Статьи

Версия для печати

Все статьи | Статьи за 2001 год | Статьи из номера N4 / 2001

Защита информации

Мангилева Е. В.,

Растущая популярность глобальных сетей и в особенности Интернета породила множество проб-лем, связанных с защитой информации. Использование Интернета в коммерческих целях, а также для связи удаленных отделений компаний и организаций неизменно приводит к такой проблеме, как защита информации. Всю информацию, хранящуюся в компьютерных системах, объединяет то, что в любой момент она может быть утеряна или выведена из-под контроля хозяина, если не предпринимать специальных мер по ее защите. Согласно данным Safeware, компьютерной страховой фирмы, в год крадется информации примерно на 15 млрд. долл. ФБР утверждает, что около 90% компьютерных взломов никогда не раскроются.

Промышленных шпионов в первую очередь привлекает коммерческая информация, которая может в дальнейшем принести коммерческий доход. Доход может иметь различную форму — от прямой продажи бизнес-планов компании ее конкурентам до продажи новейших технологий, позволяющих существенно сократить издержки при производстве различных товаров. Не так давно, один западный «бизнесмен» воплотил в жизнь давнюю мечту многих спекулянтов: он смог войти в информационную сеть, по которой в течение торгов проходят различные сообщения относительно финансовых результатов компаний. Продав акции компании «А», он запустил в сеть информацию о резком ухудшении ее финансового состояния. Результат — акции компании «А» снизились в цене на 30—40%. Смекалистый «бизнесмен» купил проданные акции обратно, и, когда выяснилось, что это была дезинформация, цена на акции вновь вернулась на прежней уровень. Сумма заработка составила 100 000—150 000 долл.

Хакеров интересует в первую очередь принцип вхождения в чужую сеть. Основная их цель — доказать всем, включая своих коллег, что они являются лучшими в данной области.

В зависимости от структуры и целей вашей компании причина защиты может меняться: для некоторых фирм необходимо предотвратить утечку информации (маркетинговых планов, перспективных разработок и т.д.) к конкурентам, для других конфиденциальность информации не так важна, как ее целостность. Например, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений, чтобы злоумышленник не смог несанкционированно изменить документацию и счета. А для фирм-провайдеров Интернет-услуг или операторов связи важнейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей информационной системы. Установить такого рода приоритеты можно только в результате анализа деятельности компании.

А атака на публичный Web-сервер компании и замена его содержимого на любое другое может привести к снижению доверия к фирме и, как следствие, к потере ею части клиентуры и снижению доходов. Именно поэтому каналы связи должны быть защищены от нежелательных вторжений. В обратном случае конфиденциальная почта, документы и прочая важная информация может быть просмотрена или использована третьей стороной. И в зависимости от намерений взломщика она может быть уничтожена, изменена, передана конкурентам или использована для распространения вируса или программы «Троянский конь». Любые из этих действий могут привести к плачевным последствиям для вас или вашей компании.

Этот риск может быть снижен путем засекречивания линий сообщений внутри, на выходе и входе в сеть.

Людей издавна волновала проблема защиты информации путем ее преобразования, исключающего возможность попадания ее к постороннему лицу. Таким образом, криптография — ровесница истории человеческого языка и письменности. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Примеры тому — священные книги Древнего Египта и Древней Индии. С широким распространением письменности криптография стала формироваться как самостоятельная наука.

В настоящее время информация стала дорогим товаром, поэтому проблема ее защиты является чрезвычайно актуальной не только для государственных организаций, но и для различных коммерческих структур. Руководители предприятий и отделов защиты информации стоят перед необходимостью выбора средств защиты конфиденциальной информации, обрабатываемой в локальных сетях и на автономных рабочих местах.

Секретность сети предполагает обеспечение подлиности, конфиденциальности и целости данных, находящихся и распространяющихся в сети. Выполняя это, системы безопасности должны иметь эффективный и доступный контроль, установку подлинности и шифрования.

Шифрование подразумевает перемешивание данных в не расшифровываемый код, так что они не могут быть прочитаны без специального пакета, что сохраняет информацию от кражи и чтения ее третьим лицом. Защита информации методами криптографического преобразования заключается в изменении ее составных частей (слов, букв, слогов, цифр) с помощью специальных алгоритмов либо аппаратных решений и кодов ключей, то есть в приведении ее к неявному виду. Для ознакомления с шифрованной информацией применяется обратный процесс: декодирование (дешифрование).

Использование криптографии является одним из распространенных методов, значительно повышающих безопасность передачи данных в сетях ЭВМ, данных, хранящихся в удаленных устройствах памяти, и при обмене информацией между удаленными объектами.

Для преобразования (шифрования) обычно используется некоторый алгоритм или устройство, реализующее заданный алгоритм, который может быть известен определенному кругу лиц. Управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации. Знание ключа позволяет просто и надежно расшифровать текст. Однако без знания ключа эта процедура может быть практически невыполнима даже при известном алгоритме шифрования. Даже простое преобразование информации является весьма эффективным средством, дающим возможность скрыть ее смысл от большинства неквалифицированных нарушителей.

Множество современных методов защитных преобразований можно классифицировать на четыре большие группы: перестановки, замены (подстановки), аддитивные и комбинированные методы.

Методы перестановки и подстановки обычно характеризуются короткой длиной ключа, а надежность их защиты определяется сложностью алгоритмов преобразования.

Для аддитивных методов характерны простые алгоритмы преобразования, а их криптостойкость основана на увеличении длины ключа.

Все перечисленные методы относятся к симметричному шифрованию: один и тот же ключ используется для шифрования и дешифрования. Сейчас также распространены методы несимметричного шифрования: один ключ для шифрования (открытый), второй — для дешифрования (закрытый).

Криптографические средства защиты информации подлежат обязательной сертификации в соответствии с утвержденной Госстандартом системой РОСС RU 0001.030001 от 15.11.93 г. Этот нормативный документ содержит положения и нормы, определяющие правила и порядок проведения сертификации в рассматриваемой области. В настоящее время на рынке представлен достаточно широкий ассортимент сертифицированных средств, поэтому руководители предприятий могут выбрать необходимые средства защиты конфиденциальной информации, удовлетворяющие потребностям предприятий.

В дальнейшем мы более подробно рассмотрим данную проблему.

Отдельные номера журналов Вы можете купить на сайте www.5B.ru
Оформление подписки на журнал: http://dis.ru/e-store/subscription/



Все права принадлежат Издательству «Финпресс» Полное или частичное воспроизведение или размножение каким-либо способом материалов допускается только с письменного разрешения Издательства «Финпресс».