Программы контроля
Основное назначение программы контроля состоит в контроле состояния основных компонентов механизма защиты, соблюдение правил использования защищаемых данных и соблюдение правил использования механизма защиты.
Контроль состояния компонентов механизма защиты заключается в проверке их исправности и способности выполнять свои функции. В простейшем случае программы контроля представляют собой обычные диагностические программы, с помощью которых проверяется работоспособность технических и программных средств защиты. В развитых вариантах для контроля разрабатывается специальный пакет программ.
Под регистрацией в современных системах обеспечения безопасности информации понимают совокупность средств и методов, используемых для регулярного сбора, фиксации, обработки выдачи сведений о всех запросах, содержащих обращение к защищаемым данным. Наиболее распространенной формой регистрации является программное ведение специальных регистрационных журналов. В регистрационном журнале рекомендуется фиксировать время поступления запроса, имя терминала, с которого поступил запрос, и т.п. события. Однако, если не принять специальных мер, то при систематическом сборе остаточной информации из журналов можно непосредственно получить защищаемую информацию, а считав пароли, можно замаскироваться под зарегистрированного пользователя и получить несанкционированный доступ к данным в соответствии с его полномочиями. Поэтому надежная ЗИ невозможна без принятия мер для своевременного уничтожения остаточной информации. Такое уничтожение может быть надежно осуществлено двух-, трехкратной записью в соответствующих областях памяти произвольной комбинацией нулей и единиц.
Под аварийным уничтожением информации понимают такое ее уничтожение, которое осуществляется по специальным командам в тех случаях, когда обнаруживается неотвратимая опасность несанкционированного доступа. Осуществляется оно программными средствами путем посылки в соответствующие области памяти комбинаций нулей и единиц.
Программы сигнализации предназначены, с одной стороны, для предупреждения пользователей о необходимости соблюдать предосторожности при работе с секретными данными, а, с другой, — для своевременного предупреждения специалистов службы безопасности, администрации и пользователей АС о несанкционированных действиях.
Первый вид сигнализации осуществляется путем автоматического формирования и присвоения специального признака (грифа секретности) всем выдаваемым на печать или устройство отображения документам, содержащим защищаемую информацию.
Второй вид сигнализации осуществляется путем формирования и выдачи (подачи) службе безопасности, администрации и пользователям АС специальных сигналов обнаружения попыток несанкционированных действий, следствием которых может быть несанкционированный доступ к защищаемой информации.
Глава 18
Криптографическая защита
До недавнего времени криптография представляла интерес главным образом для военных и дипломатов. Частные лица и коммерческие организации редко считали необходимым прибегать к шифрованию для защиты своей корреспонденции, а если и прибегали, то, как правило, без достаточной тщательности. Однако в силу целого ряда обстоятельств интерес к применению криптографии резко повысился.
В настоящее время количество областей, в которых средства электронной связи заменяют бумажную переписку, быстро увеличивается. В результате увеличивается и доступный для перехвата объем информации, а сам перехват становится более легким. Однако те же самые факторы, которые способствуют распространению электронных средств связи, заметно снижают также затраты на криптографию.
В случае передачи данных электронной почтой перехват оказывается даже еще более легким, чем в случае телефонной связи, поскольку при телефонной связи перехватчик не имеет возможности различать содержание сообщения, если только не используется человек-наблюдатель. При передаче данных материал находится в форме, пригодной для восприятия вычислительной машиной, и подобных ограничений не возникает.
Стоимость перехвата со временем все более уменьшается. В результате этого возрастает интерес к криптографии как у частных лиц, так и у коммерческих организаций. Особенную остроту проблема криптографической защиты приобрела с бурным развитием электронной почты и систем электронных платежей.
