Системы защиты информации в ведущих зарубежных странах Утверждено редакционно-издательским советом в качестве учебного пособия Брянск Издательство бгту 2007
|
Скачать 2.64 Mb.
|
|
ГЛАВА 1 история развития систем защиты информации в зарубежных странах 1.1. Развитие средств и методов защиты информации 1.2. Этапы развития системы защиты информации в настоящее время 1.3. структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности
Обеспечение защиты информации волновало человечество всегда. В процессе эволюции цивилизации менялись виды информации, для её защиты применялись различные методы и средства. Процесс развития средств и методов защиты информации можно разделить на три относительно самостоятельных периода (рис. 1.1). В основе такого деления лежит эволюция видов носителей информации [1].  1 период (С древнейших времён до 40-х г. XIX века)  2 период (С 50-х г. XIX века до 60-х г. XX века) 3 период (С 60-х г. XX века до наших дней) Рис. 1.1. Процесс развития методов и средств защиты информации Первый период определяется началом создания осмысленных и самостоятельных средств и методов защиты информации и связан с появлением возможности фиксации информационных сообщений на твердых носителях, то есть с изобретением письменности. Вместе с неоспоримым преимуществом сохранения и перемещения данных возникла проблема сохранения в тайне существующей уже отдельно от источника конфиденциальной информации, поэтому практически одновременно с рождением письменности возникли такие методы защиты информации, как шифрование и скрытие. Криптография (от греч. κρυπτός — скрытый и γράφω — пишу) — наука о математических методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации. Криптография — одна из старейших наук, ее история насчитывает несколько тысяч лет. В документах древних цивилизаций, таких как Индия, Египет, Месопотамия, есть сведения о системах и способах составления шифрованных писем. В древних религиозных книгах Индии указывается, что сам Будда знал несколько десятков способов письма, среди которых присутствовали шифры перестановки (по современной классификации). Один из самых старых шифрованных текстов из Месопотамии (2000 лет до н. э.) представляет собой глиняную табличку, содержащую рецепт изготовления глазури в гончарном производстве, в котором игнорировались некоторые гласные и согласные и употреблялись числа вместо имен. В начале XIX века криптография обогатилась замечательным изобретением. Его автор - государственный деятель, первый государственный секретарь, а затем и президент США Томас Джефферсон. Свою систему шифрования он назвал "дисковым шифром". Этот шифр реализовывался с помощью специального устройства, которое впоследствии назвали шифратором Джефферсона. Конструкция шифратора может быть вкратце описана следующим образом. Деревянный цилиндр разрезается на 36 дисков (в принципе, общее количество дисков может быть и иным). Эти диски насаживаются на одну общую ось таким образом, чтобы они могли независимо вращаться на ней. На боковых поверхностях каждого из дисков выписывались все буквы английского алфавита в произвольном порядке. Порядок следования букв на каждом диске - различный. На поверхности цилиндра выделялась линия, параллельная его оси. При шифровании открытый текст разбивался на группы по 36 знаков, затем первая буква группы фиксировалась положением первого диска по выделенной линии, вторая - положением второго диска и т. д. Шифрованный текст образовывался путем считывания последовательности букв с любой линии параллельной выделенной. Обратный процесс осуществлялся на аналогичном шифраторе: полученный шифртекст выписывался путем поворота дисков по выделенной линии, а открытый текст отыскивался среди параллельных ей линий путем прочтения осмысленного возможного варианта. Шифратор Джефферсона (рис. 1.2) реализует ранее известный шифр многоалфавитной замены. Частями его ключа являются порядок расположения букв на каждом диске и порядок расположения этих дисков на общей оси.  Рис. 1.2. Шифратор Джефферсона. Начало XIX века Второй период (примерно с середины XIX в.) характеризуется появлением технических средств обработки информации и передачи сообщений с помощью электрических сигналов и электромагнитных полей (например, телефон, телеграф, радио). В связи с этим возникли проблемы защиты от так называемых технических каналов утечки (побочных излучений, наводок и др.). Для обеспечения защиты информации в процессе передачи по телефонным и телеграфным каналам связи появились способы и технические средства, позволяющие шифровать сообщения в реальном времени. Также в этот период активно развиваются технические средства разведки, многократно увеличивающие возможности промышленного и государственного шпионажа. Огромные, все возрастающие убытки предприятий и фирм способствовали научно-техническому прогрессу в создании новых и совершенствовании старых средств и методов защиты информации. Наиболее интенсивное развитие этих методов приходится на период массовой информатизации общества (третий период). Оно связано с внедрением автоматизированных систем обработки информации и измеряется периодом в более чем 40 лет. В 60-х гг. на Западе стало появляться большое количество открытых публикаций по различным аспектам защиты информации. Такое внимание к этой проблеме в первую очередь было вызвано возрастающими финансовыми потерями фирм и государственных организаций от преступлений в компьютерной сфере. В ежегодном докладе ФБР США было сказано, что за 1997 г. от противоправной деятельности иностранных спецслужб американские владельцы интеллектуальной собственности понесли ущерб, превышающий 300 млрд долларов. Согласно выводам западных экспертов, в сфере информационной безопасности, утечка 20% коммерческой информации в шестидесяти случаях из ста приводит к банкротству фирмы. Все большие финансовые потери приносят вирусные атаки на компьютерные сети. Так, запущенный через Интернет в мае 2000 г. вирус «I love you» вывел из строя свыше 5 млн компьютеров и нанес ущерб свыше 10 млрд долларов. 1.2. Этапы развития системы защиты информации в настоящее время За истекшее после возникновения необходимости в обеспечении защиты информации время существенно изменилось как представление о ее сущности, так и методологические подходы к решению. Указанные изменения происходили постепенно и непрерывно, поэтому всякая периодизация этого процесса в значительной мере будет носить искусственный характер. Тем не менее, весь период активных работ по рассматриваемой проблеме в зависимости от подходов к ее решению довольно четко делится на три этапа (рис. 1.3). Начальный этап защиты (60-е — начало 70-х гг.) характеризовался тем, что под защитой информации понималось предупреждение несанкционированного ее получения лицами, не имеющими на то полномочий. Для этого использовались формальные, функционирующие без участия человека средства. Наиболее распространенными в автоматизированных системах обработки данных (АСОД) в тот период были проверки по паролю прав на доступ к ЭВТ и разграничение доступа к массивам данных. Эти механизмы обеспечивали определенный уровень защиты, однако проблему в целом не решали, поскольку для опытных злоумышленников не составляло большого труда найти пути их преодоления. Для объектов обработки конфиденциальной информации задачи по ее защите решались в основном с помощью установления так называемого режима секретности, определяющего строгий пропускной режим и жесткие правила ведения секретного документооборота.  Рис. 1.3. Этапы развития проблемы защиты информации в условиях массовой информатизации общества Этап развития (70-е — начало 80-х гг.) отличается интенсивными поисками, разработкой и реализацией способов и средств защиты и определяется следующими характеристиками:
Так, для опознавания лиц, имеющих право пользования конфиденциальной информацией, разрабатывались методы и средства, основанные на следующих признаках:
Однако нарастание количества средств защиты и принимаемых мер привело в конечном итоге к проблеме эффективности системы защиты информации, учитывающей соотношение затраченных на ее создание средств к вероятным потерям от возможной утечки защищаемой информации. Для проведения анализа эффективности системы защиты информации необходимо применять основные положения теории оценки сложных систем. Кроме того, к концу второго периода математически было доказано, что обеспечить полную безопасность информации в системах ее обработки невозможно. Максимально приблизиться к этому уровню можно, лишь используя системный подход к решению проблемы. Другими словами, успешное решение проблемы комплексной защиты информации требует не только научно обоснованных концепций комплексной защиты, но и эффективных методов и средств решения соответствующих задач. Их разработка, в свою очередь, может осуществляться только на основе достаточно развитых научно-методологических основ защиты информации. Таким образом, характерной особенностью третьего, современного этапа (середина 80-х гг. – настоящее время) являются попытки аналитико-синтетической обработки данных всего имеющегося опыта теоретических исследований и практического решения задач защиты и формирования на этой основе научно-методологического базиса системы защиты информации. Основной задачей третьего этапа является перевод процесса защиты информации на строго научную основу, а также разработка целостной теории защиты информации [5]. К настоящему времени уже разработаны основы теории защиты информации. Формирование этих основ может быть принято за начало третьего этапа в развитии защиты информации. Принципиально важным является то, что российские специалисты и ученые на данном этапе внесли существенный вклад в развитие основ теории защиты информации, чему способствовал бурный рост интереса к этой проблеме в высшей школе. 1.3. структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности Широкое использование в процессе информатизации мирового общества современных методов и средств обработки информации, в том числе вычислительной техники создало не только объективные предпосылки повышения эффективности всех видов деятельности личности, общества и государства, но и ряд проблем защиты информации, обеспечивающей требуемое ее качество. Сложность решения этой проблемы обусловлена необходимостью создания целостной системы комплексной защиты информации, базирующейся на стройной организации и регулярном управлении. Современное понятие защиты информации находится в центре внимания исследователей в различных странах уже несколько десятков лет и ассоциируется, как правило, с проблемами создания систем защиты информации на различных уровнях её использования. Несмотря на то, что существует еще большое количество неразрешенных и спорных вопросов в теории информационной безопасности, в настоящее время сложилась типовая структура системы защиты информации, используемая большинством развитых стран мира. Под защитой информации в общем виде понимают соединение в единое целое отдельных элементов, механизмов, процессов, явлений, мероприятий, мер и программ их взаимосвязей, способствующих реализации целей защиты и обеспечению структурного построения системы защиты. Структурно-типовая система защиты информации (рис.1.4) представляет собой совокупность отдельных взаимосвязанных элементов, реализующих следующие её виды: правовая защита информации – защита информации, базирующаяся на применении статей конституции и законов государства, положений гражданского и уголовного кодексов и других нормативно-правовых документов в области информатики, информационных отношений и защиты информации. Правовая защита информации регламентирует права и обязанности субъектов информационных отношений, правовой статус органов, технических средств и способов защиты информации и является основой для морально – этических норм в области защиты информации [2].   Организационная защита информации – это комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации. Организационные меры связаны с установлением режима конфиденциальности в организации. [1]. Техническая или инженерно-техническая защита, основывающаяся на использовании технических устройств, узлов, блоков, элементов, систем, как в виде отдельных средств, так и встроенных в процессе единого технологического цикла создания средств обработки информации, сооружений и т.д.; Программно-аппаратная защита, предполагающая использование программного обеспечения информационных систем, комплексов и систем, а также аппаратных устройств, встроенных в состав технических средств и систем обработки информации. В качестве отдельного вида наиболее эффективных средств защиты информации выделяются математические или криптографические методы, которые могут быть реализованы в виде технических устройств, программ и программно-аппаратных средств. Рассмотренные виды в основном обеспечивают надежную защиту информации в различных системах ее обработки и различных условиях их функционирования. Однако опыт практического обеспечения безопасности информации в России и за рубежом показывает, что для надежной защиты, в условиях обязательного участия человека, массовости решения задач защиты необходимо использовать психологические и морально-этические виды, а в ряде случаев и страховые. Под психологическими видами защиты понимаются допускаемые нормами права и морали методы и средства изучения психофизиологических особенностей и возможностей людей, а также психологического воздействия на людей с целью оценки соответствия их требованиям для допуска к обработке защищаемой информации. Под морально-этическими видами защиты понимаются нормы и правила, которые не имеют юридической силы, но их нарушение ведет к потере авторитета, возникновению дополнительных трудностей и другим негативным последствиям для человека и организации [3]. Страховая защита информации – защита информации, предусматривающая возмещение убытков от её уничтожения или модификации путем получения страховых выплат. Очевидно, что в ряде стран при построении систем защиты в типовую модель вносят изменения. Так, во Франции элементы правовой и организационной защиты информации рассматривают в едином ракурсе, а в программно-аппаратной защите наоборот выделяют отдельно программные и аппаратные методы и средства защиты информации. Морально-этические и психологические элементы защиты информации практически во всех странах до настоящего времени рассматривались лишь в теории. Контрольные вопросы:
|
Похожие:
 |
Учебное пособие Москва Издательство Московского государственного... Рекомендовано к изданию Редакционно-издательским советом университета в качестве учебного пособия для студентов направления 230100... |
|
Учебное пособие Москва Издательство Московского государственного... Рекомендовано к изданию Редакционно-издательским советом университета в качестве учебного пособия для студентов направления 230100... |
|
Практикум по логике утверждено Редакционно-издательским советом в качестве учебного пособия Пособие полностью соответствует Государственному стандарту РФ по дисциплине «Логика», в нем учтены особенности преподавания логики... |
|
Деловая переписка и документация утверждено Редакционно-издательским... Деловая переписка и документация: учеб пособ. /А. М. Пидодня, А. Ю. Чуркина: Самара. Самар гос техн ун-т, 2009. 48 с |
 |
2. рабочая программа учебной дисциплины ... |
|
Учебное пособие Допущено Ученым советом института в качестве учебного... Допущено Ученым советом института в качестве учебного пособия для обучения курсантов по специальности 220200 – «Автоматизированные... |
|
Институт нефти и газа методические указания Утверждено редакционно-издательским советом Тюменского государственного нефтегазового университета |
|
«Моделирование и мониторинг изнашивания детали при эксплуатации машины»... Утверждено Ученым советом лмз-втуз в качестве учебного пособия для специальности 150302 «Триботехника» |
|
Комплексный экономический анализ хозяйственной деятельности Рекомендовано редакционно-издательским советом Кемеровского технологического института пищевой промышленности |
|
Едеральное агентство по образованию кемеровский технологический институт пищевой промышленности Рекомендовано редакционно-издательским советом Кемеровского технологического института |
|
С. В. Колосов Программирование в среде Допущено Министерством образования Республики Беларусь в качестве учебного пособия для студентов специальностей «Автоматизированные... |
|
Н. Н. Богдан м. Г. Масилова Допущено Советом учебно-методического объединения по образованию в области менеджмента в качестве учебного пособия по специальности... |
|
Хрестоматия по истории государства и права зарубежных стран Допущено Министерством образования Российской Федерации в качестве учебного пособия для студентов высших учебных заведений, обучающихся... |
|
Учебное пособие Под редакцией д-ра мед наук, профессора И. Д. Евтушенко... ... |
|
Министерством образования Российской Федерации в качестве учебного... Рекомендовано Министерством образования Российской Федерации в качестве учебного пособия для студентов средних профессиональных учебных... |
|
Министерством образования Российской Федерации в качестве учебного... Рекомендовано Министерством образования Российской Федерации в качестве учебного пособия для студентов средних профессиональных учебных... |