Особенности систем защиты информации

В связи с широким распространением персональных компьютеров не только как средств обработки информации, но также как оперативных средств коммуникации (электронная, телефаксная почта), возникают проблемы, связанные с обеспечением защиты информации от преднамеренных или случайных искажений.

Актуальность этих проблем подчеркивается также тем обстоятельством, что персональный компьютер или автоматизированное рабочее место (АРМ) является частью систем обработки информации, систем коллективного пользования, вычислительных сетей. В таких случаях предъявляются достаточно жесткие требования по надежности и достоверности передаваемой информации.

Любой канал связи характеризуется наличием в нем помех, приводящих к искажению информации, поступающей на обработку. С целью уменьшения вероятности ошибок принимается ряд мер, направленных на улучшение технических характеристик каналов, на использование различных видов модуляции, на расширение пропускной способности и т. п. При этом также должны приниматься меры по защите информации от ошибок или несанкционированного доступа.

Доступ к информации - это получение возможности использовать информацию, хранящуюся в ЭВМ (системе).

Всякая информация в машине или системе требует той или иной защиты, под которой понимается совокупность методов, позволяющих управлять доступом выполняемых в системе программ к хранящейся в ней информации.

Задача защиты информации в информационных вычислительных системах решается, как правило, достаточно просто: обеспечиваются средства контроля за выполнением программ, имеющих доступ к хранимой в системе информации. Для этих целей используются либо списки абонентов, которым разрешен доступ, либо пароли, что обеспечивает защиту информации при малом количестве пользователей. Однако при широком распространении вычислительных и информационных систем, особенно в таких сферах, как обслуживание населения, банковское дело, этих средств оказалось явно недостаточно. Система, обеспечивающая защиту информации, не должна позволять доступа к данным пользователям, не имеющим такого права. Такая система защиты является неотъемлемой частью любой системы коллективного пользования средствами вычислительной техники, независимо от того, где они используются. Данные экспериментальных исследований различных систем коллективного пользования показали, что пользователь в состоянии написать программы, дающие ему доступ к любой информации, находящейся в системе. Как правило, это обусловлено наличием каких-то ошибок в программных средствах, что порождает неизвестные пути обхода установленных преград.

В процессе разработки систем защиты информации выработались некоторые общие правила, которые были сформулированы Ж.Солцером и М. Шредером (США):

1. Простота механизма защиты. Так как средства защиты усложняют
и без того уже сложные программные и аппаратные средства, обеспечивающие обработку данных в ЭВМ, естественно стремление упростить эти дополнительные средства. Чем лучше совпадает представление пользователя о системе защиты с ее фактическими возможностями, тем меньше ошибок возникает в процессе работы.

2. Разрешения должны преобладать над запретами. Нормальным режимом работы считается отсутствие доступа, а механизм защиты должен быть основан на условиях, при которых доступ разрешается. Допуск дается лишь тем пользователям, которым он необходим.

3. Проверка полномочий любого обращения к любому объекту информации. Это означает, что защита выносится на общесистемный уровень и предполагает абсолютно надежное определение источника любого обращения.

4. Разделение полномочий заключается в определении для любой программы и любого пользователя в системе минимального круга полномочий. Это позволяет уменьшить ущерб от сбоев и случайных нарушений и сократить вероятность непреднамеренного или ошибочного применения полномочий.

5. Трудоемкость проникновения в систему. Фактор трудоемкости зависит от количества проб, которые нужно сделать для успешного проникновения. Метод прямого перебора вариантов может дать результат, если для анализа используется сама ЭВМ.

6. Регистрация проникновений в систему. Иногда считают, что выгоднее регистрировать случаи проникновения, чем строить сложные системы защиты.

 

Основные понятия о защите программных продуктов.

Программные продукты и компьютерные базы данных являются предметом интеллектуального труда специалистов высокой квалификации. Процесс проектирования и реализации программных продуктов характеризуется значительными материальными и трудовыми затратами, основан на использовании наукоемких технологий и инструментария, требует применения и соответствующего уровня дорогостоящей вычислительной техники. Это обусловливает необходимость принятия мер по защите интересов разработчика программ и создателей компьютерных баз данных от несанкционированного их использования.

Программное обеспечение является объектом защиты также и в связи со сложностью и трудоемкостью восстановления его работоспособности, значимостью программного обеспечения для работы информационной системы.

Защита программного обеспечения преследует цели:

· ограничение несанкционированного доступа к программам или их преднамеренное разрушение и хищение;

· исключение несанкционированного копирования (тиражирования) программ.

· Программный продукт и базы данных должны быть защищены по нескольким направлениям от воздействия:

· человека - хищение машинных носителей и документации программного обеспечения; нарушение работоспособности программного продукта и др.;

· аппаратуры - подключение к компьютеру аппаратных средств для
считывания программ и данных или их физического разрушения;

· специализированных программ - приведение программного продукта или базы данных в неработоспособное состояние (например, вирусное заражение), несанкционированное копирование программ и базы данных и т.д.

Самый простой и доступный способ защиты программных продуктов и базы данных - ограничение доступа. Контроль доступа к программному продукту и базе данных строится путем:

· парольной защиты программ при их запуске;

· использования ключевой дискеты для запуска программ;

· ограничения программ или данных, функций обработки, доступных
пользователям, и др.

Могут также использоваться и криптографические методы защиты информации базы данных или головных программных модулей.

Программные системы защиты от несанкционированного копирования. Данные системы предотвращают нелицензионное использование программных продуктов и баз данных. Программа выполняется только при опознании некоторого уникального некопируемого ключевого элемента. Таким ключевым элементом могут быть:

· дискета, на которой записан не подлежащий копированию ключ;

· определенные характеристики аппаратуры компьютера;

· специальное устройство (электронный ключ), подключаемое к
компьютеру и предназначенное для выдачи опознавательного кода.

Программные системы защиты от копирования программных продуктов:

· идентифицируют среду, из которой будет запускаться программа;

· устанавливают соответствие среды, из которой запущена
программа, той, для которой разрешен санкционированный запуск;

· вырабатывают реакцию на запуск из несанкционированной среды;

· регистрируют санкционированное копирование;

· противодействуют изучению алгоритмов и программ работы
системы.

Для идентификации запускающих дискет применяются следующие методы:

• нанесение повреждений на поверхность дискеты ("лазерная
дыра"), которая с трудом может быть воспроизведена в
несанкционированной копии дискеты;

• нестандартное форматирование запускающей дискеты.
Идентификация среды компьютера обеспечивается за счет:

· закрепления месторасположения программ на жестком магнитном
диске (так называемые неперемещаемые программы);

· привязки к номеру BIOS (расчет и запоминание с последующей
проверкой при запуске контрольной суммы системы);

· привязки к аппаратному (электронному) ключу, вставляемому в
порт ввода-вывода, и др.

· На Западе наиболее популярны методы правовой защиты программных продуктов и баз данных.

· Правовые методы защиты программных продуктов и баз данных. Правовые методы защиты программ включают:

· патентную защиту;

· закон о производственных секретах;

· лицензионные соглашения и контракты;

· закон об авторском праве.
Различают две категории прав:

· экономические права, дающие их обладателям право на получение экономических выгод от продажи или использования программных продуктов и баз данных;

· моральные права, обеспечивающие защиту личности автора в его
произведении.

Во многих цивилизованных странах несанкционированное копирование программ в целях продажи или бесплатного распространения рассматривается как государственное преступление, карается штрафом или тюремным заключением. Но, к сожалению, само авторское право не обеспечивает защиту новой идеи, концепции, методологии и технологии разработки программ, поэтому требуются дополнительные меры их защиты.

Патентная защита устанавливает приоритет в разработке и использовании нового подхода или метода, примененного при разработке программ, удостоверяет их оригинальность.

Статус производственного секрета для программы ограничивает круг лиц, знакомых или допущенных к ее эксплуатации, а также определяет меру их ответственности за разглашение секретов. Например, используется парольный доступ к программному продукту или базе данных, вплоть до паролей на отдельные режимы (чтение, запись, корректировку и т.п.). Программы, как любой материальный объект большой стоимости, необходимо охранять от кражи и преднамеренных разрушений.

Лицензионные соглашения распространяются на все аспекты правовой охраны программных продуктов, включая авторское право, патентную защиту,•производственные секреты. Наиболее часто используются лицензионные соглашения на передачу авторских прав.

Лицензия - договор на передачу одним лицом (лицензиаром) другому лицу (лицензиату) права на использование имени, продукции, технологии или услуги. Лицензиар увеличивает свои доходы сбором лицензионных платежей, расширяет область распространения программного продукта или базы данных; лицензиат извлекает доходы за счет их применения.

В лицензионном соглашении оговариваются все условия эксплуатации программ, в том числе создание копий. На каждой копии программы должны быть те же отметки, что и на оригинале:

· знак авторского права (обычно ©) и название разработчика, года выпуска программы, прочих ее атрибутов;

· знак патентной защиты или производственного секрета;

· торговые марки, соответствующие использованным в программе
другим программным изделиям (обычно - ™ и название фирмы-разработчика программного продукта);

· •символ зарегистрированного права на распространение программного продукта (обычно ®).

Существует несколько типов лицензий на программные продукты.

Исключительная лицензия - продажа всех имущественных прав на программный продукт или базу данных, покупателю лицензии предоставляется исключительное право на их использование, а автор или владелец патента отказывается от самостоятельного их применения или предоставления другим лицам.

Это самый дорогой вид лицензии, к нему прибегают для монопольного владения с целью извлечения дополнительной прибыли либо с целью прекращения существования на рынке программных средств программного продукта.

Простая лицензия - лицензиар предоставляет право лицензиату использовать программный продукт или базу данных, оставляя за собой право применять их и предоставлять на аналогичных условиях неограниченному числу лиц (лицензиат при этом не может сам выдавать сублицензии, может лишь продать копии приобретенного программного продукта или базы данных).

Такой вид лицензии приобретают дилер (торговец) либо фирмы-производители, использующие купленные лицензии как сопутствующий товар к основному виду деятельности. Например, многие производители и фирмы, торгующие компьютерной техникой, осуществляют продажу вычислительной техники с установленным лицензионным программным обеспечением (операционная система, текстовый редактор, электронная таблица, графические пакеты и т.д.).

Этикеточная лицензия - лицензия на одну копию программного продукта или базы данных. Данный тип лицензии применяется при розничной продаже. Каждый официальный покупатель заключает лицензионное соглашение с продавцом на их использование, но при этом сохраняется авторское право разработчика.

Экономические отношения между лицензиаром и лицензиатом могут строиться различным образом. За право пользования программным продуктом или базой данных выплачивается единовременное вознаграждение (паушальный платеж), которое и является фактической ценой лицензии. Возможны и периодические отчисления лицензиару за право пользования в виде роялти - фиксированная ставка в определенные интервалы времени в течение действия лицензионного соглашения, как правило, процент от стоимости программных продуктов или баз данных.

Закон об охране программных продуктов и компьютерных баз данных автором признает физическое лицо, в результате творческой деятельности которого они созданы. Автору независимо от его ественных прав принадлежат личные авторские права: авторство, имя неприкосновенность (целостность) программ или баз данных. Авторское право действует с момента создания программного дукта или базы данных в течение всей жизни автора и 50 лет после его смерти. Автор может:

· выпускать в свет;

· воспроизводить в любой форме, любыми способами;

· распространять;

· модифицировать;

· осуществлять любое иное использование программного продукта

· или базы данных.

Авторское право не связано с правом собственности на материальный носитель.

Имущественные права на программный продукт или базу данных могут быть переданы частично или полностью другим физическим или юридическим лицам по договору. Имущественные права относятся к категории наследуемых. Если программный продукт или база данных созданы в порядке выполнения служебных обязанностей, имущественные права принадлежат работодателю.

Программные продукты и базы данных могут использоваться третьими лицами - пользователями на основании договора с правообладателем.

Лицо, правомерно владеющее экземпляром программы или базы данных, вправе, без получения дополнительного разрешения правообладателя, осуществлять любые действия, связанные с функционированием программного продукта или базы данных в соответствии с ее назначением, в том числе:

· устанавливать один экземпляр, если не предусмотрено иное
соглашение с правообладателем, программного продукта или базы
данных на компьютер;

· исправлять явные ошибки;

· адаптировать программный продукт или базу данных;

· изготавливать страховые копии.