Методы защиты информации от ошибок пользователя

В современном мире информация играет огромную роль и является одним из главных активов любой организации или частного лица. Однако, как и любые другие активы, информация может быть подвержена ошибкам и угрозам безопасности. Профессионалы в сфере информационной безопасности знают, что защита информации от ошибок является неотъемлемой частью ее безопасности.

Существует множество методов защиты информации от ошибок, которые могут быть применены как на уровне отдельных компьютерных систем, так и на уровне организации в целом. Одним из основных методов является резервное копирование данных. Разработка и поддержка системы, которая регулярно создает резервные копии всех важных данных, позволяет минимизировать потерю информации при возникновении ошибок или сбоев в работе системы.

Другим важным методом защиты информации от ошибок является установка и постоянное обновление антивирусного программного обеспечения. Антивирусная программа позволяет обнаруживать и блокировать вирусы и вредоносные программы, которые могут повредить или украсть информацию с компьютера.

Кроме того, необходимо обеспечить защиту информации от ошибок на физическом уровне, например, путем установки систем видеонаблюдения и контроля доступа. Это позволит контролировать доступ к помещениям с серверами и другими важными устройствами, а также уменьшит риск физических повреждений оборудования.

Резервное копирование данных: лучший способ предотвратить потерю информации

Резервное копирование данных – важное действие, которое помогает предотвратить потерю информации в случае аварийных ситуаций, ошибок или хакерских атак. Независимо от того, являетесь ли вы физическим лицом, владельцем малого бизнеса или крупной компании, создание и регулярное обновление резервных копий является неотъемлемой частью защиты ваших данных.

Как выбрать метод резервного копирования данных, который подходит именно вам? Все зависит от объема информации, типа данных, бюджетных ограничений и ваших потребностей в доступности информации. Рассмотрим несколько основных методов и их преимущества.

1. Локальное резервное копирование

Локальное резервное копирование – метод, при котором данные сохраняются на локальных носителях (например, жестких дисках, съемных дисках или сетевых накопителях), находящихся на территории организации или у пользователя.

Преимущества локального резервного копирования:

• Высокая скорость восстановления данных;
• Полный контроль над данными;
• Низкая стоимость первоначальной настройки.

Недостатком локального резервного копирования является риск потери данных, связанный с неправильным обращением с носителями или аварийными ситуациями на месте хранения информации.

2. Облачное резервное копирование

Облачное резервное копирование – метод, при котором данные сохраняются на удаленных серверах, доступных через интернет.

Преимущества облачного резервного копирования:

• Безопасность и надежность хранения данных;
• Удаленный доступ к данным из любой точки мира;
• Автоматическое резервное копирование без необходимости вручную производить процесс.

Недостаток облачного резервного копирования – это зависимость от скорости интернет-соединения и стоимость подписки на облачную службу.

3. Гибридное резервное копирование

Гибридное резервное копирование – сочетает в себе локальное и облачное резервное копирование для обеспечения более надежной защиты данных.

Преимущества гибридного резервного копирования:

• Надежность сохранения данных при возникновении проблем с одним из методов;
• Высокая производительность резервного копирования и восстановления данных;
• Гибкость в выборе конкретных данных для сохранения напрямую на устройство или в облако.

Недостаток гибридного резервного копирования – это более высокие затраты на двойное хранение данных.

В зависимости от ваших потребностей и возможностей, выберите подходящий метод резервного копирования данных. Помните о важности регулярного обновления резервных копий и проверки их работоспособности, чтобы быть уверенным в защите ваших ценных данных.

Обновление программного обеспечения: защита от уязвимостей и ошибок

Обновление программного обеспечения является важным шагом в обеспечении безопасности и защиты информации от уязвимостей и ошибок. Регулярное обновление программного обеспечения позволяет исправлять обнаруженные ошибки, устранять уязвимости и улучшать работу приложений.

Почему обновление программного обеспечения важно?

Необходимо понимать, что ни одно программное обеспечение не является идеальным и всегда могут быть найдены уязвимости. Программисты и разработчики постоянно работают над улучшением и обновлением программы, чтобы устранить эти уязвимости и ошибки. Когда вы обновляете программное обеспечение, вы получаете доступ к исправлениям, которые улучшают безопасность и производительность приложений.

Защита от уязвимостей

Обновление программного обеспечения позволяет устранить известные уязвимости, которые могут быть использованы злоумышленниками для получения несанкционированного доступа к вашей информации. Киберпреступники постоянно ищут новые способы атаки, и обновление программного обеспечения позволяет вам оставаться впереди их игры.

Исправление ошибок

В процессе эксплуатации программного обеспечения могут возникать различные ошибки, которые могут привести к сбоям или неправильной работе программы. Обновление программного обеспечения позволяет исправить эти ошибки и обеспечить более стабильное и надежное функционирование приложений.

Рекомендации по обновлению программного обеспечения

• Автоматическое обновление: настройте автоматическое обновление программного обеспечения, чтобы быть уверенными, что ваше приложение всегда обновляется современными и безопасными версиями.
• Стабильность версии: прежде чем обновлять программное обеспечение, убедитесь, что новая версия стабильна и исправляет известные проблемы.
• Проверка подлинности: скачивайте только официальные обновления программного обеспечения с официальных сайтов разработчиков. Обратите внимание на подписи и сертификаты, чтобы убедиться в подлинности скачиваемого файла.
• Обновление всех компонентов: не забывайте обновлять не только само приложение, но и все его компоненты и библиотеки. Уязвимости могут быть найдены не только в основном приложении, но и в его зависимостях.
• Регулярное обновление: не забывайте регулярно проверять наличие обновлений и применять их сразу после их выпуска.

Обновление программного обеспечения является важной составляющей защиты информации от уязвимостей и ошибок. Следуя рекомендациям по обновлению программного обеспечения, вы можете обеспечить безопасность вашей информации и работу ваших приложений на более высоком уровне.

Использование сильных паролей: основа безопасности данных

Использование сильных паролей является одной из основных мер по обеспечению безопасности в сети. Пароли, которые легко угадать или подобрать, могут привести к несанкционированному доступу к вашей информации и серьезным последствиям.

Вот несколько рекомендаций, которые помогут вам создать и использовать сильные пароли:

• Длина пароля: Используйте пароль длиной не менее 8 символов. Чем длиннее пароль, тем сложнее его взломать.
• Использование разных символов: Включите в пароль как заглавные, так и строчные буквы, цифры и специальные символы. Чем больше разнообразия, тем сложнее его угадать.
• Избегайте очевидности: Избегайте использования очень распространенных паролей, таких как «password» или «123456». Такие пароли легко угадать.
• Не используйте личную информацию: Не используйте в пароле свои личные данные, такие как имя, дата рождения или номер телефона. Эта информация может быть легко получена и использована для взлома пароля.

Важно помнить, что использование сильных паролей только первый шаг к обеспечению безопасности данных. Регулярное изменение паролей, использование двухфакторной аутентификации и другие меры также очень важны для защиты вашей информации.

В таблице ниже приведены примеры сильных паролей:

Пример	Описание
Th5k!YPz	Пароль, состоящий из букв верхнего и нижнего регистра, цифр и специальных символов. Общая длина — 9 символов.
$ecuR1tyP@$$	Длинный пароль, содержащий буквы разных регистров, цифры и специальные символы.

Выбор сильного пароля и его правильное использование являются важными шагами в обеспечении безопасности данных. Помните, что безопасность должна быть вашим приоритетом в онлайн-мире.

Установка антивирусного программного обеспечения: защита от вредоносных программ

Антивирусное программное обеспечение (АПО) является одним из важнейших инструментов для защиты вашей информации от вредоносных программ. Установка антивирусного ПО обеспечивает непрерывную проверку файлов и активных процессов на наличие вирусов и других вредоносных программ, а также блокирует попытки их внедрения в систему.

Вот несколько советов для установки антивирусного ПО и обеспечения эффективной защиты от вредоносных программ:

1. Выберите надежное антивирусное ПО. Обратите внимание на репутацию и отзывы о различных программных продуктах. Лучше всего выбирать проверенные и доверенные компании-разработчики.
2. Загрузите установочный файл антивирусного ПО. Обычно он предоставляется на официальном веб-сайте разработчика. Убедитесь, что загружаете последнюю версию программного обеспечения.
3. Запустите установку антивирусного ПО. Следуйте инструкциям на экране и принимайте обязательные действия.
4. Во время установки обязательно обновите базу вирусных определений. База определений содержит информацию о новых угрозах, которые может обнаружить антивирус. Регулярное обновление базы является ключевым фактором для эффективной защиты.
5. После установки выполните полную проверку системы. Антивирусное ПО должно просканировать все файлы и активные процессы, чтобы обнаружить и удалить вредоносные программы. Данную операцию рекомендуется проводить регулярно.

Установка антивирусного программного обеспечения и его регулярное обновление являются основой для эффективной защиты от вредоносных программ. Это поможет снизить риск заражения вашей системы и украденных данных, а также предотвратить негативные последствия от вредоносных атак.

Не забывайте также о других методах защиты информации, таких как использование сильных паролей, регулярное резервное копирование данных и активация брандмауэра.

Ограничение доступа к информации: принципы максимальной защиты

Один из важных аспектов в обеспечении безопасности информации — это ограничение доступа к ней. Правильное определение прав доступа позволяет убедиться в том, что каждый пользователь имеет доступ только к той информации, которая ему действительно необходима. Следование принципам ограничения доступа помогает обеспечить максимальную защиту информации от несанкционированного доступа и утечки.

Вот некоторые из основных принципов ограничения доступа к информации:

1. Нужные права доступа. Каждому пользователю должны быть назначены права, соответствующие его роли и обязанностям. Например, разработчики должны иметь доступ к исходному коду программ, но обычные пользователи — нет.
2. Принцип наименьшего доступа. Пользователь должен иметь доступ только к необходимой ему информации и ресурсам. Избегайте назначения излишних прав, так как это может увеличить риск случайного или злонамеренного доступа к конфиденциальным данным.
3. Физический доступ. Контролируйте физический доступ к информации. Установка систем видеонаблюдения, ограничение присутствия посторонних лиц в помещениях с серверами и применение пластиковых карт для доступа к офису или серверной комнате помогут предотвратить несанкционированный физический доступ к информации.
4. Сегментация сети. Отдельные сегменты сети могут быть настроены с применением разного уровня доступа, что позволит разграничить доступ к информации в зависимости от роли и прав пользователя.

Дополнительно можно использовать следующие методы:

• Аутентификация и авторизация. Используйте надежные методы аутентификации, такие как пароли, двухфакторная аутентификация или биометрические данные. Авторизация позволяет контролировать доступ к конкретным ресурсам.
• Шифрование. Шифруйте конфиденциальную информацию, чтобы она не могла быть прочитана злоумышленниками в случае несанкционированного доступа.
• Логирование и мониторинг. Ведение журналов событий и мониторинг доступа позволяют выявить потенциальные угрозы и аномальное поведение, а также отследить несанкционированный доступ к информации.
• Обучение сотрудников. Проводите регулярные тренинги и обучение по вопросам безопасности информации, чтобы сотрудники понимали важность защиты и следовали правилам безопасности.

Вывод:

Ограничение доступа к информации — это неотъемлемая часть обеспечения безопасности данных и защиты от угроз. Следование приведенным принципам позволит минимизировать риски несанкционированного доступа и утечки данных.

Обучение сотрудников: основы безопасности информации

Обучение сотрудников основам безопасности информации является важным шагом в защите организации от угроз и ошибок. Правильное обучение помогает сотрудникам понять основные принципы безопасности и научиться применять их в своей работе. Вот несколько советов по организации обучения:

• Создайте программу обучения: разработайте план, который включает все необходимые темы и понятные материалы. Разделите обучение на части и проведите его поэтапно.
• Включите основные темы: обучение должно охватывать основные аспекты безопасности информации, включая защиту паролей, обход фишинговых атак, аккуратное обращение с конфиденциальной информацией.
• Делайте обучение интерактивным: использование практических заданий и сценариев помогает сотрудникам лучше понять принципы безопасности и научиться применять их в реальной ситуации.

Также, помимо основных тем, обязательно ознакомьте сотрудников с текущими угрозами информационной безопасности, а также с политиками и процедурами безопасности, действующими в организации.

Регулярное обновление программы обучения и проведение тренировочных сессий помогут поддерживать знания сотрудников в актуальном состоянии и помогут минимизировать риски.

Обучение сотрудников основам безопасности информации – это ключевой компонент успешной стратегии защиты информации в организации. Имейте в виду, что безопасность информации – задача всей команды!

Скачать материал

Скачать материал

Рабочие листы

к вашим урокам

Скачать

Описание презентации по отдельным слайдам:

• 

  1 слайд

  ЗАЩИТА ДАННЫХ ОТ ОШИБОК ВВОДА

• 

  2 слайд

  ЗАЩИТА ДАННЫХ ОТ ОШИБОК ВВОДА

  Число ошибок, которые нельзя обнаружить, бесконечно, в противовес
  числу ошибок, которые можно обнаружить, — оно конечно по определению.
  (А. Блох. Закон Мэрфи)
  Ошибки ввода данных, как мины замедленного действия, опасны срабатыванием в самое неподходящее время с непредсказуемыми последствиями. В приложениях MS Office предусмотрены различные средства защиты от таких ошибок. В частности, весьма развиты профилактические средства автоматизации ввода, которые помимо стандартизации и ускорения ввода данных в той или иной мере способствуют обнаружению и предотвращению ошибок ввода. Это технологии шаблонов (включая использование списковых полей и флажков), сканирование и копирование однотипных данных, использование автозамены, автоформата, автотекста и масок ввода, подсказки (тексты по умолчанию, справки, сноски, примечания). Одни средства напоминают пользователю о допустимых форматах ввода данных, другие контролируют эти форматы (типы)22, третьи, не доверяя ручной ввод пользователю, заставляют его выбирать данные из заранее созданных списков или сами вводят данные с бумажных и машинных носителей и т.д. Существует также группа средств, основное назначение которых – выполнение непосредственных защитных функций, связанных с обнаружением и предотвращением ошибок ввода данных.

• 

  3 слайд

  Обнаружение ошибок ввода
  Условное форматирование в Excel
  Смысл условного форматирования в том, что на форму представления вводимых данных налагаются одно или больше условий, соответствующих правильным и/или ошибочным данным. В зависимости от выполнения этих условий формат данных (шрифт, цвет и др.) и, соответственно, их вид на экране монитора меняются. В результате пользователь может сразу после ввода или потом – при проверке данных – легко обнаружить ошибки. Условное форматирование реализовано в Excel и Access. В Excel условное форматирование начинается с выделения проверяемых ячеек ввода данных (переменная часть шаблона) и вызова команды
  Формат/Условное форматирование.

• 

  4 слайд

  Условное форматирование в Excel
  В появившемся окне (рис. 1) с помощью диалоговых средств, входящих в блок «Условие 1», вписываются
  значения или формулы, регламентирующие
  допустимые значения данных
  Это, кстати, делают и стандартные форматы ячеек в Excel, типы полей данных в Access, типы текста в текстовых полях шаблонов Word.
  В выделенном блоке ячеек, и с помощью кнопки Формат устанавливается формат отображения данных ячеек при выполнении регламентирующего
  условия (рис. 1а). С помощью кнопки А также >> (рис. 1) можно сформировать «Условие 2» по той же технологии, что и «Условие 1», и, наконец, «Условие 3» – не более трех условий форматирования (рис. 1б).
  Рис. 1. Первичное окно условного форматирования в Excel
  1а) формирование

• 

  5 слайд

  Условное форматирование в Excel
  1б) формирование трех условий
  1в) условное форматирование после ввода правильных и ошибочных данных
  Подготовка и реализация условного форматирования в Excel
  Кнопка А также>> после третьего условия неактивна.

• 

  6 слайд

  Условное форматирование в Access
  В Access условное форматирование полей производится при активизации формы (войти в форматируемое поле и выполнить команду Формат/Условное форматирование в статическом меню – рис. 46а) или в режиме конструктора формы (выделить форматируемое поле и выполнить команду Условное форматирование в динамическом меню). В отличие от Excel, в Access предусмотрены 1 – 3 условных формата при выполнении условий и один формат – при невыполнении условий. Кнопка Добавить (рис. 2) – аналог кнопки А также >> (см. рис. 1).

  2а) условное форматирование поля формы

• 

  7 слайд

  Условное форматирование в Access
  2б) вид формы при вводе правильных
  2в) вид таблицыи ошибочных значений с ошибочными значениями

  При вводе данных в форму срабатывают условные форматы для правильных и ошибочных значений (рис. 2б), что должно привлекать внимание пользователя (по замыслу условного форматирования). Если пользователь не реагирует на ошибки ввода из-за невнимательности или незнания, Access без дополнительных мер не спасает таблицу от ошибочных данных (рис. 2в).
  Но в Excel и Access есть более радикальные средства для защиты от ошибок ввода. Эти средства регламентируют допустимые значения вводимых данных, сообщают об ошибках ввода и не позволяют сохранять ошибочные данные.

• 

  8 слайд

  Обнаружение и предотвращение ошибок ввода
  Текущий контроль данных в Excel включается по команде Данные/Проверка. Действие команды распространяется на выделенный блок ячеек (минимальный блок – одна ячейка, максимальный – вся таблица, реальный – поля (столбцы) базы данных). Поэтому прежде чем устанавливать параметры проверки, надо определиться с проверяемыми полями базы данных, имея при этом в виду, что могут быть поля как с одинаковыми, так и разными параметрами проверки. Затем надо выделить одно или несколько полей с одинаковыми параметрами и вызвать диалоговое окно проверки(рис. 3а).

  3а) вход в проверку, выбор типа данных

• 

  9 слайд

  Обнаружение и предотвращение ошибок ввода
  Вкладка Параметры позволяет установить тип контролируемых данных (рис. 3а) и условие проверки на значение, по списку или формуле (тип Другой) (рис. 3б, 3а). Здесь же принимается решение игнорировать пустые ячейки или считать их ошибочными, если пользователь активизировал (выделил) ячейку и не ввел в нее значение. Если решено игнорировать, соответствующий флажок следует установить, иначе – снять. На рис. 3а, 3б флажок снят – следовательно, пустые ячейки не игнорируются и считаются ошибочными (с соответствующей системной диагностикой).

  3б) установка условия на значения

• 

  10 слайд

  Обнаружение и предотвращение ошибок ввода

  Вкладки Сообщение для ввода и Сообщение об ошибке позволяют установить подсказку ввода (рис. 3в) и сообщение об ошибке (рис. 3г).Если выбран режим «Останов» (рис. 3г) при вводе данных возле каждой ячейки выделенного блока появляется подсказка, а возникновение ошибок вызывает соответствующую диагностику (рис. 4). Кнопка Отмена стирает ошибочное значение в ячейке, а кнопка Повторить позволяет возобновить ввод в ячейку. Таким образом, в ячейку можно ввести только допустимое значение (рис. 4а, 4б).

  3в) установка подсказки ввода
  3г) установка сообщения об ошибке

• 

  11 слайд

  Обнаружение и предотвращение ошибок ввода
  В режимах Предупреждение и Сообщение ошибки не устраняются, а только обнаруживаются соответственно с сообщениями или предупреждениями, как в условном форматировании или справке. В режиме Предупреждение в диалоговом окне появляется вопрос Продолжить? Нажатие на кнопку Да позволяет оставить ошибочное значение в ячейке, а нажатие на кнопки Нет или Отмена стирает ошибочное значение, переводя курсор в другую ячейку или оставляя его в текущей (рис. 4в). В режиме Сообщение появляется только окно с сообщением об ошибке. Нажатие кнопки Да переводит курсор в другую ячейку, нажатие кнопки Отмена оставляет курсор в текущей ячейке. Но ошибочное значение все равно может остаться в ячейке (рис. 4г).

  4а) невыполнение условия на значение
  4б) ячейка не содержит значения

• 

  12 слайд

  Обнаружение и предотвращение ошибок ввода
  4в) предупреждение о вводе ошибочного значения
  4г) сообщение о вводе ошибочного значения

• 

  13 слайд

  Обнаружение и предотвращение ошибок ввода
  Текущий контроль данных в Access производится установкой Условия на значение в одноименном свойстве поля, защищаемого от ошибок ввода.В режиме конструктора таблицы формулируется выражение, регламентирующее допустимые значения данного поля (рис. 5а). Это выражение можно ввести вручную или, если оно слишком сложное, то с помощью Построителя выражений, который включается кнопкой рядом со свойством. Ниже в свойстве Сообщение об ошибке пользователь может ввести свою текстовую реакцию на ошибку ввода. После сохранения структуры таблицы при вводе ошибочных данных появляется пользовательское сообщение об ошибке (рис. 5б). При отсутствии пользовательского сообщения Access выдает системное сообщение (рис. 5в). Попытка сохранить запись с ошибочными данными категорически пресекается (рис. 5г).

  5а) свойства Условие на значение и Сообщение об ошибке
  5б) пользовательское сообщение об ошибке

• 

  14 слайд

  Обнаружение и предотвращение ошибок ввода
  5в) системное сообщение об ошибке
  5г) системный отказ от сохранения ошибочной записи

• 

  15 слайд

  Обнаружение и предотвращение ошибок ввода
  Рис. 6. Защита от ошибочной потери значения в обязательном поле (Access)

• 

  16 слайд

  Спасибо за внимание!

Найдите материал к любому уроку, указав свой предмет (категорию), класс, учебник и тему:

6 363 348 материалов в базе

• Выберите категорию:

• Выберите учебник и тему

• Выберите класс:

• Тип материала:

  • Все материалы

  • Статьи

  • Научные работы

  • Видеоуроки

  • Презентации

  • Конспекты

  • Тесты

  • Рабочие программы

  • Другие методич. материалы

Найти материалы

Вам будут интересны эти курсы:

• Курс повышения квалификации «Основы управления проектами в условиях реализации ФГОС»

• Курс профессиональной переподготовки «Экскурсоведение: основы организации экскурсионной деятельности»

• Курс повышения квалификации «Экономика и право: налоги и налогообложение»

• Курс повышения квалификации «Организация практики студентов в соответствии с требованиями ФГОС педагогических направлений подготовки»

• Курс повышения квалификации «Организация практики студентов в соответствии с требованиями ФГОС юридических направлений подготовки»

• Курс профессиональной переподготовки «Логистика: теория и методика преподавания в образовательной организации»

• Курс повышения квалификации «Маркетинг в организации как средство привлечения новых клиентов»

• Курс повышения квалификации «Источники финансов»

• Курс профессиональной переподготовки «Организация технической поддержки клиентов при установке и эксплуатации информационно-коммуникационных систем»

• Курс повышения квалификации «Мировая экономика и международные экономические отношения»

• Курс профессиональной переподготовки «Управление информационной средой на основе инноваций»

• Курс профессиональной переподготовки «Политология: взаимодействие с органами государственной власти и управления, негосударственными и международными организациями»

• Курс профессиональной переподготовки «Техническая диагностика и контроль технического состояния автотранспортных средств»

• Курс повышения квалификации «Международные валютно-кредитные отношения»

• Настоящий материал опубликован пользователем Калинина Наталья Константиновна. Инфоурок является
  информационным посредником и предоставляет пользователям возможность размещать на сайте
  методические материалы. Всю ответственность за опубликованные материалы, содержащиеся в них
  сведения, а также за соблюдение авторских прав несут пользователи, загрузившие материал на сайт

  Если Вы считаете, что материал нарушает авторские права либо по каким-то другим причинам должен быть удален с
  сайта, Вы можете оставить жалобу на материал.

  Удалить материал

• 

  • На сайте: 2 года и 8 месяцев
  • Подписчики: 0
  • Всего просмотров: 72690
  • Всего материалов:

    236

Введение

На протяжении всего своего существования человечество получало новые знания об окружающем мире. Именно новые данные, полученные в процессе познания или обучения, называется информацией.

Вопреки распространенному мнению обычные факты сами по себе не о чем не говорят – они приобретают значение в сравнении с другими фактами. Если некие сведения не несут для нас смысловой нагрузки или же они не новы для нас, то такой факт останется для нас всего лишь фактом.

Ежедневно мы узнаем тонны новой информации, нужной и не очень. Большую ее часть мы, естественно, узнаем из Интерната. Данные и сведения о неких объектах, находящиеся в свободном доступе, принадлежит всем без исключения. Кроме того, в Интернете люди часто передают друг другу огромное количество личной информации. Поэтому наше общество часто называют «информационным», ведь человечество в буквальном смысле стало зависеть от той информации, которой оно владеет.

В современном мире информация представляет собой определенную для человека ценность. Как и любую другую ценность, информацию стоит защищать от ее неправомерного искажения или несанкционированного доступа к ней. Многие пользователи остались бы недовольными, если бы информация личного характера, которой они обмениваются в различных социальных сетях, находилась в общем пользовании. Поэтому, защита данных от несанкционированного доступа является одной из приоритетных задач при проектировании любой информационной системы.

Но как правильно защитить информацию? И существует ли абсолютная защита информации? Именно на эти вопросы я постараюсь дать ответ в своей работе.

1 Защита информации

1.1 Основные понятия защиты информации

Согласно ГОСТ Р 50922-96, под защитой информации понимается деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Также рассмотрим основные понятия защиты информации с учетом определений, указанных в вышесказанном государственном стандарте. Цель защиты информации – это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации или несанкционированного и непреднамеренного воздействия на информацию. Защита информации от утечки – деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками. Защита информации от несанкционированного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. Защита информации от непреднамеренного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. Защита информации от разглашения – деятельность, направленная на предотвращение несанкционированного доведения защищаемой информации до потребителей, не имеющих права доступа к этой информации. Объект защиты – информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. Техника защиты информации – средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации. 1.2 Цели и задачи защиты информации Защита информации является слабоформализуемой задачей, то есть не имеющая формальных методов решения. В основе решения такого рода задач стоит системный подход. То есть для решения задачи обеспечения информационной безопасности необходимо построить систему защиты информации. Эта система представляет собой совокупность органов или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. Входами любой системы являются воздействия, меняющие состояние системы. В нашем случае, входами являются угрозы информационной безопасности, создающие потенциальную или реальную опасность для защищенной информации. Источниками таких угроз являются попытки проникновения злоумышленников к таким данным, а также ошибки персонала, выход из строя аппаратных и программных средств и стихийные бедствия. Выходами системы является ее реакция на различные значения входов. Выходами данной системы как раз и являются меры для защиты информации. В общем случае защита информации представляет собой противостояние специалистов по информационной безопасности и злоумышленников, которые незаконным путем добыть, изменить или уничтожить информацию законных пользователей. Таким образом, главной целью защиты информации является обеспечение информационной безопасности. Более детально цели и задачи защиты информации перечислены в Федеральном законе «Об информации, информатизации и о защите информации»:

предотвращение утечки, хищения, утраты, искажения и подделки информации;

предотвращение угроз безопасности личности, общества, государства;

предотвращение несанкционированных действий по уничтожению, модификацию, искажению, копированию, блокирования информации, а также предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Но, как говорилось ранее, основная цель защиты информации, прежде всего, обеспечение информационной безопасности. Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности, которые в свою очередь являются источниками угроз безопасности информации. Информационная безопасность является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки, обусловленной возрастающей ролью информации в общественной жизни. Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Информационная безопасность – это защита не только информации, но и поддерживающей инфраструктуры. Если рассматривать только информацию, то безопасность информации – это состояние защищенности информации, при котором обеспечиваются ее конфиденциальность, доступность и целостность. Именно эти три качества представляют собой наиболее важные свойства информации и являются равнозначными составляющими ее безопасности (Рис.1). Рис. 1 – Базовые составляющие информационной безопасности. Конфиденциальность информации – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена. Конфиденциальность является самым проработанным у нас в стране аспектом информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем в России связана с серьезными трудностями. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишены возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные и технические проблемы. Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт или анкетные данные сотрудников. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе. Доступность информации – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время. Информационные системы создаются для оперативного получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, то это, очевидно, наносит ущерб всем пользователям. Роль доступности информации особенно проявляется в разного рода системах управления – производством, транспортом и т.п. Менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей, например, продажа железнодорожных и авиабилетов, банковские услуги, доступ в информационную сеть Интернет. Доступность информации является настолько важным свойством, что даже главный принцип современной защиты информации звучит как поиск оптимального соотношения между доступностью и безопасностью. Целостность информации – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений. Целостность информации условно подразделяется на статическую и динамическую. Статическаяцелостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации. Динамическая целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др. Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например техническими или социальными. Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно также неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности. Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации.

2 Абсолютная защита информации

Несмотря на обилие данных про защиту информации в книжных изданиях и в Интернете, точного определения абсолютной защиты информации нигде нет. Поэтому, попробуем дать значение этому термину самостоятельно. Итак, абсолютная защита информации – это совокупность мер по защите информации, который обеспечивает ей стопроцентную безопасность в любой период времени. При этом информация не должна утратить свои ключевые свойства, то есть быть доступной, целостной и конфиденциальной.

В современных условиях технического прогресса обеспечить абсолютную защиту информации почти невозможно, задается лишь определенный уровень информационной безопасности, который отображает допустимый риск ее хищения, уничтожения или изменения.

Полностью защищенной является та информация, которая находится на компьютере, которой отключен от всех сетей, даже от электрической, находящийся в полностью бронированном сейфе, который в свою очередь находятся в комнате, охраняемой не только с помощью охранников, но и разного рода сигнализации. Действительно, такая информация имеет стопроцентный уровень защиты. Но использовать ее нельзя, поэтому не выполняется требование доступности. А как уже было сказано ранее, нарушение хотя бы одного свойства информации приведем к нарушению системы в целом.

«Абсолютности» защиты мешает не только необходимость пользоваться защищаемыми данными, но и усложнение защищаемых систем. Использование постоянных, не развивающихся механизмов защиты опасно, ведь с развитием техники трудно определить, какое новое устройство сможет запросто обойти вашу защиту.

Многие компании, стремясь повысить уровень своего дохода, заявляют о создании «абсолютно защищенных» систем. Но все эти компании делают это только ради пиара, чтобы привлечь к себе внимание. На самом же деле, таких систем на данный момент времени не существует.

Немного порассуждаем о тех параметрах, от которых зависит вероятность взлома той или иной сети. Всего же этих параметров три:

надежность средств, защищающих сеть;

качество настройки и конфигурации системы защиты;

быстрота реагирования на атаки злоумышленников.

Можно заметить, что так или иначе каждый параметр зависит от человеческого фактора. Но если в двух последних критериях этот фактор можно свести к минимуму или даже к нулю, то первый параметр всегда будет оставаться уязвимым. Связано это с тем, что, людям, создающим эти довольно сложные системы, свойственно ошибаться и эти ошибки могут стоить очень дорого. Поэтому надежность даже суперзащищенной системы быть сведена «на нет» некачественной или неграмотной настройкой, то есть любая система требует квалифицированного персонала, не только знающего, но и умеющего грамотно настраивать средства защиты. Ведь если на вашей входной двери стоит суперсовременный замок, но вы его забыли закрыть, то о какой безопасности вообще может идти речь?

Поэтому, создание абсолютных систем защиты информации возможно только в том случае, если устранить из процесса ее создания человеческий фактор, являющийся главной причиной всех ошибок. Очевидно, что на современном этапе развития науки и информационных технологий это невозможно.

3 Относительная защита информации

3.1 Методы защиты информации

Как уже говорилось ранее, абсолютная защита информации почти не реализуема. Поэтому на всех предприятиях обычно приходится довольствоваться относительной защитой информации – гарантированно защищают ее на тот период времени, пока несанкционированный доступ к ней влечет какие-либо последствия. То есть, секретная информация должна быть недоступна до того момента, когда она станет либо очевидной и понятной, либо уже никому не нужной.

Но как защитить информацию хотя бы на такой короткий период времени? Конечно, в современной мировой обстановке существует огромное количество способов для предотвращения утечки информации или ее потери. Но в основном используются только шесть основных технологий защиты данных:

препятствие;

маскировка;

регламентация;

управление;

принуждение;

побуждение.

Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию (к аппаратуре, носителям информации и т.д.). Препятствия являются одними из самых простых и относительно надежных средств защиты информации. Так, на любом большом предприятии вся аппаратура, на которой содержится определенное количество секретной информации, находиться в строго охраняемом помещении. Причем такие помещения могут охраняться как и людьми (охранниками), так и специальными защищающими системами, для прохождения которых необходимо знать специальный код или пароль.

Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Говоря о маскировке информации, нельзя сказать про такую древнюю науку, как криптография. Формально криптография (или тайнопись) определяется как наука, обеспечивающая секретность сообщения. Для расшифровки такого сообщения требуется знание принципа. Еще с древних времен люди научились шифровать информацию так, чтобы никто не мог догадаться о ее смысле. Данный способ защиты информации активно используется во время военных конфликтов. Например, во время второй мировой войны корабли ВМФ США осуществляли связь на языке малочисленного и компактно проживающего индейского племени. На каждом корабле было несколько индейцев-«шифровальщиков», у противника не было практически никаких шансов раздобыть себе такого «криптографа». Однако у этого способа защиты есть и свои минусы. За всеми посвященными в такой язык уследить трудно, и рано или поздно такой язык станет понятным тем, от кого пытаются скрыть разговор. В этом случае возникнет необходимость его заменить другим, а разработать достаточно мощный язык и обучить ему нужное количество людей весьма затруднительно и накладно, а сделать это оперативно — невозможно.

Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы. Управление доступом включает такие функции защиты, как:

идентификация пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

проверка полномочий;

разрешение и создание условий работы в пределах установленного регламента;

регистрация обращений к защищаемым ресурсам;

регистрация при попытках несанкционированных действий.

Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Таким образом, риск доступа к секретной информации компании извне сводится к нулю. Однако работники таких компаний должны обладать высоким уровнем информационной культуры во избежание случайного рассекречивания защищенных данных.

Должностные лица компании, допущенные к работе с защищенной информацией, обязаны:

надежно предохранять имеющуюся у них информацию от хищений, утраты и несанкционированного доступа к ней;

учитывать, хранить, обрабатывать и передавать информацию в строгом соответствии с порядком, установленным в компании;

при обнаружении недостачи документов или электронных носителей, содержащих защищенную информацию, незамедлительно поставить в известность своего руководителя и предпринять срочные меры по их розыску.

Побуждение – метод защиты информации, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных). Например, ни одна компания с мировым именем не будет опускаться до того, чтобы неправомерно раздобыть необходимую информацию о компании-конкуренте.

Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз.

3.2 Средства защиты информационных систем

Методы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

физические;

программные и аппаратные;

организационные;

законодательные;

психологические (морально-эстетические).

Физические средства защиты информации предотвращают доступ посторонних лиц в запретную зону. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна.

Эти средства используются в том случае, когда человеку необходимо преодолеть какое-либо препятствие в виде охранников (если речь идет об охраняемых территориях) или специальных систем. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства — программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений.

Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем. Физические и аппаратные средства защиты в совокупности являются техническими средствами защиты информации.

Техническая защита информации – это защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением программных, технических и программно-технических средств.

Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

Рис.2 – Связь между способами и средствами защиты информации

Психологические или морально-эстетические средства защиты – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

Организационные, законодательные и морально-эстетические средства защиты можно отнести к неформальным средствам защиты информационных систем. Между определенными способами защиты информации и средствам защиты информационных систем существует некая связь. Одно средство защиты может быть сопряжено с одним или сразу с несколькими методами защиты информации (Рис. 2).

Заключение

В нынешнее время информация имеет очень важное значение для мировой общественности, ведь мы находимся в условиях так называемой «информационной войны». Поэтому информацию нужно уметь правильно и грамотно защищать, то есть ограничить к ней доступ

Основная цель защиты информации – это обеспечение информационной безопасности, которая оценивает уровень защищенности данных от незаконного доступа к ним.

Наиболее важными свойствами информации являются конфиденциальность, доступность и целостность, причем нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом.

Абсолютной защиты информации не существует. Это свидетельствует о том, что в любой системе защиты велика вероятность человеческой ошибки, которые никак нельзя устранить в процессе создания системы.

Поэтому информацию можно защитить только на тот период времени, пока несанкционированный доступ к ней влечет какие-либо последствия. Для этого применяется специальные методы защиты информации, каждому из которых соответствует один или несколько способов защиты информационных систем.

Существует устойчивое выражение: «Тот, кто владеет информацией, владеет миром». Однако мне хочется его немного подправить: «Тот, кто владеет информацией и грамотно защищает ее, владеет миром».

Список используемых источников

1. Башлы П. Н., Баранова Е. К., Бабаш А. В. Информационная безопасность: учебно-практическое пособие. – М., Евразийский открытый институт, 2011. – 375с.;

2. Воробьев Г. Г. Твоя информационная культура. – М., Молодая гвардия, 1988. – 303с.;

3. Скрипник Д. А. Общие вопросы технической защиты информации. – М., Национальный Открытый Университет «ИНТУИТ», 2016. – 425с.;

4. [Электронный ресурс] Столяров Н. В. Понятие, сущность, значение и цели защиты информации – Сайт: http://sec4all.net – Дата посещения: 27.11.17;

5. [Электронный ресурс] Классификация методов защиты информации – Сайт: http://camafon.ru – Дата посещения: 28.11.17

Скачать материал

Скачать материал

Описание презентации по отдельным слайдам:

• 

  1 слайд

  ЗАЩИТА ДАННЫХ ОТ ОШИБОК ВВОДА

• 

  2 слайд

  ЗАЩИТА ДАННЫХ ОТ ОШИБОК ВВОДА

  Число ошибок, которые нельзя обнаружить, бесконечно, в противовес
  числу ошибок, которые можно обнаружить, — оно конечно по определению.
  (А. Блох. Закон Мэрфи)
  Ошибки ввода данных, как мины замедленного действия, опасны срабатыванием в самое неподходящее время с непредсказуемыми последствиями. В приложениях MS Office предусмотрены различные средства защиты от таких ошибок. В частности, весьма развиты профилактические средства автоматизации ввода, которые помимо стандартизации и ускорения ввода данных в той или иной мере способствуют обнаружению и предотвращению ошибок ввода. Это технологии шаблонов (включая использование списковых полей и флажков), сканирование и копирование однотипных данных, использование автозамены, автоформата, автотекста и масок ввода, подсказки (тексты по умолчанию, справки, сноски, примечания). Одни средства напоминают пользователю о допустимых форматах ввода данных, другие контролируют эти форматы (типы)22, третьи, не доверяя ручной ввод пользователю, заставляют его выбирать данные из заранее созданных списков или сами вводят данные с бумажных и машинных носителей и т.д. Существует также группа средств, основное назначение которых – выполнение непосредственных защитных функций, связанных с обнаружением и предотвращением ошибок ввода данных.

• 

  3 слайд

  Обнаружение ошибок ввода
  Условное форматирование в Excel
  Смысл условного форматирования в том, что на форму представления вводимых данных налагаются одно или больше условий, соответствующих правильным и/или ошибочным данным. В зависимости от выполнения этих условий формат данных (шрифт, цвет и др.) и, соответственно, их вид на экране монитора меняются. В результате пользователь может сразу после ввода или потом – при проверке данных – легко обнаружить ошибки. Условное форматирование реализовано в Excel и Access. В Excel условное форматирование начинается с выделения проверяемых ячеек ввода данных (переменная часть шаблона) и вызова команды
  Формат/Условное форматирование.

• 

  4 слайд

  Условное форматирование в Excel
  В появившемся окне (рис. 1) с помощью диалоговых средств, входящих в блок «Условие 1», вписываются
  значения или формулы, регламентирующие
  допустимые значения данных
  Это, кстати, делают и стандартные форматы ячеек в Excel, типы полей данных в Access, типы текста в текстовых полях шаблонов Word.
  В выделенном блоке ячеек, и с помощью кнопки Формат устанавливается формат отображения данных ячеек при выполнении регламентирующего
  условия (рис. 1а). С помощью кнопки А также >> (рис. 1) можно сформировать «Условие 2» по той же технологии, что и «Условие 1», и, наконец, «Условие 3» – не более трех условий форматирования (рис. 1б).
  Рис. 1. Первичное окно условного форматирования в Excel
  1а) формирование

• 

  5 слайд

  Условное форматирование в Excel
  1б) формирование трех условий
  1в) условное форматирование после ввода правильных и ошибочных данных
  Подготовка и реализация условного форматирования в Excel
  Кнопка А также>> после третьего условия неактивна.

• 

  6 слайд

  Условное форматирование в Access
  В Access условное форматирование полей производится при активизации формы (войти в форматируемое поле и выполнить команду Формат/Условное форматирование в статическом меню – рис. 46а) или в режиме конструктора формы (выделить форматируемое поле и выполнить команду Условное форматирование в динамическом меню). В отличие от Excel, в Access предусмотрены 1 – 3 условных формата при выполнении условий и один формат – при невыполнении условий. Кнопка Добавить (рис. 2) – аналог кнопки А также >> (см. рис. 1).

  2а) условное форматирование поля формы

• 

  7 слайд

  Условное форматирование в Access
  2б) вид формы при вводе правильных
  2в) вид таблицыи ошибочных значений с ошибочными значениями

  При вводе данных в форму срабатывают условные форматы для правильных и ошибочных значений (рис. 2б), что должно привлекать внимание пользователя (по замыслу условного форматирования). Если пользователь не реагирует на ошибки ввода из-за невнимательности или незнания, Access без дополнительных мер не спасает таблицу от ошибочных данных (рис. 2в).
  Но в Excel и Access есть более радикальные средства для защиты от ошибок ввода. Эти средства регламентируют допустимые значения вводимых данных, сообщают об ошибках ввода и не позволяют сохранять ошибочные данные.

• 

  8 слайд

  Обнаружение и предотвращение ошибок ввода
  Текущий контроль данных в Excel включается по команде Данные/Проверка. Действие команды распространяется на выделенный блок ячеек (минимальный блок – одна ячейка, максимальный – вся таблица, реальный – поля (столбцы) базы данных). Поэтому прежде чем устанавливать параметры проверки, надо определиться с проверяемыми полями базы данных, имея при этом в виду, что могут быть поля как с одинаковыми, так и разными параметрами проверки. Затем надо выделить одно или несколько полей с одинаковыми параметрами и вызвать диалоговое окно проверки(рис. 3а).

  3а) вход в проверку, выбор типа данных

• 

  9 слайд

  Обнаружение и предотвращение ошибок ввода
  Вкладка Параметры позволяет установить тип контролируемых данных (рис. 3а) и условие проверки на значение, по списку или формуле (тип Другой) (рис. 3б, 3а). Здесь же принимается решение игнорировать пустые ячейки или считать их ошибочными, если пользователь активизировал (выделил) ячейку и не ввел в нее значение. Если решено игнорировать, соответствующий флажок следует установить, иначе – снять. На рис. 3а, 3б флажок снят – следовательно, пустые ячейки не игнорируются и считаются ошибочными (с соответствующей системной диагностикой).

  3б) установка условия на значения

• 

  10 слайд

  Обнаружение и предотвращение ошибок ввода

  Вкладки Сообщение для ввода и Сообщение об ошибке позволяют установить подсказку ввода (рис. 3в) и сообщение об ошибке (рис. 3г).Если выбран режим «Останов» (рис. 3г) при вводе данных возле каждой ячейки выделенного блока появляется подсказка, а возникновение ошибок вызывает соответствующую диагностику (рис. 4). Кнопка Отмена стирает ошибочное значение в ячейке, а кнопка Повторить позволяет возобновить ввод в ячейку. Таким образом, в ячейку можно ввести только допустимое значение (рис. 4а, 4б).

  3в) установка подсказки ввода
  3г) установка сообщения об ошибке

• 

  11 слайд

  Обнаружение и предотвращение ошибок ввода
  В режимах Предупреждение и Сообщение ошибки не устраняются, а только обнаруживаются соответственно с сообщениями или предупреждениями, как в условном форматировании или справке. В режиме Предупреждение в диалоговом окне появляется вопрос Продолжить? Нажатие на кнопку Да позволяет оставить ошибочное значение в ячейке, а нажатие на кнопки Нет или Отмена стирает ошибочное значение, переводя курсор в другую ячейку или оставляя его в текущей (рис. 4в). В режиме Сообщение появляется только окно с сообщением об ошибке. Нажатие кнопки Да переводит курсор в другую ячейку, нажатие кнопки Отмена оставляет курсор в текущей ячейке. Но ошибочное значение все равно может остаться в ячейке (рис. 4г).

  4а) невыполнение условия на значение
  4б) ячейка не содержит значения

• 

  12 слайд

  Обнаружение и предотвращение ошибок ввода
  4в) предупреждение о вводе ошибочного значения
  4г) сообщение о вводе ошибочного значения

• 

  13 слайд

  Обнаружение и предотвращение ошибок ввода
  Текущий контроль данных в Access производится установкой Условия на значение в одноименном свойстве поля, защищаемого от ошибок ввода.В режиме конструктора таблицы формулируется выражение, регламентирующее допустимые значения данного поля (рис. 5а). Это выражение можно ввести вручную или, если оно слишком сложное, то с помощью Построителя выражений, который включается кнопкой рядом со свойством. Ниже в свойстве Сообщение об ошибке пользователь может ввести свою текстовую реакцию на ошибку ввода. После сохранения структуры таблицы при вводе ошибочных данных появляется пользовательское сообщение об ошибке (рис. 5б). При отсутствии пользовательского сообщения Access выдает системное сообщение (рис. 5в). Попытка сохранить запись с ошибочными данными категорически пресекается (рис. 5г).

  5а) свойства Условие на значение и Сообщение об ошибке
  5б) пользовательское сообщение об ошибке

• 

  14 слайд

  Обнаружение и предотвращение ошибок ввода
  5в) системное сообщение об ошибке
  5г) системный отказ от сохранения ошибочной записи

• 

  15 слайд

  Обнаружение и предотвращение ошибок ввода
  Рис. 6. Защита от ошибочной потери значения в обязательном поле (Access)

• 

  16 слайд

  Спасибо за внимание!

Найдите материал к любому уроку, указав свой предмет (категорию), класс, учебник и тему:

6 276 092 материала в базе

• Выберите категорию:
• Выберите учебник и тему

• Выберите класс:
• Тип материала:

  • Все материалы

  • Статьи

  • Научные работы

  • Видеоуроки

  • Презентации

  • Конспекты

  • Тесты

  • Рабочие программы

  • Другие методич. материалы

Найти материалы

Вам будут интересны эти курсы:

• Курс повышения квалификации «Основы управления проектами в условиях реализации ФГОС»

• Курс профессиональной переподготовки «Экскурсоведение: основы организации экскурсионной деятельности»

• Курс повышения квалификации «Экономика и право: налоги и налогообложение»

• Курс повышения квалификации «Организация практики студентов в соответствии с требованиями ФГОС педагогических направлений подготовки»

• Курс повышения квалификации «Организация практики студентов в соответствии с требованиями ФГОС юридических направлений подготовки»

• Курс профессиональной переподготовки «Логистика: теория и методика преподавания в образовательной организации»

• Курс повышения квалификации «Маркетинг в организации как средство привлечения новых клиентов»

• Курс повышения квалификации «Источники финансов»

• Курс профессиональной переподготовки «Организация технической поддержки клиентов при установке и эксплуатации информационно-коммуникационных систем»

• Курс повышения квалификации «Мировая экономика и международные экономические отношения»

• Курс профессиональной переподготовки «Управление информационной средой на основе инноваций»

• Курс профессиональной переподготовки «Политология: взаимодействие с органами государственной власти и управления, негосударственными и международными организациями»

• Курс профессиональной переподготовки «Техническая диагностика и контроль технического состояния автотранспортных средств»

• Курс повышения квалификации «Международные валютно-кредитные отношения»

1. Лекция 1.2. Методы защиты компьютерной информации
   1. Компьютерная система и защита информации

Безопасность автоматизированной системы [1] — это состояние АС, определяющее защищенность обрабатываемой информации и ресурсов от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность АС выполнять предписанные функции без нанесения неприемлемого ущерба объектам и субъектам информационных отношений. Пространство угроз весьма велико и разнообразно [2]. Столь же представительно и разнообразно должно быть противодействие угрозам КИ. Защита информации [3] — деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию — предполагает комплексный и системный подход. Согласно [4], система защиты информации автоматизированной компьютерной системы — совокупность технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации. Если это определение дополнить организационными действиями, учесть требования (комплексности, системности и др.), то защиту информации можно определить, как комплекс взаимосвязанных мер правового, административного, технического, технологического и специального характера, а также соответствующих им мероприятий, сил, средств и методов, предназначенных для решения задач защиты компьютерной информации. Задачи защиты КИ, требования к системе защиты объективны (порождены практическим опытом эксплуатации АС) и во многом близки и для больших распределенных вычислительных систем и для одиночных ПК, работающих в многопользовательском режиме.

Определить типичные задачи и сформулировать требования к системе защиты информации можно на примере анализа потребностей по обеспечению информационной безопасности некоторой вымышленной организации, ведущей проектирование инженерной документации, составляющей государственную тайну. С таким же успехом можно анализировать потребности коммерческой организации, исследующей товарный рынок и генерирующей прогнозы его развития.

Внедряемая система защиты информации должна обеспечивать надежную, т. е. бесперебойную, устойчивую и правильную работу АС, оперативный доступ сотрудников к информации в соответствии с предоставленными им полномочиями, возможность восстановления информации в случае ее случайной утраты или уничтожения вследствие возникновения аварийных ситуаций и многое другое. В целом система мер по защите информации должна воплощать в жизнь разработанную на предприятии с участием соответствующих специалистов и утвержденную его руководителем политику информационной безопасности (ПБ). Политика безопасности организации [1] — совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которыми руководствуется организация в своей деятельности. ПБ представляет собой документ, который должен быть доступен всем сотрудникам, и, в первую очередь, отвечающим за обеспечение режима информационной безопасности на предприятии. Этот документ определяет основные цели политики информационной безопасности и область ее применения, а также ее значение как механизма, позволяющего сотрудникам предприятия коллективно использовать информацию. В документе рядовые пользователи и ответственные за безопасность сотрудники должны найти разъяснение мер, принципов, стандартов и конкретных вариантов реализации политики безопасности, требований к ее соблюдению, общих и конкретных обязанностей по обеспечению режима информационной безопасности, включая выполнение правовых и договорных актов.

С тех пор как на рынке услуг безопасности появились специализированные предприятия, берущие на себя организацию защиты информации, возникла необходимость в стандартизации подходов к формированию ПБ. Политика разрабатывается в соответствии с имеющейся нормативной базой, многие ее разделы являются законодательно необходимыми, а положения могут быть формализованы без потери качества документа. На момент написания пособия «свежими» нормативными документами можно считать: ГОСТ 15408–02 «Критерии оценки безопасности информационных технологий» и построенные на его основе руководящие документы Гостехкомиссии (ныне ФСТЭК) России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»; международный стандарт ISO/IEC 17799 «Информационные технологии. Свод правил по управлению защитой информации». Разработка ПБ — дело творческое, но и в таком деле отказываться от опыта специалистов не разумно. Дельные советы по разработке политики безопасности можно найти, например, в [28]. Там же описаны специализированные программные комплексы, осуществляющие формализованный анализ ПБ на полноту и соответствие требованиям нормативных актов.

Большое внимание политика безопасности обычно уделяет специальным мероприятиям, обеспечивающим защиту информации от несанкционированного доступа (НСД) злоумышленника к конфиденциальным данным. Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа. Типичные требования к системе защиты от НСД можно найти в руководящих документах [5, 6], где приводятся классификация средств вычислительной техники (СВТ) и автоматизированных систем (АС) по уровню защищенности от НСД и перечень показателей защищенности. Несмотря на солидный возраст документов (оба разработаны еще в 1992 году), они, дополняя друг друга, содержат исчерпывающий перечень требований по защите компьютерных систем от НСД. В [5], например, для защиты от НСД автоматизированных систем основные защитные меры группируют в четыре подсистемы:

• управления доступом,

• регистрации и учета,

• криптографической,

• обеспечения целостности.

Для различного класса автоматизированных систем документ регламентирует выполнение требований, приведенных в табл. 1.1.

Таблица 1.1

Требования по защите информации от НСД для АС

Подсистемы и требования	Классы АС
3Б	3А	2Б	2А	1Д	1Г	1В	1Б	1А
1. Подсистема управления доступом
1.1. Идентификация. Проверка подлинности и контроль доступа объектов:
в систему	+	+	+	+	+	+	+	+	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ				+		+	+	+	+
к программам				+		+	+	+	+
к томам, каталогам, файлам, записям, полям записей				+		+	+	+	+
1.2. Управление потоками информации				+			+	+	+
2. Подсистема регистрации и учета
2.1. Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети)	+	+	+	+	+	+	+	+	+
выдачи печатных (графических) выходных документов		+		+		+	+	+	+
запуска/завершения программ и процессов (заданий, задач)				+		+	+	+	+
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи				+		+	+	+	+
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, каталогам, файлам, записям, полям записей				+		+	+	+	+
изменения полномочий субъектов доступа							+	+	+
создаваемых защищаемых объектов доступа				+			+	+	+
2.2. Учет носителей информации	+	+	+	+	+	+	+	+	+
2.3.Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних носителей		+		+		+	+	+	+
2.4. Сигнализация попыток нарушения							+	+	+

Окончание табл. 1.1

Подсистемы и требования	Классы АС
3Б	3А	2Б	2А	1Д	1Г	1В	1Б	1А
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации				+				+	+
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группа субъектов) на различных ключах									+
3.3. Использование аттестованных (сертифицированных) криптографических средств				+				+	+
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации	+	+	+	+	+	+	+	+	+
4.2. Физическая охрана вычислительной техники и носителей информации	+	+	+	+	+	+	+	+	+
4.3. Наличие администратора (службы) защиты информации в АС				+			+	+	+
4.4. Периодическое тестирование СЗИ НСД	+	+	+	+	+	+	+	+	+
4.5. Наличие средств восстановления СЗИ НСД	+	+	+	+	+	+	+	+	+
4.6. Использование сертифицированных средств защиты		+		+			+	+	+

Руководящий документ [6] для различных классов СВТ устанавливает требования к показателям защищенности, приведенным в табл. 1.2.

Таблица 1.2

Требования к показателям защищенности СВТ от НСД

Наименование показателя	Класс защищенности
6	5	4	3	2	1
Дискреционный принцип контроля доступа	+	+	+	=	+	=
Мандатный принцип контроля доступа	–	–	+	=	=	=
Очистка памяти	–	+	+	+	=	=
Изоляция модулей	–	–	+	=	+	=
Маркировка документов	–	–	+	=	=	=
Защита ввода и вывода на отчуждаемый физический носитель информации	–	–	+	=	=	=
Сопоставление пользователя с устройством	–	–	+	=	=	=
Идентификация и аутентификация	+	=	+	=	=	=
Гарантии проектирования	–	+	+	+	+	+

Окончание табл. 1.2

Наименование показателя	Класс защищенности
6	5	4	3	2	1
Регистрация	–	+	+	+	=	=
Взаимодействие пользователя с комплексом средств защиты (КСЗ)	–	–	–	+	=	=
Надежное восстановление	–	–	–	+	=	=
Целостность КСЗ	–	+	+	+	=	=
Контроль модификации	–	–	–	–	+	=
Контроль дистрибуции	–	–	–	–	+	=
Гарантии архитектуры	–	–	–	–	–	+
Тестирование	+	+	+	+	+	+
Руководство для пользователя	+	=	=	=	=	=
Руководство по КСЗ	+	+	=	+	+	=
Тестовая документация	+	+	+	+	+	=
Конструкторская (проектная) документация	+	+	+	+	+	+

« – » — нет требований к данному классу;
« + » — новые или дополнительные требования;
« = » — требования совпадают с требованиями к СВТ предыдущего класса.

Наборы требований к показателям защищенности, приведенные в табл. 1.1 и табл. 1.2, являются минимально необходимыми для соответствующих классов АС и СВТ. По мнению авторов, вполне достаточным для многих конкретных ситуаций является приведенный ниже набор требований к защите компьютерной системы:

1. Только зарегистрированные в АС пользователи и только в разрешенное для каждого из них время могут включить компьютер (загрузить операционную систему);

2. Без регистрации никто не должен получать доступ к конфиденциальной информации и информации, хранящейся на защищаемых носителях;

3. Пользователь, обрабатывающий конфиденциальные данные, должен иметь возможность удостовериться в «чистоте» («легитимности») компьютерной системы, а именно в неизменности системного и прикладного программного обеспечения, пользовательских данных, в отсутствии вредоносных программ;

4. Пользователи должны получать доступ только к той информации и с теми возможностями по ее обработке, которые соответствуют их функциональным обязанностям;

5. Пользователям при обработке защищаемой информации разрешается применение только тех программных средств, которые необходимы им для выполнения своих функциональных обязанностей;

6. Для хранения конфиденциальных данных должны использоваться только учтенные носители информации; возможность копирования информации на внешние или сетевые носители определяется уровнем конфиденциальности информации, уровнем допуска сотрудника и уровнем конфиденциальности носителя;

7. Конфиденциальная информация, обрабатываемая полномочным пользователем, в том числе ее фрагменты в виде «технологического мусора», без соответствующего разрешения не должна прямо или косвенно быть доступна иному субъекту;

8. В целях профилактики и расследования возможных инцидентов, а также в качестве сдерживающего фактора автоматически должна вестись регистрация в специальных электронных журналах наиболее важных событий, связанных с доступом пользователей к защищаемой информации и компьютерной системе в целом;

9. При печати документов на бумажные носители автоматически должен фиксироваться факт распечатки в специальном журнале и автоматически выводиться соответствующий штамп на сам документ;

10. В компьютерной системе должен быть администратор безопасности, который обязан воплощать в жизнь политику безопасности и, следовательно, имеет право устанавливать порядок доступа пользователей к АС и документам, разрешения (ограничения), пароли и т. д.;

Все перечисленные требования должны обеспечиваться средствами самой компьютерной системы автоматически. Каждый сотрудник предприятия должен быть вынужден гарантированно выполнять требования политики безопасности, а не только под воздействием силы приказов и распоряжений начальников. На предприятии должен быть организован такой режим функционирования АС, который просто не позволит пользователю работать с конфиденциальными данными в незащищенном режиме.

Перечисленные выше требования защиты АС от НСД вытекают из опыта, здравого смысла и давно существующего порядка работы с конфиденциальной информацией (на бумажных или электронных носителях). Этот набор требований далеко не полон, не противоречит официальным руководящим документам, однако он не затрагивает специальных вопросов проектирования комплекса защиты информации, параметров функциональности средств и механизмов защиты, разработки необходимой документации, тестирования СЗИ, контроля защищенности АС.

1. Методы защиты информации

Как указывалось выше, система защиты компьютерной информации — это комплекс мер, а также соответствующих им мероприятий, сил, средств и методов. На страницах многочисленных изданий по компьютерной тематике можно детально познакомиться с основными мерами и методами защиты информации. В любой книге по информационной безопасности можно встретить примерно такой «джентльменский» набор:

• ограничение физического доступа к АС,

• идентификация и аутентификация пользователей,

• ограничение доступа на вход в систему,

• разграничение доступа,

• регистрация событий (аудит),

• криптографическая защита,

• контроль целостности,

• управление политикой безопасности,

• уничтожение остаточной информации,

• антивирусная защита,

• резервирование данных,

• сетевая защита,

• защита от утечки и перехвата информации по техническим каналам.

Программно-аппаратные средства защиты информации, о которых идет речь в данном пособии, призваны реализовывать несколько мер и соответствующих им методов по противодействию злоумышленнику при возможности его физического доступа к компьютерам автоматизированной системы.

В данном разделе пособия мы приведем основные теоретические сведения лишь о тех методах защиты информации, которые противодействуют именно НСД и реализуются именно СЗИ. Такими методами являются: идентификация и аутентификация пользователей, ограничение доступа на вход в систему, разграничение доступа, регистрация событий (аудит), криптографическая защита, контроль целостности, управление политикой безопасности, уничтожение остаточной информации. Сведения о данных методах необходимы и достаточны для понимания практического материала, излагаемого во второй главе. Такие, безусловно, важные методы, как антивирусная защита или архивирование и резервирование данных не противодействуют несанкционированному доступу нарушителя к данным, реализуются с помощью автономных и самостоятельных аппаратно-программных средств и поэтому здесь и далее в пособии подробно рассматриваться не будут.

1. Идентификация и аутентификация пользователей

Для гарантии того, чтобы только зарегистрированные в АС пользователи могли включить компьютер (загрузить операционную систему) и получить доступ к его ресурсам, каждый доступ к данным в защищенной АС осуществляется в три этапа: идентификация — аутентификация — авторизация.

Идентификация — присвоение субъектам и объектам доступа зарегистрированного имени, персонального идентификационного номера (PIN-кода), или идентификатора, а также сравнение (отождествление) предъявляемого идентификатора с перечнем присвоенных (имеющихся в АС) идентификаторов. Основываясь на идентификаторах, система защиты «понимает», кто из пользователей в данный момент работает на ПЭВМ или пытается включить компьютер (осуществить вход в систему). Аутентификация определяется как проверка принадлежности субъекту доступа предъявленного им идентификатора, либо как подтверждение подлинности субъекта. Во время выполнения этой процедуры АС убеждается, что пользователь, представившийся каким-либо легальным сотрудником, таковым и является. Авторизация — предоставление пользователю полномочий в соответствии с политикой безопасности, установленной в компьютерной системе.

Процедуры идентификации и аутентификации в защищенной системе осуществляются посредством специальных программных (программно-аппаратных) средств, встроенных в ОС или СЗИ. Процедура идентификации производится при включении компьютера и заключается в том, что сотрудник «представляется» компьютерной системе. При этом АС может предложить сотруднику выбрать свое имя из списка зарегистрированных пользователей или правильно ввести свой идентификатор. Далее пользователь должен убедить АС в том, что он действительно тот, кем представился. Аутентификация в защищенных АС может осуществляться несколькими методами:

• парольная аутентификация (ввод специальной индивидуальной для каждого пользователя последовательности символов на клавиатуре);

• на основе биометрических измерений (наиболее распространенными методами биометрической аутентификации пользователей в СЗИ являются чтение папиллярного рисунка и аутентификация на основе измерений геометрии ладони, реже встречаются голосовая верификация и считывание радужной оболочки или сетчатки глаз);

• с использованием физических носителей аутентифицирующей информации.

Наиболее простым и дешевым способом аутентификации личности в АИС является ввод пароля (трудно представить себе компьютер без клавиатуры). Однако существование большого количества различных по механизму действия атак на систему парольной защиты делает ее уязвимой перед подготовленным злоумышленником. Биометрические методы в СЗИ пока не нашли широкого применения. Непрерывное снижение стоимости и миниатюризация, например, дактилоскопических считывателей, появление «мышек», клавиатур и внешних флеш-носителей со встроенными считывателями неминуемо приведет к разработке средств защиты с биометрической аутентификацией.

В настоящее время для повышения надежности аутентификации пользователей в СЗИ применяют внешние носители ключевой информации. В технической литературе производители этих устройств и разработчики систем безопасности на их основе пользуются различной терминологией. Можно встретить подходящие по контексту термины: электронный идентификатор, электронный ключ, внешний носитель ключевой или кодовой (аутентифицирующей) последовательности. Следует понимать, что это устройства внешней энергонезависимой памяти с различным аппаратным интерфейсом, работающие в режимах чтение или чтение/запись и предназначенные для хранения ключевой (для шифрования данных) либо аутентифицирующей информации. Наиболее распространенными устройствами являются электронные ключи «Touch Memory» на базе микросхем серии DS199Х фирмы Dallas Semiconductors. Другое их название — «iButton» или «Далласские таблетки» (устройства выпускаются в цилиндрическом корпусе диаметром 16 мм и толщиной 3 или 5 мм, Рис. 1 .1).

Рис. 1.1. Внешний вид электронного ключа iButton и считывателя информации

В СЗИ активно используются пластиковые карточки различных технологий (чаще всего с магнитной полосой или проксими-карты, Рис. 1 .2). Пластиковые карточки имеют стандартный размер 54х85,7х0,9 — 1,8 мм.

Рис. 1.2. Пластиковая карта с магнитной полосой

Удобными для применения в СЗИ являются электронные ключи eToken (Рис. 1 .3), выполненные на процессорной микросхеме семейства SLE66C Infineon, обеспечивающей высокий уровень безопасности. Они предназначены для безопасного хранения секретных данных, например, криптографических ключей. eToken выпускается в двух вариантах конструктивного оформления: в виде USB-ключа и в виде смарт-карты стандартного формата.

В большинстве программно-аппаратных средств защиты информации предусмотрена возможность осуществлять аутентификацию личности пользователя комбинированным способом, т. е. по нескольким методам одновременно. Комбинирование способов аутентификации снижает риск ошибок, в результате которых злоумышленник может войти в систему под именем легального пользователя.

Рис. 1.3. Электронные ключи eToken

1. Ограничение доступа на вход в систему

Прежде всего, еще раз напомним, что ограничение доступа к ресурсам АС начинается с ограничения физического доступа сотрудников и «гостей» предприятия в помещение, в котором размещаются и функционируют элементы компьютерной системы. Этот рубеж защиты организуется путем установки средств инженерной укрепленности помещений, автономных устройств охранной сигнализации, телевизионных систем наблюдения, устройств защиты рабочего места и непосредственно ПЭВМ и к функционированию программных и аппаратных СЗИ отношения не имеет.

В практике защиты объектов информатизации под методом «ограничение доступа на вход в систему» имеют в виду целый комплекс мер, выполняемых в процессе загрузки операционной системы. Поэтому для описания процесса правильного и легального включения компьютера специалисты часто используют термин «доверенная загрузка ОС». Правильно организованная доверенная загрузка обеспечивает выполнение 1, 2 и отчасти третьего пунктов требований к системе защиты информации, сформулированных в п. 1.1. пособия.

Благодаря процедурам идентификации и аутентификации АС разрешает дальнейшую работу только зарегистрированным пользователям в именованном режиме. Однако для всецело доверенной загрузки этого не достаточно. Безопасный вход в компьютерную систему включает в себя также процедуру ограничения доступа по дате и времени, процедуру проверки целостности системного программного обеспечения и аппаратуры, а также защиту от загрузки ОС со съемных носителей и входа в АС в незащищенном режиме. Первая из этих мер помимо поддержания дисциплины (что необходимо на предприятии, где обрабатывается информация ограниченного доступа) обеспечивает дополнительную защиту от злоумышленников, пытающихся атаковать АС во внерабочее время.

Одной из встроенных в программно-аппаратную среду самого компьютера процедур ограничения логического доступа является операция ввода пароля BIOS при включении ПЭВМ. Чтобы понять, какое место в комплексе защитных мер занимает парольная защита, рассмотрим процесс загрузки персонального компьютера без использования СЗИ (Рис. 1 .4).

Рис. 1.4. Процесс стандартной загрузки персонального компьютера

При включении питания управление ПЭВМ берет на себя программа, записанная в ПЗУ BIOS, которая проводит процедуру самотестирования компьютера (Power-On Self-Test, POST). После тестирования из ПЗУ BIOS в оперативную память ПЭВМ загружается содержимое первого сектора нулевого цилиндра нулевой стороны накопителя на жестком магнитном диске (НЖМД). В данном секторе НЖМД находится главная загрузочная запись (Master Boot Record — MBR), на которую передается управление компьютером. Программа первоначальной загрузки (Non-System Bootstrap — NSB — несистемный загрузчик) является первой частью MBR. NSB анализирует таблицу разделов жесткого диска (Partition Table), являющуюся второй частью MBR, и определяет по ней расположение (номера сектора, цилиндра и стороны) активного раздела, содержащего рабочую версию ОС. Определив активный (загрузочный) раздел НЖМД, программа NSB считывает его нулевой сектор (Boot Record — BR — загрузочную запись) и передает ей управление ПЭВМ. Алгоритм работы загрузочной записи зависит от операционной системы, но обычно состоит в запуске непосредственно операционной системы или программы — загрузчика ОС.

Парольная система BIOS имеет только два варианта паролей с категориями «пользователь» и «суперпользователь». Ввод парольной информации выполняется (если функция активирована в соответствующих настройках BIOS) до обращения к жесткому диску компьютера, т. е. до загрузки операционной системы. Это только один из эшелонов защиты АС, который способен разделить потенциальных пользователей на легальных (своих, знающих пароль пользователя) и нелегальных. Парольная система BIOS не обеспечивает идентификации конкретного пользователя.

Защита от входа в АС в незащищенном режиме является весьма серьезной мерой, обеспечивающей безопасность информации и противодействующей попыткам подготовленных нарушителей запустить компьютер в обход системы защиты. Целостность механизмов защиты может быть нарушена, если злоумышленник имеет возможность загрузить на компьютере какую-либо операционную систему с внешнего носителя либо установленную ОС в режиме защиты от сбоев. Опасность загрузки ОС в режиме защиты от сбоев заключается в том, что загружается лишь ограниченный перечень системных драйверов и приложений, в составе которых могут отсутствовать модули СЗИ. Конфиденциальные данные при неактивном СЗИ могут оказаться совершенно незащищенными, и злоумышленник может получить к ним неограниченный доступ.

Для противодействия подобной угрозе необходимо, во-первых, сделать недоступным для просмотра содержимое дисков при загрузке ОС с внешнего носителя. Данная задача может быть решена путем криптографического преобразования информации на жестком диске. Зашифрованным должно быть не только содержимое конфиденциальных файлов, но и содержимое исполняемых и иных файлов, а также служебные области машинных носителей.

Во-вторых, следует внести изменения в стандартный процесс загрузки компьютера, внедрив в него процедуры инициализации механизмов защиты еще до загрузки ОС. Запуск защитных механизмов СЗИ обычно выполняется по одному из следующих способов: с использованием собственного контроллера СЗИ либо путем модификации главной загрузочной записи.

При реализации первого способа СЗИ должно быть программно-аппаратным комплексом и содержать собственный контроллер, который обычно устанавливается в слот ISA или PCI. В процессе выполнения процедуры POST после проверки основного оборудования BIOS компьютера начинает поиск внешних ПЗУ в диапазоне адресов от С800:0000 до Е000:0000 с шагом в 2Kb. Аппаратная часть СЗИ должна быть организована так, чтобы ее ПЗУ, содержащее процедуры идентификации и аутентификации пользователей, обнаруживалось компьютерной системой по одному из проверяемых системой адресов. При обнаружении внешнего ПЗУ POST BIOS передает управление программе, расположенной в найденном ПЗУ. Таким образом, защитные механизмы (процедуры идентификации и аутентификации, контроля целостности и т. п., записанные в ПЗУ контроллера СЗИ) начинают работать еще до загрузки ОС. И только после удачной отработки механизмов защиты средство защиты возвращает управление процедуре POST, либо непосредственно передает управление на MBR жесткого диска. Кроме ПЗУ, хранящего программы защитных механизмов, в составе СЗИ должны быть перепрограммируемые ПЗУ, в которые заносятся список зарегистрированных пользователей с образами аутентифицирующей их информации и временными рамками разрешения входа в АС. Одним из примеров подобной реализации доверенной загрузки является СЗИ НСД «Аккорд-АМДЗ» (Рис. 1 .5).

Рис. 1.5. Процесс загрузки персонального компьютера с использованием контроллера СЗИ

Второй способ запуска защитных механизмов применяется в программных СЗИ, примерами которых являются «Страж NT» и «Dallas Lock», которые не имеют собственных аппаратных контроллеров. Задача надежного запуска защитных механизмов (до загрузки ОС) решается здесь путем модификации главной загрузочной записи в процессе установки системы защиты. Обычно модификации подвергается только первая часть MBR — программа первоначальной загрузки. В процессе инициализации СЗИ программа первоначальной загрузки меняется на собственную программу средства защиты, задачей которой является передача управления на программный код, реализующий запуск и отработку защитных механизмов доверенной загрузки. После удачного выполнения всех предусмотренных СЗИ процедур управление ПЭВМ передается либо на штатную программу первоначальной загрузки ОС, которая при установке средства защиты копируется в некоторый сектор нулевой дорожки НЖМД, либо напрямую на загрузочную запись активного раздела жесткого диска
(Рис. 1 .6).

В теории и практике обеспечения безопасности АС хорошо известен такой способ преодоления злоумышленником системы защиты, как подбор пароля. Он заключается в переборе всех возможных вариантов паролей («лобовая атака») или наиболее вероятных комбинаций (оптимизированный перебор). Для того чтобы исключить возможность осуществления штурма парольной системы защиты в СЗИ предусматривается режим блокировки компьютера после нескольких (обычно трех — пяти) неудачных попыток ввода пароля. Выход АС из этого режима возможен только после выключения питания (полной перезагрузки системы). Режим блокировки может быть запущен при обнаружении системой защиты любых нештатных действий пользователя как во время доверенной загрузки (например, если код, записанный в предъявляемую карту памяти, не соответствует введенным идентификатору и/или паролю), так и во время последующей работы (например, при попытке обратиться к запрещенным для доступа портам, устройствам ввода-вывода). Естественно, все попытки неудачного входа в систему, приведшие к блокированию компьютера, должны быть зафиксированы в специальном журнале.

Рис. 1.6. Процесс загрузки персонального компьютера с использованием модификации MBR

Следует отметить, что при отсутствии в функциональном наборе СЗИ процедуры шифрования защищаемых данных, необходимо обеспечить надежную защиту самого компьютера от непосредственного физического доступа. Действительно, если злоумышленнику удастся извлечь контроллер СЗИ из слота ПЭВМ, процесс загрузки ОС перестанет носить защищенный характер, и будет осуществляться стандартно. При наличии физического доступа к элементам АС подготовленный злоумышленник может просто украсть жесткий диск и попытаться добыть интересующую его информацию путем анализа НЖМД с помощью различных низкоуровневых редакторов. Запрет входа в систему в обход механизмов защиты является необходимой составляющей частью процесса доверенной загрузки и обеспечивает выполнение 1, 2 и 3 пунктов требований к системе защиты информации.

Библиографический список

1. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий [Текст] : РД: утв. Гостехкомиссией России. – М., 2002.

2. ГОСТ Р 51275–99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию [Текст]. – Введ. 2000–01–01 – М.: Изд-во стандартов, 1999. – 8 с.

3. ГОСТ Р 50922–96. Защита информации. Основные термины и определения [Текст].  М.: Изд-во стандартов, 1996.

4. ГОСТ Р 51624–2000. [Текст].  М.: Изд-во стандартов, 2000.

5. Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации [Текст] : РД : утв. Гостехкомиссией России. – М.: Изд-во стандартов, 1992.

6. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации [Текст] : РД : утв. Гостехкомиссией России. – М.: Изд-во стандартов, 1992.

7. Защита от несанкционированного доступа к информации. Термины и определения [Текст] : РД : утв. Гостехкомиссией России. – М.: Изд-во стандартов, 1992.

8. ГОСТ Р 15408–02. Критерии оценки безопасности информационных технологий [Текст]. – Введ. 2004–01–01 – М.: Изд-во стандартов, 2002.

9. ISO/IEC 17799:2000. Информационные технологии. Свод правил по управлению защитой информации. Международный стандарт [Текст] / ISO/IEC, 2000.

10. Зегжда Д. П. Как построить защищенную информационную систему. Технология создания безопасных систем [Текст] / Д. П. Зегжда, А. М. Ивашко ; под научн. ред. П. Д. Зегжды, В. В. Платонова. – СПб.: Мир и Семья-95, Интерлайн, 1998. – 256 с. : ил. ; 20 см. – 500 экз.

11. Девянин П. Н. Теоретические основы компьютерной безопасности [Текст]: учеб. пособие для вузов / П. Н. Девянин, О. О. Михальский, Д. И. Правиков, А. Ю. Щербаков. – М.: Радио и связь, 2000. – 192 с. : ил. ; 21 см. 

12. Ресурсы Microsoft Windows NT Workstation 4.0 [Текст] : [пер. с англ.] / Корпорация Майкорософт. – СПб. : BHV – Санкт-Петербург, 1998. – 800 с. : ил. ; 28 см. + 1 электрон. опт. диск. – Перевод изд.: Microsoft Windows NT Workstation 4.0 Resource Kit / Microsoft Corporation, 1996. 

13. Проскурин В. Г. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах [Текст]: учеб. пособие для вузов / В. Г. Проскурин, С. В. Крутов, И. В. Мацкевич. – М.: Радио и связь, 2000. – 168 с. : ил. 

14. Гайдамакин Н. А. Автоматизированные системы, базы и банки данных. Вводный курс [Текст]: учеб. пособие / Н. А. Гайдамакин. – М.: Гелиос АРВ, 2002. – 368 с. : ил.

15. Гайдамакин Н. А. Разграничение доступа к информации в компьютерных системах [Текст] / Н. А. Гайдамакин. – Екатеринбург: Изд-во Урал. Ун-та, 2003. – 328 с. : ил.

16. Хорев П. Б. Методы и средства защиты информации в компьютерных системах [Текст]: учеб. пособие для вузов / П. Б. Хорев. – М.: Академия, 2005. – 256 с. : ил. 

17. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа [Текст] / А.  Ю. Щеглов ; под ред. М. В. Финкова. – СПб: Наука и Техника, 2004. – 384 с. : ил.

18. Система защиты информации от несанкционированного доступа «СТРАЖ NT». Версия 2.0. Описание применения. УИМ.00025-01 31 [Электронный ресурс]. – 53 с. : ил.

19. Система защиты информации от несанкционированного доступа «Dallas Lock 7.0». Руководство по эксплуатации [Электронный ресурс]. – 88 с. : ил.

20. Система защиты информации «Secret Net 2000. Автономный вариант для Windows 2000». Руководство по администрированию [Электронный ресурс]. – 142 с. : ил.

21. Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа «АККОРД-NT/2000» (версия 2.0). Описание применения [Электронный ресурс]. – 30 с. : ил.

22. Система защиты конфиденциальной информации StrongDiskPro. Версия 2.8.5. Руководство пользователя [Электронный ресурс]. – 31 с. : ил.

23. Система защиты конфиденциальной информации Secret Disk. Версия 2.0. Руководство пользователя [Электронный ресурс]. – 116 с. : ил.

24. Петров А. А. Компьютерная безопасность. Криптографические методы защиты [Текст] / А. А. Петров – М.: ДМК, 2000. – 448 c. : ил. 

25. Молдовян А.А. Криптография [Текст] / А. А. Молдовян, Н. А. Молдовян, Б. Я. Советов. СПб.: Лань, 2000. – 224 с. : ил. 

26. Алферов А. П. Основы криптографии [Текст]: учеб. пособие / А. П. Алферов, А. Ю. Зубов, А. С. Кузьмин, А. В. Черемушкин. – М.: Гелиос АРВ, 2001. – 480 с. : ил.

27. Брассар Ж. Современная криптология. Руководство [Текст] : [пер. с англ.] / Ж. Брассар. – М.: ПОЛИМЕД, 1999. – 176 с. : ил.

28. Разработка политики безопасности организации в свете новейшей нормативной базы / А. С. Марков, С. В. Миронов, В. Л. Цирлов // Защита информации. Конфидент. – 2004. – № 2 – С. 20–28.

29. Синадский Н. И. Угрозы безопасности компьютерной информации [Текст]: учеб. пособие / Н. И. Синадский, О. Н. Соболев – Екатеринбург: Изд-во Урал. ун-та, 2000. – 85 с. : ил.

17