Исследовать существующие методы защиты информации
Объект исследования - защита информации.
Предмет исследования - методы защиты информации.
Методы исследования - теоретический анализ литературных источников и Интернет-ресурсов; выделение и синтез главных компонентов.
Методы и средства защиты информации рассмотрены в работах российских и зарубежных авторов. Среди них следует отметить труды таких авторов, как В.А. Хорошко, А.А. Чекатков, М. Кобб, М. Джост, И.Ш. Килясханов, Ю.М. Саранчук. В литературе выделяют различные способы защиты информации. Среди них можно выделить: физические (препятствие); законодательные; управление доступом; криптографическое закрытие. Перечисленные методы будут рассмотрены в данном реферате.
Глава 1. Физические методы защиты информации
Физические средства защиты - разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников. К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа-выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий [6].
Эти средства применяются для решения следующих задач:
. Охрана территории предприятия и наблюдение за ней.
. Охрана зданий, внутренних помещений и контроль за ними.
. Охрана оборудования, продукции, финансов и информации.
. Осуществление контролируемого доступа в здания и помещения.
Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов - это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения и от других преступных действий. Средства пожаротушения относятся к системам ликвидации угроз.
Выводы: Физические методы защиты информации направлены на создания препятствия доступа злоумышленника к защищаемой информации (аппаратуре, носителям информации, сейфам и т.д.)
Глава 2. Законодательные методы защиты информации
Законодательные средства - нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности [4, 10с.].
В Российской Федерации вопросы защиты информации регулируются следующими документами:
.Конституция Российской Федерации.
.Законы Российской Федерации (Об авторском праве и смежных правах, О правовой защите программ для ЭВМ и баз данных, О защите персональных данных, Об информации, информационных технологиях и о защите информации, Об электронной цифровой подписи, О безопасности).
.Гражданский кодекс Российской Федерации.
.Уголовный кодекс Российской Федерации.
Статья 4 Федерального закона «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27 июля 2006 г. устанавливает, что законодательство Российской Федерации об информации, информационных технологиях и о защите информации основывается на Конституции Российской Федерации, международных договорах Российской Федерации и состоит из настоящего Федерального закона и других, регулирующих отношения по использованию информации федеральных законов. Основные направления правовой регламентации информационных отношений - конституционное и гражданско-правовое.
Федеральный закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27 июля 2006 года регулирует отношения при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий, а также при обеспечении защиты информации, за исключением отношений в области охраны результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.
В контексте рассматриваемого вопроса нельзя обойти молчанием и Федеральный закон «О коммерческой тайне» № 98-ФЗ, принятый 29 июля 2004 года и приведенный в соответствие с частью четвертой ГК РФ в ред. закона от 24 июля 2007 г.
Федеральные законы «О коммерческой тайне» в редакции № 98-ФЗ от 24. 07. 2007 г., «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27. 07. 2006 г. - ввели и новые понятия, и изменили содержание некоторых прежних понятий, относящихся к данному вопросу.
Иные федеральные законы в том или ином аспекте также могут регулировать деятельность, касающуюся информации, информационных технологий и защиты информации. Так, глава 13 Кодекса РФ об административных правонарушениях № 195-ФЗ от 30 декабря 2001 г. (в ред. от 26 июля 2006 г.) устанавливает ответственность за административные правонарушения в области связи и информации. В соответствии с Федеральным законом РФ от 27 декабря 1991 г. № 2124 «О средствах массовой информации» (в ред. от 27 июля 2006 г.), поиск, получение, производство и распространение массовой информации, учреждение ее средств, владение, пользование и распоряжение ими, изготовление, приобретение, хранение и эксплуатация технических устройств и оборудования, сырья и материалов, предназначенных для производства и распространения продукции средств массовой информации, не подлежат ограничениям, за исключением предусмотренных соответствующим законодательством РФ.
В Гражданском кодексе Российской Федерации в 4 разделе «Права на результаты интеллектуальной деятельности и средства индивидуализации» перечислены результаты интеллектуальной деятельности, на которые распространяются интеллектуальные права и права собственности. Вводится форма заявления правообладателя о принятии мер по ограничению доступа к информационным ресурсам, распространяющим с нарушением исключительных прав фильмы или информацию, необходимую для их получения с использованием информационно-телекоммуникационных сетей.
Уголовным кодексом Российской Федерации предусмотрено наказания за преступления в сфере компьютерной информации: Статья 272. Неправомерный доступ к компьютерной информации; Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ; Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Выводы: В основополагающих документах Российской Федерации (Конституция РФ, Гражданский кодекс РФ, Уголовный кодекс РФ) должное внимание уделено вопросам информационных прав и свобод и защите информации. Также принят ряд законов, регулирующих процессы хранения, обработки, передачи и защиты информации.
Глава 3. Управление доступом
С традиционной точки зрения средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами(информацией и другими компьютерными ресурсами).
Мы описываем логическое управление доступом, которое, в отличие от физического, реализуется программными средствами. Основой программных средств служат такие инструменты, как идентификация и аутентификация. Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности". Самый простой пример аутентификации - вход пользователя в систему.
Доступ к информации может осуществляться двумя способами - произвольное управление доступом, принудительное управление доступом [3, 55с.].
В первом случае владелец информации сам вправе решать, кому из субъектов (пользователям, программам) разрешать доступ к объектам (информации). Строится так называемая матрица доступа, в которой для каждого объекта поддерживается список "допущенных" субъектов вместе с их правами. Большинство современных операционных систем и систем управления базами данных поддерживают произвольное управление доступом. Достоинства такого вида управления доступом - гибкость, простота реализации. Выделим и ряд недостатков - рассредоточенность управления (определять права на доступ к той или иной информации могут не только системные администраторы, но и сами пользователи, которые из-за неопытности могут распространить секретную информацию); права доступа существуют отдельно отданных (пользователь, имеющий доступ к секретной информации, может целенаправленно записать ее в «обычный» файл).
Принудительное управление доступом основано на сравнении меток субъектов и объектов информации. В данном случае применяются следующие правила:
.Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта.
.Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может писать в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий).
Принудительное управление доступом является основой реализации разграничительной политики доступа к ресурсам при защите информации ограниченного доступа. Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности. В частности, такие варианты существуют для SunOS и СУБД Ingres.
Выводы: для программной реализации защиты информации применяются такие механизмы, как идентификация, аутентификация, произвольное и принудительное управление доступом. Лучший результат даст комплексный подход к программной защите информации - грамотное администрирование информационной системы, многоуровневая аутентификация пользователей, сочетание произвольного и принудительного управления доступом.
Глава 4. Криптографические методы защиты информации
Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.
Некоторые сведения о свойствах шифров и их применении можно найти и в художественной литературе, особенно в приключенческой, детективной и военной (Например, «Золотой жук» Э. Пои «Пляшущие человечки» А. Конан Дойла).
Современная криптография включает в себя четыре крупных раздела:
1.Симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ.
2.Криптосистемы с открытым ключом. В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения
.Электронная подпись. Системой электронной подписи называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.
.Управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.
Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.
Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании.
Выводы: Криптографические методы защиты информации известны с древних времен и являются самыми надежными, так как защищается сама информация, а не доступ к ней. На сегодняшний день возможны два варианта реализации криптографического закрытия информации - программная и аппаратная.
Заключение
Защита информации - задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.
Средства зашиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ.
В реферате проведен анализ основных методов защиты информации - физическая защита, законодательная защита, управление доступом (программная защита), криптографическое закрытие информации. Каждый метод имеет свои достоинства и недостатки.
В процессе работы над рефератом были изучены нормативные и правовые документы Российской Федерации; учебные пособия по вопросам защиты информации; Интернет-ресурсы, освещающие вопросы информационной безопасности. В ходе исследования был собран и систематизирован материал, касающийся методов защиты информации представлен их анализ, на основе которого можно сделать вывод о том, что только комплексная система может стать настоящим гарантом защиты информации.
Таким образом, можно сделать вывод о достижении цели и решении задач, поставленных во введении.
защита информация безопасность криптографический
Список литературы
1.Конституция Российской Федерации [Текст]: офиц. текст. - Москва: Юристъ, 2005. - 63 с.
2.В.А. Хорошко, А.А. Чекатков. Методы и средства защиты информации. К.: Юниор, 2003г. - 504с.
3.Кобб М., Джост М. Безопасность IIS, ИНТУИТ,2006 г. - 678 с.
.В.В. Ященко: Введение в Криптографию, М: МЦНМО, 2005г. - 288с.
.Уголовный кодекс РФ от 13 июня 1996 г. № 63-ФЗ // Собрание законодательства Российской Федерации - 17 июня 1996 г. - № 25 - Ст. 2954.
.Федеральный закон от 29 июля 2004г. N98-ФЗ "О коммерческой тайне" (с изменениями от 2 февраля, 18 декабря 2006 г., 24 июля 2007 г.)
.Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
.Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных
.Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 № 231-ФЗ ФЗ (ред. от 23.07.2013) // Собрание Законодательства Российской Федерации. - 25.12.2006. - N 52.