Защита компьютерных баз данных

     Одним из удачных примеров создания комплексного решения для контроля доступа  к компьютерной информации в открытых системах, основанного как на программных, так и на аппаратных средствах  защиты, стала система Kerberos. В основе этой схемы авторизации лежат три компонента:

     - База данных, содержащая информацию по всем сетевым ресурсам,

     пользователям, паролям, шифровальным ключам и т.д.

     - Авторизационный сервер (authentication server), обрабатывающий все запросы

     пользователей на предмет получения того или  иного вида сетевых услуг.

     Авторизационный сервер, получая запрос от пользователя, обращается к базе

     данных  и определяет, имеет ли пользователь право на совершение данной

     операции. Примечательно, что пароли пользователей  по сети не передаются,

     что также повышает степень защиты информации.

     - Ticket-granting server (сервер выдачи разрешений) получает от

     авторизационного сервера “пропуск”, содержащий имя пользователя и его

     сетевой адрес, время запроса и ряд  других параметров, а также уникальный

     сессионный  ключ. Пакет, содержащий “пропуск”, передается также в

     зашифрованном по алгоритму DES виде. После получения и расшифровки

     “пропуска”  сервер выдачи разрешений проверяет  запрос и сравнивает ключи и 

     затем дает “добро” на использование  сетевой аппаратуры или программ.

     Среди других подобных комплексных схем можно  отметить разработанную Европейской  Ассоциацией Производителей Компьютеров (ECMA) систему Sesame (Secure European System for Applications in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.

     По  мере расширения деятельности предприятий, роста численности персонала  и появления новых филиалов, возникает  необходимость доступа удаленных  пользователей (или групп пользователей) к вычислительным и информационным ресурсам главного офиса компании. Компания Datapro свидетельствует, что уже в 1995 году только в США число работников постоянно или временно использующих удаленный доступ к компьютерным сетям, составит 25 миллионов человек. Чаще всего для организации удаленного доступа используцются кабельные линии (обычные телефонные или выделенные) и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. В частности, в маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям,- что делает невозможным “перехват” данных при незаконном несанкционированном подключении правонарушителя “хакера” к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможности расшифровки “перехваченных” данных. Кроме того, маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети главного офиса.

     Также разработаны и специальные устройства контроля доступа к компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль Remote Port Security Device (PRSD), представляющий собой два блока размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют установить несколько уровней защиты и контроля доступа, в частности:

     - шифрование данных, передаваемых по линии при помощи генерируемых

     цифровых  ключей;

     - контроль доступа в зависимости от дня недели или времени суток (всего 14

     ограничений).

     Широкое распространение радиосетей в последние  годы поставило разработчиков радиосистем  перед необходимостью защиты информации от “хакеров”, вооруженных разнообразными сканирующими устройствами. Были применены  разнообразные технические решения. Например, в радиосети компании RAM Mobil Data информационные пакеты передаются через разные каналы и базовые станции, что делает практически невозможным для посторонних собрать всю передаваемую информацию воедино. Активно используются в радио сетях и технологии шифрования данных при помощи алгоритмов DES и RSA.

     Шифрование  компьютерной информации. Сложность создания системы защиты информации определяется тем, что данные могут быть похищены преступником из компьютера и одновременно оставаться на месте; ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении. Обеспечение безопасности информации - дорогое дело, и не столько из-за затрат на закупку или установку средств, сколько из-за того, что трудно квалифицированно определить границы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии. Если локальная сеть разрабатывалась в целях совместного использования лицензионных программных средств, дорогих цветных принтеров или больших файлов общедоступной информации, то нет никакой потребности даже в минимальных системах шифрования/дешифрования информации.

     Средства  защиты информации нельзя проектировать, покупать или устанавливать до тех  пор, пока не произведен соответствующий  анализ. Анализ риска должен дать объективную  оценку многих факторов (подверженность появлению нарушения работы, вероятность  появления нарушения работы, ущерб  от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности. Коммерческие организации все в  большей степени переносят критическую  корпоративную информацию с больших  вычислительных систем в среду открытых систем и встречаются с новыми и сложными проблемами при реализации и эксплуатации системы безопасности. Сегодня все больше организаций  разворачивают мощные распределенные базы данных и приложения клиент/сервер для управления коммерческими данными. При увеличении распределения возрастает также и риск неавторизованного  доступа к данным и их искажения.

     Шифрование  данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые  шифрованием для обеспечения  конфиденциальности информации.

     Практика  экономически развитых стран, прежде всего  США показывает, что финансовые службы компаний представляют важную и большую пользовательскую базу и часто специфические требования предъявляются к алгоритму, используемому в процессе шифрования. Опубликованные алгоритмы, например DES (см. ниже), являются обязательными. В то же время, рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведомства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy).

     Шифрование  данных может осуществляться в режимах  On-line (в темпе поступления информации) и Off-line (автономном). Наибольший интерес и практическое применение имеет первый тип с его основными алгоритмами.

     Стандарт  шифрования данных DES (Data Encryption Standart) был разработан фирмой IBM в начале 70-х годов и в настоящее время является правительственным стандартом для шифрования цифровой информации. Он рекомендован Ассоциацией Американских Банкиров. Сложный алгоритм DES использует ключ длиной 56 бит и 8 битов проверки на четность и требует от злоумышленника перебора 72 квадрилионов возможных ключевых комбинаций, обеспечивая высокую степень защиты при небольших расходах. При частой смене ключей алгоритм удовлетворительно решает проблему превращения конфиденциальной информации в недоступную.

     Алгоритм RSA был изобретен Ривестом, Шамиром и Альдеманом в 1976 году и представляет собой значительный шаг в криптографии. Этот алгоритм также был принят в качестве стандарта Национальным Бюро Стандартов DES, технически является СИММЕТРИЧНЫМ алгоритмом, а RSA -- АСИММЕТРИЧНЫМ, то есть он использует разные ключи при шифровании и дешифровании. Пользователи имеют два ключа и могут широко распространять свой открытый ключ. Открытый ключ используется для шифрованием сообщения пользователем, но только определенный получатель может дешифровать его своим секретным ключом; открытый ключ бесполезен для дешифрования. Это делает ненужными секретные соглашения о передаче ключей между корреспондентами. DES определяет длину данных и ключа в битах, а RSA может быть реализован при любой длине ключа. Чем длиннее ключ, тем выше уровень безопасности (но становится длительнее и процесс шифрования и дешифрования). Если ключи DES можно сгенерировать за микросекунды, то примерное время генерации ключа RSA - десятки секунд. Поэтому открытые ключи RSA предпочитают разработчики программных средств, а секретные ключи DES - разработчики аппаратуры.  

6.ВЫВОДЫ.

     Проведенное в настоящей работе исследование российского уголовного законодательства в сфере компьютерной информации, раскрытие понятия, состава преступлений в сфере компьютерной информации, рассмотрение отдельных видов компьютерных преступлений и способов защиты компьютерной информации от преступных посягательств  позволяет сделать следующие  выводы:

     1) В настоящее время в нашей  стране накоплена богатая научно-теоретическая  база, которая свидетельствует о  складывающемся устойчивом правовом  механизме, нацеленным на защиту компьютерной информации. В 1992 году был принят Закон России о правовой охране программ для электронно-вычислительных машин и баз данных, в 1994 году — Гражданский кодекс, который содержит ряд норм, связанных с компьютерной информацией, в 1995 году — Федеральный закон об информации, информатизации и защите информации. Логическим развитием правовой системы, создающей условия безопасности компьютерной информации, стала разработка в УК РФ 1996 года группы статей, предусматривающих основания уголовной ответственности за так называемые компьютерные преступления.

     2) Однако, в действующем российском  законодательстве пока еще нет  четкого представления о правовом  механизме защиты компьютерной  информации как целостной разработанной  правовой системы. Компьютерная  преступность не знает границ, она выходит за пределы российской  действительности. Это международное  понятие и бороться с ней  надо согласованно и сообща. С  внедрением в человеческую жизнь  новых компьютерных технологий, когда обмен информацией стал  быстрым, дешевым и эффективным,  преступность в информационной  сфере переросла за рамки тех  уголовно-правовых норм, направленных  для борьбы с ней. Компьютерные  преступления условно можно подразделить  на две большие категории - преступления, связанные с вмешательством в работу компьютеров, и преступления, использующие компьютеры как необходимые технические средства.

     3) Проблемы информационной безопасности  постоянно усугубляется процессами  незаконного несанкционированного  проникновения практически во  все сферы деятельности общества  технических средств обработки  и передачи данных и прежде  всего компьютерных вычислительных  систем. Не случайно поэтому защита компьютерной информации становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано три базовых принципа информационной безопасности, которая должна обеспечивать:

     целостность данных - защиту от несанкционированных сбоев, ведущих к потере информации, а также неавторизованного, несанкционированного, противоправного создания или уничтожения данных.

     конфиденциальность (законность) информации

     доступность для всех авторизованных зарегистрированных пользователей

     защита  компьютерной информации от противоправного посягательства (копирование, хищение, распространение, подделка);

     Анализ  действующего российского уголовного законодательства в сфере компьютерной информации позволяет говорить о  необходимости нескольких правовых проблем, которые могут быть рассмотрены  в качестве составных частей правового  механизма защиты компьютерной информации:

     1. Установление контроля над несанкционируемым, противоправным доступом к компьютерным информационным данным системы¹⁵.

     2. Ответственность за выполнение  технологических операций, связанных  с правовой защитой компьютерной  информации.

     Среди наиболее эффективным мер, направленных на предупреждение преступлений в сфере компьютерной информации выделяют технические, организационные и правовые.  

7.Литература

1. Батурин Ю.М. Компьютерная преступность и компьютерная безопасность. - М., 2001г, стр. 29-32.
2. Беляев В.С. Безопасность в распределительных системах. – М., 1999г, стр. 89-91.
3. Борзенков Г.Н. Крмиссаров В.С. Уголовное право Российской Федерации. – М.: Олимп, 1998г, стр. 33-42.
4. Ведеев Д.В. Защита данных в компьютерных сетях. - М., 1998, стр. 55-78.
5. Здравомыслов Б.В. Уголовное право России. Особенная часть. – М.: Юристъ, 1996, стр. 98-105
6. Копылов В.А. Информационное право. – М.:Юристъ, 2002г, стр. 40-43.
7. Наумов А.В. Комментарий к Уголовному кодексу. – М.:Юристъ, 1997г, стр. 23-48.
8. Скуратов Ю.И. Лебедев В.М. Комментарий к Уголовному кодексу. – М., 1996г, стр. 45-67.