Защита информации

ЗАЩИТА ИНФОРМАЦИИ.

Проблема обеспечения защиты информации является одной из важ-

нейших при построении надежной информационной структуры учреждения

на базе ЭВМ.Эта проблема охватывает как физическую защиту данных и

системных программ,так и защиту от несанкционированного доступа к

данным, передаваемым по линиям связи и находящимся на накопите-

лях, являющегося результатом деятельности как посторонних лиц,так и

специальных программ-вирусов.Таким образом, в понятие 1 защиты данных

включаются вопросы сохранения целостности данных и управления дос-

тупа к данным (санкционированность).

Чтобы наиболее эффективно использовать отработанные на практике

средства защиты данных, их включение необходимо предусматривать уже

на ранних стадиях проектирования учрежденческих систем.Следует под-

черкнуть, что организация учрежденческих локальных сетей имеет и

обратную сторону медали: все общепринятые процедуры физического ог-

раничения доступа к ЭВМ становятся неэффективными и центр проблем

перемещается в организацию контроля за коллективным использованием

данных.При этом для коллективного использования сохраняется и проб-

лема личной информации каждого пользователя сети.

Проблема сохранения целостности данных имеет и организационный

и технологический аспекты.Организационный аспект включает следующие

правила:

-носители информации должны храниться в местах, не доступных

для посторонних лиц;

-важная информация должна иметь несколько копий на разных носи-

телях;

-защита данных на жестком магнитном диске должна поддерживаться

периодическим копированием на гибкие магнитные носители.Частота ко-

пирования должна выбираться из соображений минимизации среднего

времени на копирование и времени на восстановление информации после

последнего копирования в случае возникновении дефектов в модифици-

рованной версии;

-данные, относящиеся к различным задачам, целесообразно хранить

отдельно;

-необходимо строго руководствоваться правилами обращения с маг-

нитными носителями.

Технологический аспект связан с различными видами ограничений,

которые поддерживаются структурой СУБД и должны быть доступны поль-

зователю.К ним относятся:

-ограничение обновления определенных атрибутов с целью сохране-

ния требуемых пропорций между их старыми и новыми значениями;

-ограничения, требующие сохранение значений поля показателя в

некотором диапазоне;

-ограничения, связанные с заданными функциональными зависимос-

тями.

Обычно в СУБД в язык манипулирования данными уже закладываются

необходимые компоненты реализации указанных ограничений.

Проблема обеспечения санкционированности использования данных

является неоднозначной, но в основном охватывает вопросы защиты

данных от нежелательной модификации или уничтожения, а также от не-

санкционорованного их чтения.Можно выделить три обобщенных механиз-

ма управления доступа к данным: идентификация пользователя, непос-

редственная (физическая) защита данных и поддержка прав доступа

пользователя к данным с возможностью их передачи.

Идентификация пользователей определяет шкалу доступа к различ-

ным базам данных или частям баз данных (отношениям или атрибутам).

Это, по существу, информационный табель о рангах.Физическая защита

данных больше относится к организационным мероприятиям, хотя от-

дельные вопросы могут касаться непосредственно данных, например, их

кодирование. И наконец, средства поддержки и передачи прав доступа

должны строго задавать характер дифференцированного общения с дан-

ными.

Особую специфику имеет защита в статистических базах данных,

предназначенных для получения агрегированной информации, например,

результатов социологического обследования территориального региона.

Основная проблема защиты в данном случае состоит в исключении дос-

тупа к информации, относящейся к конкретной записи.

2Метод защиты при помощи программных паролей.

Согласно этому методу, реализуемому программными средствами,

процедура общения пользователя с ПЭВМ построена так, что запрещает-

ся доступ к операционной системе ПЭВМ до тех пор, пока не будет

введен пароль.Пароль держится пользователем в тайне и периодически

меняется,чтобы предотвратить несанкционированное его использование.

Метод паролей является самым простым и дешевым, однако не обеспечи-

вает надежной защиты.Используя метод проб и ошибок, с помощью той

же ЭВМ становится возможным за небольшое время раскрыть действующий

пароль и получить доступ к данным. Более того, основная уязвимость

метода паролей заключается в том, что пользователи зачастую выбира-

ют очень простые и легкие для запоминания (и тем самым для разгады-

вания) пароли, которые не меняются длительное время, а нередко ос-

таются прежними и при смене пользователя. Несмотря на указанные не-

достатки, применение метода паролей во многих случаях следует счи-

тать рациональным даже при наличии других аппаратных и программных

методов защиты.

Обычно метод программных паролей сочетается с другими программ-

ными методами, определяющими ограничения по видам и объектам досту-

па. Логически подобную систему можно представить в виде матрицы уп-

равления доступом, которая определяет виды доступа, предусмотренные

для различных пользователей и данных. Как правило, эта матрица со-

держит лишь небольшое количество реальных элементов, так что общий

принцип защиты реализуется в виде списков управления доступом, свя-

занных с каждым защищенным блоком данных или отдельными данными.

Каждый такой список включает имена всех объектов данных и групп

пользователей, которым предоставляется право доступа к данному объ-

екту. Слежение за правильностью организации этого процесса должна

осуществлять операционная система. Список для управления обычно

включает также все виды разрешенных операций доступа: чтение, за-

пись или выполнение программы.

Операционная система для каждого зарегистрированного пользова-

теля хранит его краткие данные, включающие пароль пользователя (как

правило, зашифрованный), идентификатор группы пользователя и соот-

ветствующий набор прав пользователя по отношению к данным.Например,

операционная система Unix позволяет владельцу файлов предоставлять

права другим пользователям только читать или записывать (модифици-

ровать) для каждого из своих файлов. В случае, когда файлом являет-

ся программа, которую нужно выполнить, то операционная система Unix

предоставляет владельцу файла возможность определить пользователя,

которому разрешается выполнение данной программы.

Программные методы защиты данных на уровне операционной среды в

настоящее время получили аппаратную поддержку и на микропроцессор-

ном уровне.Примером подобных встроенных аппаратных средств на уров-

не кристалла являются все микропроцессоры фирмы Intel, следующие за

16-разрядным 80286 (включая его самого). Предусмотренные в нем воз-

можности распознавания и манипуляций с объектами, например с зада-

чами,а так же прямая аппаратная поддержка управления памятью позво-

ляет сформировать надежное ядро защиты данных. Микропроцессор 80286

реализует защиту на различных уровнях.Отдельное пространство вирту-

альных адресов, выделяемое к каждой задаче, позволяет получить дос-

туп только к тем сегментам, которые находятся в пределах предусмот-

ренной области обращений. Даже в пределах своего собственного ад-

ресного пространства задача не должна отступать от жесткого разде-

ления сегментов по видам доступа для чтения и записи, установленно-

го центральным процессором.

Предусматриваются также конкретные проверки разрешенности при

каждом обращении к сегменту памяти. В отличие от младших моделей

микропроцессорного ряда фирмы Intel микропроцессор 20286 имеет че-

тыре уровня защиты, что позволяет в зависимости от конкретных тре-

бований обеспечивать защиту системных и прикладных программ с раз-

личной степенью детализации.

2Метод автоматического обратного вызова.

Может обеспечивать