Продолжающееся бурное развитие компьютерных технологий и сетей кардинально изменяет устоявшиеся способы ведения бизнеса. Системы корпоративной безопасности, обеспечивающие бизнес, тоже не могут оставаться в стороне.
В настоящее время, например, средства электронной почты, используются не только для общения между людьми, а для передачи контрактов и конфиденциальной финансовой информации. Web сервера используются не только для рекламных целей, но и для распространения программного обеспечения и электронной коммерции. Электронная почта, доступ к Web серверу, электронная коммерция, VPN требуют применения дополнительных средств для обеспечения конфиденциальности, аутентификации, контроля доступа, целостности и идентификации. В настоящее время в качестве таких средств используется стойкая криптография.
Принципы информационной безопасности:
• Комплексность: согласование всех разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее элементов.
• Непрерывность: принятие соответствующих мер защиты на всех этапах жизненного цикла ИС от разработки до завершения этапа функционирования.
• Достаточность: при достаточном времени и средствах преодолевается любая защита. Поэтому имеет смысл создавать только достаточный уровень защиты, при котором затраты, риск, размер возможного ущерба были бы приемлемы.
• Открытость механизмов защиты: Знание алгоритмов защиты не должно давать средств и возможностей ее преодоления. Это не означает, что информация о системе защиты должна быть общедоступна. параметры системы должны быть также защищены.
• Простота применения: Механизмы защиты должны быть понятны и просты в использовании. Не должны использоваться специальные языки, малопонятные или трудоемкие для пользователя дополнительные действия.
Система криптографической защиты должна обеспечивать:
• Конфиденциальность - Информация должна быть защищена от несанкционированного прочтения как при хранении, так и при передаче. Если сравнивать с бумажной технологией, то это аналогично запечатыванию информации в конверт. Содержание становится известно только после того, как будет открыт запечатанный конверт. В системах криптографической защиты обеспечивается шифрованием.
• Контроль доступа - Информация должна быть доступна только для того, для кого она предназначена. Если сравнивать с бумажной технологией, то только разрешенный получатель может открыть запечатанный конверт. В системах криптографической защиты обеспечивается шифрованием.
• Аутентификацию - Возможность однозначно идентифицировать отправителя. Если сравнивать с бумажной технологией, то это аналогично подписи отправителя. В системах криптографической защиты обеспечивается электронной цифровой подписью и сертификатом.
• Целостность - Информация должна быть защищена от несанкционированной модификации как при хранении, так и при передаче. В системах криптографической защиты обеспечивается электронной цифровой подписью и имитозащитой.
• Неотрекаемость - Отправитель не может отказаться от совершенного действия. Если сравнивать с бумажной технологией, то это аналогично предъявлению отправителем паспорта перед выполнением действия. В системах криптографической защиты обеспечивается электронной цифровой подписью и сертификатом.
Основные термины и понятия:
• Криптография - наука о методах преобразования (шифрования) инфор¬мации с целью ее защиты от незаконных пользователей.
• Стеганография - набор средств и методов сокрытия факта передачи со¬общения.
• Шифр - способ, метод преобразования информации с целью ее защиты от незаконных пользователей.
Комментариев нет:
Отправить комментарий