

Методы и средства защиты информации

Для защиты информации требуется не просто разработка частных механизмов защиты, а организация целого комплекса мер, т.е. использование специальных средств, методов и мероприятий с целью предотвращения потери информации.

При разработке компьютерных информационных систем возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих систем. Создание базовой системы защиты информации основывается на следующих принципах:

Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий, означающий оптимальное сочетание программных аппаратных средств и организационных мер защиты и подтвержденный практикой создания отечественных и зарубежных систем защиты.

Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т.е. предоставление пользователям минимума строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.

Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в системе без ее предварительной регистрации.

Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

«Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей.

Экономическая целесообразность использования системы защиты, выражающаяся в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае его разработки и эксплуатации без системы защиты информации.

Следует отметить, что какими бы совершенными не были программно-технические средства защиты информации от несанкционированного доступа, без надлежащей организационной поддержки и точного выполнения предусмотренных проектной документацией процедур проблему обеспечения безопасности информации в должной мере не решить.

Рассмотрим методы и средства обеспечения безопасности информации (рис. 19.1), составляющие основу механизмов защиты.

Рис. 19.1. Методы и средства обеспечения защиты информации

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом – метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

– идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

– аутентификация (опознание, установление подлинности) объекта или субъекта по предъявленному им идентификатору;

– проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

– разрешение и создание условий работы в пределах установленного регламента;

– регистрацию (протоколирование) обращений к защищаемым ресурсам;

– реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка – метод защиты информации путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение – такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – такой метод защиты, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких как технические, программные, организационные, законодательные и морально-этические.

Основные средства защиты делятся на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).

К формальным средствам относятся следующие:

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на физические и аппаратные.

Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.

Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).

Законодательные средства защиты определяются законодательными актами, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека.

10.5. Методы и средства защиты

Проблема создания системы защиты информации включает две взаимодополняющие задачи:

1) разработку системы защиты информации (ее синтез);

2) оценку разработанной системы защиты информации.

Вторая задача решается путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты информации комплексу требований к данным системам. Такая задача в настоящее время решается почти исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.

Рассмотрим основное содержание методов защиты информации, которые составляют основу механизмов защиты.

Препятствия методы физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

ü идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

ü опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

ü проверку полномочий (проверку соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

ü разрешение и создание условий работы в пределах установленного регламента;

ü регистрацию (протоколирование) обращений к защищаемым ресурсам;

ü регистрацию (сигнализацию, отключение, задержку работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка метод защиты информации путем ее криптографического закрытия. Этот метод широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.

Регламентация метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Читайте также:  Способы перекрывания электронных облаков при образовании химической связи

Принуждение метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – метод защиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические.

К основным средствам защиты, используемым для создания механизма обеспечения безопасности, относятся: технические, аппаратные, физические, программные, организационные, морально-этические, законодательные средства.

Технические средствареализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические.

Под аппаратными средствамипринято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.

К ним относится, например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки).

Физические средствареализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Так, различают системы охраны: наружные, ультразвуковые, прерывания луча, телевизионные, радиолокационные, контроля вскрытия аппаратуры и др.

Программные средствапредставляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации. В такую группу средств входят:

механизм шифрования (криптографии – специальный алгоритм, который запускается уникальным числом или битовой последовательностью, обычно называемым шифрующим ключом; затем по каналам связи передается зашифрованный текст, а получатель имеет свой ключ для дешифрования информации);

ü механизм цифровой подписи;

ü механизмы контроля доступа;

ü механизмы обеспечения целостности данных;

ü механизмы постановки графика;

ü механизмы управления маршрутизацией;

ü механизмы арбитража;

ü антивирусные программы;

ü программы архивации (например, zip, rar и др.);

ü механизм защиты при вводе и выводе информации т.д.

Организационные средствазащиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации.

Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительства помещений, проектирования компьютерной информационной системы банковской деятельности, монтажа и наладки оборудования, использования, эксплуатации).

Морально-этические средствазащиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе.

Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека.

Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

Законодательные средствазащиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные(определяются целенаправленной деятельностью человека или регламентируют эту деятельность).

В настоящее время наиболее острую проблему безопасности (даже в тех системах, где не требуется сохранять секретную информацию, в домашних компьютерах) составляют вирусы. Поэтому здесь остановимся на них подробнее.

Компьютерный вирус это специально написанная небольшая по размерам программа, которая может»приписывать» себя к другим программам (т.е.

«заражать» их), а также выполнять различные нежелательные действия на компьютере, например, портить файлы или таблицы размещения файлов на диске, «засорять» оперативную память и т.д..

Основным средством защиты от вирусов служит архивирование. Другие методы заменить его не могут, хотя и повышают общий уровень защиты. Архивирование необходимо делать ежедневно.

Архивирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов.

Это дает возможность не только экономить место на специальных архивных дисках, но и объединять группы совместно используемых файлов в один архивный файл, в результате чего гораздо легче разбираться в общем архиве файлов.

Наиболее уязвимыми считаются таблицы размещения файлов, главного каталога и бутсектор. Файлы рекомендуется периодически копировать на специальную дискету. Их резервирование важно не только для защиты от вирусов, но и для страховки на случай аварийных ситуаций или чьих-то действий, в том числе собственных ошибок.

В целях профилактики для защиты от вирусов рекомендуется:

ü работа с дискетами, защищенными от записи;

ü минимизация периодов доступности дискет для записи;

ü разделение дискет между конкретными ответственными пользователями;

ü разделение передаваемых и поступающих дискет;

ü разделение хранения вновь полученных программ и эксплуатировавшихся ранее;

ü проверка вновь полученного программного обеспечения на наличие в них вируса тестирующими программами;

ü хранение программ на жестком диске в архивированном виде.

Для того чтобы избежать появления компьютерных вирусов, необходимо соблюдать следующие меры:

ü не переписывать программное обеспечение с других компьютеров, если же это необходимо, то следует принять перечисленные выше меры;

ü не допускать к работе на компьютере посторонних лиц, особенно если они собираются работать со своими дискетами;

ü не пользоваться посторонними дискетами, особенно с компьютерными играми.

Можно выделить следующие типичные ошибки пользователя, приводящие к заражению вирусами:

1) отсутствие надлежащей системы архивации информации;

2) запуск полученной программы без ее предварительной проверки на зараженность и без установки максимального режима защиты винчестера с помощью систем разграничения доступа и запуска резидентного сторожа;

3) выполнение перезагрузки системы при наличии установленной в дисководе А дискеты (при этом BIOS делает попытку загрузиться именно с этой дискеты, а не с винчестера; в результате, если дискета заражена бутовым вирусом, происходит заражение винчестера);

4) прогон всевозможных антивирусных программ, без знания типов диагностики одних и тех же вирусов разными антивирусными программами;

5) анализ и восстановление программ на зараженной операционной системе.

Существуют программы-фильтры, проверяющие, имеется ли в файлах (на указанном пользователем диске) специальная для данного вируса комбинация байтов. Используется также специальная обработка файлов, дисков, каталогов – вакцинация: запуск программ вакцин, имитирующих сочетание условий, в которых начинает работать и проявляет себя данный тип вируса.

Современные технологии защиты информации

На втором месте по размерам ущерба (после непреднамеренных ошибок и упущений) стоят кражи и подлоги.

По данным газеты USA Today, еще в 1992 году в результате подобных противоправных действий с использованием персональных компьютеров американским организациям был нанесен общий ущерб в размере 882 миллионов долларов.

Можно предположить, что реальный ущерб был намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты; не вызывает сомнений, что в наши дни ущерб от такого рода действий вырос многократно.

В большинстве случаев виновниками оказывались штатные сотрудники организаций, хорошо знакомые с режимом работы и мерами защиты. Это еще раз подтверждает опасность внутренних угроз.

Ранее мы проводили различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может:

  • ввести неверные данные;
  • изменить данные.

Иногда изменяются содержательные данные, иногда — служебная информация. Заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль отправителя (мы приводили соответствующие примеры).

Отметим, что последнее возможно даже тогда, когда целостность контролируется криптографическими средствами.

Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность.

Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить «неотказуемость», компьютерные данные не могут рассматриваться в качестве доказательства.

Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов).

Читайте также:  Способы оценки качества модели

Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе или теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схемы.

Невозможно помнить много разных паролей; рекомендации по их регулярной (по возможности — частой) смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым (и столь же легко угадываемым) паролям.

Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных в среде, где им не обеспечена (и часто не может быть обеспечена) необходимая защита.

Помимо паролей, хранящихся в записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным их перехват.

Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т. п.), но идея одна — осуществить доступ к данным в тот момент, когда они наименее защищены.

Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех изменениях. Весьма опасной угрозой являются выставки, на которые многие организации отправляют оборудование из производственной сети со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде.

Еще один пример изменения: хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах, и получить доступ к ним могут многие.

Перехват данных — серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей.

Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например, на кабельную сеть, может кто угодно, так что эта угроза существует не только для внешних, но и для внутренних коммуникаций.

Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто теряют.

Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как маскарад — выполнение действий под видом лица, обладающего полномочиями для доступа к данным.

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями.

На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т. д. Другой пример — нанесение ущерба при сервисном обслуживании.

Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Существующие методы и средства защиты информации компьютерных систем (КС) можно подразделить на четыре основные группы:

  • методы и средства организационно-правовой защиты информации;
  • методы и средства инженерно-технической защиты информации;
  • криптографические методы и средства защиты информации;
  • программно-аппаратные методы и средства защиты информации.

К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации.

Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

На этом уровне защиты информации рассматриваются международные договоры, подзаконные акты государства, государственные стандарты и локальные нормативные акты конкретной организации.

Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивающие:

  • защиту территории и помещений КС от проникновения нарушителей;
  • защиту аппаратных средств КС и носителей информации от хищения;
  • предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств КС;
  • предотвращение возможности перехвата ПЭМИН (побочных электромагнитных излучений и наводок), вызванных работающими техническими средствами КС и линиями передачи данных;
  • организацию доступа в помещения КС сотрудников;
  • контроль над режимом работы персонала КС;
  • контроль над перемещением сотрудников КС в различных производственных зонах;
  • противопожарную защиту помещений КС;
  • минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий.

Важнейшей составной частью инженерно-технических средств защиты информации являются технические средства охраны, которые образуют первый рубеж защиты КС и являются необходимым, но недостаточным условием сохранения конфиденциальности и целостности информации в КС.

Шифрование является основным средством обеспечения конфиденциальности. Так, в случае обеспечения конфиденциальности данных на локальном компьютере применяют шифрование этих данных, а в случае сетевого взаимодействия — шифрованные каналы передачи данных.

Науку о защите информации с помощью шифрования называют криптографией (криптография в переводе означает загадочное письмо или тайнопись).

  • для защиты конфиденциальности информации, передаваемой по открытым каналам связи;
  • для аутентификации (подтверждении подлинности) передаваемой информации;
  • для защиты конфиденциальной информации при ее хранении на открытых носителях;
  • для обеспечения целостности информации (защите информации от внесения несанкционированных изменений) при ее передаче по открытым каналам связи или хранении на открытых носителях;
  • для обеспечения неоспоримости передаваемой по сети информации (предотвращения возможного отрицания факта отправки сообщения);
  • для защиты программного обеспечения и других информационных ресурсов от несанкционированного использования и копирования.

К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств КС.

К основным аппаратным средствам защиты информации относятся:

  • устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т. п.);
  • устройства для шифрования информации;
  • устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).

Примеры вспомогательных аппаратных средств защиты информации:

  • устройства уничтожения информации на магнитных носителях;
  • устройства сигнализации о попытках несанкционированных действий пользователей КС и др.

Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций. К основным программным средствам защиты информации относятся:

  • программы идентификации и аутентификации пользователей КС;
  • программы разграничения доступа пользователей к ресурсам КС;
  • программы шифрования информации;
  • программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.

Заметим, что под идентификацией, применительно к обеспечению информационной безопасности КС, понимают однозначное распознавание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта).

Примеры вспомогательных программных средств защиты информации:

  • программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т. п.);
  • программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;
  • программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);
  • программы тестового контроля защищенности КС и др.

Поскольку потенциальные угрозы безопасности информации весьма многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации, под которой понимается совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в КС.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.