1. От кого и почему сегодня нужно защищать информацию?

    Необходимость защиты информации

    Человеку свойственно ошибаться. Ошибка может произойти при выполнении любого информационного процесса:
    - при кодировании информации;
    - при её обработке или передаче;
    Большие объёмы информации разного вида обрабатываются с помощью компьютеров.
    Несмотря на постоянное повышение надёжности их работы, они могут выходить из строя, ломаться, как и другие технические устройства, созданные человеком.
    Конструкторы и разработчики аппаратного и программного обеспечения прилагают массу усилий, чтобы обеспечить защиту:
    - от сбоев оборудования;
    - от случайной потери или изменения информации, хранящейся в компьютере;
    - от преднамеренного искажения (компьютерные вирусы);
    - от несанкционированного (нелегального) доступа к информации: её использования, изменения, распространения.
    К многочисленным, далеко не безобидным ошибкам компьютеров добавилась и компьютерная преступность, грозящая перерасти в проблему, экономические, политические и военные последствия которой могут стать катастрофическими.

    Материал для запоминания:

    Современный мир очень хрупок, взаимосвязан и взаимозависим. Информация, циркулирующая в системах управления и связи, способна вызвать крупномасштабные аварии, военные конфликты, дезорганизацию деятельности научных центров и лабораторий, разорение банков и коммерческих организаций. Поэтому информацию нужно уметь защищать от утечки, искажения и потери.
    Развитие промышленных производств принесло огромное количество новых знаний, и одновременно возникла необходимость часть этих знаний хранить в секрете от конкурентов, защищать их. Информация уже давно стала продуктом и товаром, который можно купить, продать, обменять на что-то другое.
    Защитой информации называется предотвращение:
    - доступа к информации лицам, не имеющим соответствующего разрешения (несанкционированный, нелегальный доступ);
    - непредумышленного или недозволенного использования, изменения или разрушения информации.
    Cледующая страница


  2. Что является одним из основных признаком развития общества?

    Использование информации. Информационное общество

    Современное общество часто называют информационным, так как роль и количество информации, циркулирующей в нём, стремительно возрастает, а также есть все необходимые средства для её хранения, распространения и использования. Информация легко и быстро достигает потребителей (заинтересованых в ней людей и организаций) и выдаётся им в привычной для них форме.
    Масштабы использования информации являются одним из основных признаков развития общества. Информация стала важным производственным фактором и одним из главных рычагов власти и богатства.
    Широкое использование информационных технологий (в частности, компьютерных информационных технологий) в различных сферах человеческой деятельности ставит пред обществом задачу воспитания информационной культуры, которая предполагает понимание сущности, а также владение знаниями и умениями в использовании современных информационных технологий для решения познавательных, деловых, производственных, образовательных и других проблем.
    Каждый из нас живёт в информационном обществе, в котором работа с информацией становится главным содержанием профессиональной деятельности.
    Наряду с понятием "информационная культура" часто используются такие понятия, как "компьютерная грамотность", "информационная культура пользователя ЭВМ",
    "информационная культура специалиста".
    Понятие "компьютерная грамотность" достаточно широко. Оно включает в себя определённые знания, касающиеся информационной техники и технологии, компьютеров, их потенциала, возможностей и границ их использования для решения различных профессиональных задач, а также основы знаний и практических навыков общения с компьютерами.
    Содержание понятия "информационная культура" гораздо шире чем компьютерная грамотность, и точнее отражает взаимодействие отдельного индивида с окружающими информационными средами и информационным пространством. Информационная культура состоит в выработанной привычке получать знания через ЭВМ, точно так, как сегодня мы получаем их через книги, и записывать их в ЭВМ, как записываем сегодня в тетради или картотеки.
    Компонентами информационной культуры специалиста являются знание им особенностей (закономерностей) документальных потоков в своей области деятельности, возможностей различных систем поиска информации; умение работать с различными источниками, владение основными способами переработки информации и многое другое, поскольку каждый специалист не только потребитель информации, но и активный участник информационного процесса в целом - автор, редактор, референт, рецензент, консультант.

    Следующая страница

  3. Какие умения для человека являются одними из основных?

    Использование информации. Информационное общество

    Когда говорят об информационной культуре пользователя, то имеют в виду человека, решающего конкретную задачу с помощью компьютерных информационных технологий.
    В наиболее обобщённом виде информационная культура пользователя включает в себя:
    - понимание закономерностей информационных процессов;
    - умение организовать поиск и отбор информации, необходимой для решения задачи;
    - умение оценивать достоверность, полноту, объективность поступающей информации, представлять её в различных видах, обрабатывать и т.д.;
    - знание основ компьютерной грамотности;
    - понимание компьютерных информационных технологий как совокупности средств решения проблем человека (а не самоцели), понимание их возможностей и недостатков;
    - применение полученной информации при принятии решений в практической деятельности;
    Как видно, данные знания и умения довольно обширны и многообразны, но без них человека трудно считать готовым к профессиональной деятельности и жизни в современном мире.

    Материал для запоминания:

    Информация используется при принятии решений.
    Достоверность, полнота, объективность полученной информации обеспечат вам возможность принять правильное решение.
    Ваша способность ясно и доступно излагать информацию пригодится в общении с окружающими.
    Умение общаться, т.е. обмениваться информацией, становится одним из главных умений человека в современном мире.
    Следующая страница

  4. К чему может привести сегодня информационная безграмотность?

    Глава для любознательных

    Значение информатики в современном мире велико, как никогда. Качество и эффективность такого рода работ всё в большей степени начинают определять и качество, и эффективность экономики. По подсчётам академика А.А.Харкевича, суммарный информационный поток возрастает в среднем пропорционально квадрату промышленноо потенциала.
    Иначе говоря, увеличение вдвое производительных сил страны потребует четырёхкратного увеличения потока информации. Всё очевиднее возрастающая зависимость национального развития от состояния информационных ресурсов.
    Как считают американцы, чтобы быть сегодня в курсе новейших научно-технических достижений, "нужно иметь информацию едва ли не по всем важнейшим исследованиям, которые ведутся за рубежом".
    Информационная безграмотность в наши дни ведёт к технологическому банкротству и национальному унижению, к превращению страны в сырьевую колонию или свалку устаревших технологий.
    По оценкам центра технических перемен (Technical Change Centre), в 2000 году на информационный сектор приходилось до 45% всех работ.
    Эта ситуация позволяет говорить, что современное общество вступило в новую фазу - информационную.
    По определению американского социолога В.Т. Мартина, под информационным обществом понимается такое общество, которое находится на развитой постиндустриальной стадии и характеризуется высоким уровнем компьютеризации, большим объёмом информации, передаваемой при помощи электронных средств связи, и экономикой, в значительной степени определяемой свойствами информации.
    Информация сама по себе безлика и аморфна, до тех пор, пока человек не вдохнёт в неё жизнь. Если же внимательно посмотреть на историю человечества, на полную драматизма смену экономических и общественных формаций, то можно понять, что это движение есть не простое стремление к обладанию всё большими "благами", а выполнение точного и ясного предначертания. И если говорить о современном нам "информационном обществе", то это всего лишь один из шагов реализации этого замысла.
    Следующая страница

  5. Вследствие чего возросла степень уязвимости информации?

    Уязвимость информации

    Степень уязвимости перерабатываемой в вычислительных системах информации возрастает вследствие:
    - резкого увеличения объёмов циркулирующей в вычислительных системах информации;
    - концентрации в единых базах данных и базах знаний больших массивов информации различного вида и назначения;
    - создания и развития информационно-вычислительных сетей с высокой степенью автоматизации межмашинного обмена данными;
    - расширения круга лиц (пользователей, руководителей, обслуживающего, административного и вспомогательного персонала и др.), имеющих доступ к программно-техническим и информационным ресурсам вычислительных систем;
    - усложнения информационно-вычислительных процессов в вычислительных системах путём широкого внедрения мультипрограммного и мультипроцессорного режимов, режимов разделения времени и реального времени и др.
    В этих условиях возникает уязвимость двух видов:
    - возможность искажения или уничтожения информационных массивов, т.е. нарушения их физической целостности;
    - возможность несанкционированного использования информации, т.е. опасность утечки информации ограниченногопользования.

    Угрозы безопасности информации

    Потенциальные угрозы нарушения безопасности информации в вычислительных системах можно разделить на случайные(естественные) и преднамеренные (искусственные).
    Первые обусловлены нарушением функционирования вычислительных систем и связаны главным образом со стихийными бедствиями (пожар, электромагнитное излучение и др.) и ошибками в программах и работе лиц, взаимодействующих с комплексами средств вычислительных систем, с ошибками в работе персонала вычислительных систем, в работе штатных комплексов технических и программных средств.
    Вторые зависят от несанкционированного доступа к информации и связаны с незаконными действиями как зарегистрированных, так и незарегистрированных лиц.
    Преднамереннные угрозы включают, в частности, отключение средств защиты, внедрение программ-"вирусов" и т.д.


    Следующая страница

  6. Что понимается под сохранностью информации?

    Основные понятия защиты информации

    Основные понятия в теории защиты информации определяются следующим образом:
    Безопасность информации в вычислительных системах - свойство, характеризующее степень защищённости информационных массивов и заключающееся в способности не допускать случайного или целенаправленного искажения или разрушения, раскрытия или модификации информационных массивов в информационной базе вычислительной системы.
    Безопасности информации можно достигнуть в вычислительной системе с помощью технологических мер предосторожности и управляющих процедур, которые смогут гарантировать защищённость информационных массивов, помещённых в информационную базу вычислительной системы;
    Достоверность информации - свойство, характеризующее степень соответствия реальных информационных единиц (символов, знаков, записей, сообщений и т.д.) их истинному значению и заключающееся в способности обеспечить отсутствие ошибок переработки информации;
    Конфиденциальность информации - статус, предоставленный информационному массиву и согласованный между организацией или лицом, предоставляющим информационный массив, и организацией, получающей информацию. При этом под секретностью информации понимается право организаций и отдельных лиц решать, какие информационные массивы сделать общедоступными, а какие - скрыть от других, т.е. это понятие употребляется по отношению к организациям или отдельным лицам;
    Сохранность информации - свойство, характеризующее степень готовности определённых информационных массивов к целевому применению и заключающееся в способности обеспечивать постоянное наличие и своевременное предоставление информационных массивов, необходимых для автоматизированного решения целевых и функциональных задач вычислительных систем.
    Обеспечение достоверности информации заключается внедрением методов контроля и защиты информации , повышением надёжности комплекса технических и программных средств , административно-организационными мерами.
    Обеспечение сохранности информации состоит в обеспечении необходимого уровня сохранности информационных массивов путём введения специальной организации их хранения и подготовки.
    Обеспечение конфиденциальности информации заключается в обеспечении необходимого уровня путём преобразования привелегированной информации, контроля полномочий программно-технических средств.



    Следующая страница



  7. Какие условия защиты информации вы обеспечили бы в первую очередь?

    Основные понятия защиты информации

    В общем случае применяемые меры защиты информации будут приемлемы с экономической точки зрения, если эффективность защиты с её помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на её реализацию.
    Опыт разработки и создания реальных систем и средств защиты информации в настоящее время пока недостаточен.
    Однако известен ряд принципов, учёт которых позволяет уменьшить количество недостатков разрабатываемых средств защиты информации в вычислительных системах.


    Следующая страница



  8. Какой принцип защиты информации на ваш взгляд обеспечивает эффективнее других защиту информации?

    Принципы защиты информации

    - Полнота контроля (даёт возможность всесторонней проверки качества всех информационных массивов и полномочий любого обращения к любому защищаемому объекту вычислительной системы);
    - Простота механизмов защиты информации (обеспечивает отсутствие ошибок проектирования);
    - Обособленность механизмов защиты информации (минимизирует количество объектов вычислительной системы, использующих одинаковые параметры и характеристики любого механизма защиты);
    - Несекретность проектирования (выявляет и исправляет максимальное число недостатков средств защиты информации за счёт привлечения различных специалистов);
    - Разделение полномочий (обеспечивает достаточную гибкость и надёжность подсистемы защиты информации путём физического разнесения нескольких используемых ключей для открытия механизма защиты);
    - Минимальность полномочий (гарантирует использование объектами вычислительной системы только тех информационных массивов, которые необходимы им для выполнения своих функций);
    - Преобладание запретов над разрешениями (обеспечивает доступ и использование информационных массивов только в случае строгого выполнения определённых условий);
    - Психологическая привлекательность (уменьшает количество попыток лиц, взаимодействующих с комплексами, искать обходные пути для доступа к информационным массивам и их использованию);
    Следующая страница



  9. Какой способ защиты информации вы лично смогли бы обеспечить сегодня?

    Способы защиты информации

    Основными способами защиты информации от несанкционированного доступа и использования в вычислительных системах являются препятствие, контроль, управление доступом и преобразование информации
    Первый способ заключается в создании физического препятствия на пути к защищаемой информации и организации персонального автоматического (по индивидуальным жетонам, картам или ключам) и дистанционного (по специальным кодам) допуска к вычислительным системам.
    Второй способ защиты заключается в организации всестороннего контроля законности операций (особенно копирования информационных массивов), процесса переработки информации в вычислительной системе, включая контроль надёжности работы программно-математического обеспечения и персонала;
    контроля законности получения доступа к информационным массивам каждого объекта (оператора, терминала, файла, программы или её части) с целью предупреждения или обеспечения своевременной реакции на нарушение и защиту информации как от неавторизованного использования, так и от несанкционированного обслуживания системой.
    Контроль доступа к информации вычислительной системы реализуется последовательным применением трёх процедур:
    - идентификации (присвоения объектам вычислительной системы конкретных имён или кодов с целью последующего опознания и учёта фактов обращения, объединяемых в виде записей в так называемой "таблице авторизации" , которая хранится в памяти вычислительной системы);
    - аутентификации (проверки подлинности объекта с помощью определённой информации, содержащейся в "матрице доступа" и позволяющей убедиться в истинности обращения);
    - проверки полномочий (проверки информации, содержащейся в "матрице полномочий" по каждому объекту, о допустимых процедурах со стороны запрашиваемого).
    Третий способ заключается в регулировании использования всех информационных и программно-технических ресурсов системы в пределах установленного регламента, включая ограничения на обработку информационных массивов, содержащих важную информацию, с уничтожением программ, сформулировавших незаконный запрос-обращение к особо важным информационным массивам или прекращением работы.
    При этом осуществляется регистрация всех (удачных и неудачных) обращений и протоколирование попыток несанкционированного доступа для последующего анализа и принятия мер при наличии угроз.

    Следующая страница



  10. Какой из способов защиты информации кажется вам наиболее доступным для реализации на вашем компьютере?

    Способы защиты информации. Шифрование и кодирование

    Четвёртый способ защиты применяется для обеспечения необходимой скрытности информации как при переработке и хранении информационного массива, так и при организации информационного обмена для получения допуска к ресурсам вычислительной системы, а при передаче особо важной информации является единственным способом надёжной защиты.
    Способ имеет четыре разновидности: маскировку, необратимые преобразования, шифрование и кодирование.
    В случае маскировки защищаемые информационные массивы преобразуются таким образом, чтобы их содержание было доступно лишь при предъявлении некоторой специфической информации и осуществлении обратных преобразований.
    При этом скрывается сам факт наличия информации.
    В результате "необратимых преобразований" информационные массивы реформируются настолько, что для их раскрытия требуется применять специальные технические средства.
    Шифрование и кодирование позволяют скрывать содержание (смысл) информационного массива при помощи, как правило, алфавитно-цифровых и цифровых кодов соответственно.
    Множество методов и средств, реализующих перечисленные способы защиты информации, можно разделить на организационные (административные, физические и законодательные) и технические (аппаратные, программные, криптографические).
    Наибольшую актуальность представляет создание программных и программно-криптографических средств защиты информации.
    Следующая страница



  11. Предложите один из алгоритмов, способный по вашему мнению защитить информацию

    Программные методы защиты информации

    Под программными методами защиты информации понимается комплекс специальных алгоритмов и компонентов общего программного обеспечения вычислительных систем, предназначенных для выполнения функций контроля, разграничения доступа и исключения несанкционированного доступа.
    Программные методы являются наиболее распространёнными методами защиты информации вследствие их универсальности, гибкости , простоты реализации, возможности развития и адаптации к изменяющимся условиям эксплуатации вычислительных систем и т.д.
    Однако они также имеют ряд недостатков, таких, как расходование ресурсов центрального процессора вычислительной системы на их функционирование, возможность несанкционированного изменения, невозможности их реализации там, где отсутствует центральный процессор.
    Программная защита, как правило, применяется там, где введение и использование других методов и средств защиты информации затруднено.
    По функциональному назначению множество существующих программных методов можно разделить на несколько групп.
    Контроль и защита программных массивов осуществляется путём проверок по контрольным суммам, перезагрузки, организации точек входа, дублирования, криптографического закрытия, модульного диалога и т.п.
    Вспомогательные программы защиты информации обеспечивают уничтожение остаточной информации на магнитных носителях, категорирование грифованной информации, формирование грифа секретности выдаваемых документов, имитацию работы с нарушителем для отвлечения его внимания и накопления сведений о характере запросов, ведение регистрационных журналов (для каждого запроса фиксируется выделяемое вычислительной системой время, информационный массив, используемый терминал, суть запроса или задания, а также информация о том, был разрешён доступ или нет), общий контроль функционирования подсистемы защиты информации при схемных и программных сбоях.
    Следующая страница



  12. Предложите свой способ шифрования какого-либо сообщения

    Криптографические методы защиты информации

    Это комплекс алгоритмов и процедур преобразования (шифрование и кодирование) информации, обеспечивающих скрытие смыслового содержания информационного массива.
    Методы защитных преобразований при передаче данных используются уже давно, поэтому требования к ним практически сформировались.
    1. Применяемый метод должен быть надёжным (применяемый шифр - достаточно "стойким"), т.е. попытка раскрыть исходный информационный массив, имея только преобразованный информационный массив, должна быть невыполнимой;
    2. Объём ключа не должен затруднять его запоминание и пересылку, т.е. должен быть небольшим;
    3. Объём преобразованного информационного массива и ключ, используемые для шифрования (кодирования) и дешифрования (декодирования), не должны быть очень сложными:
    затраты на защитные преобразования должны быть приемлемы при заданном уровне конфиденциальности информационного массива;
    4. Ошибки шифрования не должны вызывать потерю информации. Из-за появления ошибок передачи информационных массивов по каналам связи не должна исключаться возможность его надёжной расшифровки на приёмном конце.
    5. Длина преобразованного информационного массива не должна превышать исходного информационного массива, что обусловлено трудоёмкостью передачи преобразованного информационного массива по каналам связи;
    6. Необходимые временные и стоимостные ресурсы на шифрование и дешифрование информации определяются требуемым уровнем конфиденциальности информации.
    Перечисленные требования характерны в основном для традиционных защитных преобразований и не учитывают возможности компьютерной переработки информации , в то время как в вычислительных системах можно ослабить жёсткие ограниченияя по следующим требованиям:
      - второму - в связи с наличием устройств памяти, позволяющих с большой плотностью записывать и надёжно хранить длительное время большие объёмы информации;
      - третьему - вследствие сохранения в настоящее время значительного несоответствия между высокой скоростью передачи информации и менеее высокой скоростью переработки информации, хотя, с другой стороны, появление и развитие электронных средств позволили разработать недорогие устройства преобразования информации;
      - четвёртому - из-за высокой надёжности аппаратуры связи и развитых методов обнаружения и исправления ошибок и применения обратной связи для повторной передачи искажённых информационных массивов;
    Следующая страница



  13. Попробуйте сравнить эффективность защиты информации двумя методами на выбор

    Криптографические методы защиты информации

    Вместе с тем первое требование значительно повышается, что обусловливается возможностью использования быстродействующих ЭВМ для поиска ключа, а также тем, что результаты переработки данных на ЭВМ и пересылаемые программы на языках программирования отличаются минимумом изобразительных средств и жёстким синтаксисом, что в свою очередь облегчает дешифрацию информационного массива потенциальным нарушителем.
    Таким образом, применение криптографических методов защиты информации в вычислительных системах позволяет сформулировать и особые требования, в частности:
      - шифрование информационных массивов в базах данных и базах знаний должно выполняться в пределах одной записи, так как возможна непоследовательная переработка нескольких записей;
      - все операции с информационными массивами и базами данных и базами знаний, не связанные с вычислительной или логической переработкой, должны проводиться на преобразованном информационном массиве, чтобы не перегружать вычислительную систему дополнительной работой по преобразованиям (прямым и обратным) информационных массивов.
    В той или иной степени этим требованиям отвечают некоторые криптоалгоритмы замены, перестановки, гаммирования, алгебры матриц. Эти криптоалгоритмы и составляют основу криптографических методов.
    При этом методы перестановки и подстановки (замены) обычно характеризуются короткой длиной ключа, а их надёжность определяется сложностью алгоритмов преобразования.
    Для аддитивных методов характерны простые алгоритмы преобразования, а их надёжность основана на увеличении длины ключа.
    Стойкость криптоалгоритма у простых методов преобразования низка, и уже при незначительном объёме преобразованного информационного массива криптоалгоритм можно вскрыть статистическим путём.
    Сложные методы преобразования (например, гаммирование при бесконечной длине ключа-гаммы) являются достаточно стойкими относительно вскрытия их статистическими методами.
    Однако при наличии дополнительной преобразованной информации и сложные методы не могут обеспечить в практическом плане абсолютной защиты информации.
    Стойкость криптоалгоритма в общем случае связана с практической вычислительной сложностью их раскрытия и должна, по правилу Керкхоффа, определяться только секретностью ключа. В качестве выражения для стойкости используется среднее количество работы, необходимой для нахождения ключа на основе N знаков преобразованного информационного массива при использовании наилучшего из известных методов анализа данного криптоалгоритма.
    Следующая страница



  14. Составьте для себя комплекс первоочередных мер по защите значимой для вас информации

    Заключение

    Результаты теоретических исследований показали, что только обоснованное комплексирование мероприятий, мер, способов, методов и средств защиты информации позволит обеспечить необходимый уровень защищённости информации в вычислительной системе с учётом её архитектуры и вариантов использования.
    Благодаря своей гибкости и относительной дешевизне программные (включая программно-криптографические) методы и средства защиты информации представляют первоочередной интерес для пользователей вычислительных систем.
    В начало страницы

      © Куликов И.Г. 2004