Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

Ця технологія проникла в галузь економічного аналізу, моделю­вання різноманітних конструкцій, вона незамінна на виробниц­тві, проникає в рекламну діяльність, робить цікавим дозвілля.

Зображення, які формуються та обробляються за допомогою цифрового процесора, можуть бути демонстраційними та аніма-ційними. До першої групи, як правило, відносять комерційну (ді­лову) та илюстративну графіку, до другої — інженерну та наукову, а також зв'язану з рекламою, мистецтвом, іграми, коли виводяться не тільки поодинокі зображення, але й послідовність кадрів у виг­ляді фільму (інтерактивний варіант).

Інтерактивнамашиннаграфікаєоднією з найбільш прогресив­них напрямів серед нових інформаційних технологій. Цей напрям бурхливо розвивається з появою нових графічних станцій та спе­ціалізованого програмного забезпечення, яке дозволяє створю­вати реалістичні об'ємні рухомі зображення, що за якістю можна порівняти з кадрами відеофільму.

Програмно-технічна організація обміну з комп'ютером тек­стовою, графічною, аудіо- та відеоінформацією одержала назву мультимедіа-технології. Таку технологію реалізують спеціальні програмні засоби, що мають вбудовану підтримку мультимедії та дозволяють використовувати її в професійній діяльності, нав­чально-освітніх, науково-популярних та ігрових галузях. При застосуванні цієї технологи в професійній діяльності відкрива­ються реальні перспективи використати комп'ютер для озвучу­вання зображень, а також розуміння ним людської мови, ведення комп'ютером діалогу зі спеціалістом на його рідній мові. Здат­ність комп'ютера з голосу сприймати нескладні команди керу­вання програмами, відкриванням файлів, виведенням інформа­ції на друк та іншими операціями створює сприятливі умови для взаємодії з ними в процесі професійної діяльності.

Інформаційна технологія доступу до ресурсів

За типом користувальницького інтерфейсу можна розгля­дати інформаційні технології з точки зору можливостей доступу

Частина II.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

користувача до інформаційних та обчислювальних ресурсів. Так, пакетна інформаційна технологія виключає можливість корис­тувача впливати на оброблення інформації, поки вона здійс­нюється в автоматичному режимі. Це пояснюється організацією оброблення, яка заснована на виконанні програмно-заданої по­слідовності операцій над заздалегідь накопиченими в системі та об'єднаними в пакет даними.

На відміну від пакетної діалогова інформаційна технологія надає користувачеві необмежену можливість взаємодіяти інфор­маційними ресурсами, які зберігаються в системі, в реальному масштабі часу, одержуючи при цьому всю необхідну інформацію для виконання функціональних завдань та прийняття рішення.

Інтерфейс мережної інформаційної технології надає ко­ристувачеві засоби теледоступу до територіально розподілених інформаційних та обчислювальних ресурсів завдяки розвине­ним засобам зв'язку, що робить такі інформаційні технології ба­гатофункціональними та передбачає їхнє широке застосування.

Основні тенденції розвитку інформаційних технологій

На теперішній час спостерігається тенденція до об'єднання різноманітних типів інформаційних технологій в єдиний комп'ютерно-технологічний комплекс, який носить назву інтег­рованого. Особливе місце в ньому належить засобам комунікації, які забезпечують не тільки надзвичайно широкі технологічні мож­ливості автоматизації управлінської діяльності, але й самі власне є основою створення найрізноманітніших мережних варіантів інформаційних технологій: локальних,багаторівневих,розподіле-них, глобальних обчислювальних мереж,електронної пошти, циф­рових мереж інтегрального обслуговування. Усі вони орієнтовані на технологічну взаємодію об'єктів, створених засобами переда­вання, оброблення, нагромадження та зберігання, захисту даних, представляють собою інтегровані комп'ютерні системи оброблен­ня інформації (даних) великої складності, практично необмеже­них експлуатаційних можливостей для реалізації управлінських процесів в будь-якій галузі діяльності.

і Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

Інтегровані комп'ютерні системи оброблення даних проек­туються як складний інформаційно-технологічний та програм­ний комплекс. Він підтримує єдиний спосіб подання даних та взаємодію користувачів з компонентами системи, забезпечує ін­формаційні та обчислювальні потреби спеціалістів в їхній про­фесійній роботі. Особливе значення в таких системах надається захисту інформації при її передаванні та обробленні. Найбіль­ше розповсюдження при захисті інформації одержали апарат­но-програмні способи. Зокрема, використання системи зв'язку, вибраної за захисними властивостями та якістю обслуговування, гарантує збереження інформації в процесі^передавання та до­ставки її адресату; зашифровування та розшифровування даних абонентами мережі мереж загального користування здійснюєть­ся при домовленості користувачів про загальні технічні засоби, алгоритми шифрування і т.ін.

Підвищення вимог до оперативності інформаційного обміну та управління, а отже, до терміновості оброблення інформації привело до створення не тільки локальних, але і до багаторівневих та розподілених систем організаційного управління об'єктами, яким є, наприклад, банківські, постачальницькі, статистичні та інші служби, їхнє інформаційне забезпечення реалізують мережі автоматизованих банків даних, які будуються з урахуванням ор­ганізаційно-функціональної структури відповідного багаторів­невого об'єкта, машинного ведення інформаційних масивів. Цю проблему в нових інформаційних технологіях вирішують роз­поділені системи оброблення даних з використанням каналів зв'язку для обміну інформацією між базами даних різних рівнів. За рахунок ускладнення програмних засобів керування базами даних підвищується швидкість, забезпечуються захист та до­стовірність інформації при виконанні розрахунків та вироблен­ня управлінських рішень.

В багаторівневих та розподілених комп'ютерних інформа­ційних системах організаційного управління однаково успішно можуть бути вирішені як проблеми оперативної роботи з інфор­мацією, так і проблема аналізу економічних ситуацій при вироб­ленні та прийнятті управлінських рішень. Зокрема, автоматизо­вані робочі місця спеціалістів надають можливість користувачам

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

працювати в діалоговому режимі, оперативно вирішувати поточ­ні завдання, зручно вводити дані з термінала, вести їхній візуаль­ний контроль, викликати необхідну інформацію для оброблення, визначати вірогідність результативної інформації та виводити її на екран, принтер або передавати її каналами зв'язку.

На теперішній час надзвичайно гостро стоїть потреба в ана­літичній роботі. Виникає необхідність у накопиченні фактів, до­свіду, знань у кожній конкретній галузі управлінської діяльності. Переважає зацікавленість у ретельному дослідженні конкретних економічних, комерційних, виробничих ситуацій з метою прий­няття в оперативному порядку обґрунтованих та найбільш при­йнятних рішень. Це завдання вирішується подальшим удоскона­ленням інтегрованого оброблення інформації, коли нова інфор­маційна технологія починає включати в роботу бази знань.

Під базою знань розуміють складну, детально змодельовану структуру інформаційних сукупностей, які описують усі особ­ливості предметної частини, включаючи факти (фактичні знан­ня), правила (знання умов для прийняття рішення) та метазна­ния (знання про знання), тобто знання, які стосуються способів використання знань та їхні властивості. База знань є найваж­ливішим елементом, який найчастіше створюється на робочому місці спеціаліста експертної системи, яка виступає в ролі нагро-маджувача знань у конкретній галузі професійної діяльності та порадника фахівцеві при аналізі ситуацій та вироблення управ­лінських впливів.

Виділяють п'ять основних тенденцій розвитку інформацій­них технологій.

Перша тенденція пов'язана із зміною характеристик інфор­маційного продукту, який все більше перетворюється на гібрид між результатом розрахунково-аналітичної роботи та специфіч­ною послугою, що надається індивідуальному користувачеві ПЕОМ.

Відзначається здатність до паралельної взаємодії логічних елементі інформаційних технологій, сполучення всіх видів ін­формації (тексту, образів, цифр, звуків) з орієнтацією на одно­часне сприйняття людиною через органи чуття.

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

Прогнозується ліквідація всіх проміжних ланок на шляху від джерела інформації до його споживача.

Провідною є тенденція до глобалізації інформаційних техно­логій в результаті використання супутникового зв'язку та всес­вітньої мережі Internet, завдяки чому люди зможуть спілкуватися між собою та із загальною базою даних, знаходячись у будь-якій точці планети.

Останньою межою сучасного процесу розвитку інформацій-; них технологій є конвергенція, яка полягає у стиранні відміннос­тей між сферами матеріального виробництва та інформаційного бізнесу, в максимальній диверсифікації видів діяльності фірм і корпорацій, взаємопроникнення різних галузей промисловості, фінансового сектору та сфери послуг.

6.3.4. Основні проблеми безпеки інформаційних технологій

Проблеми безпеки інформаційних технологій виникли на пе­ретині двох передовиху плані використання технічних досягнень напрямів — безпеки технологій та інформатизації. В умовах, коли об'єкт захисту представляє собою інформаційну систему, або коли {засоби нападу мають форму інформаційних впливів, необхідно ^застосовувати цілком нові технології та методи захисту. Можна %дідійти до систематизації ситуації із забезпеченням безпеки ін­формаційних технологій наступним чином (рис. 6.11) [33].

Насамперед слід відзначити, що сучасні комп'ютери набули великої обчислювальної потужності, але разом з тим стали на­багато простішими в експлуатації. Це означає, означає, що ко­ристуватися ними стало набагато легше, завдяки чому все біль­ша кількість нових, як правило, некваліфікованих людей одержа­ли доступ до комп'ютерів, що призводить до зниження середньої кваліфікації користувачів.

Ця тенденція суттєво полегшує завдання порушникам, так як в результаті «персоналізації» засобів обчислювальної техніки більшість користувачів мають особисті комп'ютери та здійсню-

ють їхнє адміністрування самостійно. Більшість з них не можуть постійно підтримувати безпеку цих систем на належному рівні із-за відсутності відповідних знань, навичок, а також часу и за­собів.

Широке поширення мережних технологій об'єднало окремі машини в локальні мережі, які спільно використовують загальні ресурси, а застосування технологій клієнт-сервер та кластериза-ції перетворило такі мережі в розподілені обчислювальні середо-

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

1_

вища. Безпека мережі визначається захищеністю всіх комп'ютерів та мережаного обладнання, що входить до її складу, і зловмисни­кові достатньо порушити роботу тільки однієї компоненти, щоб скомпрометувати всю мережу.

Сучасні телекомунікаційні технологій об'єднали локальні комп'ютерні мережі в глобальне інформаційне середовище. Це призвело до появи такого унікального явища як Internet. Саме розвиток Internet викликав хвилю інтересу до проблеми інфор­маційної безпеки та поставив питання про обов'язкову наяв­ність засобів захисту в систем та мереж, які приєднуються до Internet, незалежно до характеру інформації, яка оброблюється в них. Справа в тому, що Internet забезпечує широкі можливості зловмисникам для здійснення порушень безпеки в глобальному масштабі. Якщо комп'ютер, який є об'єктом впливу (атаки), при­єднаний до Internet, то для атакуючого не має значення де він знаходиться — у сусідній кімнаті чи на іншому континенті.

Інша проблема безпеки інформаційних технологій виклика­на бурхливим розвитком програмного забезпечення. Практика показує, що більшість поширених сучасних програмних засобів, в першу чергу операційних систем, не відповідає навіть міні­мальним вимогам безпеки, хоча їхні розробника останнім часом здійснюють певні зусилля у цьому напрямку.

У першу чергу це проявляється у наявності вад у роботі за­собів захисту та наявності великої кількості різноманітних «не-документо-ваних» можливостей. Після їхнього виявлення багато вад ліквідовуються за допомогою оновлення версій та додатко­вих засобів, проте та сталість, з якою виявляються все нові та нові вади, не може не викликати побоювань. На теперішній час можна стверджувати, що більшість систем надають зловмисни­кам широкі можливості для здійснення порушень.

Розвиток гнучких та мобільних технологій оброблення ін­формації привів до того, що практично зникає грань між дани­ми, які оброблюються, та програмами, за якими вони оброблю­ються, за рахунок широкого поширення віртуальних машин та інтерпретаторів.

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Тепер будь-який розвинений додаток від текстового процесо­ра до броузера Internet не просто обробляє дані, а інтерпретує ін­тегровані в них інструкції спеціальних мов програмування, тобто по суті є окремою машиною з традиційною фон-нейманівською архітектурою, для якої можна створювати засоби нападу, віруси і т.ін. Це збільшує можливості зловмисників із створення засобів впровадженніу чужі системи таутруднює завдання захисту подіб­них систем, так як наявність таких «вкладених» систем потребує і реалізації захисту для кожного рівня.

Невідповідність бурхливого розвитку засобів оброблення інформації та повільного відпрацювання теорії інформаційної безпеки привели до появи суттєвого розриву між теоретичними моделями безпеки, які оперують абстрактними поняттями типу об'єкт, суб'єкт і т.ін. та реальними категоріями сучасних інформа­ційних технологій. Крім того, багато засобів захисту, наприклад, засоби боротьби з комп'ютерними вірусами та системи захисту корпоративних мереж firewall на даний час взагалі не мають чіт­кої системної наукової бази.

Таке становище є наслідком відсутності загальної теорії за­хисту інформації, комплексних моделей безпеки оброблення інформація, які би описували механізми дій зловмисників в ре­альних системах, а також відсутність засобів, які дозволяли би ефективно моделювати адекватність тих чи інших рішень в га­лузі безпеки. Наслідком цього є те, що практично всі системи захисту засновані на «латанні дір», виявлених у процесі експлу­атації, що визначає їхнє відставання від загроз, які динамічно розвиваються.

На практиці відсутність системної та наукової бази інформа­ційної безпеки проявляється вже в тому, що нема навіть загаль­ноприйнятої термінології, яка би адекватно сприймалася всіма спеціалістами в галузі безпеки. Тома часто теорія і практика діють у різних площинах.

Необхідність створення глобального інформаційного про­стору та забезпечення безпеки процесів у ньому викликала не-

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

обхідність розроблення міжнародних стандартів, відповідно до яких можна забезпечити необхідний рівень гаранти забезпечен­ня захисту. В сучасних умовах надзвичайно важливими є стан­дартизація не тільки вимог безпеки, а також методі підтверд­ження адекватності реалізованих засобів захисту та коректності самої реалізації.

Існуючі національні стандарти здійснювали спроби вирішити цю проблему, проте ці документи не можуть претендувати на те, щоб закласти фундамент безпечних інформаційних технологій. Діючі документи представляють лише скромне наслідування ко­лишнім зарубіжним стандартам. В умовах обвальної інформати­зації найважливіших сфер вітчизняної економіки та державного апарату країни вкрай необхідні нові рішення у цій галузі.

Внаслідок сукупної дії всіх перелічених факторів, що визна­чають проблеми безпеки інформаційних систем, призначених для оброблення особливо важливої інформації, стоїть цілий ряд завдань, які потребують негайного та ефективного вирішення.

Забезпечення безпеки нових типів інформаційних ре­сурсів. Оскільки комп'ютерні системи тепер безпосередньо інтег­ровані в інформаційні структури сучасного суспільства, засоби захисту повинні враховувати сучасні форми подання інформації (гіпертекст, мультимедіа і т.ін.). Це означає, що системи захисту повинні забезпечувати безпеку на рівні інформаційних ресурсів, а не окремих документів, файлів або повідомлень.

Організація довіреної взаємодії сторін (взаємної іденти-фікації/автентифікації) в інформаційному просторі. Розвиток мереж та Internet вимагає необхідності здійснення ефективного захисту при віддаленому доступі до інформації, а також взаємодії користувачів через загальнодоступні мережі. Причому необхід­но виконати це завдання в глобальному масштабі, незважаючи на те, що учасники цієї взаємодії можуть знаходитися в різних частинах планети, функціонувати на різних платформах і в різ­них операційних системах.

Захист від автоматичних засобів нападу. Досвід експлуата­ції існуючих систем показав, що сьогодні від захисту вимагають-

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

ся нові функції, а саме — механізми, які забезпечували б безпеку системи в умовах можливої взаємодії з нею, або появи всередині неї програм, які здійснюють деструктивні дії — комп'ютерних вірусів, автоматизованих засобів злому, агресивних агентів.

Інтеграція захисту інформації в процесі автоматизації її оброблення як обов'язкового елементу. Для того щоб бути за­требуваними сучасним ринком інформаційних систем засоби захисту не повинні вступати в конфлікт з існуючими додатками та з традиційними інформаційними технологіями оброблення інформації, а, навпаки, повинні стати невід'ємною частиною цих засобів і технологій.

Якщо ці завдання не будуть вирішені, то подальше поши­рення інформаційних технологій у сфері систем, які обробляють важливу інформацію, дуже скоро стане під загрозою. Держава, яка починає інформатизацію практично з «нуля», є полігоном для застосування останніх досягнень інформаційних технологій, тому для неї вирішення завдання створення захищених інфор­маційних систем є надзвичайно актуальним.

Поиск по сайту: